§ 48d

1

Die §§ 48d bis 48i sowie in § 114 Abs 4 (jeweils idF Materien-Datenschutz-Anpassungsgesetz 2018, BGBl I 2018/32) sind mit 25. Mai 2018 in Kraft getreten (nach § 323 Abs 53). Diese Bestimmungen sind materienspezifische Anpassungen an die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (vgl zB ErlRV 65 BlgNR 26. GP, 55).

Die DSGVO gilt nur für Daten natürlicher Personen; dies im Unterschied zu Art 8 GRC und § 1 Abs 1 DSG (Grundrecht auf Datenschutz).

2

Grundrecht auf Datenschutz (§ 1 DSG)

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(3) Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen

1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;

2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

(4) Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.

3

Den Schutz personenbezogener Daten regelt Art 8 GRC wie Folgt:

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

4

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art 4 Z 1 DSGVO).

5

Art 4 Z 2 DSGVO definiert den Begriff der Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

6

Nach Art 6 Abs 1 lit a DSGVO ist eine Verarbeitung ua zulässig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentliche Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

§ 48d Abs 1 ist auch eine Rechtsgrundlage für die Weiterverarbeitung, nämlich die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten ursprünglich erhoben wurden (ErlRV 65 BlgNR 26. GP, 56).

7

Grundrechtskonform ist nach Ehrke-Rabel (in Doralt/Ruppe, Steuerrecht II⁸ Tz 1340) folgende Lesart des § 48d: „Da die Erhebung von Daten für Zwecke der Besteuerung im Regelfall die Privatsphäre der Stpfl berührt, bedarf sie einer hinreichend bestimmten gesetzlichen Grundlage, die die Notwendigkeit und Verhältnismäßigkeit der Datenerhebung widerspiegelt. Der Begriff der Verarbeitung in § 48d BAO räumt der Verwaltung in seinem durch das Unionsrecht vorgegebenen Verständnis ein zu weites Ermessen ein. Verwaltungsermessen darf nicht unbegrenzt sein, sondern bedarf eines klaren gesetzlichen Rahmens. Der Stpfl muss wissen, welche ihn betreffenden Daten dem Zugriff der Verwaltung unterliegen. Der Abgabenbehörde ohne weitergehende Konkretisierung die Entscheidung darüber zu überlassen, welche Daten erhoben werden müssen, ist Ermessen, das dem Legalitätsprinzip nicht gerecht wird, weil es die gerichtliche Kontrolle im Rahmen des Gesetzes nicht möglich macht. Will eine Abgabenbehörde Daten erheben, die nicht schon im Rahmen der allgemeinen oder einer speziellen Mitwirkungs- und Offenlegungspflicht preiszugeben sind oder für die bestimmte Aufbewahrungsvorschriften existieren, bedarf es einer § 48d BAO ergänzenden gesetzlichen Grundlage. § 48d BAO ist daher nicht Grundlage für neue Formen der Datenerhebung, sondern umfasst nur Datenverarbeitungen, für die im Rahmen der §§ 114 ff BAO und etwaiger Bestimmungen in Materiengesetzen eine gesetzliche Grundlage besteht.“

8

§ 48d Abs 1 gilt gem § 2a und § 269 Abs 1 auch für Verwaltungsgerichte sowie im Rahmen des § 2 lit b auch in Monopolverfahren (ErlRV 65 BlgNR 26. GP, 56).

9

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftsangehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt (Art 9 Abs 1 DSGVO).

Art 9 Abs 1 DSGVO gilt nicht (ua) in folgenden Fällen: „die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich“ (Art 9 Abs 2 lit g DSGVO).

10

Nach § 48d Abs 2 BAO ist die Verarbeitung solcher besonderen Kategorien personenbezogener Daten durch eine Abgabenbehörde zulässig, wenn die Voraussetzungen des Abs 1 (des § 48d BAO) und ein erhebliches öffentliches Interesse iSd Art 9 Abs 2 lit g DSGVO vorliegen.

Bedeutsam ist dies (nach ErlRV 65 BlgNR 26. GP, 56) insbesondere für die abgabenrechtliche Berücksichtigung der

• Beiträge für die freiwillige Mitgliedschaft bei Berufsverbänden (somit für § 16 Abs 1 Z 3 lit b EStG 1988),

• verpflichtenden Beiträge an Kirchen und Religionsgemeinschaften (für § 18 Abs 1 Z 5 EStG 1988),

• freiwilligen Zuwendungen (Spenden; zB iSd § 4a EStG 1988),

• Kosten einer Krankheit oder Behinderung (für die §§ 34 und 35 EStG 1988).

11

Die BAO enthält keinerlei Bestimmungen über automatisierte Entscheidungsfindung, inklusive Profiling (Ehrke-Rabel in Doralt/Ruppe, Steuerrecht II⁸ Tz 1346).

Profiling ist nach der Definition in Art 4 Z 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um damit bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Es ist nach Ehrke-Rabel (in Doralt/Ruppe, Steuerrecht II⁸ Tz 1346) davon auszugehen, dass sämtliche Datenverarbeitungen, die von der Finanzverwaltung vorgenommen werden, zumindest das Ziel haben, die vom Steuerpflichtigen eingereichten Steuererklärungen auf die Wahrscheinlichkeit ihrer Richtigkeit zu prüfen, um Kontrollhandlungen gezielt (effizienzorientiert) dort einzusetzen, wo das Risiko einer Steuerunehrlichkeit am höchsten ist. Dies sei Profiling iSd Art 4 Z 4 DSGVO. Dem Steuerpflichtigen müsste auf Grund des Gesetzes zumindest erkennbar sein, dass Profiling stattfindet. Ihm dieses Recht unter Rückgriff auf Art 23 DSGVO zu versagen, sei nicht nur unverhältnismäßig, sondern verstoße auch gegen das Grundrecht auf Achtung der Privatsphäre und bringe den Rechtsstaat in Gefahr.