Steuerprüfer möchte Online-Zugriff auf die elektronische

Steuerprüfer möchte Online-Zugriff auf die elektronische Personalakte aller Mitarbeiter. Was tun?
Sitzung GDD Erfa-Kreis Datenschutz
M. Le Maire | IHK Mannheim, 07.10.2015
Agenda
1. Datenzugriffsrecht der Finanzverwaltung gemäß GoBD*)
2.Erlaubnistatbestand
3.Technische und organisatorische Maßnahmen
4. Anhang
*) Grundsätze
zur ordnungsmäßigen Führung und Aufbewahrung
von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form
sowie zum Datenzugriff (GoBD)
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
2
Fragen und Antworten zum Datenzugriffsrecht der
Finanzverwaltung, BMF, Stand: 22. Januar 2009
Z1
Z2
Z3
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
3
Randbedingungen zum Datenzugriffsrecht
der Finanzverwaltung
Eine Eingrenzung von Systemen, die zur Steuerprüfung vorbereitet
werden müssen, hat die Finanzbehörde nicht vorgesehen.
Prüfer haben freies Wahlrecht bei der Nutzung der Zugriffsarten.
Definition von steuerrelevanten Daten ist Aufgabe des Steuerpflichtigen.
Bei Nichtbereitstellung des Zugriffs kann der Prüfer
ein Verzögerungsgeld von EUR 2.500 bis EUR 250.000
geltend machen.
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
4
Beispiel: Systematik einer Elektronischen Personalakte (EPA)
EPA-Ordner
01 - Bewerbungen (extern/intern)
02 - Vertragliche Vereinbarungen und Entgelt
03 - Personalentwicklung, Verbesserungsvorschläge, Erfindungen
04 - Gesundheits- und Wiedereingliederungsmanagement
05 - Betriebliche Sozialleistungen
06 - Altersversorgung
07 - Disziplinarmaßnahmen
08 - Verschiedenes
09 - Austritt
10 - Ausland
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
5
Beispiele für Dokumente zum Gesundheits- und
Wiedereingliederungsmanagement
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
6
Fall-1: verantwortliche Stelle ermöglicht dem Steuerprüfer
Zugriff nur auf die steuerlich-relevanten Dokumente in
der EPA, z.B. über eine Prüferrolle.
Steuergesetz
EPA
Steuerlich-relevante Dokumente
Nicht
steuerlich-relevante Dokumente
Bundesdatenschutzgesetz
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
7
Fall-2 :Verantwortliche Stelle hat die steuerlich-relevanten
Dokumente in der EPA nicht identifiziert und keine
trennenden Zugriffsberechtigungen implementiert (Aufwand)
Steuergesetz
EPA
Steuerlich-relevante Dokumente
Nicht
steuerlich-relevante Dokumente
Bundesdatenschutzgesetz
Dann ist dem Steuerprüfer der Zugriff auf alle Dokumente in der
EPA einzuräumen (siehe z.B. Urteilsbegründung auf Folie 20).
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
8
Fall-2 : Anwendung des BDSG, Standpunkt des Referenten
Die nicht steuerlich-relevanten Dokumente (u.a. Gesundheitsdaten)
dürfen nicht zum Abruf mittels eines automatisierten Verfahrens
(z.B. SAP Transaktion) für einen Dritten bereitgestellt werden, der
sie nicht benötigt: Zweckbindung? Schutzwürdiges Interesse der
Betroffenen?
Steuergesetz
EPA
Steuerlich-relevante Dokumente
Nicht
steuerlich-relevante Dokumente
Bundesdatenschutzgesetz
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
9
Es fehlt der Hinweis, welche „Hausaufgaben“ der Steuerpflichtige
als verantwortliche Stelle gemäß BDSG vorher zu machen hat.
Stellungnahme des SAP-Expertenteams Bund
Diese Liste wurde zwischen der DSAG*) und der Finanzverwaltung zur
Übernahme in eine künftige Steuerprüferrolle abgestimmt (Stand Mai 2014)
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
*)
Deutschsprachige SAP-Anwendergruppe e.V. (DSAG) 10
Agenda
1. Datenzugriffsrecht der Finanzverwaltung gemäß GoBD
2.Erlaubnistatbestand
3.Technische und organisatorische Maßnahmen
4. Anhang
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
11
Begründung des Erlaubnistatbestandes
auf Basis von Gerichtsurteilen (siehe Anhang)
 Das Unternehmen ist nach § 200 Abs. 1 Satz 2 AO zur Vorlage der Personalakten
verpflichtet. Die Vorlagepflicht beschränkt sich jedoch nur auf die steuerlich
relevanten Teile der Personalakten.
 Es ist Aufgabe des Steuerpflichtigen, die steuerlich relevanten von den nicht
steuerlich relevanten Informationen zu trennen.
 Dementsprechend kann das Vorlagebegehren der Betriebsprüfung nicht mit
dem Argument abgelehnt werden, dass die Personalakten neben den
steuerlichen Informationen auch nicht steuerlich relevante Informationen
enthalten.
 Wenn die Personalakten inzwischen eingescannt sind, ist der Betriebsprüfung
nach § 147 Abs. 6 Satz 1 AO ein elektronischer Zugriff auf die eingescannten
Personalakten des Unternehmens zu gewähren.
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
12
Begründung des Erlaubnistatbestandes
auf Basis von Gerichtsurteilen (siehe Anhang)
 Nach Auffassung der Rechtsprechung kann sich der Steuerpflichtige nicht
darauf berufen, dass die Personalakten persönliche Daten der Mitarbeiter
enthalten. Denn das Geheimhaltungsinteresse des Steuerpflichtigen wird
bereits durch das Steuergeheimnis nach § 30 AO geschützt.
 Damit kann die Vorlage der Personalakten wegen § 30 AO nicht unter
Geheimhaltungsgesichtspunkten abgelehnt werden.
 Da das Geheimhaltungsinteresse des Steuerpflichtigen bereits nach § 30 AO
geschützt wird, sollten auch die Bestimmungen des BDSG nicht der Vorlage der
Personalakten des Unternehmens entgegenstehen.
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
13
Ergebnis: Steuergeheimnis nach § 30 AO erstreckt sich
auch auf die nicht steuerlich-relevanten Dokumente
Steuergesetz, u.a. § 30 AO
EPA
Steuerlich-relevante Dokumente
Nicht
steuerlich-relevante Dokumente
Bundesdatenschutzgesetz
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
14
Begründung des Erlaubnistatbestandes:
Eine weitere Argumentation und Abgrenzung
 Das Steuergeheimnis schützt die gesamten persönlichen, wirtschaftlichen, rechtlichen,
öffentlichen und privaten Verhältnisse einer natürlichen oder juristischen Person.
 Nach § 5 Satz 1 BDSG ist es den bei der Datenverarbeitung beschäftigten Personen
untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.
Das in § 5 BDSG normierte Datengeheimnis besteht allerdings neben dem
Steuergeheimnis gem. § 30 AO, ohne dass es eine Priorität gäbe.
Denn nach § 1 Abs. 3 Satz 1 BDSG ist das BDSG subsidiär, soweit andere
Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren
Veröffentlichung anzuwenden sind. Zudem bleibt nach § 1 Abs. 3 Satz 2 BDSG die
Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten unberührt .
 Eine Offenbarung der von der Finanzverwaltung gewonnenen Erkenntnisse ist nur unter
den Voraussetzungen des § 30 Abs. 4 und 5 AO zulässig. Ist allerdings eine Offenbarung
nach § 30 Abs. 4 und 5 AO befugt, kann sie nach Auffassung der Rechtsprechung nicht
nach dem BDSG unzulässig sein. Anderenfalls würde der Gesetzgeber gegen das Prinzip
der Widerspruchsfreiheit verstoßen. Das BDSG und die Landesdatenschutzgesetze sind
indes anwendbar, soweit § 30 AO nicht greift .
 Damit ist es verfassungsrechtlich unbedenklich, wenn die Datenschutzgesetze den Vorrang
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
15
des Steuergeheimnisses unberührt lassen.
Agenda
1. Datenzugriffsrecht der Finanzverwaltung gemäß GoBD
2.Erlaubnistatbestand
3.Technische und organisatorische Maßnahmen
4. Anhang
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
16
Vorgehensweise
Der Steuerpflichtige definiert, welche Dokumente
in der Elektronischen Personalakte
steuerlich-relevant und welche nicht steuerlich-relevant sind.
Es wird eine Berechtigungsrolle für den Steuerprüfer erstellt,
die den lesenden Zugriff
nur auf die steuerlich-relevanten Dokumente zulässt.
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
17
Beispiele für Dokumente zu den Dokumentenarten
Austritt und Ausland
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
18
4. Anhang
Begründung des Erlaubnistatbestandes
durch Gerichtsurteile
und Fachliteratur
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
19
Denn es ist die Aufgabe der Klin, ihre Datenverarbeitung so zu organisieren, dass sie
einerseits ihre öffentlich rechtlichen Verpflichtungen gegenüber der Finanzbehörde erfüllen
kann und andererseits die Verschwiegenheitspflicht gegenüber ihren Patienten wahrt.
Nimmt ein zur Verschwiegenheit gegenüber Patienten verpflichteter Steuerpflichtiger in
seiner Datenverarbeitung die für die Erfüllung beider genannten Verpflichtungen
erforderliche Trennung seiner Daten nicht vor, hindert das die Finanzbehörde nicht, den
Zugriff auf die Daten im vorliegenden Bestand zu verlangen (ebenso: FG Rheinland-Pfalz,
Urteil vom 20. Januar 2005 4 K 2167/04, EFG 2005, 667; FG Nürnberg, Urteil vom 30. Juli
2009 6 K 1286/2008, EFG 2009, 1991).
Folgte man insoweit der Rechtsauffassung der Klin, würde dies eine Verkennung der
jeweiligen Verpflichtungen von Steuerpflichtigen einerseits und der Finanzbehörde
andererseits bedeuten und außerdem dazu führen, dass ein Steuerpflichtiger durch
Missachtung seiner Obliegenheit zur Trennung seiner Daten einen Zugriff der Finanzbehörde
verhindern und damit erhebliche Teile der zu prüfenden Vorgänge und Daten faktisch der
Betriebsprüfung entziehen könnte, während ein Steuerpflichtiger, der die gebotene Trennung
seiner Daten vorgenommen hat, eine vollständige Betriebsprüfung dulden müsste.
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
20
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
21
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
22
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
23
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
24
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
25
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa-Kreis Datenschutz
26

Download Report