Privacy in Germany

06.15
3. Jahrgang
November 2015
Seiten 233–280
www.PinGdigital.de
Lizenziert für Dr. Philipp Mittelberger.
Die Inhalte sind urheberrechtlich geschützt.
PinG
Privacy in Germany
Datenschutz und Compliance
Prof. Niko Härting
Nils Hullen, LL. M.
Dr. Niclas Krohm
Dr. Carlo Piltz
Sebastian Schulz
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2015 - (http://www.pingdigital.de) 17.12.2015 - 10:30
587013053879
Ständige Mitarbeiter:
Dr. Jana Moser
Philipp Müller-Peltzer
Frederick A. Richter, LL. M.
Prof. Dr. Jan Dirk Roggenkamp
Daniel Schätzle
Dr. Rainer Stentzel
PRIVACY
TOPICS
S. Schulz / G. Moukabary
Stichtag 1. November 2015: Datenschutz im neuen
Bundesmeldegesetz – Keine Adressdaten (mehr) für
Marketing, Inkasso und Auskunfteien?
E. M. A. Beyvers / H. Gärtner / D.-K. Kipker
Data Processing for Research Purposes – Current
Basics and Future Needs from a Legal Point of View
M. Cebulla
Auftragsdatenverarbeitung oder Funktionsübertragung
PRIVACY
COMPLIANCE N. Böttcher
Bitte recht freundlich! – Hinweise zur KFZKennzeichenerfassung im nicht-öffentlichen Bereich
S. Sander / C. Diekmann
Anforderungen des Datenschutzrechts an das VideoIdent-Verfahren im Rahmen der Identifizierung gemäß
§ 4 GwG
PRIVACY
NEWS M. Nanda / J. Mönikes
Kosten und Folgen des Vollzuges der VDS 2.0
M. Schröder
Datenschutzverstöße in Unternehmen
P. Mittelberger
Der automatische Informationsaustausch als eine neue
Art der Vorratsdatenspeicherung
86118
Redaktion:
Lizenziert für Dr. Philipp Mittelberger.
Die Inhalte sind urheberrechtlich geschützt.
268
PinG 06.15
Mittelberger
Der automatische Informationsaustausch
Der automatische Informations
austausch als eine neue Art der
Vorratsdatenspeicherung
Dr. Philipp Mittelberger
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2015 - (http://www.pingdigital.de) 17.12.2015 - 10:30
587013053879
I. Einleitung
Die weltweite Bekämpfung der Steuer
hinterziehung ist in der Folge der Finanzund Schuldenkrise zu einem wichtigen
und breit verfolgten Anliegen der Weltgemeinschaft geworden. Die OECD, die EU
und das Global Forum on Transparency
and Exchange of Information for Tax
Purposes (Global Forum) arbeiten daher
bereits seit Längerem an unterschiedlichen Arten des steuerlichen Informa
tionsaustauschs.
Der automatische Informationsaustausch über Finanzkonten (AIA) wurde
in den letzten Jahren zur Bekämpfung
der Steuerhinterziehung beschlossen.
Am 15. Juli 2014 hat der OECD-Rat das
Gesamtpaket zu einem globalen Standard
zum automatischen Informationsaustausch
genehmigt (sog. Common Reporting
Standard, CRS)1. Der Standard wurde
am 21. Juli 2014 veröffentlicht und am
21. September 2014 von den Finanz
ministern der G20-Staaten bestätigt und
für verbindlich erklärt.
Das globale Modell für den AIA fußt
auf einem einheitlichen Standard für die
von den Finanzinstituten zu meldenden
1http://www.oecd.org/ctp/exchange-of-tax-
information/Automatic-Exchange-Financial-
Account-Information-Common-Reporting-
Standard.pdf.
und mit den Ansässigkeitsstaaten aus
zutauschenden Informationen. Dieses globale Modell soll in der EU mit der Richtlinie 2014/107/EU vom 9. Dezember 2014
zur Änderung der Richtlinie 2011/16/EU
umgesetzt werden. Gleichzeitig führt die
Europäische Kommission Verhandlungen
zur Umsetzung des AIA mit den europäischen Drittstaaten Schweiz, Liechtenstein,
Andorra, Monaco und San Marino.
II. Parallelen des AIA zur
Vorratsdatenspeicherung
Bereits im Januar 2014 veröffentlichte
der Europarat einen Expertenbericht zum
AIA.2 Im Juni 2014 folgte dann eine
Stellungnahme des Europarates, in der
die Geltung der Grundsätze des Datenschutzes in diesem Bereich betont wird.3
2Innerhalb des Europarates war dies das Büro
des Beratenden Ausschusses zur Daten
schutzkonvention des Europarates (T−PD).
http://www.coe.int/t/dghl/standardsetting/
dataprotection/TPD_documents/T-PD-BUR(2014)
01%20-%20Rapport%20CE%202013%20
(final)%20C%20%20Porasso_En.pdf.
3http://www.coe.int/t/dghl/standardsetting/
dataprotection/TPD_documents/T-PD(2014)05_
En_Opinion%20tax%20(final).pdf.
Dr. Philipp Mittelberger
ist seit Ende 2002 Datenschutzbeauftragter des
Fürstentums Liechtenstein. Als solcher ist er
u. a. Vertreter Liechtensteins in der Artikel29-Datenschutzgruppe,
dem EWR-Gremium der
nationalen Datenschutzbehörden, im Beratenden
Ausschuss der Datenschutzkonvention des
Europarates und Autor
verschiedener Beiträge
zum Datenschutz.
Der Europäische Bankenverband wies
im Frühsommer 2014 die Artikel-29-
Datenschutzgruppe (WP 29) auf weit
gehende Parallelen zwischen der Vorratsdatenspeicherung und dem AIA hin.
Im Urteil zur Vorratsdatenspeicherung
stellt der EuGH in den §§ 52 bis 55 fest,
dass „der Schutz des Grundrechts auf
Achtung des Privatlebens nach ständiger
Rechtsprechung jedenfalls verlangt, dass
sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige
beschränken müssen ...“. Daher müssen
klare und präzise Regeln für die Tragweite
Lizenziert für Dr. Philipp Mittelberger.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2015 - (http://www.pingdigital.de) 17.12.2015 - 10:30
587013053879
Der automatische Informationsaustausch
und die Anwendung der fraglichen Maßnahme vorgesehen und Mindestanforderungen aufgestellt werden, sodass die
Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz
ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder
unberechtigten Nutzung ermöglichen.
Das Erfordernis, über solche Garantien zu
verfügen, sei umso bedeutsamer, wenn
die personenbezogenen Daten automatisch
verarbeitet werden und eine erhebliche
Gefahr des unberechtigten Zugangs zu
diesen Daten besteht.
Der EuGH kommt zum Schluss, dass es
weder klare und präzise Regeln für die
Tragweite und Anwendung noch ausreichende Schutzgarantien gab: Weder in
Bezug auf den Zugriff noch die Aufbewahrungsdauer noch die Sicherheit der Daten
und die damit verbundene Notwendigkeit
einer unabhängigen Kontrolle. Im Ergebnis
kommt er somit zu einer Verletzung des
Grundsatzes der Verhältnismäßigkeit.
Worin bestehen nun die Parallelen
zwischen dem AIA und der Vorratsdatenspeicherung?
–– Wie bei den Vorratsdaten werden auch
beim AIA Daten mit anderen Staaten
ausgetauscht, ohne dass ein Verdacht
besteht, dass die betroffenen Personen
gegen Steuergesetze verstoßen haben.
Mit anderen Worten geht es auch beim
AIA um Vorratsdaten.
(Übrigens gibt es auch eine gewisse
Tendenz zur Einschränkung von Bargeldzahlungen. Damit werden Zahlungen transparenter und infolgedessen
für den Staat überprüfbar, ohne dass
ein Verdacht besteht, dass etwas Gesetzwidriges geschehen ist. In Italien
beträgt die Höchstgrenze für Bargeld
zahlungen 999,99 Euro.4 Dasselbe
gilt seit Anfang September auch in
Frankreich, wo diese Maßnahme zur
Bekämpfung des „kostengünstigen
Terrorismus“ eingeführt wurde.5 Dies
nur am Rande.)
–– Von dieser Hauptparallele ausgehend
müssen die erwähnten Kriterien Ausmaß
der Daten, Datenzugriff, Aufbewahrungsdauer, Datensicherheit und unabhängige Kontrolle im Fall eines Transfers von Daten in Drittländer e rfüllt sein.
4http://www.fm.nrw.de/presse/anlagen/
Bargeldbeschraenkungen_Europa.pdf.
5http://www.reuters.com/article/2015/03/18/
us-france-security-financing-idUSKBN0ME1472
0150318?irpc=932.
Mittelberger
III. Rechtliche Beurteilung
Als Reaktion auf die oben beschriebene
Eingabe des Europäischen Bankenverbandes verabschiedete die WP 29 eine erste
Analyse,6 in der sie die OECD und die
Europäische Kommission auf die zu beachtenden Datenschutzgrundsätze hinwies
und die Stellungnahme des Europarates
unterstützte. Zudem wurde unter anderem
darauf hingewiesen, dass die einschlägige
Richtlinie 2011/16/EG, die revidiert werden sollte, keine ausreichenden Datenschutzgarantien vorsah, wie sie der EuGH
im Fall der Vorratsdaten eben definiert
hatte. Im Anhang zu diesem Papier wies
die WP 29, wie der Europarat, auf geltende
Grundsätze hin. Die Geltung und Bedeutung einiger dieser Grundsätze beziehen
sich auf das erwähnte Urteil des EuGH.
Wie bereits ausgeführt, geht es beim
AIA auch um eine Vorratsdatenspeicherung. Nach dem EuGH sind Differenzierungen im Rahmen der Verhältnismäßigkeit sehr wichtig. Die WP 29 weist im
Rahmen des Schreibens vom 18. September
2014 namentlich auf die erwähnte Rechtsprechung hin. Wie der Europäische
Bankenverband kommt auch eine Expertengruppe der Europäischen Kommission,
die AEFI Expert Group, in ihrem ersten
Bericht vom März 2015 zum Schluss, dass
das Kriterium der Verhältnismäßigkeit
hauptsächlich aufgrund des Ausmaßes der
Daten (noch) nicht erfüllt ist.7 Außerdem
weist diese Expertengruppe auf folgenden
Umstand hin:
„Gross proceeds from sales transactions
will be part of the reporting, independent of the fact whether those forms of
income are subject to taxation in the
recipient jurisdiction. In this context, a
lot of misleading and unnecessary data
will thus be exchanged, creating suspicions about taxpayers to the detriment
of the economic freedoms of the EU
6http://ec.europa.eu/justice/data-protection/
article-29/documentation/other-document/
files/2014/20140918_letter_on_oecd_common_
reporting_standard.pdf.pdf; der Anhang zum
Schreiben mit den einzelnen Grundsätzen:
http://ec.europa.eu/justice/data-protection/
article-29/documentation/other-document/
files/2014/20140918_annex_oecd_common_
reporting_standard.pdf.pdf.
7http://ec.europa.eu/taxation_customs/resources/
documents/taxation/tax_cooperation/mutual_
assistance/financial_account/first_report_
expert_group_automatic_exchange_financial_
information.pdf, S. 8 und 26.
P inG 06.15269
treaty and the fundamental rights of the
EU citizens enshrined in EU Charter.”8
Auch der Europäische Datenschutz
beauftragte (EDPS) hat Zweifel, dass die
Verhältnismäßigkeit erfüllt ist. Er stützt
sich ebenso auf das erwähnte Urteil des
EuGH und äußert berechtigte Zweifel zur
Verhältnismäßigkeit im Falle des bereits
unterzeichneten Abkommens zwischen
der EU und der Schweiz.9
Gemäß der Rechtsprechung zu den
Vorratsdaten müssen die folgenden Schutzmechanismen bestehen: Klar definierter
Zugriff, Aufbewahrungsdauer, Daten
sicherheit und die unabhängige Kontrolle
im Fall eines Datentransfers in ein Drittland.
–– Das Papier des Europäischen Bankenverbandes kritisiert, dass es im Rahmen
des AIA weder einen klar definierten
Zugriff auf die Daten noch eine Auf
bewahrungsdauer und eine damit verbundene Verpflichtung zur Löschung
von Daten gibt. Die Richtlinie
2014/107/EG bezüglich der Verpflichtung zum automatischen Austausch
von Informationen im Bereich der
Besteuerung sieht in Art. 1 Abs. 5 vor:
„Die im Einklang mit dieser Richtlinie
verarbeiteten Informationen dürfen nur
so lange aufbewahrt werden, wie dies
für die Zwecke dieser Richtlinie erforderlich ist, und in jedem Fall im Einklang mit den innerstaatlichen Vorschriften der einzelnen für die Ver
arbeitung Verantwortlichen über die
Verjährung.“ Im Fall der Vorratsdaten
war immerhin eine Aufbewahrungsdauer zwischen sechs Monaten und
zwei Jahren vorgeschrieben, ohne jedoch Unterscheidungen bei den Datenkategorien im Hinblick auf den Nutzen
der Daten zu treffen (§ 63). Der neue
Art. 1 sieht eine solche definierte Dauer
nicht vor. In dem Sinne bemängelt
auch der EDPS beim künftigen Ab
kommen zwischen der Schweiz und
der EU, dass es keine definierte Auf
bewahrungsdauer gibt (§§ 26 ff.).
Dies bedeutet, dass die Aufbewahrungsdauer weniger klar definiert ist
als im Fall der Vorratsdaten. Eine
Zugriffsregelung ist nicht ersichtlich.
8http://ec.europa.eu/taxation_customs/resources/
documents/taxation/tax_cooperation/mutual_
assistance/financial_account/first_report_
expert_group_automatic_exchange_financial_
information.pdf, S. 24 f.
9https://secure.edps.europa.eu/EDPSWEB/webdav/
site/mySite/shared/Documents/Consultation/
Opinions/2015/15-07-08_EU_Switzerland_EN.pdf.
Lizenziert für Dr. Philipp Mittelberger.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2015 - (http://www.pingdigital.de) 17.12.2015 - 10:30
587013053879
270
PinG 06.15
Somit ist davon auszugehen, dass die
Kriterien des klaren Zugriffs auf die
Daten und die Aufbewahrungsdauer
im Rahmen des AIA nicht erfüllt sind.
–– Nach dem EuGH (§§ 66 f.) sind auch
spezielle Sicherheitsvorschriften zu beachten. Im Rahmen des AIA sind solche
Sicherheitsvorschriften nicht auszu
machen. Art. 1 Abs. 4 der revidierten
Richtlinie sieht zwar vor, dass die Kommission und die Mitgliedstaaten für die
Weiterentwicklung des Systems oder
der Systeme zuständig sind, wenn dies
für den Informationsaustausch notwendig ist. Wie die Sicherheit gestaltet sein
muss, ist jedoch nicht geregelt. In diese
Richtung geht auch der EDPS, der beim
geplanten Abkommen mit der EU und
der Schweiz bemängelt, dass keine
Sicherheitsstandards oder Sanktionen
festgelegt wurden (§ 23).
–– Die Richtlinie zur Vorratsdatenspeicherung sah nicht vor, dass Daten innerhalb der EU zu speichern sind. Im
Rahmen der Prüfung von Sicherungs
maßnahmen forderte der EuGH eine
unabhängige Kontrolle bei einem Datentransfer in Drittländer. Der AIA wird
nicht nur innerhalb der EU stattfinden,
treibende Kraft ist die OECD. Der AIA
wird der weltweite Standard werden.
Mit anderen Worten ist auch hier ein
Transfer in Drittländer vorgesehen.
Die erwähnte AEFI-Expertengruppe
fordert ebenfalls Sicherungsmechanismen, wie z. B. peer reviews (S. 26). Ob
und inwiefern hier eine unabhängige
Kontrolle gegeben sein wird, ist nicht
geklärt.
–– Was den Datentransfer in Drittländer
allgemein betrifft, sind in der EU nur
die Regelungen der allgemeingültigen
Datenschutzrichtlinie 95/46/EG anwendbar. Außerhalb der EU gibt es das
multilaterale Übereinkommen über
Amtshilfe in Steuersachen und das
dazugehörige Protokoll.10 Basierend
auf dem Übereinkommen wurde eine
multilaterale Vereinbarung der zu
ständigen Behörden über den auto
matischen Informationsaustausch über
Finanzkonten11 geschaffen. Dieses
bestimmt in Abschnitt 5: „Alle ausgetauschten Informationen unterliegen
den im Amtshilfeübereinkommen vor
10European Treaty Series Nr. 127 und 208:
http://conventions.coe.int/Treaty/Commun/
ListeTraites.asp?CM=8&CL=ENG.
11 http://www.oecd.org/tax/exchange-of-tax-
information/multilateral-competent-authorityagreement.htm.
Mittelberger
gesehenen Vertraulichkeitsvorschriften
und sonstigen Schutzvorkehrungen einschließlich der Bestimmungen zur eingeschränkten Verwendungsfähigkeit
der ausgetauschten Informationen und,
soweit für die Gewährleistung des notwendigen Schutzes personenbezogener
Daten erforderlich, im Einklang mit den
gegebenenfalls von der übermittelnden
zuständigen Behörde nach Maßgabe
ihres innerstaatlichen Rechts und in
Anhang C festgelegten Schutzvorkehrungen.“ In diesem Anhang C wird jedoch bisher nichts definiert. Damit gibt
es auch keine Leitplanken für die Einhaltung des Datenschutzes. Dies sollte
nachgeholt werden.
Der automatische Informationsaustausch
laufen mit Hochdruck (so wurde der Entwurf des nationalen Gesetzes zum AIA
z. B. in Liechtenstein bereits im Landtag
behandelt). Nur so kann der AIA ab Anfang 2016 plangemäß in Betrieb gehen.
Wie erwähnt, steht die WP 29 im Dialog
mit der Europäischen Kommission und erarbeitet derzeit Leitlinien für die nationalen Steuerbehörden. Diese sollten so rasch
wie möglich verabschiedet werden und die
Steuerbehörden beraten. Auf der anderen
Seite ist auch der Dialog mit der Europäischen Kommission noch nicht abgeschlossen. Offen ist insbesondere, ob dem An
liegen der WP 29 im genannten Statement
zur Schaffung eines Privacy Impact Assessment (PIA) auf EU-Ebene nachgekom-
„Zwar geht es beim AIA primär darum,
dass die einzelnen Staaten zu berechtigten Steuereinnahmen
kommen, während es bei der Vorratsdatenspeicherung
um schwere Kriminalität geht. Dieser politische Unterschied
führt jedoch juristisch zur selben Bewertung.“
Das erwähnte Schreiben der WP 29 war
der Start eines Dialoges mit der Kommission, welcher noch nicht abgeschlossen ist.
In einem veröffentlichten Statement
vom Februar 2015 wiederholte die WP 29
ihr Anliegen und wies die nationalen
Gesetzgeber und EU-Institutionen erneut
auf die Wichtigkeit der Beachtung der
genannten Rechtsprechung des EuGH in
Bezug auf die Verhältnismäßigkeit und
Zweckgebundenheit hin. Zudem wird betont, dass eine Nichtbeachtung der Grundsätze des Datenschutzes zu Gerichtsverfahren und Haftungsproblemen führen
könnte.12 Dies sollte vermieden werden.
Auf dieses „große Haftungsrisiko“ weist
auch die AEFI-Expertengruppe hin.13
IV. Wie weiter?
Der AIA steht ganz oben auf der Prioritätenliste der sogenannten „early adopters“.
Dazu gehören mit der Ausnahme Österreichs alle EU-Staaten wie im Übrigen
auch das Fürstentum Liechtenstein. Die
entsprechenden Vorbereitungsarbeiten
12http://ec.europa.eu/justice/data-protection/
article-29/documentation/opinion-
recommendation/files/2015/wp230_en.pdf.
13http://ec.europa.eu/taxation_customs/resources/
documents/taxation/tax_cooperation/mutual_
assistance/financial_account/first_report_
expert_group_automatic_exchange_financial_
information.pdf, S. 25.
men wird. Jedenfalls ist hierzu nichts bekannt. Schließlich hat auch der Beratende
Ausschuss des Europarates in seiner letzten Sitzung beschlossen, das Thema weiterzuverfolgen.14
Es ist zu hoffen, dass die Ergebnisse dieser laufenden Arbeiten nicht zu spät kommen. Die Parallelen zum Urteil des EuGH
sind klar und jedenfalls bei der Umsetzung
des AIA zu beachten. Wie die WP 29 feststellt, geht es auch um Haftungsfragen.
Eine Klage vor dem EuGH – oder nationalen Gerichten – sollte vermieden werden.
Dabei ist die Berücksichtigung der Datenschutzanforderungen zentral. Zwar geht es
beim AIA primär darum, dass die einzelnen Staaten zu berechtigten Steuereinnahmen kommen, während es bei der Vorratsdatenspeicherung um schwere Kriminalität
geht. Dieser politische Unterschied führt
jedoch juristisch zur selben Bewertung.
14Punkt 9 des Sitzungsberichts vom Juli 2015
lautet: “took note of the information provided
by the Liechtenstein delegation on automatic
exchanges of data, relating to recent developments in the European Union and to the
challenges posed particularly following the
Statement of the WP29 of 4 February 2015
and Directive 2014/107/EU of the Council of
9 December 2014 amending Directive 2011/16/
EU and instructed its Secretariat to commission
an expert to study the case-law on the prin
ciple of proportionality and its Bureau to consider the follow-up to be given to the proposals made by Liechtenstein.”

Download Report