Stellungnahme/Eingabe

2017

Stellungnahme der Bundessteuerberaterkammer zum Vorschlag der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Rates über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union

24.11.2017



Sehr geehrter Herr Börnsen,

vielen Dank für die Übersendung des Entwurfs für eine Verordnung des Europäischen Parlaments und des Rates über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union und die Möglichkeit zur Stellungnahme, die wir gern nutzen.

Der Verordnungsentwurf bezweckt, den Aufbau eines „Digitalen Binnenmarkts“ in der EU für den Dienstleistungsverkehr zur Verarbeitung nicht personenbezogener Daten zu unterstützen. Dies soll durch den Abbau von Datenlokalisierungsauflagen in den nationalen Rechtsordnungen der Mitgliedstaaten erreicht werden.

Das Ziel der geplanten Verordnung ist grundsätzlich nachvollziehbar. Unseres Erachtens sollte in der Verordnung klargestellt werden: Nicht aufzuheben sind solche Normen, welche Datenlokalisierungsauflagen enthalten, die sowohl personenbezogene als auch nicht personenbezogene Daten betreffen. Aufgrund der Kürze der Stellungnahmefrist beschränken wir uns auf das Beispiel der Datenlokalisierungsauflagen in § 146 Abs. 2 bis 2b der Abgabenordnung.

Mit freundlichen Grüßen

 

i. V. Claudia Kalina-Kerschbaum                     i. A. Martin Kader

Geschäftsführerin                                                 Referent

 

Anlage

     

Stellungnahme der Bundessteuerberaterkammer zum Vorschlag der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Rates über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union

 

Vorbemerkung

Die vorgesehene Verordnung verfolgt das Ziel, einen stärker vom Wettbewerb geprägten und integrierten Binnenmarkt für Dienste der Datenspeicherung und Datenverarbeitung in der EU aufzubauen („Digitaler Binnenmarkt“).

Um eine Kohärenz mit dem bestehenden Rechtsrahmen der EU für den Datenschutz herzustellen, lässt der Verordnungsentwurf insbesondere die Europäische Datenschutz-Grund­verordnung (DSGVO) (EU) 2016/679, die Polizeirichtlinie (EU) 2016/680 und die e-Daten­schutz-Richtlinie 2002/58/EG unberührt, welche einen hohen Schutz personenbezogener Daten gewährleisten.

Um dies zu erreichen, bezieht sich der zu kommentierende Verordnungsentwurf lediglich auf den freien Verkehr mit „nicht personenbezogenen Daten“ (Art. 2 des Entwurfs, Begründung Ziff. 1 S. 3 f.).

Zur Erreichung des angestrebten Ziels sollen mit der vorgeschlagenen Verordnung bestehende nationale Datenlokalisierungsauflagen in den Vorschriften der Mitgliedstaaten aufgehoben und zukünftige Datenlokalisierungsauflagen vermieden werden, soweit sie den freien Datenverkehr in der EU einschränken und nicht aus Gründen der öffentlichen Sicherheit gerechtfertigt sind (Art. 4 des Entwurfs).

Stellungnahme

Zu überdenken ist die Effizienz und Klarheit der im Verordnungsentwurf formulierten Regelungen: Datenlokalisierungsauflagen in nationalen Normen enthalten nicht immer eine klare Trennung von personenbezogenen und nicht personenbezogenen Daten. Der Verordnungsentwurf enthält keine Antwort auf die Rechtsfrage, wie nationale Gesetzgeber mit Bestim­mungen zu verfahren haben, die sowohl personenbezogene als auch nicht personenbezogene Daten betreffen können (Beispiel: § 146 Abs. 2 bis Abs. 2a AO).

Daher bedarf es der Klarstellung, ob nach Erlass der geplanten Verordnung auch solche gesetzliche Regelungen aufgehoben werden müssen, die den Binnenmarkt sowohl hinsichtlich der personenbezogenen als auch hinsichtlich der nicht personenbezogenen Datenspeicherung und -verarbeitung beschränken. Nach unserer Auslegung des Entwurfstextes ist der Anwendungsbereich der Verordnung schon dann ausgeschlossen, wenn die Datenlokalisierungsauflage in nur geringfügigem Ausmaß auch personenbezogene Daten betrifft.

Begründung

Der Begriff der „personenbezogenen Daten“ wird nach Art. 4 Nr. 1 DSGVO sehr weit gefasst: „ Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Immer dann, wenn eine Information einer natürlichen Person unmittelbar oder mittelbar unter Hinzuziehung weiterer Informationen zugeordnet werden kann, ist diese Information ein „personenbezogenes Datum“.

Gemäß Erwägungsgrund 26 der DSGVO ist es für die Qualifikation eines Datenbestandes als „ personenbezogene Daten“ nicht notwendig, dass der Verantwortliche selbst die Identifizierung durchführen kann. Vielmehr genügt es, dass irgendein Dritter nach allgemeinem Ermessen die Identifizierung wahrscheinlich durchführen kann (Ehmann/Selmayr-Klabunde, DatenschutzGrundverordnung, 2017, Art. 4 DSGVO Rdnr. 13).

Diese weite Definition der „personenbezogenen Daten“ bereitet Schwierigkeiten bei der Feststellung, ob eine nationale Vorschrift eine Regelung ausschließlich über nicht personenbezogene Daten trifft und somit vom Anwendungsbereich der geplanten Verordnung erfasst wird. Zudem ist eine Trennung und Herauslösung von nicht personenbezogenen Daten in vielen Fällen faktisch unmöglich, in denen Cloud-Dienstleister sowohl personenbezogene als auch nicht personenbezogene Daten in einem Datenpool speichern und verarbeiten.

Um dies zu erläutern, kann ein praktisches Beispiel herangezogen werden: In Deutschland enthalten die Vorschriften in § 146 Abs. 2 bis Abs. 2b AO Einschränkungen hinsichtlich der Verarbeitung von Buchführungsunterlagen und sonstigen erforderlichen Aufzeichnungen außerhalb der Bundesrepublik Deutschland.

§ 146 Abs. 2 AO lautet:

„(2) Bücher und sonst erforderliche Aufzeichnungen sind im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren. Dies gilt nicht, soweit …“

Es folgen in den Absätzen 2 und 2a zwei Ausnahmen, welche den Grundsatz der Verhältnismäßigkeit wahren: Im Rahmen der Ausnahme gem. § 146 Abs. 2 Sätze 2 und 3 AO wird die Buchführung außerhalb Deutschlands von dort gelegenen Betriebsstätten eines deutschen Unternehmens ermöglicht, sofern nach dortigem Recht Buchführungs- und Aufzeichnungspflichten bestehen und erfüllt werden. Diese für Betriebsstätten formulierte Ausnahme gilt jedoch nicht für Dienstleistungsunternehmen, welche die digitalisierte Buchführung in der Cloud auf Servern außerhalb Deutschlands betreiben. Gemäß § 146 Abs. 2a AO kann die digitalisierte Buchführung außerhalb Deutschlands auf Antrag des Steuerpflichtigen von der zuständigen Finanzbehörde bewilligt werden, wenn damit insbesondere der Datenzugriff in vollem Umfang gewährleistet ist und die Besteuerung nicht beeinträchtigt wird. Paragraf 146 bs. 2b AO sanktioniert u. a. die nicht bewilligte Datenverarbeitung im Ausland.

Zwar liegt in dem Bewilligungserfordernis keine Verhinderung, aber doch ein Hemmnis des Binnenmarktes für den freien Verkehr mit digitalen Buchführungsdienstleistungen. Ein sachlicher Rechtfertigungsgrund liegt in dem fiskalischen Interesse an einer reibungslosen Besteuerung des Steuerpflichtigen. Dabei soll die Prüfbarkeit der Buchführungsdaten gewährleistet sein, die auf Servern in anderen Mitgliedstaaten gespeichert sind. Jedoch wird in Art. 4 Abs. 1 des Verordnungsentwurfs ein Rechtfertigungsgrund nur „aus Gründen der öffentlichen Sicherheit“ anerkannt. Daher würde das fiskalische Interesse eines Mitgliedstaates die zunächst verhältnismäßig anmutende Einschränkung in § 146 Abs. 2a AO gerade nicht rechtfertigen.

Somit müssten die Datenlokalisierungsauflagen in § 146 Abs. 2 bis 2b AO gem. Art. 4 des Verordnungsentwurfs aufgehoben werden, wenn gem. Art. 2 des Verordnungsentwurfs der Anwendungsbereich der Verordnung eröffnet würde. Danach ist der Anwendungsbereich der Verordnung auf Normen hinsichtlich solcher Daten beschränkt, die keine personenbezogenen Daten sind.

In den Buchführungsunterlagen und Aufzeichnungen, für die nach § 146 Abs. 2 AO grundsätzlich eine Datenverarbeitung in Deutschland vorgeschrieben ist, befinden sich einerseits Belege und Aufzeichnungen, die personenbezogene Daten enthalten (z. B. Rechnungen, bei denen natürliche Personen als Rechnungsempfänger oder Rechnungsaussteller ausgewiesen sind). Für diese dürfte die Verordnung nicht gelten.

Andererseits gibt es aber auch eine Reihe von Belegen und Aufzeichnungen, in denen kein Bezug zu einer natürlichen Person hergestellt werden kann (z. B. Rechnungen nur mit juristischen Personen als Aussteller/Empfänger, Kassenaufzeichnungen etc.). Für diese nicht personenbezogenen Daten wäre der Anwendungsbereich der Verordnung eröffnet.

Somit stellt § 146 in Abs. 2 bis 2b AO sowohl für personenbezogene als auch für nicht-personenbezogene Datenlokalisierungsanforderungen auf. Es ist unklar, ob die Norm vom Anwendungsbereich der beabsichtigten Verordnung erfasst wird und abgeschafft werden müsste.

Der deutsche Gesetzgeber hat keine Möglichkeit, eine wirkungsvolle Regelung zu schaffen, wonach die Einschränkung nur im Hinblick auf die Verarbeitung nicht personenbezogener Daten in der Buchführung aufgehoben würde: Bliebe das grundsätzliche Verbot zur Datenverarbeitung im Ausland gem. § 146 Abs. 2 AO nur für personenbezogene Daten in Kraft, wäre es praxisfern, nur den Teil der Buchhaltung, der nicht personenbezogene Daten enthielte, außerhalb Deutschlands zu speichern und zu verarbeiten. Bevor es zu einer solchen getrennten Datenspeicherung in zwei Ländern käme, würde jeder Dienstleister einen einheitlichen Server in Deutschland für die gesamte Speicherung einsetzen. De facto würde also weiterhin der freie Verkehr von personenbezogenen wie nicht personenbezogenen Buchhaltungsdaten zwischen Deutschland und anderen Mitgliedstaaten in gleicher Weise eingeschränkt bleiben.

 

Kontextinformationen der Seite

Kontakt

Abt. Steuerrecht und Rechnungslegung

Unser Zeichen: Kd/Gr

Tel.:+49 30 240087-6

Fax.:+49 30 240087-99