Datensicherheit beim automatischen Informationsaustausch über Finanzkonten
der Abgeordneten Markus Herbrand, Christian Dürr, Grigorios Aggelidis, Renata Alt, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Mario Brandenburg (Südpfalz), Dr. Marco Buschmann, Britta Katharina Dassler, Hartmut Ebbing, Daniel Föst, Otto Fricke, Reginald Hanke, Peter Heidt, Torsten Herbst, Katja Hessel, Manuel Höferlin, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Dr. Christian Jung, Dr. Marcel Klinge, Pascal Kober, Konstantin Kuhle, Ulrich Lechte, Michael Georg Link, Till Mansmann, Dr. Jürgen Martens, Alexander Müller, Roman Müller-Böhm, Dr. Martin Neumann, Matthias Nölke, Hagen Reinhold, Christian Sauter, Frank Schäffler, Dr. Wieland Schinnenburg, Matthias Seestern-Pauly, Judith Skudelny, Dr. Hermann Otto Solms, Michael Theurer, Stephan Thomae, Dr. Florian Toncar, Gerald Ullrich, Sandra Weeser und der Fraktion der FDP
Vorbemerkung
Mit der Zielsetzung, die steuerrechtliche Transparenz zwischen Staaten zu erhöhen und grenzüberschreitenden Steuerbetrug und Steuerhinterziehung wirksamer zu bekämpfen, hat der Deutsche Bundestag bereits im Jahr 2015 beschlossen, dass die Bundesrepublik Deutschland am automatischen Austausch von Informationen über Finanzkonten in Steuersachen (AIA) teilnimmt (https://www.bundestag.de/dokumente/textarchiv/2015/kw46-de-finanzkonten-395186). Diesem System, bei dem die teilnehmenden Ländern auf Basis von der OECD erarbeiteten Standards untereinander steuerrelevante Informationen austauschen, haben sich nach Angaben des Bundesministeriums der Finanzen zurzeit mehr als 100 Staaten angeschlossen (vgl. https://www.bzst.de/SharedDocs/Downloads/DE/CRS/crs_teilnehmende_staaten_aktuelle_Liste.pdf;jsessionid=30A4B30886BEB453F659DBD08CFDBF04.live6811?__blob=publicationFile&v=9).
Die Datenmenge sowie das Finanzvolumen, die Deutschland im Rahmen des AIA von den Steuerverwaltungen der AIA-Partnerländer erhält, ist enorm. Für die bisher erfassten Jahre 2016, 2017 und 2018 wurden knapp 1,2 Bill. Euro Vermögen an den deutschen Fiskus gemeldet sowie 390 Mrd. Euro Erträge (vgl. Nachreichung der Antwort zu Frage 1 der Kleinen Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/19557). An die hochsensiblen Finanzdaten, die u. a. Angaben über Name, Anschrift, Geburtsdatum, Steueridentifikations- und Kontonummern der betroffenen natürlichen und juristischen Personen geben, müssen nach Ansicht der Fragestellenden höchste datenschutzrechtliche Maßstäbe angelegt werden. Denn diese Daten beinhalten wesentliche Informationen über strategische Vorhaben von Unternehmen sowie personenbezogene Daten über die Finanzsituation von Steuerpflichtigen. Damit stellt der Datenschutz die Wahrung wesentlicher Grundrechte wahr, weshalb es nicht nur gilt, die Gefahr zu minimieren, dass bei der Datenübertragung etwa durch Cyberangriffe Informationen abgefischt werden, sondern auch zu gewährleisten, dass die Steuerdaten in Zielland und Ursprungsland sicher und datenschutzrechtlich einwandfrei verwaltet werden.
Vor diesem Hintergrund ist aus Sicht der Fragestellenden zu berücksichtigen, dass am AIA auch zahlreiche Länder teilnehmen, die rechtsstaatliche Defizite aufweisen und zu den besonders korruptionsanfälligen Ländern der Welt zählen (vgl. https://www.transparency.de/cpi/cpi-2018/cpi-ranking-2018/). So besteht die Befürchtung, dass in AIA-Partnerländern zu denen u. a. Länder wie Aserbaidschan, China, Kasachstan, Kolumbien, Nigeria oder Russland gehören, die sensiblen AIA-Daten von Mitarbeitern der Finanzverwaltungen entgegen der geltenden Datenschutzbestimmungen herausgegeben werden könnten. Des Weiteren sind Finanzverwaltungen stetig Cyberangriffen ausgesetzt. So konnten unbekannte Hacker im Sommer 2019 im AIA-Partnerland Bulgarien beim Finanzamt gespeicherte Daten von Millionen Menschen sowie Firmen erbeuten (vgl. https://www.eurotopics.net/de/223616/gigantischer-hackerangriff-in-bulgarien). Im Frühjahr 2020 wurde auch die niedersächsische Finanzverwaltung Ziel eines Cyberangriffs, welche Daten hiervon betroffen waren, ist der Bundesregierung unbekannt; laut Antwort gegenüber den Fragestellenden hat sie sich diesbezüglich nicht an die zuständigen Stellen in Niedersachsen gewandt oder Unterstützung angeboten (vgl. Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/17872).
Der AIA, dem eine zentrale Rolle bei der Bekämpfung von grenzüberschreitender Steuerhinterziehung zukommt, darf vor dem Hintergrund der Relevanz, die die Daten im Hinblick auf die Bekämpfung von grenzüberschreitender Steuerhinterziehung besitzen, nach Ansicht der FDP-Fraktion im Deutschen Bundestag in keinem Fall unter einer mangelhaften Einhaltung des Datenschutzes leiden oder gar Opfer von Industriespionage werden. Die Fragestellenden sind besorgt, dass es Lücken bei der sicheren Handhabung der Daten geben könnte, und möchten sich deshalb bei der Bundesregierung näher nach den Bestimmungen und der tatsächlichen Einhaltung zur Datensicherheit des AIA erkundigen.
Wir fragen die Bundesregierung:
Fragen21
Welche personenbezogenen Daten werden nach Kenntnis der Bundesregierung im Rahmen des automatischen Austauschs von Informationen über Finanzkonten in Steuersachen (AIA) ausgetauscht?
Welche unternehmensbezogenen Daten werden nach Kenntnis der Bundesregierung im Rahmen des AIA ausgetauscht?
Was ist nach Kenntnis der Bundesregierung das Common Transmission System (CTS), das im Zuge des Austauschs der AIA-Daten angewendet wird? Wie ist es ausgestaltet, und wo wird es eingesetzt?
Welche jeweiligen Anforderungen zu Vertraulichkeit sowie zur Datensicherheit und zum Datenschutz werden, untergliedert nach personen- und unternehmensbezogenen Daten, nach Kenntnis der Bundesregierung an das CTS, über das der AIA-Datenaustausch stattfindet, angesetzt (bitte einzeln aufschlüsseln)?
Welche jeweiligen Anforderungen zu Vertraulichkeit sowie zur Datensicherheit und zum Datenschutz werden zusätzlich zu den Bestimmungen des CTS – etwa aufgrund weiterer internationaler Vereinbarungen – an das CTS angelegt (bitte nach den jeweiligen Anforderungen und den dazugehörigen Vereinbarungen aufschlüsseln)?
Welche Unternehmen waren und sind nach Kenntnis der Bundesregierung an der Konzeption, Verwaltung und technischen Aufrechterhaltung des CTS beteiligt?
a) Welche Unternehmen waren an der Entwicklung des CTS beteiligt, und wo ist deren jeweiliger Unternehmenssitz?
b) Welche Unternehmen sind mit welchen Aufgaben zur Aufrechterhaltung und Fortentwicklung des CTS betraut, und wo ist deren jeweiliger Unternehmenssitz?
c) Von welchen Unternehmen werden die Server, über die die AIA-Daten übermittelt werden, betrieben, in welchen Ländern befinden sich diese Server, und wo ist deren jeweiliger Unternehmenssitz?
Ist es nach Kenntnis der Bundesregierung auf Basis der geltenden Rechtslage der USA – etwa im Hinblick auf den USA Freedom Act (früher USA Patriot Act) – möglich, dass US-amerikanische Behörden auf Daten zugreifen, die von amerikanischen Firmen und deren europäischen Tochterfirmen verarbeitet, übermittelt und verwaltet werden?
a) Kann die Bundesregierung bestätigen, dass, insofern US-amerikanische Firmen oder deren Tochterunternehmen bei der Verarbeitung, Übermittlung oder Verwaltung von AIA-Daten beteiligt sind oder den Server betreiben, die US-amerikanischen Behörden aufgrund der geltenden Rechtslage in den USA potenziell auf die AIA-Daten oder Teile dieser zugreifen könnten?
b) Über welche Mittel und Wege würde die Bundesregierung und über welche Mittel und Wege würde die OECD davon erfahren, dass die US-Behörden auf die AIA-Daten zugreifen bzw. zugegriffen haben? Müsste die OECD oder die Bundesregierung auf Basis der Vereinbarungen mit den USA informiert werden?
c) Gab es nach Kenntnis der Bundesregierung Hinweise oder Belege dafür, dass die USA oder ein anderes Land, auf die Daten des AIA (Deutsche oder anderer AIA-Länder) zugegriffen haben oder dies zurzeit tun? Falls ja, um welche Belege handelt es sich hierbei?
Inwiefern werden nach Kenntnis der Bundesregierung die sensiblen Steuer- und Finanzdaten, die unter den Mitgliedstaaten des AIA ausgetauscht werden, verschlüsselt?
a) Welchen jeweiligen Standards müssen die Verschlüsselungsmechanismen genügen, und in welchem Turnus wird die Verschlüsselung erneuert?
b) Von welcher Stelle werden in Deutschland die Steuerdaten vor ihrer Übermittlung verschlüsselt?
c) Von welcher Stelle werden in Deutschland die Steuerdaten bei ihrem Eintreffen entschlüsselt?
d) In welchen Ländern kommen zusätzlich zu den von der OECD vereinbarten Verschlüsselungsmodalitäten noch weitere zusätzliche Verschlüsselungsmechanismen zum Einsatz, und welche Kenntnisse hat die Bundesregierung hierüber (ist dies z. B. in der Schweiz der Fall)?
e) Wie steht die Bundesregierung weiteren Verschlüsselungsmodalitäten, die zusätzlich zu den Bestimmungen der OECD eingesetzt werden, zukünftig für Deutschland gegenüber?
Woher weiß die Bundesregierung, dass beim Cyberangriff auf die bulgarische Finanzverwaltung im Sommer 2019 keine von Deutschland übermittelte AIA-Daten abgefischt wurden, wie auf Anfrage der FDP von Seiten der Bundesregierung mitgeteilt wurde (vgl. Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/17872)? An welchem Datum hat sich die Bundesregierung gezielt bei den bulgarischen Behörden danach erkundigt, ob von Deutschland übermittelte Daten vom Datendiebstahl betroffen waren? An welchem Datum hat sich die Bundesregierung gezielt bei der OECD danach erkundigt, ob von Deutschland übermittelte Daten vom Datendiebstahl betroffen waren?
Inwiefern wird nach Kenntnis der Bundesregierung der Schutz des Steuergeheimnisses im Rahmen des AIA sichergestellt?
Inwiefern wird nach Kenntnis der Bundesregierung beim AIA sichergestellt, dass das Steuergeheimnis im Empfängerland im gleichen Umfang gewahrt wird wie in Deutschland?
Welche Erfahrungen hat die Bundesregierung hinsichtlich der Wahrung von datenschutzrechtlichen Grundsätzen durch die chinesische Regierung, unabhängig von den Erfahrungen, die den AIA betreffen, gemacht?
Welche Erfahrungen hat die Bundesregierung hinsichtlich der Wahrung von datenschutzrechtlichen Grundsätzen durch die russische Regierung, unabhängig von den Erfahrungen, die den AIA betreffen, gemacht?
Welche Erfahrungen hat die Bundesregierung hinsichtlich der Wahrung von datenschutzrechtlichen Grundsätzen durch die Regierung von Saudi-Arabien, unabhängig von den Erfahrungen, die den AIA betreffen, gemacht?
Welche Erfahrungen hat die Bundesregierung hinsichtlich der Wahrung von datenschutzrechtlichen Grundsätzen durch die Regierung von Aserbaidschan, unabhängig von den Erfahrungen, die den AIA betreffen, gemacht?
Inwieweit haben die Betroffenen das Recht und die Möglichkeit, Informationen über sie betreffende AIA-Daten zu erhalten bzw. einzusehen? An welche Stelle können die Betroffenen in Deutschland diesbezüglich herantreten? Von wie vielen Betroffenen wurde seit der Teilnahme Deutschlands am AIA jeweils jährlich an diese Stelle mit der Bitte um Einsichtnahme bzw. Herausgabe der sie betreffenden AIA-Daten herangetreten?
Wie viele Anträge nach § 114 FGO wurden seit der Teilnahme Deutschlands am AIA jeweils jährlich gestellt (bitte tabellarisch darstellen) und welche Erfahrungen hat die Bundesregierung hinsichtlich des Einsatzes von § 114 der Finanzgerichtsordnung (FGO) im Hinblick auf den Datenschutz beim AIA gemacht?
Schließt nach Kenntnis der Bundesregierung Artikel 14 der Datenschutz-Grundverordnung auch die Daten des AIA ein, und falls nein, aus welchen Gründen fallen die AIA-Daten nicht unter dieses Regelwerk, und wie steht die Bundesregierung diesem Sachverhalt gegenüber?
Plant die Bundesregierung im Sinne eines effektiven Rechtsschutzes im Sinne von Artikel 19 Absatz 4 des Grundgesetzes weitere Rechtsschutzmöglichkeiten für die betroffenen Steuerpflichtigen im Fall der Übermittlung falscher Informationen an das Ausland im Rahmen des AIA?
Weshalb wird zurzeit von der OECD ein Assessment beim AIA durchgeführt, um unter anderem Vertraulichkeitsstandards beim AIA zu untersuchen?
a) Wie lautet der Arbeitstitel dieses Assessments, wann hat es begonnen, und wann soll es nach aktuellem Planungsstand abgeschlossen werden?
b) Inwiefern wirkt Deutschland bei diesem Assessment mit, und welche Vorschläge wurden von Deutschland im Rahmen des Assessments eingebracht?
Inwiefern setzt sich die Bundesregierung für stärkere Kontrollmechanismen hinsichtlich der Einhaltung der Anforderungen zu Vertraulichkeit sowie zur Datensicherheit und zum Datenschutz beim AIA ein? Welche konkreten Maßnahmen strebt sie an?