Datensicherheit bei der Betriebsprüfung: Warum Betriebsprüfer ihre Laptops verschlüsseln müssen.

05.06.2024

Einleitung

Mit der Digitalisierung der Verwaltungsprozesse werden immer mehr Daten mobil verarbeitet und gespeichert. Dies betrifft auch die Tätigkeit von Betriebsprüfern, die während der Prüfung Daten von Steuerpflichtigen auf ihren Dienstlaptops speichern. Gemäß § 147 Abs. 7 Abgabenordnung (AO) ist dies zulässig, wenn der Laptop nach dem Stand der Technik gesichert ist. Dieser Artikel erläutert die rechtlichen Anforderungen und die praktischen Implikationen dieser Regelung.

 

Gesetzliche Grundlage

§ 147 Abs. 7 AO erlaubt es der Finanzbehörde, die im Rahmen einer Außenprüfung gemäß § 147 Abs. 6 AO zur Verfügung gestellten Daten auch auf mobilen Datenverarbeitungssystemen, wie Laptops, zu verarbeiten und zu speichern. Dies ist unabhängig vom Einsatzort der Laptops gestattet, vorausgesetzt, sie sind unter Berücksichtigung des Stands der Technik gegen unbefugten Zugriff gesichert. Die Daten dürfen bis zur Unanfechtbarkeit der Verwaltungsakte aufbewahrt werden.

Definition "Stand der Technik"

Der Begriff "Stand der Technik" wird in verschiedenen Gesetzen verwendet, darunter auch in der EU-Datenschutz-Grundverordnung (DSGVO) und dem IT-Sicherheitsgesetz (IT-SiG). Er bezieht sich auf die besten am Markt verfügbaren Schutzmaßnahmen, die kontinuierlich weiterentwickelt werden. Für Laptops bedeutet dies unter anderem:

1. Sichere Passwörter: Benutzer müssen starke Passwörter verwenden, die regelmäßig geändert werden.
2. Verschlüsselung: Die Festplatten der Laptops müssen verschlüsselt sein, um unbefugten Zugriff zu verhindern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat detaillierte Anforderungen an die Verschlüsselung von Laptops definiert.

Anforderungen des BSI

Das BSI hat in seinem IT-Grundschutz-Kompendium (SYS.3.1 Laptops) spezifische Anforderungen für die sichere Nutzung von Laptops beschrieben:

• Regelungen zur mobilen Nutzung: Es müssen klare Regelungen existieren, welche Laptops mobil genutzt werden dürfen und welche Sicherheitsmaßnahmen dabei zu beachten sind.
• Einsatz von Personal Firewalls: Laptops müssen mit einer Personal Firewall ausgestattet sein, die restriktive Filterregeln verwendet.
• Sicherer Fernzugriff: Der Zugriff auf das interne Netz der Institution darf nur über sichere Kommunikationskanäle, wie VPN, erfolgen.
• Verschlüsselung: Die Festplatten von Laptops sollten verschlüsselt sein, um die Vertraulichkeit der Daten zu gewährleisten.

Diese Anforderungen dienen dazu, die Sicherheit der Daten zu gewährleisten und unbefugten Zugriff zu verhindern.

Praktische Implikationen und Risiken

Die Einhaltung dieser Sicherheitsanforderungen ist nicht nur eine gesetzliche Verpflichtung, sondern auch eine notwendige Maßnahme zum Schutz der Daten. Verstöße gegen diese Vorgaben können schwerwiegende Konsequenzen haben:

1. Rechtswidrige Datennutzung: Wenn ein Betriebsprüfer die Sicherheitsanforderungen nicht erfüllt, könnten die erhobenen Daten als rechtswidrig erlangt angesehen werden. Dies könnte die Verwertbarkeit der Daten im Besteuerungsverfahren infrage stellen. Bei unzureichender Sicherung besteht das Risiko, dass die Daten manipuliert werden.
2. Datenschutzverstöße: Eine unzureichende Sicherung der Daten könnte ferner einen Verstoß gegen die DSGVO darstellen. Betroffene Steuerpflichtige könnten Schadensersatzansprüche nach Art. 82 DSGVO geltend machen, wenn ihnen durch den Datenverlust oder -missbrauch ein Schaden entsteht.

Fazit

Die Speicherung und Verarbeitung von Steuerdaten auf Dienstlaptops durch Betriebsprüfer ist gemäß § 147 Abs. 7 AO zulässig, sofern die Geräte nach dem Stand der Technik gesichert sind. Dies beinhaltet insbesondere die Verwendung sicherer Passwörter und die Verschlüsselung der Festplatten. Die Einhaltung dieser Sicherheitsanforderungen ist essenziell, um die Vertraulichkeit und Integrität der Daten zu schützen und rechtliche Konsequenzen zu vermeiden. Finanzbehörden und ihre Mitarbeiter müssen sicherstellen, dass ihre mobilen Geräte stets den aktuellen Sicherheitsstandards entsprechen, um den rechtlichen Anforderungen gerecht zu werden und die Daten der Steuerpflichtigen zu schützen.

 

Gerne beraten wir Sie zu diesem Rechtskreis.

Von Rechtsanwalt Martin Figatowski, LL.M. (Tax)