Missbräuchliche Datenabfrage auch in Bremen?

Antwort auf Anfrage der Fraktion der SPD

Auslöser für die Anfrage: In zahlreichen Fällen schnüffelten Finanzbeamte in Steuerdaten von Nachbarn und Verwandten.

• Finanzbeamte schnüffeln in Steuerdaten ihrer Nachbarn
• Schulung gegen Datenmissbrauch in Finanzämtern

Unsere Anfrage hat der Senat diese Woche beantwortet: Drs 18/1361 [PDF].

BREMISCHE BÜRGERSCHAFT Drucksache 18/1361 Landtag 18. Wahlperiode 22.04.2014

Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet:

In verschiedenen Bundesländern wie beispielsweise Brandenburg wurden Fälle bekannt, in denen Finanzbeamte ohne Zuständigkeit auf Steuerdaten von Bürgerinnen und Bürgern zugegriffen haben. Aus reiner Neugier wurden die Einkommensverhältnisse von Nachbarn, Bekannten oder Verwandten eingesehen oder der Bearbeitungsstand der eigenen Steuererklärung abgefragt.

Der Schutz von personenbezogenen Daten muss innerhalb der Verwaltung gewährleistet sein. Dies gilt nicht nur im Bereich Steuern, sondern auch wenn es um polizeiliche oder für die Verfolgung von Straftaten relevante Daten geht. Der Personenkreis mit Zugriffsberechtigung auf solche personenbezogenen Daten muss sich auf jene beschränken, die die Daten unbedingt zur Erfüllung ihrer Aufgaben benötigen. Das Bundesdatengesetz schreibt entsprechend Zugriffsregeln vor.

Wir fragen den Senat:

1. Sind im Land Bremen Fälle der Verletzung des Steuergeheimnisses durch Finanzbeamte bekannt?
2. Wie wird sichergestellt, dass nur berechtigte Personen Zugriff auf Steuerdaten haben?
3. Wie bewertet der Senat eine umfassende Überprüfung der Finanzämter im Land nach dem Vorbild Brandenburgs?
4. Wie groß ist der Personenkreis, der jeweils Zugriff auf polizeiliche Daten von Bürgerinnen und Bürgern hat? Wie wird der Zugriff auf personenbezogene Daten protokolliert?
5. Wie groß ist der Personenkreis, der jeweils Zugriff auf für die Verfolgung von Straftaten relevanten Daten bei der Staatsanwaltschaft hat? Werden Zugriffe auf personenbezogene Daten protokolliert?

Der Senat beantwortet die Kleine Anfrage wie folgt:

1. Sind im Land Bremen Fälle der Verletzung des Steuergeheimnisses durch Finanzbeamte bekannt?

Im Land Bremen sind keine Fälle der Verletzung des Steuergeheimnisses durch Finanzbeamte bekannt.

2. Wie wird sichergestellt, dass nur berechtigte Personen Zugriff auf Steuerdaten haben?

Nach den Vorschriften der Steuerdatenabrufverordnung (StDAV) vom 13.10.2005 in Verbindung mit § 30 Abs. 6 der Abgabenordnung (AO) sind automatisierte Abrufe von Daten, die dem Steuergeheimnis unterliegen, zu protokollieren, sofern die Abrufbefugnis nicht durch technische Maßnahmen ausschließlich auf die Daten oder Arten von Daten beschränkt worden ist, die zur Erledigung der jeweiligen Aufgabe erforderlich sind (§ 6 Abs. 2 i.V.m Abs. 1 StDAV).

Anhand der Aufzeichnungen ist dann zeitnah und in angemessenem Umfang zu prüfen, ob der Abruf nach § 30 Abs. 6 S. 1 AO zulässig war (§ 7 StDAV). Zulässig ist ein Datenabruf nur, wenn er dienstlich veranlasst war.

Alle Datenzugriffe werden in Bremen mit Hilfe von bundesweit zur Verfügung stehenden Programmen des KONSENS-Verbundes (= Koordinierte neue Softwareentwicklung der Steuerverwaltung) protokolliert und ausgewertet.

Welche Datenabrufe aufgezeichnet werden, wird im integrierten Dialogverfahren der Steuerverwaltung über die zentrale Berechtigungsdatenbank ACUSTIG (= Automatisierte Computerunterstützung in den Geschäftsstellen) gesteuert, in der über die Geschäftsverteilungspläne der Finanzämter alle Zuständigkeiten tagesaktuell hinterlegt sind.

Über diese maschinell hinterlegten, durch die Geschäftsstellen der Finanzämter gepflegten Zuständigkeiten hinaus gehende Zugriffe werden mit der jeweiligen Benutzerkennung protokolliert.

Im Wege eines Zufallsgenerators wird in einem kleinen Teil dieser protokollierten Fälle der/die Abfragende aufgefordert, in ein elektronisches Begründungsfeld eine Begründung für den Zugriff einzugeben, welche dem Protokollfall hinzugefügt und gespeichert wird.

Auf diese Weise werden alle Finanzbeamten, die Zugriffe auf Daten außerhalb ihrer originären Zuständigkeit tätigen, in unregelmäßigen Abständen an die Protokollierung und die geltenden Regeln der StDAV erinnert.

Zusätzlich werden jede Woche pro Amt 10 ausgewählte Protokollfälle durch einen StDAV-Prüfer (Datenschutzbeauftragter des Finanzamts) im Wege eines persönlichen Gesprächs (Interview) hinsichtlich der dienstlichen Veranlassung überprüft.

Das Ergebnis der Prüfung wird im Auswertungsprogramm dokumentiert.

Bei ernsthaften begründeten Zweifeln an der dienstlichen Veranlassung von Datenabrufen eines Bediensteten kann die Amtsleitung unter schriftlicher Dokumentation der Gründe veranlassen, dass für einen zurückliegenden Zeitraum (z.B. Datenabrufe eines bestimmten Tages), oder für einen künftigen Zeitraum von 14 Tagen sämtliche Datenabrufe des Bediensteten aufgezeichnet werden; bei Bedarf kann der Zeitraum verlängert werden.

Die Amtsleitung entscheidet über die Notwendigkeit weiterer Ermittlungen bzw. über die Einleitung dienstrechtlicher Maßnahmen und ggfls. über die Hinzuziehung der Innenrevision.

Die Protokollierung und Auswertung nach StDAV erfolgt ausschließlich zur Prüfung der Zulässigkeit der Abrufe (§ 6 Abs. 3 StDAV); eine Auswertung von Protokolldaten zu anderen Zwecken ist nicht zulässig.

Gem. § 6 Abs. 4 StDAV werden die Daten programmgesteuert nach zwei Jahren gelöscht.

3. Wie bewertet der Senat eine umfassende Überprüfung der Finanzämter im Land nach dem Vorbild Brandenburgs?

Die unter 2 beschriebene Vorgehensweise entspricht im Wesentlichen den in Brandenburg geltenden Regeln für eine Überprüfung der Finanzämter.

4. Wie groß ist der Personenkreis, der jeweils Zugriff auf polizeiliche Daten von Bürgerinnen und Bürgern hat? Wie wird der Zugriff auf personenbezogene Daten protokolliert?

Der Zugriff auf die polizeilichen Informationssysteme ist zur Erfüllung polizeilicher Aufgaben unerlässlich. Polizeivollzugsbeamtinnen und -beamte der Polizei Bremen und der Ortspolizeibehörde Bremerhaven können auf dort gespeicherte Daten zugreifen, wenn dies zur Wahrnehmung ihrer Aufgaben erforderlich ist.

Genauso können für Mitarbeiterinnen und Mitarbeiter außerhalb des Polizeivollzugsdienstes Zugriffsrechte einzelfallbezogen realisiert werden.

Hinter allen Systemen steht ein entsprechendes Berechtigungskonzept. Es werden im Rahmen von Einzel- und Gruppenberechtigungen nur die Zugriffsrechte eingeräumt, die für die jeweilige Tätigkeit benötigt werden.

Alle Zugriffe auf polizeiliche Informationssysteme werden lückenlos protokolliert.

Es ist für einen Zeitraum von zwei Jahren nachvollziehbar, wer zu welchem Zeitpunkt auf welche personenbezogenen Daten zugegriffen hat. Die Protokollierungsdaten können zum Zwecke der Datenschutzkontrolle oder zur Verfolgung von Ordnungswidrigkeiten oder Straftaten ausgewertet werden.

Die Angabe des konkreten zugriffsberechtigten Personenkreises zu einzelnen Systemen bzw. Systemteilen ist nur mit einem unverhältnismäßig hohen Aufwand zu leisten.

5. Wie groß ist der Personenkreis, der jeweils Zugriff auf für die Verfolgung von Straftaten relevanten Daten bei der Staatsanwaltschaft hat? Werden Zugriffe auf personenbezogene Daten protokolliert?

Um einen zügigen Informationsfluss zu gewährleisten, haben grundsätzlich alle mit der Bearbeitung von Ermittlungs-, Straf- und Vollstreckungsverfahren befassten Mitarbeiterinnen und Mitarbeiter der Staatsanwaltschaft Bremen einen lesenden Zugriff auf die in der Fachanwendung web.sta eingetragenen Verfahren.

Damit können sich die Bediensteten der Staatsanwaltschaft unverzüglich einen Überblick über den Sachstand auch in jenen nicht unmittelbar in die eigene Zuständigkeit fallenden Verfahren verschaffen, die für die konkret anfallende Tätigkeit in dem eigenen zu bearbeitenden Verfahren relevant sind.

Inhaltliche Einzelheiten der nicht in das eigene Dezernat fallenden Verfahren sind mit Hilfe des elektronischen Lesezugriffs nicht ersichtlich.

Durch den Lesezugriff werden unnötige behördeninterne schriftliche Sachstandsanfragen sowie Aktenübersendungen vermieden, die nicht nur zu zusätzlicher personalintensiver Arbeit in der Staatsanwaltschaft, sondern auch zu zeitlichen Verzögerungen in den zu bearbeitenden Verfahren führen würden.

Die lesenden Zugriffe in der genannten Fachanwendungssoftware werden nicht protokolliert; das von neun Bundesländern im Verbund betriebene staatsanwaltschaftliche Fachverfahren ist technisch dafür nicht ausgelegt.

Selbstverständlich wäre es eine Dienstpflichtverletzung, welche entsprechend geahndet würde, wenn eine Mitarbeiterin oder ein Mitarbeiter dienstlich erlangte Informationen sachfremd verwenden würde.