Bundesgesetzblatt  Bundesgesetzblatt Teil I  2005  Nr. 66 vom 26.10.2005  - Seite 3021 bis 3023 - Verordnung über den automatisierten Abruf von Steuerdaten (Steuerdaten-Abrufverordnung - StDAV)

610-1-16
Bundesgesetzblatt Jahrgang 2005 Teil I Nr. 66, ausgegeben zu Bonn am 26. Oktober 2005 3021 Verordnung über den automatisierten Abruf von Steuerdaten (Steuerdaten-Abrufverordnung ­ StDAV) Vom 13. Oktober 2005 Auf Grund des § 30 Abs. 6 Satz 2 und 3 der Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866, 2003 I S. 61) verordnet das Bundesministerium der Finanzen: §1 Anwendungsbereich Diese Verordnung regelt den automatisierten Abruf von Daten (Abrufverfahren), die dem Steuergeheimnis unterliegen und für eines der in § 30 Abs. 2 Nr. 1 der Abgabenordnung genannten Verfahren gespeichert sind. Sie regelt nicht Abrufverfahren, die Verbrauchsteuern und Verbrauchsteuervergütungen oder Ein- und Ausfuhrabgaben im Sinne des Artikels 4 Nr. 10 und 11 des Zollkodexes*) betreffen. §2 Maßnahmen zur Wahrung des Steuergeheimnisses (1) Es sind angemessene organisatorische und dem jeweiligen Stand der Technik entsprechende technische Vorkehrungen zur Wahrung des Steuergeheimnisses zu treffen. Hierzu zählen insbesondere Maßnahmen, die sicherstellen, dass 1. Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen die in § 1 Satz 1 bezeichneten Daten abgerufen werden können, verwehrt wird (Zutrittskontrolle), 2. Datenverarbeitungssysteme nicht unbefugt zum Abruf genutzt werden können (Zugangskontrolle), 3. die zur Benutzung eines Datenverarbeitungssystems zum Datenabruf Befugten ausschließlich auf die ihrer *) Verordnung (EWG) Nr. 2913/92 des Rates vom 12. Oktober 1992 zur Festlegung des Zollkodexes der Gemeinschaften (ABl. EG Nr. L 302 S. 1, 1993 Nr. L 79 S. 84, 1996 Nr. L 97 S. 38), zuletzt geändert durch die Akte über die Bedingungen des Beitritts der Tschechischen Republik, der Republik Estland, der Republik Zypern, der Republik Lettland, der Republik Litauen, der Republik Ungarn, der Republik Malta, der Republik Polen, der Republik Slowenien und der Slowakischen Republik und die Anpassungen der die Europäischen Union betreffenden Verträge vom 23. September 2003 (ABl. EU Nr. L 236 S. 762), in der jeweils geltenden Fassung. Zugriffsbefugnis unterliegenden Daten zugreifen können und dass die Daten während des Abrufs nicht unbefugt gelesen oder kopiert werden können (Zugriffskontrolle), 4. überprüft und festgestellt werden kann, wer personenbezogene Daten abrufen darf oder abgerufen hat (Weitergabekontrolle). (2) Abrufverfahren zur Übermittlung von Daten an Empfänger außerhalb der für die Speicherung verantwortlichen Stelle sollen nur eingerichtet werden, wenn es wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen angemessen ist. §3 Erteilung der Abrufbefugnis Die Erteilung einer Abrufbefugnis kommt in Betracht bei 1. Amtsträgern (§ 7 der Abgabenordnung) oder gleichgestellten Personen (§ 30 Abs. 3 der Abgabenordnung), die in einem Verwaltungsverfahren, einem Rechnungsprüfungsverfahren oder gerichtlichen Verfahren in Steuersachen, in einem Strafverfahren wegen einer Steuerstraftat oder einem Bußgeldverfahren wegen einer Steuerordnungswidrigkeit tätig sind, 2. Amtsträgern oder gleichgestellten Personen, soweit die Abrufbefugnis zur Wahrnehmung der Dienst- und Fachaufsicht erforderlich ist, 3. Amtsträgern oder gleichgestellten Personen, soweit die Abrufbefugnis zur zulässigen Weitergabe von Daten nach § 30 Abs. 4 und 5 der Abgabenordnung erforderlich ist, 4. Amtsträgern oder gleichgestellten Personen, die mit der Entwicklung oder Betreuung automatisierter Verfahren oder der dabei eingesetzten technischen Einrichtungen befasst sind, in denen die in § 1 bezeichneten Daten verarbeitet werden, wenn der Abruf allein der Beseitigung von Fehlern oder der Kontrolle der ordnungsgemäßen Arbeitsweise der Verfahren oder 3022 Bundesgesetzblatt Jahrgang 2005 Teil I Nr. 66, ausgegeben zu Bonn am 26. Oktober 2005 (2) Die Aufzeichnungspflicht entfällt, soweit die Abrufbefugnis durch technische Maßnahmen auf die Daten oder Arten von Daten beschränkt worden ist, die zur Erledigung der jeweiligen Aufgabe erforderlich sind. Unbeschadet des Satzes 1 können Aufzeichnungen anlassbezogen durchgeführt werden. (3) Die Aufzeichnungen dürfen nur zur Prüfung der Zulässigkeit der Abrufe verwendet werden. (4) Die Aufzeichnungen sind zwei Jahre aufzubewahren und danach unverzüglich zu löschen. §7 Prüfung der Zulässigkeit der Abrufe §4 Umfang der Abrufbefugnis Anhand der Aufzeichnungen ist zeitnah und in angemessenem Umfang zu prüfen, ob der Abruf nach § 30 Abs. 6 Satz 1 der Abgabenordnung und nach dieser Verordnung zulässig war. Unbeschadet des Satzes 1 können aufgezeichnete Abrufe anlassbezogen geprüft werden. §8 Ergänzende Regelungen und Verfahrensdokumentation Bei Einrichtung eines Abrufverfahrens sind von den beteiligten Stellen zu regeln und in einer für sachverständige Dritte verständlichen Weise zu dokumentieren 1. Anlass, Zweck und beteiligte Stellen des Abrufverfahrens, 2. die notwendigen technischen Voraussetzungen und die verwendeten Programme, 3. die zum Abruf bereitgehaltenen Daten, 4. auf welche Weise und zu welchem Zeitpunkt die verantwortlichen Stellen über die Abrufbefugnis anderer Behörden zu unterrichten sind, 5. die Gruppen der zum Abruf berechtigten Personen (§ 3) und der Umfang der Abrufbefugnisse (§ 4), 6. die protokollierende Stelle, 7. die zur Identifizierung, Authentisierung und Verschlüsselung verwendeten Verfahren, 8. die für die Vergabe und Verwaltung von Benutzerkennungen, Passwörtern und Ausweiskarten sowie die für die Prüfung der aufgezeichneten Abrufe und Stichproben zuständigen Stellen, 9. Art und Umfang der Maßnahmen zur nachträglichen Überprüfung eingeräumter Abrufbefugnisse sowie die Frist zur Aufbewahrung der revisionsfähigen Unterlagen, 10. die Einzelheiten des Prüfungsverfahrens nach § 7, 11. das Verfahren zur Erprobung und zur Qualitätssicherung der Programme vor dem Einsatz, 12. die Fristen, nach deren Ablauf Daten zum Abruf durch Abrufberechtigte außerhalb der für die Speicherung verantwortlichen Stelle nicht mehr für einen Datenabruf bereitgehalten werden dürfen, 13. die sonstigen zur Wahrung der schutzwürdigen Belange der Betroffenen sowie zur Gewährleistung von Datenschutz und Datensicherheit getroffenen technischen und organisatorischen Maßnahmen. der technischen Einrichtungen dient und dies nicht mit vertretbarem Aufwand durch Zugriff auf anonymisierte oder pseudonymisierte Daten erreicht werden kann, 5. Amtsträgern der Zollverwaltung oder gleichgestellten Personen, soweit die Abrufbefugnis für die Festsetzung oder Erhebung der Einfuhrumsatzsteuer erforderlich ist und die Daten beim Bundesamt für Finanzen gespeichert sind, 6. Amtsträgern der Gemeinden, soweit sie in einem Realsteuerverfahren in Ausübung der nach § 21 des Finanzverwaltungsgesetzes den Gemeinden zustehenden Rechte tätig sind. (1) Die Abrufbefugnis ist auf die Daten oder die Arten von Daten zu beschränken, die zur Erledigung der jeweiligen Aufgabe erforderlich sind. Hiervon darf nur abgesehen werden, wenn der Aufwand für eine Beschränkung auf bestimmte Daten oder Arten von Daten unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen außer Verhältnis zu dem angestrebten Zweck steht. (2) Die Abrufbefugnis ist zu befristen, wenn der Verwendungszweck zeitlich begrenzt ist. Sie ist unverzüglich zu widerrufen, wenn der Anlass für ihre Erteilung weggefallen ist. §5 Prüfung der Abrufbefugnis (1) Die Abrufbefugnis ist automatisiert zu prüfen 1. bei jedem Aufbau einer Verbindung anhand eines Identifizierungsschlüssels (Benutzerkennung) und eines geheim zu haltenden Passwortes oder sonst zum hinreichend sicheren Nachweis von Benutzeridentität und Authentizität geeigneter Verfahren, 2. bei jedem Abruf anhand eines Verzeichnisses über den Umfang der dem Abrufenden eingeräumten Abrufbefugnis. Benutzerkennungen und Passwörter sind nach höchstens fünf aufeinander folgenden Fehlversuchen zum Aufbau einer Verbindung zu sperren. (2) Die Passwörter nach Absatz 1 Satz 1 Nr. 1 sind spätestens nach 90 Tagen, bei Kenntnisnahme durch andere Personen unverzüglich, zu ändern. (3) Werden zur Authentifizierung automatisiert lesbare Ausweiskarten verwendet, so sind deren Bestand, Ausgabe und Einzug nachzuweisen und zu überwachen. Abhanden gekommene Ausweiskarten sind unverzüglich zu sperren. Der Inhaber darf die Ausweiskarte nicht weitergeben. Er hat sie unter Verschluss aufzubewahren, wenn er sie nicht zum Datenabruf verwendet. §6 Aufzeichnung der Abrufe (1) Abrufe und Abrufversuche sind zur Prüfung der Zulässigkeit der Abrufe automatisiert aufzuzeichnen. Die Aufzeichnungen umfassen mindestens die Benutzerkennung, das Datum, die Uhrzeit sowie die sonstigen zur Prüfung der Zulässigkeit der Abrufe erforderlichen Daten. Bundesgesetzblatt Jahrgang 2005 Teil I Nr. 66, ausgegeben zu Bonn am 26. Oktober 2005 Die Verfahrensdokumentation ist fortlaufend zu aktualisieren. Sie ist mindestens zwei Jahre über das Ende des Verfahrenseinsatzes hinaus aufzubewahren. §9 Abrufe durch den Steuerpflichtigen Für Verfahren, die dem Steuerpflichtigen (§ 33 der Abgabenordnung) den Abruf von zu seiner Person gespeicherten Daten ermöglichen, gelten die §§ 1 bis 8 entsprechend. Satz 1 ist auch anzuwenden, wenn anstelle des Steuerpflichtigen seinem gesetzlichen Vertreter, Vermögensverwalter, Verfügungsberechtigten, Bevollmächtigten oder Beistand eine Abrufberechtigung erteilt wird. § 10 Übergangsvorschrift 3023 Bestehende Abrufverfahren sind spätestens bis zum 31. Oktober 2008 so zu gestalten, dass sie den vorstehenden Regelungen entsprechen. § 11 Inkrafttreten Diese Verordnung tritt am Tag nach der Verkündung in Kraft. Der Bundesrat hat zugestimmt. Berlin, den 13. Oktober 2005 Der Bundesminister der Finanzen Hans Eichel