Index
10/10 Grundrechte, Datenschutz, AuskunftspflichtNorm
DSG §1, §24Leitsatz
Keine Verletzung im Recht auf Geheimhaltung durch Abweisung der Datenschutzbeschwerde betreffend die Übermittlung personenbezogener Daten durch den BMF im Rahmen des wechselseitigen Austausches von Steuerinformationen; Determinierung des Bundesgesetzgebers durch die RL 2011/16/EU; Bestimmungen zur Verhinderung von Steuerbetrug und Steuerhinterziehung verhältnismäßig sowie zur Erreichung einer gleichmäßigen Besteuerung geeignetSpruch
I.römisch eins. Der Beschwerdeführer ist durch das angefochtene Erkenntnis weder in einem verfassungsgesetzlich gewährleisteten Recht noch wegen Anwendung einer rechtswidrigen generellen Norm in seinen Rechten verletzt worden.
II.römisch zwei. Die Beschwerde wird abgewiesen und dem Verwaltungsgerichtshof zur Entscheidung darüber abgetreten, ob der Beschwerdeführer durch das angefochtene Erkenntnis in einem sonstigen Recht verletzt worden ist.
Begründung
Entscheidungsgründe
I. Sachverhalt, Beschwerde und Vorverfahrenrömisch eins. Sachverhalt, Beschwerde und Vorverfahren
1. Der Beschwerdeführer ist österreichischer Staatsbürger und in Österreich unbeschränkt einkommensteuerpflichtig. Er verfügt über ein Konto bei einer Bank in Deutschland.
2. Am 11. Februar 2020 erhob der Beschwerdeführer Beschwerde gemäß §24 Datenschutzgesetz (DSG) an die Datenschutzbehörde und machte geltend, dass der Bundesminister für Finanzen (BMF) personenbezogene Daten des Beschwerdeführers bis zum 30. September 2019 vom deutschen Bundeszentralamt für Steuern erhalten, diese verarbeitet und an die zuständige Abgabenbehörde weitergeleitet habe. Die automatische Verarbeitung und Übertragung dieser Daten sei gemäß §113 Gemeinsamer Meldestandard-Gesetz (GMSG) in Durchführung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Aufhebung der Richtlinie 77/799/EWG, idF der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, erfolgt. Die Verarbeitung der Daten verletze den Beschwerdeführer in seinen Grundrechten und verstoße gegen verschiedene Datenschutzvorschriften. Darüber hinaus sei der Beschwerdeführer erheblichen und unnötigen Datensicherheitsrisiken ausgesetzt.2. Am 11. Februar 2020 erhob der Beschwerdeführer Beschwerde gemäß §24 Datenschutzgesetz (DSG) an die Datenschutzbehörde und machte geltend, dass der Bundesminister für Finanzen (BMF) personenbezogene Daten des Beschwerdeführers bis zum 30. September 2019 vom deutschen Bundeszentralamt für Steuern erhalten, diese verarbeitet und an die zuständige Abgabenbehörde weitergeleitet habe. Die automatische Verarbeitung und Übertragung dieser Daten sei gemäß §113 Gemeinsamer Meldestandard-Gesetz (GMSG) in Durchführung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Aufhebung der Richtlinie 77/799/EWG, in der Fassung der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, erfolgt. Die Verarbeitung der Daten verletze den Beschwerdeführer in seinen Grundrechten und verstoße gegen verschiedene Datenschutzvorschriften. Darüber hinaus sei der Beschwerdeführer erheblichen und unnötigen Datensicherheitsrisiken ausgesetzt.
2.1. Die Datenschutzbehörde wies die Beschwerde mit Teilbescheid vom 18. Mai 2020 hinsichtlich der geltend gemachten Verletzung im Recht auf Geheimhaltung ab und wies die Beschwerde bezüglich der beantragten Überprüfung der RL 2011/16/EU, idF der RL 2014/107/EU, auf ihre Vereinbarkeit mit der Datenschutz-Grundverordnung (DSGVO) und der Grundrechte-Charta sowie des Antrags auf Vorlage an den Gerichtshof der Europäischen Union zurück.2.1. Die Datenschutzbehörde wies die Beschwerde mit Teilbescheid vom 18. Mai 2020 hinsichtlich der geltend gemachten Verletzung im Recht auf Geheimhaltung ab und wies die Beschwerde bezüglich der beantragten Überprüfung der RL 2011/16/EU, in der Fassung der RL 2014/107/EU, auf ihre Vereinbarkeit mit der Datenschutz-Grundverordnung (DSGVO) und der Grundrechte-Charta sowie des Antrags auf Vorlage an den Gerichtshof der Europäischen Union zurück.
2.2. Der Beschwerdeführer brachte in seiner Bescheidbeschwerde im Wesentlichen vor, dass die Verarbeitung und Übermittlung der personenbezogenen Daten betreffend das deutsche Bankkonto des Beschwerdeführers mit einem Saldo von € 40,– für eine Steuerveranlagung weder erforderlich noch voraussichtlich erheblich sei. Demzufolge verletze die Datenverarbeitung im Rahmen des GMSG die Grundsätze der Verhältnismäßigkeit bzw der Erforderlichkeit gemäß Art8 Abs2 EMRK iVm Art52 GRC sowie den Grundsatz der Datenminimierung nach Art5 Abs1 litc DSGVO. Der Beschwerdeführer sei durch die Datenweitergabe unverhältnismäßigen Datensicherheitsrisiken ausgesetzt. Sämtliche Daten würden über ein einziges zentrales Übermittlungssystem grenzüberschreitend weitergeleitet, gegen welches Zweifel betreffend die Datensicherheit bestünden. Die RL 2011/16/EU, idF der RL 2014/107/EU, und das GMSG verstießen gegen die primär- und verfassungsrechtlich gewährleisteten Rechte auf Privatleben und Datenschutz sowie gegen den Grundsatz der Datenminimierung.2.2. Der Beschwerdeführer brachte in seiner Bescheidbeschwerde im Wesentlichen vor, dass die Verarbeitung und Übermittlung der personenbezogenen Daten betreffend das deutsche Bankkonto des Beschwerdeführers mit einem Saldo von € 40,– für eine Steuerveranlagung weder erforderlich noch voraussichtlich erheblich sei. Demzufolge verletze die Datenverarbeitung im Rahmen des GMSG die Grundsätze der Verhältnismäßigkeit bzw der Erforderlichkeit gemäß Art8 Abs2 EMRK in Verbindung mit Art52 GRC sowie den Grundsatz der Datenminimierung nach Art5 Abs1 litc DSGVO. Der Beschwerdeführer sei durch die Datenweitergabe unverhältnismäßigen Datensicherheitsrisiken ausgesetzt. Sämtliche Daten würden über ein einziges zentrales Übermittlungssystem grenzüberschreitend weitergeleitet, gegen welches Zweifel betreffend die Datensicherheit bestünden. Die RL 2011/16/EU, in der Fassung der RL 2014/107/EU, und das GMSG verstießen gegen die primär- und verfassungsrechtlich gewährleisteten Rechte auf Privatleben und Datenschutz sowie gegen den Grundsatz der Datenminimierung.
3. Das Bundesverwaltungsgericht wies die Beschwerde als unbegründet ab und führte aus, dass die Verarbeitung der in §112 Abs1 GMSG genannten Daten in Durchführung von Unionsrecht stattfinde und unter keine Ausnahme (Verarbeitung im Rahmen der gemeinsamen Außen- und Sicherheitspolitik, durch Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten oder durch Behörden im Strafrechtsbereich) falle, weshalb der sachliche Anwendungsbereich der DSGVO gemäß Art2 DSGVO eröffnet sei. Bei diesen Daten handle es sich um personenbezogene Daten iSd Art4 Z1 DSGVO, die im Rahmen des automatischen Informationsaustausches durch den BMF iSd Art4 Z2 DSGVO verarbeitet würden, weil sie erhoben, gespeichert, abgefragt und durch die Übermittlung offengelegt würden. Ebenso sei durch die Verarbeitung der zu meldenden Daten der Anwendungsbereich des §1 DSG eröffnet, weil an ihnen ein schutzwürdiges Interesse vorausgesetzt werden könne.
3.1. Es handle sich bei den Identitätsdaten, der Kontonummer und dem Kontostand – entgegen der Ansicht des Beschwerdeführers – jedoch nicht um "besonders schutzwürdige" Daten iSd §1 Abs2 DSG, weil diese keine Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse und philosophische Überzeugung, Gesundheit oder Sexualleben darstellten. Es liege auch keine "Verarbeitung besonderer Kategorien personenbezogener Daten" gemäß Art9 DSGVO vor, weil weder personenbezogene Daten verarbeitet würden, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, noch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person verarbeitet würden.
3.2. Art5 DSGVO sehe vor, dass die Datenverarbeitung zweckgebunden, dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müsse. Der Zweck der Datenverarbeitung lasse sich den Erwägungsgründen der RL 2014/107/EU entnehmen (Bekämpfung von grenzüberschreitendem Steuerbetrug und grenzüberschreitender Steuerhinterziehung). Das Ziel liege im öffentlichen Interesse, das dem Gemeinwohl diene.
3.3. Aus dem Grundsatz der Datenminimierung (Art5 Abs1 litc DSGVO) ergebe sich die Anforderung an die Verarbeitung, dass diese dem Zweck angemessen und erheblich sein muss. Im Hinblick auf die Zweckerreichung (Eindämmung grenzüberschreitender Steuerhinterziehung und grenzüberschreitenden Steuerbetrugs) sei die Übermittlung der gesetzlich vorgesehenen identifizierenden Daten Name, Adresse, Geburtsdatum und -ort, Steueridentifikationsnummer sowie der Daten, die Hinweise auf die Geldwerte im Ausland beinhalten (Kontonummer und Saldo), angemessen und auch erheblich, um eine Prüfung einer allfälligen Steuerhinterziehung oder eines Steuerbetrugs vornehmen zu können. Einzelne der übermittelten Daten ließen sich zur Zweckerreichung nicht wegdenken. Der Umfang der übermittelten Daten sei deutlich abgegrenzt, auf den Zweck bezogen und nicht überschießend.
Die Datenverarbeitung durch den BMF erfolge automatisch weder mit Rücksicht auf einen Verdachtsfall einer möglichen grenzüberschreitenden Steuerhinterziehung noch in Bezug auf die Höhe des Kontosaldos. Die Richtlinie sehe ausdrücklich keine Mindestschwelle der Kontosalden vor, weil dies "in der Praxis nicht durchführbar" (Erwägungsgrund 15 der RL 2014/107/EU) sei und diese leicht umgangen werden könnte, indem Konten auf verschiedene Finanzinstitute aufgeteilt würden (Erwägungsgrund 10 der RL 2014/107/EU). Es könne davon ausgegangen werden, dass das öffentliche Interesse an der Zweckerreichung das Interesse der Betroffenen mit nur kleinen Einlagen am Schutz ihrer personenbezogenen Daten bzw auf Achtung ihres Privatlebens nach Art7 GRC und Art8 EMRK überwiege.
3.4. Der automatische Datenaustausch sei "indiskriminierend" vorgesehen, das heiße, dass es keines Anfangsverdachts auf einen geplanten Steuerbetrug bedürfe. Die Rechtsprechung des Gerichtshofes der Europäischen Union zur Vorratsdatenspeicherung (EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua; 21.12.2016, C-203/15, C-698/15, Tele2 Sverige ua) könne jedoch auf diesen Fall nicht übertragen werden. Erstens habe die Rechtsprechung des Gerichtshofes der Europäischen Union die Verarbeitung von Daten betroffen, die Rückschlüsse auf wesentliche Bereiche des Privatlebens von Personen zuließen (zB Gesprächs- bzw Kommunikationsdaten, Standortdaten etc.). Die im Rahmen der RL 2011/16/EU, idF der RL 2014/107/EU, übermittelten Daten gäben nur Auskunft darüber, dass eine – identifizierbare – Person über ein solches Konto mit einem bestimmten Kontowert oder -saldo und Zinsbetrag verfüge. Es würden dadurch keine weiteren Rückschlüsse in wesentliche Teile des Privatlebens einer Person ermöglicht. Zweitens beziehe sich die zitierte Rechtsprechung des Gerichtshofes der Europäischen Union auf Regelungen, die flächendeckend beinahe die gesamte europäische Bevölkerung (alle Personen, die elektronische Kommunikationsmittel verwenden) betroffen haben. Im vorliegenden Fall sei jedoch nur eine kleinere Gruppe von Personen (jene, die über Konten außerhalb ihres Steueransässigkeitsstaates verfügt) betroffen. Der durch die RL 2011/16/EU, idF der RL 2014/107/EU, bewirkte Eingriff müsse daher als wesentlich geringer angesehen werden als jener durch die Vorratsdatenspeicherung.3.4. Der automatische Datenaustausch sei "indiskriminierend" vorgesehen, das heiße, dass es keines Anfangsverdachts auf einen geplanten Steuerbetrug bedürfe. Die Rechtsprechung des Gerichtshofes der Europäischen Union zur Vorratsdatenspeicherung (EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua; 21.12.2016, C-203/15, C-698/15, Tele2 Sverige ua) könne jedoch auf diesen Fall nicht übertragen werden. Erstens habe die Rechtsprechung des Gerichtshofes der Europäischen Union die Verarbeitung von Daten betroffen, die Rückschlüsse auf wesentliche Bereiche des Privatlebens von Personen zuließen (zB Gesprächs- bzw Kommunikationsdaten, Standortdaten etc.). Die im Rahmen der RL 2011/16/EU, in der Fassung der RL 2014/107/EU, übermittelten Daten gäben nur Auskunft darüber, dass eine – identifizierbare – Person über ein solches Konto mit einem bestimmten Kontowert oder -saldo und Zinsbetrag verfüge. Es würden dadurch keine weiteren Rückschlüsse in wesentliche Teile des Privatlebens einer Person ermöglicht. Zweitens beziehe sich die zitierte Rechtsprechung des Gerichtshofes der Europäischen Union auf Regelungen, die flächendeckend beinahe die gesamte europäische Bevölkerung (alle Personen, die elektronische Kommunikationsmittel verwenden) betroffen haben. Im vorliegenden Fall sei jedoch nur eine kleinere Gruppe von Personen (jene, die über Konten außerhalb ihres Steueransässigkeitsstaates verfügt) betroffen. Der durch die RL 2011/16/EU, in der Fassung der RL 2014/107/EU, bewirkte Eingriff müsse daher als wesentlich geringer angesehen werden als jener durch die Vorratsdatenspeicherung.
Auch aus der vom Beschwerdeführer zitierten "safe haven"-Entscheidung des Gerichtshofes der Europäischen Union (EuGH 6.10.2015, C-362/14, Schrems) sei für diesen Fall nichts zu gewinnen. Dieser Fall habe die Übermittlung von personenbezogenen Daten in ein Drittland und das dort vorhandene Schutzniveau betroffen. Im vorliegenden Fall seien jedoch keine Daten des Beschwerdeführers in ein Drittland übermittelt worden.
3.5. In Bezug auf das behauptete Fehlen von Datensicherungsmaßnahmen führte das Bundesverwaltungsgericht aus, dass der Grundsatz der Datenminimierung den Aspekt der Datensicherheit berücksichtige und darüber hinaus kein subjektives Recht auf die Vornahme bestimmter Datensicherheitsmaßnahmen bestehe. Daher seien die diesbezüglichen Argumente des Beschwerdeführers als vom Erforderlichkeitsgrundsatz absorbiert anzusehen. Zudem habe der Beschwerdeführer keine Hinweise darauf gegeben, dass er selbst Opfer eines Hacker-Angriffs in diesem Zusammenhang geworden sei.
3.6. Die Datenverarbeitung durch den BMF sei rechtmäßig erfolgt, da diese zur Erfüllung einer rechtlichen Verpflichtung (iSd Art6 Abs1 litc DSGVO) erforderlich gewesen sei, weil der BMF nach dem GMSG zur entsprechenden Datenverarbeitung verpflichtet sei. Das GMSG setze die RL 2011/16/EU, idF RL 2014/107/EU, um. Die Kooperation zwischen den Mitgliedstaaten mittels automatischen Datenaustausches über im Ausland befindliche Kontoinformationen zur Bekämpfung von grenzüberschreitendem Steuerbetrug und grenzüberschreitender Steuerhinterziehung stelle einen Zweck im öffentlichen Interesse dar, der durch den Gesetzgebungsprozess auf Unionsebene demokratisch legitimiert und ausreichend präzise sei. Der Umfang des Datenaustausches halte sich zudem an den Grundsatz der Erforderlichkeit. Damit sei die durch den BMF vorgenommene Datenverarbeitung im Rahmen des Art6 Abs1 litc iVm Abs3 DSGVO rechtmäßig.3.6. Die Datenverarbeitung durch den BMF sei rechtmäßig erfolgt, da diese zur Erfüllung einer rechtlichen Verpflichtung (iSd Art6 Abs1 litc DSGVO) erforderlich gewesen sei, weil der BMF nach dem GMSG zur entsprechenden Datenverarbeitung verpflichtet sei. Das GMSG setze die RL 2011/16/EU, in der Fassung RL 2014/107/EU, um. Die Kooperation zwischen den Mitgliedstaaten mittels automatischen Datenaustausches über im Ausland befindliche Kontoinformationen zur Bekämpfung von grenzüberschreitendem Steuerbetrug und grenzüberschreitender Steuerhinterziehung stelle einen Zweck im öffentlichen Interesse dar, der durch den Gesetzgebungsprozess auf Unionsebene demokratisch legitimiert und ausreichend präzise sei. Der Umfang des Datenaustausches halte sich zudem an den Grundsatz der Erforderlichkeit. Damit sei die durch den BMF vorgenommene Datenverarbeitung im Rahmen des Art6 Abs1 litc in Verbindung mit Abs3 DSGVO rechtmäßig.
Auch im Hinblick auf das in §1 DSG normierte Recht auf Geheimhaltung personenbezogener Daten erfülle das GMSG die notwendigen Voraussetzungen einer gesetzlichen Grundlage für den Eingriff iSd §1 Abs2 DSG. Dieser geschehe auf Grundlage des berechtigten Interesses der Allgemeinheit an der Bekämpfung von grenzüberschreitender Steuerhinterziehung und grenzüberschreitendem Steuerbetrug. Im vorliegenden Fall handle es sich nicht um besonders schutzwürdige Daten. Die Datenverarbeitung werde auch in der gelindesten, zum Ziel führenden Art vorgenommen, sodass die auf dem GMSG basierende Datenverarbeitung durch den BMF nicht gegen §1 DSG verstoße.
3.7. Auch hinsichtlich der teilweisen Zurückweisung der Beschwerde (bezüglich des Antrags auf Überprüfung der Vereinbarkeit der RL 2011/16/EU, idF der RL 2014/107/EU, mit der DSGVO und der Grundrechte-Charta sowie des Antrags auf Vorlage an den Gerichtshof der Europäischen Union) folgte das Bundesverwaltungsgericht der belangten Behörde. Für das Bundesverwaltungsgericht ergebe sich aus dem Beschwerdevorbringen keine durch den Gerichtshof der Europäischen Union zu klärende Frage.3.7. Auch hinsichtlich der teilweisen Zurückweisung der Beschwerde (bezüglich des Antrags auf Überprüfung der Vereinbarkeit der RL 2011/16/EU, in der Fassung der RL 2014/107/EU, mit der DSGVO und der Grundrechte-Charta sowie des Antrags auf Vorlage an den Gerichtshof der Europäischen Union) folgte das Bundesverwaltungsgericht der belangten Behörde. Für das Bundesverwaltungsgericht ergebe sich aus dem Beschwerdevorbringen keine durch den Gerichtshof der Europäischen Union zu klärende Frage.
4. Die auf Art144 Abs1 B-VG gestützte Beschwerde bringt im Wesentlichen Folgendes vor:
4.1. Eine Verarbeitung der personenbezogenen Daten des Beschwerdeführers durch den BMF auf Grund des §113 GMSG (bzw der Bestimmungen der RL 2011/16/EU, idF der RL 2014/107/EU) sei nach Art8 GRC und Art52 GRC nur zulässig, wenn diese gesetzlich vorgesehen sei, keine Verletzung des Wesensgehalts des Grundrechts auf Datenschutz vorliege, die Datenverarbeitung ein legitimes Ziel verfolge und der Eingriff in das Recht auf Datenschutz zur Zielerreichung geeignet, erforderlich und angemessen (verhältnismäßig) sei. Die Datenverarbeitung erfolge jedoch ohne rechtmäßige gesetzliche Grundlage, weil §113 GMSG gegen Art8 GRC verstoße. Darüber hinaus verstoße auch die RL 2011/16/EU, idF der RL 2014/107/EU, gegen Art8 GRC.4.1. Eine Verarbeitung der personenbezogenen Daten des Beschwerdeführers durch den BMF auf Grund des §113 GMSG (bzw der Bestimmungen der RL 2011/16/EU, in der Fassung der RL 2014/107/EU) sei nach Art8 GRC und Art52 GRC nur zulässig, wenn diese gesetzlich vorgesehen sei, keine Verletzung des Wesensgehalts des Grundrechts auf Datenschutz vorliege, die Datenverarbeitung ein legitimes Ziel verfolge und der Eingriff in das Recht auf Datenschutz zur Zielerreichung geeignet, erforderlich und angemessen (verhältnismäßig) sei. Die Datenverarbeitung erfolge jedoch ohne rechtmäßige gesetzliche Grundlage, weil §113 GMSG gegen Art8 GRC verstoße. Darüber hinaus verstoße auch die RL 2011/16/EU, in der Fassung der RL 2014/107/EU, gegen Art8 GRC.
4.2. Die Verhältnismäßigkeit der Datenverarbeitung sei nicht gegeben. Das Ziel der Bekämpfung von Steuerhinterziehung liege zwar im öffentlichen Interesse, jedoch sei die Form der Datenverarbeitung zur Zielerreichung nicht erforderlich. Viele der – in den §§3, 112 GMSG und in Art8 Abs3a der RL 2011/16/EU, idF der RL 2014/107/EU, angeführten – erfassten Informationen seien nämlich nicht erforderlich; es finde eine unnötige Verdoppelung der Daten (insbesondere Namen, Geburtsdatum, Steuernummer, Adresse) statt, weil bereits aus der erfassten Steueridentifikationsnummer die Identität der Person ableitbar wäre. Die Daten Geburtsort des Kontoinhabers und Kontosaldo seien darüber hinaus gänzlich ungeeignet, steuerbare Sachverhalte zu belegen. Bereits die Information, dass in einem anderen Staat ein Konto bestehe, reiche für den Ansässigkeitsstaat aus, um in weiterer Folge entsprechende Kontrollmaßnahmen zu setzen. Ein auf diesen Informationen basierendes Informationsansuchen wäre ein gelinderes Mittel.4.2. Die Verhältnismäßigkeit der Datenverarbeitung sei nicht gegeben. Das Ziel der Bekämpfung von Steuerhinterziehung liege zwar im öffentlichen Interesse, jedoch sei die Form der Datenverarbeitung zur Zielerreichung nicht erforderlich. Viele der – in den §§3, 112 GMSG und in Art8 Abs3a der RL 2011/16/EU, in der Fassung der RL 2014/107/EU, angeführten – erfassten Informationen seien nämlich nicht erforderlich; es finde eine unnötige Verdoppelung der Daten (insbesondere Namen, Geburtsdatum, Steuernummer, Adresse) statt, weil bereits aus der erfassten Steueridentifikationsnummer die Identität der Person ableitbar wäre. Die Daten Geburtsort des Kontoinhabers und Kontosaldo seien darüber hinaus gänzlich ungeeignet, steuerbare Sachverhalte zu belegen. Bereits die Information, dass in einem anderen Staat ein Konto bestehe, reiche für den Ansässigkeitsstaat aus, um in weiterer Folge entsprechende Kontrollmaßnahmen zu setzen. Ein auf diesen Informationen basierendes Informationsansuchen wäre ein gelinderes Mittel.
4.3. Die Speicherung der Daten erfolge ohne Differenzierung, Einschränkung oder Ausnahmen. Die Unverhältnismäßigkeit und damit die Unzulässigkeit dieser Art der Datenverarbeitung habe der Gerichtshof der Europäischen Union (EuGH 6.10.2015, C-362/14, Schrems) bestätigt. Darüber hinaus seien nach der Rechtsprechung des Gerichtshofes der Europäischen Union präzise Regeln für die Nutzung der Daten und ausreichende Garantien gegen missbräuchliche Nutzung erforderlich. Erfolgten keine Einschränkungen im Hinblick auf das Ziel, sei die Erforderlichkeit des Eingriffs zu verneinen (vgl EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua).4.3. Die Speicherung der Daten erfolge ohne Differenzierung, Einschränkung oder Ausnahmen. Die Unverhältnismäßigkeit und damit die Unzulässigkeit dieser Art der Datenverarbeitung habe der Gerichtshof der Europäischen Union (EuGH 6.10.2015, C-362/14, Schrems) bestätigt. Darüber hinaus seien nach der Rechtsprechung des Gerichtshofes der Europäischen Union präzise Regeln für die Nutzung der Daten und ausreichende Garantien gegen missbräuchliche Nutzung erforderlich. Erfolgten keine Einschränkungen im Hinblick auf das Ziel, sei die Erforderlichkeit des Eingriffs zu verneinen vergleiche EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua).
4.4. Die Verarbeitung der personenbezogenen Daten sei nicht rechtmäßig, weil das Ausmaß der Zielerreichung nicht in einem angemessenen Verhältnis zum Grundrechtseingriff stehe. Dies zeige sich vor allem vor dem Hintergrund, dass Daten ohne jeden Anhaltspunkt für die Begehung einer Finanzstraftat und ungeachtet jedes überaus geringen Kontostandes – ohne "De-minimis-Regelung" – verarbeitet worden seien. In Bezug auf die Bekämpfung von Steuerbetrug sei die Verarbeitung personenbezogener Daten nach der jüngeren Rechtsprechung des Gerichtshofes der Europäischen Union nur dann zulässig, wenn hinreichende Anhaltspunkte für die Begehung von Finanzstraftaten bestünden (EuGH 27.9.2017, C-73/16, Puškár, Rz 117). Die Daten lieferten auch keinen Mehrwert für die Bekämpfung von Steuerbetrug oder die Verhinderung von Steuerhinterziehung und setzten die Betroffenen einem hohen Risiko im Hinblick auf eine unbefugte oder unrechtmäßige Verarbeitung oder einen gänzlichen Verlust beim Verantwortlichen aus. Damit seien die Daten Millionen unbescholtener Bürger einem unverhältnismäßig hohen Risiko für ihre Datensicherheit ausgesetzt.
4.5. Auf Grund der Verpflichtung zur Datenverarbeitung nach Treu und Glauben müsse der Betroffene zudem ordnungsgemäß über die Verarbeitung seiner Daten und umfassend über die Bedingungen der Erhebung informiert sein. Der Gerichtshof der Europäischen Union habe in seinem Urteil vom 1. Oktober 2015, C-201/14, Bara (Rz 33, 38, 42), festgestellt, dass der Transfer von Steuerdaten nur dann erlaubt sei, wenn der Steuerpflichtige über den Informationsaustausch im Vorhinein informiert werde. Weil §113 GMSG und die RL 2011/16/EU, idF der RL 2014/107/EU, keine Informationspflichten des BMF vorsähen, sei die Datenverarbeitung als unverhältnismäßig anzusehen.4.5. Auf Grund der Verpflichtung zur Datenverarbeitung nach Treu und Glauben müsse der Betroffene zudem ordnungsgemäß über die Verarbeitung seiner Daten und umfassend über die Bedingungen der Erhebung informiert sein. Der Gerichtshof der Europäischen Union habe in seinem Urteil vom 1. Oktober 2015, C-201/14, Bara (Rz 33, 38, 42), festgestellt, dass der Transfer von Steuerdaten nur dann erlaubt sei, wenn der Steuerpflichtige über den Informationsaustausch im Vorhinein informiert werde. Weil §113 GMSG und die RL 2011/16/EU, in der Fassung der RL 2014/107/EU, keine Informationspflichten des BMF vorsähen, sei die Datenverarbeitung als unverhältnismäßig anzusehen.
5. Das Bundesverwaltungsgericht hat die Verwaltungs- und Gerichtsakten vorgelegt, aber von der Erstattung einer Gegenschrift abgesehen.
6. Die Datenschutzbehörde hat eine Gegenschrift erstattet, in der sie sich den Erwägungen des Bundesverwaltungsgerichtes anschließt und zudem ausführt, dass der Inhalt des §112 Abs1 GMSG unionsrechtlich zwingend vorgegeben sei, sodass sich nur die Frage stelle, ob die §112 GMSG zugrunde liegende unionsrechtliche Bestimmung im Einklang mit Art8 und Art51 GRC stehe. Zudem könnten die vom Beschwerdeführer geltend gemachten verfassungsrechtlichen Bedenken nicht nachvollzogen werden, zumal die Übermittlungspflicht lediglich mit einem Mal pro Jahr festgelegt werde und dies nicht als unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz nach §1 DSG bzw Art8 GRC gewertet werden könne. Das Bundesverwaltungsgericht sei zu Recht zum Ergebnis gelangt, dass das GMSG die Voraussetzungen eines Gesetzes für einen Eingriff iSd §1 Abs2 DSG erfülle und der Beschwerdeführer nicht in seinem verfassungsgesetzlich gewährleisteten Recht gemäß §1 Abs1 DSG verletzt worden sei.
7. Der Beschwerdeführer hat in seiner Replik die Durchführung einer mündlichen Verhandlung beantragt und auf das Urteil des Gerichtshofes der Europäischen Union vom 22. November 2022, C-37/20, C-601/20, Luxembourg Business Registers, hingewiesen, in dem der Gerichtshof der Europäischen Union eine sachlich ähnliche Richtlinie für teilweise ungültig erklärt habe.
II. Rechtslagerömisch zwei. Rechtslage
1. Die maßgeblichen Bestimmungen des Bundesgesetzes zur Umsetzung des gemeinsamen Meldestandards für den automatischen Austausch von Informationen über Finanzkonten (Gemeinsamer Meldestandard-Gesetz – GMSG), BGBl I 116/2015, idF BGBl I 91/2019 lauten:1. Die maßgeblichen Bestimmungen des Bundesgesetzes zur Umsetzung des gemeinsamen Meldestandards für den automatischen Austausch von Informationen über Finanzkonten (Gemeinsamer Meldestandard-Gesetz – GMSG), Bundesgesetzblatt Teil eins, 116 aus 2015,, in der Fassung Bundesgesetzblatt Teil eins, 91 aus 2019, lauten:
"1. Hauptstück
Allgemeine Bestimmungen
[…]
Identifikation von meldepflichtigen Konten und Information der
zu meldenden Personen
§5. (1) Zur Durchführung dieses Bundesgesetzes ist jedes meldende Finanzinstitut verpflichtet, die in §3 bzw §12 genannten Informationen für alle Kontoinhaber und sonstigen Kunden hinsichtlich aller bestehenden Konten und aller Neukonten zu ermitteln, zu erfassen, zu speichern und zu verarbeiten, unabhängig davon, ob es sich bei dem Kontoinhaber oder dem sonstigen Kunden um eine meldepflichtige Person im Sinne dieses Gesetzes handelt.
(2) Jedes meldende Finanzinstitut teilt vor der erstmaligen Übermittlung der Informationen an das zuständige Finanzamt jeder betroffenen Person in allgemeiner Form mit oder macht dieser zugänglich, dass die gemäß diesem Gesetz ermittelten Informationen, soweit aufgrund dieses Bundesgesetzes erforderlich, an das Finanzamt übermittelt werden.
(3) Jedes meldepflichtige Finanzinstitut hat die gemäß diesem Bundesgesetz übermittelten Informationen 5 Jahre nach Ablauf des Meldezeitraumes, auf den sich diese Informationen beziehen, zu löschen.
[…]
10. Hauptstück
Übermittlung und Weiterleitung der Informationen
Übermittlung der gemeldeten Informationen an ausländische Behörden
§112. (1) Der Bundesminister für Finanzen übermittelt jährlich innerhalb von neun Monaten nach Ablauf des Kalenderjahres, auf das sich die Informationen beziehen, nach einem automatisierten Verfahren der zuständigen Behörde jedes teilnehmenden Staats folgende Informationen:
1. Name, Adresse, Steueridentifikationsnummer(n) sowie Geburtsdatum und -ort (bei natürlichen Personen) jeder meldepflichtigen Person, die Inhaber des Kontos ist, sowie bei einem Rechtsträger, der Kontoinhaber ist und für den nach Anwendung von Verfahren zur Erfüllung der Sorgfaltspflichten nach den Anlagen eine oder mehrere beherrschende Personen ermittelt wurden, die meldepflichtige Personen sind, Name, Adresse und Steueridentifikationsnummer(n) des Rechtsträgers sowie Name, Adresse, Steueridentifikationsnummer(n), Geburtsdatum und -ort jeder meldepflichtigen Person,
2. Kontonummer (oder funktionale Entsprechung, wenn keine Kontonummer vorhanden),
3. Name und (gegebenenfalls) Identifikationsnummer des meldenden Finanzinstituts,
4. Kontosaldo oder -wert (einschließlich des Barwerts oder Rückkaufwerts bei rückkaufsfähigen Versicherungs- oder Rentenversicherungsverträgen) zum Ende des betreffenden Kalenderjahrs oder, wenn das Konto im Laufe des Jahres beziehungsweise Zeitraums aufgelöst wurde, die Auflösung des Kontos,
5. bei Verwahrkonten:
a) Gesamtbruttobetrag der Zinsen, Gesamtbruttobetrag der Dividenden und Gesamtbruttobetrag anderer Einkünfte, die mittels der auf dem Konto vorhandenen Vermögenswerte erzielt und jeweils auf das Konto (oder in Bezug auf das Konto) im Laufe des Kalenderjahrs eingezahlt oder dem Konto gutgeschrieben wurden, sowie
b) Gesamtbruttoerlöse aus der Veräußerung oder dem Rückkauf von Finanzvermögen, die während des Kalenderjahrs auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden und für die das meldende Finanzinstitut als Verwahrstelle, Makler, Bevollmächtigter oder anderweitig als Vertreter für den Kontoinhaber tätig war,
6. bei Einlagenkonten der Gesamtbruttobetrag der Zinsen, die während des Kalenderjahrs auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden, und
7. bei allen anderen Konten, die nicht unter Z5 oder Z6 aufgeführt sind, der Gesamtbruttobetrag, der in Bezug auf das Konto während des Kalenderjahrs an den Kontoinhaber gezahlt oder ihm gutgeschrieben wurde und für den das meldende Finanzinstitut Schuldner ist, einschließlich der Gesamthöhe aller Einlösungsbeträge, die während des Kalenderjahrs an den Kontoinhaber geleistet wurden.
(2) Die nach Abs1 zu übermittelnden Informationen beziehen sich auf Besteuerungszeiträume ab dem 1. Jänner 2017. Abweichend davon sind in Bezug auf Neukonten im Sinne der §§82 und 86 bereits Informationen erfasst, die den Zeitraum zwischen 1. Oktober 2016 und 31. Dezember 2016 betreffen.
(3) Ungeachtet des Abs1 erfolgt eine Übermittlung der Informationen gemäß §3 nur an die zuständige Behörde jener teilnehmenden Staaten gemäß §91 Z2, welche die in §7 der mehrseitigen Vereinbarung vom 29. Oktober 2014, BGBl III Nr 182/2017, über den automatischen Austausch von Informationen über Finanzkonten (OECD-MCAA) geforderten Voraussetzungen erfüllen.(3) Ungeachtet des Abs1 erfolgt eine Übermittlung der Informationen gemäß §3 nur an die zuständige Behörde jener teilnehmenden Staaten gemäß §91 Z2, welche die in §7 der mehrseitigen Vereinbarung vom 29. Oktober 2014, Bundesgesetzblatt Teil 3, Nr 182 aus 2017,, über den automatischen Austausch von Informationen über Finanzkonten (OECD-MCAA) geforderten Voraussetzungen erfüllen.
Weiterleitung ausländischer Informationen an die zuständigen
Abgabenbehörden
§113. Von teilnehmenden Staaten im Rahmen des nach diesem Bundesgesetz vorgesehenen automatischen Informationsaustausches eingehende Informationen werden vom Bundesminister für Finanzen ein Mal jährlich an die zuständigen Abgabenbehörden weiter geleitet."
2. Die maßgeblichen Erwägungsgründe der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, ABl 2014 L 359, 1, lauten:
"(1) In den letzten Jahren haben sich grenzüberschreitender Steuerbetrug und grenzüberschreitende Steuerhinterziehung zu einer erheblichen Herausforderung entwickelt und sind in der Europäischen Union sowie weltweit in den Mittelpunkt des Interesses gerückt. Nationale Steuereinahmen werden durch nicht gemeldete und nicht besteuerte Einkünfte beträchtlich geschmälert. Daher muss die Steuererhebung effizienter und wirksamer werden. Der automatische Austausch von Informationen ist in dieser Hinsicht ein wichtiges Instrument, und die Kommission hat in ihrer Mitteilung vom 6. Dezember 2012 mit einem Aktionsplan zur Verstärkung der Bekämpfung von Steuerbetrug und Steuerhinterziehung betont, dass der automatische Austausch von Informationen als künftiger europäischer und internationaler Standard für Transparenz und Informationsaustausch in Steuerfragen nachdrücklich gefördert werden muss.
[…]
(3) Der Europäische Rat forderte am 22. Mai 2013, den automatischen Informationsaustausch auf der Unionsebene und weltweit zu erweitern, um Steuerbetrug, Steuerhinterziehung und aggressive Steuerplanung einzudämmen. Der Europäische Rat begrüßte auch die Anstrengungen zur Erarbeitung eines globalen Standards für den automatischen Informationsaustausch über Finanzkonten in Steuersachen, die derzeit im Rahmen der G20, der G8 und der OECD unternommen werden.
[…]
(10) Mit den von dieser Richtlinie erfassten Kategorien MELDENDER FINANZINSTITUTE und MELDEPFLICHTIGER KONTEN sollen die Möglichkeiten der Steuerpflichtigen eingeschränkt werden, die Meldung zu vermeiden, indem sie Vermögen auf FINANZINSTITUTE verlagern oder in Finanzprodukte investieren, die nicht in den Geltungsbereich dieser Richtlinie fallen. Allerdings sollten einige FINANZINSTITUTE und Konten, bei denen ein geringes Risiko besteht, dass sie zur Steuerhinterziehung missbraucht werden, vom Geltungsbereich dieser Richtlinie ausgenommen werden. Es sollten allgemein keine Mindestbeträge in diese Richtlinie aufgenommen werden, da diese leicht umgangen werden könnten, indem Konten auf verschiedene FINANZINSTITUTE aufgeteilt werden. Die Finanzinformationen, die gemeldet und ausgetauscht werden müssen, sollten nicht nur die entsprechenden Einkünfte (Zinsen, Dividenden und ähnliche Einkünfte), sondern auch Kontosalden und Erlöse aus der Veräußerung von FINANZVERMÖGEN betreffen, um Situationen Rechnung zu tragen, in denen ein Steuerpflichtiger Kapital zu verstecken versucht, das selbst Einkünfte oder Vermögen darstellt, die bzw das Gegenstand einer Steuerhinterziehung sind bzw ist. Daher ist die Verarbeitung von Informationen im Rahmen dieser Richtlinie notwendig und verhältnismäßig, damit die Steuerverwaltungen der Mitgliedstaaten die betreffenden Steuerpflichtigen korrekt und zweifelsfrei ermitteln, ihr Steuerrecht bei grenzüberschreitenden Sachverhalten anwenden und durchsetzen, die Wahrscheinlichkeit einer vorliegenden Steuerhinterziehung beurteilen und unnötige weitere Untersuchungen vermeiden können.
[…]
(15) Die Bezugnahme auf einen Mindestbetrag in Artikel 8 Absatz 3 der Richtlinie 2011/16/EU sollte entfallen, da eine solche Schwelle in der Praxis wohl nicht durchführbar ist.
[…]"
3. Die maßgebliche Bestimmung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Aufhebung der Richtlinie 77/799/EWG, ABl 2011 L 64, 1, idF der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, ABl 2014 L 359, 1, lautet:3. Die maßgebliche Bestimmung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Aufhebung der Richtlinie 77/799/EWG, ABl 2011 L 64, 1, in der Fassung der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, ABl 2014 L 359, 1, lautet:
"ABSCHNITT II"ABSCHNITT römisch zwei
Verpflichtender automatischer Informationsaustausch
Artikel 8
Umfang und Voraussetzungen des verpflichtenden automatischen
Informationsaustauschs
[…]
(3a) Jeder Mitgliedstaat ergreift die notwendigen Maßnahmen, um seine MELDENDEN FINANZINSTITUTE zur Befolgung der in den Anhängen I und II enthaltenen Melde- und Sorgfaltsvorschriften und zur Gewährleistung einer wirksamen Anwendung und Einhaltung dieser Vorschriften im Einklang mit Abschnitt IX des Anhangs I zu verpflichten.(3a) Jeder Mitgliedstaat ergreift die notwendigen Maßnahmen, um seine MELDENDEN FINANZINSTITUTE zur Befolgung der in den Anhängen römisch eins und römisch zwei enthaltenen Melde- und Sorgfaltsvorschriften und zur Gewährleistung einer wirksamen Anwendung und Einhaltung dieser Vorschriften im Einklang mit Abschnitt römisch neun des Anhangs römisch eins zu verpflichten.
Gemäß den geltenden Melde- und Sorgfaltsvorschriften in den Anhängen I und II tauscht die zuständige Behörde jedes Mitgliedstaats innerhalb der in Absatz 6 Buchstabe b festgelegten Frist nach einem automatisierten Verfahren die folgenden Informationen über ein MELDEPFLICHTIGES KONTO in Bezug auf Besteuerungszeiträume ab dem 1. Januar 2016 mit der zuständigen Behörde jedes anderen Mitgliedstaats aus:Gemäß den geltenden Melde- und Sorgfaltsvorschriften in den Anhängen römisch eins und römisch zwei tauscht die zuständige Behörde jedes Mitgliedstaats innerhalb der in Absatz 6 Buchstabe b festgelegten Frist nach einem automatisierten Verfahren die folgenden Informationen über ein MELDEPFLICHTIGES KONTO in Bezug auf Besteuerungszeiträume ab dem 1. Januar 2016 mit der zuständigen Behörde jedes anderen Mitgliedstaats aus:
a) Name, Anschrift, STEUERIDENTIFIKATIONSNUMMER(N) sowie Geburtsdatum und -ort (bei natürlichen Personen) jeder MELDEPFLICHTIGEN PERSON, die Inhaber des Kontos ist, sowie bei einem RECHTSTRÄGER, der KONTOINHABER ist und für den nach Anwendung von Verfahren zur Erfüllung der Sorgfaltspflichten nach den Anlagen eine oder mehrere BEHERRSCHENDE PERSONEN ermittelt wurden, die MELDEPFLICHTIGE PERSONEN sind, Name, Anschrift und STEUERIDENTIFIKATIONSNUMMER(N) des RECHTSTRÄGERS sowie Name, Anschrift, STEUERIDENTIFIKATIONSNUMMER(N), Geburtsdatum und -ort jeder MELDEPFLICHTIGEN PERSON,
b) Kontonummer (oder funktionale Entsprechung, wenn keine Kontonummer vorhanden),
c) Name und (gegebenenfalls) Identifikationsnummer des MELDENDEN FINANZINSTITUTS,
d) Kontosaldo oder -wert (einschließlich des BARWERTS oder Rückkaufwerts bei RÜCKKAUFSFÄHIGEN VERSICHERUNGS- oder RENTENVERSICHERUNGSVERTRÄGEN) zum Ende des betreffenden Kalenderjahrs oder eines anderen geeigneten Meldezeitraums oder, wenn das Konto im Laufe des Jahres beziehungsweise Zeitraums aufgelöst wurde, die Auflösung des Kontos,
e) bei VERWAHRKONTEN:
i) Gesamtbruttobetrag der Zinsen, Gesamtbruttobetrag der Dividenden und Gesamtbruttobetrag anderer Einkünfte, die mittels der auf dem Konto vorhandenen Vermögenswerte erzielt und jeweils auf das Konto (oder in Bezug auf das Konto) im Laufe des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums eingezahlt oder dem Konto gutgeschrieben wurden, sowie
ii) Gesamtbruttoerlöse aus der Veräußerung oder dem Rückkauf von FINANZVERMÖGEN, die während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden und für die das MELDENDE FINANZINSTITUT als Verwahrstelle, Makler, Bevollmächtigter oder anderweitig als Vertreter für den KONTOINHABER tätig war,
f) bei EINLAGENKONTEN der Gesamtbruttobetrag der Zinsen, die während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden, und
g) bei allen anderen Konten, die nicht unter Buchstabe e oder f aufgeführt sind, der Gesamtbruttobetrag, der in Bezug auf das Konto während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums an den KONTOINHABER gezahlt oder ihm gutgeschrieben wurde und für den das MELDENDE FINANZINSTITUT Schuldner ist, einschließlich der Gesamthöhe aller Einlösungsbeträge, die während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums an den KONTOINHABER geleistet wurden.
Für die Zwecke des Informationsaustauschs nach diesem Absatz und sofern dieser Absatz oder die Anhänge nichts Gegenteiliges vorsehen, können der Betrag und die Einordnung von Zahlungen zugunsten eines MELDEPFLICHTIGEN KONTOS nach den nationalen Rechtsvorschriften des die Informationen übermittelnden Mitgliedstaats bestimmt werden.
Die Unterabsätze 1 und 2 dieses Absatzes haben Vorrang vor Absatz 1 Buchstabe c oder jedem anderen Rechtsinstrument der Union, einschließlich der Richtlinie 2003/48/EG […] des Rates, soweit der betreffende Informationsaustausch in den Geltungsbereich des Absatzes 1 Buchstabe c oder den jedes anderen Rechtsinstruments der Union, einschließlich der Richtlinie 2003/48/EG, fallen würde.
[…]
(6) Die Übermittlung der Informationen erfolgt wie folgt:
a) für die in Absatz 1 festgelegten Arten von Einkünften und Vermögen mindestens einmal jährlich, innerhalb von sechs Monaten nach Ablauf des Steuerjahres des Mitgliedstaats, in dem die Information verfügbar wurde;
b) für die in Absatz 3a festgelegten Informationen jährlich innerhalb von neun Monaten nach Ablauf des Kalenderjahrs oder des entsprechenden Meldezeitraums, auf den sich die Information bezieht.
[…]"
4. Die maßgebliche Bestimmung der Verordnung (EU) Nr 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO), ABl 2016 L 119, 1, lautet:
"Abschnitt 2
Sicherheit personenbezogener Daten
Artikel 32
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
[…]"
III. Erwägungenrömisch drei. Erwägungen
1. Die – zulässige – Beschwerde ist nicht begründet.
2. Bedenken gegen die der angefochtenen Entscheidung zugrunde liegenden Rechtsvorschriften sind – aus der Sicht des Beschwerdefalles – nicht entstanden:
2.1. Der Beschwerdeführer behauptet, er werde durch das Erkenntnis des Bundesverwaltungsgerichtes in seinem Recht auf Schutz personenbezogener Daten gemäß Art7 und Art8 GRC sowie §1 DSG verletzt. Die Datenverarbeitung im Rahmen der §§112 und 113 Gemeinsamer Meldestandard-Gesetz (GMSG), BGBl I 116/2015, erfolge in Durchführung einer rechtswidrigen Grundlage, da §113 die RL 2011/16/EU, idF der RL 2014/107/EU, umsetze, die ihrerseits gegen Art8 GRC verstoße.2.1. Der Beschwerdeführer behauptet, er werde durch das Erkenntnis des Bundesverwaltungsgerichtes in seinem Recht auf Schutz personenbezogener Daten gemäß Art7 und Art8 GRC sowie §1 DSG verletzt. Die Datenverarbeitung im Rahmen der §§112 und 113 Gemeinsamer Meldestandard-Gesetz (GMSG), Bundesgesetzblatt Teil eins, 116 aus 2015,, erfolge in Durchführung einer rechtswidrigen Grundlage, da §113 die RL 2011/16/EU, in der Fassung der RL 2014/107/EU, umsetze, die ihrerseits gegen Art8 GRC verstoße.
Ferner behauptet der Beschwerdeführer, das Bundesverwaltungsgericht habe in Bezug auf die Verarbeitung der personenbezogenen Daten auf Grund des §113 GMSG und der Bestimmungen der RL 2011/16/EU, idF der RL 2014/107/EU, die Eingriffsschranken des Art8 Abs2 GRC, Art52 Abs1 GRC, Art8 Abs2 EMRK sowie §1 Abs2 DSG denkunmöglich angewendet. Auch in diesem Zusammenhang führt die Beschwerde im Wesentlichen ins Treffen, dass §113 GMSG verfassungswidrig sei.Ferner behauptet der Beschwerdeführer, das Bundesverwaltungsgericht habe in Bezug auf die Verarbeitung der personenbezogenen Daten auf Grund des §113 GMSG und der Bestimmungen der RL 2011/16/EU, in der Fassung der RL 2014/107/EU, die Eingriffsschranken des Art8 Abs2 GRC, Art52 Abs1 GRC, Art8 Abs2 EMRK sowie §1 Abs2 DSG denkunmöglich angewendet. Auch in diesem Zusammenhang führt die Beschwerde im Wesentlichen ins Treffen, dass §113 GMSG verfassungswidrig sei.
