TE Vfgh Erkenntnis 2023/3/9 E2097/2021

I. Der Beschwerdeführer ist durch das angefochtene Erkenntnis weder in einem verfassungsgesetzlich gewährleisteten Recht noch wegen Anwendung einer rechtswidrigen generellen Norm in seinen Rechten verletzt worden.

II. Die Beschwerde wird abgewiesen und dem Verwaltungsgerichtshof zur Entscheidung darüber abgetreten, ob der Beschwerdeführer durch das angefochtene Erkenntnis in einem sonstigen Recht verletzt worden ist.

Entscheidungsgründe

I. Sachverhalt, Beschwerde und Vorverfahren

1. Der Beschwerdeführer ist österreichischer Staatsbürger und in Österreich unbeschränkt einkommensteuerpflichtig. Er verfügt über ein Konto bei einer Bank in Deutschland.

2. Am 11. Februar 2020 erhob der Beschwerdeführer Beschwerde gemäß §24 Datenschutzgesetz (DSG) an die Datenschutzbehörde und machte geltend, dass der Bundesminister für Finanzen (BMF) personenbezogene Daten des Beschwerdeführers bis zum 30. September 2019 vom deutschen Bundeszentralamt für Steuern erhalten, diese verarbeitet und an die zuständige Abgabenbehörde weitergeleitet habe. Die automatische Verarbeitung und Übertragung dieser Daten sei gemäß §113 Gemeinsamer Meldestandard-Gesetz (GMSG) in Durchführung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Aufhebung der Richtlinie 77/799/EWG, idF der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, erfolgt. Die Verarbeitung der Daten verletze den Beschwerdeführer in seinen Grundrechten und verstoße gegen verschiedene Datenschutzvorschriften. Darüber hinaus sei der Beschwerdeführer erheblichen und unnötigen Datensicherheitsrisiken ausgesetzt.

2.1. Die Datenschutzbehörde wies die Beschwerde mit Teilbescheid vom 18. Mai 2020 hinsichtlich der geltend gemachten Verletzung im Recht auf Geheimhaltung ab und wies die Beschwerde bezüglich der beantragten Überprüfung der RL 2011/16/EU, idF der RL 2014/107/EU, auf ihre Vereinbarkeit mit der Datenschutz-Grundverordnung (DSGVO) und der Grundrechte-Charta sowie des Antrags auf Vorlage an den Gerichtshof der Europäischen Union zurück.

2.2. Der Beschwerdeführer brachte in seiner Bescheidbeschwerde im Wesentlichen vor, dass die Verarbeitung und Übermittlung der personenbezogenen Daten betreffend das deutsche Bankkonto des Beschwerdeführers mit einem Saldo von € 40,– für eine Steuerveranlagung weder erforderlich noch voraussichtlich erheblich sei. Demzufolge verletze die Datenverarbeitung im Rahmen des GMSG die Grundsätze der Verhältnismäßigkeit bzw der Erforderlichkeit gemäß Art8 Abs2 EMRK iVm Art52 GRC sowie den Grundsatz der Datenminimierung nach Art5 Abs1 litc DSGVO. Der Beschwerdeführer sei durch die Datenweitergabe unverhältnismäßigen Datensicherheitsrisiken ausgesetzt. Sämtliche Daten würden über ein einziges zentrales Übermittlungssystem grenzüberschreitend weitergeleitet, gegen welches Zweifel betreffend die Datensicherheit bestünden. Die RL 2011/16/EU, idF der RL 2014/107/EU, und das GMSG verstießen gegen die primär- und verfassungsrechtlich gewährleisteten Rechte auf Privatleben und Datenschutz sowie gegen den Grundsatz der Datenminimierung.

3. Das Bundesverwaltungsgericht wies die Beschwerde als unbegründet ab und führte aus, dass die Verarbeitung der in §112 Abs1 GMSG genannten Daten in Durchführung von Unionsrecht stattfinde und unter keine Ausnahme (Verarbeitung im Rahmen der gemeinsamen Außen- und Sicherheitspolitik, durch Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten oder durch Behörden im Strafrechtsbereich) falle, weshalb der sachliche Anwendungsbereich der DSGVO gemäß Art2 DSGVO eröffnet sei. Bei diesen Daten handle es sich um personenbezogene Daten iSd Art4 Z1 DSGVO, die im Rahmen des automatischen Informationsaustausches durch den BMF iSd Art4 Z2 DSGVO verarbeitet würden, weil sie erhoben, gespeichert, abgefragt und durch die Übermittlung offengelegt würden. Ebenso sei durch die Verarbeitung der zu meldenden Daten der Anwendungsbereich des §1 DSG eröffnet, weil an ihnen ein schutzwürdiges Interesse vorausgesetzt werden könne.

3.1. Es handle sich bei den Identitätsdaten, der Kontonummer und dem Kontostand – entgegen der Ansicht des Beschwerdeführers – jedoch nicht um "besonders schutzwürdige" Daten iSd §1 Abs2 DSG, weil diese keine Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse und philosophische Überzeugung, Gesundheit oder Sexualleben darstellten. Es liege auch keine "Verarbeitung besonderer Kategorien personenbezogener Daten" gemäß Art9 DSGVO vor, weil weder personenbezogene Daten verarbeitet würden, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, noch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person verarbeitet würden.

3.2. Art5 DSGVO sehe vor, dass die Datenverarbeitung zweckgebunden, dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müsse. Der Zweck der Datenverarbeitung lasse sich den Erwägungsgründen der RL 2014/107/EU entnehmen (Bekämpfung von grenzüberschreitendem Steuerbetrug und grenzüberschreitender Steuerhinterziehung). Das Ziel liege im öffentlichen Interesse, das dem Gemeinwohl diene.

3.3. Aus dem Grundsatz der Datenminimierung (Art5 Abs1 litc DSGVO) ergebe sich die Anforderung an die Verarbeitung, dass diese dem Zweck angemessen und erheblich sein muss. Im Hinblick auf die Zweckerreichung (Eindämmung grenzüberschreitender Steuerhinterziehung und grenzüberschreitenden Steuerbetrugs) sei die Übermittlung der gesetzlich vorgesehenen identifizierenden Daten Name, Adresse, Geburtsdatum und -ort, Steueridentifikationsnummer sowie der Daten, die Hinweise auf die Geldwerte im Ausland beinhalten (Kontonummer und Saldo), angemessen und auch erheblich, um eine Prüfung einer allfälligen Steuerhinterziehung oder eines Steuerbetrugs vornehmen zu können. Einzelne der übermittelten Daten ließen sich zur Zweckerreichung nicht wegdenken. Der Umfang der übermittelten Daten sei deutlich abgegrenzt, auf den Zweck bezogen und nicht überschießend.

Die Datenverarbeitung durch den BMF erfolge automatisch weder mit Rücksicht auf einen Verdachtsfall einer möglichen grenzüberschreitenden Steuerhinterziehung noch in Bezug auf die Höhe des Kontosaldos. Die Richtlinie sehe ausdrücklich keine Mindestschwelle der Kontosalden vor, weil dies "in der Praxis nicht durchführbar" (Erwägungsgrund 15 der RL 2014/107/EU) sei und diese leicht umgangen werden könnte, indem Konten auf verschiedene Finanzinstitute aufgeteilt würden (Erwägungsgrund 10 der RL 2014/107/EU). Es könne davon ausgegangen werden, dass das öffentliche Interesse an der Zweckerreichung das Interesse der Betroffenen mit nur kleinen Einlagen am Schutz ihrer personenbezogenen Daten bzw auf Achtung ihres Privatlebens nach Art7 GRC und Art8 EMRK überwiege.

3.4. Der automatische Datenaustausch sei "indiskriminierend" vorgesehen, das heiße, dass es keines Anfangsverdachts auf einen geplanten Steuerbetrug bedürfe. Die Rechtsprechung des Gerichtshofes der Europäischen Union zur Vorratsdatenspeicherung (EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua; 21.12.2016, C-203/15, C-698/15, Tele2 Sverige ua) könne jedoch auf diesen Fall nicht übertragen werden. Erstens habe die Rechtsprechung des Gerichtshofes der Europäischen Union die Verarbeitung von Daten betroffen, die Rückschlüsse auf wesentliche Bereiche des Privatlebens von Personen zuließen (zB Gesprächs- bzw Kommunikationsdaten, Standortdaten etc.). Die im Rahmen der RL 2011/16/EU, idF der RL 2014/107/EU, übermittelten Daten gäben nur Auskunft darüber, dass eine – identifizierbare – Person über ein solches Konto mit einem bestimmten Kontowert oder -saldo und Zinsbetrag verfüge. Es würden dadurch keine weiteren Rückschlüsse in wesentliche Teile des Privatlebens einer Person ermöglicht. Zweitens beziehe sich die zitierte Rechtsprechung des Gerichtshofes der Europäischen Union auf Regelungen, die flächendeckend beinahe die gesamte europäische Bevölkerung (alle Personen, die elektronische Kommunikationsmittel verwenden) betroffen haben. Im vorliegenden Fall sei jedoch nur eine kleinere Gruppe von Personen (jene, die über Konten außerhalb ihres Steueransässigkeitsstaates verfügt) betroffen. Der durch die RL 2011/16/EU, idF der RL 2014/107/EU, bewirkte Eingriff müsse daher als wesentlich geringer angesehen werden als jener durch die Vorratsdatenspeicherung.

Auch aus der vom Beschwerdeführer zitierten "safe haven"-Entscheidung des Gerichtshofes der Europäischen Union (EuGH 6.10.2015, C-362/14, Schrems) sei für diesen Fall nichts zu gewinnen. Dieser Fall habe die Übermittlung von personenbezogenen Daten in ein Drittland und das dort vorhandene Schutzniveau betroffen. Im vorliegenden Fall seien jedoch keine Daten des Beschwerdeführers in ein Drittland übermittelt worden.

3.5. In Bezug auf das behauptete Fehlen von Datensicherungsmaßnahmen führte das Bundesverwaltungsgericht aus, dass der Grundsatz der Datenminimierung den Aspekt der Datensicherheit berücksichtige und darüber hinaus kein subjektives Recht auf die Vornahme bestimmter Datensicherheitsmaßnahmen bestehe. Daher seien die diesbezüglichen Argumente des Beschwerdeführers als vom Erforderlichkeitsgrundsatz absorbiert anzusehen. Zudem habe der Beschwerdeführer keine Hinweise darauf gegeben, dass er selbst Opfer eines Hacker-Angriffs in diesem Zusammenhang geworden sei.

3.6. Die Datenverarbeitung durch den BMF sei rechtmäßig erfolgt, da diese zur Erfüllung einer rechtlichen Verpflichtung (iSd Art6 Abs1 litc DSGVO) erforderlich gewesen sei, weil der BMF nach dem GMSG zur entsprechenden Datenverarbeitung verpflichtet sei. Das GMSG setze die RL 2011/16/EU, idF RL 2014/107/EU, um. Die Kooperation zwischen den Mitgliedstaaten mittels automatischen Datenaustausches über im Ausland befindliche Kontoinformationen zur Bekämpfung von grenzüberschreitendem Steuerbetrug und grenzüberschreitender Steuerhinterziehung stelle einen Zweck im öffentlichen Interesse dar, der durch den Gesetzgebungsprozess auf Unionsebene demokratisch legitimiert und ausreichend präzise sei. Der Umfang des Datenaustausches halte sich zudem an den Grundsatz der Erforderlichkeit. Damit sei die durch den BMF vorgenommene Datenverarbeitung im Rahmen des Art6 Abs1 litc iVm Abs3 DSGVO rechtmäßig.

Auch im Hinblick auf das in §1 DSG normierte Recht auf Geheimhaltung personenbezogener Daten erfülle das GMSG die notwendigen Voraussetzungen einer gesetzlichen Grundlage für den Eingriff iSd §1 Abs2 DSG. Dieser geschehe auf Grundlage des berechtigten Interesses der Allgemeinheit an der Bekämpfung von grenzüberschreitender Steuerhinterziehung und grenzüberschreitendem Steuerbetrug. Im vorliegenden Fall handle es sich nicht um besonders schutzwürdige Daten. Die Datenverarbeitung werde auch in der gelindesten, zum Ziel führenden Art vorgenommen, sodass die auf dem GMSG basierende Datenverarbeitung durch den BMF nicht gegen §1 DSG verstoße.

3.7. Auch hinsichtlich der teilweisen Zurückweisung der Beschwerde (bezüglich des Antrags auf Überprüfung der Vereinbarkeit der RL 2011/16/EU, idF der RL 2014/107/EU, mit der DSGVO und der Grundrechte-Charta sowie des Antrags auf Vorlage an den Gerichtshof der Europäischen Union) folgte das Bundesverwaltungsgericht der belangten Behörde. Für das Bundesverwaltungsgericht ergebe sich aus dem Beschwerdevorbringen keine durch den Gerichtshof der Europäischen Union zu klärende Frage.

4. Die auf Art144 Abs1 B-VG gestützte Beschwerde bringt im Wesentlichen Folgendes vor:

4.1. Eine Verarbeitung der personenbezogenen Daten des Beschwerdeführers durch den BMF auf Grund des §113 GMSG (bzw der Bestimmungen der RL 2011/16/EU, idF der RL 2014/107/EU) sei nach Art8 GRC und Art52 GRC nur zulässig, wenn diese gesetzlich vorgesehen sei, keine Verletzung des Wesensgehalts des Grundrechts auf Datenschutz vorliege, die Datenverarbeitung ein legitimes Ziel verfolge und der Eingriff in das Recht auf Datenschutz zur Zielerreichung geeignet, erforderlich und angemessen (verhältnismäßig) sei. Die Datenverarbeitung erfolge jedoch ohne rechtmäßige gesetzliche Grundlage, weil §113 GMSG gegen Art8 GRC verstoße. Darüber hinaus verstoße auch die RL 2011/16/EU, idF der RL 2014/107/EU, gegen Art8 GRC.

4.2. Die Verhältnismäßigkeit der Datenverarbeitung sei nicht gegeben. Das Ziel der Bekämpfung von Steuerhinterziehung liege zwar im öffentlichen Interesse, jedoch sei die Form der Datenverarbeitung zur Zielerreichung nicht erforderlich. Viele der – in den §§3, 112 GMSG und in Art8 Abs3a der RL 2011/16/EU, idF der RL 2014/107/EU, angeführten – erfassten Informationen seien nämlich nicht erforderlich; es finde eine unnötige Verdoppelung der Daten (insbesondere Namen, Geburtsdatum, Steuernummer, Adresse) statt, weil bereits aus der erfassten Steueridentifikationsnummer die Identität der Person ableitbar wäre. Die Daten Geburtsort des Kontoinhabers und Kontosaldo seien darüber hinaus gänzlich ungeeignet, steuerbare Sachverhalte zu belegen. Bereits die Information, dass in einem anderen Staat ein Konto bestehe, reiche für den Ansässigkeitsstaat aus, um in weiterer Folge entsprechende Kontrollmaßnahmen zu setzen. Ein auf diesen Informationen basierendes Informationsansuchen wäre ein gelinderes Mittel.

4.3. Die Speicherung der Daten erfolge ohne Differenzierung, Einschränkung oder Ausnahmen. Die Unverhältnismäßigkeit und damit die Unzulässigkeit dieser Art der Datenverarbeitung habe der Gerichtshof der Europäischen Union (EuGH 6.10.2015, C-362/14, Schrems) bestätigt. Darüber hinaus seien nach der Rechtsprechung des Gerichtshofes der Europäischen Union präzise Regeln für die Nutzung der Daten und ausreichende Garantien gegen missbräuchliche Nutzung erforderlich. Erfolgten keine Einschränkungen im Hinblick auf das Ziel, sei die Erforderlichkeit des Eingriffs zu verneinen (vgl EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua).

4.4. Die Verarbeitung der personenbezogenen Daten sei nicht rechtmäßig, weil das Ausmaß der Zielerreichung nicht in einem angemessenen Verhältnis zum Grundrechtseingriff stehe. Dies zeige sich vor allem vor dem Hintergrund, dass Daten ohne jeden Anhaltspunkt für die Begehung einer Finanzstraftat und ungeachtet jedes überaus geringen Kontostandes – ohne "De-minimis-Regelung" – verarbeitet worden seien. In Bezug auf die Bekämpfung von Steuerbetrug sei die Verarbeitung personenbezogener Daten nach der jüngeren Rechtsprechung des Gerichtshofes der Europäischen Union nur dann zulässig, wenn hinreichende Anhaltspunkte für die Begehung von Finanzstraftaten bestünden (EuGH 27.9.2017, C-73/16, Puškár, Rz 117). Die Daten lieferten auch keinen Mehrwert für die Bekämpfung von Steuerbetrug oder die Verhinderung von Steuerhinterziehung und setzten die Betroffenen einem hohen Risiko im Hinblick auf eine unbefugte oder unrechtmäßige Verarbeitung oder einen gänzlichen Verlust beim Verantwortlichen aus. Damit seien die Daten Millionen unbescholtener Bürger einem unverhältnismäßig hohen Risiko für ihre Datensicherheit ausgesetzt.

4.5. Auf Grund der Verpflichtung zur Datenverarbeitung nach Treu und Glauben müsse der Betroffene zudem ordnungsgemäß über die Verarbeitung seiner Daten und umfassend über die Bedingungen der Erhebung informiert sein. Der Gerichtshof der Europäischen Union habe in seinem Urteil vom 1. Oktober 2015, C-201/14, Bara (Rz 33, 38, 42), festgestellt, dass der Transfer von Steuerdaten nur dann erlaubt sei, wenn der Steuerpflichtige über den Informationsaustausch im Vorhinein informiert werde. Weil §113 GMSG und die RL 2011/16/EU, idF der RL 2014/107/EU, keine Informationspflichten des BMF vorsähen, sei die Datenverarbeitung als unverhältnismäßig anzusehen.

5. Das Bundesverwaltungsgericht hat die Verwaltungs- und Gerichtsakten vorgelegt, aber von der Erstattung einer Gegenschrift abgesehen.

6. Die Datenschutzbehörde hat eine Gegenschrift erstattet, in der sie sich den Erwägungen des Bundesverwaltungsgerichtes anschließt und zudem ausführt, dass der Inhalt des §112 Abs1 GMSG unionsrechtlich zwingend vorgegeben sei, sodass sich nur die Frage stelle, ob die §112 GMSG zugrundeliegende unionsrechtliche Bestimmung im Einklang mit Art8 und Art51 GRC stehe. Zudem könnten die vom Beschwerdeführer geltend gemachten verfassungsrechtlichen Bedenken nicht nachvollzogen werden, zumal die Übermittlungspflicht lediglich mit einem Mal pro Jahr festgelegt werde und dies nicht als unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz nach §1 DSG bzw Art8 GRC gewertet werden könne. Das Bundesverwaltungsgericht sei zu Recht zum Ergebnis gelangt, dass das GMSG die Voraussetzungen eines Gesetzes für einen Eingriff iSd §1 Abs2 DSG erfülle und der Beschwerdeführer nicht in seinem verfassungsgesetzlich gewährleisteten Recht gemäß §1 Abs1 DSG verletzt worden sei.

7. Der Beschwerdeführer hat in seiner Replik die Durchführung einer mündlichen Verhandlung beantragt und auf das Urteil des Gerichtshofes der Europäischen Union vom 22. November 2022, C-37/20, C-601/20, Luxembourg Business Registers, hingewiesen, in dem der Gerichtshof der Europäischen Union eine sachlich ähnliche Richtlinie für teilweise ungültig erklärt habe.

II. Rechtslage

1. Die maßgeblichen Bestimmungen des Bundesgesetzes zur Umsetzung des gemeinsamen Meldestandards für den automatischen Austausch von Informationen über Finanzkonten (Gemeinsamer Meldestandard-Gesetz – GMSG), BGBl I 116/2015, idF BGBl I91/2019 lauten:

"1. Hauptstück

Allgemeine Bestimmungen

[…]

Identifikation von meldepflichtigen Konten und Information der zu meldenden

Personen

§5. (1) Zur Durchführung dieses Bundesgesetzes ist jedes meldende Finanzinstitut verpflichtet, die in §3 bzw §12 genannten Informationen für alle Kontoinhaber und sonstigen Kunden hinsichtlich aller bestehenden Konten und aller Neukonten zu ermitteln, zu erfassen, zu speichern und zu verarbeiten, unabhängig davon, ob es sich bei dem Kontoinhaber oder dem sonstigen Kunden um eine meldepflichtige Person im Sinne dieses Gesetzes handelt.

(2) Jedes meldende Finanzinstitut teilt vor der erstmaligen Übermittlung der Informationen an das zuständige Finanzamt jeder betroffenen Person in allgemeiner Form mit oder macht dieser zugänglich, dass die gemäß diesem Gesetz ermittelten Informationen, soweit aufgrund dieses Bundesgesetzes erforderlich, an das Finanzamt übermittelt werden.

(3) Jedes meldepflichtige Finanzinstitut hat die gemäß diesem Bundesgesetz übermittelten Informationen 5 Jahre nach Ablauf des Meldezeitraumes, auf den sich diese Informationen beziehen, zu löschen.

[…]

10. Hauptstück

Übermittlung und Weiterleitung der Informationen

Übermittlung der gemeldeten Informationen an ausländische Behörden

§112. (1) Der Bundesminister für Finanzen übermittelt jährlich innerhalb von neun Monaten nach Ablauf des Kalenderjahres, auf das sich die Informationen beziehen, nach einem automatisierten Verfahren der zuständigen Behörde jedes teilnehmenden Staats folgende Informationen:

1. Name, Adresse, Steueridentifikationsnummer(n) sowie Geburtsdatum und -ort (bei natürlichen Personen) jeder meldepflichtigen Person, die Inhaber des Kontos ist, sowie bei einem Rechtsträger, der Kontoinhaber ist und für den nach Anwendung von Verfahren zur Erfüllung der Sorgfaltspflichten nach den Anlagen eine oder mehrere beherrschende Personen ermittelt wurden, die meldepflichtige Personen sind, Name, Adresse und Steueridentifikationsnummer(n) des Rechtsträgers sowie Name, Adresse, Steueridentifikationsnummer(n), Geburtsdatum und -ort jeder meldepflichtigen Person,

2. Kontonummer (oder funktionale Entsprechung, wenn keine Kontonummer vorhanden),

3. Name und (gegebenenfalls) Identifikationsnummer des meldenden Finanzinstituts,

4. Kontosaldo oder -wert (einschließlich des Barwerts oder Rückkaufwerts bei rückkaufsfähigen Versicherungs- oder Rentenversicherungsverträgen) zum Ende des betreffenden Kalenderjahrs oder, wenn das Konto im Laufe des Jahres beziehungsweise Zeitraums aufgelöst wurde, die Auflösung des Kontos,

5. bei Verwahrkonten:

a) Gesamtbruttobetrag der Zinsen, Gesamtbruttobetrag der Dividenden und Gesamtbruttobetrag anderer Einkünfte, die mittels der auf dem Konto vorhandenen Vermögenswerte erzielt und jeweils auf das Konto (oder in Bezug auf das Konto) im Laufe des Kalenderjahrs eingezahlt oder dem Konto gutgeschrieben wurden, sowie

b) Gesamtbruttoerlöse aus der Veräußerung oder dem Rückkauf von Finanzvermögen, die während des Kalenderjahrs auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden und für die das meldende Finanzinstitut als Verwahrstelle, Makler, Bevollmächtigter oder anderweitig als Vertreter für den Kontoinhaber tätig war,

6. bei Einlagenkonten der Gesamtbruttobetrag der Zinsen, die während des Kalenderjahrs auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden, und

7. bei allen anderen Konten, die nicht unter Z5 oder Z6 aufgeführt sind, der Gesamtbruttobetrag, der in Bezug auf das Konto während des Kalenderjahrs an den Kontoinhaber gezahlt oder ihm gutgeschrieben wurde und für den das meldende Finanzinstitut Schuldner ist, einschließlich der Gesamthöhe aller Einlösungsbeträge, die während des Kalenderjahrs an den Kontoinhaber geleistet wurden.

(2) Die nach Abs1 zu übermittelnden Informationen beziehen sich auf Besteuerungszeiträume ab dem 1. Jänner 2017. Abweichend davon sind in Bezug auf Neukonten im Sinne der §§82 und 86 bereits Informationen erfasst, die den Zeitraum zwischen 1. Oktober 2016 und 31. Dezember 2016 betreffen.

(3) Ungeachtet des Abs1 erfolgt eine Übermittlung der Informationen gemäß §3 nur an die zuständige Behörde jener teilnehmenden Staaten gemäß §91 Z2, welche die in §7 der mehrseitigen Vereinbarung vom 29. Oktober 2014, BGBl III Nr 182/2017, über den automatischen Austausch von Informationen über Finanzkonten (OECD-MCAA) geforderten Voraussetzungen erfüllen.

Weiterleitung ausländischer Informationen an die

zuständigen Abgabenbehörden

§113. Von teilnehmenden Staaten im Rahmen des nach diesem Bundesgesetz vorgesehenen automatischen Informationsaustausches eingehende Informationen werden vom Bundesminister für Finanzen ein Mal jährlich an die zuständigen Abgabenbehörden weiter geleitet."

2. Die maßgeblichen Erwägungsgründe der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, ABl. 2014 L 359, 1, lauten:

"(1) In den letzten Jahren haben sich grenzüberschreitender Steuerbetrug und grenzüberschreitende Steuerhinterziehung zu einer erheblichen Herausforderung entwickelt und sind in der Europäischen Union sowie weltweit in den Mittelpunkt des Interesses gerückt. Nationale Steuereinahmen werden durch nicht gemeldete und nicht besteuerte Einkünfte beträchtlich geschmälert. Daher muss die Steuererhebung effizienter und wirksamer werden. Der automatische Austausch von Informationen ist in dieser Hinsicht ein wichtiges Instrument, und die Kommission hat in ihrer Mitteilung vom 6. Dezember 2012 mit einem Aktionsplan zur Verstärkung der Bekämpfung von Steuerbetrug und Steuerhinterziehung betont, dass der automatische Austausch von Informationen als künftiger europäischer und internationaler Standard für Transparenz und Informationsaustausch in Steuerfragen nachdrücklich gefördert werden muss.

[…]

(3) Der Europäische Rat forderte am 22. Mai 2013, den automatischen Informationsaustausch auf der Unionsebene und weltweit zu erweitern, um Steuerbetrug, Steuerhinterziehung und aggressive Steuerplanung einzudämmen. Der Europäische Rat begrüßte auch die Anstrengungen zur Erarbeitung eines globalen Standards für den automatischen Informationsaustausch über Finanzkonten in Steuersachen, die derzeit im Rahmen der G20, der G8 und der OECD unternommen werden.

[…]

(10) Mit den von dieser Richtlinie erfassten Kategorien MELDENDER FINANZINSTITUTE und MELDEPFLICHTIGER KONTEN sollen die Möglichkeiten der Steuerpflichtigen eingeschränkt werden, die Meldung zu vermeiden, indem sie Vermögen auf FINANZINSTITUTE verlagern oder in Finanzprodukte investieren, die nicht in den Geltungsbereich dieser Richtlinie fallen. Allerdings sollten einige FINANZINSTITUTE und Konten, bei denen ein geringes Risiko besteht, dass sie zur Steuerhinterziehung missbraucht werden, vom Geltungsbereich dieser Richtlinie ausgenommen werden. Es sollten allgemein keine Mindestbeträge in diese Richtlinie aufgenommen werden, da diese leicht umgangen werden könnten, indem Konten auf verschiedene FINANZINSTITUTE aufgeteilt werden. Die Finanzinformationen, die gemeldet und ausgetauscht werden müssen, sollten nicht nur die entsprechenden Einkünfte (Zinsen, Dividenden und ähnliche Einkünfte), sondern auch Kontosalden und Erlöse aus der Veräußerung von FINANZVERMÖGEN betreffen, um Situationen Rechnung zu tragen, in denen ein Steuerpflichtiger Kapital zu verstecken versucht, das selbst Einkünfte oder Vermögen darstellt, die bzw das Gegenstand einer Steuerhinterziehung sind bzw ist. Daher ist die Verarbeitung von Informationen im Rahmen dieser Richtlinie notwendig und verhältnismäßig, damit die Steuerverwaltungen der Mitgliedstaaten die betreffenden Steuerpflichtigen korrekt und zweifelsfrei ermitteln, ihr Steuerrecht bei grenzüberschreitenden Sachverhalten anwenden und durchsetzen, die Wahrscheinlichkeit einer vorliegenden Steuerhinterziehung beurteilen und unnötige weitere Untersuchungen vermeiden können.

[…]

(15) Die Bezugnahme auf einen Mindestbetrag in Artikel 8 Absatz 3 der Richtlinie 2011/16/EU sollte entfallen, da eine solche Schwelle in der Praxis wohl nicht durchführbar ist.

[…]"

3. Die maßgebliche Bestimmung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Aufhebung der Richtlinie 77/799/EWG, ABl. 2011 L 64, 1, idF der Richtlinie 2014/107/EU zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung, ABl. 2014 L 359, 1, lautet:

"ABSCHNITT II

Verpflichtender automatischer Informationsaustausch

Artikel 8

Umfang und Voraussetzungen des verpflichtenden

automatischen Informationsaustauschs

[…]

(3a) Jeder Mitgliedstaat ergreift die notwendigen Maßnahmen, um seine MELDENDEN FINANZINSTITUTE zur Befolgung der in den Anhängen I und II enthaltenen Melde- und Sorgfaltsvorschriften und zur Gewährleistung einer wirksamen Anwendung und Einhaltung dieser Vorschriften im Einklang mit Abschnitt IX des Anhangs I zu verpflichten.

Gemäß den geltenden Melde- und Sorgfaltsvorschriften in den Anhängen I und II tauscht die zuständige Behörde jedes Mitgliedstaats innerhalb der in Absatz 6 Buchstabe b festgelegten Frist nach einem automatisierten Verfahren die folgenden Informationen über ein MELDEPFLICHTIGES KONTO in Bezug auf Besteuerungszeiträume ab dem 1. Januar 2016 mit der zuständigen Behörde jedes anderen Mitgliedstaats aus:

a) Name, Anschrift, STEUERIDENTIFIKATIONSNUMMER(N) sowie Geburtsdatum und -ort (bei natürlichen Personen) jeder MELDEPFLICHTIGEN PERSON, die Inhaber des Kontos ist, sowie bei einem RECHTSTRÄGER, der KONTOINHABER ist und für den nach Anwendung von Verfahren zur Erfüllung der Sorgfaltspflichten nach den Anlagen eine oder mehrere BEHERRSCHENDE PERSONEN ermittelt wurden, die MELDEPFLICHTIGE PERSONEN sind, Name, Anschrift und STEUERIDENTIFIKATIONSNUMMER(N) des RECHTSTRÄGERS sowie Name, Anschrift, STEUERIDENTIFIKATIONSNUMMER(N), Geburtsdatum und -ort jeder MELDEPFLICHTIGEN PERSON,

b) Kontonummer (oder funktionale Entsprechung, wenn keine Kontonummer vorhanden),

c) Name und (gegebenenfalls) Identifikationsnummer des MELDENDEN FINANZINSTITUTS,

d) Kontosaldo oder -wert (einschließlich des BARWERTS oder Rückkaufwerts bei RÜCKKAUFSFÄHIGEN VERSICHERUNGS- oder RENTENVERSICHERUNGSVERTRÄGEN) zum Ende des betreffenden Kalenderjahrs oder eines anderen geeigneten Meldezeitraums oder, wenn das Konto im Laufe des Jahres beziehungsweise Zeitraums aufgelöst wurde, die Auflösung des Kontos,

e) bei VERWAHRKONTEN:

i) Gesamtbruttobetrag der Zinsen, Gesamtbruttobetrag der Dividenden und Gesamtbruttobetrag anderer Einkünfte, die mittels der auf dem Konto vorhandenen Vermögenswerte erzielt und jeweils auf das Konto (oder in Bezug auf das Konto) im Laufe des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums eingezahlt oder dem Konto gutgeschrieben wurden, sowie

ii) Gesamtbruttoerlöse aus der Veräußerung oder dem Rückkauf von FINANZVERMÖGEN, die während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden und für die das MELDENDE FINANZINSTITUT als Verwahrstelle, Makler, Bevollmächtigter oder anderweitig als Vertreter für den KONTOINHABER tätig war,

f) bei EINLAGENKONTEN der Gesamtbruttobetrag der Zinsen, die während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums auf das Konto eingezahlt oder dem Konto gutgeschrieben wurden, und

g) bei allen anderen Konten, die nicht unter Buchstabe e oder f aufgeführt sind, der Gesamtbruttobetrag, der in Bezug auf das Konto während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums an den KONTOINHABER gezahlt oder ihm gutgeschrieben wurde und für den das MELDENDE FINANZINSTITUT Schuldner ist, einschließlich der Gesamthöhe aller Einlösungsbeträge, die während des Kalenderjahrs oder eines anderen geeigneten Meldezeitraums an den KONTOINHABER geleistet wurden.

Für die Zwecke des Informationsaustauschs nach diesem Absatz und sofern dieser Absatz oder die Anhänge nichts Gegenteiliges vorsehen, können der Betrag und die Einordnung von Zahlungen zugunsten eines MELDEPFLICHTIGEN KONTOS nach den nationalen Rechtsvorschriften des die Informationen übermittelnden Mitgliedstaats bestimmt werden.

Die Unterabsätze 1 und 2 dieses Absatzes haben Vorrang vor Absatz 1 Buchstabe c oder jedem anderen Rechtsinstrument der Union, einschließlich der Richtlinie 2003/48/EG […] des Rates, soweit der betreffende Informationsaustausch in den Geltungsbereich des Absatzes 1 Buchstabe c oder den jedes anderen Rechtsinstruments der Union, einschließlich der Richtlinie 2003/48/EG, fallen würde.

[…]

(6) Die Übermittlung der Informationen erfolgt wie folgt:

a) für die in Absatz 1 festgelegten Arten von Einkünften und Vermögen mindestens einmal jährlich, innerhalb von sechs Monaten nach Ablauf des Steuerjahres des Mitgliedstaats, in dem die Information verfügbar wurde;

b) für die in Absatz 3a festgelegten Informationen jährlich innerhalb von neun Monaten nach Ablauf des Kalenderjahrs oder des entsprechenden Meldezeitraums, auf den sich die Information bezieht.

[…]"

4. Die maßgebliche Bestimmung der Verordnung (EU) Nr 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO), ABl. 2016 L 119, 1, lautet:

"Abschnitt 2

Sicherheit personenbezogener Daten

Artikel 32

Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

[…]"

III. Erwägungen

1. Die – zulässige – Beschwerde ist nicht begründet.

2. Bedenken gegen die der angefochtenen Entscheidung zugrundeliegenden Rechtsvorschriften sind – aus der Sicht des Beschwerdefalles – nicht entstanden:

2.1. Der Beschwerdeführer behauptet, er werde durch das Erkenntnis des Bundesverwaltungsgerichtes in seinem Recht auf Schutz personenbezogener Daten gemäß Art7 und Art8 GRC sowie §1 DSG verletzt. Die Datenverarbeitung im Rahmen der §§112 und 113 Gemeinsamer Meldestandard-Gesetz (GMSG), BGBl I 116/2015, erfolge in Durchführung einer rechtswidrigen Grundlage, da §113 die RL 2011/16/EU, idF der RL 2014/107/EU, umsetze, die ihrerseits gegen Art8 GRC verstoße.

Ferner behauptet der Beschwerdeführer, das Bundesverwaltungsgericht habe in Bezug auf die Verarbeitung der personenbezogenen Daten auf Grund des §113 GMSG und der Bestimmungen der RL 2011/16/EU, idF der RL 2014/107/EU, die Eingriffsschranken des Art8 Abs2 GRC, Art52 Abs1 GRC, Art8 Abs2 EMRK sowie §1 Abs2 DSG denkunmöglich angewendet. Auch in diesem Zusammenhang führt die Beschwerde im Wesentlichen ins Treffen, dass §113 GMSG verfassungswidrig sei.

2.2. Diese Bedenken treffen jedoch nicht zu:

2.2.1. Nach §112 GMSG übermittelt der BMF jährlich nach einem automatisierten Verfahren Informationen über Finanzkonten an die zuständigen Behörden jedes teilnehmenden Staates. Diese Informationen umfassen gemäß §112 Abs1 GMSG bei natürlichen Personen Name, Adresse, Steueridentifikationsnummer(n), Geburtsdatum und -ort jeder meldepflichtigen Person, die Inhaber des Kontos ist, Kontonummer (bzw funktionale Entsprechung), Kontosaldo oder -wert zum Ende des betreffenden Kalenderjahrs (bzw bei Auflösung des Kontos) und bei Einlagenkonten den Gesamtbruttobetrag der Zinsen. Gemäß §113 GMSG besteht ferner die Verpflichtung des BMF, die Informationen, welche im Rahmen des nach dem GMSG ausdrücklich vorgesehenen automatischen Informationsaustausches von den teilnehmenden Staaten eingehen, einmal jährlich an die zuständigen Abgabenbehörden weiterzuleiten.

Die §§112 und 113 GMSG setzen damit die für den Beschwerdefall, der den Informationsaustausch zwischen EU-Mitgliedstaaten betrifft, zu beachtende Bestimmung des Art8 Abs3a der RL 2011/16/EU, idF der RL 2014/107/EU, um. Diese Regelung bestimmt, dass unter anderem bei natürlichen Personen Name, Anschrift, Steueridentifikationsnummer(n), Geburtsdatum und -ort jeder meldepflichtigen Person, die Inhaber des Kontos ist, Kontonummer (bzw funktionale Entsprechung), Kontosaldo oder -wert zum Ende des betreffenden Kalenderjahrs (bzw bei Auflösung des Kontos) und bei Einlagenkonten der Gesamtbruttobetrag der Zinsen betreffend meldepflichtige Konten in einem automatisierten Verfahren mit den zuständigen Behörden jedes anderen Mitgliedstaates auszutauschen sind.

2.2.2. Art8 Abs3a der Richtlinie nennt somit im Einzelnen die automatisiert weiterzuleitenden Daten ausdrücklich und schafft insoweit vollharmonisiertes Unionsrecht, indem die Regelung in Bezug auf den Umfang der weiterzuleitenden Daten keinen inhaltlichen Spielraum für die Mitgliedstaaten lässt. Die Bestimmungen der §§112 und 113 GMSG setzen die diesbezüglichen Regelungen der RL 2011/16/EU, idF der RL 2014/107/EU, insofern auch inhaltlich deckungsgleich (zum Großteil sogar wörtlich) um (vgl auch ErlRV BlgNR 685 25. GP, 21 f: "Der Umfang der zu übermittelnden Informationen entspricht vollinhaltlich den Bestimmungen des durch diese Richtlinie in Art8 der Richtlinie 2011/16/EU neu eingefügten Abs3a.").

2.2.3. Damit kommt aber dem Verfassungsgerichtshof für den automatischen Informationsaustausch über Finanzkonten in Steuersachen zwischen den EU-Mitgliedstaaten eine Zuständigkeit zur Prüfung der Verfassungsmäßigkeit der §§112 und 113 GMSG nur dann zu, wenn zuvor der Gerichtshof der Europäischen Union die zugrundeliegende, die Umsetzungsbestimmungen vollständig determinierende Bestimmung des Art8 Abs3a der Richtlinie für ungültig erklärt (vgl VfSlg 20.209/2017).

2.2.4. Allfällige Bedenken ob der Vereinbarkeit des Art8 Abs3a der Richtlinie (und damit der §§112 und 113 GMSG) mit Art7 und Art8 GRC sind beim Verfassungsgerichtshof aus Anlass des vorliegenden Falles aber nicht entstanden, sodass er sich mangels begründeten Zweifels an der Gültigkeit dieser Richtlinienbestimmung auch nicht veranlasst sieht, diese Frage im Wege eines Verfahrens nach Art267 AEUV an den Gerichtshof der Europäischen Union heranzutragen:

2.2.4.1. Nach Art7 GRC hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation, während in Art8 Abs1 GRC jeder Person ausdrücklich das Recht auf Schutz der sie betreffenden personenbezogenen Daten zuerkannt wird.

2.2.4.2. Für die in Art7 und Art8 GRC garantierten Rechte ist zu beachten, dass Einschränkungen nach Art52 GRC zulässig sind, sofern sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit müssen sie erforderlich sein und den von der Europäischen Union anerkannten, dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen (vgl EuGH 8.12.2022, C-694/20, Orde van Vlaamse Balies ua, Rz 34).

Bei Eingriffen in das Recht auf Schutz der persönlichen Daten ergibt sich aus der Rechtsprechung, dass im Rahmen der Verhältnismäßigkeitsprüfung eine Abwägung zwischen den öffentlichen Interessen an der Erhebung bestimmter Daten und dem Schutz des Privatlebens zu treffen ist. Es ist das öffentliche Interesse an der Erlangung und Verwertung der Daten gegenüber dem Eingriff in das Persönlichkeitsrecht abzuwägen. Persönliche Daten, die zum Zwecke einer späteren automatischen Datenverarbeitung gesammelt werden, sind besonders schützenswert. Sichergestellt sein muss, dass nur relevante Daten gesammelt werden und diese nicht länger aufbewahrt werden, als dies für die Realisierung der Ziele erforderlich ist. Zudem müssen geeignete Schutzmaßnahmen gegen den Missbrauch der gespeicherten Daten vorgesehen sein (vgl Grabenwarter/Pabel, EMRK7, 2021, 327; EGMR 4.12.2008 [GK], 30.562/04, S. u. Marper, Z103; 18.4.2013, 19.522/09, M. K., Z32; 4.6.2013, 7.841/08, Peruzzo u. Martens ua, Z44 ff; 22.6.2017, 8.806/12, Aycaguer, Z38 ff).

2.2.4.3. Die Weitergabe von Informationen nach den Bestimmungen der RL 2011/16/EU, idF der RL 2014/107/EU, (und somit auch nach den §§112 und 113 GMSG) soll nicht nur – wie vom Beschwerdeführer und dem Bundesverwaltungsgericht angenommen – Steuerbetrug und Steuerhinterziehung verhindern, sondern auch insgesamt die Wirksamkeit und Effizienz der Steuererhebung fördern sowie "aggressive Steuerplanung" eindämmen (siehe Erwägungsgründe 1 und 3 der RL 2014/107/EU). Das Ziel der Bekämpfung von Steuerhinterziehung, welches offenkundig – und auch vom Beschwerdeführer unbestritten – im öffentlichen Interesse liegt, stellt also nur eines von mehreren durch die Richtlinie verfolgten Zielen, welche allesamt im öffentlichen Interesse liegen, dar (vgl Ehrke-Rabel, Geheimhaltungs- und Informationsinteressen beim automatischen internationalen Informationsaustausch nach dem GMSG, SWI 2016, 67 [75]).

Nach Erwägungsgrund 10 der Richtlinie ist die Informationsverarbeitung im Rahmen dieser Richtlinie notwendig, damit die Steuerverwaltungen der Mitgliedstaaten "die betreffenden Steuerpflichtigen korrekt und zweifelsfrei ermitteln, ihr Steuerrecht bei grenzüberschreitenden Sachverhalten anwenden und durchsetzen, die Wahrscheinlichkeit einer vorliegenden Steuerhinterziehung beurteilen und unnötige weitere Untersuchungen vermeiden können". Dieser Informationsaustausch soll damit den Abgabenbehörden der Ansässigkeitsstaaten einen effizienten Steuervollzug und die Kontrolle grenzüberschreitender Sachverhalte ermöglichen (vgl Ehrke-Rabel, aaO, 75 f).

2.2.4.4. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union stellen die Bekämpfung "aggressiver Steuerplanung" und die Verhinderung von Steuerhinterziehung und Steuerbetrug von der Union anerkannte dem Gemeinwohl dienende Zielsetzungen im Sinne des Art52 GRC dar, die es erlauben, die Ausübung der durch Art7 und Art8 GRC garantierten Rechte einzuschränken (vgl EuGH 6.10.2020, C-245/19, C-246/19, Luxemburgischer Staat; 8.12.2022, C-694/20, Orde van Vlaamse Balies ua). Dies gilt naturgemäß im Besonderen für die Besteuerung von Erträgnissen aus Auslandsveranlagungen sowie generell für Einnahmen, die auf ausländischen Finanzkonten erfasst werden, womit die Regelung des Art8 Abs3a der Richtlinie eine dem Gemeinwohl dienende Zielsetzung verfolgt.

2.2.4.5. Vor dem Hintergrund des Beschwerdefalles ist nicht zu erkennen, dass der durch die RL 2011/16/EU, idF der RL 2014/107/EU, vorgesehene automatische Informationsaustausch über jenes Maß hinausginge, das zum Zwecke der Verhinderung von Steuerhinterziehung und Steuerbetrug und zur Erreichung des Ziels einer gleichmäßigen Besteuerung geeignet und unbedingt erforderlich ist, und dieser damit außer Verhältnis zu den von der Richtlinie verfolgten Zielsetzungen stünde:

Mit der RL 2014/107/EU hat die Europäische Union jenen Standard übernommen, den die OECD 2014 verabschiedet hat und der dem multilateralen völkerrechtlichen Vertrag zum Common Reporting Standard (Mehrseitige Vereinbarung zwischen den zuständigen Behörden über den automatischen Austausch von Informationen über Finanzkonten, BGBl III 182/2017) zugrunde liegt (vgl dazu Doralt/Ruppe, Grundriss des österreichischen Steuerrechts II8, 2019, Rz 1420). Ein solcher Standard erwies sich als notwendig, da die rechtlichen Grundlagen für den internationalen Informationsaustausch in Steuerangelegenheiten zunehmend in einer Vielzahl von Regelungen auf unterschiedlichen Rechtsebenen vorzufinden waren, was auch den Steuervollzug der nationalen Finanzverwaltungen vor erhebliche Herausforderungen stellte und für die Steuererhebung in grenzüberschreitenden Sachverhalten zu massiven Erhöhungen des Verwaltungsaufwandes führte. Ungeachtet eines intensivierten Ressourceneinsatzes ergab sich ein zunehmendes Spannungsverhältnis zwischen rechtskonformen und möglichst raschen Verfahren, das zunehmend auch die Gleichmäßigkeit der Besteuerung in Frage stellte (vgl Bericht des Rechnungshofes III-48 Blg. NR 27. GP, 26 ff).

Die in Art8 Abs3a der Richtlinie – zum jeweiligen Stichtag ohne Mindestbetrag – vorgesehene Bekanntgabe der Kontosalden entbindet den Ansässigkeitsstaat zwar nicht von der Pflicht, für Zwecke der Besteuerung weiterführende Ermittlungen anzustellen. Die Bekanntgabe der in Art8 Abs3a der Richtlinie angeführten Daten ermöglicht den Abgabenbehörden aber eine effiziente Durchführung des Verfahrens zur Steuererhebung, indem die Ermittlungen auf jene Fälle konzentriert werden können, in denen die Gleichmäßigkeit der Besteuerung gefährdet erscheinen könnte (vgl Ehrke-Rabel, aaO, 76 f). Es ist somit nicht zu erkennen, dass die erhobenen Daten zur Erreichung des Kontrollzieles einer gleichmäßigen Steuererhebung nicht geeignet und erforderlich wären.

Vor diesem Hintergrund genügt es zu den vom Beschwerdeführer vorgebrachten Bedenken zur Datensicherheit darauf hinzuweisen, dass der BMF und alle am Informationsaustausch beteiligten Behörden unzweifelhaft an die Vorgaben der DSGVO und deren Standards (vgl Art32 DSGVO) gebunden sind, um den erforderlichen Sicherheitsanforderungen für die Verarbeitung zu entsprechen.

2.2.4.6. Entgegen der Auffassung des Beschwerdeführers sind die vom Gerichtshof der Europäischen Union im Zusammenhang mit der Verhältnismäßigkeitsprüfung angestellten Erwägungen zur Vorratsdatenspeicherung (EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua; 21.12.2016, C-203/15, C-698/15, Tele2 Sverige ua; vgl auch VfSlg 19.892/2014) nicht auf die RL 2011/16/EU, idF der RL 2014/107/EU, übertragbar:

Zunächst unterscheiden sich die Regelungen in ihren Zielsetzungen, zumal die RL 2011/16/EU, idF der RL 2014/107/EU, – wie bereits oben ausgeführt – auch der Förderung der Wirksamkeit und Effizienz der Steuererhebung dient.

Die vom Gerichtshof der Europäischen Union entschiedenen Verfahren haben weitergehend die Speicherung von Kommunikationsdaten auf Vorrat betroffen. Dagegen werden im Rahmen der RL 2011/16/EU, idF der RL 2014/107/EU, Daten verarbeitet, die unmittelbar der Durchführung der Steuererhebung dienen (Name, Anschrift, Steueridentifikationsnummer, bei natürlichen Personen das Geburtsdatum und der Geburtsort jeder meldepflichtigen Person; die Kontonummer, der Kontosaldo oder -wert sowie der Gesamtbruttobetrag der Zinsen). Die im Rahmen der RL 2011/16/EU, idF der RL 2014/107/EU, verarbeiteten Daten betreffen dabei zudem nicht den Kernbereich des Privatlebens und lassen nicht – wie etwa bei jenen Daten, die im Rahmen der Vorratsdatenspeicherungsrichtlinie verarbeitet wurden – "sehr genaue Schlüsse auf das Privatleben der betroffenen Personen, wie etwa Gewohnheiten des täglichen Lebens, ständiger oder vorübergehender Aufenthaltsort" (EuGH 8.4.2014, C-293/12, C-594/12, Digital Rights Ireland ua, Rz 27) zu.

2.2.4.7. Entgegen der Auffassung des Beschwerdeführers kann auch den von ihm ins Treffen geführten weiteren Urteilen des Gerichtshofes der Europäischen Union nicht entnommen werden, dass Art8 Abs3a der Richtlinie gegen Art8 GRC verstoßen würde:

Der Gerichtshof der Europäischen Union sprach in dem vom Beschwerdeführer angeführten Urteil vom 1. Oktober 2015, C-201/14, Bara, aus, dass eine Informationspflicht nach Art11 der Richtlinie 95/46/EG (nunmehr Art14 DSGVO) bestehen kann, wenn personenbezogene Steuerdaten durch Steuerbehörden an andere Verwaltungsbehörden übermittelt werden und diese Übermittlung nicht durch Rechtsvorschriften festgelegt wurde. Daraus ist nicht ableitbar, dass die in Art8 Abs3a der Richtlinie bzw in den §§112 und 113 GMSG festgelegte Datenverarbeitung gegen Art8 GRC verstoßen würde.

Das vom Beschwerdeführer angeführte Urteil des Gerichtshofes der Europäischen Union vom 27. September 2017, C-73/16, Puškár, betraf die Erstellung einer Liste zur Bekämpfung von Steuerbetrug, die natürliche Personen, die nach Ansicht der öffentlichen Verwaltung nur zum Schein Führungspositionen bekleiden, enthielt. In diesem Zusammenhang sprach der Gerichtshof der Europäischen Union aus, dass eine derartige Datenverarbeitung nur dann zulässig ist, wenn hinreichende Anhaltspunkte bestehen, dass der Betroffene Führungspositionen nur zum Schein wahrnimmt und dadurch die Erhebung von Steuern und die Bekämpfung von Steuerbetrug beeinträchtigt. Die vorliegende Informationspflicht nach Art8 Abs3a der Richtlinie zielt demgegenüber neben der Bekämpfung von Steuerbetrug auf die Gewährleistung der Effizienz der Steuererhebung und die Verbesserung des Steuervollzugs zur Wahrung der Gleichmäßigkeit der Besteuerung bei grenzüberschreitenden Sachverhalten (vgl Pkt. III.2.2.4.5.).

Aus dem vom Beschwerdeführer angeführten Urteil des Gerichtshofes der Europäischen Union vom 22. November 2022, C-37/20, C-601/20, Luxembourg Business Registers, ist abzuleiten, dass Art7 und Art8 GRC einer ohne Einschränkungen versehenen Zugänglichkeit der Informationen für die zuständigen Behörden nicht entgegensteht (vgl Rz 84 des Urteils). Darüber hinaus kann für den Beschwerdefall im Hinblick auf Art8 Abs3a der Richtlinie nichts gewonnen werden, da eine im Urteil als Verletzung der Art7 und Art8 GRC erkannte Zugänglichkeit von Information für alle Mitglieder der Öffentlichkeit im Beschwerdefall nicht vorliegt.

3. Angesichts der Unbedenklichkeit der angewendeten Rechtsvorschriften und des Umstandes, dass kein Anhaltspunkt dafür besteht, dass das Bundesverwaltungsgericht diesen Vorschriften einen verfassungswidrigen Inhalt unterstellt hat, vermag der Verfassungsgerichtshof nicht zu erkennen, dass der Beschwerdeführer in seinem verfassungsgesetzlich gewährleisteten Recht gemäß §1 Abs1 DSG verletzt wurde.

IV. Ergebnis

1. Die behauptete Verletzung verfassungsgesetzlich gewährleisteter Rechte hat sohin nicht stattgefunden.

Das Verfahren hat auch nicht ergeben, dass der Beschwerdeführer in von ihm nicht geltend gemachten verfassungsgesetzlich gewährleisteten Rechten verletzt wurde. Angesichts der Unbedenklichkeit der angewendeten Rechtsgrundlagen ist es auch ausgeschlossen, dass er in seinen Rechten wegen Anwendung einer rechtswidrigen generellen Norm verletzt wurde.

Der Verfassungsgerichtshof kann nicht erkennen, dass die Regelungen des Art8 Abs3a der RL 2011/16/EU, idF der RL 2014/107/EU, gegen primäres Unionsrecht (insbesondere Art7 und Art8 GRC) verstoßen könnten. Insofern bestehen keine Zweifel an deren Gültigkeit, sodass sich der Verfassungsgerichtshof nicht veranlasst sieht, ein Vorabentscheidungsersuchen gemäß Art267 AEUV an den Gerichtshof der Europäischen Union zu stellen.

2. Die Beschwerde ist daher abzuweisen und gemäß Art144 Abs3 B-VG antragsgemäß dem Verwaltungsgerichtshof abzutreten (§19 Abs3 Z1 iVm §31 letzter Satz VfGG; zum System der Abtretung der Beschwerde an den Verwaltungsgerichtshof durch den Verfassungsgerichtshof nach Inkrafttreten der Verwaltungsgerichtsbarkeits-Novelle 2012 vgl VfSlg 19.867/2014).

3. Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.