Datenschutz — Datenschutz und Privatsphäre im Steuerkontext
Datenschutzrecht im Spannungsfeld mit Steuertransparenz: DSGVO, steuerliche Geheimhaltung, Verhältnismässigkeit und Grundrechtsbeschränkungen.
Zusammenfassung
Datenschutz und Privatsphäre im Steuerkontext bezeichnen den Regelungsbereich, der die Verarbeitung personenbezogener Steuerdaten und den Schutz der Privatsphäre von Steuerpflichtigen regelt. Dieser Bereich steht in einem fundamentalen Spannungsverhältnis mit den Anforderungen der steuerlichen Transparenz: Während Transparenzregimes den möglichst umfassenden Datenaustausch anstreben, fordern Datenschutzrechte eine Begrenzung der Datenerhebung, -verarbeitung und -weitergabe auf das verhältnismässige Mass.
Das zentrale europäische Instrument ist die Datenschutz-Grundverordnung (DSGVO / GDPR), die seit 2018 für alle Verarbeitungen personenbezogener Daten in der EU gilt — einschliesslich steuerlicher Daten. Daneben existieren nationale steuerliche Geheimhaltungsvorschriften (z.B. § 30 AO in Deutschland, Art. 110 DBG in der Schweiz), die die Vertraulichkeit von Steuerdaten gegenüber Dritten schützen. Der Europäische Gerichtshof (EuGH) hat in mehreren Grundsatzentscheidungen die Grenzen des Datenschutzes im Kontext von Steuertransparenz und AML-Registern definiert.
Praktische Herausforderungen entstehen insbesondere bei öffentlichen Transparenzregistern für wirtschaftliche Eigentümer, der öffentlichen länderbezogenen Berichterstattung (Public CbCR), dem Austausch grosser Datenmengen im CRS-Framework sowie bei der Langzeitspeicherung von AML-Daten. Steuerpflichtige haben grundsätzlich Auskunfts-, Berichtigungs- und in begrenztem Mass auch Löschungsrechte, die jedoch durch steuerliche Aufbewahrungsfristen und öffentliche Interessen eingeschränkt werden.
Geschichte
Das Steuergeheimnis als Schutz des Steuerpflichtigen vor Datenweitergabe hat in vielen Ländern eine lange Rechtsgeschichte. Mit dem Aufkommen des modernen Datenschutzrechts — EU-Datenschutzrichtlinie 1995, gefolgt von der DSGVO 2016/2018 — entstand ein strukturiertes Grundrecht auf Datenschutz, das auch gegenüber Steuerbehörden gilt. Die rasante Ausweitung des automatischen Informationsaustauschs und der öffentlichen Transparenzpflichten ab 2014 schuf erhebliche Spannungen mit dem neuen Datenschutzrahmen.
Einen Wendepunkt markierte das EuGH-Urteil WM und Sovim SA (Verbundene Rechtssachen C-37/20 und C-601/20, November 2022), in dem der Gerichtshof entschied, dass der öffentliche Zugang zu Transparenzregistern für wirtschaftliche Eigentümer (wie von der 5. EU-Geldwäscherichtlinie vorgesehen) einen unverhältnismässigen Eingriff in das Grundrecht auf Datenschutz darstellt und daher unionsrechtswidrig ist. Dieses Urteil zwang die Mitgliedstaaten, den öffentlichen Zugang zu ihren Registern einzuschränken und führte zu einer grundlegenden Debatte über die Verhältnismässigkeit von Transparenzpflichten. In der Schweiz und anderen Nicht-EU-Ländern wird die Zulässigkeit des CRS-Datenaustauschs regelmässig vor nationalen Gerichten angefochten.
Seit 2024 prägt das EU-AML-Paket — bestehend aus der Anti-Geldwäsche-Verordnung (AMLR), der 6. Geldwäscherichtlinie (AMLD6) und der Errichtung der Europäischen Anti-Geldwäsche-Behörde (AMLA) — den Diskurs neu. Es definiert den Zugang zu Transparenzregistern unter strikteren Datenschutzvorgaben im Einklang mit dem EuGH-Urteil von 2022. Parallel treibt die DAC8-Richtlinie (verabschiedet Oktober 2023, Umsetzung bis 2026) den automatischen Austausch von Informationen über Krypto-Vermögenswerte voran und wirft neue Datenschutzfragen auf.
Geltungsbereich
Datenschutz und Privatsphäre im Steuerkontext betreffen folgende Bereiche und Akteure:
- Steuerbehörden als Verantwortliche: Finanzämter und Steuerverwaltungen verarbeiten hochsensible personenbezogene Daten; Zweckbindung und Datensicherheit sind zentrale Pflichten
- Transparenzregister: Zugang zu Daten über wirtschaftliche Eigentümer muss nach dem EuGH-Urteil (Verbundene Rechtssachen C-37/20 und C-601/20, 2022) auf berechtigte Personen beschränkt werden
- CRS/FATCA-Datenaustausch: Übermittlung von Bankdaten an ausländische Steuerbehörden muss datenschutzkonform erfolgen; Betroffenenrechte auf Information sind zu wahren
- Öffentliche CbCR: Offenlegung aggregierter Konzernsteuerdaten ist weniger problematisch (keine Personenbezogenheit), aber Fragen zu Betriebsgeheimnissen entstehen
- AML-Datenspeicherung: Aufbewahrungsfristen für AML-Daten (typisch 5–10 Jahre) müssen mit dem Grundsatz der Datenspeicherbegrenzung vereinbar sein
- Steuerpflichtige als Betroffene: Auskunftsrecht, Recht auf Berichtigung falscher Daten, eingeschränktes Löschungsrecht
- Intermediäre (Banken, Berater): Pflicht zur Information der Steuerpflichtigen über Datenweitergabe an Steuerbehörden
Kernanforderungen
Kernpflichten im Schnittbereich Datenschutz und Steuerrecht:
- Rechtsgrundlage für Datenverarbeitung: Steuerliche Datenverarbeitung muss auf gesetzliche Verpflichtung oder öffentliches Interesse gestützt werden (Art. 6 Abs. 1 lit. c/e DSGVO)
- Zweckbindung: Ausgetauschte Steuerdaten dürfen nur für Steuerzwecke verwendet werden; anderweitige Nutzung (z.B. durch Strafverfolgung) ist auf gesetzlich definierte Ausnahmen beschränkt
- Datensicherheit: Steuerbehörden und Finanzinstitute müssen angemessene technische und organisatorische Massnahmen zum Schutz von Steuerdaten treffen
- Information der Betroffenen: Steuerpflichtige müssen über den CRS/FATCA-Datenaustausch informiert werden (Datenschutzerklärung der Finanzinstitute)
- Berechtigter Zugang zu Transparenzregistern: Zugang zu Daten wirtschaftlicher Eigentümer nur für Personen mit nachgewiesenem berechtigtem Interesse (nach EuGH, Verbundene Rechtssachen C-37/20 und C-601/20)
- Verhältnismässigkeit: Jede Ausweitung von Transparenz- oder Austauschpflichten muss einer Verhältnismässigkeitsprüfung standhalten
- Datenübermittlung in Drittländer: Weitergabe von Steuerdaten in Nicht-EU-Länder erfordert angemessenes Schutzniveau oder geeignete Garantien
Verwandte Frameworks
Korrekturen & Errata
2 Korrekturen:
- EuGH-Urteil: Verbundene Rechtssachen C-37/20 und C-601/20, nicht nur C-37/20
- official_url leitet auf neue Domain weiter
1 Aktualisierung:
- Fehlende Erwaehnung aktueller Entwicklungen 2024-2026
2 Praezisierungen.