Verordnung über den automatisierten Abruf von Steuerdaten (Steuerdaten-Abrufverordnung - StDAV)
StDAV
Ausfertigungsdatum: 13.10.2005
Vollzitat:
"Steuerdaten-Abrufverordnung vom 13. Oktober 2005 (BGBl. I S. 3021), die durch Artikel 3 der Verordnung vom 12. Juli 2017 (BGBl. I S. 2360) geändert worden ist"
Stand:
Geändert durch Art. 3 V v. 12.7.2017 I 2360
Fußnote
(+++ Textnachweis ab: 27.10.2005 +++)
Eingangsformel
Auf Grund des § 30 Abs. 6 Satz 2 und 3 der Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866, 2003 I S. 61) verordnet das Bundesministerium der Finanzen:
§ 1 Anwendungsbereich
(1) Diese Verordnung regelt den automatisierten Abruf von nach § 30 der Abgabenordnung geschützten Daten (Abrufverfahren), die für eines der in § 30 Absatz 2 Nummer 1 der Abgabenordnung genannten Verfahren in einem automationsgestützten Dateisystem gespeichert sind.
(2) Diese Verordnung gilt nicht für Abrufverfahren, die Verbrauchsteuern und Verbrauchsteuervergütungen oder Ein- und Ausfuhrabgaben nach Artikel 5 Nummer 20 und 21 des Zollkodex der Union betreffen. Zollkodex der Union ist die Verordnung gemäß § 3 Absatz 3 der Abgabenordnung.
§ 2 Maßnahmen zur Wahrung des Steuergeheimnisses
(1) Es sind angemessene organisatorische und dem jeweiligen Stand der Technik entsprechende technische Vorkehrungen zur Wahrung des Steuergeheimnisses zu treffen. Hierzu zählen insbesondere Maßnahmen, die sicherstellen, dass
1. Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen die in § 1 Satz 1 bezeichneten Daten abgerufen werden können, verwehrt wird (Zutrittskontrolle),
2. Datenverarbeitungssysteme nicht unbefugt zum Abruf genutzt werden können (Zugangskontrolle),
3. die zur Benutzung eines Datenverarbeitungssystems zum Datenabruf Befugten ausschließlich auf die ihrer Zugriffsbefugnis unterliegenden Daten zugreifen können und dass die Daten während des Abrufs nicht unbefugt gelesen oder kopiert werden können (Zugriffskontrolle),
4. überprüft und festgestellt werden kann, wer personenbezogene Daten abrufen darf oder abgerufen hat (Weitergabekontrolle).
(2) Abrufverfahren zur Übermittlung von Daten an Empfänger außerhalb der für die Speicherung verantwortlichen Stelle sollen nur eingerichtet werden, wenn es wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen angemessen ist.
§ 3 Erteilung der Abrufbefugnis
Die Erteilung einer Abrufbefugnis kommt in Betracht bei
1. Amtsträgern (§ 7 der Abgabenordnung) oder gleichgestellten Personen (§ 30 Abs. 3 der Abgabenordnung), die in einem Verwaltungsverfahren, einem Rechnungsprüfungsverfahren oder gerichtlichen Verfahren in Steuersachen, in einem Strafverfahren wegen einer Steuerstraftat oder einem Bußgeldverfahren wegen einer Steuerordnungswidrigkeit tätig sind,
2. Amtsträgern oder gleichgestellten Personen, soweit die Abrufbefugnis zur Wahrnehmung der Dienst- und Fachaufsicht erforderlich ist,
3. Amtsträgern oder gleichgestellten Personen, soweit die Abrufbefugnis erforderlich ist zur zulässigen Offenbarung geschützter Daten nach § 30 Absatz 4 oder Absatz 5 der Abgabenordnung,
4. Amtsträgern oder gleichgestellten Personen, die mit der Entwicklung oder Betreuung automatisierter Verfahren oder der dabei eingesetzten technischen Einrichtungen befasst sind, in denen die in § 1 bezeichneten Daten verarbeitet werden, wenn der Abruf allein der Beseitigung von Fehlern oder der Kontrolle der ordnungsgemäßen Arbeitsweise der Verfahren oder der technischen Einrichtungen dient und dies nicht mit vertretbarem Aufwand durch Zugriff auf anonymisierte oder pseudonymisierte Daten erreicht werden kann,
5. Amtsträgern der Zollverwaltung oder gleichgestellten Personen, soweit die Abrufbefugnis für die Festsetzung oder Erhebung der Einfuhrumsatzsteuer erforderlich ist und die Daten beim Bundeszentralamt für Steuern gespeichert sind,
6. Amtsträgern der Gemeinden, soweit sie in einem Realsteuerverfahren in Ausübung der nach § 21 des Finanzverwaltungsgesetzes den Gemeinden zustehenden Rechte tätig sind.
§ 4 Umfang der Abrufbefugnis
(1) Die Abrufbefugnis ist auf die Daten oder die Arten von Daten zu beschränken, die zur Erledigung der jeweiligen Aufgabe erforderlich sind. Hiervon darf nur abgesehen werden, wenn der Aufwand für eine Beschränkung auf bestimmte Daten oder Arten von Daten unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen außer Verhältnis zu dem angestrebten Zweck steht.
(2) Die Abrufbefugnis ist zu befristen, wenn der Verwendungszweck zeitlich begrenzt ist. Sie ist unverzüglich zu widerrufen, wenn der Anlass für ihre Erteilung weggefallen ist.
§ 5 Prüfung der Abrufbefugnis
(1) Die Abrufbefugnis ist automatisiert zu prüfen
1. bei jedem Aufbau einer Verbindung anhand eines Identifizierungsschlüssels (Benutzerkennung) und eines geheim zu haltenden Passwortes oder sonst zum hinreichend sicheren Nachweis von Benutzeridentität und Authentizität geeigneter Verfahren,
2. bei jedem Abruf anhand eines Verzeichnisses über den Umfang der dem Abrufenden eingeräumten Abrufbefugnis.
Benutzerkennungen und Passwörter sind nach höchstens fünf aufeinander folgenden Fehlversuchen zum Aufbau einer Verbindung zu sperren.
(2) Die Passwörter nach Absatz 1 Satz 1 Nr. 1 sind spätestens nach 90 Tagen, bei Kenntnisnahme durch andere Personen unverzüglich, zu ändern.
(3) Werden zur Authentifizierung automatisiert lesbare Ausweiskarten verwendet, so sind deren Bestand, Ausgabe und Einzug nachzuweisen und zu überwachen. Abhanden gekommene Ausweiskarten sind unverzüglich zu sperren. Der Inhaber darf die Ausweiskarte nicht weitergeben. Er hat sie unter Verschluss aufzubewahren, wenn er sie nicht zum Datenabruf verwendet.
§ 6 Aufzeichnung der Abrufe
(1) Abrufe und Abrufversuche sind zur Prüfung der Zulässigkeit der Abrufe automatisiert aufzuzeichnen. Die Aufzeichnungen umfassen mindestens die Benutzerkennung, das Datum, die Uhrzeit sowie die sonstigen zur Prüfung der Zulässigkeit der Abrufe erforderlichen Daten.
(2) Die Aufzeichnungspflicht entfällt, soweit die Abrufbefugnis durch technische Maßnahmen auf die Daten oder Arten von Daten beschränkt worden ist, die zur Erledigung der jeweiligen Aufgabe erforderlich sind. Unbeschadet des Satzes 1 können Aufzeichnungen anlassbezogen durchgeführt werden.
(3) Die Aufzeichnungen dürfen nur zur Prüfung der Zulässigkeit der Abrufe verwendet werden.
(4) Die Aufzeichnungen sind zwei Jahre aufzubewahren und danach unverzüglich zu löschen.
§ 7 Prüfung der Zulässigkeit der Abrufe
Anhand der Aufzeichnungen ist zeitnah und in angemessenem Umfang zu prüfen, ob der Abruf nach § 30 Abs. 6 Satz 1 der Abgabenordnung und nach dieser Verordnung zulässig war. Unbeschadet des Satzes 1 können aufgezeichnete Abrufe anlassbezogen geprüft werden.
§ 8 Ergänzende Regelungen und Verfahrensdokumentation
Bei Einrichtung eines Abrufverfahrens sind von den beteiligten Stellen zu regeln und in einer für sachverständige Dritte verständlichen Weise zu dokumentieren
1. Anlass, Zweck und beteiligte Stellen des Abrufverfahrens,
2. die notwendigen technischen Voraussetzungen und die verwendeten Programme,
3. die zum Abruf bereitgehaltenen Daten,
4. auf welche Weise und zu welchem Zeitpunkt die verantwortlichen Stellen über die Abrufbefugnis anderer Behörden zu unterrichten sind,
5. die Gruppen der zum Abruf berechtigten Personen (§ 3) und der Umfang der Abrufbefugnisse (§ 4),
6. die protokollierende Stelle,
7. die zur Identifizierung, Authentisierung und Verschlüsselung verwendeten Verfahren,
8. die für die Vergabe und Verwaltung von Benutzerkennungen, Passwörtern und Ausweiskarten sowie die für die Prüfung der aufgezeichneten Abrufe und Stichproben zuständigen Stellen,
9. Art und Umfang der Maßnahmen zur nachträglichen Überprüfung eingeräumter Abrufbefugnisse sowie die Frist zur Aufbewahrung der revisionsfähigen Unterlagen,
10. die Einzelheiten des Prüfungsverfahrens nach § 7,
11. das Verfahren zur Erprobung und zur Qualitätssicherung der Programme vor dem Einsatz,
12. die Fristen, nach deren Ablauf Daten zum Abruf durch Abrufberechtigte außerhalb der für die Speicherung verantwortlichen Stelle nicht mehr für einen Datenabruf bereitgehalten werden dürfen,
13. die sonstigen zur Wahrung der schutzwürdigen Belange der Betroffenen sowie zur Gewährleistung von Datenschutz und Datensicherheit getroffenen technischen und organisatorischen Maßnahmen.
Die Verfahrensdokumentation ist fortlaufend zu aktualisieren. Sie ist mindestens zwei Jahre über das Ende des Verfahrenseinsatzes hinaus aufzubewahren.
§ 9 Abrufe durch den Steuerpflichtigen
Für Verfahren, die dem Steuerpflichtigen (§ 33 der Abgabenordnung) den Abruf ihn betreffender personenbezogener Daten ermöglichen, gelten die §§ 1 bis 8 entsprechend. Satz 1 ist auch anzuwenden, wenn anstelle des Steuerpflichtigen seinem gesetzlichen Vertreter, Vermögensverwalter, Verfügungsberechtigten, Bevollmächtigten oder Beistand eine Abrufberechtigung erteilt wird.
§ 10 (weggefallen)
§ 11 Inkrafttreten
Diese Verordnung tritt am Tag nach der Verkündung in Kraft.
Schlussformel
Der Bundesrat hat zugestimmt.
Feedback