17. August 2015

Ist der Datenschutz beim Automatischen Informationsaustausch über Finanzkonten (AIA) gewährleistet? [Philipp Mittelberger]

Die weltweite Bekämpfung der Steuerhinterziehung ist in der Folge der Finanz- und Schul-denkrise zu einem wichtigen und breit verfolgten Anliegen der Weltgemeinschaft geworden. Die OECD, die EU und das Global Forum on Transparency and Exchange of Information for Tax Purposes (Global Forum) arbeiten daher bereits seit Längerem an unterschiedlichen Arten des steuerlichen Informationsaustauschs. Der automatische Informationsaustausch über Finanzkonten (AIA) wurde in den letzten Jahren zur Bekämpfung der Steuerhinterziehung beschlossen. Am 15. Juli 2014 hat der OECD-Rat das Gesamtpaket zu einem globalen Standard zum automatischen Informationsaustausch genehmigt (sog. Common Reporting Standard, CRS)(*1). Der Standard wurde am 21. Juli 2014 veröffentlicht und am 21. September 2014 von den Finanzministern der G20-Staaten bestätigt und für verbindlich erklärt.

Das globale Modell für den AIA fusst auf einem einheitlichen Standard für die von den Finan-zinstituten zu meldenden und mit den Ansässigkeitsstaaten auszutauschenden Informationen. Dieses globale Modell soll in der EU mit der Richtlinie 2014/107/EU vom 9. Dezember 2014 zur Änderung der Richtlinie 2011/16/EU umgesetzt werden. Gleichzeitig führt die Europäische Kommission Verhandlungen zur Umsetzung des AIA mit den europäischen Drittstaaten Schweiz, Liechtenstein, Andorra, Monaco und San Marino.

Parallelen des AIA zur Vorratsdatenspeicherung

Bereits im Januar 2014 befasste sich der Europarat mit dem AIA, indem ein Expertenbericht zum Thema veröffentlicht wurde (*2). Im Juni 2014 veröffentlichte der Europarat eine Stellungnahme, in der die Geltung der Grundsätze des Datenschutzes in diesem Bereich betont wird (*3). Der Europäische Bankenverband wies im Frühsommer 2014 die Artikel-29-Datenschutzgruppe (WP 29) auf weitgehende Parallelen zwischen der Vorratsdatenspeicherung und dem AIA hin. Im Urteil zur Vorratsdatenspeicherung stellt der EuGH in den § 52 bis 55 fest, dass der Schutz des Grundrechts auf Achtung des Privatlebens nach ständiger Rechtsprechung jedenfalls verlangt, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken müssen. Daher müssen klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Massnahme vorgesehen und Mindestanforderungen aufgestellt werden, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu verfügen, sei umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu diesen Daten besteht.

Der EuGH kommt zum Schluss, dass es weder klare und präzise Regeln für die Tragweite und Anwendung noch ausreichende Schutzgarantien gab: weder in Bezug auf den Zugriff noch die Aufbewahrungsdauer noch die Sicherheit der Daten und die damit verbundene Notwendigkeit einer unabhängigen Kontrolle. Im Ergebnis kommt er somit zu einer Verletzung des Grundsatzes der Verhältnismässigkeit.

Worin bestehen nun die Parallelen zwischen dem AIA und der Vorratsdatenspeicherung?

  • Wie bei den Vorratsdaten werden auch beim AIA Daten mit anderen Staaten ausgetauscht, ohne dass ein Verdacht besteht, dass die betroffenen Personen gegen Steuergesetze verstossen haben. Mit anderen Worten geht es auch beim AIA um Vorratsdaten.
  • Von dieser Hauptparallele ausgehend müssen die erwähnten Kriterien Ausmass der Daten, Datenzugriff, Aufbewahrungsdauer, Datensicherheit und unabhängige Kontrolle im Fall eines Transfers von Daten in Drittländer erfüllt sein.

Rechtliche Beurteilung

Als Reaktion auf die oben beschriebene Eingabe des Europäischen Bankenverbandes verabschiedete die WP 29 eine erste Analyse (*4), in der sie die OECD und die Europäische Kommission auf die zu beachtenden Datenschutzgrundsätze hinwies und die Stellungnahme des Europarates unterstützte. Zudem wurde unter anderem darauf hingewiesen, dass die einschlägige Richtlinie 2011/16/EG, die revidiert werden sollte, keine ausreichenden Datenschutzgarantien vorsah, wie sie der EuGH im Fall der Vorratsdaten eben definiert hatte. Im Anhang zu diesem Papier wies die WP 29, wie der Europarat, auf geltende Grundsätze hin. Die Geltung und Bedeutung einiger dieser Grundsätze beziehen sich auf das erwähnte Urteil des EuGH.

Wie bereits ausgeführt, geht es beim AIA auch um eine Vorratsdatenspeicherung. Nach dem EuGH sind Differenzierungen im Rahmen der Verhältnismässigkeit sehr wichtig. Die WP 29 weist im Rahmen des Schreibens vom 18. September 2014 namentlich auf die erwähnte Rechtsprechung hin. Wie der Europäische Bankenverband kommt auch eine Expertengruppe der Europäischen Kommission, die AEFI Expert Group, in ihrem ersten Bericht vom März 2015 zum Schluss, dass das Kriterium der Verhältnismässigkeit hauptsächlich aufgrund des Ausmasses der Daten (noch) nicht erfüllt ist (*5).  Ausserdem weist diese Expertengruppe auf folgenden Umstand hin: „Gross proceeds from sales transactions will be part of the reporting, independent of the fact whether those forms of income are subject to taxation in the recipient jurisdiction. In this context, a lot of misleading and unnecessary data will thus be exchanged, creating suspicions about taxpayers to the detriment of the economic freedoms of the EU treaty and the fundamental rights of the EU citizens enshrined in EU Charter" (*6). Auch der Europäische Datenschutzbeauftragte (EDPS) hat Zweifel, dass die Verhältnismässigkeit erfüllt ist. Auch er stützt sich auf das erwähnte Urteil des EuGH und äussert berechtigte Zweifel zur Verhältnismässigkeit im Falle des bereits unterzeichneten Abkommens zwischen der EU und der Schweiz (*7).

Gemäss der Rechtsprechung zu den Vorratsdaten müssen die folgenden Schutzmechanismen bestehen: klar definierter Zugriff, Aufbewahrungsdauer, Datensicherheit und die unabhängige Kontrolle im Fall eines Datentransfers in ein Drittland.

  • Das Papier des Europäischen Bankenverbandes kritisiert, dass es im Rahmen des AIA weder einen klar definierten Zugriff auf die Daten noch eine Aufbewahrungsdauer und eine damit verbundene Verpflichtung zur Löschung von Daten gibt. Die Richtlinie 2014/107/EG bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung sieht in Artikel 1 Absatz 5 vor: „Die im Einklang mit dieser Richtlinie verarbeiteten Informationen dürfen nur so lange aufbewahrt werden, wie dies für die Zwecke dieser Richtlinie erforderlich ist, und in jedem Fall im Einklang mit den innerstaatlichen Vorschriften der einzelnen für die Verarbeitung Verantwortlichen über die Verjährung.“ Im Fall der Vorratsdaten war immerhin eine Aufbewahrungsdauer vorgeschrieben, ohne jedoch Unterscheidungen bei den Datenkategorien im Hinblick auf den Nutzen der Daten zu treffen (§ 63). In dem Sinne bemängelt auch der EDPS beim künftigen Abkommen zwischen der Schweiz und der EU, dass es keine definierte Aufbewahrungsdauer gibt (§ 26 ff.).
    Dies bedeutet, dass die Aufbewahrungsdauer weniger klar definiert ist als im Fall der Vorratsdaten. Eine Zugriffsregelung ist nicht ersichtlich. Somit ist davon auszugehen, dass die Kriterien des klaren Zugriffs auf die Daten und die Aufbewahrungsdauer im Rahmen des AIA nicht erfüllt sind.
  • Nach dem EuGH (§ 66 f.) sind auch spezielle Sicherheitsvorschriften zu beachten. Im Rahmen des AIA sind solche Sicherheitsvorschriften nicht auszumachen. Artikel 1 Absatz 4 der revidierten Richtlinie sieht zwar vor, dass die Kommission und die Mitgliedsstaaten für die Weiterentwicklung des Systems oder der Systeme zuständig sind, wenn dies für den Informationsaustausch notwendig ist. Wie die Sicherheit gestaltet sein muss, ist jedoch nicht geregelt. In diese Richtung geht auch der EDPS, der beim geplanten Abkommen mit der EU und der Schweiz bemängelt, dass keine Sicherheitsstandards oder Sanktionen festgelegt wurden (§ 23).
  • Die Richtlinie zur Vorratsdatenspeicherung sah nicht vor, dass Daten innerhalb der EU zu speichern sind. Im Rahmen der Prüfung von Sicherungsmassnahmen forderte der EuGH eine unabhängige Kontrolle bei einem Datentransfer in Drittländer. Der AIA wird nicht nur innerhalb der EU stattfinden, treibende Kraft ist die OECD. Der AIA wird der weltweite Standard werden. Mit anderen Worten ist auch hier ein Transfer in Drittländer vorgesehen. Auch die erwähnte AEFI Expertengruppe fordert ebenfalls Sicherungsmechanismen, wie z. B. peer reviews (Seite 26). Ob und inwiefern hier eine unabhängige Kontrolle gegeben sein wird, ist nicht geklärt.
    Das erwähnte Schreiben der WP 29 war der Start eines Dialoges mit der Kommission, welcher noch nicht abgeschlossen ist.
    In einem veröffentlichten Statement vom Februar 2015 wiederholte die WP 29 ihr Anliegen und wies vor allem die nationalen Gesetzgeber darauf hin, dass eine Nichtbeachtung der Grundsätze des Datenschutzes zu Gerichtsverfahren und Haftungsproblemen führen könnte (*8). Dies sollte vermieden werden. Auf dieses „grosse Haftungsrisiko“ weist auch die AEFI Expertengruppe hin (*9).

Ausblick

Der AIA steht ganz oben auf der Prioritätenliste der sogenannten „early adopters“. Dazu gehören mit der Ausnahme Österreichs alle EU-Staaten wie im Übrigen auch das Fürstentum Liechtenstein. Die entsprechenden Vorbereitungsarbeiten laufen mit Hochdruck. Nur so kann der AIA ab Anfang 2016 plangemäss in Betrieb gehen. Wie erwähnt, steht die WP 29 im Dialog mit der Europäischen Kommission und erarbeitet derzeit Leitlinien für die nationalen Steuerbehörden. Diese sollten so rasch wie möglich verabschiedet werden und die Steuerbehörden beraten. Auf der anderen Seite ist auch der Dialog mit der Europäischen Kommission noch nicht abgeschlossen. Es ist zu hoffen, dass die Ergebnisse dieser laufenden Arbeiten nicht zu spät kommen. Die Parallelen zum Urteil des EuGH sind klar und jedenfalls bei der Umsetzung des AIA zu beachten. Wie die WP 29 feststellt, geht es auch um Haftungsfragen. Eine Klage vor dem EuGH – oder nationalen Gerichten – sollte vermieden werden. Dabei ist die Berücksichtigung der Datenschutzanforderungen zentral.

Autor/in

Dr. Philipp Mittelberger

Dr. Philipp Mittelberger ist seit Ende 2002 Datenschutzbeauftragter des Fürstentums Liechtenstein. Als solcher ist er unter anderem Vertreter Liechtensteins in der Arikel-29-Datenschutzgruppe, dem EWR-Gremium der nationalen Datenschutzbehörden, und Autor verschiedener Beiträge zum Datenschutz. Zuvor war er insbesondere bei der Ständigen Vertretung des Fürstentums Liechtenstein beim Europarat in Strassburg als juristischer Mitarbeiter angestellt.


1) http://www.oecd.org/ctp/exchange-of-tax-information/Automatic-Exchange-Financial-Account-Information-Common-Reporting-Standard.pdf.
2)  Innerhalb des Europarates war dies das Büro des Beratenden Ausschusses zur Datenschutzkonvention des Europarates (T−PD): http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD-BUR%282014%2901%20-%20Rapport%20CE%202013%20%28final%29%20C%20%20Porasso_En.pdf.
3) http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD%282014%2905_En_Opinion%20tax%20%28final%29.pdf.
4) http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140918_letter_on_oecd_common_reporting_standard.pdf.pdf; der Anhang zum Schreiben mit den einzelnen Grundsätzen: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140918_annex_oecd_common_reporting_standard.pdf.pdf
5) http://ec.europa.eu/taxation_customs/resources/documents/taxation/tax_cooperation/mutual_assistance/financial_account/first_report_expert_group_automatic_exchange_financial_information.pdf, Seite 8 und 26
6) Seite 24 f.
7) https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-08_EU_Switzerland_EN.pdf.
8) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp230_en.pdf
9) Seite 25