K121.892/0013-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. ZIMMER, Mag. HUTTERER und Dr. GUNDACKER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 22. Mai 2013 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde der Petra V*** (Beschwerdeführerin) aus I*** vom 19. Juli 2012 gegen das Finanzamt Feldkirch (Beschwerdegegner) wegen Verletzung im Recht auf Geheimhaltung personenbezogener Daten im Zuge eines abgabenrechtlichen Prüfungsverfahrens (Steuernummer *45/**75) im Mai/Juni 2012 wird entschieden:

- Die B e s c h w e r d e wird a b g e w i e s e n.

Rechtsgrundlagen : § 1 Abs. 1 und 2, § 6 Abs. 1 Z 1, § 7 Abs. 1, 2 und 3, § 8 Abs. 1 Z 4 und Abs. 3 Z 1 und § 31 Abs. 2 und 7 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, iVm § 114 Abs. 1, § 115 Abs. 1 und § 147 Abs. 1 der Bundesabgabenordnung (BAO), BGBl. Nr. 194/1961 idgF.

B e g r ü n d u n g:

A. Vorbringen der Parteien

Die Beschwerdeführerin behauptet in ihrer vom 19. Juli 2012 datierenden, am 25. Juli 2012 bei der Datenschutzkommission eingelangten und mit Schreiben vom 10. August 2012 verbesserten Beschwerde eine Verletzung im Recht auf Geheimhaltung dadurch, dass „das Prüfungsorgan Walter O***“ im Rahmen der Außenprüfung zu ABNr *79*01/09 des Beschwerdegegners „unzulässige Datenbankrecherchen“ vorgenommen habe. So habe sich der Beschwerdegegner Daten ihrer Mandanten (die Beschwerdeführerin ist Bilanzbuchhalterin und Betreiberin einer Buchhaltungskanzlei) aus der Datenbank FinanzOnline der Bundesrechenzentrum Ges.m.b.H. (im Folgenden kurz: BRZ) beschafft. Anschließend seien ihre Mandanten unter Vortäuschung von Erhebungen und in einschüchternder Weise niederschriftlich und telefonisch zu ihrer Person befragt worden. Dadurch sei die Zweckbindung der in FinanzOnline verarbeiteten Daten verletzt worden. Die BRZ habe diese Datenbankabfragen (den „Datenangriff“ ) durch mangelnde Vorsorge und Aufsicht sowie mangelnde Kontrollmechanismen ermöglicht. Durch die „entwendeten Daten“ komme es zu einer fortgesetzten Schädigung ihres Unternehmens. Sie bezeichnete ursprünglich ausdrücklich die BRZ als Beschwerdegegner.

Die BRZ bestritt mit Stellungnahme vom 27. August 2012 ihre Stellung als datenschutzrechtlicher Auftraggeber für FinanzOnline und damit ihre Passivlegitimation.

Am 27. Jänner 2013 brachte die Beschwerdeführerin vor, die BRZ betreibe Datenanwendungen im Auftrag der österreichischen Bundesverwaltung, hier der Finanzverwaltung. Technisch habe nur der Dienstleister die Möglichkeit, entsprechende Sicherheitsmaßnahmen gegen Verletzungen des Datenschutzes zu ergreifen. „Wer diese Verletzungen als Institution zu verantworten hat“ , sei für sie nur eine sekundäre Frage. Auch liege hier „Gefahr im Verzug“ vor, da „durch die Befragungen“ bereits Schaden entstanden sei; daher sei die „weitere Verwendung von Daten zur Gänze zu untersagen“ .

Die Datenschutzkommission deutete dies als Beschwerde gegen die zuständige Behörde der Finanzverwaltung und forderte, da über die Zuständigkeit und damit die auftraggeberische Verantwortung für das geführte Ermittlungsverfahren keine Zweifel bestanden, das Finanzamt Feldkirch als eigentlichen Beschwerdegegner zur Stellungnahme auf.

Der Beschwerdegegner bestritt mit Stellungnahme vom 14. Februar 2013 eine Verletzung des Geheimhaltungsrechts der Beschwerdeführerin. Gemäß § 147 Abs. 1 BAO erachte sich der Beschwerdegegner als gesetzlich ermächtigt, jederzeit alle für die Erhebung von Abgaben bedeutsamen tatsächlichen und rechtlichen Verhältnisse zu prüfen (Außenprüfung/Betriebsprüfung). Konkret habe im Beschwerdefall eine Prüfung der Frage stattgefunden, inwieweit die Bau- und Betriebskosten für den Neubau eines Gebäudes mit gemischter privater und betrieblicher Nutzung (letztere durch die Buchhaltungskanzlei der Beschwerdeführerin) buchhalterisch und bilanziell aktiviert und im Wege der Absetzung für Abnutzung (AfA) durch die Beschwerdeführerin steuerlich (Einkommensteuer) abgeschrieben werden durften bzw. die dafür entrichtete Umsatzsteuer als Vorsteuer geltend gemacht werden durfte. Auf Grund der Prüfungsergebnisse hätte ein Besprechungsraum des Gebäudes aus der betrieblichen Nutzung ausgeschieden und damit das Aufteilungsverhältnis der Nutzflächen (zum steuerlichen Nachteil der Beschwerdeführerin) verändert werden müssen. Aus der Sicht des Beschwerdegegners habe die Beschwerdeführerin, als sich dies abzeichnete, das Verfahren verzögert. Sie sei telefonisch nicht mehr erreichbar gewesen und habe einen Termin für eine Schlussbesprechung nicht eingehalten. Auf Grund des im Abgabenverfahren geltenden Untersuchungsgrundsatzes (§§ 114 Abs. 1, 115 BAO) habe der Beschwerdegegner daraufhin die Klienten der Beschwerdeführerin zur betrieblichen Nutzung des umstrittenen Raumes befragen lassen. Dies habe der objektiven Ermittlung von Tatsachen zur verfahrensrelevanten Frage gedient, inwieweit der als „Besprechungszimmer“ ausgewiesene Raum tatsächlich betrieblich genutzt werde. Die Ergebnisse dieser Erhebungen hätten zum Nachteil aber auch zu Gunsten der Beschwerdeführerin wirken können. Die Daten der Klienten seien der Liste der Vertretungen der Beschwerdeführerin in FinanzOnline entnommen worden, die der Beschwerdegegner als Abgabenbehörde und datenschutzrechtlicher Auftraggeber verarbeite. Es habe sich dabei nicht um Daten der Beschwerdeführerin sondern „eher“ um solche der Klienten gehandelt. Auf Grund der Weigerung der Beschwerdeführerin, an der Prüfung mitzuarbeiten, habe der Beschwerdegegner auch kein gelinderes Mittel zur Anwendung bringen können.

Die Beschwerdeführerin hielt dem, nach Parteiengehör zu den weiteren Ergebnissen des Ermittlungsverfahrens, in ihrer Stellungnahme vom 7. April 2013 entgegen, die Angaben des Beschwerdegegners zu den Gründen der Befragung ihrer Klienten stimmten nicht. Sie sei damals erreichbar gewesen, habe sich aber wegen – beruflich verpflichtender – Fortbildungsveranstaltungen und Krankenbesuchen nicht immer am Telefon melden können. Die rechtlichen Ansichten des Beschwerdegegners zum Nachweis der betrieblichen Nutzung des Besprechungszimmers seien verfehlt. Die Befragung von Zeugen sei erst im Berufungsverfahren vor dem Unabhängigen Finanzsenat vorgesehen. Hinsichtlich der Schlussbesprechung der Abgabenprüfung sei es zu Unstimmigkeiten betreffend des Termins und der vorbereitenden Unterlagen gekommen. Daher habe sie den Termin am 20. April 2012 abgesagt, ein Ersatztermin sei dabei, lediglich sieben Tage später, für den 27. April 2012 angeboten worden. Sie verwies weiters auf ihre Berufung in den Abgabenverfahren (Kopie vorgelegt). Daraus ergebe sich u. a., dass die Prüfer (W. O*** und K. H***) ihren Prüfungsauftrag überschritten bzw. teilweise ohne Mandat (neuerlich, fortgesetzt) tätig geworden seien. Der Prüfungsauftrag (Bescheid im Sinne des § 93 BAO), der den Beginn des Verfahrens festlege, sei am 20. Juli 2010 ergangen. Das Verfahren sei durch den Suizid des ursprünglichen Prüfers verzögert und von den Beamten O*** und H*** fortgesetzt worden, die ihr aber erst anlässlich der Schlussbesprechung am 15. Juni 2012 einen neuerlichen Prüfungsauftrag zur Kenntnis gebracht hätten.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner berechtigt war, Namen und Adressen von Klienten der Beschwerdeführerin, die er selber im System FinanzOnline verarbeitet, für Zwecke eines abgabenrechtlichen Prüfungsverfahrens zu verwenden.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Die Beschwerdeführerin ist als selbständige Bilanzbuchhalterin unter der Bezeichnung „Petra V*** – Buchhaltungskanzlei“ unternehmerisch tätig und vertritt Klienten im Rahmen ihrer beruflichen Befugnisse vor den Abgabenbehörden.

Mit Prüfungsauftrag vom 20. Juli 2010 leitete der Beschwerdegegner ein abgabenrechtliches Prüfungsverfahren betreffend der Beschwerdeführerin ein, das zur bescheidmäßigen Neufestsetzung der von ihr zu entrichtenden Einkommens- und Umsatzsteuer für die Jahre 2006 bis 2009 am 11. Oktober 2012 führte.

Sachverhaltsmäßiger Hauptpunkt dabei war die Frage der Aufteilung des von der Beschwerdeführerin in **** I***, U***- Weg *3, privat und betrieblich für Zwecke ihrer Buchhaltungskanzlei genutzten Gebäudes nach Nutzungsanteilen.

Die entsprechenden Amtshandlungen wurden im Jahr 2012 hauptsächlich von Walter O*** vorgenommen. Für den 20. April 2012 war zur Erörterung offener Fragen eine Schlussbesprechung anberaumt, die von der Beschwerdeführerin mit Schreiben vom 10. April 2012 abgesagt wurde. Außerdem war die Beschwerdeführerin in weiterer Folge telefonisch für den Beschwerdegegner nur schwer erreichbar.

Der Beschwerdegegner ermittelte daraufhin aus der im Rahmen des Systems „FinanzOnline“ von ihm selbst als Auftraggeber (DVR: 0009989) geführten Datenanwendung

„VERTRETUNGSVERHÄLTNISSE (DATEI ÜBER VERTRETER UND VERTRETENE)“, im Datenverarbeitungsregister offengelegt als Datenanwendung Nr. 0009989/025, für Zwecke des Prüfungsverfahrens eine Liste der dort aufscheinenden Klienten der Beschwerdeführerin (insgesamt 15 Personen). Ermittelt wurden dabei folgende Daten der Betroffenen: Finanzamt, Steuernummer, zuständiger Bereich/zuständiges Team, Name, Adresse, Art und Umfang des Vertretungsverhältnisses sowie das Faktum, dass die Beschwerdeführerin als Vertreterin in Abgabensachen bestellt war. Als Empfängerkreise aller Daten dieser Datenanwendung scheinen u.a. (laufende Nr. 04) „Abgabenbehörden des Bundes“ im Datenverarbeitungsregister auf.

Walter O*** kontaktierte darauf diese Klienten und führte am 29. Mai und 5. Juni 2012 eine Reihe von niederschriftlichen Einvernahmen durch, bei denen insbesondere nach Art und Umfang der Beschäftigung von externen Buchhaltern, Ort und Dauer von Besprechungen mit diesen sowie nach dem Ort der Übergabe und Retournierung von Unterlagen gefragt wurde.

Am 15. Juni 2012 fand schließlich die Schlussbesprechung über das Prüfungsverfahren statt.

Beweiswürdigung : Diese Feststellungen beruhen vor allem auf den von der Beschwerdeführerin selbst vorgelegten Urkundenkopien, so dem Schreiben an Walter O*** (c/o FA Landeck-Reutte) vom 10. April 2012 [Absage der Schlussbesprechung], Beilage zur Stellungnahme vom 7. April 2013; den Kopien der Niederschriften vom 29. Mai und 5. Juni 2012, Beilagen zur Beschwerde vom 19. Juli 2012; dem Ausdruck der „Liste der Vertretungen“ aus FinanzOnline vom 20. Juli 2012, ebenfalls Beilage zur Beschwerde vom 19. Juli 2012 [Anmerkung: wurde offenbar anlässlich der Versendung einen Tag nach Abfassung der am 25. Juli 2012 bei der Datenschutzkommission eingelangten Beschwerde abgerufen und ausgedruckt]; sowie der „Berufung zu St.Nr. *45/**75“ vom 28. Oktober 2012 gegen die Bescheide vom 11. Oktober 2012, vorgelegt als Beilage zur Stellungnahme vom 7. April 2012. Hinsichtlich der Erreichbarkeit der Beschwerdeführerin im Zeitraum nach der Absage der Schlussbesprechung (zweite Aprilhälfte und Mai 2012) wird den glaubwürdigen Angaben des Beschwerdegegners gefolgt (Stellungnahme vom 14. Februar 2013), wobei die Beschwerdeführerin (Stellungnahme vom 7. April 2013) selber eingeräumt hat, in diesem Zeitraum durch Fortbildungsseminare sowie den Krankenhausaufenthalt einer pflegebedürftigen Freundin derart in Anspruch genommen gewesen zu sein, dass sie nicht jeden Anruf annehmen habe können. Die Angaben zur Datenanwendung Nr. 0009989/025 (unverändert registriert seit 14. Jänner 1998) sind dem von der Datenschutzkommission geführten öffentlichen Datenverarbeitungsregister entnommen.

D. In rechtlicher Hinsicht folgt daraus :

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 1 und 2 DSG 2000 lautet samt Überschrift:

„ Grundrecht auf Datenschutz

§ 1 . (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“

Die §§ 6 Abs. 1 Z 1, 7 und 8 Abs. 1 bis Abs. 3 Z 1 DSG 2000 lauten samt Überschriften:

„ Grundsätze

§ 6 . (1) Daten dürfen nur

1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;“

„ Zulässigkeit der Verwendung von Daten

§ 7 . (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.

(2) Daten dürfen nur übermittelt werden, wenn

(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.

Schutzwürdige Geheimhaltungsinteressen bei

Verwendung nicht-sensibler Daten

§ 8 . (1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn

(2) Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung zulässigerweise veröffentlichter Daten gemäß § 28 Widerspruch zu erheben, bleibt unberührt.

(3) Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten

1. für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist oder“

§ 31 Abs. 2 und 7 DSG 2000 lautet samt Überschrift:

„ Beschwerde an die Datenschutzkommission

§ 31 . (1) [...]

(2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.

(3) [...] (6) [...]

(7) Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“

Die §§ 114 und 115 BAO lauten samt (Abschnitts-) Überschrift:

„ 4. ABSCHNITT.

Allgemeine Bestimmungen über die Erhebung der Abgaben.

A. Grundsätzliche Anordnungen.

§ 114 . (1) Die Abgabenbehörden haben darauf zu achten, daß alle Abgabepflichtigen nach den Abgabenvorschriften erfaßt und gleichmäßig behandelt werden, sowie darüber zu wachen, daß Abgabeneinnahmen nicht zu Unrecht verkürzt werden. Sie haben alles, was für die Bemessung der Abgaben wichtig ist, sorgfältig zu erheben und die Nachrichten darüber zu sammeln, fortlaufend zu ergänzen und auszutauschen.

(2) Hiefür darf eine elektronische Dokumentation angelegt werden (Dokumentationsregister). Diese Dokumentation hat insbesondere Daten betreffend die Identität des Abgabepflichtigen und die Klassifizierung seiner Tätigkeit zu umfassen.

(3) Die Abgabenbehörde kann Anbringen und andere das Verfahren betreffende Unterlagen mit automationsunterstützter Datenverarbeitung erfassen. Diese Erfassung beeinträchtigt nicht die Beweiskraft, wenn sichergestellt ist, dass die so erfassten Unterlagen nachträglich nicht unbemerkbar verändert werden können.

§ 115 . (1) Die Abgabenbehörden haben die abgabepflichtigen Fälle zu erforschen und von Amts wegen die tatsächlichen und rechtlichen Verhältnisse zu ermitteln die für die Abgabepflicht und die Erhebung der Abgaben wesentlich sind.

(2) Den Parteien ist Gelegenheit zur Geltendmachung ihrer Rechte und rechtlichen Interessen zu geben.

(3) Die Abgabenbehörden haben Angaben der Abgabepflichtigen und amtsbekannte Umstände auch zugunsten der Abgabepflichtigen zu prüfen und zu würdigen.

(4) Solange die Abgabenbehörde nicht entschieden hat, hat sie auch die nach Ablauf einer Frist vorgebrachten Angaben über tatsächliche oder rechtliche Verhältnisse zu prüfen und zu würdigen.“

Die §§ 147 und 148 BAO lauten samt Überschrift:

„ 2. Außenprüfungen

§ 147 . (1) Bei jedem, der zur Führung von Büchern oder von Aufzeichnungen oder zur Zahlung gegen Verrechnung mit der Abgabenbehörde verpflichtet ist, kann die Abgabenbehörde jederzeit alle für die Erhebung von Abgaben bedeutsamen tatsächlichen und rechtlichen Verhältnisse prüfen (Außenprüfung).

(2) Auf Prüfungen, die nur den Zweck verfolgen, die Zahlungsfähigkeit eines Abgabepflichtigen und deren voraussichtliche Entwicklung festzustellen, finden die Bestimmungen des § 148 Abs. 3 und die §§ 149 und 150 keine Anwendung.

§ 148 . (1) Die von der Abgabenbehörde mit der Vornahme von Außenprüfungen beauftragten Organe haben sich zu Beginn der Amtshandlung unaufgefordert über ihre Person auszuweisen und den Auftrag der Abgabenbehörde auf Vornahme der Prüfung (Prüfungsauftrag) vorzuweisen.

(2) Der Prüfungsauftrag hat den Gegenstand der vorzunehmenden Prüfung zu umschreiben. Soweit es sich nicht um eine unter § 147 Abs. 2 fallende Prüfung handelt, hat der Prüfungsauftrag die den Gegenstand der Prüfung bildenden Abgabenarten und Zeiträume zu bezeichnen.

(3) Für einen Zeitraum, für den eine Außenprüfung bereits vorgenommen worden ist, darf ein neuerlicher Prüfungsauftrag ohne Zustimmung des Abgabepflichtigen nur erteilt werden

(4) Gegen den Prüfungsauftrag ist ein abgesondertes Rechtsmittel nicht zulässig.

(5) Außenprüfungen sind dem Abgabepflichtigen oder seinem Bevollmächtigten tunlichst eine Woche vorher anzukündigen, sofern hiedurch der Prüfungszweck nicht vereitelt wird.“

2. rechtliche Schlussfolgerungen

Die Beschwerde hat sich als unbegründet erwiesen.

Soweit die Beschwerdeführerin das abgabenrechtliche Prüfungsverfahren des Beschwerdegegners schlechthin rügt (etwa eine behauptete Überschreitung des Prüfungsauftrags), so ist sie auf das anhängige Rechtsmittelverfahren zu verweisen.

„Datenschutzrechtliche Beschwerden sind nicht geeignet, in der Sache vor andere Behörden gehörende Rechtsfragen [...] prüfen zu lassen. Grundsätzlich besteht ein – im Fall von Verwaltungsübertretungen insbesondere durch § 25 Abs. 1 iVm § 26 Abs. 1 VStG, im allgemeinen Verwaltungsverfahren durch die §§ 37 und 39 Abs. 2 AVG sowie besondere Zuständigkeitsbestimmungen zum Ausdruck kommendes – berechtigtes Interesse der zuständigen Behörde an der Verwendung personenbezogener Daten, insbesondere deren Ermittlung, für Zwecke eines Verwaltungs(straf)verfahrens, welches das Interesse der Betroffenen an der Geheimhaltung ihrer personenbezogenen Daten überwiegt, sodass gemäß § 8 Abs. 1 Z 4 bzw. § 8 Abs. 4 Z 3 DSG 2000 eine Verletzung von nach § 1 Abs. 1 leg. cit. bestehenden schutzwürdigen Geheimhaltungsinteressen nicht vorliegt. Als Maßstab für eine Beurteilung der Zulässigkeit der Datenermittlung in solchen Verfahren verbleibt für die Datenschutzkommission das Übermaßverbot als Ausdruck des in § 1 Abs. 2 und § 7 Abs. 3 DSG 2000 normierten Verhältnismäßigkeitsgrundsatzes: Wenn es denkmöglich ist, dass die von einer in der Sache zuständigen Behörde ermittelten Daten nach Art und Inhalt für die Feststellung des relevanten Sachverhalts geeignet sind, ist die Zulässigkeit der Ermittlung aus datenschutzrechtlicher Sicht gegeben“ (Bescheid der Datenschutzkommission vom 29. November 2005, K121.046/0016-DSK/2005, RIS, ZVR 2006/115).

Auf den Beschwerdefall angewendet bedeutet dies u.a., dass die Frage, ob und in welchem Abschnitt des abgabenrechtlichen Verfahrens ein Prüfungsauftrag vorlag, wie dieser lautete und ob er dem materiellen Abgabenrecht und den Verfahrensvorschriften entsprochen hat, von der Datenschutzkommission nicht näher zu prüfen ist.

Nach Ansicht der Datenschutzkommission hat der Beschwerdegegner überzeugend dargelegt, dass die vorgenommenen Ermittlungsschritte zur Erreichung eines gesetzmäßigen Verfahrenszwecks gemäß §§ 7 Abs. 1 und 2, 8 Abs. 1 Z 4 und Abs. 3 Z 1 iVm § 114 Abs. 1 BAO (Überprüfung der Frage, ob die Beschwerdeführerin im Zusammenhang mit der Nutzung des Gebäudes in **** I***, U***-Weg *3, Einkommens- und Umsatzsteuer in gesetzmäßiger Höhe entrichtet hat) notwendig waren. Auch haben die Abgabenbehörden gemäß § 115 Abs. 1 BAO zu erforschen und von Amts wegen die tatsächlichen und rechtlichen Verhältnisse zu ermitteln, die für die Abgabepflicht und die Erhebung der Abgaben wesentlich sind. Fiskalische Interessen des Staates stellen dabei einen verfassungsmäßigen Grund für gesetzliche Eingriffe in durch den Gesetzesvorbehalt gemäß Art 8 Abs. 2 EMRK gekennzeichnete Grundrechte dar (vgl. etwa die Erwägungen des Verfassungsgerichtshofs zur Frage der Bemessung von Abgaben und Beiträgen und dafür notwendigen Datenübermittlungen zwischen Abgabenbehörden und Sozialversicherungsträgern im Erkenntnis vom 2. Oktober 2006, VfSlg 17940/2006).

Die Ermittlung der Kontaktdaten und Befragung der Klienten der Beschwerdeführerin erscheint der Datenschutzkommission dabei als ein denkmöglich geeignetes und nicht überschießendes Beweismittel für die Frage der anteilsmäßigen Nutzung des fraglichen Gebäudes.

Zur Frage, ob gelindere Mittel zur Anwendung gebracht hätten werden können, ist zu sagen, dass ein „gelinderes Mittel“ im Sinne des § 7 Abs. 3 DSG 2000 sowohl weniger eingriffsintensiv als auch in gleicher Weise zur Erreichung des verfolgten Zwecks geeignet sein muss. Eine ein Ermittlungsverfahren führende Behörde muss sich nicht mit leichter zu gewichtenden oder unklaren Beweismitteln begnügen, bloß weil etwa die Beschaffung schwerer wiegender oder klarerer Beweismittel einen stärkeren Eingriff in das Grundrecht auf Datenschutz bedeuten würde. Der Standpunkt der Beschwerdeführerin betreffend der Gebäudenutzung war dem Beschwerdegegner nun bekannt, da er aus den Abgabenerklärungen für die betreffenden Jahre abzuleiten war. Der Einwand der Beschwerdeführerin, man hätte als „gelinderes Mittel“ sie selbst – schriftlich oder mündlich – zur Gebäudenutzung befragen können, vermag in diesem Sinne daher keine taugliche, nämlich gleich aussagekräftige Alternative aufzuzeigen.

Daher durfte der Beschwerdegegner für den Zweck der Durchführung entsprechender Einvernahmen auch die Daten der Klienten der Beschwerdeführerin aus FinanzOnline ermitteln. Dabei ist zu betonen, dass nur die Ermittlung des Zusammenhangs Klient–Beschwerdeführerin (des Vertretungsverhältnisses) ein auf die Beschwerdeführerin bezogenes Datum darstellt, während etwa die Ermittlung von Name, Steuernummer und Adresse eine Verwendung von Daten des jeweils betroffenen Klienten war, die als Eingriff in das Geheimhaltungsrecht geltend zu machen die Beschwerdeführerin gar nicht aktiv legitimiert ist. Der entsprechende Einwand des Beschwerdegegners war insofern begründet.

Die Eintragung im DVR stellte dabei zwar für sich allein keinen Rechtsgrund für derartige Übermittlungen dar, doch ist die Offenlegung der vorgesehenen Übermittlung der Daten von Vertretern und Vertretungsverhältnissen an den Empfängerkreis „Abgabenbehörden des Bundes“ ein Indiz dafür, dass der Beschwerdegegner die in den §§ 16 bis 22 DSG 2000 in spezieller Weise verwirklichten Grundsätze von Treu und Glauben (vgl. § 6 Abs. 1 Z 1 DSG 2000) eingehalten hat. Die Beschwerdeführerin kann sich solcherart etwa nicht darauf berufen, eine Datenübermittlung der in Beschwerde gezogenen Art auf Grund des Standes des DVR nie vermutet haben zu können.

Was das ursprüngliche Vorbringen der Beschwerdeführerin anbelangt, die BRZ habe die Grundsätze des § 14 DSG 2000 nicht beachtet bzw. die Datensicherheit ihres FinanzOnline-Accounts sei verletzt worden, so ist sie darauf zu verweisen, dass a) auf die Einhaltung der Bestimmungen des § 14 DSG 2000 kein subjektives Recht besteht und b) eine gesetzmäßige Datenverwendung durch den datenschutzrechtlich verantwortlichen Auftraggeber, der die Daten verarbeitet, keine Verletzung der Datensicherheit sondern ein korrekter Verarbeitungsprozess war.

Die Beschwerde war daher spruchgemäß als unbegründet abzuweisen.