Logo C.F. Müller
Bundesrechnungshof

Aus wistra 3/2023

Der Bundesrechnungshof hat seine Bemerkungen 2022 zur Haushalts- und Wirtschaftsführung des Bundes vorgelegt (Dr. 20/4880). Unter der Überschrift „Verstoß von Bundesbehörden gegen Geheimschutzvorgaben gefährdet Sicherheit sensibler Daten“ wird zusammenfassend konstatiert, dass viele Bundesbehörden ihre Behördennetze nicht ausreichend abgesichert und nicht für sensible, geheimhaltungsbedürftige Daten freigegeben haben. Gleichwohl seien sie an die ressortübergreifende Kommunikationsinfrastruktur „Netze des Bundes“ angebunden, über die sie auch solche Daten austauschen. Der Bundesrechnungshof sieht dadurch die Vertraulichkeit der Daten und die Sicherheit aller an den Netzen des Bundes teilnehmenden Bundesbehörden gefährdet.

„Die meisten Bundesbehörden verarbeiten in ihren Behördennetzen auch sensible, geheimhaltungsbedürftige Daten (sog. Verschlusssachen). Dazu müssen die Behördennetze bestimmte Mindestanforderungen erfüllen und für die Verarbeitung von Verschlusssachen freigegeben sein. Neben den Behördennetzen gibt es für den Datenaustausch mit anderen Bundesbehörden die Netze des Bundes. Für deren Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig. 80 % der Bundesbehörden missachten wesentliche Pflichten, die sie erfüllen müssen, wenn sie die Netze des Bundes nutzen. Auch verstoßen sie gegen Vorgaben für die Verarbeitung von Verschlusssachen. Das BSI hatte nicht geprüft, inwieweit die Bundesbehörden die Voraussetzungen für die Teilnahme an den Netzen des Bundes erfüllten. Ihm war bekannt, dass die Mehrzahl der Behördennetze nicht für die Verarbeitung von Verschlusssachen freigegeben ist. Der Bundesrechnungshof hatte den Haushaltsausschuss des Deutschen Bundestages bereits im Jahr 2019 über Gefahren für die Vertraulichkeit der Daten und für die Sicherheit aller an den Netzen des Bundes teilnehmenden Bundesbehörden unterrichtet. Das BMI hatte daraufhin zugesagt, die Mängel für die Netze des Bundes bis zum Jahr 2020 zu beheben. Diese Zusage galt jedoch nicht für die Behördennetze. Dort bestehen die Mängel fort. 

Das BMI hat dringend auf alle Bundesbehörden einzuwirken, damit diese ihre Behördennetze endlich absichern und für die Verarbeitung von Verschlusssachen freigeben. Bis dahin muss es die Risiken für die Netze des Bundes minimieren. Zudem muss das BSI künftig zeitnah reagieren, wenn Bundesbehörden ihren Verpflichtungen im Geheimschutz nicht nachkommen. Dies hat das BMI im Wege seiner Aufsichtspflicht sicherzustellen.“ 


Thematisiert wurde durch den Bundesrechnungshof ferner der Steuerdatenaustausch. Eingefordert wird, dass Verstöße der Finanzinstitute gegen Meldepflichten wirksam und einheitlich geahndet werden.

„Finanzinstitute, z. B. Banken und bestimmte Versicherungsgesellschaften, müssen zum Teil nur geringe Bußgelder fürchten, wenn sie Meldepflichten für den Steuerdatenaustausch verletzen. Dies schwächt den Kampf gegen grenzüberschreitende Steuerhinterziehung. Das BMF hat bereits mehrfach zugesagt, die unterschiedlichen Bußgeldrahmen zu vereinheitlichen, dies jedoch nie umgesetzt. 

Deutschland tauscht mit zahlreichen Staaten auf der Grundlage des Common Reporting Standard (CRS) und des Foreign Tax Account Compliance Act (FATCA-Abkommen) Informationen aus. U. a. handelt es sich dabei um die Kontostände und Kapitalerträge von mehreren Millionen Konten. Inländische Finanzinstitute sind verpflichtet, Kontoinformationen ihrer im Ausland steuerlich ansässigen Kunden zu erheben und sie dem Bundeszentralamt für Steuern (Bundeszentralamt) mitzuteilen. Dieses führt den Austausch mit den Partnerstaaten durch. 

Das Bundeszentralamt kann bei fehlerhaften, unvollständigen oder verspäteten Meldungen der Finanzinstitute im Verfahren CRS Bußgelder von bis zu 50.000 Euro verhängen. Für einen vergleichbaren Verstoß im FATCA-Verfahren kommt hingegen nur ein Bußgeld von bis zu 5.000 Euro in Betracht. Der Bundesrechnungshof hält dieses Bußgeld für nicht geeignet, eine abschreckende Wirkung zu erzeugen. 

Der Bundesrechnungshof hat das BMF seit dem Jahr 2017 mehrfach auf die erforderliche Angleichung der Bußgeldrahmen hingewiesen. Das BMF hat die Angleichung jeweils in Aussicht gestellt. Es hat seine Zusagen aber nicht umgesetzt. 
Im Jahr 2021 stellte der Bundesrechnungshof außerdem fest, dass das Bundeszentralamt keinen genauen Überblick darüber besitzt, welche Finanzinstitute tatsächlich meldepflichtig sind. Es hat nur unzureichende Möglichkeiten, Finanzinstitute zu ermitteln, die nicht mitwirken. 

Das BMF sollte seine Zusagen endlich umsetzen und die Initiative ergreifen, die Bußgeldrahmen in den Verfahren CRS und FATCA anzugleichen. Es sollte auch prüfen, wie es dem Bundeszentralamt ermöglichen kann, das Meldeverhalten der Finanzinstitute wirksam zu überwachen und Institute zu ermitteln, die nicht mitwirken.“ 

Rechtsanwalt Prof. Dr. Carsten Wegner, Berlin
 


Verlag C.F. Müller

zurück zur vorherigen Seite