§ 10 ITZBundG

Tätigkeit der Bundesanstalt im Steuerbereich, Auftragsverarbeitung

(1) Soweit die Bundesanstalt für andere Bundesfinanzbehörden

1.
automatisierte Verfahren zur Verarbeitung von Daten, die nach § 30 der Abgabenordnung dem Steuergeheimnis unterliegen, entwickelt oder
2.
technische Hilfstätigkeiten im Sinne des § 20 Absatz 3 Satz 3 bis 5 des Finanzverwaltungsgesetzes erbringt,
unterliegt sie als Bundesfinanzbehörde allein den Weisungen des Bundesministeriums der Finanzen. § 8 Absatz 2 ist insoweit nicht anzuwenden.

(2) Geschützte Daten im Sinne des § 30 der Abgabenordnung dürfen in der Bundesanstalt ausschließlich durch Amtsträger im Sinne des § 7 der Abgabenordnung oder durch solche Personen verarbeitet werden, die nach § 11 Absatz 1 Nummer 4 des Strafgesetzbuchs für den öffentlichen Dienst besonders verpflichtet sind.

(3) Zur Erbringung von Leistungen im Sinne des Absatzes 1 für andere Bundesfinanzbehörden darf sich die Bundesanstalt nur unter folgenden Voraussetzungen eines Auftragsverarbeiters im Sinne des Artikels 4 Nummer 8 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) in der jeweils geltenden Fassung bedienen:

1.
das Bundesministerium der Finanzen oder die von ihm bestimmte Stelle der Bundesfinanzverwaltung muss der Beauftragung eines Auftragsverarbeiters zugestimmt haben,
2.
die technische Hilfstätigkeit kann weder von der Bundesverwaltung noch durch automatische Einrichtungen der Behörden eines Landes oder eines anderen Verwaltungsträgers in wirtschaftlich vertretbarer Weise geleistet werden,
3.
nach § 30 der Abgabenordnung dem Steuergeheimnis unterliegende Daten dürfen beim Auftragsverarbeiter ausschließlich durch Amtsträger im Sinne des § 7 der Abgabenordnung oder durch solche Personen verarbeitet werden, die nach § 11 Absatz 1 Nummer 4 des Strafgesetzbuchs für den öffentlichen Dienst besonders verpflichtet sind,
4.
die dem Auftragsverarbeiter überlassenen Daten, die von ihm für eine Bundesfinanzbehörde verarbeiteten Daten sowie die Protokolldaten dürfen nicht für andere Zwecke verarbeitet werden,
5.
die Verarbeitung nach § 30 der Abgabenordnung dem Steuergeheimnis unterliegender Daten durch den Auftragsverarbeiter muss im Inland stattfinden,
6.
der Auftragsverarbeiter muss im Rahmen der Artikel 25 und 32 der Verordnung (EU) 2016/679 ein vom Bundesministerium der Finanzen freizugebendes IT-Sicherheitskonzept nach dem Standard des aktuellen IT-Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik erstellt haben,
7.
der Auftragsverarbeiter muss die ihm überlassenen Daten entsprechend der vertraglich festgelegten Frist nach Abschluss der Leistung löschen und
8.
das Ergebnis der Datenverarbeitung muss vom Auftragsverarbeiter protokolliert werden und diese Protokolldaten müssen entsprechend der vertraglich festgelegten Frist an die Bundesanstalt oder die von ihr benannte Stelle übermittelt werden.
Der Auftragsverarbeiter der Bundesanstalt darf sich nur mit Zustimmung des Bundesministeriums der Finanzen oder der von ihm bestimmten Stelle der Bundesfinanzverwaltung und unter Einhaltung der in Satz 1 bezeichneten Voraussetzungen eines weiteren Auftragsverarbeiters bedienen.

Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.