BFH: Gerichtlicher Prüfungsmaßstab nach Art. 78 Abs. 1 DSGVO; Tätigkeit und Mitteilung der Aufsichtsbehörde nach Art. 77 DSGVO

Abgabenordnung / Datenschutzrecht

BFH, Urteil vom 12.12.2023, IX R 33/21
Verfahrensgang: FG Köln, 2 K 1415/21 vom 27.10.2021

Leitsatz:

1. Art. 78 der Datenschutz-Grundverordnung (DSGVO) fordert zum Schutz der Rechte, die dem Einzelnen aus der Datenschutz-Grundverordnung erwachsen, einen wirksamen gerichtlichen Rechtsbehelf, der nach Maßgabe des nationalen Verfahrensrechts eine vollständige inhaltliche Überprüfung der Beschwerdeentscheidung der Aufsichtsbehörde durch das Gericht ermöglicht.

2. Maßstab für den Umfang der Ermittlungen im Rahmen einer Beschwerde nach Art. 77 DSGVO sind insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes.

Gründe:

I. Die Beteiligten streiten um die Rechtmäßigkeit eines Kontenabrufs nach § 93 Abs. 7 der Abgabenordnung (AO) und begehren ein Einschreiten der Datenschutzaufsichtsbehörde.

Die Kläger und Revisionskläger (Kläger) werden beim Finanzamt ... (FA) steuerlich geführt. Mit diesem führen sie eine streitige Auseinandersetzung wegen verfassungsrechtlicher Bedenken gegen Säumniszuschläge.

Im Zusammenhang mit Vollstreckungsmaßnahmen wegen der Nichtzahlung der Säumniszuschläge versandte das FA am 16.12.2019 eine Pfändungs- und Einziehungsverfügung an die X-Bank. Nachdem eine Drittschuldnererklärung der X-Bank zunächst nicht beim FA einging, veranlasste das FA am 21.01.2020 eine Kontenabfrage beim Bundeszentralamt für Steuern.

Die Kläger wandten sich an den Beklagten und Revisionsbeklagten, den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit --Beklagter--) mit einer Beschwerde. Sie trugen unter anderem vor, das FA habe die nicht rechtskräftig titulierten Säumniszuschläge beitreiben wollen, ohne den rechtskräftigen Ausgang eines eingelegten Rechtsmittels abzuwarten. Der Kontenabruf verletze ihre Datenschutzrechte. Das FA habe zunächst eine Vermögensauskunft bei ihnen einholen müssen.

Der Beklagte teilte nach Ermittlung des Sachverhalts den Klägern mit, er halte den durchgeführten Kontenabruf für plausibel und rechtmäßig. Es habe sich um eine nach Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 der Datenschutz-Grundverordnung (DSGVO), § 29b Abs. 1 AO und § 85 AO zulässige Datenverarbeitung gehandelt.

Am 29.06.2021 erließ der Beklagte einen Bescheid, mit dem die Beschwerde der Kläger abgewiesen wurde. Die Kontenabfrage des FA wertete der Beklagte als datenschutzrechtlich zulässig. Das FA habe sein Ermessen vor dem Hintergrund der bisherigen Zahlungs- und Vollstreckungserfahrungen mit den Klägern fehlerfrei ausgeübt.

Die von den Klägern nachfolgend beim Finanzgericht (FG) erhobene Klage, mit der sie die Aufhebung des Bescheids vom 29.06.2021 und die Festsetzung von Geldbußen begehrten, wurde mit Urteil vom 27.10.2021 - 2 K 1415/21 (Entscheidungen der Finanzgerichte 2022, 230) als unbegründet abgewiesen. Eine inhaltliche Überprüfung der Beschwerdeentscheidung einer datenschutzrechtlichen Aufsichtsbehörde sei in der Datenschutz-Grundverordnung nicht vorgesehen. Bei dem Beschwerderecht nach Art. 77 Abs. 1 DSGVO handele es sich um ein petitionsähnlich ausgestaltetes Recht, das nur eingeschränkter richterlicher Kontrolle unterliege. Gegen eine inhaltliche Prüfung der aufsichtsrechtlichen Entscheidung spreche insbesondere der Umstand, dass dem Betroffenen neben seinem Beschwerderecht gegenüber der Aufsichtsbehörde regelmäßig auch die Möglichkeit eingeräumt sei, gegenüber dem Verantwortlichen selbst um Rechtsschutz nachzusuchen. Der Beklagte habe sich mit dem Anliegen der Kläger inhaltlich befasst und diesen das Ergebnis mitgeteilt. Ein weitergehender Anspruch der Kläger bestehe nicht. Dass die datenschutzrechtliche Würdigung des Sachverhalts durch den Beklagten völlig fernliegend und willkürlich sei, sei nicht ersichtlich. Gemäß § 93 Abs. 7 Satz 1 Nr. 4 AO dürfe ein automatisierter Abruf von Kontoinformationen durchgeführt werden, wenn er unter anderem zur Erhebung von bundesgesetzlich geregelten Steuern erforderlich sei. Gemäß § 93 Abs. 7 Satz 2 Halbsatz 2 AO dürfe das Abrufersuchen nur dann erfolgen, wenn ein Auskunftsersuchen an den Steuerpflichtigen nicht zum Ziel geführt habe oder keinen Erfolg verspreche. Die Bewertung des Beklagten, das FA habe aufgrund der Gesamtumstände davon ausgehen dürfen, dass ein Auskunftsersuchen an die Kläger keinen Erfolg verspreche, sei weder fernliegend noch willkürlich, sondern sogar ausdrücklich nachvollziehbar.

Mit ihrer Revision bringen die Kläger vor: Die Auffassung des FG sei unzutreffend. Das FA vollstrecke, obwohl die streitigen Säumniszuschläge und Zinsen noch gar nicht rechtskräftig bestätigt seien. Der Kontenabruf sei dafür gar nicht notwendig gewesen. In ihrem Fall habe das FA in die ihm seit langem bekannte Kontoverbindung vollstreckt, was zur vollständigen Tilgung der Rückstände geführt habe. Zu der Kontenabfrage sei das FA daher nicht berechtigt gewesen. Weiter sei ihr Grundrecht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1, Art. 1 Abs. 1 des Grundgesetzes verletzt. Der Rechtsbehelf des Art. 78 Abs. 1 DSGVO mache nur Sinn, wenn damit auch eine inhaltliche Prüfung des Beschlusses durch das angerufene Gericht möglich sei. Art. 78 Abs. 1 DSGVO diene gerade der gerichtlichen Überwachung der Arbeit des Beklagten. Es werde ein "wirksamer Rechtsbehelf" verlangt. Die Auffassung des Beklagten bedeute, dass ein FA aus beliebigen Gründen und wann es dies für seine Interessen für sinnvoll halte, einen Kontenabruf tätigen könne.

Die Kläger beantragen sinngemäß,

das Urteil des FG Köln vom 27.10.2021 - 2 K 1415/21 und den Bescheid des Beklagten vom 29.06.2021 aufzuheben und über seine Beschwerde unter Beachtung der Rechtsauffassung des Bundesfinanzhofs neu zu entscheiden.

Der Beklagte beantragt,

die Revision als unbegründet zurückzuweisen.

Das angefochtene Urteil beruhe weder auf einem fehlerhaften Prüfungsmaßstab noch auf einer fehlerhaften Anwendung der Abgabenordnung oder der Grundrechte. Den den Klägern zukommenden Befassungsanspruch habe der Beklagte mit dem Bescheid vom 29.06.2021 vollumfänglich erfüllt. Der petitionsähnliche Befassungsanspruch nach Art. 77 DSGVO unterliege nur eingeschränkter gerichtlicher Kontrolle. Art. 57 Abs. 1 Buchst. f DSGVO sehe vor, dass die Datenschutzaufsichtsbehörde den Gegenstand der Beschwerde in angemessenem Umfang untersuche und den Beschwerdeführer in angemessener Frist über den Fortgang und das Ergebnis der Untersuchung unterrichte. Der Aufsichtsbehörde stehe ein weiter Ermessenspielraum zu, wie sie mit einer Beschwerde verfahre. Einen darüber hinausgehenden Anspruch begründe das Beschwerderecht nicht. Ein Beschwerdeführer könne daher grundsätzlich (nur) beanspruchen, dass sich die Datenschutzaufsichtsbehörde mit seiner Beschwerde überhaupt befasse und ihn innerhalb der dort genannten Zeiträume über den Stand und das Ergebnis der Beschwerde unterrichte. Gegen eine inhaltliche Überprüfung spreche auch die dem Betroffenen neben seinem Beschwerderecht gegenüber der Aufsichtsbehörde eingeräumte Möglichkeit, nach Maßgabe des Art. 79 DSGVO selbst gegenüber dem Verantwortlichen um Rechtsschutz nachzusuchen. Unabhängig von der Frage des Prüfungsmaßstabs habe sich das FG nicht auf eine reine Willkürkontrolle beschränkt. Stattdessen habe es die Entscheidung des Beklagten inhaltlich geprüft und diese für zutreffend gehalten. Im Übrigen erweise sich die Beschwerdeentscheidung auch als rechtmäßig. Soweit in Rechtsprechung und Schrifttum eine vollständige gerichtliche Überprüfung verlangt werde, habe das FG zu Recht einen Verstoß gegen § 93 Abs. 8 AO, § 93 Abs. 7 Satz 1 Nr. 4 und Satz 2 AO abgelehnt.

II. Die Revision ist begründet. Die Vorentscheidung ist aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das FG zurückzuverweisen (§ 126 Abs. 3 Satz 1 Nr. 2 der Finanzgerichtsordnung --FGO--).

1. Die Entscheidung des FG ist aufzuheben. Das FG ist fehlerhaft davon ausgegangen, dass eine gerichtliche Überprüfung der Entscheidung der Aufsichtsbehörde nur in beschränktem Umfang stattfindet und insbesondere eine gerichtliche Überprüfung, ob die Beschwerdeentscheidung des Beklagten auch inhaltlich zutreffend ist, ausscheidet. Denn Art. 78 DSGVO erfordert eine vollumfängliche gerichtliche Überprüfung der Beschwerdeentscheidung der Aufsichtsbehörde.

a) Nach Art. 78 Abs. 1 DSGVO hat jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Dieses Recht besteht auch, wenn eine Beschwerde gemäß Art. 77 DSGVO zurückgewiesen wird (vgl. Art. 77 Abs. 2 DSGVO).

Art. 78 DSGVO fordert einen "wirksamen gerichtlichen Rechtsbehelf" gegen eine Aufsichtsbehörde. Die Regelung gewährleistet ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte. Dies hat anhand der nationalen Verfahrensvorschriften zu erfolgen (vgl. Urteile des Gerichtshofs der Europäischen Union --EuGH-- Budapesti Elektromos Muvek vom 12.01.2023 - C-132/21, EU:C:2023:2, Rz 43, 45 und SCHUFA Holding vom 07.12.2023 - C-26/22, EU:C:2023:958, Rz 51).

Ziel der Datenschutz-Grundverordnung ist, ein gleichmäßiges und hohes Datenschutzniveau zu gewährleisten. Das Schutzniveau soll in allen Mitgliedstaaten gleichwertig sein (Erwägungsgrund 10 der DSGVO). Ein unionsweit wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden (Erwägungsgrund 11 der DSGVO). Nach Erwägungsgrund 141 der DSGVO sollte jede betroffene Person das Recht haben, bei einer Aufsichtsbehörde eine Beschwerde einzureichen und einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten aus der Datenschutz-Grundverordnung verletzt sieht, die Aufsichtsbehörde auf ihre Beschwerde hin nicht tätig wird oder die Beschwerde ganz oder teilweise abweist. In dem gerichtlichen Verfahren gegen eine Aufsichtsbehörde soll das zuständige Gericht eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt (vgl. Erwägungsgrund 143 der DSGVO sowie EuGH-Urteile Budapesti Elektromos Muvek vom 12.01.2023 - C-132/21, EU:C:2023:2, Rz 41 ff. und SCHUFA Holding vom 07.12.2023 - C-26/22, EU:C:2023:958, Rz 52). Die Datenschutz-Grundverordnung legt mithin den Mitgliedstaaten die Verpflichtung auf, ein hohes Schutzniveau zu gewährleisten.

Die Ausgestaltung des Rechtsschutzes darf dabei nicht weniger günstig ausgestaltet sein als für entsprechende innerstaatliche Rechtsbehelfe (Grundsatz der Äquivalenz) und die Ausübung der durch die Datenschutz-Grundverordnung gewährten Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Grundsatz der Effektivität, vgl. EuGH-Urteile EPIC Financial Consulting vom 14.07.2022 - C-274/21 und C-275/21, EU:C:2022:565, Rz 73, m.w.N. und Budapesti Elektromos Muvek vom 12.01.2023 - C-132/21, EU:C:2023:2, Rz 48; vgl. auch BeckOK Datenschutzrecht/Mundil, 46. Ed. [Stand 01.11.2021], DSGVO Art. 78 Rz 13). Daher kann Art. 78 DSGVO nicht dahin ausgelegt werden, dass die gerichtliche Überprüfung einer aufsichtsbehördlichen Beschwerdeentscheidung darauf beschränkt ist, ob die Behörde sich mit der Beschwerde befasst, den Gegenstand der Beschwerde in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung in Kenntnis setzt. Vielmehr muss die aufsichtsbehördliche Beschwerdeentscheidung, damit ein gerichtlicher Rechtsbehelf "wirksam" ist, einer vollständigen gerichtlichen Überprüfung durch ein Gericht unterliegen (vgl. EuGH-Urteil SCHUFA Holding vom 07.12.2023 - C-26/22, EU:C:2023:958, Rz 53; Urteil des Hamburgischen Oberverwaltungsgerichts vom 07.10.2019 - 5 Bf 279/17, Zeitschrift für Öffentliches Recht in Norddeutschland 2020, 285, Rz 63 ff; Bergt in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 78 DSGVO Rz 11; Nemitz in Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 78 Rz 9; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl., Art. 78 DSGVO Rz 5; Boehm in Simitis/Hornung/Spiecker gen. Döhlmann, Datenschutzrecht, 1. Aufl., Art. 78 DSGVO Rz 5; Piltz, Datenschutz-Berater --DSB-- 2020, 68, 70; Halder/Heß, juris PraxisReport IT-Recht --jurisPR-ITR-- 14/2021, Anm. 6, unter C.; Halder, jurisPR-ITR 7/2021, Anm. 3, unter C.; Härting/Flisek/Thiess, Computer und Recht 2018, 296, 300).

Gemäß dem in Art. 4 Abs. 3 des Vertrags über die Europäische Union verankerten Grundsatz der loyalen Zusammenarbeit haben die Gerichte der Mitgliedstaaten den gerichtlichen Schutz der Rechte zu gewährleisten, die im Einzelnen aus der Datenschutz-Grundverordnung erwachsen. Insoweit darf das in Art. 47 der Charta der Grundrechte der Europäischen Union verankerte Recht auf einen wirksamen Rechtsbehelf nicht beeinträchtigt werden. Dies gilt insbesondere auch für die in Art. 77 Abs. 1 und Art. 78 Abs. 1 DSGVO vorgesehenen Rechtsbehelfe (vgl. EuGH-Urteile Puskár vom 27.09.2017 - C-73/16, EU:C:2017:725, Rz 76 und Budapesti Elektromos Muvek vom 12.01.2023 C-132/21, EU:C:2023:2, Rz 50 f.; Pötters/Werkmeister in Gola/Heckmann, DS-GVO BDSG, 3. Aufl., Art. 78 DSGVO Rz 1; Boehm in Simitis/Hornung/Spiecker gen. Döhlmann, Datenschutzrecht, 1. Aufl., Art. 78 DSGVO Rz 5).

b) Die von der Vorinstanz vertretene Ansicht, eine Beschwerdeentscheidung nach Art. 77 DSGVO unterliege (nur) einer eingeschränkten richterlichen Kontrolle, und eine inhaltliche Überprüfung der Beschwerdeentscheidung scheide demzufolge aus, widerspricht diesen Grundsätzen. Die obengenannten Grundsätze erfordern stattdessen eine vollständige Überprüfung der Beschwerdeentscheidung des Beklagten nach Maßgabe des nationalen (deutschen) Prozessrechts (vgl. Nemitz in Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 78 Rz 9). Art. 77 DSGVO begründet ein subjektiv-öffentliches Recht auf Überprüfung einer Maßnahme durch eine Aufsichtsbehörde (vgl. dazu Sydow in Sydow/Marsch, DS-GVO BDSG, 3. Aufl., Art. 77 DSGVO Rz 18; Piltz, DSB 2020, 68). Es dient dem effektiven Schutz der Rechte von betroffenen Personen im Anwendungsbereich der Datenschutz-Grundverordnung (vgl. Nemitz in Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 77 Rz 1). Dies muss über das nationale Prozessrecht gewährleistet werden (vgl. Schneider in Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl., Art. 78 DSGVO Rz 73). Die von der Vorinstanz vertretene Annahme einer nur eingeschränkten richterlichen Kontrolle schränkt dieses Recht eines Beschwerdeführers im Hinblick auf eine vollständige Nachprüfung in rechtlicher und tatsächlicher Hinsicht ein.

Die vom FG vertretene Annahme eines bloßen Petitions- oder Befassungsrechts und der damit verbundene eingeschränkte Prüfungsmaßstab bewirken eine Schwächung des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und erschweren die europaweite Durchsetzbarkeit der Datenschutz-Grundverordnung (vgl. auch Nemitz in Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 77 Rz 2). Denn ein Petitionsrecht räumt dem Betroffenen keinen Anspruch, auch nicht auf eine ermessensfehlerfreie Entscheidung ein. Vielmehr hat nach den Vorgaben der Datenschutz-Grundverordnung das Gericht die Beschwerdeentscheidung in vollem Umfang nach Maßgabe des nationalen Prozessrechts --mithin auf datenschutzrechtliche Regelungen des Europarechts und des nationalen Rechts-- zu überprüfen.

2. Das FG hat weiter nicht geprüft, ob der Beklagte zutreffend angenommen hat, dass der Kontenabruf nach Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 DSGVO i.V.m. § 29b Abs. 1 AO datenschutzrechtlich zulässig ist.

a) Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist (Verbot mit Erlaubnisvorbehalt; statt vieler Wackerbeck in Hübschmann/Hepp/Spitaler, § 29b AO Rz 9, m.w.N.). Dies ist unter anderem nach Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO der Fall, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Hierfür bedarf es gemäß Art. 6 Abs. 3 Satz 1 DSGVO einer Rechtsgrundlage, die entweder durch das Unionsrecht (Buchst. a) oder durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt (Buchst. b), festgelegt wird. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ferner ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 Satz 4 DSGVO).

Das Steuerverfahrensrecht sieht mit § 29b AO eine bereichsspezifische Rechtsgrundlage zur Verarbeitung personenbezogener Daten im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO vor. Nach § 29b Abs. 1 AO ist die Verarbeitung personenbezogener Daten durch eine Finanzbehörde zulässig, wenn sie zur Erfüllung der ihr obliegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die ihr übertragen wurde, erforderlich ist. Die Vorschrift des § 29b AO legitimiert die Finanzbehörden unter den dort genannten Voraussetzungen für sämtliche das Steuerverfahrensrecht betreffende Maßnahmen zur Verarbeitung personenbezogener Daten (vgl. dazu Senatsurteil vom 05.09.2023 - IX R 32/21, zur amtlichen Veröffentlichung vorgesehen, Rz 21 ff.).

Rechtsgrundlage für die hier in Streit stehende Verarbeitung von personenbezogenen Daten ist § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO. Danach ist ein automatisierter Abruf von Konteninformationen (§ 93b AO) zulässig, soweit der Abruf zur Erhebung bundesgesetzlich geregelter Steuern erforderlich ist. Ein Abrufersuchen darf nur dann erfolgen, wenn ein Auskunftsersuchen an den Steuerpflichtigen nicht zum Ziel geführt hat oder keinen Erfolg verspricht. Eine nach § 29b AO zulässige Verarbeitung liegt daher dann vor, wenn der Kontenabruf nach § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO zur Erfüllung einer dem FA obliegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die ihm übertragen wurde, erforderlich war.

Dies kann zum Beispiel die Beitreibung nicht gezahlter Steuern im Rahmen des Erhebungsverfahrens sein. Denn insoweit sind die Finanzbehörden zur Vorbereitung der Vollstreckung nach § 249 Abs. 2 Satz 1 AO befugt, die Vermögens- und Einkommensverhältnisse zu ermitteln. Eine zulässige Ermittlungsmaßnahme stellt der Kontenabruf nach § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO dar. Werden die auf diese Weise ermittelten personenbezogenen Daten zur Erfüllung der dem FA obliegenden Aufgabe der Vollstreckung bundesgesetzlich geregelter Steuern verarbeitet, ist dies von § 29b AO gedeckt und mithin nicht zu beanstanden.

Allerdings ist die Verarbeitung personenbezogener Daten nicht im Sinne von § 29b Abs. 1 AO erforderlich, wenn die Tatbestandsvoraussetzungen des § 93 Abs. 7 AO offensichtlich nicht gegeben sind.

b) Das FG hat nicht geprüft, ob der Beklagte mit dem angefochtenen Bescheid vom 29.06.2021 zu Recht zu dem Ergebnis gekommen ist, dass für das FA als Verantwortlicher im Sinne von § 2a Abs. 3 AO i.V.m. Art. 4 Nr. 7 DSGVO der Kontenabruf nach § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO erforderlich war und das FA zu diesem Zweck die Kläger betreffende personenbezogene Daten verarbeiten durfte. Denn mit der Kontenabfrage hat das FA Daten im Sinne von Art. 4 Nr. 2 DSGVO erhoben, abgefragt und verwertet. Diese Verarbeitung ist nur rechtmäßig im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO, wenn der erfolgte Kontenabruf von § 29b AO gedeckt war. Dies ist der Fall, wenn die mit dem Kontenabruf einhergehende Verarbeitung personenbezogener Daten durch das FA zur Erfüllung einer ihm obliegenden Aufgabe erforderlich ist.

3. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Die Sache ist nicht spruchreif und daher zur anderweitigen Verhandlung und Entscheidung an das FG zurückzuverweisen. Aufgrund der vom FG getroffenen Feststellungen kann nicht entschieden werden, ob der Beklagte die Beschwerde der Kläger nach Art. 77 DSGVO zu Recht zurückgewiesen hat. Für den weiteren Fortgang im Verfahren weist der Senat dabei auf Folgendes hin:

Das FG hat die Beschwerdeentscheidung des Beklagten nach Art. 78 DSGVO auf der Grundlage des nationalen Verfahrensrechts vollumfänglich zu überprüfen.

a) Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO. Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwägungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemessen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu (vgl. u.a. BeckOK Datenschutzrecht/Eichler/Matzke, 46. Ed. [Stand 01.08.2023], DSGVO Art. 57 Rz 17 und BeckOK Datenschutzrecht/Mundil, 46. Ed. [Stand 01.11.2021], DSGVO Art. 77 Rz 14 f.; Boehm in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 57 DSGVO Rz 11 f. und Bergt in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 77 DSGVO Rz 16; Körffer in Paal/Pauly, DS-GVO BDSG, 3. Aufl., Art. 77 DSGVO Rz 5). Dieses Ermessen ist nach Maßgabe des § 102 FGO zu überprüfen.

Einen Pflichtenkatalog, wie die Aufsichtsbehörde mit der Beschwerde zu verfahren hat, enthält Art. 77 DSGVO nicht (vgl. u.a. BeckOK Datenschutzrecht/Mundil, 46. Ed. [Stand 01.11.2021], DSGVO Art. 77 Rz 14; Bergt in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 77 DSGVO Rz 17). Die Untersuchung selbst hat nach der Rechtsprechung des EuGH in angemessenem Umfang und mit aller gebotenen Sorgfalt zu erfolgen (vgl. EuGH-Urteile Facebook Ireland und Schrems vom 16.07.2020 - C-311/18, EU:C:2020:559, Rz 111 und SCHUFA Holding vom 07.12.2023 - C-26/22, EU:C:2023:958, Rz 56). Dabei ist zu berücksichtigen, dass die Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. a DSGVO zur Durchsetzung der Datenschutz-Grundverordnung verpflichtet ist.

Bei festgestellten Verstößen gegen datenschutzrechtliche Normen ist die Aufsichtsbehörde in der Regel gehalten, mit dem Ziel der Abstellung des Verstoßes Maßnahmen zu ergreifen (Art. 58 Abs. 2 DSGVO, vgl. EuGH-Urteile Facebook Ireland und Schrems vom 16.07.2020 - C-311/18, EU:C:2020:559 Rz 111 und SCHUFA Holding vom 07.12.2023 - C-26/22, EU:C:2023:958, Rz 57). Stellt die Aufsichtsbehörde keinen Verstoß gegen datenschutzrechtliche Vorschriften fest, hat sie den Beschwerdeführer innerhalb des in Art. 78 Abs. 2 DSGVO genannten Zeitraums über den Stand und das Ergebnis der Beschwerde zu unterrichten.

b) Das FG hat mithin im zweiten Rechtszug darüber zu befinden, ob der Beklagte diese Pflichten bei der Bearbeitung der Beschwerde der Kläger erfüllt hat. Dazu gehört die Überprüfung, ob der Beklagte den Sachverhalt ermittelt, das Beschwerdevorbringen der Kläger zur Kenntnis genommen und anschließend den gesamten Sachverhalt in datenschutzrechtlicher Hinsicht geprüft und bewertet hat. Dazu hat das FG zu prüfen, ob der Beklagte zutreffend die Vereinbarkeit der streitigen Verarbeitung personenbezogener Daten mit Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 DSGVO i.V.m. § 29b Abs. 1 AO bejaht hat. Dies beinhaltet die Frage, ob die mit dem Kontenabruf einhergehende Verarbeitung personenbezogener Daten zur Erfüllung einer dem FA obliegenden Aufgabe erforderlich ist.