Das Finanzamt führt im Rahmen seiner Kontrolltätigkeit Betriebsprüfungen durch. Im Zuge dessen werden vor allem die Finanzen von Unternehmen, wie etwa Buchhaltungsunterlagen, geprüft. Insbesondere im medizinischen Bereich werden hier aber auch oft andere Unterlagen wie etwa Termine, Abrechnungen, Atteste, Diagnoseunterlagen, etc... eingesehen um diese mit den Buchhaltungsunterlagen abzugleichen. Nicht nur aufgrund der gesteigerten Sensibilität seit dem 25. Mai 2018 herrscht hier bei vielen Unternehmen oft Unsicherheit vor, ob dies generell und vor allem aufgrund der DSGVO zulässig ist.

Diese Frage ist auch berechtigt, da es sich bei den zugrunde liegenden Daten nicht einfach um "normale" personenbezogene Daten, sondern um Gesundheitsdaten - und damit um personenbezogene Daten besonderer Kategorie (Artikel 9) - handelt. Sei noch erwähnt, dass Angehörige von Gesundheitsberufen regelmäßig einer gesetzlichen Schweigepflicht unterstehen und daher auch um eine strafrechtliche Haftung fürchten.

In rechtlicher Hinsicht ist die Gewährung einer Einsicht in solche Gesundheitsdaten jedenfalls als eine Datenverarbeitung nach der DSGVO zu werten, sodass es hierfür einer Rechtsgrundlage bedarf. Eine solche liegt auch vor, da das Finanzamt gemäß § 147 ff BAO zur Einsichtnahme in alle für die Sache "bedeutsamen" Unterlagen berechtigt ist, weshalb die Offenlegung gegenüber der Behörde prinzipiell durch Art 6 lit c DSGVO gedeckt ist.

Der Umstand, dass sowohl die DSGVO (bzw das nationale Datenschutzgesetz DSG) und die BAO formaljuristisch allerdings nicht höherrangig sind als die jeweiligen gesetzlichen Verschwiegenheitspflichten führt hier allerdings in ein rechtliches Dilemma, bei der eine vollständige Offenlegung gegenüber der Behörde automatisch zur Verletzung der Verschwiegenheitspflicht führt.

Verkomplizierend wirkt, dass die meisten beruflichen Verschwiegenheitspflichten die Offenlegung von Patientendaten nur bei Entbindung durch den Patienten selbst vorsehen, sodass bei einer strengen Interpretation jede Art von Offenlegung an die Behörde nur mit Einwilligung durch die jeweils betroffenen Personen als zulässig zu erachten wäre.

Eine bestimmt nicht komfortable aber immerhin rechtlich korrekte Vorgehensweise ist, dass der Behörde diese Daten in einer anonymisierten Form überlassen werden, sodass eine abgabenrechtliche Kontrolle noch möglich ist, allerdings kein Personenbezug mehr vorliegt.