BFH: Gerichtlicher Prüfungsmaßstab nach Art. 78 Abs. 1 DSGVO; Tätigkeit und Mitteilung der Aufsichtsbehörde nach Art. 77 DSGVO

1. Art. 78 der Datenschutz-Grundverordnung (DSGVO) fordert zum Schutz der Rechte, die dem Einzelnen aus der Datenschutz-Grundverordnung erwachsen, einen wirksamen gerichtlichen Rechtsbehelf, der nach Maßgabe des nationalen Verfahrensrechts eine vollständige inhaltliche Überprüfung der Beschwerde­entscheidung der Aufsichtsbehörde durch das Gericht ermöglicht.
2. Maßstab für den Umfang der Ermittlungen im Rahmen einer Beschwerde nach Art. 77 DSGVO sind insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes.

AO § 93 Abs. 7 Satz 1 Nr. 4
DSGVO Art. 57 Abs. 1 Buchst. f, Art. 77, Art. 78 Abs. 1

BFH-Urteil vom 12.12.2023, IX R 33/21 (veröffentlicht am 7.3.2024)

Vorinstanz: FG Köln vom 27.10.2021, 2 K 1415/21 = SIS 22 00 83

I. Die Beteiligten streiten um die Rechtmäßigkeit eines Kontenabrufs nach § 93 Abs. 7 der Abgabenordnung (AO) und begehren ein Einschreiten der Daten­schutzaufsichtsbehörde.

Die Kläger und Revisionskläger (Kläger) werden beim Finanzamt … (FA) steuerlich geführt. Mit diesem führen sie eine streitige Auseinandersetzung wegen verfassungsrechtlicher Bedenken gegen Säumniszuschläge.

Im Zusammenhang mit Vollstreckungsmaßnahmen wegen der Nichtzahlung der Säumniszuschläge versandte das FA am 16.12.2019 eine Pfändungs- und Einziehungsverfügung an die X‑Bank. Nachdem eine Drittschuldnererklärung der X‑Bank zunächst nicht beim FA einging, veranlasste das FA am 21.01.2020 eine Kontenabfrage beim Bundeszentralamt für Steuern.

Die Kläger wandten sich an den Beklagten und Revisionsbeklagten, den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ‑‑Beklagter‑‑) mit einer Beschwerde. Sie trugen unter anderem vor, das FA habe die nicht rechtskräftig titulierten Säumniszuschläge beitreiben wollen, ohne den rechtskräftigen Ausgang eines eingelegten Rechtsmittels abzuwarten. Der Kontenabruf verletze ihre Datenschutzrechte. Das FA habe zunächst eine Vermögensauskunft bei ihnen einholen müssen.

Der Beklagte teilte nach Ermittlung des Sachverhalts den Klägern mit, er halte den durchgeführten Kontenabruf für plausibel und rechtmäßig. Es habe sich um eine nach Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 der Datenschutz-Grundverordnung (DSGVO), § 29b Abs. 1 AO und § 85 AO zulässige Datenver­arbeitung gehandelt.

Am 29.06.2021 erließ der Beklagte einen Bescheid, mit dem die Beschwerde der Kläger abgewiesen wurde. Die Kontenabfrage des FA wertete der Beklagte als datenschutzrechtlich zulässig. Das FA habe sein Ermessen vor dem Hinter­grund der bisherigen Zahlungs- und Vollstreckungserfahrungen mit den Klä­gern fehlerfrei ausgeübt.

Die von den Klägern nachfolgend beim Finanzgericht (FG) erhobene Klage, mit der sie die Aufhebung des Bescheids vom 29.06.2021 und die Festsetzung von Geldbußen begehrten, wurde mit Urteil vom 27.10.2021 ‑ 2 K 1415/21 (Ent­scheidungen der Finanzgerichte 2022, 230) als unbegründet abgewiesen. Eine inhaltliche Überprüfung der Beschwerdeentscheidung einer datenschutzrecht­lichen Aufsichtsbehörde sei in der Datenschutz-Grundverordnung nicht vorge­sehen. Bei dem Beschwerderecht nach Art. 77 Abs. 1 DSGVO handele es sich um ein petitionsähnlich ausgestaltetes Recht, das nur eingeschränkter richter­licher Kontrolle unterliege. Gegen eine inhaltliche Prüfung der aufsichtsrechtli­chen Entscheidung spreche insbesondere der Umstand, dass dem Betroffenen neben seinem Beschwerderecht gegenüber der Aufsichtsbehörde regelmäßig auch die Möglichkeit eingeräumt sei, gegenüber dem Verantwortlichen selbst um Rechtsschutz nachzusuchen. Der Beklagte habe sich mit dem Anliegen der Kläger inhaltlich befasst und diesen das Ergebnis mitgeteilt. Ein weitergehen­der Anspruch der Kläger bestehe nicht. Dass die datenschutzrechtliche Würdi­gung des Sachverhalts durch den Beklagten völlig fernliegend und willkürlich sei, sei nicht ersichtlich. Gemäß § 93 Abs. 7 Satz 1 Nr. 4 AO dürfe ein automa­tisierter Abruf von Kontoinformationen durchgeführt werden, wenn er unter anderem zur Erhebung von bundesgesetzlich geregelten Steuern erfor­derlich sei. Gemäß § 93 Abs. 7 Satz 2 Halbsatz 2 AO dürfe das Abrufersuchen nur dann erfolgen, wenn ein Auskunftsersuchen an den Steuerpflichtigen nicht zum Ziel geführt habe oder keinen Erfolg verspreche. Die Bewertung des Beklagten, das FA ha­be aufgrund der Gesamtumstände davon ausgehen dürfen, dass ein Aus­kunftsersuchen an die Kläger keinen Erfolg verspreche, sei weder fernliegend noch willkürlich, sondern sogar ausdrücklich nachvollziehbar.

Mit ihrer Revision bringen die Kläger vor: Die Auffassung des FG sei unzutref­fend. Das FA vollstrecke, obwohl die streitigen Säumniszuschläge und Zinsen noch gar nicht rechtskräftig bestätigt seien. Der Kontenabruf sei dafür gar nicht notwendig gewesen. In ihrem Fall habe das FA in die ihm seit langem bekannte Kontoverbindung vollstreckt, was zur vollständigen Tilgung der Rückstände geführt habe. Zu der Kontenabfrage sei das FA daher nicht be­rechtigt gewesen. Weiter sei ihr Grundrecht auf informationelle Selbstbestim­mung nach Art. 2 Abs. 1, Art. 1 Abs. 1 des Grundgesetzes verletzt. Der Rechtsbehelf des Art. 78 Abs. 1 DSGVO mache nur Sinn, wenn damit auch ei­ne inhaltliche Prüfung des Beschlusses durch das angerufene Gericht möglich sei. Art. 78 Abs. 1 DSGVO diene gerade der gerichtlichen Überwachung der Ar­beit des Beklagten. Es werde ein "wirksamer Rechtsbehelf" verlangt. Die Auf­fassung des Beklagten bedeute, dass ein FA aus beliebigen Gründen und wann es dies für seine Interessen für sinnvoll halte, einen Kontenabruf tätigen kön­ne.

Die Kläger beantragen sinngemäß,
das Urteil des FG Köln vom 27.10.2021 ‑ 2 K 1415/21 und den Bescheid des Beklagten vom 29.06.2021 aufzuheben und über seine Beschwerde unter Be­achtung der Rechtsauffassung des Bundesfinanzhofs neu zu entscheiden.

Der Beklagte beantragt,
die Revision als unbegründet zurückzuweisen.

Das angefochtene Urteil beruhe weder auf einem fehlerhaften Prüfungsmaß­stab noch auf einer fehlerhaften Anwendung der Abgabenordnung oder der Grundrechte. Den den Klägern zukommenden Befassungsanspruch habe der Beklagte mit dem Bescheid vom 29.06.2021 vollumfänglich erfüllt. Der petiti­onsähnliche Befassungsanspruch nach Art. 77 DSGVO unterliege nur einge­schränkter gerichtlicher Kontrolle. Art. 57 Abs. 1 Buchst. f DSGVO sehe vor, dass die Datenschutzaufsichtsbehörde den Gegenstand der Beschwerde in an­gemessenem Umfang untersuche und den Beschwerdeführer in angemessener Frist über den Fortgang und das Ergebnis der Untersuchung unterrichte. Der Aufsichtsbehörde stehe ein weiter Ermessenspielraum zu, wie sie mit einer Be­schwerde verfahre. Einen darüber hinausgehenden Anspruch begründe das Beschwerderecht nicht. Ein Beschwerdeführer könne daher grundsätzlich (nur) beanspruchen, dass sich die Datenschutzaufsichtsbehörde mit seiner Be­schwerde überhaupt befasse und ihn innerhalb der dort genannten Zeiträume über den Stand und das Ergebnis der Beschwerde unterrichte. Gegen eine in­haltliche Überprüfung spreche auch die dem Betroffenen neben seinem Be­schwerderecht gegenüber der Aufsichtsbehörde eingeräumte Möglichkeit, nach Maßgabe des Art. 79 DSGVO selbst gegenüber dem Verantwortlichen um Rechtsschutz nachzusuchen. Unabhängig von der Frage des Prüfungsmaßstabs habe sich das FG nicht auf eine reine Willkürkontrolle beschränkt. Stattdessen habe es die Entscheidung des Beklagten inhaltlich geprüft und diese für zutref­fend gehalten. Im Übrigen erweise sich die Beschwerdeentscheidung auch als rechtmäßig. Soweit in Rechtsprechung und Schrifttum eine vollständige ge­richtliche Überprüfung verlangt werde, habe das FG zu Recht einen Verstoß gegen § 93 Abs. 8 AO, § 93 Abs. 7 Satz 1 Nr. 4 und Satz 2 AO abgelehnt.

II. Die Revision ist begründet. Die Vorentscheidung ist aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das FG zurückzuverwei­sen (§ 126 Abs. 3 Satz 1 Nr. 2 der Finanzgerichtsordnung ‑‑FGO‑‑).

1. Die Entscheidung des FG ist aufzuheben. Das FG ist fehlerhaft davon ausge­gangen, dass eine gerichtliche Überprüfung der Entscheidung der Aufsichtsbe­hörde nur in beschränktem Umfang stattfindet und insbesondere eine gericht­liche Überprüfung, ob die Beschwerdeentscheidung des Beklagten auch inhalt­lich zutreffend ist, ausscheidet. Denn Art. 78 DSGVO erfordert eine vollum­fängliche gerichtliche Überprüfung der Beschwerdeentscheidung der Aufsichts­behörde.

a) Nach Art. 78 Abs. 1 DSGVO hat jede natürliche oder juristische Person un­beschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf ge­gen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbe­hörde. Dieses Recht besteht auch, wenn eine Beschwerde gemäß Art. 77 DSGVO zurückgewiesen wird (vgl. Art. 77 Abs. 2 DSGVO).

Art. 78 DSGVO fordert einen "wirksamen gerichtlichen Rechtsbehelf" gegen ei­ne Aufsichtsbehörde. Die Regelung gewährleistet ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte. Dies hat anhand der nationalen Verfahrensvorschriften zu erfolgen (vgl. Urteile des Gerichts­hofs der Europäischen Union ‑‑EuGH‑‑ Budapesti Elektromos Művek vom 12.01.2023 ‑ C‑132/21, EU:C:2023:2, Rz 43, 45 und SCHUFA Holding vom 07.12.2023 ‑ C‑26/22, EU:C:2023:958, Rz 51).

Ziel der Datenschutz-Grundverordnung ist, ein gleichmäßiges und hohes Da­tenschutzniveau zu gewährleisten. Das Schutzniveau soll in allen Mitgliedstaa­ten gleichwertig sein (Erwägungsgrund 10 der DSGVO). Ein unionsweit wirksa­mer Schutz personenbezogener Daten erfordert die Stärkung und präzise Fest­legung der Rechte der betroffenen Personen sowie eine Verschärfung der Ver­pflichtungen für diejenigen, die personenbezogene Daten verarbeiten und da­rüber entscheiden (Erwägungsgrund 11 der DSGVO). Nach Erwägungs­grund 141 der DSGVO sollte jede betroffene Person das Recht haben, bei einer Aufsichtsbehörde eine Beschwerde einzureichen und einen wirksamen gericht­lichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten aus der Daten­schutz-Grundverordnung verletzt sieht, die Aufsichtsbehörde auf ihre Be­schwerde hin nicht tätig wird oder die Beschwerde ganz oder teilweise ab­weist. In dem gerichtlichen Verfahren gegen eine Aufsichtsbehörde soll das zu­ständige Gericht eine uneingeschränkte Zuständigkeit besitzen, was die Zu­ständigkeit, sämtliche für den anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt (vgl. Erwägungsgrund 143 der DSGVO so­wie EuGH-Urteile Budapesti Elektromos Művek vom 12.01.2023 ‑ C‑132/21, EU:C:2023:2, Rz 41 ff. und SCHUFA Holding vom 07.12.2023 ‑ C‑26/22, EU:C:2023:958, Rz 52). Die Datenschutz-Grundverordnung legt mithin den Mitgliedstaaten die Verpflichtung auf, ein hohes Schutzniveau zu gewährleis­ten.

Die Ausgestaltung des Rechtsschutzes darf dabei nicht weniger günstig ausge­staltet sein als für entsprechende innerstaatliche Rechtsbehelfe (Grundsatz der Äquivalenz) und die Ausübung der durch die Datenschutz-Grundverordnung gewährten Rechte nicht praktisch unmöglich machen oder übermäßig erschwe­ren (Grundsatz der Effektivität, vgl. EuGH-Urteile EPIC Financial Consulting vom 14.07.2022 ‑ C‑274/21 und C‑275/21, EU:C:2022:565, Rz 73, m.w.N. und Budapesti Elektromos Művek vom 12.01.2023 ‑ C‑132/21, EU:C:2023:2, Rz 48; vgl. auch BeckOK Datenschutzrecht/Mundil, 46. Ed. [Stand 01.11.2021], DSGVO Art. 78 Rz 13). Daher kann Art. 78 DSGVO nicht dahin ausgelegt werden, dass die gerichtliche Überprüfung einer aufsichtsbehördlichen Beschwerdeentschei­dung darauf beschränkt ist, ob die Behörde sich mit der Beschwerde befasst, den Gegenstand der Beschwerde in angemessenem Umfang untersucht und den Beschwerdeführer über das Ergebnis der Prüfung in Kenntnis setzt. Viel­mehr muss die aufsichtsbehördliche Beschwerdeentscheidung, damit ein ge­richtlicher Rechtsbehelf "wirksam" ist, einer vollständigen gerichtlichen Über­prüfung durch ein Gericht unterliegen (vgl. EuGH-Urteil SCHUFA Holding vom 07.12.2023 ‑ C‑26/22, EU:C:2023:958, Rz 53; Urteil des Hamburgischen Oberverwaltungsgerichts vom 07.10.2019 ‑ 5 Bf 279/17, Zeitschrift für Öffent­liches Recht in Norddeutschland 2020, 285, Rz 63 ff; Bergt in Kühling/Buchner, DS‑GVO BDSG, 4. Aufl., Art. 78 DSGVO Rz 11; Nemitz in Ehmann/Selmayr, DS‑GVO, 2. Aufl., Art. 78 Rz 9; Körffer in Paal/Pauly, DS‑GVO BDSG, 3. Aufl., Art. 78 DSGVO Rz 5; Boehm in Simitis/Hornung/Spiecker gen. Döhlmann, Datenschutzrecht, 1. Aufl., Art. 78 DSGVO Rz 5; Piltz, Datenschutz-Berater ‑‑DSB‑‑ 2020, 68, 70; Halder/Heß, juris PraxisReport IT‑Recht ‑‑jurisPR‑ITR‑‑ 14/2021, Anm. 6, unter C.; Halder, jurisPR‑ITR 7/2021, Anm. 3, unter C.; Härting/Flisek/Thiess, Computer und Recht 2018, 296, 300).

Gemäß dem in Art. 4 Abs. 3 des Vertrags über die Europäische Union veran­kerten Grundsatz der loyalen Zusammenarbeit haben die Gerichte der Mit­gliedstaaten den gerichtlichen Schutz der Rechte zu gewährleisten, die im Ein­zelnen aus der Datenschutz-Grundverordnung erwachsen. Insoweit darf das in Art. 47 der Charta der Grundrechte der Europäischen Union verankerte Recht auf einen wirksamen Rechtsbehelf nicht beeinträchtigt werden. Dies gilt insbe­sondere auch für die in Art. 77 Abs. 1 und Art. 78 Abs. 1 DSGVO vorgesehe­nen Rechtsbehelfe (vgl. EuGH-Urteile Puskár vom 27.09.2017 ‑ C‑73/16, EU:C:2017:725, Rz 76 und Budapesti Elektromos Művek vom 12.01.2023 C‑132/21, EU:C:2023:2, Rz 50 f.; Pötters/Werkmeister in Gola/Heckmann, DS‑GVO BDSG, 3. Aufl., Art. 78 DSGVO Rz 1; Boehm in Simitis/Hornung/Spiecker gen. Döhlmann, Datenschutzrecht, 1. Aufl., Art. 78 DSGVO Rz 5).

b) Die von der Vorinstanz vertretene Ansicht, eine Beschwerdeentscheidung nach Art. 77 DSGVO unterliege (nur) einer eingeschränkten richterlichen Kon­trolle, und eine inhaltliche Überprüfung der Beschwerdeentscheidung scheide demzufolge aus, widerspricht diesen Grundsätzen. Die obengenannten Grund­sätze erfordern stattdessen eine vollständige Überprüfung der Beschwerdeent­scheidung des Beklagten nach Maßgabe des nationalen (deutschen) Prozess­rechts (vgl. Nemitz in Ehmann/Selmayr, DS‑GVO, 2. Aufl., Art. 78 Rz 9). Art. 77 DSGVO begründet ein subjektiv-öffentliches Recht auf Überprüfung ei­ner Maßnahme durch eine Aufsichtsbehörde (vgl. dazu Sydow in Sydow/Marsch, DS‑GVO BDSG, 3. Aufl., Art. 77 DSGVO Rz 18; Piltz, DSB 2020, 68). Es dient dem effektiven Schutz der Rechte von betroffenen Perso­nen im Anwendungsbereich der Datenschutz-Grundverordnung (vgl. Nemitz in Ehmann/Selmayr, DS‑GVO, 2. Aufl., Art. 77 Rz 1). Dies muss über das natio­nale Prozessrecht gewährleistet werden (vgl. Schneider in Schwartmann/Jaspers/Thüsing/Kugelmann, DS‑GVO/BDSG, 2. Aufl., Art. 78 DSGVO Rz 73). Die von der Vorinstanz vertretene Annahme einer nur einge­schränkten richterlichen Kontrolle schränkt dieses Recht eines Beschwerdefüh­rers im Hinblick auf eine vollständige Nachprüfung in rechtlicher und tatsächli­cher Hinsicht ein.

Die vom FG vertretene Annahme eines bloßen Petitions- oder Befassungs­rechts und der damit verbundene eingeschränkte Prüfungsmaßstab bewirken eine Schwächung des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und erschweren die europaweite Durchsetzbarkeit der Datenschutz-Grundverordnung (vgl. auch Nemitz in Ehmann/Selmayr, DS‑GVO, 2. Aufl., Art. 77 Rz 2). Denn ein Petitionsrecht räumt dem Betroffe­nen keinen Anspruch, auch nicht auf eine ermessensfehlerfreie Entscheidung ein. Vielmehr hat nach den Vorgaben der Datenschutz-Grundverordnung das Gericht die Beschwerdeentscheidung in vollem Umfang nach Maßgabe des na­tionalen Prozessrechts ‑‑mithin auf datenschutzrechtliche Regelungen des Eu­roparechts und des nationalen Rechts‑‑ zu überprüfen.

2. Das FG hat weiter nicht geprüft, ob der Beklagte zutreffend angenommen hat, dass der Kontenabruf nach Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 DSGVO i.V.m. § 29b Abs. 1 AO datenschutzrechtlich zulässig ist.

a) Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn min­destens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist (Verbot mit Erlaubnisvorbehalt; statt vieler Wackerbeck in Hübschmann/Hepp/Spitaler, § 29b AO Rz 9, m.w.N.). Dies ist unter anderem nach Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO der Fall, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Hierfür bedarf es gemäß Art. 6 Abs. 3 Satz 1 DSGVO einer Rechtsgrundlage, die entweder durch das Unionsrecht (Buchst. a) oder durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt (Buchst. b), festgelegt wird. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ferner ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem an­gemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen (Art. 6 Abs. 3 Satz 4 DSGVO).

Das Steuerverfahrensrecht sieht mit § 29b AO eine bereichsspezifische Rechts­grundlage zur Verarbeitung personenbezogener Daten im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO vor. Nach § 29b Abs. 1 AO ist die Verarbeitung personenbezogener Daten durch eine Finanzbehörde zulässig, wenn sie zur Er­füllung der ihr obliegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die ihr übertragen wurde, erforderlich ist. Die Vorschrift des § 29b AO legitimiert die Finanzbehörden unter den dort genannten Voraussetzungen für sämtliche das Steuerverfahrensrecht betreffende Maßnahmen zur Verarbeitung perso­nenbezogener Daten (vgl. dazu Senatsurteil vom 05.09.2023 ‑ IX R 32/21, zur amtlichen Veröffentlichung vorgesehen, Rz 21 ff.).

Rechtsgrundlage für die hier in Streit stehende Verarbeitung von personenbe­zogenen Daten ist § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO. Danach ist ein automa­tisierter Abruf von Konteninformationen (§ 93b AO) zulässig, soweit der Abruf zur Erhebung bundesgesetzlich geregelter Steuern erforderlich ist. Ein Abrufer­suchen darf nur dann erfolgen, wenn ein Auskunftsersuchen an den Steuer­pflichtigen nicht zum Ziel geführt hat oder keinen Erfolg verspricht. Eine nach § 29b AO zulässige Verarbeitung liegt daher dann vor, wenn der Kontenabruf nach § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO zur Erfüllung einer dem FA obliegen­den Aufgabe oder in Ausübung öffentlicher Gewalt, die ihm übertragen wurde, erforderlich war.

Dies kann zum Beispiel die Beitreibung nicht gezahlter Steuern im Rahmen des Erhebungsverfahrens sein. Denn insoweit sind die Finanzbehörden zur Vorbe­reitung der Vollstreckung nach § 249 Abs. 2 Satz 1 AO befugt, die Vermögens- und Einkommensverhältnisse zu ermitteln. Eine zulässige Ermittlungsmaßnah­me stellt der Kontenabruf nach § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO dar. Wer­den die auf diese Weise ermittelten personenbezogenen Daten zur Erfüllung der dem FA obliegenden Aufgabe der Vollstreckung bundesgesetzlich geregel­ter Steuern verarbeitet, ist dies von § 29b AO gedeckt und mithin nicht zu be­anstanden.

Allerdings ist die Verarbeitung personenbezogener Daten nicht im Sinne von § 29b Abs. 1 AO erforderlich, wenn die Tatbestandsvoraussetzungen des § 93 Abs. 7 AO offensichtlich nicht gegeben sind.

b) Das FG hat nicht geprüft, ob der Beklagte mit dem angefochtenen Bescheid vom 29.06.2021 zu Recht zu dem Ergebnis gekommen ist, dass für das FA als Verantwortlicher im Sinne von § 2a Abs. 3 AO i.V.m. Art. 4 Nr. 7 DSGVO der Kontenabruf nach § 93 Abs. 7 Satz 1 Nr. 4, Satz 2 AO erforderlich war und das FA zu diesem Zweck die Kläger betreffende personenbezogene Daten verarbei­ten durfte. Denn mit der Kontenabfrage hat das FA Daten im Sinne von Art. 4 Nr. 2 DSGVO erhoben, abgefragt und verwertet. Diese Verarbeitung ist nur rechtmäßig im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO, wenn der er­folgte Kontenabruf von § 29b AO gedeckt war. Dies ist der Fall, wenn die mit dem Kontenabruf einhergehende Verarbeitung personenbezogener Daten durch das FA zur Erfüllung einer ihm obliegenden Aufgabe erforderlich ist.

3. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Die Sa­che ist nicht spruchreif und daher zur anderweitigen Verhandlung und Ent­scheidung an das FG zurückzuverweisen. Aufgrund der vom FG getroffenen Feststellungen kann nicht entschieden werden, ob der Beklagte die Beschwer­de der Kläger nach Art. 77 DSGVO zu Recht zurückgewiesen hat. Für den wei­teren Fortgang im Verfahren weist der Senat dabei auf Folgendes hin:

Das FG hat die Beschwerdeentscheidung des Beklagten nach Art. 78 DSGVO auf der Grundlage des nationalen Verfahrensrechts vollumfänglich zu überprü­fen.

a) Rechtsgrundlage der streitgegenständlichen Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO. Welcher Untersuchungsumfang im Rahmen des Amtsermittlungsgrundsatzes bei der Bearbeitung einer Beschwerde als "in angemessenen Umfang" anzusehen ist, regelt Art. 57 DSGVO nicht. Aus Erwä­gungsgrund 141 Satz 2 der DSGVO folgt, dass die Untersuchung vorbehaltlich gerichtlicher Überprüfung so weit gehen soll, wie dies im Einzelfall angemes­sen ist. Maßstab für den Umfang der Ermittlungen sind danach insbesondere die individuelle Bedeutung der Sache und die Schwere des in Rede stehenden Verstoßes. Insoweit steht der Aufsichtsbehörde ein Ermessen zu (vgl. u.a. BeckOK Datenschutzrecht/Eichler/Matzke, 46. Ed. [Stand 01.08.2023], DSGVO Art. 57 Rz 17 und BeckOK Datenschutzrecht/Mundil, 46. Ed. [Stand 01.11.2021], DSGVO Art. 77 Rz 14 f.; Boehm in Kühling/Buchner, DS‑GVO BDSG, 4. Aufl., Art. 57 DSGVO Rz 11 f. und Bergt in Kühling/Buchner, DS‑GVO BDSG, 4. Aufl., Art. 77 DSGVO Rz 16; Körffer in Paal/Pauly, DS‑GVO BDSG, 3. Aufl., Art. 77 DSGVO Rz 5). Dieses Ermessen ist nach Maßgabe des § 102 FGO zu überprüfen.

Einen Pflichtenkatalog, wie die Aufsichtsbehörde mit der Beschwerde zu ver­fahren hat, enthält Art. 77 DSGVO nicht (vgl. u.a. BeckOK Datenschutz­recht/Mundil, 46. Ed. [Stand 01.11.2021], DSGVO Art. 77 Rz 14; Bergt in Kühling/Buchner, DS‑GVO BDSG, 4. Aufl., Art. 77 DSGVO Rz 17). Die Untersu­chung selbst hat nach der Rechtsprechung des EuGH in angemessenem Um­fang und mit aller gebotenen Sorgfalt zu erfolgen (vgl. EuGH-Urteile Facebook Ireland und Schrems vom 16.07.2020 ‑ C‑311/18, EU:C:2020:559, Rz 111 und SCHUFA Holding vom 07.12.2023 ‑ C‑26/22, EU:C:2023:958, Rz 56). Da­bei ist zu berücksichtigen, dass die Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. a DSGVO zur Durchsetzung der Datenschutz-Grundverordnung ver­pflichtet ist.

Bei festgestellten Verstößen gegen datenschutzrechtliche Normen ist die Auf­sichtsbehörde in der Regel gehalten, mit dem Ziel der Abstellung des Versto­ßes Maßnahmen zu ergreifen (Art. 58 Abs. 2 DSGVO, vgl. EuGH-Urteile Facebook Ireland und Schrems vom 16.07.2020 ‑ C‑311/18, EU:C:2020:559 Rz 111 und SCHUFA Holding vom 07.12.2023 ‑ C‑26/22, EU:C:2023:958, Rz 57). Stellt die Aufsichtsbehörde keinen Verstoß gegen datenschutzrechtli­che Vorschriften fest, hat sie den Beschwerdeführer innerhalb des in Art. 78 Abs. 2 DSGVO genannten Zeitraums über den Stand und das Ergebnis der Beschwer­de zu unterrichten.

b) Das FG hat mithin im zweiten Rechtszug darüber zu befinden, ob der Be­klagte diese Pflichten bei der Bearbeitung der Beschwerde der Kläger erfüllt hat. Dazu gehört die Überprüfung, ob der Beklagte den Sachverhalt ermittelt, das Beschwerdevorbringen der Kläger zur Kenntnis genommen und anschlie­ßend den gesamten Sachverhalt in datenschutzrechtlicher Hinsicht geprüft und bewertet hat. Dazu hat das FG zu prüfen, ob der Beklagte zutreffend die Ver­einbarkeit der streitigen Verarbeitung personenbezogener Daten mit Art. 6 Abs. 1 Satz 1 Buchst. e, Abs. 2, 3 DSGVO i.V.m. § 29b Abs. 1 AO bejaht hat. Dies beinhaltet die Frage, ob die mit dem Kontenabruf einhergehende Verar­beitung personenbezogener Daten zur Erfüllung einer dem FA obliegenden Aufgabe erforderlich ist.

4. Die Übertragung der Entscheidung über die Kosten des Revisionsverfahrens auf das FG beruht auf § 143 Abs. 2 FGO.