Datendiebstahl deutscher Steuerdaten
der Abgeordneten Markus Herbrand, Christian Dürr, Grigorios Aggelidis, Renata Alt, Nicole Bauer, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Sandra Bubendorfer-Licht, Dr. Marco Buschmann, Carl-Julius Cronenberg, Britta Katharina Dassler, Hartmut Ebbing, Dr. Marcus Faber, Otto Fricke, Thomas Hacker, Reginald Hanke, Peter Heidt, Katrin Helling-Plahr, Katja Hessel, Ulla Ihnen, Olaf in der Beek, Dr. Christian Jung, Karsten Klein, Dr. Marcel Klinge, Dr. Lukas Köhler, Carina Konrad, Konstantin Kuhle, Ulrich Lechte, Michael Georg Link, Alexander Müller, Dr. Martin Neumann, Hagen Reinhold, Frank Schäffler, Matthias Seestern-Pauly, Judith Skudelny, Dr. Hermann Otto Solms, Benjamin Strasser, Katja Suding, Dr. Florian Toncar, Gerald Ullrich, Sandra Weeser, Nicole Westig, Katharina Willkomm und der Fraktion FDP
Vorbemerkung
Im Sommer 2019 erfolgte ein Hackerangriff auf die Steuerverwaltung Bulgariens, bei der auch Informationen deutscher Firmen und Privatpersonen betroffen waren, die im Rahmen des automatischen Informationsaustauschs über Finanzkonten in Steuersachen (AIA) von Deutschland an Bulgarien übermittelt worden waren (vgl. Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/21720). Obwohl die Fraktion der FDP bereits zuvor bei der Bundesregierung erfragt hatte, ob deutsche Finanzkonteninformationen, die im Zuge des AIA mit mehr als 100 Staaten automatisch geteilt werden und ein Finanzvolumen von mehr als 1,2 Bio. Euro umfassen, Opfer von Cyberangriffen wurden, räumte das zuständige Bundesministerium der Finanzen (BMF) diese aus Sicht der Fragestellenden eklatante Datenschutzkrise erst auf erneute Nachfrage ein.
Die AIA-Daten, die von Deutschland an Bulgarien geliefert wurden, umfassen sensible Informationen, die u. a. Namens- und Adressdaten sowie Kontosalden, Zinsen, Dividenden, Versicherungs- und Rentendaten von Einzelpersonen und Unternehmen beinhalten. Die Fragestellenden kritisieren, dass die Bundesregierung die Personen und Unternehmen, die vom Datenraub betroffen sind, nicht über den Cyberangriff informiert hat; auch über das Ausmaß des Datenraubs wurden keine Informationen bekanntgegeben.
Wir fragen die Bundesregierung:
1. Weshalb sind nach Ansicht der Bundesregierung personenbezogene Daten, die im Rahmen des automatischen Austauschs von Informationen über Steuerdaten (Finanzkonteninformationsaustausch; AIA) an andere Länder übermittelt werden, sorgsam zu behandeln?
Kommt dem Datenschutz und der Datensicherheit der personenbezogenen Daten eine zentrale Rolle beim AIA zu, und falls ja, weshalb?
2. Weshalb sind nach Ansicht der Bundesregierung unternehmensbezogene Daten, die im Rahmen des Finanzkonteninformationsaustauschs an andere Länder übermittelt werden, sorgsam zu behandeln?
Kommt dem Datenschutz und der Datensicherheit der unternehmensbezogenen Daten eine zentrale Rolle beim AIA zu, und falls ja, weshalb?
3. Sind aus Sicht der Bundesregierung die unternehmensbezogenen Daten, die im Rahmen des Finanzkonteninformationsaustauschs mit anderen Ländern geteilt werden, potentielle Ziele für Wirtschaftsspionage, und falls ja, weshalb, und falls nein, weshalb nicht?
4. Stellen die Informationen, die im Rahmen des Finanzkonteninformationsaustauschs geteilt werden, ein potentielles Ziel für Cyberangriffe dar, und falls ja, weshalb, und falls nein, weshalb nicht (bitte begründen)?
5. Mit wie vielen Staaten teilt die Bundesregierung gegenwärtig Informationen im Rahmen des Finanzkonteninformationsaustauschs, und welche dieser Staaten stehen nach Ansicht der Bundesregierung im Verdacht, Wirtschaftsspionage zu betreiben (bitte tabellarisch darstellen)?
6. Liegen der Bundesregierung Informationen oder Anhaltspunkte vor, dass Hackerangriffe auf deutsche Unternehmen, in Deutschland ansässige Personen oder die Bundesregierung selbst von der russischen Regierung bzw. aus Russland durchgeführt wurden, und falls ja, welche Informationen oder Anhaltspunkte sind dies?
Gab es oder gibt es Anzeichen dafür, dass Daten des Finanzkontenaustauschs im Fokus eines Hackerangriffs aus Russland standen?
7. Liegen der Bundesregierung Informationen oder Anhaltspunkte vor, dass Hackerangriffe auf deutsche Unternehmen, in Deutschland ansässige Personen oder die Bundesregierung selbst von der chinesischen Regierung bzw. aus China durchgeführt wurden, und falls ja, welche Informationen oder Anhaltspunkte sind dies?
Gab es oder gibt es Anzeichen dafür, dass Daten des Finanzkontenaustauschs im Fokus eines Hackerangriffs aus China standen?
8. Liegen der Bundesregierung Hinweise oder Informationen vor, die Aufschluss darüber geben, wer hinter dem Hackerangriff auf die bulgarische Finanzverwaltung steckt und/oder aus welchem Land der Angriff stammte?
Kann die Bundesregierung bestätigen, dass Informationen vorliegen, dass der Hackerangriff von russischen Aktivisten geführt wurde, und falls nein, kann sie es ausschließen (vgl. https://www.dw.com/de/wer-steckt-hinter-dem-hacker-angriff-auf-bulgariens-finanzbehörde/a-49612183)?
9. Welche Kenntnis hat die Bundesregierung über das Ausmaß des Datendiebstahls der Informationen, die im Rahmen des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt worden waren?
10. Wie viele Daten wurden nach Kenntnis der Bundesregierung im Rahmen des Finanzkonteninformationsaustauschs seit Aufnahme des AIA von Deutschland jeweils jährlich an Bulgarien übermittelt (bitte tabellarisch darstellen und nach Jahr und Anzahl der Datensätze aufschlüsseln)?
a) Wie viele Namensdaten wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
b) Wie viele Adressdaten inklusive steuerliche Ansässigkeit wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
c) Wie viele Geburtsdaten wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
d) Wie viele Kontonummern bzw. Äquivalent wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
e) Wie viele Kontosalden bzw. Kontowerte wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
f) Wie viele Gesamtbruttobeträge der Zinsen bzw. Dividenden bzw. Veräußerungserlöse bzw. sonstigen Erträge, die im Laufe des Meldezeitraumes auf dem Finanzkonto eingezahlt oder diesem gutgeschrieben wurden, wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
g) Wie hoch war das seit Aufnahme des AIA von Deutschland jeweils jährlich an Bulgarien übermittelte Finanzvolumen der Kontostände insgesamt?
h) Wie hoch war das seit Aufnahme des AIA von Deutschland jeweils jährlich an Bulgarien übermittelte Finanzvolumen der Erträge insgesamt?
11. Wie hat die Bundesregierung auf den Hackerangriff auf die Steuerverwaltung Bulgariens reagiert, bei der auch Informationen betroffen waren, die im Rahmen des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt worden waren?
Welche Maßnahmen hat sie wann angeordnet?
12. Befindet sich nach Kenntnis der Bundesregierung Bulgarien zurzeit in einer Überprüfung zur Verbesserung der Verfahren insbesondere im Hinblick auf die Datensicherheit und den Datenschutz seiner Steuerverwaltung, und falls ja, wird die Bundesregierung die Ergebnisse dieser Überprüfung nutzen, damit auch die Steuer- und Finanzverwaltung Deutschlands seine IT-Sicherheit verbessert?
13. Haben nach Einschätzung der Bundesregierung die vorgegebenen Modalitäten gegriffen, die für den Fall eines Hackerangriffs auf eine Steuerverwaltung eines AIA-Partnerlands laut internationalen Verträgen bestehen?
14. Sieht die Bundesregierung im Lichte der jüngsten Enthüllungen des Datenraubs deutscher AIA-Daten Reformbedarf beim Finanzkonteninformationsaustausch, und falls nein, weshalb, und falls ja, welche Maßnahmen sollten angestrebt werden, um den AIA etwa im Hinblick auf die Datensicherheit und den Datenschutz zu verbessern?
15. Gab es nach Kenntnis der Bundesregierung seit Beginn der laufenden Legislaturperiode Hackerangriffe auf Teile der deutschen Finanzverwaltung im Bund, der Bundesfinanzakademie das BMF oder auf Teile der Steuerverwaltung in den Ländern, und falls ja, welche Stellen waren nach Kenntnis Opfer eines Hackerangriffs, bzw. bei welchen Stellen besteht die Vermutung, dass ein Hackerangriff stattgefunden hat (vgl. die Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/17872)?
16. Wie hat das BMF auf Hackerangriffe auf Teile der deutschen Finanzverwaltung reagiert, und welche konkreten Maßnahmen wurden vom BMF eingeleitet?
Wann hat sich das BMF mit welcher von einem Hackerangriff betroffenen Stelle der Finanzverwaltung zur Datensicherheit und zum Datenschutz ausgetauscht?
Sollte sich nach Ansicht des BMF das BMF über Hackerangriffe der Finanzverwaltung der Länder informieren, um einen Beitrag zur Abwehr von Hackerangriffen zu gewährleisten, und falls nein, weshalb nicht (bitte begründen)?
Fragen16
Weshalb sind nach Ansicht der Bundesregierung personenbezogene Daten, die im Rahmen des automatischen Austauschs von Informationen über Steuerdaten (Finanzkonteninformationsaustausch; AIA) an andere Länder übermittelt werden, sorgsam zu behandeln?
Kommt dem Datenschutz und der Datensicherheit der personenbezogenen Daten eine zentrale Rolle beim AIA zu, und falls ja, weshalb?
Weshalb sind nach Ansicht der Bundesregierung unternehmensbezogene Daten, die im Rahmen des Finanzkonteninformationsaustauschs an andere Länder übermittelt werden, sorgsam zu behandeln?
Kommt dem Datenschutz und der Datensicherheit der unternehmensbezogenen Daten eine zentrale Rolle beim AIA zu, und falls ja, weshalb?
Sind aus Sicht der Bundesregierung die unternehmensbezogenen Daten, die im Rahmen des Finanzkonteninformationsaustauschs mit anderen Ländern geteilt werden, potentielle Ziele für Wirtschaftsspionage, und falls ja, weshalb, und falls nein, weshalb nicht?
Stellen die Informationen, die im Rahmen des Finanzkonteninformationsaustauschs geteilt werden, ein potentielles Ziel für Cyberangriffe dar, und falls ja, weshalb, und falls nein, weshalb nicht (bitte begründen)?
Mit wie vielen Staaten teilt die Bundesregierung gegenwärtig Informationen im Rahmen des Finanzkonteninformationsaustauschs, und welche dieser Staaten stehen nach Ansicht der Bundesregierung im Verdacht, Wirtschaftsspionage zu betreiben (bitte tabellarisch darstellen)?
Liegen der Bundesregierung Informationen oder Anhaltspunkte vor, dass Hackerangriffe auf deutsche Unternehmen, in Deutschland ansässige Personen oder die Bundesregierung selbst von der russischen Regierung bzw. aus Russland durchgeführt wurden, und falls ja, welche Informationen oder Anhaltspunkte sind dies?
Gab es oder gibt es Anzeichen dafür, dass Daten des Finanzkontenaustauschs im Fokus eines Hackerangriffs aus Russland standen?
Liegen der Bundesregierung Informationen oder Anhaltspunkte vor, dass Hackerangriffe auf deutsche Unternehmen, in Deutschland ansässige Personen oder die Bundesregierung selbst von der chinesischen Regierung bzw. aus China durchgeführt wurden, und falls ja, welche Informationen oder Anhaltspunkte sind dies?
Gab es oder gibt es Anzeichen dafür, dass Daten des Finanzkontenaustauschs im Fokus eines Hackerangriffs aus China standen?
Liegen der Bundesregierung Hinweise oder Informationen vor, die Aufschluss darüber geben, wer hinter dem Hackerangriff auf die bulgarische Finanzverwaltung steckt und/oder aus welchem Land der Angriff stammte?
Kann die Bundesregierung bestätigen, dass Informationen vorliegen, dass der Hackerangriff von russischen Aktivisten geführt wurde, und falls nein, kann sie es ausschließen (vgl. https://www.dw.com/de/wer-steckt-hinter-dem-hacker-angriff-auf-bulgariens-finanzbehörde/a-49612183)?
Welche Kenntnis hat die Bundesregierung über das Ausmaß des Datendiebstahls der Informationen, die im Rahmen des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt worden waren?
Wie viele Daten wurden nach Kenntnis der Bundesregierung im Rahmen des Finanzkonteninformationsaustauschs seit Aufnahme des AIA von Deutschland jeweils jährlich an Bulgarien übermittelt (bitte tabellarisch darstellen und nach Jahr und Anzahl der Datensätze aufschlüsseln)?
a) Wie viele Namensdaten wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
b) Wie viele Adressdaten inklusive steuerliche Ansässigkeit wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
c) Wie viele Geburtsdaten wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
d) Wie viele Kontonummern bzw. Äquivalent wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
e) Wie viele Kontosalden bzw. Kontowerte wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
f) Wie viele Gesamtbruttobeträge der Zinsen bzw. Dividenden bzw. Veräußerungserlöse bzw. sonstigen Erträge, die im Laufe des Meldezeitraumes auf dem Finanzkonto eingezahlt oder diesem gutgeschrieben wurden, wurden jeweils jährlich seit Aufnahme des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt?
g) Wie hoch war das seit Aufnahme des AIA von Deutschland jeweils jährlich an Bulgarien übermittelte Finanzvolumen der Kontostände insgesamt?
h) Wie hoch war das seit Aufnahme des AIA von Deutschland jeweils jährlich an Bulgarien übermittelte Finanzvolumen der Erträge insgesamt?
Wie hat die Bundesregierung auf den Hackerangriff auf die Steuerverwaltung Bulgariens reagiert, bei der auch Informationen betroffen waren, die im Rahmen des Finanzkonteninformationsaustauschs von Deutschland an Bulgarien übermittelt worden waren?
Welche Maßnahmen hat sie wann angeordnet?
Befindet sich nach Kenntnis der Bundesregierung Bulgarien zurzeit in einer Überprüfung zur Verbesserung der Verfahren insbesondere im Hinblick auf die Datensicherheit und den Datenschutz seiner Steuerverwaltung, und falls ja, wird die Bundesregierung die Ergebnisse dieser Überprüfung nutzen, damit auch die Steuer- und Finanzverwaltung Deutschlands seine IT-Sicherheit verbessert?
Haben nach Einschätzung der Bundesregierung die vorgegebenen Modalitäten gegriffen, die für den Fall eines Hackerangriffs auf eine Steuerverwaltung eines AIA-Partnerlands laut internationalen Verträgen bestehen?
Sieht die Bundesregierung im Lichte der jüngsten Enthüllungen des Datenraubs deutscher AIA-Daten Reformbedarf beim Finanzkonteninformationsaustausch, und falls nein, weshalb, und falls ja, welche Maßnahmen sollten angestrebt werden, um den AIA etwa im Hinblick auf die Datensicherheit und den Datenschutz zu verbessern?
Gab es nach Kenntnis der Bundesregierung seit Beginn der laufenden Legislaturperiode Hackerangriffe auf Teile der deutschen Finanzverwaltung im Bund, der Bundesfinanzakademie das BMF oder auf Teile der Steuerverwaltung in den Ländern, und falls ja, welche Stellen waren nach Kenntnis Opfer eines Hackerangriffs, bzw. bei welchen Stellen besteht die Vermutung, dass ein Hackerangriff stattgefunden hat (vgl. die Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/17872)?
Wie hat das BMF auf Hackerangriffe auf Teile der deutschen Finanzverwaltung reagiert, und welche konkreten Maßnahmen wurden vom BMF eingeleitet?
Wann hat sich das BMF mit welcher von einem Hackerangriff betroffenen Stelle der Finanzverwaltung zur Datensicherheit und zum Datenschutz ausgetauscht?
Sollte sich nach Ansicht des BMF das BMF über Hackerangriffe der Finanzverwaltung der Länder informieren, um einen Beitrag zur Abwehr von Hackerangriffen zu gewährleisten, und falls nein, weshalb nicht (bitte begründen)?