- Vertraulich -                                 419 b. Abschluss eines schriftlichen Vertrags c. Nachvollziehbarkeit der Abfragen 13. DSR.12.00      EINFÜHRUNG                 UND           ÄNDERUNG                 VON VERARBEITUNGSTÄTIGKEITEN a. Prüfung auf Verarbeitung personenbezogener Daten b. Datenschutzfolgenabschätzung c. Verzeichnis der Verarbeitungstätigkeiten d. Datenportabilität 14. DSR.13.00      UMSETZUNG DER SCHUTZZIELE a. Datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) b. Datenschutz durch Technikgestaltung 15. DSR.14.00      SCHULUNG UND VERPFLICHTUNG AUF VERTRAULICHKEIT a. Verpflichtung eigener Mitarbeiter b. Verpflichtung von Dienstleistern c. Schulung von Mitarbeitern 16. DSR.15.00      UNBERECHTIGTE KENNTNISNAHME DURCH DRITTE a. Meldepflicht bei unberechtigter Kenntnisnahme b. Klärung des Sachverhalts und Ableitung von Maßnahmen 17. DSR.16.00      SPRACHAUFZEICHNUNGEN a. Aufzeichnung bei Drohanrufen b. im Kunden- und Handelsbereich Sortierte Auflistung aller Datenkategorien Im Nachfolgenden erfolgt eine Auflistung aller Daten nach Anwendungsfall, Art, Inhalt und Umfang, die innerhalb des ISA-Systems erhoben, übertragen, gespeichert und genutzt werden, samt Angabe des Verwendungszwecks dieser Daten. In § 6 Abs. 2 InfrAG aufgelistete Daten autoTicket verarbeitet folgende Daten, die das KBA gemäß § 6 Abs. 2 InfrAG zur Führung des ISA-Register speichern darf: 269

- Vertraulich - 420

Beschreibung der 8 6 Abs. 2 InfrAG

Datenkategorie Damen

Name, Anschrift, Name und Anschrift des 1. Halterdaten im Sinne des $
Geschlecht, Fahrzeughalters; das 33 Absatz 1 Satz 1 Nummer 2
Geburtsdatum und Geschlecht wird für die Anrede |des Straßenverkehrsgesetzes!
Geburtsort bei Anschreiben verwendet

Kfz-Kennzeichen Behördliches Kennzeichen des |2. Kennzeichen des
Kraftfahrzeuges Kraftfahrzeugs einschließlich
des Nationalitätenkennzeichens

Fahrzeugdaten Fahrzeugklasse, 3. Hubraum, Emissionsklasse,

Fahrzeugeigenschaften, Kraftstoffart und Energiequelle

Achszahl, des Kraftfahrzeugs, bei

Fahrzeugabmessungen Kraftfahrzeugen im Sinne des
$ 1 Absatz 1 Nummer 2 mit
besonderer Zweckbestimmung
als Wohnmobil das zulässige
Gesamtgewicht

Dimensionen Abmessungen des 4. Klasse und Art des Aufbaus
Kraftfahrzeuges ım Sinne des Anhangs II der
Richtlinie 2007/46/EG
Fahrgestellnummer Eindeutige Kennzeichnung des |5. Fahrzeug-
Fahrzeugs Identifizierungsnummer

Erstzulassung Zulassungsdatum 6. Datum der Erstzulassung des
Kraftfahrzeugs
7 15a Sresteesetze ISA in Euro 7. Höhe der festgesetzten ISA

Abrechnungszeitraum |Zeitraum für den die ISA 8. Zeitraum, für den die ISA
festgesetzt wurde; bei festgesetzt wurde
Inländern ein Jahr, bei
Gebietsfremden 10 Tage, 2

Monate, 1 Jahr

Ort und Zeit der Ort und Zeit der Entrichtung |9. Ort und Zeit der Entrichtung
Entrichtung der ISA der ISA

Ausnahmekennzeichen [Ausgenommen von der ISA 10. Ausnahmetatbestände nach
sind bspw. Fahrzeuge der 82
Polizei, Straßenreinigung,

 

1 Familienname, Geburtsname, Vorname, vom Halter für die Zuteilung oder die Ausgabe des Kennzeichens
angegebener Ordens- oder Künstlername, Tag und Ort der Geburt, Geschlecht, Anschrift

270

- Vertraulich -

. Beschreibung der
ÖPNV etc. aber auch
besonders schwerbehinderte
Personen

$3 KraftStG nennt eine Reihe
von Ausnahmen und

Vergünstigungen

Ausnahmekennzeichen

Betriebszeitraum des
Fahrzeugs, der für die

Zulassungszeitraum

421

8 6 Abs. 2 InfrAG

11. Ausnahmetatbestände und
Vergünstigungen nach dem
Kraftfahrzeugsteuergesetz

12. Entrichtungszeitraum der
Kraftfahrzeugsteuer

13. Zeitraum, für den das
Kraftfahrzeug zugelassen

Festsetzung relevant ist wurde, und Betriebszeitraum

Übermittlungssperre Daten mit Übermittlungssperre
dürfen nur automatisiert
verarbeitet werden.

Abgabepflicht Kennzeichnet, dass die ISA
entrichtet werden muss

Abb. 29: Daten nach $6 Abs. 2 InfrAG

14. Merkmal
Übermittlungssperre

15. Merkmal Abgabepflicht

12 [Kfz-Entrichtung Entrichtungszeitraum der
Kraftfahrzeugsteuer

 

Für inländische Fahrzeuge werden die Daten 1-6 und 13-14 vom KBA aus dem zentralen
Fahrzeugregister übernommen, dies erfolgt als automatisierter Abruf und wird entsprechend

protokolliert.

Für inländische Fahrzeuge werden die Daten 11 und 13 sowie einmalig für die Festsetzung im

Rumpfjahr die Daten 12 vom KBA bei der Bundesfinanzbehörde abgerufen.
Für gebietsfremde Fahrzeuge werden die Daten 2-4 und 7 von autoTicket erhoben.
Die Daten 7-10 werden von autoTicket erhoben.

Die Daten 7-10 und 15 sowie die Daten 2-4 für gebietsfremde Fahrzeuge werden von
autoTicket an das KBA übermittelt.

In $ 6 Abs. 4 InfrAG aufgelistete Daten

Außerdem verarbeitet autoTicket folgende Daten, die die ISA-Behörde zur Erhebung der ISA
gemäß $ 6 Abs. 4 InfrAG zur Führung des ISA-Register erheben, verarbeiten und nutzen darf:

271

- Vertraulich -

. Beschreibung der
Name und Anschrift |Name und Anschrift des
Fahrzeughalters für
gebietsfremde Fahrzeughalter
17 |Bankverbindung Bankverbindung bei SEPA-
Lastschriftzahlungen
Belegnummer Belegnummer des
Zahlungsvorgangs

422

$ 6 Abs. 4 InfrAG

1. Name und Anschrift von
Haltern nicht in der
Bundesrepublik Deutschland
zugelassener Kraftfahrzeuge

2. Bankverbindung desjenigen,
für dessen Konto das SEPA-
Lastschrift-Mandat nach $ 5
Absatz 2 Satz 3 erteilt wurde

3. Belegnummer und
Kassenzeichen des jeweiligen
Zahlungsvorgangs

 

1 ra

Abb. 30: Daten nach $6 Abs. 4 InfrAG

übermittelt die
Vollstreckungsbehörde.

autoTicket Daten 16-19

sowie

1-15 soweit notwendig der

Daten für den Betrieb des Benutzerkontos im Web-Portal und der App

Zur Steigerung der Akzeptanz der ISA muss der Abgabenpflichtige ein Benutzerkonto anlegen

können, das über die verschiedenen Kommunikationsplattformen hinweg nutzbar ist (z.B.

Web-Portal und App).

Hierzu verarbeitet autoTicket folgende Daten:

Beschreibung der Datenkategorie

20 |E-Mail-Adresse
wird.

E-Mail-Adresse des Betroffenen, die als Benutzername verwendet

21 | Passwort Vom Betroffenen gewähltes Passwort, mit dem er sich beim
elektronischen Konto authentifiziert

22 |Web-Logs Logdateien der Webserver, die IP-Adressen der Endanwender
enthalten können

Abb. 31: Daten für Online-Benutzerkonto

 

272

- Vertraulich -                                    423 Nach Anwendungsfall sortierte Auflistung aller Daten samt Angabe des Umfangs und der Verwendungszwecke Anwendungsfall Erhebung Verwendungszwecke: Erhebung von im InfrAG näher bestimmten Daten sowie deren Verarbeitung und Nutzung im Rahmen des vom InfrAG vorgegebenen Umfangs. Umfang: Im Anwendungsfall Erhebung werden die Daten 1-6 und 11-14 für inländische Fahrzeuge aus ISA- Register übernommen. Es ist mit ca. 47 Mio. Datensätzen bei der Ersterhebung zu rechnen. Im Anwendungsfall Erhebung werden die Daten 2-4 und 16 für gebietsfremde Fahrzeuge von autoTicket erhoben. Anwendungsfall Festsetzung Verwendungszwecke: Festsetzung der Höhe der ISA. Umfang: In diesem Anwendungsfall werden die Daten 7-8 und 15 erhoben. Dazu werden die Daten 3-4, 6, 10-11 verwendet. Anwendungsfall Anhörung Verwendungszwecke: Durchführung einer Anhörung bei allen inländischen Abgabenpflichtigen vor dem Beginn der Erhebung (über ein Anhörungsschreiben). Umfang: Es werden die Daten 1-4 und 7-8 gelesen. Es ist mit rund 46 Mio. verarbeiteten Datensätzen bei der Ersterhebung zu rechnen. Anwendungsfall SEPA-Lastschriftmandat Verwendungszwecke: 273

- Vertraulich -                                 424 Einforderung, Überprüfung und Einpflegen eines SEPA-Lastschriftmandats von jedem inländischen Abgabenpflichtigen in den Datenbestand. Umfang: Es werden die Daten 17 erhoben sowie die Daten 1-2 und 16 gelesen. Es ist mit rund 46 Mio. verarbeiteten Datensätzen bei der Ersterhebung zu rechnen. Aufgrund von Neuzulassungen, Umschreibungen und Außerbetriebssetzungen ist mit rund 21 Mio. Datensätzen p.a. zu rechnen. Anwendungsfall Druck Verwendungszwecke: Bereitstellung/Druck von Bescheiden. Umfang: Es werden die Daten 1-8 und 17 gelesen. Es ist mit rund 46 Mio. verarbeiteten Datensätzen zu rechnen. Anwendungsfall Bereitstellung von elektronischen Bescheiden Verwendungszwecke: Bereitstellung von elektronischen Bescheiden und Führung von Benutzerkonten. Umfang: Es werden die Daten 20-22 erhoben. Es werden die Daten 1-8 und 16-17 gelesen. Anwendungsfall Bekanntgabe Verwendungszwecke: Übermittlung von Bescheiden (Bekanntgabe) an inländische Abgabenpflichtige. Umfang: Es werden die Daten 1-8 und 17 gelesen. Es ist mit rund 46 Mio. verarbeiteten Datensätzen zu rechnen. Anwendungsfall Zahlungsverkehr Verwendungszwecke: Wahrnehmung des Zahlungsverkehrs einschließlich Forderungsmanagement. 274

- Vertraulich -                                425 Umfang: Es werden die Daten 18-19 erhoben. Es werden die Daten 1-8 und 16-17 gelesen. Anwendungsfall Mahnungen Verwendungszwecke: Durchführung von Mahnungen nach § 3 Abs. 3 VwVfG. Umfang: Es werden die Daten 1-8 und 15-19 gelesen. Anwendungsfall Nacherhebung gegenüber Haltern Verwendungszwecke: Nacherhebung gegenüber Haltern von in Deutschland zugelassenen Kfz auf Grund von Selbstanzeigen. Umfang: Es werden die Daten 1-6 und 11-14 erhoben. Anwendungsfall Ausnahmetatbestände Verwendungszwecke: Bearbeitung und Bescheidung von Anträgen zur Feststellung von Ausnahmetatbeständen. Umfang: Es wird das Datum 10 erhoben, die Daten 1-6 und 16 gelesen. Anwendungsfall Erstattungsanträge Verwendungszwecke: Bearbeitung    und   Bescheidung     von    Erstattungsanträgen  sowie    Auszahlung  von Erstattungsbeträgen. Umfang: Es werden die Daten 1-11, 13 und 16-19 gelesen. Anwendungsfall Widersprüche Verwendungszwecke: Bearbeitung von Widersprüchen gegen Ausnahme-/Erstattungsbescheide. 275

- Vertraulich -                                   426 Umfang: Es werden die Daten 1-11, 13 und 16-19 gelesen. Anwendungsfall Verwaltungsgerichtsverfahren Verwendungszwecke: Selbstständige prozessuale Vertretung in Verwaltungsgerichtsverfahren im Fall von Klagen gegen Bescheide der IAB. Umfang: Es werden die Daten 1-19 gelesen. Anwendungsfall Vollstreckungsanordnungen Verwendungszwecke: Erstellung und Übermittlung von Vollstreckungsanordnungen. Umfang: Es werden die Daten 1-19 gelesen. Anwendungsfall Auskunftsanfragen Verwendungszwecke: Bearbeitung von Auskunftsanfragen zur ISA. Umfang: Es werden die Daten 1-19 gelesen. Anwendungsfall Distributionskanäle Verwendungszwecke: Bereitstellung und Betrieb der Entrichtungsmöglichkeiten für gebietsfremde Kfz einschließlich Hard- und Software (Distributionskanäle). Umfang: Im Rahmen der Bereitstellung und des technischen Betriebes von Zahlstellenautomaten werden keine personenbezogenen oder personenbeziehbaren Daten verarbeitet. Anwendungsfall Abführung der Einnahmen Verwendungszwecke: 276

- Vertraulich -                                 427 Abführung der Einnahmen aus der ISA an den Auftraggeber. Umfang: Im Rahmen der Auskehr werden keine personenbezogenen oder personenbeziehbaren Daten verarbeitet, da nur aggregierte Daten übermittelt werden. Anwendungsfall Papierhafte und elektronische Formularvorlagen Verwendungszwecke: Versorgung aller Zulassungsbehörden mit jeweils aktuellen papierhaften und elektronischen Formularvorlagen zu SEPA-Mandaten, Ausnahme-, Härtefall- und Erstattungsanträgen. Umfang: Im Rahmen der Versorgung aller Zulassungsbehörden werden keine personenbezogenen oder personenbeziehbaren Daten durch autoTicket verarbeitet. Werden die Formulare bei einer Zulassungsbehörde ausgefüllt, muss die jeweilige Zulassungsbehörde die Einhaltung der datenschutzrechtlichen Anforderungen sicherstellen. Anwendungsfall Kontodatenvalidierung Verwendungszwecke: Kontodatenvalidierung der SEPA-Mandate. Umfang: Es werden die Daten 17 gelesen. Es ist mit rund 45,8 Mio. verarbeiteten Datensätzen bei der Ersterhebung zu rechnen. Aufgrund von Neuzulassungen, Umschreibungen und Außerbetriebssetzungen ist mit rund 21 Mio. Datensätzen p.a. zu rechnen. Anwendungsfall Großkunden Verwendungszwecke: Bestandsführung bei Rückständen und von Großkunden (Abgabenpflichtige mit 30 und mehr abgabenpflichtigen Kfz). Umfang: Es werden die Daten 1-8, 13 und 16-17 gelesen und ggf. erhoben. 277

- Vertraulich -                                    428 Im Zuge des DSMS werden folgende weitere Ergebnisse erforderlich und ausgearbeitet: 1. Sortierte Auflistung aller Aufbewahrungsfristen 2. Sortierte Auflistung aller Personengruppen 3. Sortierte Auflistung aller Empfängergruppen 4. Sortierte Auflistung aller Rechtsgrundlagen 5. Sortierte Auflistung aller Verwendungszwecke Die aufgelisteten Datenkategorien und weiteren Ergebnisse sind für die Implementierung und Durchführung des DSMS zwingend erforderlich. 59.1   Anforderungen an den Datenschutz in jedem Einzelfall Das bereitzustellende ISA-System erfüllt die Anforderungen des Datenschutzes in jedem Einzelfall. autoTicket wählt die im jeweiligen Einzelfall geeigneten Maßnahmen zur Erfüllung der Anforderungen an den Datenschutz unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen aus, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. autoTicket nimmt eine allgemeine Beschreibung der für jede Verarbeitungstätigkeit anwendbaren technischen und organisatorischen Maßnahmen in das im Rahmen der Umsetzung zu erstellende Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) auf. Die technischen und organisatorischen Maßnahmen, die autoTicket zur Umsetzung der anwendbaren datenschutzrechtlichen Anforderungen in jedem Einzelfall trifft, wird autoTicket im Detail in dem von autoTicket zu erstellenden Konzept zum Schutz personenbezogener Daten beschreiben. Der Datenschutz wird in jedem Einzelfall durch die Implementierung dieses Konzepts gewährleistet und sichergestellt. Um alle Einzelfälle zu berücksichtigen, werden die identifizierten Zielobjekte einem Soll-Ist- Abgleich der oben erwähnten Richtlinien unterzogen und entsprechende technische und organisatorische Maßnahmen abgeleitet. Dies kann unter anderem technische als auch vertragsrechtliche Auswirkungen haben. Beispielsweise kommen folgende Maßnahmen, welche in den Richtlinien spezifiziert werden, zum Einsatz: 278