Das Verzeichnis ist zur Einsichtnahme bestimmt ( 8 Abs. 2 Satz 1 DSG NRW).

Transkript

1 Lfd. Nr: Neues Verfahren: Änderung: Das Verzeichnis ist zur Einsichtnahme bestimmt ( 8 Abs. 2 Satz 1 DSG NRW). Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt. Ausgenommen sind die Angaben nach 8 Abs. 1 Nr. 7, 8 und 11 DSG NRW. Das Verzeichnis ist nicht zur Einsichtnahme bestimmt ( 8 Abs. 2 Satz 2 DSG NRW) Das Verfahren ist Teil eines gemeinsamen oder verbundenen Verfahrens nach 4 a DSG NRW. Verantwortliche Stelle: 1. Name und Anschrift der datenverarbeitenden Stelle 1.1 Name und Anschrift Rechenzentrum der Finanzverwaltung (RZF) und zuständige Finanzämter in NRW 1.2 Organisationskennziffer, Amt, Abteilung, ggf. Sachgebiet RZF, Geschäftsbereiche 2 und 4 2. Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung 2.1 Zweckbestimmung Gesamtfestsetzung zentral und dezentral Steuerberechnung und -abrechnung, Erläuterung und sonstige Information, Druck, Datenhaltung 2.2 ggf. Bezeichnung des Verfahrens Datenverarbeitung für das Besteuerungsverfahren 2.3 Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterscheiden) 85 Abgabenordnung 3. Art der gespeicherten Daten 3.1 keine Daten nach 4 Abs. 3 DSG NRW (Aufzählung) Steuernummer () und steuerliche Identifikationsnummer (IdNr.) Umsatzsteuer-Identifikationsnummer (USt-IdNr.) Persönliche Angaben der / des Steuerpflichtigen (Stpfl.) A Steuerliche Identifikationsnummer Adressdaten Persönliche Angaben der / des Stpfl. B (Ehegatte / Lebenspartner) Bankverbindungsdaten: u. a. Kontoverbindung für Personen-, Betriebssteuern, Eigenheimzulage (für Erstattungen und Lastschriften) Daten des Zustellungsvertreters Persönliche Angaben von Personen, die laut Erklärungsvordruck im Zusammenhang mit dem Besteuerungsverfahren stehen: u. a. Kinder, pflegebedürftige Personen, geschiedene Ehegatten / Lebenspartner einer Seite 1 von 7

2 aufgehobenen Lebenspartnerschaft oder dauernd getrennt lebende Ehegatten / Lebenspartner Fallbezogene Grunddaten: Allgemeine Überwachungsdaten, Kennzeichnungen und Sperren im Besteuerungsverfahren Archivierungsdaten Grund- / u. Zusatzkennbuchstaben Betriebsbezogene Grunddaten / Angaben zur Betriebsprüfung Festsetzungsnahe Daten Veranlagungsdaten (Daten laut Erklärungsvordruck gemäß Einzelsteuergesetze) Berechnungswerte (u. a. Festsetzungs, bzw. Feststellungsergebnisse, festgesetzte Steuer(n), festgesetzter Messbetrag) 3.2 Daten nach 4 Abs. 3 DSG NRW (Aufzählung) Persönliche Angaben Stpfl. A Konfession (soweit kirchensteuerberechtigt) Angaben zum Grad der Behinderung / Merkzeichen Persönliche Angaben Stpfl. B Konfession (soweit kirchensteuerberechtigt) Angaben zum Grad der Behinderung / Merkzeichen 4. Kreis der Betroffenen Beschreibung / Aufzählung Steuerpflichtige, deren Bevollmächtigte und sämtliche Personen, die laut Erklärungsvordruck gemäß Einzelsteuergesetzen mit der Erzielung der Einkünfte und den entstandenen Werbungskosten / Betriebsausgaben im Zusammenhang mit dem Besteuerungsverfahren stehen. Bearbeiterinnen und Bearbeiter im Finanzamt (hinsichtlich Protokollierung bei der Fallbearbeitung). 5 Art der zu übermittelnden Daten, deren Empfänger sowie Art und Herkunft regelmäßig empfangener Daten 5.1 Empfänger der Daten Information und Technik NRW (IT.NRW) Statistisches Bundesamt (Destatis) Bundeszentralamt für Steuern (BZSt) Berechnungswerte u.a. festgesetzte Steuer(n) festgesetzter Messbetrag AKG - Leitstelle des Handwerks - und Industrie und Handelskammern festgesetzter Messbetrag oder Gewerbeertrag Gewinn aus Gewerbebetrieb Grunddaten zum Betrieb Gewerbesteuerfälle der Gemeinde (vergl. Gesetz über die Zuständigkeit für die Festsetzung und Erhebung der Realsteuern, Verordnung zur Durchführung des Gesetzes über die Zuständigkeit für die Festsetzung und Erhebung der Realsteuern) am Datenträgeraustausch-Gewerbesteuer teilnehmende Kommunen, teilweise über kommunale Datenverarbeitungszentralen Stand der Bearbeitung Datum der Bearbeitung festgesetzter Messbetrag Seite 2 von 7

3 festgesetzte Vorauszahlungen festgesetzte Verspätungszuschläge vollständiger Bescheidinhalt (Bekanntgabe durch Kommunen) Bundeszentralamt für Steuern (BZSt) / Informationstechnikzentrum Bund (ITZBund) (USt-Kontrollverfahren) IdNr. USt-IdNr. Grundkennbuchstaben zur Umsatzsteuer Persönliche Angaben zum Betriebsinhaber (Stpfl. A / Stpfl. B) Steuernummer des Organträgers evtl. mit Gültigkeitsjahr Gewerbekennziffer alte bei Kontenübernahme aus anderem Bundesland neue bei Aktenübergabe an anderes Bundesland Bundeszentralamt für Steuern (BZSt) / Informationstechnikzentrum Bund (ITZBund) IdNr. Meldemerker IdNr.-Datenaustausch Persönliche Angaben IdNr.-Inhaber (Stpfl. A / Stpfl. B) Information zum zuständigen Finanzamt für die ESt () EKIR (ev. Kirche im Rheinland), (auf Anforderung auch andere) Festsetzungsergebnisse zur Kirchensteuer Landwirtschaftskammern Daten aus der Festsetzung (Altersversorgung der Landwirte) Zentralstelle Arbeitnehmer-Sparzulage und Wohnungsbauprämie (ZANS) Daten aus der Festsetzung Zentrale Zulagenstelle für Altersvermögen (ZFA) Daten aus der Festsetzung Landwirtschaftsgerichte Einheitswert oder Wirtschaftswert landwirtschaftl. o. forstwirtschaftl. Grundstücke 5.2 Herkunft der Daten ELSTER-Kommunikation oder manuelle Erfassung im Rahmen einer Steuerveranlagung durch Steuerpflichtige Arbeitgeber Bundeszentralamt für Steuern (BZSt) / Informationstechnikzentrum Bund (ITZBund) Zentrale Zulagenstelle für Altersvermögen (ZFA) Bundesagentur für Arbeit (BfA) Kreditinstitute (z. B. freigestellte Kapitalerträge im Betriebsvermögen) 6. Zugriffsberechtigte Personen oder Personengruppen Beschreibung / Aufzählung zuständige Bearbeiterinnen und Bearbeiter in den Finanzämtern und im RZF Seite 3 von 7

4 7. Technische und organisatorische Maßnahmen ( 10 DSG NRW) Ein Sicherheitskonzept nach 10 Abs. 3 DSG NRW ist vorhanden Erläuterungen zu den einzelnen Maßnahmen zur Gewährleistung der Vertraulichkeit, z. B. - Zutrittskontrolle durch technische Maßnahmen in gesicherten Räumen, Einbau von Sicherheitsschlössern - Benutzerkontrolle durch Passwortregelung zur Legitimation und durch automatische Bildschirmsperrung - Zugriffskontrolle durch Vergabe unterschiedlicher Berechtigungen und differenzierter Zugriffsmöglichkeiten auf einzelne Felder Produktionsbetrieb und Datenhaltung in zutrittsgeschützen Gebäuden. Zutrittskontrolle gem. dienststellenspezifischem Sicherheitskonzept: Zutritt nur für befugte Personen. Das durchgängige dienststellenspezifische Benutzer-, Rechte- und Rollenkonzept gewährleistet eine Zugriffskontrolle:Zugriff auf IT-Systeme und Applikationen nur für berechtigte Mitarbeiter. Dienststellenspezifische Umsetzung weiterer organisatorischer und technischer Regelungen, z. B. durch Passwortrichtlinien. Integrität, z. B. - Vermeidung unbefugter oder zufälliger Datenverarbeitung durch Sperre des Zugriffs auf Betriebssysteme und/oder Verschlüsselung der Daten - Regelmäßige Kontrolle der Aktualität Die Daten durchlaufen bei ihrer Verarbeitung eine Plausibilitätsprüfung. Transaktionsmechanismen der Datenbank und der Applikation vermeiden eine falsche Verarbeitung. Qualitätssicherung neuer Softwareversionen. Eine Zugriffskontrolle wird durch durchgängiges dienststellenspezifische Benutzer-, Rechteund Rollenkonzept gewährleistet. Verfügbarkeit, z. B. - klare und übersichtliche Ordnung des Datenbestandes - Vergabe von Zugriffsbefugnissen im erforderlichen Umfang (unter Abwägung gegenüber dem Gebot der Vertraulichkeit) Verfügbarkeiten durch Ausgestaltung der technischen Infrastruktur sichergestellt. Verfügbarkeit durch zentrale / dezentrale Sicherungen technisch sichergestellt. Schutz der Daten vor zufälliger Zerstörung oder Verlust durch diensstellenspezifische Maßnahmen: Die Verfügbarkeit der Einzelsysteme entspricht dem RZF-Standard. Regelmäßige Sicherung des Datenbestandes nach RZF-Standard. Authentizität, z.b. - Dokumentation der Ursprungsdaten und ihrer Herkunft - Nachvollziehbarkeit der Verarbeitungsschritte Zugang zu IT-Systemen und Applikationen nur für berechtigte Mitarbeiter. Technischer Schutz durch dienststellenspezifische Authentifizierungsmaßnahmen. Das System verfügt über spezifische Protokollierungsfunktionen der Verarbeitungsschritte, z. B. für Workflow, Datenbank und Funktionsaufrufe. Zugriffe auf personenbezogene Daten werden protokolliert. Die Protokollierung erfolgt nach gesetzlichen Vorgaben (z. B. nach Steuerdatenabrufverordnung (StDAV)). Revisionsfähigkeit, z.b. - Festlegung klarer Zuständigkeiten und Verantwortlichkeiten - Protokollierung der Eingabe und weiteren Verarbeitung der Daten - Aufbewahrung der Protokolldaten Die Zuständigkeiten ergeben sich aus dem jeweils gültigen dienststellenspezifischen Seite 4 von 7

5 Geschäftsverteilungsplan und sind dort klar definiert. Produktionsbetrieb und Datenhaltung unterliegen einer Zutritts-, Zugriffs- und Eingabekontrolle. Für jeden Vorgangsdatensatz des Systems wird ein Ersteller und letzter Änderer festgehalten. Transparenz, z.b. - vollständige, übersichtliche und jederzeit nachprüfbare Dokumentation aller wesentlichen Datenverarbeitungsvorgänge Die Verarbeitung der Daten im System erfolgt anhand definierter Prozesse. Die technische Umsetzung ist dokumentiert. 8. Technik des Verfahrens 8.1 Verfahren für Einzelplatzsystem Betriebssystem Unix Windows NT Windows anderes 8.2 Client Server - Verfahren Client (Datenendgerät): Terminal / Netz-PC (ohne Laufwerke / Festplatten) PC (Arbeitsplatzrechner / Workstation) Betriebssystem des Servers: Client Server Kommunikation erfolgt über geschlossenes Netz innerhalb der Behörde (LAN) Netz über externe Leitungen innerhalb Landesverwaltungsnetz Sonstiges offenes Netz sonstige eingesetzte Hardware (z. B. Chipkarte, Kartenlesegeräte, Videogeräte) Datenspeicherung erfolgt auf Server innerhalb der Behörde Server bei anderen Institutionen PC / Arbeitsplatzrechner Art der Daten (aus Ziffer 3): alle Daten gem. Ziffer 3 Seite 5 von 7

6 8.3 Großrechner - Verfahren Client (Datenendgerät): Terminal / Netz-PC (ohne Laufwerke / Festplatten) PC (Arbeitsplatzrechner / Workstation) Betriebssystem des Großrechners (z.b. UNIX, BS2000, OS): keine Angabe gem. 8 Abs. 2 S. 1, 2. Halbsatz DSG NRW zur Gewährleistung der Sicherheit des technischen Verfahrens. Kommunikation zwischen Client und Großrechner erfolgt über Netz über externe Leitungen innerhalb eines geschlossenen Benutzerkreises: Landesverwaltungsnetz Sonstiges offenes Netz sonstige eingesetzte Hardware (z. B. Chipkarte, Kartenlesegeräte, Videogeräte) Datenspeicherung erfolgt auf Server innerhalb der Behörde Server bei anderen Institutionen PC / Arbeitsplatzrechner Art der Daten (aus Ziffer 3): alle Daten gem. Ziffer Eingesetzte Software Standard-Software, ELSTER, keine Angaben zur weiteren eingesetzten Software gem. 8 Abs. 2 S. 1, 2. Halbsatz DSG NRW zur Gewährleistung der Sicherheit des technischen Verfahrens 9. Fristen für die Sperrung und Löschung gemäß 19 Abs. 2 und 3 DSG NRW Frist für Sperrung ( 19 Abs. 2 DSG NRW) keine Frist für Löschung ( 19 Abs. 3 DSG NRW) Entsprechend der Aufbewahrungsbestimmungen der Finanzverwaltung (vgl. BMF-Schreiben v , Bundessteuerblatt I 2011 (Nr. 12, S )). 10. Beabsichtigte Datenübermittlung in Drittstaaten ( 17 Abs. 1 Satz 2 und Abs. 2 DSG NRW) Empfänger und Bezeichnung der Daten aus Ziffer 3 keine Seite 6 von 7

7 11. Begründetes Ergebnis der Vorabkontrolle gemäß 10 Abs. 3 DSG NRW Dokumentation der Vorabkontrolle 1. Die Grundangaben sind vollständig. 2. Die Art der gespeicherten Daten und das Verfahren sind von den unter "Zweckbestimmung" aufgeführten gesetzlichen Bestimmungen gedeckt. 3. Die Rechte der Betroffenen nach 5 DSG NRW bleiben gewahrt. 4. Risikofaktoren für einen Missbrauch der Daten werden nicht gesehen. 5. Die Folgen bei missbräuchlicher Nutzung wären katastrophal. 6. Die Angaben zur Technik des Verfahrens sind umfangreich und vollständig. 7. Die getroffenen Sicherheitsmaßnahmen sind sehr differenziert und umfangreich. 12. Ergänzungen Zu Ziffer 8.2 : gilt für den Einsatz im Finanzamt Zu Ziffer 8.3 : gilt für den Einsatz im RZF (z. B. Bescheiddruckerstellung) Zu den Ziffern 7, 8 und 11: Die Angaben des Verfahrensverzeichnisses können bei der datenverarbeitenden Stelle von jeder Person eingesehen werden; dies gilt für die Angaben zu den Nummern 7, 8 und 11 jedoch nur, soweit dadurch die Sicherheit des technischen Verfahrens nicht beeinträchtigt wird ( 8 Abs. 2 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)). Die Angaben zu den Ziffern 7, 8 und 11 sollen den einsichtnehmenden Personen den größtmöglichen Informationsgehalt bieten, ohne jedoch die IT-Sicherheit der in diesem Eintrag beschriebenen Datenverarbeitung außer Acht zu lassen. Nicht zur Einsicht geeignete ITsicherheitsrelevante Informationen wurden daher teilweise entfernt. Seite 7 von 7