BGBl II 344/2018

344. Verordnung des Bundesministers für Finanzen betreffend die Übertragung der operationellen Abwicklung der Ausgangsbestätigungen im Rahmen des sogenannten Touristenexportes an Unternehmen (Zoll-Touristenexport-Informatikverordnung 2019 - Zoll-TE-Inf-V 2019)

Aufgrund des § 6a des Zollrechts-Durchführungsgesetzes, BGBl. Nr. 659/194 (ZollR-DG), zuletzt geändert durch BGBl. I Nr. 62/2018, wird verordnet:

Gegenstand

§ 1. Diese Verordnung regelt die Voraussetzungen für die bescheidmäßige Übertragung der operationellen Abwicklung von Ausgangsbestätigungen im Sinne des § 6a ZollR-DG an private Unternehmen und deren Durchführung im Rahmen eines Informatikverfahrens.

Bewilligung

§ 2. (1) Die Bewilligung im Sinne des § 6a ZollR-DG wird durch das zuständige Zollamt auf Antrag eines Unternehmens bei Vorliegen der in dieser Verordnung festgelegten Voraussetzungen erteilt.

(2) Das antragstellende Unternehmen muss für die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des § 6a ZollR-DG geeignet sein. Geeignet sind Unternehmen, die befugt, finanziell und wirtschaftlich leistungsfähig sowie zuverlässig sind. Die Eignung ist vom Unternehmen durch Vorlage entsprechender Bescheinigungen nachzuweisen und zu belegen.

(3) Die Bewilligung ist nur dann zu erteilen, wenn das bisherige Verhalten des Unternehmens Gewähr für die Einhaltung der Zoll- und Steuervorschriften bietet und das von ihm bereitgestellte Informatikverfahren die Richtigkeit und Vollständigkeit der operationellen Abwicklung von Ausgangsbestätigungen gewährleistet.

(4) Das Informatikverfahren gemäß § 3 sowie die für die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des § 6a ZollR-DG erforderlichen Infrastruktur- und Personalressourcen für den jeweiligen Standort sind durch das Unternehmen bereitzustellen. Die Standorte und Betriebszeiten sind durch das bewilligungserteilende Zollamt unter Berücksichtigung der Zweckmäßigkeit, Wirtschaftlichkeit und Verwaltungsökonomie in der Bewilligung festzusetzen.

(5) Die Nichtbeachtung der in dieser Verordnung und in der Bewilligung festgelegten Pflichten und Auflagen stellt einen Grund für den Widerruf der Bewilligung dar.

Operationelle Abwicklung und Informatikverfahren

§ 3. (1) Die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des § 6a ZollR-DG ist durch den Bewilligungsinhaber im Rahmen eines Informatikverfahrens durchzuführen und umfasst:

1. 1. die elektronische Übernahme der für die Validierung erforderlichen Daten gemäß Anlage 1 Z 1 bis 9, welche dafür in elektronischer Form bereitzustellen sind,
2. 2. die elektronische Validierung der übernommenen Daten auf der Grundlage von den Steuer- und Zollbehörden vorgegebenen Risikokriterien,
3. 3. die Erstellung von Ausgangsbestätigungen, die Durchführung von Warenkontrollen bzw. die Veranlassung von Kontrollen durch die Zollbehörden entsprechend des jeweiligen Validierungsergebnisses sowie
4. 4. die elektronische Bereitstellung der Daten gemäß Anlage 1 Z 1 bis 9 und der Validierungsergebnisse gemäß Anlage 1 Z 10 bis 16 für die Steuer- und Zollbehörden.

(2) Die Ausgangsbestätigung der Waren hat grundsätzlich in elektronischer Form zu erfolgen. Bei in Papierform vorgelegten Dokumenten hat die Bestätigung mittels Stempelabdruck zu erfolgen, der dem Muster gemäß Anlage 3 entspricht.

(3) Der Bewilligungsinhaber hat den Steuer- und Zollbehörden einen uneingeschränkten Zugang zu den im Informatikverfahren elektronisch bereitgestellten Daten gemäß Abs. 1 Z 4 zu gewährleisten. Die Bereitstellung der Daten hat in Echtzeit zu erfolgen. Die erforderlichen Zugriffsberechtigungen sind den Steuer- und Zollbehörden zuzuweisen.

(4) Unbeschadet der Bestimmungen gemäß § 4 (Notfallverfahren) kann die sachlich und örtlich zuständige Zollbehörde auf Grund von Abfertigungsspitzen vorübergehend von der unmittelbaren elektronischen Bereitstellung der Daten durch den Bewilligungsinhaber absehen. Dies gilt ausschließlich für Rechnungen, die einen Gesamtbetrag von 200,00 Euro nicht übersteigen, und nur in den in der Bewilligung festgelegten Ausnahmefällen. Die Bestätigung dieser Rechnungen hat mittels Stempelabdruck auf der Rechnung zu erfolgen, der dem Muster gemäß Anlage 2 entspricht. Die Daten sind in diesen Fällen vom Bewilligungsinhaber innerhalb von drei Kalendertagen nach Ausstellung der Ausgangsbestätigung den Steuer- und Zollbehörden im Informatikverfahren elektronisch bereitzustellen.

(5) Der Bewilligungsinhaber unterliegt im Rahmen der operationellen Abwicklung von Ausgangsbestätigungen der Zollaufsicht im Sinne des Abschnittes C des ZollR-DG, den Aufsichtsmaßnahmen gemäß den §§ 143 ff der Bundesabgabenordnung - BAO, BGBl. Nr. 194/1961 in der geltenden Fassung, sowie den Weisungen der Steuer- und Zollbehörden.

Notfallverfahren

§ 4. (1) Im Falle eines Ausfalls des Informatikverfahrens gemäß § 3 ist die zuständige Zollbehörde unverzüglich in Kenntnis zu setzen und ein Notfallverfahren einzuleiten. Bei Anwendung des Notfallverfahrens sind die in § 3 Abs. 1 angeführten Daten manuell zu verarbeiten. Die dafür notwendigen Unterlagen sind unverzüglich der zuständigen Zollbehörde vorzulegen oder mittels Telefax zu übermitteln.

(2) Die zuständige Zollbehörde überprüft die ihr vorgelegten oder übermittelten Unterlagen und

1. 1. erteilt die Zustimmung zur Erstellung der Ausgangsbestätigung auf der Rechnung mittels Stempelabdruck, der dem Muster gemäß Anlage 2 entspricht, durch den Bewilligungsinhaber oder
2. 2. untersagt die Erstellung der Ausgangsbestätigung durch den Bewilligungsinhaber.

(3) Die im Rahmen des Notfallverfahrens manuell verarbeiteten Daten sind innerhalb von drei Kalendertagen ab Wiederverfügbarkeit des Informatikverfahrens den Steuer- und Zollbehörden im Informatikverfahren elektronisch bereitzustellen.

Geheimhaltungspflicht

§ 5. (1) Der Bewilligungsinhaber leistet Gewähr dafür, dass die abgabenrechtlichen Geheimhaltungspflichten gemäß § 48a BAO, sowie die datenschutzrechtlichen Geheimhaltungspflichten gemäß § 6 des Datenschutzgesetzes, BGBl. I Nr. 165/1999, in der geltenden Fassung, eingehalten werden.

(2) Hinsichtlich der abgabenrechtlichen Geheimhaltungspflicht gemäß § 48a BAO gelten die Organe und Arbeitnehmer des Bewilligungsinhabers als Beamte im Sinne von § 74 Z 4 des Strafgesetzbuches, BGBl. Nr. 60/1974 in der geltenden Fassung.

(3) Die Organe und die Arbeitnehmer des Bewilligungsinhabers sind zur Verschwiegenheit über alle ihnen aus ihrer Tätigkeit bekanntgewordenen Tatsachen verpflichtet. Eine Entbindung von der Verpflichtung zur Verschwiegenheit kann nur durch die sachlich und örtlich zustände Zollbehörde erfolgen.

Verantwortliche und Auftragsverarbeiter gemäß DSGVO

§ 6. (1) Der Bundesminister für Finanzen und die sachlich und örtlich zuständigen Steuer- und Zollbehörden sind bezüglich des Informatikverfahrens gemäß § 3 gemeinsam für die Verarbeitung Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO).

(2) Der Bewilligungsinhaber ist bezüglich des durch ihn bereitgestellten Informatikverfahrens gemäß § 3 Auftragsverarbeiter gemäß Art. 4 Z 8 DSGVO und darf die verarbeiteten Daten ausschließlich zum Zweck der Auftragsverarbeitung und nach Weisung der Verantwortlichen verarbeiten. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen.

Aufteilung der Pflichten gemäß DSGVO

§ 7. (1) Die Wahrnehmung von Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Rechten der betroffenen Person und die Erfüllung von Informationspflichten nach den Bestimmungen des Kapitels III der DSGVO obliegen der sachlich und örtlich zuständigen Zollbehörde. Sie fungiert als Anlaufstelle für betroffene Personen. Macht eine betroffene Person ihre Rechte nach den Bestimmungen des Kapitels III der DSGVO gegenüber einer unzuständigen Zollbehörde geltend, ist sie an die sachlich und örtlich zuständige Zollbehörde zu verweisen.

(2) Die Wahrnehmung der Pflichten der Verantwortlichen nach den Bestimmungen des Kapitels IV der DSGVO erfolgt durch die sachlich und örtlich zuständige Zollbehörde nach den Vorgaben des Bundesministers für Finanzen.

(3) Die gemeinsam Verantwortlichen haben einander bei der Erfüllung der Pflichten nach den Bestimmungen der DSGVO zu unterstützen.

Datensicherheitsmaßnahmen

§ 8. (1) Der Bewilligungsinhaber hat bezüglich des durch ihn bereitgestellten Informatikverfahrens gemäß § 3 die Sicherheit der verarbeiteten Daten gemäß Art. 32 DSGVO sicherzustellen und alle dafür erforderlichen technischen und organisatorischen Maßnahmen unter Berücksichtigung der Vorgaben des Bundesministers für Finanzen zu ergreifen, um folgende Zwecke zu erreichen:

1. 1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle);
2. 2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns, Löschen oder Entfernens von Datenträgern (Datenträgerkontrolle);
3. 3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);
4. 4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);
5. 5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle);
6. 6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle);
7. 7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle);
8. 8. Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);
9. 9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit);
10. 10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit);
11. 11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
12. 12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
13. 13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

(2) Zur Gewährleistung eines angemessenen Schutzniveaus ist die Wirksamkeit der getroffenen Maßnahmen durch den Bewilligungsinhaber regelmäßig zu überprüfen, zu bewerten und zu evaluieren.

Protokollierung

§ 9. (1) Der Bewilligungsinhaber hat bezüglich des durch ihn bereitgestellten Informatikverfahrens gemäß § 3 sicherzustellen, dass alle durchgeführten Verarbeitungsvorgänge protokolliert werden.

(2) Aus diesen Protokolldaten müssen zumindest

1. 1. der Zweck,
2. 2. die verarbeiteten Daten,
3. 3. das Datum und die Uhrzeit der Verarbeitung sowie
4. 4. die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat,

   hervorgehen.

(3) Die Protokolldaten dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung sowie der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten verwendet werden. Nach Ablauf von drei Jahren ab Protokollierung sind die Protokolldaten sicher zu löschen.

Dokumentation

§ 10. Der Bewilligungsinhaber hat

1. 1. die Aufbau- und Ablauforganisation für die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des § 6a ZollR-DG,
2. 2. die Systemdokumentation und Benutzerhandbücher für das Informatikverfahren gemäß § 3 sowie
3. 3. die getroffenen Datensicherheitsmaßnahmen gemäß § 8

   zu dokumentieren und die Dokumentation aktuell zu halten.

Mitteilungen an die sachlich und örtlich zuständige Zollbehörde

§ 11. Der Bewilligungsinhaber hat der sachlich und örtlich zuständigen Zollbehörde unverzüglich mitzuteilen:

1. 1. Veränderungen im Zusammenhang mit der Befugnis, der finanziellen und wirtschaftlichen Leistungsfähigkeit und der Zuverlässigkeit des Bewilligungsinhabers, die dessen Eignung gemäß § 2 Abs. 2 beeinträchtigen;
2. 2. das Auftreten von Abfertigungsspitzen gemäß § 3 Abs. 4;
3. 3. das Auftreten von Störungen, die die ordnungsgemäße operationelle Abwicklung von Ausgangsbestätigungen im Sinne des § 6a ZollR-DG gefährden könnten;
4. 4. die Einleitung eines Notfallverfahrens gemäß § 4 sowie die Wiederverfügbarkeit des Informatikverfahrens gemäß § 3;
5. 5. das Auftreten von Abweichungen im Zusammenhang mit den festgelegten Datensicherheitsmaßnahmen gemäß § 8;
6. 6. das Auftreten von Sicherheitsvorfällen im Zusammenhang mit dem Informatikverfahren und den verarbeiteten Daten gemäß § 3.

Kontrolle durch den Bundesminister für Finanzen

§ 12. (1) Der Bundesminister für Finanzen kann im Zusammenwirken mit der sachlich und örtlich zuständigen Zollbehörde überprüfen, ob

1. 1. die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des § 6a ZollR-DG den geltenden Zoll- und Steuervorschriften entspricht,
2. 2. bei der Verarbeitung der Daten im Informatikverfahren gemäß § 3 die geltenden Datenschutzbestimmungen eingehalten werden und
3. 3. die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.

(2) Der Bewilligungsinhaber stellt sicher, dass sich die Kontrollorgane von der Einhaltung seiner Pflichten überzeugen können und stellt ihnen die dafür erforderlichen Zugänge, Informationen, Aufzeichnungen, Protokolldaten und Nachweise zur Verfügung.

Personenbezogene Bezeichnungen

§ 13. Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für alle Geschlechter.

Schlussbestimmungen

§ 14. Diese Verordnung tritt mit 1. Jänner 2019 in Kraft; gleichzeitig tritt die Zoll-Touristenexport-Informatikverordnung 2015, BGBl. II Nr. 53/2016, außer Kraft.

Anlage 1

Anlage 1 

Anlage 2

Anlage 2 

Anlage 3

Anlage 3