Der Europäische Gerichtshof für Menschenrechte (EGMR) hat sich jüngst mit den Zugriffsmöglichkeiten der Steuerbehörden auf Bankdaten befasst. In der datenschutzrechtlichen Praxis wird seit geraumer Zeit diskutiert, welche Kundendaten Unternehmen zur Betrugsprävention an Wirtschaftsauskunfteien übermitteln dürfen. Nun hatte auch der EGMR über die Zulässigkeit der Erhebung der Daten zu entscheiden. Mit Urteil vom 08.01.2026 befasste sich der Europäische Gerichtshof für Menschenrechte mit der Frage, ob der Zugriff der italienischen Steuerbehörde (Agenzia delle Entrate) auf Bankdaten der Beschwerdeführer mit Art. 8 der Europäischen Menschenrechtskonvention (EMRK) vereinbar ist.
Staatlicher Bankdatenzugriff unter Art. 8 EMRK
Im vorgelegten Fall stellte der EGMR durch den Zugriff der Steuerbehörden auf Bankdaten eine Verletzung von Art. 8 EMRK fest. Zur Begründung führte der Gerichtshof aus, dass die zugrunde liegende italienische Gesetzesregelung den Anforderungen der EMRK nicht genüge. Insbesondere eröffne die Norm den Steuerbehörden zu weite Ermessensspielräume, ohne den Umfang und die Bedingungen des Datenzugriffs hinreichend klar zu begrenzen.
Der Gerichtshof stellte zudem klar, dass auch im Rahmen einer Steuerprüfung der Zugriff auf Bankdaten einen Eingriff in das Recht auf Achtung des Privatlebens darstellt. Im konkreten Fall fehlt es zum einen an einer präventiven gerichtlichen Kontrolle vor der Anforderung der Daten. Zum anderen ermangele es an Rechten der Betroffenen, die Verhältnismäßigkeit des Eingriffs überprüfen zu lassen.
Der EGMR kam daher zu dem Ergebnis, dass die italienische Steuergesetzgebung die Anforderungen der EMRK nicht erfüllt. Mangels ausreichender Rechtsklarheit und Verfahrenssicherung sei die nationale Gesetzesgrundlage und damit auch der Zugriff auf die Bankdaten nicht mit Art. 8 EMRK vereinbar. Der Zugang der Steuerbehörden zu Bankdaten von Einzelpersonen könne nur gerechtfertigt werden, wenn er auf strengen gesetzlichen Regelungen beruhe und von wirksamen verfahrensrechtlichen Sicherungen begleitet werde.
Konsequenzen des Urteils
Infolge der Entscheidung sind die maßgeblichen italienischen gesetzlichen Regelungen anzupassen. Die bestehenden Normen müssen präzisiert und durch geeignete Maßnahmen zum Schutz des Rechts auf Achtung des Privatlebens ergänzt werden.
Nach den Vorgaben des Art. 46 EMRK hat der nationale Gesetzgeber insbesondere festzulegen, unter welchen konkreten Voraussetzungen ein Zugriff auf Bankdaten zulässig ist, welche Daten hiervon erfasst sind und durch welche Stellen die Rechtmäßigkeit und Verhältnismäßigkeit des Zugriffs zu überprüfen ist. Nur unter diesen Voraussetzungen kann ein Zugriff der Steuerbehörden mit Art. 8 EMRK vereinbar sein.
Nationale Praxishistorie
Vor dem Hintergrund dieser Entscheidung ist ein Blick auf die jüngere nationale Rechtsprechung zur Datenübermittlung an Wirtschaftsauskunfteien von Interesse.
Der Bundesgerichtshof entschied mit Urteil vom 14.10.2025 (Az. VI ZR 431/24) im Rahmen einer Klage der Verbraucherzentrale NRW gegen den Mobilfunkanbieter Vodafone, dass die Übermittlung von Positivdaten eines Telekommunikationsanbieters an die SCHUFA zum Zwecke der Betrugsprävention zulässig sein kann. Ein allgemeines Verbot der Übermittlung solcher Positivdaten lehnte der BGH ab.
In einem ähnlich gelagerten Verfahren wurde die Frage der Zulässigkeit der Übermittlung sämtlicher Positivdaten dem Europäischen Gerichtshof im Wege des Vorabentscheidungsverfahrens vorgelegt.
Auch wenn sich die Entscheidung des EGMR unmittelbar gegen die italienische Steuergesetzgebung richtet, entfaltet es erhebliche Bedeutung für die nationale Praxis. Der Gerichtshof formuliert darin allgemeine menschenrechtliche Mindestanforderungen an den Zugriff staatlicher Stellen auf sensible personenbezogene Daten. Diese Maßstäbe sind von allen Vertragsstaaten der EMRK zu beachten und wirken damit auch auf das deutsche Recht ein. Die EGMR-Entscheidung zum Zugriff der Steuerbehörden auf Bankdaten bildet damit einen übergeordneten Schutzrahmen.
Fazit und Ausblick
Das Urteil des EGMR vom 08.01.2026 verdeutlicht, dass der Zugriff staatlicher Stellen auf personenbezogene Finanzdaten einen besonders intensiven Eingriff in das Recht auf Achtung des Privatlebens darstellt. Auch steuerliche Ermittlungsmaßnahmen rechtfertigen einen solchen Eingriff nicht automatisch. Erforderlich sind vielmehr klare, vorhersehbare gesetzliche Grundlagen sowie effektive verfahrensrechtliche Sicherungen. Für die Praxis bedeutet dies, dass nationale Regelungen, die Steuerbehörden weitreichende oder pauschale Zugriffsbefugnisse auf Bankdaten einräumen, europarechtlich angreifbar sind.
Es ist daher zu erwarten, dass sowohl Gesetzgeber als auch Gerichte künftig strengere Maßstäbe an staatliche wie auch private Datenverarbeitungen anlegen werden. Für Unternehmen, Banken und Behörden ergibt sich daraus ein erhöhter Prüfungsbedarf bei der Erhebung, Übermittlung und Nutzung sensibler Kundendaten.
