BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2018

Ausgegeben am 19. Dezember 2018

Teil II

344. Verordnung:

Zoll-Touristenexport-Informatikverordnung 2019 – Zoll-TE-Inf-V 2019

344. Verordnung des Bundesministers für Finanzen betreffend die Übertragung der operationellen Abwicklung der Ausgangsbestätigungen im Rahmen des sogenannten Touristenexportes an Unternehmen (Zoll-Touristenexport-Informatikverordnung 2019 – Zoll-TE-Inf-V 2019)

Aufgrund des Paragraph 6 a, des Zollrechts-Durchführungsgesetzes, BGBl. Nr. 659/194 (ZollR-DG), zuletzt geändert durch Bundesgesetzblatt Teil eins, Nr. 62 aus 2018,, wird verordnet:

Gegenstand

Paragraph eins,

Diese Verordnung regelt die Voraussetzungen für die bescheidmäßige Übertragung der operationellen Abwicklung von Ausgangsbestätigungen im Sinne des Paragraph 6 a, ZollR-DG an private Unternehmen und deren Durchführung im Rahmen eines Informatikverfahrens.

Bewilligung

Paragraph 2,

  1. Absatz einsDie Bewilligung im Sinne des Paragraph 6 a, ZollR-DG wird durch das zuständige Zollamt auf Antrag eines Unternehmens bei Vorliegen der in dieser Verordnung festgelegten Voraussetzungen erteilt.
  2. Absatz 2Das antragstellende Unternehmen muss für die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des Paragraph 6 a, ZollR-DG geeignet sein. Geeignet sind Unternehmen, die befugt, finanziell und wirtschaftlich leistungsfähig sowie zuverlässig sind. Die Eignung ist vom Unternehmen durch Vorlage entsprechender Bescheinigungen nachzuweisen und zu belegen.
  3. Absatz 3Die Bewilligung ist nur dann zu erteilen, wenn das bisherige Verhalten des Unternehmens Gewähr für die Einhaltung der Zoll- und Steuervorschriften bietet und das von ihm bereitgestellte Informatikverfahren die Richtigkeit und Vollständigkeit der operationellen Abwicklung von Ausgangsbestätigungen gewährleistet.
  4. Absatz 4Das Informatikverfahren gemäß Paragraph 3, sowie die für die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des Paragraph 6 a, ZollR-DG erforderlichen Infrastruktur- und Personalressourcen für den jeweiligen Standort sind durch das Unternehmen bereitzustellen. Die Standorte und Betriebszeiten sind durch das bewilligungserteilende Zollamt unter Berücksichtigung der Zweckmäßigkeit, Wirtschaftlichkeit und Verwaltungsökonomie in der Bewilligung festzusetzen.
  5. Absatz 5Die Nichtbeachtung der in dieser Verordnung und in der Bewilligung festgelegten Pflichten und Auflagen stellt einen Grund für den Widerruf der Bewilligung dar.

Operationelle Abwicklung und Informatikverfahren

Paragraph 3,

  1. Absatz einsDie operationelle Abwicklung von Ausgangsbestätigungen im Sinne des Paragraph 6 a, ZollR-DG ist durch den Bewilligungsinhaber im Rahmen eines Informatikverfahrens durchzuführen und umfasst:
    1. Ziffer eins
      die elektronische Übernahme der für die Validierung erforderlichen Daten gemäß Anlage 1 Ziffer eins bis 9, welche dafür in elektronischer Form bereitzustellen sind,
    2. Ziffer 2
      die elektronische Validierung der übernommenen Daten auf der Grundlage von den Steuer- und Zollbehörden vorgegebenen Risikokriterien,
    3. Ziffer 3
      die Erstellung von Ausgangsbestätigungen, die Durchführung von Warenkontrollen bzw. die Veranlassung von Kontrollen durch die Zollbehörden entsprechend des jeweiligen Validierungsergebnisses sowie
    4. Ziffer 4
      die elektronische Bereitstellung der Daten gemäß Anlage 1 Ziffer eins bis 9 und der Validierungsergebnisse gemäß Anlage 1 Ziffer 10 bis 16 für die Steuer- und Zollbehörden.
  2. Absatz 2Die Ausgangsbestätigung der Waren hat grundsätzlich in elektronischer Form zu erfolgen. Bei in Papierform vorgelegten Dokumenten hat die Bestätigung mittels Stempelabdruck zu erfolgen, der dem Muster gemäß Anlage 3 entspricht.
  3. Absatz 3Der Bewilligungsinhaber hat den Steuer- und Zollbehörden einen uneingeschränkten Zugang zu den im Informatikverfahren elektronisch bereitgestellten Daten gemäß Absatz eins, Ziffer 4, zu gewährleisten. Die Bereitstellung der Daten hat in Echtzeit zu erfolgen. Die erforderlichen Zugriffsberechtigungen sind den Steuer- und Zollbehörden zuzuweisen.
  4. Absatz 4Unbeschadet der Bestimmungen gemäß Paragraph 4, (Notfallverfahren) kann die sachlich und örtlich zuständige Zollbehörde auf Grund von Abfertigungsspitzen vorübergehend von der unmittelbaren elektronischen Bereitstellung der Daten durch den Bewilligungsinhaber absehen. Dies gilt ausschließlich für Rechnungen, die einen Gesamtbetrag von 200,00 Euro nicht übersteigen, und nur in den in der Bewilligung festgelegten Ausnahmefällen. Die Bestätigung dieser Rechnungen hat mittels Stempelabdruck auf der Rechnung zu erfolgen, der dem Muster gemäß Anlage 2 entspricht. Die Daten sind in diesen Fällen vom Bewilligungsinhaber innerhalb von drei Kalendertagen nach Ausstellung der Ausgangsbestätigung den Steuer- und Zollbehörden im Informatikverfahren elektronisch bereitzustellen.
  5. Absatz 5Der Bewilligungsinhaber unterliegt im Rahmen der operationellen Abwicklung von Ausgangsbestätigungen der Zollaufsicht im Sinne des Abschnittes C des ZollR-DG, den Aufsichtsmaßnahmen gemäß den Paragraphen 143, ff der Bundesabgabenordnung – BAO, Bundesgesetzblatt Nr. 194 aus 1961, in der geltenden Fassung, sowie den Weisungen der Steuer- und Zollbehörden.

Notfallverfahren

Paragraph 4,

  1. Absatz einsIm Falle eines Ausfalls des Informatikverfahrens gemäß Paragraph 3, ist die zuständige Zollbehörde unverzüglich in Kenntnis zu setzen und ein Notfallverfahren einzuleiten. Bei Anwendung des Notfallverfahrens sind die in Paragraph 3, Absatz eins, angeführten Daten manuell zu verarbeiten. Die dafür notwendigen Unterlagen sind unverzüglich der zuständigen Zollbehörde vorzulegen oder mittels Telefax zu übermitteln.
  2. Absatz 2Die zuständige Zollbehörde überprüft die ihr vorgelegten oder übermittelten Unterlagen und
    1. Ziffer eins
      erteilt die Zustimmung zur Erstellung der Ausgangsbestätigung auf der Rechnung mittels Stempelabdruck, der dem Muster gemäß Anlage 2 entspricht, durch den Bewilligungsinhaber oder
    2. Ziffer 2
      untersagt die Erstellung der Ausgangsbestätigung durch den Bewilligungsinhaber.
  3. Absatz 3Die im Rahmen des Notfallverfahrens manuell verarbeiteten Daten sind innerhalb von drei Kalendertagen ab Wiederverfügbarkeit des Informatikverfahrens den Steuer- und Zollbehörden im Informatikverfahren elektronisch bereitzustellen.

Geheimhaltungspflicht

Paragraph 5,

  1. Absatz einsDer Bewilligungsinhaber leistet Gewähr dafür, dass die abgabenrechtlichen Geheimhaltungspflichten gemäß Paragraph 48 a, BAO, sowie die datenschutzrechtlichen Geheimhaltungspflichten gemäß Paragraph 6, des Datenschutzgesetzes, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, in der geltenden Fassung, eingehalten werden.
  2. Absatz 2Hinsichtlich der abgabenrechtlichen Geheimhaltungspflicht gemäß Paragraph 48 a, BAO gelten die Organe und Arbeitnehmer des Bewilligungsinhabers als Beamte im Sinne von Paragraph 74, Ziffer 4, des Strafgesetzbuches, Bundesgesetzblatt Nr. 60 aus 1974, in der geltenden Fassung.
  3. Absatz 3Die Organe und die Arbeitnehmer des Bewilligungsinhabers sind zur Verschwiegenheit über alle ihnen aus ihrer Tätigkeit bekanntgewordenen Tatsachen verpflichtet. Eine Entbindung von der Verpflichtung zur Verschwiegenheit kann nur durch die sachlich und örtlich zustände Zollbehörde erfolgen.

Verantwortliche und Auftragsverarbeiter gemäß DSGVO

Paragraph 6,

  1. Absatz einsDer Bundesminister für Finanzen und die sachlich und örtlich zuständigen Steuer- und Zollbehörden sind bezüglich des Informatikverfahrens gemäß Paragraph 3, gemeinsam für die Verarbeitung Verantwortliche gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO).
  2. Absatz 2Der Bewilligungsinhaber ist bezüglich des durch ihn bereitgestellten Informatikverfahrens gemäß Paragraph 3, Auftragsverarbeiter gemäß Artikel 4, Ziffer 8, DSGVO und darf die verarbeiteten Daten ausschließlich zum Zweck der Auftragsverarbeitung und nach Weisung der Verantwortlichen verarbeiten. Er ist in dieser Funktion verpflichtet, die Datenschutzpflichten gemäß Artikel 28, Absatz 3, Litera a bis h DSGVO wahrzunehmen.

Aufteilung der Pflichten gemäß DSGVO

Paragraph 7,

  1. Absatz einsDie Wahrnehmung von Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Rechten der betroffenen Person und die Erfüllung von Informationspflichten nach den Bestimmungen des Kapitels römisch III der DSGVO obliegen der sachlich und örtlich zuständigen Zollbehörde. Sie fungiert als Anlaufstelle für betroffene Personen. Macht eine betroffene Person ihre Rechte nach den Bestimmungen des Kapitels römisch III der DSGVO gegenüber einer unzuständigen Zollbehörde geltend, ist sie an die sachlich und örtlich zuständige Zollbehörde zu verweisen.
  2. Absatz 2Die Wahrnehmung der Pflichten der Verantwortlichen nach den Bestimmungen des Kapitels römisch IV der DSGVO erfolgt durch die sachlich und örtlich zuständige Zollbehörde nach den Vorgaben des Bundesministers für Finanzen.
  3. Absatz 3Die gemeinsam Verantwortlichen haben einander bei der Erfüllung der Pflichten nach den Bestimmungen der DSGVO zu unterstützen.

Datensicherheitsmaßnahmen

Paragraph 8,

  1. Absatz einsDer Bewilligungsinhaber hat bezüglich des durch ihn bereitgestellten Informatikverfahrens gemäß Paragraph 3, die Sicherheit der verarbeiteten Daten gemäß Artikel 32, DSGVO sicherzustellen und alle dafür erforderlichen technischen und organisatorischen Maßnahmen unter Berücksichtigung der Vorgaben des Bundesministers für Finanzen zu ergreifen, um folgende Zwecke zu erreichen:
    1. Ziffer eins
      Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle);
    2. Ziffer 2
      Verhinderung des unbefugten Lesens, Kopierens, Veränderns, Löschen oder Entfernens von Datenträgern (Datenträgerkontrolle);
    3. Ziffer 3
      Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);
    4. Ziffer 4
      Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);
    5. Ziffer 5
      Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle);
    6. Ziffer 6
      Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle);
    7. Ziffer 7
      Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle);
    8. Ziffer 8
      Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);
    9. Ziffer 9
      Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit);
    10. Ziffer 10
      Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit);
    11. Ziffer 11
      Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
    12. Ziffer 12
      Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
    13. Ziffer 13
      Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
  2. Absatz 2Zur Gewährleistung eines angemessenen Schutzniveaus ist die Wirksamkeit der getroffenen Maßnahmen durch den Bewilligungsinhaber regelmäßig zu überprüfen, zu bewerten und zu evaluieren.

Protokollierung

Paragraph 9,

  1. Absatz einsDer Bewilligungsinhaber hat bezüglich des durch ihn bereitgestellten Informatikverfahrens gemäß Paragraph 3, sicherzustellen, dass alle durchgeführten Verarbeitungsvorgänge protokolliert werden.
  2. Absatz 2Aus diesen Protokolldaten müssen zumindest
    1. Ziffer eins
      der Zweck,
    2. Ziffer 2
      die verarbeiteten Daten,
    3. Ziffer 3
      das Datum und die Uhrzeit der Verarbeitung sowie
    4. Ziffer 4
      die Identifizierung der Person, die die personenbezogenen Daten verarbeitet hat,
    hervorgehen.
  3. Absatz 3Die Protokolldaten dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung einschließlich der Eigenüberwachung sowie der Gewährleistung von Integrität und Sicherheit der personenbezogenen Daten verwendet werden. Nach Ablauf von drei Jahren ab Protokollierung sind die Protokolldaten sicher zu löschen.

Dokumentation

Paragraph 10,

Der Bewilligungsinhaber hat

  1. Ziffer eins
    die Aufbau- und Ablauforganisation für die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des Paragraph 6 a, ZollR-DG,
  2. Ziffer 2
    die Systemdokumentation und Benutzerhandbücher für das Informatikverfahren gemäß Paragraph 3, sowie
  3. Ziffer 3
    die getroffenen Datensicherheitsmaßnahmen gemäß Paragraph 8,
zu dokumentieren und die Dokumentation aktuell zu halten.

Mitteilungen an die sachlich und örtlich zuständige Zollbehörde

Paragraph 11,

Der Bewilligungsinhaber hat der sachlich und örtlich zuständigen Zollbehörde unverzüglich mitzuteilen:

  1. Ziffer eins
    Veränderungen im Zusammenhang mit der Befugnis, der finanziellen und wirtschaftlichen Leistungsfähigkeit und der Zuverlässigkeit des Bewilligungsinhabers, die dessen Eignung gemäß Paragraph 2, Absatz 2, beeinträchtigen;
  2. Ziffer 2
    das Auftreten von Abfertigungsspitzen gemäß Paragraph 3, Absatz 4 ;,
  3. Ziffer 3
    das Auftreten von Störungen, die die ordnungsgemäße operationelle Abwicklung von Ausgangsbestätigungen im Sinne des Paragraph 6 a, ZollR-DG gefährden könnten;
  4. Ziffer 4
    die Einleitung eines Notfallverfahrens gemäß Paragraph 4, sowie die Wiederverfügbarkeit des Informatikverfahrens gemäß Paragraph 3 ;,
  5. Ziffer 5
    das Auftreten von Abweichungen im Zusammenhang mit den festgelegten Datensicherheitsmaßnahmen gemäß Paragraph 8 ;,
  6. Ziffer 6
    das Auftreten von Sicherheitsvorfällen im Zusammenhang mit dem Informatikverfahren und den verarbeiteten Daten gemäß Paragraph 3,

Kontrolle durch den Bundesminister für Finanzen

Paragraph 12,

  1. Absatz einsDer Bundesminister für Finanzen kann im Zusammenwirken mit der sachlich und örtlich zuständigen Zollbehörde überprüfen, ob
    1. Ziffer eins
      die operationelle Abwicklung von Ausgangsbestätigungen im Sinne des Paragraph 6 a, ZollR-DG den geltenden Zoll- und Steuervorschriften entspricht,
    2. Ziffer 2
      bei der Verarbeitung der Daten im Informatikverfahren gemäß Paragraph 3, die geltenden Datenschutzbestimmungen eingehalten werden und
    3. Ziffer 3
      die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.
  2. Absatz 2Der Bewilligungsinhaber stellt sicher, dass sich die Kontrollorgane von der Einhaltung seiner Pflichten überzeugen können und stellt ihnen die dafür erforderlichen Zugänge, Informationen, Aufzeichnungen, Protokolldaten und Nachweise zur Verfügung.

Personenbezogene Bezeichnungen

Paragraph 13,

Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für alle Geschlechter.

Schlussbestimmungen

Paragraph 14,

Diese Verordnung tritt mit 1. Jänner 2019 in Kraft; gleichzeitig tritt die Zoll-Touristenexport-Informatikverordnung 2015, Bundesgesetzblatt Teil 2, Nr. 53 aus 2016,, außer Kraft.

Löger