Muss die Behörde bei der Steuersünder-CD den Datenschutz beachten?
Man stelle sich folgenden fiktiven Fall vor, bundesdeutsche Stellen kaufen eine CD mit personenbezogenen Daten von tatsächlichen und/oder vermeintlichen Steuersündern an.
Verkäufer ist z.B. ein Bankmitarbeiter, welcher personenbezogene Bankdaten aus den Systemen der Bank unerlaubt gespeichert und dann diesen Datenpool den Finanzbehörden zum Kauf angeboten hat. Auf der Basis dieser Daten werden später Steuerstrafverfahren initiiert und Steuernachzahlungen festgesetzt. Datenschutzrechtlich gilt zunächst, dass die Erhebung, -verarbeitung und Nutzung von personenbezogenen Daten nur im Rahmen einer engen Zweckbindung zulässig ist (§ 28 BDSG).
Die Übermittlung und Nutzung solcher Daten zu einem anderen Zweck ist zwar grundsätzlich auch zur Verfolgung von Straftaten zulässig. Die Strafverfolgung ist aber an ein förmliches Verfahren gebunden. Daher wird üblicherweise bei einem entsprechenden Anfangsverdacht ein formelles Ermittlungsverfahren eingeleitet.
Dies war für die Betroffenen des Datenpools nicht der Fall. Daher erfolgte der Ankauf der Daten nicht im Rahmen eines konkreten Ermittlungsverfahrens und die Übermittlung und Nutzung der Daten wäre unzulässig. Die unzulässige Erhebung oder Nutzung von personenbezogenen Daten macht die verantwortliche Stelle allerdings schadensersatzpflichtig (§ 7 BDSG).
D.h. alle Vermögensnachteile welche der Betroffene -in diesem Fall der Bankkunde- in Folge der unzulässigen Datenerhebung, Verarbeitung oder Nutzung erlitten hat, sind ersatzfähiger Schaden. Sofern mehrere Stellen, wie z.B. Bank oder Bankmitarbeiter rechtswidrig gehandelt haben, haften sie gesamtschuldnerisch. Insofern stellt sich die Frage, ob betroffene Steuersünder z.B. die Finanzverwaltung als Käuferin der Daten-CD schadensersatzpflichtig machen können, weil fiskalische Interessen kein Grund § 28 Abs.3 BDSG sind, die strenge Zweckbindung der erworbenen Bankdaten aufzuheben.
Neben etwaigen Verfahrenskosten und Bußgeldern dürfte als Schadensersatzposition sogar ein mögliches Schmerzensgeld zu prüfen sein, wie es diverse Landesdatenschutzgesetze vorsehen. Betroffene und Berater werden die datenschutzrechtlichen Aspekte zur Abwehr von Ansprüchen bzw. zur Begründung eines Regresses nicht außer Acht lassen. Unternehmen sichern sich frühzeitig durch geeignete Maßnahmen gegen Datenklau ab und sind sich des Risikos eines Datenmissbrauchs durch Mitarbeiter bewusst. Manches Unternehmen führt Datenbestände, welche für Dritte interessant und deren Verkauf für Mitarbeiter eine große Versuchung sein könnte. Auch im Falle eines Datendiebstahls, muss ein Unternehmen mit Ansprüchen der Betroffenen rechnen, wenn Sicherungsmaßnahmen hiergegen nicht getroffen wurden.