Danni alla protezione dei dati e CD dell'evasore fiscale

Immaginiamo il seguente caso fittizio: le autorità tedesche acquistano un CD contenente i dati personali di evasori fiscali reali e/o presunti.

Il venditore è, ad esempio, un dipendente di banca che ha memorizzato dati bancari personali dai sistemi della banca senza autorizzazione e poi ha offerto questo pool di dati per la vendita alle autorità fiscali. Sulla base di questi dati, viene successivamente avviato un procedimento penale e vengono accertati gli arretrati fiscali. Ai sensi della legge sulla protezione dei dati, la raccolta, l'elaborazione e l'utilizzo dei dati personali sono consentiti solo nell'ambito di una rigorosa limitazione delle finalità (Sezione 28 BDSG).

Il trasferimento e l'utilizzo di tali dati per un altro scopo è consentito in linea di principio anche per il perseguimento di reati penali. Tuttavia, l'azione penale è soggetta a un procedimento formale. Per questo motivo, i procedimenti di indagine formale vengono solitamente avviati se esiste un primo sospetto di reato.

Questo non era il caso per le persone interessate dal pool di dati. Pertanto, l'acquisto dei dati non rientrava in una procedura di indagine specifica e il trasferimento e l'utilizzo dei dati non erano autorizzati. Tuttavia, la raccolta o l'uso non autorizzato di dati personali rende l'ente responsabile per i danni (Sezione 7 BDSG).

Ciò significa che tutte le perdite economiche subite dalla persona interessata - in questo caso il cliente della banca - a causa della raccolta, dell'elaborazione o dell'utilizzo non autorizzati dei dati sono danni risarcibili. Se più parti, come la banca o i dipendenti della banca, hanno agito illegalmente, sono responsabili in solido. A questo proposito, si pone la questione se gli evasori fiscali colpiti possano rendere le autorità fiscali, ad esempio, responsabili per i danni in quanto acquirenti dei dati CD, poiché gli interessi fiscali non sono un motivo, ai sensi dell'articolo 28 (3) BDSG, per annullare la stretta limitazione dello scopo dei dati bancari acquisiti.

Oltre alle spese procedurali e alle multe, potrebbe essere necessario prendere in considerazione un eventuale risarcimento dei danni, come previsto da varie leggi statali sulla protezione dei dati. Gli interessati e i consulenti non ignoreranno gli aspetti della legge sulla protezione dei dati quando si difenderanno dalle richieste di risarcimento o giustificheranno il ricorso. Le aziende adottano misure adeguate per proteggersi dal furto di dati in una fase iniziale e sono consapevoli del rischio di abuso dei dati da parte dei dipendenti. Alcune aziende detengono banche dati che potrebbero interessare a terzi e la cui vendita potrebbe essere una grande tentazione per i dipendenti. Anche in caso di furto di dati, l'azienda deve aspettarsi una richiesta di risarcimento da parte degli interessati se non sono state adottate misure di sicurezza.