Datenschutzverstöße können teuer werden

Nur wenige Tankstellen-Betreiber machen sich Gedanken über die Kosten, die aufgrund von Verstößen und Pannen beim Datenschutz auf sie zukommen können. Dabei bestehen erhebliche Kostenrisiken.

Das sind die möglichen Schadens(ersatz)positionen

Gerade die Pressemeldungen über Datenpannen in jüngster Vergangenheit zeigten, wie schell das Firmen-Image in der Öffentlichkeit in Misskredit geraten kann. Um dieses wieder herzustellen, werden häufig umfangreiche Medien- und PR-Kosten gestartet. Die Kosten dafür sind erheblich, wobei gerade die Mineralölkonzerne als Ihr Vertragspartner im Tankstellenbereich von Imageschäden wenig begeistert sein werden.

Ein weiteres hohes Kostenrisiko besteht beim Verlust personenbezogener Daten zu Bank- oder Kreditkartenkonten. Hier sind Sie verpflichtet, dies der Aufsichtsbehörde und den Betroffenen mitzuteilen, wenn die dadurch schwerwiegend beeinträchtigt werden. In Extremfällen ist die Mitteilung sogar in mindestens zwei bundesweit erscheinenden Tageszeitungen auf je einer halben Seite zu veröffentlichen oder eine Mitteilung in ähnlicher Art publik zu machen, § 42a BDSG. Nicht nur dafür sind die Kosten immens, sondern auch für das Ausfindigmachen von Zahlungsvorgängen aufgrund des Verlustes der personenbezogenen Daten und infolge der Schadensersatzforderungen der Zahlungskartenindustrie.

Schließlich müssen Sie noch mit Rechtsanwaltskosten und Einnahmeverlusten rechnen.

Hier wird kräftig hingelangt: Bußgelder und Geldstrafen

Werden die Auflagen des BDSG nicht oder nicht vollständig in Ihrer Tankstelle umgesetzt, drohen Ihnen erhebliche Sanktionen. So können Geldbußen bis 50.000 Euro verhängt werden, § 43 Abs. 1 BDSG, und zwar für:

  • Verstoß gegen die Meldepflicht
  • fehlende, nicht rechtzeitige oder nicht ordnungsgemäße Bestellung eines Datenschutzbeauftragten trotz Verpflichtung durch das BDSG
  • Verstoß gegen eine Anordnung der Aufsichtsbehörde
  • nicht erfolgte, unvollständige, verspätete oder falsche Auskunft gegenüber einem Betroffenen
  • fehlende Protokollierung bei automatisierten Verfahren des Datenabrufs
  • Pflichtverletzung bei der Auftragsdatenverarbeitung
  • fehlende Widerrufsbelehrung bei einer werblichen Ansprache
  • Verstoß gegen die Zweckbindung bei übermittelten Daten
  • Verstoß gegen die Dokumentationspflichten bei Datenübermittlung zu Geschäftszwecken
  • Aufnahme personenbezogener Daten in Verzeichnisse gegen den Willen des Betroffenen
  • geschäftsmäßige Datenübermittlung ohne eine etwaige vorliegende Gegendarstellung des Betroffenen
  • fehlende Übermittlung von Kennzeichnungen an Verzeichnisse

Sogar Geldbußen bis 300.000 Euro sind möglich, § 43 Abs. 1 BDSG, und zwar für:

  • unbefugte Erhebung und Verarbeitung personenbezogener Daten, die nicht allgemein zugänglich sind
  • unbefugte Bereithaltung personenbezogener Daten für automatisierte Abrufverfahren, die nicht allgemein zugänglich sind
  • unbefugten Abruf personenbezogener Daten in automatisierten Verfahren, die nicht allgemein zugänglich sind
  • Erschleichen einer Übermittlung personenbezogener Daten (die nicht allgemein zugänglich sind) im Abrufverfahren aufgrund unrichtiger Angaben
  • Verstoß gegen die Zweckbindung bei übermittelten personenbezogenen Daten
  • Missachtung des Kopplungsverbots (Vertragsabschluss wird von Erlaubnis zur Datenspeicherung und Nut-zung abhängig gemacht)
  • Nutzung personenbezogener Daten zum Zwecke der Werbung, Markt- und Meinungsforschung trotz eines Widerspruchs
  • Zusammenführung anonymisierter Daten mit Einzelangaben zu einer Person (De-Anonymisierung)
  • nicht erfolgte, unwahre, unvollständige oder verspätete Meldung an die Aufsichtsbehörde und den Betroffenen bei Datenverlust bzw. unrechtmäßige Kenntniserlangung Dritter

Damit ist aber immer noch nicht Schluss. Denn nach § 43 Abs. 3 Satz 2 BDSG soll die Geldbuße “… den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die … genannten Beträge hierfür nicht aus, so können sie überschritten werden.“ Daher können im Einzelfall noch höhere Geldbußen als 50.000 bzw. 300.000 Euro verhangen werden.

Wird eine der Ordnungswidrigkeiten nach § 43 Absatz 2 BDSG vorsätzlich gegen Entgelt oder in Bereicherungs- bzw. Schädigungsabsicht begangen, kann das mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe sanktioniert.

Wichtiger Hinweis!
Die Praxis zeigt, dass auch manches kleinere Unternehmen in den Fokus der Datenschutzaufsichtsbehörden gerät. Kontrollen erfolgen also nicht nur bei den “großen“ Unternehmen, sondern sind genauso an Ihrer Tankstelle möglich.