U.a. ggbf. problematisch: Die Einsichtnahme stiller Gesellschafter in Personenkonten von Lieferanten.

Das Eintreten für einen Gesellschaftszweck bzw. die Erfüllung der Treuepflichten gegenüber einem Mitgesellschafter kann bisweilen in Konflikt mit dem Interesse am Schutz personenbezogener Daten geraten. So lautet § 233 Abs. 1 HGB:

„Der stille Gesellschafter ist berechtigt, die abschriftliche Mitteilung des Jahresabschlusses zu verlangen und dessen Richtigkeit unter Einsicht der Bücher und Papiere zu prüfen.“

Ein Bezug zu datenschutzrechtlichen Vorschriften findet sich in diesem Gesetz nicht, auch wenn personenbezogene Daten eindeutig berührt sein können.

Was ist eigentlich ein stiller Gesellschafter?

Der stille Gesellschafter beteiligt sich am Unternehmen, indem er eine Vermögenseinlage leistet. Im Gegenzug wird er an den Gewinnen beteiligt. Eine Beteiligung am Verlust kann nach § 231 Abs. 2 HGB ausgeschlossen werden. Er ist zur geschäftsführenden Tätigkeit nicht verpflichtet und trägt somit auch keine Verantwortung für die Verpflichtungen des Unternehmers. Seine übrige Beteiligung am Unternehmen ist damit „still“.

Atypische stille Gesellschaft

Neben der typischen, im Handelsgesetzbuch vorgesehenen Form gibt es auch noch so genannte atypische stille Gesellschaften. Zum Beispiel können dem „Stillen“ auch Geschäftsführungspflichten übertragen werden, so dass damit eine entsprechende Verantwortung einhergeht.

Wann bestehen Berührungspunkte zum Datenschutzrecht?

Das Datenschutzrecht kommt ins Spiel, sobald ein stiller Gesellschafter durch die Ausübung seiner Rechte nach § 233 Abs. 1 HGB Kenntnis von personenbezogenen Daten des Geschäftsinhabers oder auch Dritter erlangen könnte. Zum Beispiel ist für jeden Lieferanten und Kunden ein Personenkonto zu führen, deren Einsicht von § 233 Abs. 1 HGB umfasst sein könnte.

Auch personenbezogene Daten des Geschäftsinhabers betroffen

Nicht zuletzt geht es auch um persönliche Daten des Geschäftsinhabers. Führt er das Geschäft als Einzelkaufmann, so ist seine Tätigkeit als solcher eng mit ihm als natürlicher Person verbunden. Sein Gehalt, Spesenkosten sowie seine Geschäftsführungspraxis nehmen direkten Einfluss auf die finanzielle Situation des Unternehmens und müssen deshalb Eingang in die Bücher finden. Auch hierbei handelt es sich um personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG.

Einsichtnahme bedeutet „Übermittlung“ im Sinne des Datenschutzgesetzes

Übermittlung von Daten bedeutet gemäß § 3 Abs. 4 Nr. 3 b) BDSG auch Abruf von personenbezogenen Daten durch Dritte. Damit ist die Einsichtnahme durch Gesellschafter ein datenschutzrechtlich relevanter Sachverhalt.

Das Einsichtsrecht des stillen Gesellschafters jedoch ungerechtfertigt aus datenschutzrechtlichen Gesichtspunkten abzulehnen, wäre nicht sachgemäß, da der stille Gesellschafter nach dem Gesetzeswortlaut im HGB gerade auch dazu berechtigt ist, festzustellen, wie Gewinne und Verluste zustande gekommen sind.

Interessenkonflikt

Im Zuge der Wahrnehmung seiner Rechte nach § 233 Abs. 1 HGB gelangt er bei einer kompletten Öffnung der Bücher an Informationen, bei denen es sich u.U. auch um personenbezogene Daten handeln kann. Die Betroffenen, der Geschäftsinhaber, sowie dessen Kunden, Lieferanten oder aber weitere stille Gesellschafter sind aber unter Umständen an der Geheimhaltung ihrer personenbezogenen Daten interessiert. Auf der anderen Seite besteht aber eine gesellschaftsvertragliche Verpflichtung, die Erreichung des Gesellschaftszwecks nicht zu gefährden und keine Gesellschafterrechte zu verletzen. Daneben bestehen möglicherweise gerade auch Geheimhaltungsverpflichtungen gegenüber Dritten.

Rechtfertigung

Das Unternehmen ist eine „nicht-öffentliche Stelle“ im Sinne des § 2 Abs. 4 BDSG. Jede Weiterübertragung von personenbezogenen Daten durch das Unternehmen an andere Personen oder Unternehmen ist als Übermittlung im Sinne des § 3 BDSG zu bewerten und bedarf damit grundsätzlich einer datenschutzrechtlichen Erlaubnis, während Personen, die direkt der verantwortlichen Stelle zugerechnet werden können, ein Recht zur Einsichtnahme ohne weitere Legitimierung haben können.

Ist der stille Gesellschafter „Dritter“ im Sinne von § 3 Abs. 8 BDSG?

Damit muss geprüft werden, ob der stille Gesellschafter Teil der verantwortlichen Stelle oder als Dritter zu bewerten ist. Wäre dieser Dritter, so müsste eine Rechtsgrundlage für die Übermittlung gegeben sein. Zu klären ist zunächst die Frage, ob der stille Gesellschafter nach datenschutzrechtlichen Gesichtspunkten innerhalb oder außerhalb des Unternehmens steht, an dem er beteiligt ist.

Begriff der verantwortlichen Stelle und des Dritten

Verantwortliche Stelle ist nach § 3 Abs. 7 BDSG „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt“. Das Unternehmen, an dem der stille Gesellschafter beteiligt ist, ist diese verantwortliche Stelle.

Dritter ist laut Gesetz jede Person außerhalb der verantwortlichen Stelle. Nach der gesetzlichen Regelung im HGB ist der „Stille“ zur Geschäftsführung nicht verpflichtet. Inwieweit er auf das Unternehmen gestaltenden Einfluss nehmen kann, hängt meistens von der Ausgestaltung der jeweiligen Gesellschaftsbeziehung ab. Bei der typischen stillen Gesellschaft, bei der der Inhaber in Fragen der Geschäftsführung allein verantwortlich ist, ist der „Stille“ als Dritter im datenschutzrechtlichen Sinne zu begreifen. Etwas anderes gilt, wenn er an der Geschäftsführung beteiligt ist. Dann muss er jedenfalls in dieser Funktion als Teil der verantwortlichen Stelle gelten.

Der klassisch stille Gesellschafter ist damit Dritter im Sinne des BDSG, so dass eine Übermittlung personenbezogener Daten durch die Gesellschaft an diesen grundsätzlich einer datenschutzrechtlichen Erlaubnisnorm bedarf.

Rechtsgrundlage für die Einsichtnahme

Die Einsichtnahme in personenbezogene Daten ist nach der Systematik des BDSG immer nur zulässig, wenn entweder die Einwilligung des Betroffenen oder eine Rechtsgrundlage aus dem BDSG diese gestattet. Einwilligungen der Betroffenen liegen in der Regel nicht vor. Als Rechtsgrundlage kommt letztlich allein § 28 BDSG in Betracht.

Rechtfertigung durch Gesellschaftsinteressen

Die Gesellschaft muss, um ihren Verpflichtungen aus dem Gesellschaftsvertrag nachzukommen, dem stillen Gesellschafter die Wahrnehmung der Rechte aus § 233 Abs. 1 HGB ermöglichen. Tut sie es nicht, wird sie vertragsbrüchig. Die Übermittlung der Daten an den stillen Gesellschafter dient daher dem Geschäftszweck. Es besteht deshalb zudem ein berechtigtes Interesse der Gesellschaft an der Verwendung der Daten. Eine Rechtfertigung ergibt sich somit aus § 28 Abs. 1 S. 1 Nr. 2 BDSG. Allerdings steht sie unter dem Vorbehalt, dass keine überwiegenden schutzwürdigen Interessen des Betroffenen bestehen.

Alternativ: § 28 Abs. 2 Nr. 2 a BDSG

Sieht man dies anders, so ist die Übermittlung oder zweckfremde Nutzung der Daten nach § 28 Abs. 2 Nr. 2 a BDSG möglich, soweit dies zur Wahrung berechtigter Interessen eines Dritten, in diesem Falle des stillen Gesellschafters, erforderlich ist. Erneut ist die Zulässigkeit aber beschränkt durch überwiegende schutzwürdige Interessen des jeweiligen Betroffenen. Ob dies jeweils der Fall ist, ergibt eine Abwägung.

Abwägung

Der stille Gesellschafter kann Einsicht auch in personenbezogene Daten nehmen, soweit dies zur Wahrnehmung seiner Gesellschafterrechte erforderlich ist. Nachdem er – zumindest bei der typischen stillen Gesellschaft – neben den Mitteilungs- und Einsichtsrechten nach § 233 Abs. 1 HGB keine weiteren hat, sind ihm diese Kernrechte (soweit möglich) auch zu belassen. Personenbezogene Daten von Außenstehenden sind aber zu schützen, soweit dies die Gesellschafterinteressen zulassen. Ist etwa zur Überprüfung der Richtigkeit des Jahresabschlusses die Kenntnis personenbezogener Daten von Geschäftspartnern in den Büchern nicht erforderlich, besteht auch keine überwiegendes Interesse an der Offenlegung. Es wäre dann ausreichend, eine geschwärzte Fassung der Bücher zugänglich zu machen.

Differenzierung erforderlich

In welchem Umfang dem stillen Gesellschafter im Einzelfall auch personenbezogene Daten zugänglich gemacht werden müssen, ist auch davon abhängig, um wessen personenbezogene Daten es sich handelt. Der Unternehmer, mit dem ein Gesellschaftsvertrag mit Treueverpflichtung besteht, ist nach § 28 Abs. 1 S. 1 Nr. 1 BDSG zur Preisgabe auch ihn betreffender Daten verpflichtet, wenn die Durchführung des Gesellschaftsvertrags dies erfordert. Sofern die betreffenden Daten Einfluss auf Gewinn oder Verlust nehmen, wird dies der Fall sein.

Fazit

Bei einer Gewährung der Einsichtnahme muss anhand der Schutzwürdigkeit der betroffenen personenbezogenen Daten differenziert werden. Nur Daten, die für die Einsichtnahme erforderlich sind, dürfen nach der Systematik des Bundesdatenschutzgesetzes offen gelegt werden. Im Übrigen sind dem stillen Gesellschafter aufgrund überwiegender Betroffenenrechte keine weiteren Einsichtsbefugnisse einzuräumen.