Fachartikel, 16.12.2010
Perspektive Mittelstand
Firmendaten
Zum Recht auf Datenschutz bei juristischen Personen
Nachdem sich die deutschen Datenschutzgesetze bislang grundsätzlich am Begriff der personenbezogenen Daten natürlicher Personen orientieren, stellt sich die Frage, wie es um das Recht auf Datenschutz bei juristischen Personen, also bspw. Unternehmen steht. Hierzu ein Überblick zur aktuellen Rechtslage und zum Stand der Diskussion.
Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Nach dem Wortlaut des Gesetzes unterliegen nur personenbezogene Daten natürlicher Personen dem Schutz des Gesetzes. Hinter dem Begriff der natürlichen Person versteckt sich der Mensch in seiner Rolle als Rechtssubjekt, das heißt als Träger von Rechten und Pflichten. Rechtssubjekte, die Träger von Rechten und Pflichten sind, aber keine Menschen sind, wie z.B. Unternehmen, sind als juristische Personen zu bezeichnen. Damit werden Angaben über diese nach dem Wortlaut des Gesetzes nicht von dem Begriff der personenbezogenen Daten umfasst.

„Grundrecht des Datenschutzes“: Recht auf informationelle Selbstbestimmung

Die Datenschutzgesetze sind gestützt auf das im Grundgesetz durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 garantierte Recht auf informationelle Selbstbestimmung, welches durch die Datenschutzgesetze ausgestaltet und konkretisiert wird. Da sich die Datenschutzgesetze in Deutschland nur auf natürliche Personen beziehen, kommt der Schutzumfang, welcher das Grundrecht konkretisiert, nur diesen zu Gute. Dies ist nicht selbstverständlich, da nach Art. 19 Abs. 3 des Grundgesetzes die Grundrechte grundsätzlich auch für inländische juristische Personen gelten, wenn diese ihrem Wesen nach auf sie anwendbar sind. Dass auch Unternehmen grundsätzlich ein Interesse daran haben können, die unternehmensbezogenen Angaben selbst beeinflussen zu können, wird damit durch die einfachgesetzliche Ausgestaltung des Grundrechts in den Datenschutzgesetzen nicht direkt anerkannt.

Entscheidung des Oberverwaltungsgerichts Niedersachsen

Auch juristische Personen können letztlich jedoch Träger des Rechts auf informationelle Selbstbestimmung als Teilbereich des allgemeinen Persönlichkeitsrechts sein, wie auch das Oberverwaltungsgericht Niedersachsen in einer Entscheidung
[http://www.dbovg.niedersachsen.de/Entscheidung.asp?Ind=05000200800038510+ME]
feststellt. Gleichzeitig wird jedoch festgehalten, dass die Schutzschwelle in diesem Zusammenhang hoch anzusetzen ist.

Die hinter der juristischen Person stehenden Menschen werden jedoch durch die Datenschutzgesetze geschützt, wenn sich die Angaben über die Gesellschaft auch auf sie beziehen. So können beispielsweise Angaben über eine GmbH zu den Gesellschaftern, Beschäftigten oder Geschäftsführern dieser GmbH Bezug haben („Herr XYZ arbeitet bei der ABC GmbH“).

Ansicht des Verwaltungsgerichts Wiesbaden

Ausnahmsweise kann auch die Unternehmensbezeichnung allein bereits ein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG darstellen, wenn zwischen der GmbH und den „hinter“ ihr stehenden Personen eine enge wirtschaftliche Bindung besteht, die sich auch durch eine finanzielle oder personelle Verflechtung äußern kann. Der Schutz, welcher durch die Datenschutzgesetze gewährt wird, schlägt dann auf die hinter der Gesellschaft stehenden Personen durch, so dass der Schutzumfang voll besteht.

Nach der Beurteilung des Verwaltungsgerichts Wiesbaden vom 7.12.2007 können etwa die Wirtschaftsdaten einer juristischen Person personenbezogene Daten einer natürlichen Person sein, wenn diese einer Person als Alleinaktionär oder Gesellschafter zuzurechnen sind. Insoweit beziehen sich die Daten dann auf das Vermögen des alleinigen Eigentümers. Dieser als natürliche Person wird in diesen Daten in seinem Recht auf informationelle Selbstbestimmung betroffen und nach der oben dargestellten Begriffsbestimmung der personenbezogenen Daten durch die Datenschutzgesetze geschützt. Die Frage wurde später auch dem Europäischen Gerichtshof zur Entscheidung vorgelegt.

Ein-Mann-GmbH oder Einzelfirma: Datenschutzgesetze sind anwendbar

Die genannten finanziellen und personalen Verbindungen treten häufig bei der so genannten „Ein-Mann-GmbH“ oder Einzelfirmen auf. Hier kann in der Regel davon ausgegangen werden, dass ein Bezug zu der „hinter“ der juristischen Person stehenden natürlichen Person besteht. Beim Einzelkaufmann besteht rechtliche Identität, so dass eine Trennung in gewerbliche und personenbezogene Daten nicht stattfinden kann und die Datenschutzgesetze vollumfänglich anwendbar sind.

EuGH hat Schutzumfang vor kurzem bestätigt

Auch der Europäische Gerichtshof hat den dargestellten Schutzumfang in seinem Urteil vom 9. November 2010 bestätigt (Az. C‑92/09 und C‑93/09, Rz. 54). Lässt etwa der Name der klagenden Gesellschaft des bürgerlichen Rechts Rückschlüsse auf die dahinter stehenden Gesellschafter zu, kann so ein Personenbezug hergestellt wird. Wenn die gezahlten Subventionen für die Empfänger einen großen Teil ihrer Einkünfte darstellen, ist mit der Veröffentlichung solcher Daten die Privatsphäre der einzelnen berührt. Doch auch der Europäische Gerichtshof geht in seinem Urteil davon aus, dass die Gewichtung des Schutzes personenbezogener Daten bei juristischen Personen eine andere ist als bei natürlichen Personen.

Nachbarländer beziehen oftmals juristische Personen in den Schutzumfang mit ein

Die Datenschutzrichtline 95/46/EG schreibt die Beschränkung des Schutzumfangs auf natürliche Personen gerade nicht vor, sondern hat in diesem Bereich den Mitgliedsstaaten der EU einen Handlungsspielraum gewährt, ob juristische Personen auch von den Datenschutzgesetzen umfasst werden sollen. Demgemäß haben Datenschutzgesetze anderer Länder (z. B. Österreich, Dänemark, Luxemburg) juristische Personen in ihren Schutzbereich mit einbezogen (so im Übrigen auch die Schweiz). Der deutsche Gesetzgeber hat die juristischen Personen jedoch nicht in den Schutzumfang aufgenommen, so dass diese Bewertung im Rahmen der Datenschutzgesetze und auch bei einer Bestimmung deren Recht zur informationellen Selbstbestimmung beachtet werden muss.

Besonderer Datenschutz der juristischen Person nach dem Telekommunikationsgesetz


Während das BDSG nur für Einzelangaben natürlicher Personen anwendbar ist, weitet das Telekommunikationsgesetz (TKG) gemäß § 91 Abs. 1 TKG den Anwendungsbereich des Telekommunikationsdatenschutzes auf diese aus. Nach dieser Norm werden Einzelangaben über juristische Personen (z. B. AG und GmbH) und Personengesellschaften (z. B. OHG und KG) den Angaben über natürliche Personen gleichgestellt und vom TKG in dessen Abschnitt 2 geschützt. Daten, die durch das Fernmeldegeheimnis geschützt werden, beziehen sich insbesondere darauf, ob eine juristische Person an einem Telekommunikationsvorgang beteiligt ist oder war (Verbindungsdaten). In diesem Punkt genießen juristische Personen damit vollen Schutzumfang. Der Gesetzgeber hat damit einen besonderen Schutzumfang auch für juristische Personen in einem konkreten Punkt bestimmt.

Ende der Forderung nach einem „Personenbezug“ von Daten?

Auch auf dem Triberger Symposium klang in den Vorträgen von Herrn Peter Schaar und Herr Professor Bäcker an, dass die in § 3 Abs. 1 BDSG vorgenommene Definition von personenbezogenen Daten nicht mehr ausreichend Schutz bieten würde. Vielmehr war eine klare Tendenz zu erkennen, dass man für einen effektiven Datenschutz künftig die Ansammlung von Daten auch dann regulieren müsse, wenn es sich nicht um personenbezogene Daten handeln würde. Nach der momentanen gesetzlichen Gestaltung kann wie dargestellt aber nicht eine einfache Erweiterung und Ausweitung des Begriffes zu Gunsten der juristischen Personen angenommen werden.

Fazit

Daten juristischer Personen werden vom Anwendungsbereich der deutschen Datenschutzgesetze momentan weitestgehend ausgenommen, obwohl auch die Unternehmen grundsätzlich ein Interesse daran haben, datenschutzrechtlich Einfluss auf unternehmensbezogene Angaben zu nehmen. Bislang schützt das BDSG nur Angaben über natürliche Personen, wenngleich innerhalb Europas durchaus unterschiedliche Regelungskonzepte existieren. Insoweit ist auch die Tendenz in der aufsichtsbehördlichen und wissenschaftlichen Diskussion beachtlich, künftig gänzlich auf das Merkmal des Personenbezugs zu verzichten und damit juristische und natürliche Personen gleichermaßen zu schützen.
QUERVERWEIS
Service-Tipp
Datenschutz-Codex/-Signet für Webseitenbetreiber
Gerade bei der elektronischen Datenverarbeitung im Internet gewinnt der Datenschutz für Kunden zunehmend an Bedeutung. Mit einem neuen Datenschutz-Signet können Website-Betreiber nun nach außen einen transparenten und gesetzeskonformen Umgang mit Kundendaten dokumentieren.
weitere Informationen zum Datenschutz-Signet http://www.iitr.de/datenschutz-codex-fuer-webseitenbetreiber.html
ZUM AUTOR
Über Dr. Sebastian Kraska
Institut für IT-Recht - Kraska GmbH
Herr Dr. Sebastian Kraska gründete im Jahr 2007 die Kraska GmbH, die sich mit IT-Dienstleistungen befasst. Im Jahr 2009 kam das Institut für IT-Recht IITR hinzu, das schwerpunktmäßig im Bereich Datenschutz tätig ist und in Kooperation mit der IT-Recht Kanzlei München und weiteren Partnern Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt. Herr Dr. Kraska selbst ist als freiberuflicher Rechtsanwalt im Kapitalmarkt- und IT-Recht tätig und betreut mittelständische Unternehmen. Daneben ist Herr Dr. Kraska seit 2007 Aufsichtsrat der amiando AG.
Institut für IT-Recht - Kraska GmbH
Eschenrieder Straße 62c
82194 Gröbenzell

+49-89-51303920
ZUM AUTOR
Über Alma Lena Fritz
Institut für IT-Recht - Kraska GmbH
Frau Alma Lena Fritz ist Rechtsassessorin aus München und freiberufliche Mitarbeiterin des Instituts für IT-Recht IITR. Derzeit besucht Frau Fritz den aufbauenden Master-Studiengang zum Informationsrecht in Hannover/Oslo und absolviert zugleich die theoretische Ausbildung zur Fachanwältin für IT-Recht. Zudem ist Frau Fritz bestellte externe Datenschutzbeauftragte.
Institut für IT-Recht - Kraska GmbH
Eschenrieder Straße 62c
82194 Gröbenzell

+49-89-51303920
WEITERE ARTIKEL VON INSTITUT FÜR IT-RECHT - KRASKA GMBH
Über Perspektive Mittelstand

Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de