Wichtig für GmbHs

Datenschutz – das Ende des "Personenbezugs"?

04.03.2011
Dr. Sebastian Kraska und Alma Lena Fritz zur Ausweitung der Gesetze auf Daten juristischer Personen
Foto:

Die deutschen Datenschutzgesetze orientieren sich grundsätzlich am Begriff der personenbezogenen Daten natürlicher Personen. In letzter Zeit wird jedoch zunehmend eine Anwendbarkeit der Datenschutzgesetze auch auf juristische Personen diskutiert. In diesem Artikel soll geklärt werden, inwieweit die Datenschutzgesetze auch auf Daten juristischer Personen ohne Bezug zu einer natürlichen Person Anwendung finden können.

Der Begriff der personenbezogenen Daten

Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Begriff bezieht sich auf die natürliche Person

Nach dem Wortlaut des Gesetzes unterliegen nur personenbezogene Daten natürlicher Personen dem Schutz des Gesetzes. Hinter dem Begriff der natürlichen Person versteckt sich der Mensch in seiner Rolle als Rechtssubjekt, das heißt als Träger von Rechten und Pflichten. Rechtssubjekte, die Träger von Rechten und Pflichten sind, aber keine Menschen sind, wie z.B. Unternehmen, sind als juristische Personen zu bezeichnen. Damit werden Angaben über diese nach dem Wortlaut des Gesetzes nicht von dem Begriff der personenbezogenen Daten umfasst.

"Grundrecht des Datenschutzes": Recht auf informationelle Selbstbestimmung

Die Datenschutzgesetze sind gestützt auf das im Grundgesetz durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 garantierte Recht auf informationelle Selbstbestimmung, das durch die Datenschutzgesetze ausgestaltet und konkretisiert wird. Da sich die Datenschutzgesetze in Deutschland nur auf natürliche Personen beziehen, kommt der Schutzumfang, der das Grundrecht konkretisiert, nur diesen zugute. Dies ist nicht selbstverständlich, da nach Art. 19 Abs. 3 des Grundgesetzes die Grundrechte grundsätzlich auch für inländische juristische Personen gelten, wenn diese ihrem Wesen nach auf sie anwendbar sind. Dass auch Unternehmen grundsätzlich ein Interesse daran haben können, die unternehmensbezogenen Angaben selbst beeinflussen zu können, wird damit durch die einfachgesetzliche Ausgestaltung des Grundrechts in den Datenschutzgesetzen nicht direkt anerkannt.

Entscheidung des Oberverwaltungsgerichts Niedersachsen

Auch juristische Personen können letztlich jedoch Träger des Rechts auf informationelle Selbstbestimmung als Teilbereich des allgemeinen Persönlichkeitsrechts sein, wie auch das Oberverwaltungsgericht Niedersachsen in der Entscheidung 10 ME 385/08 feststellt. Gleichzeitig wird jedoch festgehalten, dass die Schutzschwelle in diesem Zusammenhang hoch anzusetzen ist.

"Mitglieder" der juristischen Person werden geschützt

Die hinter der juristischen Person stehenden Menschen werden jedoch durch die Datenschutzgesetze geschützt, wenn sich die Angaben über die Gesellschaft auch auf sie beziehen. So können beispielsweise Angaben über eine GmbH zu den Gesellschaftern, Beschäftigten oder Geschäftsführern dieser GmbH Bezug haben ("Herr XYZ arbeitet bei der ABC GmbH").

Ansicht des Verwaltungsgerichts Wiesbaden

Ausnahmsweise kann auch die Unternehmensbezeichnung allein bereits ein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG darstellen, wenn zwischen der GmbH und den "hinter" ihr stehenden Personen eine enge wirtschaftliche Bindung besteht, die sich auch durch eine finanzielle oder personelle Verflechtung äußern kann. Der Schutz, der durch die Datenschutzgesetze gewährt wird, schlägt dann auf die hinter der Gesellschaft stehenden Personen durch, so dass der Schutzumfang voll besteht.

Nach der Beurteilung des Verwaltungsgerichts Wiesbaden vom 7.12.2007 können etwa die Wirtschaftsdaten einer juristischen Person personenbezogene Daten einer natürlichen Person sein, wenn diese einer Person als Alleinaktionär oder Gesellschafter zuzurechnen sind. Insoweit beziehen sich die Daten dann auf das Vermögen des alleinigen Eigentümers. Dieser als natürliche Person wird in diesen Daten in seinem Recht auf informationelle Selbstbestimmung betroffen und nach der oben dargestellten Begriffsbestimmung der personenbezogenen Daten durch die Datenschutzgesetze geschützt. Die Frage wurde später auch dem Europäischen Gerichtshof zur Entscheidung vorgelegt.

Ein-Mann-GmbH oder Einzelfirma: Datenschutzgesetze sind anwendbar

Die genannten finanziellen und personalen Verbindungen treten häufig bei der sogenannten "Ein-Mann-GmbH" oder Einzelfirmen auf. Hier kann in der Regel davon ausgegangen werden, dass ein Bezug zu der "hinter" der juristischen Person stehenden natürlichen Person besteht. Beim Einzelkaufmann besteht rechtliche Identität, sodass eine Trennung in gewerbliche und personenbezogene Daten nicht stattfinden kann und die Datenschutzgesetze vollumfänglich anwendbar sind.

EuGH hat Schutzumfang vor Kurzem bestätigt

Auch der Europäische Gerichtshof hat den dargestellten Schutzumfang in seinem Urteil vom 9. November 2010 bestätigt (Az. C-92/09 und C-93/09, Rz. 54). Lässt etwa der Name der klagenden Gesellschaft des bürgerlichen Rechts Rückschlüsse auf die dahinter stehenden Gesellschafter zu, kann so ein Personenbezug hergestellt wird. Wenn die gezahlten Subventionen für die Empfänger einen großen Teil ihrer Einkünfte darstellen, ist mit der Veröffentlichung solcher Daten die Privatsphäre der einzelnen berührt. Doch auch der Europäische Gerichtshof geht in seinem Urteil davon aus, dass die Gewichtung des Schutzes personenbezogener Daten bei juristischen Personen eine andere ist als bei natürlichen Personen.

Nachbarländer beziehen oftmals juristische Personen in den Schutzumfang mit ein

Die Datenschutzrichtline 95/46/EG schreibt die Beschränkung des Schutzumfangs auf natürliche Personen gerade nicht vor, sondern hat in diesem Bereich den Mitgliedsstaaten der EU einen Handlungsspielraum gewährt, ob juristische Personen auch von den Datenschutzgesetzen umfasst werden sollen. Demgemäß haben Datenschutzgesetze anderer Länder (z. B. Österreich, Dänemark, Luxemburg) juristische Personen in ihren Schutzbereich mit einbezogen (so im Übrigen auch die Schweiz). Der deutsche Gesetzgeber hat die juristischen Personen jedoch nicht in den Schutzumfang aufgenommen, so dass diese Bewertung im Rahmen der Datenschutzgesetze und auch bei einer Bestimmung deren Recht zur informationellen Selbstbestimmung beachtet werden muss.

Besonderer Datenschutz der juristischen Person nach dem Telekommunikationsgesetz

Während das BDSG nur für Einzelangaben natürlicher Personen anwendbar ist, weitet das Telekommunikationsgesetz (TKG) gemäß § 91 Abs. 1 TKG den Anwendungsbereich des Telekommunikationsdatenschutzes auf diese aus. Nach dieser Norm werden Einzelangaben über juristische Personen (z. B. AG und GmbH) und Personengesellschaften (z. B. OHG und KG) den Angaben über natürliche Personen gleichgestellt und vom TKG in dessen Abschnitt 2 geschützt. Daten, die durch das Fernmeldegeheimnis geschützt werden, beziehen sich insbesondere darauf, ob eine juristische Person an einem Telekommunikationsvorgang beteiligt ist oder war (Verbindungsdaten). In diesem Punkt genießen juristische Personen damit vollen Schutzumfang. Der Gesetzgeber hat damit einen besonderen Schutzumfang auch für juristische Personen in einem konkreten Punkt bestimmt.

Ende der Forderung nach einem "Personenbezug" von Daten?

Auch auf dem Triberger Symposium klang in den Vorträgen von Peter Schaar und Professor Bäcker an, dass die in § 3 Abs. 1 BDSG vorgenommene Definition von personenbezogenen Daten nicht mehr ausreichend Schutz bieten würde. Vielmehr war eine klare Tendenz zu erkennen, dass man für einen effektiven Datenschutz künftig die Ansammlung von Daten auch dann regulieren müsse, wenn es sich nicht um personenbezogene Daten handeln würde. Nach der momentanen gesetzlichen Gestaltung kann wie dargestellt aber nicht eine einfache Erweiterung und Ausweitung des Begriffes zugunsten der juristischen Personen angenommen werden.

Fazit

Daten juristischer Personen werden vom Anwendungsbereich der deutschen Datenschutzgesetze zurzeit weitestgehend ausgenommen, obwohl auch die Unternehmen grundsätzlich ein Interesse daran haben, datenschutzrechtlich Einfluss auf unternehmensbezogene Angaben zu nehmen. Bislang schützt das BDSG nur Angaben über natürliche Personen, wenngleich innerhalb Europas durchaus unterschiedliche Regelungskonzepte existieren. Insoweit ist auch die Tendenz in der aufsichtsbehördlichen und wissenschaftlichen Diskussion beachtlich, künftig gänzlich auf das Merkmal des Personenbezugs zu verzichten und damit juristische und natürliche Personen gleichermaßen zu schützen. (oe)

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.

Kontakt:

IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de