Ausweitung der Datenschutz-Gesetze auf Daten juristischer Personen

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter) und Frau Rechtsanwältin Alma Lena Fritz

15.12.2010 - Die deutschen Datenschutzgesetze orientieren sich grundsätzlich am Begriff der personenbezogenen Daten natürlicher Personen. In der letzten Zeit wird jedoch zunehmend eine Anwendbarkeit der Datenschutzgesetze auch auf juristische Personen diskutiert. In diesem Artikel soll geklärt werden, inwieweit die Datenschutzgesetze auch auf Daten juristischer Personen ohne Bezug zu einer natürlichen Person Anwendung finden können.

Der Begriff der personenbezogenen Daten

Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Begriff bezieht sich auf die natürliche Person

Nach dem Wortlaut des Gesetzes unterliegen nur personenbezogene Daten natürlicher Personen dem Schutz des Gesetzes. Hinter dem Begriff der natürlichen Person versteckt sich der Mensch in seiner Rolle als Rechtssubjekt, das heißt als Träger von Rechten und Pflichten. Rechtssubjekte, die Träger von Rechten und Pflichten sind, aber keine Menschen sind, wie z.B. Unternehmen, sind als juristische Personen zu bezeichnen. Damit werden Angaben über diese nach dem Wortlaut des Gesetzes nicht von dem Begriff der personenbezogenen Daten umfasst.

„Grundrecht des Datenschutzes“: Recht auf informationelle Selbstbestimmung

Die Datenschutzgesetze sind gestützt auf das im Grundgesetz durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 garantierte Recht auf informationelle Selbstbestimmung, welches durch die Datenschutzgesetze ausgestaltet und konkretisiert wird. Da sich die Datenschutzgesetze in Deutschland nur auf natürliche Personen beziehen, kommt der Schutzumfang, welcher das Grundrecht konkretisiert, nur diesen zu Gute. Dies ist nicht selbstverständlich, da nach Art. 19 Abs. 3 des Grundgesetzes die Grundrechte grundsätzlich auch für inländische juristische Personen gelten, wenn diese ihrem Wesen nach auf sie anwendbar sind. Dass auch Unternehmen grundsätzlich ein Interesse daran haben können, die unternehmensbezogenen Angaben selbst beeinflussen zu können, wird damit durch die einfachgesetzliche Ausgestaltung des Grundrechts in den Datenschutzgesetzen nicht direkt anerkannt.

Entscheidung des Oberverwaltungsgerichts Niedersachsen

Auch juristische Personen können letztlich jedoch Träger des Rechts auf informationelle Selbstbestimmung als Teilbereich des allgemeinen Persönlichkeitsrechts sein, wie auch das Oberverwaltungsgericht Niedersachsen in der Entscheidung (10 ME 385/08) feststellt. Gleichzeitig wird jedoch festgehalten, dass die Schutzschwelle in diesem Zusammenhang hoch anzusetzen ist.

„Mitglieder“ der juristischen Person werden geschützt

Die hinter der juristischen Person stehenden Menschen werden jedoch durch die Datenschutzgesetze geschützt, wenn sich die Angaben über die Gesellschaft auch auf sie beziehen. So können beispielsweise Angaben über eine GmbH zu den Gesellschaftern, Beschäftigten oder Geschäftsführern dieser GmbH Bezug haben („Herr XYZ arbeitet bei der ABC GmbH“).

Ansicht des Verwaltungsgerichts Wiesbaden

Ausnahmsweise kann auch die Unternehmensbezeichnung allein bereits ein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG darstellen, wenn zwischen der GmbH und den „hinter“ ihr stehenden Personen eine enge wirtschaftliche Bindung besteht, die sich auch durch eine finanzielle oder personelle Verflechtung äußern kann. Der Schutz, welcher durch die Datenschutzgesetze gewährt wird, schlägt dann auf die hinter der Gesellschaft stehenden Personen durch, so dass der Schutzumfang voll besteht.

Nach der Beurteilung des Verwaltungsgerichts Wiesbaden vom 7.12.2007 können etwa die Wirtschaftsdaten einer juristischen Person personenbezogene Daten einer natürlichen Person sein, wenn diese einer Person als Alleinaktionär oder Gesellschafter zuzurechnen sind. Insoweit beziehen sich die Daten dann auf das Vermögen des alleinigen Eigentümers. Dieser als natürliche Person wird in diesen Daten in seinem Recht auf informationelle Selbstbestimmung betroffen und nach der oben dargestellten Begriffsbestimmung der personenbezogenen Daten durch die Datenschutzgesetze geschützt. Die Frage wurde später auch dem Europäischen Gerichtshof zur Entscheidung vorgelegt.

Ein-Mann-GmbH oder Einzelfirma: Datenschutzgesetze sind anwendbar

Die genannten finanziellen und personalen Verbindungen treten häufig bei der so genannten „Ein-Mann-GmbH“ oder Einzelfirmen auf. Hier kann in der Regel davon ausgegangen werden, dass ein Bezug zu der „hinter“ der juristischen Person stehenden natürlichen Person besteht. Beim Einzelkaufmann besteht rechtliche Identität, so dass eine Trennung in gewerbliche und personenbezogene Daten nicht stattfinden kann und die Datenschutzgesetze vollumfänglich anwendbar sind.

EuGH hat Schutzumfang vor kurzem bestätigt

Auch der Europäische Gerichtshof hat den dargestellten Schutzumfang in seinem Urteil vom 9. November 2010 bestätigt (Az. C?92/09 und C?93/09, Rz. 54). Lässt etwa der Name der klagenden Gesellschaft des bürgerlichen Rechts Rückschlüsse auf die dahinter stehenden Gesellschafter zu, kann so ein Personenbezug hergestellt wird. Wenn die gezahlten Subventionen für die Empfänger einen großen Teil ihrer Einkünfte darstellen, ist mit der Veröffentlichung solcher Daten die Privatsphäre der einzelnen berührt. Doch auch der Europäische Gerichtshof geht in seinem Urteil davon aus, dass die Gewichtung des Schutzes personenbezogener Daten bei juristischen Personen eine andere ist als bei natürlichen Personen. Mehr zu dieser Entscheidung können sie hier lesen.

Nachbarländer beziehen oftmals juristische Personen in den Schutzumfang mit ein

Die Datenschutzrichtline 95/46/EG schreibt die Beschränkung des Schutzumfangs auf natürliche Personen gerade nicht vor, sondern hat in diesem Bereich den Mitgliedsstaaten der EU einen Handlungsspielraum gewährt, ob juristische Personen auch von den Datenschutzgesetzen umfasst werden sollen. Demgemäß haben Datenschutzgesetze anderer Länder (z.?B. Österreich, Dänemark, Luxemburg) juristische Personen in ihren Schutzbereich mit einbezogen (so im Übrigen auch die Schweiz). Der deutsche Gesetzgeber hat die juristischen Personen jedoch nicht in den Schutzumfang aufgenommen, so dass diese Bewertung im Rahmen der Datenschutzgesetze und auch bei einer Bestimmung deren Recht zur informationellen Selbstbestimmung beachtet werden muss.

Besonderer Datenschutz der juristischen Person nach dem Telekommunikationsgesetz

Während das BDSG nur für Einzelangaben natürlicher Personen anwendbar ist, weitet das Telekommunikationsgesetz (TKG) gemäß § 91 Abs. 1 TKG den Anwendungsbereich des Telekommunikationsdatenschutzes auf diese aus. Nach dieser Norm werden Einzelangaben über juristische Personen (z. B. AG und GmbH) und Personengesellschaften (z. B. OHG und KG) den Angaben über natürliche Personen gleichgestellt und vom TKG in dessen Abschnitt 2 geschützt. Daten, die durch das Fernmeldegeheimnis geschützt werden, beziehen sich insbesondere darauf, ob eine juristische Person an einem Telekommunikationsvorgang beteiligt ist oder war (Verbindungsdaten). In diesem Punkt genießen juristische Personen damit vollen Schutzumfang. Der Gesetzgeber hat damit einen besonderen Schutzumfang auch für juristische Personen in einem konkreten Punkt bestimmt.

Ende der Forderung nach einem „Personenbezug“ von Daten?

Auch auf dem Triberger Symposium klang in den Vorträgen von Herrn Peter Schaar und Herr Professor Bäcker an, dass die in § 3 Abs. 1 BDSG vorgenommene Definition von personenbezogenen Daten nicht mehr ausreichend Schutz bieten würde. Vielmehr war eine klare Tendenz zu erkennen, dass man für einen effektiven Datenschutz künftig die Ansammlung von Daten auch dann regulieren müsse, wenn es sich nicht um personenbezogene Daten handeln würde. Nach der momentanen gesetzlichen Gestaltung kann wie dargestellt aber nicht eine einfache Erweiterung und Ausweitung des Begriffes zu Gunsten der juristischen Personen angenommen werden.

Fazit

Daten juristischer Personen werden vom Anwendungsbereich der deutschen Datenschutzgesetze momentan weitestgehend ausgenommen, obwohl auch die Unternehmen grundsätzlich ein Interesse daran haben, datenschutzrechtlich Einfluss auf unternehmensbezogene Angaben zu nehmen. Bislang schützt das BDSG nur Angaben über natürliche Personen, wenngleich innerhalb Europas durchaus unterschiedliche Regelungskonzepte existieren. Insoweit ist auch die Tendenz in der aufsichtsbehördlichen und wissenschaftlichen Diskussion beachtlich, künftig gänzlich auf das Merkmal des Personenbezugs zu verzichten und damit juristische und natürliche Personen gleichermaßen zu schützen.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren