Mit stetig neuen Verfahren und Services, wie Facebook, Twitter und Co., die die Privatsphäre des Einzelnen immer mehr einschränken, drängt sich nicht zuletzt die die Frage nach dem Datenschutz auf. Das Recht auf informationelle Selbstbestimmung / Datenschutz dient dazu, dem Einzelnen die Möglichkeit zu geben, über seine eigenen (persönlichen) Daten und wie mit diesen zu verfahren ist, zu bestimmen. Informationen (spezifische Daten) werden jedoch nicht nur von natürlichen Personen (Menschen) erzeugt, sondern ebenso von öffentlichen Stellen, von juristischen Personen der öffentlichen Hand (z.B. Anstalten, Körperschaften des öffentlichen Rechts) und der Privatwirtschaft (Unternehmensformen, wie GmbH, AG, OHG, etc.). Diese Stellen haben, ebenso wie natürliche Personen, regelmäßig ein Interesse daran, dass ihre Daten den gleichen Schutz genießen.
Geltungsbereich der deutschen Datenschutzbestimmungen
Geregelt ist der Geltungsbereich der deutschen Datenschutzbestimmungen im § 1 des Bundesdatenschutzgesetztes (BDSG). Nach diesem werden personenbezogene Daten geschützt, welche in den weiteren Bestimmungen des § 3 Abs. 1 BDSG näher erläutert sind. Nach dieser Legaldefinition sind „personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“
So ergibt sich nach dem § 3 Abs. 1 BDSG eine Zuweisung des Schutzes personenbezogener Daten auf natürliche Personen. Hinter der Begrifflichkeit der natürlichen Person steckt das Rechtssubjekt Mensch, als Träger von Rechten und Pflichten. Rechtsubjekte, die ebenso Träger von Rechten und Pflichten sind, jedoch keine Menschen darstellen, z. B. Unternehmen, werden unter dem Begriff der juristischen Personen geführt und fallen nach dem Wortlaut des § 3 Abs. 1 BDSG nicht in den Schutzbereich des Bundesdatenschutzgesetzes.
Das Recht auf informationelle Selbstbestimmung
Es besteht jedoch das Recht auf informationelle Selbstbestimmung, welches sich aus den Artikeln 1 und 2 des Grundgesetzes ergibt. Dieser Schutz der informationellen Selbstbestimmung wird wiederum ausgeformt durch die deutschen Datenschutzbestimmungen. Die Datenschutzbestimmungen beziehen sich nach § 3 Abs. 1 BDSG jedoch nur auf natürliche Personen. Das impliziert, dass der deutsche Datenschutz, der durch das Grundgesetz konkretisiert wird, nur auf natürliche Personen Anwendung findet. Eine Anwendung auf juristische Personen ist jedoch nicht auszuschließen, da Art. 19 Abs. 3 GG eine Geltung der Grundrechte auch auf inländische juristische Personen ausweitet. Die Anwendung der Datenschutzbestimmungen auf juristische Personen kann folglich nicht direkt aus dem deutschen Datenschutzgesetz entnommen werden. Der Umweg der Ausweitung des Datenschutzes auf juristische Personen über das Grundgesetz könnte zielführend sein, da juristische Personen des öffentlichen Rechts (z.B. Anstalten, Stiftungen) wie auch des Privatrechtes (z.B. AG, GmbH) ein Interesse daran haben könnten, über ihre unternehmensbezogenen Daten selbst bestimmen zu können.
Datenschutz bei juristischen Personen – Träger der informationellen Selbstbestimmung
Das Oberlandesgericht Niedersachsen hat in seiner Entscheidung 10 ME 385/08 v. 15.05.2009 festgestellt, dass juristische Personen auch Träger informationeller Selbstbestimmung sein können. Dies soll sich aus dem Teilbereich des Persönlichkeitsrechts erschließen, welches juristische Personen innehaben, jedoch sei die Schutzschwelle sehr hoch anzusetzen und daher nicht immer gegeben. Die besagte Schutzschwelle ist erreicht, wenn ein starker Bezug von der natürlichen Person zu der juristischen Person vorliegt, was im folgenden Abschnitt näher erläutert wird.
Datenschutzrechtlicher Schutz der Mitglieder
Eine juristische Person agiert an sich nicht, sondern die dahinterstehenden natürlichen Personen (z.B. Geschäftsführer, Angestellte etc.). Aus diesem Grund wäre eine Ausweitung des Datenschutzes auf die juristische Person denkbar. Wie bereits festgestellt, fallen nur natürliche Personen unter den Geltungsbereich des deutschen Datenschutzes, allerdings kann der Schutz nicht direkt aus der Konstellation „natürliche Person agiert für juristische Person“ entnommen werden. Der Schutz erstreckt sich lediglich auf Belange der natürlichen Person. Die Daten der juristischen Person müssen somit einen unmittelbaren Bezug zu der natürlichen Person aufweisen, um in den Schutzbereich des deutschen Datenschutzes zu gelangen. Somit fallen beispielsweise Angaben über Beschäftigte, die in einem Unternehmen agieren („Der Geschäftsführer Max Mustermann ist seit 2007 zum Geschäftsführer berufen worden.“), oder Angaben über die Gesellschafter des Unternehmens („Der Gesellschafter X ist Wohnhaft in Stadt Y.“), in den Schutzbereich des deutschen Datenschutzrechtes, allerdings bestehen hier regelmäßig Sondersituationen, da z. B. der Name des Geschäftsführers einer Veröffentlichungspflicht unterliegt.
Anwendbarkeit der Datenschutzgesetze auf Ein-Mann-GmbH und Einzelfirma
Ebenso kann eine Unternehmensbezeichnung unter den Schutzbereich des deutschen Datenschutzgesetzes fallen, indem sie ein personenbezogenes Datum nach dem § 3 Abs. 1 BDSG bildet. Ein solcher Zustand liegt nach der Erklärung des Verwaltungsgerichts Wiesbaden vom 07.12.2007 im Verfahren Az. 6E 928/07 vor, sofern die dahinter agierende natürliche Person Alleinaktionär oder Gesellschafter ist. Diese personelle und finanzielle Verflechtung muss dabei eine so starke Bindung aufweisen, dass die Aktivitäten des Unternehmens direkt der dahinter agierenden natürlichen Person zugewiesen werden kann. Eine solche finanzielle und personelle Verflechtung tritt vermehrt bei Ein-Mann-GmbHs und Einzelfirmen auf. Der Europäische Gerichtshof (EuGH) bestätigte den vom Verfassungsrecht Wiesbaden dargelegten Schutzumfang in dem Urteil vom 9. November 2016, Az. C 92/09 und 93/09, Rz. 54, jedoch besteht nach der Ansicht des Europäischen Gerichtshofes keine Gleichwertigkeit von personenbezogenen Daten und der Daten der juristischen Person.
Differenzierte Betrachtungsweisen des Geltungsbereiches in Nachbarländern
Eine strikte Zuweisung des datenschutzrechtlichen Geltungsbereiches nur auf natürliche Personen, ist jedoch nicht aus der RL 95/46/EG zu entnehmen. Dies gab den Mitgliedstaaten der EU einen Handlungsspielraum, die darin enthaltenen Vorgaben in eigenes Recht umzusetzen. Aus diesem Grund besteht in einigen EU-Ländern (z.B. Österreich, Luxemburg, Dänemark) auch für juristische Personen die Anwendungsmöglichkeit der Datenschutznormen. Der deutsche Gesetzgeber hat die Anwendung der datenschutzrechtlichen Regelungen jedoch auf natürliche Personen beschränkt. Eine Ausnahme von dieser Regelung besteht lediglich dann, wenn ein starker Personenbezug vorliegt, wie bei Ein-Mann-GmbHs und Einzelfirmen, der den Anwendungsbereich des deutschen Datenschutzrechtes auf juristische Personen ausweitet.
Regelungen im Telekommunikationsgesetz (TKG)
Während das Bundesdatenschutzgesetz (BDSG) lediglich auf natürliche Personen anzuwenden ist, erstreckt sich der Anwendungsbereich des Telekommunikationsgesetzes (TKG) auch auf juristische Personen (§ 91 Abs. 1 TKG). Nach diesem werden Daten von juristischen Personen (z.B. AG) oder Personengesellschaften (z.B. OHG) denen von natürlichen Personen gleichgestellt und nach Abschnitt 2 des TKG geschützt. Nach diesem erstreckt sich der Schutzbereich des Telekommunikationsgesetzes auch auf Daten, welche beim Telekommunikationsvorgang von juristischen Personen erzeugt werden oder wurden (Verbindungsdaten).
Anpassung des Geltungsbereiches durch die EU-DSGVO
Mit der Einführung der Europäischen Datenschutzgrundverordnung ist mit einigen Änderungen zu rechnen. Die Verordnung, die 2016 verabschiedet wurde und ab 2018 in allen Mitgliedstaaten der EU gelten soll, hat einen klaren Duktus in Bezug auf den Schutzumfang. Demnach enthält die Europäische Datenschutzverordnung nach Art. 1 DSGVO Vorschriften zum Schutz natürlicher Personen. Ein vollkommener Ausschluss der Anwendung des Datenschutzes für juristische Personen ist fraglich, da die derzeitige Rechtsprechung unter bestimmten Vorrausetzungen den Datenschutzbereich auch auf juristische Personen ausweitet.
Fazit
Die europäische Grundverordnung vereinheitlicht in Europa den Schutzbereich des Datenschutzrechtes und weist diesen nur natürlichen Personen zu. Für Länder außerhalb der EU (z.B. Schweiz) kann ein Schutz der juristischen Person in datenschutzrechtlichen Belangen bestehen. Die Beschränkung des Datenschutzbereiches auf natürliche Personen ist indes nicht fesselndes Paradigma, da derzeit eine richterliche Ausformung des Gesetzes besteht, welches einen Bezug des Datenschutzes auf juristische Personen unter bestimmten Voraussetzungen (Ein-Mann-GmbH und Einzelfirmen) nicht vollkommen ausschließt. Inwiefern sich dies durch die Einführung der Europäischen Datenschutzgrundverordnung im Jahr 2018 ändern wird, bleibt abzuwarten.
Es ist daher ratsam, sich kompetente Unterstützung im Bereich des Datenschutzes einzuholen, um einen Überblick über datenschutzrechtliche Themenbereiche zu bekommen und einer möglichen Haftung wegen Missachtung oder inkorrekter Anwendung des Datenschutzrechts entgegenzuwirken.