In der Datenschutz-Grundverordnung (DSGVO) finden sich verschiedene Betroffenenrechte, die für Personen gelten, deren personenbezogene Daten verarbeitet wurden. Zu diesen Rechten gehören beispielsweise das Widerspruchsrecht, das Recht auf Datenübertragbarkeit, das Auskunftsrecht und das Recht auf Löschung. Die Bestimmungen in den Artikeln 12 ff. der DSGVO sollen sicherstellen, dass betroffene Personen ihre Rechte einfacher wahrnehmen können und dass ihre Datensouveränität gewährleistet wird. Darüber hinaus sieht die DSGVO ein Recht auf Schadensersatz nach Art. 82 DSGVO vor.

Obwohl diese Rechte ausdrücklich formuliert sind, fällt auf, dass die DSGVO keinen expliziten Unterlassungsanspruch vorsieht. Die Rechtsprechung ist uneinheitlich, wenn es darum geht, ob ein datenschutzrechtlicher Unterlassungsanspruch für juristische Personen angenommen werden kann.

 

Das Wichtigste in Kürze

  • Juristischen Personen können grundsätzlich keine Betroffenenrechte geltend machen.
  • Das OLG Dresden wendet den Wortlaut von Art. 4 DSGVO und Erwägungsgrund 14 konsequent an.
  • Der Arbeitgeber kann auch nicht die Verletzung von Arbeitnehmerdaten gegenüber Dritte geltend machen.
  • Anderer Ansicht ist das Landesgericht Hamburg, welches den Standpunkt vertrat, dass juristische Personen Ansprüche aus der DSGVO herleiten können.

 

Urteil des Oberlandesgerichts Dresden

Im Urteil vom 14.03.2023 (Az. 4U 1377/22) entschied das Oberlandesgericht (OLG) Dresden, dass einer juristischen Person kein Unterlassungsanspruch nach der DSGVO zusteht.
Im vorliegenden Rechtsstreit hat die klagende GmbH auf der Grundlage datenschutzrechtlicher Vorschriften Ansprüche gegen die beklagte Gewerkschaft geltend gemacht, da diese Daten aus der Lohnbuchhaltung der Klägerin in einem anderen Verfahren als Beweismittel vorgelegt haben soll. Konkret geht es dabei um zwei E-Mails, aus denen sich unter anderem urlaubs- und krankheitsbedingte Fehlzeiten des Geschäftsführers und weiterer Mitarbeiter der Klägerin sowie Informationen über Prämien und den Stundenlohn eines Arbeitnehmers ergeben.

Das OLG Dresden hat in diesem Fall die Aktivlegitimation der Klägerin verneint. Das Gericht beruft sich dabei auf Art. 4 Nr. 1 DSGVO sowie den Erwägungsgrund 14 S. 2, aus denen hervorgeht, dass vom Schutzbereich nur personenbezogene Daten natürlicher Personen erfasst werden. Dementsprechend hat das Gericht Unterlassungsansprüche nach der DSGVO verneint und festgestellt, dass juristische Personen -wie die klagende GmbH – sich nicht auf die in der DSGVO enthaltenen Ansprüchen berufen können.

Aus dem Bundesdatenschutzgesetz (BDSG) ergeben sich laut dem Gericht ebenfalls keine Ansprüche.

Obwohl die Klägerin nach den Regelungen des BDSG verpflichtet ist die von ihr als Arbeitgeber erhobenen Daten ihrer Arbeitnehmer zu schützen, führt dieser Umstand nicht zu einem eigenen – im BDSG nicht geregelten – Anspruch der Klägerin als juristische Person gegen einen Dritten. Das BDSG bietet keine Grundlage für Ansprüche eines Arbeitgebers gegen private Dritte.

Die von der Klägerin geltend gemachten §§ 26, 42, 43 und 53 BDSG sind bereits tatbestandlich nicht einschlägig. § 26 BDSG schützt nicht die Klägerin als juristische Person, sondern die personenbezogenen Daten ihrer Beschäftigten und legt fest, zu welchen Zwecken die personenbezogenen Daten im Rahmen des Beschäftigungsverhältnisses verarbeitet werden dürfen. Die Vorschriften in den §§ 42 und 43 BDSG beinhalten Straf- und Bußgeldbestimmungen und dienen nicht als Schutzgesetz zugunsten der Klägerin. Des Weiteren regelt § 53 BDSG, dass die Personen, die mit der Verarbeitung von Daten betraut sind, diese nicht unbefugt verarbeiten dürfen. Hieraus folgt jedoch ebenfalls kein Anspruch eines Dritten, dessen Daten nicht unmittelbar betroffen sind.

Die Frage, ob sich etwas anderes ergibt, wenn unmittelbar auf juristische Personen bezogene Daten auch eine natürliche Person betreffen – wie beispielsweise bei einer Ein-Personen-GmbH – konnte in diesem Fall dahinstehen und wurde folglich vom Gericht nicht entschieden.

Auch ein Anspruch aus §§ 823 Abs. 2, 1004 Abs. 1 S. 2 BGB i.V.m. einem der Schutzgesetze aus Art. 6, 17 und 83 DSGVO komme in diesem Fall nicht in Betracht, da die mögliche Schutzwirkung der in Frage kommenden Schutzgesetze ebenfalls allein auf natürliche Personen bezogen sei.

 

Gegenteilige Ansicht des Landgerichts Hamburg

In einer Entscheidung vom 11.02.2020 (Az. 324 O 30/20) vertrat das Landgericht (LG) Hamburg in einem Fall bezüglich der Löschung von Unternehmensdaten auf einer privaten Informationswebsite einen anderen Standpunkt als das OLG Dresden. Die Klägerin, eine GmbH, war auf der Website der Beklagten mit ihren Unternehmensdaten gelistet, die diese aus öffentlichen Registern zusammengetragen hatte. Die Klägerin forderte die Löschung ihres Eintrags, da sie der Ansicht war, dass ihr auch als juristische Person ein Löschungsanspruch gemäß Art. 17 DSGVO zustehe. Das LG Hamburg bejahte, dass der Löschungsanspruch grundsätzlich auch von einer juristischen Person geltend gemacht werden könne.

Das Gericht wies darauf hin, dass die DSGVO grundsätzlich nur auf personenbezogene Daten anwendbar sei, also solche Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. In Erwägungsgrund 14 der DSGVO sei ausdrücklich festgehalten, dass die Verordnung nicht für die Verarbeitung personenbezogener Daten von juristischen Personen gelte. Allerdings eröffne die DSGVO den Anwendungsbereich grundsätzlich, wenn Informationen der juristischen Person sich auch auf die hinter dieser stehenden natürlichen Person beziehen. Dies sei insbesondere dann der Fall, wenn Daten der juristischen Person auch Auskunft über die für die handelnden natürlichen Personen geben, sei es unmittelbar oder mittelbar.

Im vorliegenden Rechtsstreit sei dies der Fall gewesen, da der Firmenname der Klägerin mit dem Familiennamen der Geschäftsführer und der Firmensitz mit deren Wohnsitz identisch sei. Trotzdem scheitere der Löschungsanspruch daran, dass die Verarbeitung der Firmendaten im Eintrag nicht unrechtmäßig im Sinne des Art. 17 Abs. 1 lit. d DSGVO erfolgt sei, da die besagten Daten öffentlich zugänglich gewesen waren. Das Gericht lehnte die Schutzbedürftigkeit der Klägerin und mithin die Klage ab.

 

Fazit und Kritik

Während das LG Hamburg davon ausging, dass juristische Personen der Geltendmachung von DSGVO-Betroffenenrechten aktivlegitimiert sein können, vertritt das OLG Dresden nun eine andere Auffassung, wobei die beiden Fälle auch unterschiedlich gelagert sind.

Gerade im Hinblick auf den Wortlaut des Art. 4 DSGVO und Erwägungsgrund 14 lässt sich daher festhalten, dass eine Geltendmachung von Betroffenenrechten grundsätzlich nur natürlichen Personen im Hinblick auf die ihnen zuordbaren personenbezogenen Daten zustehen. Auch die Verpflichtung des Arbeitgebers die personenbezogenen Daten seiner Arbeitnehmer zu schützen, führt nicht zu einem Anspruch des Arbeitgebers gegen einen Dritten, der den Datenschutz seiner Mitarbeiter verletzt.

Ob in Fällen, in denen hinter der juristischen Person ausschließlich eine eindeutig identifizierbare natürliche Person steht, nur die natürliche oder auch die juristische Person diese Ansprüche geltend machen kann, dürfte praktisch wenig bedeutsam sein. Insoweit die Ansicht des LG Hamburg darüber hinaus ging, lässt sich dies wohl kaum sinnvoll begründen, zumal man einem GmbH-Geschäftsführer etwa zumuten können wird seine Datenschutzrechte in eigenem Namen geltend zu machen. Hierauf sollte bei der Geltendmachung von Datenschutzrechten oder Auskunftsbegehren daher bereits von Beginn an geachtet werden.

 

„>

Kontakt aufnehmen