Kein Schutz von Daten juristischer Personen nach der DSGVO
Just während sich die Unternehmen in der heißen Phase der Vorbereitung der Umsetzung der ab 25.5.2018 anwendbaren DSGVO befinden, gibt es aktuell Aufregung um die Frage, welche Daten überhaupt geschützt sind: Während das alte österreichische Datenschutzregime bis zum Inkrafttreten der DSGVO die Daten natürlicher und juristischer Personen unterschiedslos erfasst, behandelt die DSGVO wie berichtet rein Daten natürlicher Personen. Damit würde das österreichische Spezifikum, dass auch Daten von Unternehmen dem strengen Datenschutz unterliegen, entfallen. Die Erleichterung über diesen Umstand war in Österreich sehr groß, da im internationalen Vergleich die schärferen Bestimmungen oftmals ein Hemmschuh ohne Zusatznutzen waren: So war es angesichts der zahlreichen Veröffentlichungspflichten von Unternehmenskennzahlen überhaupt fraglich, an welchen Daten ein schutzwürdiges Geheimhaltungsinteresse bestehen kann. Dort, wo Unternehmen regelmäßig ein Schutzinteresse haben – nämlich Know-How – liegt in der Regel kein personenbezogenes Datum im Sinne des DSG vor. Dem berechtigten Geheimhaltungsinteresse an diesen Informationen wird zukünftig durch eine eigene, darauf zugeschnittene Richtlinie, nämlich die bis 9.6.2018 umzusetzende Geheimnisschutzrichtlinie, genüge getan. Damit besteht auch faktisch kein Bedarf an einem strengen Datenschutz für Daten juristischer Personen.
Durch eine Posse rund um die Erlassung des österreichischen Datenschutzgesetzes 2018, mit dem einerseits diverse Öffnungsklauseln der DSGVO umgesetzt und andererseits der nationale Rechtsrahmen an die neuen europäischen Vorgaben angepasst werden sollte, erhält die neue Struktur des Daten- und Geheimnisschutzes allerdings Risse: Der ursprüngliche Entwurf des DSG Neu sah eine komplette Neufassung des Gesetzes vor, bei der § 1 DSG 2000 – das Grundrecht auf Datenschutz – auf natürliche Personen eingeschränkt werden sollte. Wegen dem jähen Ende der alten Koalition konnte dieses Gesetz wie berichtet (siehe hier) mangels Verfassungsmehrheit so nicht umgesetzt werden. Stattdessen wurden mit der Novelle nur die einfachgesetzlich abänderbaren Bestimmungen des alten DSG 2000 angepasst. Das Grundrech auf Datenschutz wurde nicht angefasst und verblieb in seiner bisherigen Formulierung als Recht für Jedermann – und damit auch juristische Personen – aufrecht. In einer sich wie ein Lauffeuer verbreitenden, informellen Einschätzung des Verfassungsdienstes leitet dieser nun daraus ab, dass das einfachgesetzliche Datenschutzregime auch zukünftig voll umfänglich auf Daten juristischer Personen anwendbar sein solle. Das ist freilich unrichtig:
Das DSG neu ordnet in keiner Bestimmung die Anwendung der DSGVO oder der einfachgesetzlichen Bestimmungen des DSG 2018 auf die Daten juristischer Personen an. Das wäre für die Ausdehnung des Schutzes aber erforderlich gewesen. Im Gegenteil hat der Gesetzgeber zum Ausdruck gebracht, rein die notwendigen Umsetzungsmaßnahmen für die DSGVO mit ihrem eingeschränkten Geltungsbereich setzen zu wollen. Zu guter Letzt ist der historische Wille des Gesetzgebers auf Einschränkung des Schutzes durch den ursprünglichen, rein an den realpolitischen Gegebenheiten gescheiterten Versuch der Einschränkung sogar des Grundrechts auf Datenschutz auf natürliche Personen belegt. Aus der rein faktischen, der realpolitischen Situation geschuldeten Aufrechterhaltung des weiteren Grundrechts auf Datenschutz kann daher nicht auch auf eine – analoge – Anwendung der strengeren Bestimmungen der DSGVO auf Daten juristischer Personen abgeleitet werden. Bei den Strafbestimmungen wäre eine solche Ausdehnung sogar verfassungsrechtlich unmöglich.
Freilich entfaltet der noch im Gesetz verbliebene Grundrechtsschutz eine eingeschränkte Wirkung in Form eines Datenschutz „light“ für Daten juristischer Personen: Bei tatsächlich vorliegendem schutzwürdigem Geheimhaltungsinteresse ist ihre Verarbeitung nur unter den in § 1 DSG genannten Zulässigkeitsvoraussetzungen wie Vorliegen eines überwiegenden berechtigten Interesses, einer gesetzlichen Grundlage oder Einwilligung der juristischen Person zulässig. Auch stehen juristischen Personen die grundlegenden Betroffenenrechte zu. Die wesentlich weitergehenden Bestimmungen der DSGVO, wie die Pflicht zur Führung des Verarbeitungsverzeichnisses, die Datenschutz-Folgeabschätzung oder Melde- und Informationspflichten sind auf die Daten juristischer Personen dagegen nicht anwendbar, ebenso wenig wie juristische Personen die nach der DSGVO weitergehenden Betroffenenrechte ausüben können. Damit bleibt es trotz der realpolitischen Panne bei einer wesentlichen Erleichterung bei der Verarbeitung von Daten juristischer Personen und müssen diese bei den umfangreichen DSGVO-Projekten nicht auch noch berücksichtigt werden. Angesichts der Komplexität der Zusammenhänge und der dadurch aufgetretenen Verunsicherung bleibt aber zu hoffen, dass der Gesetzgeber nun rasch eingreift und dieses Thema auch legistisch sauber saniert.
30.1.2018
Autoren: Dr. Axel Anderl, LL.M.
MMag. Dr. Felix Hörlsberger
Mag. Nino Tlapak, LL.M.
Mag. Dominik Schelling
DORDA Rechtsanwälte GmbH / www.dorda.at