Direkt zum Inhalt wechseln

Die Veröffentlichung von Informationen kann unangenehme Folgen haben und nicht erwünscht sein. Dies gilt sowohl für Menschen, als auch für juristische Personen. Doch während personenbezogene Daten natürlicher Personen umfassenden Schutz durch die DSGVO genießen, existieren auf europäischer sowie zumeist auch auf nationaler Ebene keine vergleichbaren Bestimmungen für personenbezogene Daten juristischer Personen.

 

Autor: Dr. Claudio ARTURO

Petsch Frosch Klein Arturo Rechtsanwälte
A-1010 Wien, Esslinggasse 5
Telefon: +43 1 586 21 80
Telefax: +43 1 586 22 35

http://www.pfka.eu

______________________________________________________________________

Das österreichische Datenschutzrecht stellt in diesem Sinne ein europäisches Spezifikum dar. Denn hierzulande wird schon seit geraumer Zeit nicht nur der natürlichen Person, sondern auch der juristischen ein Grundrecht auf Datenschutz eingeräumt. Dieser Umstand wurde jedoch im internationalen Vergleich eher als belastend denn als nützlich empfunden, sodass in regelmäßigen Abständen rechtspolitische Bestrebungen eine Änderung dieser Regelung in Angriff nahmen.

DAS PROBLEM

Der österreichische Gesetzgeber ging in Umsetzung der EU-Datenschutzrichtlinie 94/46/EG über deren vorgesehenen Anwendungsbereich hinaus und veranlasste im DSGs 2000 („Bundesgesetz über den Schutz personenbezogener Daten“) ein Grundrecht auf Datenschutz für „Jedermann“. In diesem Sinne und nach österreichischem Verständnis sollte demnach nicht nur natürlichen, sondern auch juristischen Personen ein im Verfassungsrang stehendes Recht auf Geheimhaltung, Auskunft, Richtigstellung und Löschung ihrer personenbezogenen Daten zustehen.

Die darauffolgende DSGVO stand demgegenüber mit ihrem lediglich auf natürliche Personen eingeschränkten Anwendungsbereich in einem offenen Widerspruch zur österreichischen Rechtslage. Im Bemühen um eine Vollharmonisierung und zur Umsetzung diverser Öffnungsklauseln der DSGVO, sollte im Jahr 2017 der nationale Rechtsrahmen an die neuen europäischen Vorgaben angepasst werden. Dementsprechend sah der erste Ministerialentwurf zur Neufassung des österreichischen Datenschutzgesetzes (DSG) in seinem § 1 die Abschaffung des darin statuierten Grundrechts auf Datenschutz für Jedermann vor. Anstatt diesem sollte ausschließlich natürlichen Personen ein umfassender Rechtsschutz zukommen.

Aufgrund des jähen Endes der damaligen Bundesregierung war der große Wurf aus realpolitischen Gründen allerdings nicht mehr möglich, sodass der im Verfassungsrang stehende § 1 DSG aufgrund der fehlenden Verfassungsmehrheit unverändert rezipiert wurde. Die geplante politische Stoßrichtung war dennoch klar.

In der Folge wurden mit der Novelle lediglich die einfachgesetzlichen Bestimmungen des Datenschutzgesetzes umgeformt. Dementsprechend sah § 4 Abs 1 DSG ab diesem Zeitpunkt die Geltung der Bestimmungen der DSGVO und des DSG lediglich für die Verarbeitung von Daten natürlicher Personen vor. Dem Willen des Gesetzgebers folgend, sind also die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 an die österreichische Datenschutzbehörde, auf den Schutz natürlicher Personen beschränkt. Um keine weiteren Zweifel über seine Absichten aufkommen zu lassen, ergänzte der Gesetzgeber zudem den Langtitel des Gesetzes, welcher von nun an lautete: „Bundesgesetz zum Schutz personenbezogener Daten natürlicher Personen“. Deutlicher lässt sich politischer Willen wohl kaum ausdrücken.

Aufgrund dieses offen zu Tage tretenden Widerspruchs entbrannte in der Folge eine Debatte. Die Frage war insbesondere, ob sich juristische Personen auf die Rechte nach dem DSG berufen und diese auch durchsetzen können, obwohl sie explizit aus deren Anwendungsbereichen ausgenommen wurden und ihnen in diesem Sinn kein Zugang zum Beschwerdeverfahren vor der Datenschutzbehörde offensteht.

DIE ENTSCHEIDUNG

In ihrer rezenten, rechtskräftigen Entscheidung (GZ: 2020-0.191.240) musste sich die österreichische Datenschutzbehörde mit genau dieser Frage auseinanderzusetzen. In dem ihrer Entscheidung zugrundeliegenden Sachverhalt erachtete sich eine juristische Person als Beschwerdeführerin durch rechtswidrige Erhebung, Verarbeitung und Offenlegung ihrer personenbezogenen Daten durch das Bundesamt für Sicherheit im Gesundheitswesen in ihrem Recht auf Geheimhaltung personenbezogener Daten gemäß § 1 Abs 1 DSG verletzt. Das Bundesamt bestritt demgegenüber die Beschwerdelegitimation der juristischen Person, da die einfachgesetzlichen Bestimmungen des DSG nur auf den Rechtsschutz natürlicher Personen beschränkt seien.

In ihrer Begründung bestätigte die Datenschutzbehörde zunächst, dass der Adressat des § 1 DSG grundsätzlich „Jedermann“ ist, und somit nebst natürlichen Personen auch juristische von seinem Schutzbereich umfasst werden. Ein solcher über die DSGVO hinausgehender subjektiver Anwendungsbereich kann von den Mitgliedstaaten grundsätzlich vorgesehen werden, sofern dadurch weder Vorrang, Einheit und Wirksamkeit des Unionsrechts beeinträchtigt wird. Juristische Personen können sich also nach wie vor auf das ihnen gewährte Grundrecht auf Datenschutz berufen.

Zur spannenderen, weil bisher in dieser Genauigkeit noch nicht herausgearbeiteten Frage, ob juristische Personen sich auf die einfachgesetzlichen Durchführungsbestimmungen der DSG berufen können (und ihnen somit etwa das Beschwerdeverfahren nach § 24 DSG offensteht), hielt die Datenschutzbehörde zunächst fest, dass diese nach dem erkennbaren Willen des Gesetzgebers auf den Schutz natürlicher Personen beschränkt sind. Allerdings sei auch der Schutzbereich des § 1 DSG zu berücksichtigen: Eine Auslegung dieser Bestimmungen dahingehend

nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln zu wollen als natürliche Personen.“

Die Beschwerde sei also zulässig. In der Sache selbst folgte die Datenschutzbehörde nicht der Ansicht der Beschwerdeführerin und wies die Beschwerde als unbegründet ab.

CONCLUSIO

In diesem Sinne bestätigte die Datenschutzbehörde die Beschwerdelegitimation juristischer Personen vor der Datenschutzbehörde, sofern diese eine Verletzung der ihnen durch § 1 DSG eingeräumten Rechte behaupten. Dadurch konnte Klarheit darüber erzielt werden, dass in Österreich nach wie vor (und entgegen des politischen Willens) ein Grundrecht auf Datenschutz für juristische Personen besteht und die zur Durchsetzung dieser Rechte vorgesehenen Verfahrensbestimmungen zugunsten juristischer Personen auszulegen sind.

Für die Praxis ist bedeutend, dass sich juristische Personen in Österreich ebenso wie natürliche Personen auf ein Grundrecht auf Datenschutz berufen können. Insofern ist die Verarbeitung der Daten im Falle eines schutzwürdigen Interesses nur unter den in § 1 DSG genannten Voraussetzungen, wie zur Wahrung überwiegender berechtigter Interessen eines anderen oder im Fall der Einwilligung der juristischen Person zulässig. Auf die grundlegenden Rechte für Betroffene können sie sich ebenso berufen.

Andererseits sind die bedeutend weitergehenden Bestimmungen der DSGVO (beispielsweise die Pflicht zur Führung eines Verarbeitungsverzeichnisses, Melde- und Informationspflichten) ausschließlich auf Daten natürlicher Personen anwendbar. Die nach der DSGVO vorgesehenen Betroffenenrechte können juristische Personen ebenso wenig ausüben.

Insofern bleibt es trotz der beschriebenen realpolitischen Posse bei der beträchtlichen Erleichterung bei der Verarbeitung von Daten juristischer Personen. Diese müssen also bei den umfangreichen DSGVO-Projekten nicht auch noch berücksichtigt werden.