GmbHs oder Vereine genießen nach der DSGVO kein Recht auf
Datenschutz. Vom Anwendungsbereich des erhalten gebliebenen Grundrechtes
nach § 1 DSG sehen weite Teile der Literatur jedoch auch juristische
Personen umfasst. Auch erste Entscheidungen der Datenschutzbehörde (DSB)
zur Reichweite von § 1 DSG gehen in diese Richtung.
DSG 2000: ein „Jedermannsrecht“
Auch wenn die EU‑Datenschutzrichtlinie (95/46/EG) als Vorgängerin der DSGVO keinen Schutz von personenbezogenen Daten juristischer Personen vorsah, galt in der österreichischen Umsetzung nach dem „Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000)“ als datenschutzrechtlich „Betroffener“ neben einer natürlichen Person ausdrücklich auch eine juristische Person oder Personengemeinschaft, deren Daten verwendet werden.
Auch § 1 DSG 2000, das Grundrecht auf Datenschutz, bezog nach österreichischem Verständnis juristische Personen als Grundrechtsträger mit ein (so etwa Lehner/Lachmayer, Datenschutz im Verfassungsrecht, in: Bauer/Reimer (Hrsg), Handbuch Datenschutzrecht, 97f) und gewährte neben dem Recht auf Geheimhaltung auch die Rechte auf Auskunft, Richtigstellung und Löschung, diese „jeweils nach Maßgabe gesetzlicher Bestimmungen“.
Die DSGVO, die „Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr
und zur Aufhebung der Richtlinie 95/46/EG“, schließt hingegen schon
nach ihrem Titel nur natürliche Personen in ihren Schutzbereich ein.
Dieser personell eingeschränkte Anwendungsbereich setzt sich in Art 1
DSGVO (Gegenstand und Ziele) fort und ergibt sich auch aus der
Definition der personenbezogenen Daten in der DSGVO, wonach lediglich
eine „identifizierte oder identifizierbare natürliche Person“ als „betroffene Person“ bezeichnet wird.
Umfassende Novellierung des DSG 2000
Im Hinblick auf die Geltung der (unmittelbar anzuwendenden) DSGVO
sollte im Jahr 2017 auch das DSG 2000 umfassend überarbeitet und § 1 DSG
2000 entsprechend der Textierung der DSGVO auf natürliche Personen
eingeschränkt werden (RV 1664 BlgNR 25. GP, 1ff): Als Datenschutz-Anpassungsgesetz 2018 (BGBl I, Nr 120/2017)
wurde die Novelle aber schließlich ohne Änderung der
Verfassungsbestimmungen beschlossen, weswegen die §§ 1 bis 3 DSG 2000
unangetastet blieben. Immerhin wurde das DSG 2000 aber umbenannt in das „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“.
Ein zweiter Versuch, das Grundrecht auf Datenschutz auf natürliche
Personen zu beschränken, wurde per Initiativantrag im Frühjahr 2018
vorgenommen (IA 189/A BlgNR 26.GP): Auch mit dieser als Datenschutz-Deregulierungs-Gesetz 2018 (BGBl I, Nr 24/2018) beschlossenen Novelle erfolgte jedoch letztlich keine Änderung der Verfassungsbestimmungen.
Nach In-Kraft-Treten des neuen DSG erfolgte ein dritter Novellierungsversuch, diesmal wieder per Regierungsvorlage (RV 301 BlgNR 26. GP); er brachte aber dann lediglich einen Entfall der §§ 2 und 3 DSG (BGBl I, Nr 14/2019). Zu einer Beschränkung des Schutzes des § 1 DSG auf natürliche Personen kam es abermals nicht.
In drei Anläufen konnte somit eine Novellierung des Grundrechts auf Datenschutz nicht erzielt werden (Vgl Schmidl, Das Grundrecht auf Datenschutz im Lichte der Datenschutz-Grundverordnung, AnwBl 03_2019, 133ff).
Breite Meinungsvielfalt zur Reichweite von § 1 DSG
Bereits nach Beschließen des Datenschutz-Anpassungsgesetzes 2018
wurde die Frage nach der (verbliebenen) Anwendbarkeit von § 1 DSG auf
juristische Personen diskutiert. Riedl etwa war in einem Interview der Meinung, dass diese weiterhin vom Grundrecht auf Datenschutz erfasst seien (Knyrim/Maurer, Der Datenschutz für die juristische Person bleibt bestehen, Dako 2017, 74ff). Dieser Meinung schloss sich später auch Kriegner an (Kriegner, Anmerkungen zu § 1 DSG nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), wbl 2019, 79).
Differenziert betrachtet dies Dopplinger, dem zufolge das
Grundrecht auf Datenschutz nach § 1 DSG juristischen Personen zwar
zukommen soll, es aber fraglich sei, ob diese legitimiert sind, eine
Beschwerde an die Datenschutzbehörde zu erheben; dies mit dem Argument,
dass mit dem Datenschutz-Deregulierungs-Gesetz 2018 der gesamte
einfachgesetzliche Teil des DSG auf den Schutz natürlicher Personen
beschränkt werden sollte, was aber wiederum verfassungsrechtlich
problematisch sei (Vgl Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG, 56ff; ähnlich Lachmayer in Knyrim, DatKomm, Art 1 DSGVO (Stand: 1.12.2018), rdb.at, Rz 78ff).
Leissler hingegen gelangt zur Auffassung, dass die Rechte auf Auskunft, Richtigstellung oder Löschung juristischen Personen nicht zukämen, auch ein datenschutzrechtlicher Geheimnisschutz sei für juristische Personendaten nicht mehr anzunehmen: Begründet wurde dies damit, dass durch den Wegfall der einfachgesetzlichen Begriffsdefinitionen des DSG 2000 die bisher darauf aufbauende Argumentation zum Grundrechtsschutz juristischer Personen weggefallen sei und der Ausführungsvorbehalt von § 1 Abs 3 DSG nur noch hinsichtlich natürlicher Personen bestehe.
Aufgrund der Erläuterungen zum ursprünglichen Entwurf des DSG habe der Gesetzgeber auch zum Ausdruck gebracht, den Grundrechtsschutz auf natürliche Personen einzuschränken (Leissler, Datenschutz für juristische Personen – Ein Blick in die Zukunft, ecolex 2017, 1222).
DSB: § 1 DSG berechtigt grundsätzlich auch juristische Personen
In einer Beschwerde an die DSB (DSB-D216.713/0006-DSB/2018) monierte eine juristische Person als Beschwerdeführerin eine Verletzung im Recht auf Geheimhaltung, gestützt auf § 1 DSG. Der DSB zufolge sei in verfassungskonformer Interpretation davon auszugehen, dass die in § 1 DSG normierten Rechte auch juristischen Personen zukommen.
Dennoch wurde die Beschwerde mit einer anderen Begründung mit Bescheid vom 13.9.2018 abgewiesen, nämlich damit, dass im zugrunde liegenden Sachverhalt – es ging um eine angeblich unzulässige Videoüberwachung – gar keine personenbezogenen Daten der Beschwerdeführerin verarbeitet wurden.
Auch der rechtskräftigen Entscheidung der (DSB) vom 19.7.2018 (DSB-D123.089/0002-DSB/2018) war die Beschwerde einer juristischen Person, einer GmbH, wegen Verletzung im Recht auf Löschung personenbezogener Daten zugrunde gelegen.
Da sich der Anwendungsbereich der DSGVO auf den Schutz natürlicher Personen erschöpft, prüfte die DSB § 1 Abs 3 DSG, der „jedermann“ nach Maßgabe gesetzlicher Bestimmungen ein Recht auf Löschung unzulässigerweise verarbeiteter Daten gewährt: Das DSG selbst enthalte jedoch keine solchen entsprechenden Bestimmungen, stattdessen sei hier wieder die (unmittelbar anzuwendende) DSGVO zu berücksichtigen, die aber eben von vorn herein keine Beschwerdemöglichkeit für juristische Personen vorsieht.
Die Beschwerde wurde daher zurückgewiesen, wobei es sich um einen grenzüberschreitenden Fall gehandelt hatte; in solchen Fällen sei die Berufung einer juristischen Person auf § 1 DSG nicht möglich (Schmidl, Grundrecht, AnwBl 03_2019, 133ff), sondern nur in nationalen Konstellationen, also wenn Beschwerdeführer und Beschwerdegegner in Österreich seien und die DSB alleine für das Verfahren zuständig sei (Schmidl, Die DSGVO in der Spruchpraxis der Datenschutzbehörde, VbR 2019, 44). Zwar sah die DSB in einem anderen Fall (DSB-D130.033/0003-DSB/2019) eine Beschwerdemöglichkeit auf Basis von § 1 Abs 1 DSG auch bei internationalen Sachverhalten als gegeben an; dabei ging es jedoch um die Beschwerde einer natürlichen Person.
Conclusio
Dass der im Verfassungsrang stehende § 1 DSG nicht – wie eigentlich beabsichtigt – ausdrücklich auf den Schutz natürlicher Personen eingeschränkt wurde, ist der Nichterreichung der dafür erforderlichen Verfassungsmehrheit im Nationalrat zuzuschreiben.
Entsprechend wird das Grundrecht auf Datenschutz (nicht zuletzt durch die DSB) auch nach Geltung der DSGVO in eine Weise ausgelegt, dass auch juristischen Personen das Recht auf Geheimhaltung ihrer personenbezogenen Daten bzw auf Auskunft, Richtigstellung und Löschung zukommt. Ob vor dem Hintergrund der Schlagrichtung der (nur in Bezug auf den Schutz personenbezogener Daten natürlicher Personen anwendbaren) DSGVO mit ihren hohen Strafdrohungen dem Datenschutzrecht für juristische Personen nach österreichischer Prägung jedoch große praktische Bedeutung zukommen wird, ist eher zu bezweifeln.
GmbHs oder Vereine genießen nach der DSGVO kein Recht auf Datenschutz. Vom Anwendungsbereich des erhalten gebliebenen Grundrechtes nach § 1 DSG sehen weite Teile der Literatur jedoch auch juristische Personen umfasst. Auch erste Entscheidungen der Datenschutzbehörde (DSB) zur Reichweite von § 1 DSG gehen in diese Richtung.
DSG 2000: ein „Jedermannsrecht“
Auch wenn die EU‑Datenschutzrichtlinie (95/46/EG) als Vorgängerin der DSGVO keinen Schutz von personenbezogenen Daten juristischer Personen vorsah, galt in der österreichischen Umsetzung nach dem „Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000)“ als datenschutzrechtlich „Betroffener“ neben einer natürlichen Person ausdrücklich auch eine juristische Person oder Personengemeinschaft, deren Daten verwendet werden.
Auch § 1 DSG 2000, das Grundrecht auf Datenschutz, bezog nach österreichischem Verständnis juristische Personen als Grundrechtsträger mit ein (so etwa Lehner/Lachmayer, Datenschutz im Verfassungsrecht, in: Bauer/Reimer (Hrsg), Handbuch Datenschutzrecht, 97f) und gewährte neben dem Recht auf Geheimhaltung auch die Rechte auf Auskunft, Richtigstellung und Löschung, diese „jeweils nach Maßgabe gesetzlicher Bestimmungen“.
Die DSGVO, die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, schließt hingegen schon nach ihrem Titel nur natürliche Personen in ihren Schutzbereich ein. Dieser personell eingeschränkte Anwendungsbereich setzt sich in Art 1 DSGVO (Gegenstand und Ziele) fort und ergibt sich auch aus der Definition der personenbezogenen Daten in der DSGVO, wonach lediglich eine „identifizierte oder identifizierbare natürliche Person“ als „betroffene Person“ bezeichnet wird.
Umfassende Novellierung des DSG 2000
Im Hinblick auf die Geltung der (unmittelbar anzuwendenden) DSGVO sollte im Jahr 2017 auch das DSG 2000 umfassend überarbeitet und § 1 DSG 2000 entsprechend der Textierung der DSGVO auf natürliche Personen eingeschränkt werden (RV 1664 BlgNR 25. GP, 1ff): Als Datenschutz-Anpassungsgesetz 2018 (BGBl I, Nr 120/2017) wurde die Novelle aber schließlich ohne Änderung der Verfassungsbestimmungen beschlossen, weswegen die §§ 1 bis 3 DSG 2000 unangetastet blieben. Immerhin wurde das DSG 2000 aber umbenannt in das „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“.
Ein zweiter Versuch, das Grundrecht auf Datenschutz auf natürliche Personen zu beschränken, wurde per Initiativantrag im Frühjahr 2018 vorgenommen (IA 189/A BlgNR 26.GP): Auch mit dieser als Datenschutz-Deregulierungs-Gesetz 2018 (BGBl I, Nr 24/2018) beschlossenen Novelle erfolgte jedoch letztlich keine Änderung der Verfassungsbestimmungen.
Nach In-Kraft-Treten des neuen DSG erfolgte ein dritter Novellierungsversuch, diesmal wieder per Regierungsvorlage (RV 301 BlgNR 26. GP); er brachte aber dann lediglich einen Entfall der §§ 2 und 3 DSG (BGBl I, Nr 14/2019). Zu einer Beschränkung des Schutzes des § 1 DSG auf natürliche Personen kam es abermals nicht.
In drei Anläufen konnte somit eine Novellierung des Grundrechts auf Datenschutz nicht erzielt werden (Vgl Schmidl, Das Grundrecht auf Datenschutz im Lichte der Datenschutz-Grundverordnung, AnwBl 03_2019, 133ff).
Breite Meinungsvielfalt zur Reichweite von § 1 DSG
Bereits nach Beschließen des Datenschutz-Anpassungsgesetzes 2018 wurde die Frage nach der (verbliebenen) Anwendbarkeit von § 1 DSG auf juristische Personen diskutiert. Riedl etwa war in einem Interview der Meinung, dass diese weiterhin vom Grundrecht auf Datenschutz erfasst seien (Knyrim/Maurer, Der Datenschutz für die juristische Person bleibt bestehen, Dako 2017, 74ff). Dieser Meinung schloss sich später auch Kriegner an (Kriegner, Anmerkungen zu § 1 DSG nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), wbl 2019, 79).
Differenziert betrachtet dies Dopplinger, dem zufolge das Grundrecht auf Datenschutz nach § 1 DSG juristischen Personen zwar zukommen soll, es aber fraglich sei, ob diese legitimiert sind, eine Beschwerde an die Datenschutzbehörde zu erheben; dies mit dem Argument, dass mit dem Datenschutz-Deregulierungs-Gesetz 2018 der gesamte einfachgesetzliche Teil des DSG auf den Schutz natürlicher Personen beschränkt werden sollte, was aber wiederum verfassungsrechtlich problematisch sei (Vgl Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG, 56ff; ähnlich Lachmayer in Knyrim, DatKomm, Art 1 DSGVO (Stand: 1.12.2018), rdb.at, Rz 78ff).
Leissler hingegen gelangt zur Auffassung, dass die Rechte auf Auskunft, Richtigstellung oder Löschung juristischen Personen nicht zukämen, auch ein datenschutzrechtlicher Geheimnisschutz sei für juristische Personendaten nicht mehr anzunehmen: Begründet wurde dies damit, dass durch den Wegfall der einfachgesetzlichen Begriffsdefinitionen des DSG 2000 die bisher darauf aufbauende Argumentation zum Grundrechtsschutz juristischer Personen weggefallen sei und der Ausführungsvorbehalt von § 1 Abs 3 DSG nur noch hinsichtlich natürlicher Personen bestehe.
Aufgrund der Erläuterungen zum ursprünglichen Entwurf des DSG habe der Gesetzgeber auch zum Ausdruck gebracht, den Grundrechtsschutz auf natürliche Personen einzuschränken (Leissler, Datenschutz für juristische Personen – Ein Blick in die Zukunft, ecolex 2017, 1222).
DSB: § 1 DSG berechtigt grundsätzlich auch juristische Personen
In einer Beschwerde an die DSB (DSB-D216.713/0006-DSB/2018) monierte eine juristische Person als Beschwerdeführerin eine Verletzung im Recht auf Geheimhaltung, gestützt auf § 1 DSG. Der DSB zufolge sei in verfassungskonformer Interpretation davon auszugehen, dass die in § 1 DSG normierten Rechte auch juristischen Personen zukommen.
Dennoch wurde die Beschwerde mit einer anderen Begründung mit Bescheid vom 13.9.2018 abgewiesen, nämlich damit, dass im zugrunde liegenden Sachverhalt – es ging um eine angeblich unzulässige Videoüberwachung – gar keine personenbezogenen Daten der Beschwerdeführerin verarbeitet wurden.
Auch der rechtskräftigen Entscheidung der (DSB) vom 19.7.2018 (DSB-D123.089/0002-DSB/2018) war die Beschwerde einer juristischen Person, einer GmbH, wegen Verletzung im Recht auf Löschung personenbezogener Daten zugrunde gelegen.
Da sich der Anwendungsbereich der DSGVO auf den Schutz natürlicher Personen erschöpft, prüfte die DSB § 1 Abs 3 DSG, der „jedermann“ nach Maßgabe gesetzlicher Bestimmungen ein Recht auf Löschung unzulässigerweise verarbeiteter Daten gewährt: Das DSG selbst enthalte jedoch keine solchen entsprechenden Bestimmungen, stattdessen sei hier wieder die (unmittelbar anzuwendende) DSGVO zu berücksichtigen, die aber eben von vorn herein keine Beschwerdemöglichkeit für juristische Personen vorsieht.
Die Beschwerde wurde daher zurückgewiesen, wobei es sich um einen grenzüberschreitenden Fall gehandelt hatte; in solchen Fällen sei die Berufung einer juristischen Person auf § 1 DSG nicht möglich (Schmidl, Grundrecht, AnwBl 03_2019, 133ff), sondern nur in nationalen Konstellationen, also wenn Beschwerdeführer und Beschwerdegegner in Österreich seien und die DSB alleine für das Verfahren zuständig sei (Schmidl, Die DSGVO in der Spruchpraxis der Datenschutzbehörde, VbR 2019, 44). Zwar sah die DSB in einem anderen Fall (DSB-D130.033/0003-DSB/2019) eine Beschwerdemöglichkeit auf Basis von § 1 Abs 1 DSG auch bei internationalen Sachverhalten als gegeben an; dabei ging es jedoch um die Beschwerde einer natürlichen Person.
Conclusio
Dass der im Verfassungsrang stehende § 1 DSG nicht – wie eigentlich beabsichtigt – ausdrücklich auf den Schutz natürlicher Personen eingeschränkt wurde, ist der Nichterreichung der dafür erforderlichen Verfassungsmehrheit im Nationalrat zuzuschreiben.
Entsprechend wird das Grundrecht auf Datenschutz (nicht zuletzt durch die DSB) auch nach Geltung der DSGVO in eine Weise ausgelegt, dass auch juristischen Personen das Recht auf Geheimhaltung ihrer personenbezogenen Daten bzw auf Auskunft, Richtigstellung und Löschung zukommt. Ob vor dem Hintergrund der Schlagrichtung der (nur in Bezug auf den Schutz personenbezogener Daten natürlicher Personen anwendbaren) DSGVO mit ihren hohen Strafdrohungen dem Datenschutzrecht für juristische Personen nach österreichischer Prägung jedoch große praktische Bedeutung zukommen wird, ist eher zu bezweifeln.