Es bleibt alles anders: Datenschutz für juristische Personen?
1. Politische Verwerfungen mit juristischen Folgewirkungen
Im ursprünglichen Ministerialentwurf (322/ME XXV. GP), mit dem das neue Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben werden sollte (Datenschutz-Anpassungsgesetz 2018), war die Abschaffung einer österreichischen Besonderheit vorgesehen: Das Grundrecht auf Datenschutz, das in Österreich seit dem Datenschutzgesetz 1978 als Verfassungsbestimmung in dessen § 1 verankert war und für jedermann galt, sollte hinkünftig, konkret ab 25.5.2018, nur noch natürlichen Personen zukommen.
Die für diese Änderung erforderliche 2/3 Mehrheit stand allerdings im Nationalrat nicht (mehr) zur Verfügung. Das verhinderte zwar nicht, dass im Eilverfahren ein neues Datenschutzgesetz verabschiedet und am 31.7.2017 kundgemacht wurde. Dieses neue Datenschutzgesetz (DSG Neu), dass ab 25.5.2018 gilt, lebt jedoch nunmehr mit dem offenen Widerspruch, dass einerseits die Verfassungsbestimmung des DSG 2000, die auch juristische Personen erfasste, unverändert blieb, somit nach wie vor gültiges Recht darstellt. Andererseits beinhaltet das DSG Neu in seinem 1. Hauptstück (ab §§ 4 ff) einfach gesetzliche Bestimmungen, die der „Durchführung der Datenschutz-Grundverordnung“ dienen. Der Anwendungsbereich der Datenschutz-Grundverordnung („DSGVO“) erstreckt sich jedoch ausschließlich auf personenbezogene Daten natürlicher Personen. Aber so weit muss man gar nicht ins Detail gehen, um diesen Widerspruch zu erkennen: Trotz der unverändert gebliebenen Verfassungsbestimmung – samt dadurch nach wie vor aufrechtem Grundrecht auf Datenschutz auch zu Gunsten juristischer Personen – lautet das DSG Neu doch tatsächlich „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“.
2. Was ist anzuwenden?
Die mit der aufgezeigten Vorgehensweise des Gesetzgebers verbundenen juristischen Konsequenzen gehen jedoch viel weiter und haben sehr wohl praktische Bedeutung. Auf einen einfachen Nenner reduziert: Was haben ab 25.5.2018 insbesondere Unternehmen im Umgang mit „personenbezogenen Daten juristischer Personen“ zu beachten?
2.1 Anwendbarkeit der DSGVO?
Ist die DSGVO anzuwenden? Diese Frage ist mit einem klaren Nein zu beantworten. Eine direkte Anwendbarkeit verbietet sich bereits aufgrund des über jeden Zweifel erhabenen, eindeutigen Wortlauts: Sie wurde ausschließlich zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten statuiert.
Bekanntlich ist der Wortlaut nicht die einzige Grenze, die den Anwendungsbereich einer Norm bzw. eines ganzen Gesetzeswerkes festlegt. Gibt es demgemäß Gründe, die eine entsprechende (analoge) Anwendung – von einzelnen Bestimmungen der DSGVO oder des gesamten Regelwerkes – rechtfertigen? Auch das ist klar zu verneinen:
Das würde unter anderem das Vorliegen einer planwidrigen Regelungslücke erfordern. Auf der Ebene des europäischen Gesetzgebers, sofern überhaupt entsprechende öffentlich-rechtliche Vorgaben einer Analogie zugänglich wären, ist eine solche nicht zu verorten. Ganz abgesehen davon, dass es dem Europäischen Gesetzgeber bereits an einer Befugnis zur Regelung der Materie mit Blick auf juristische Personen fehlen dürfte. Auf Art 16 Abs 2 AEUV sei verwiesen.
Und auf der Ebene des österreichischen Gesetzgebers? Auch hier zeigt nichts in Richtung „Planwidrigkeit“, eher „Planunvollendung“ wäre der richtige Begriff. Denn das Gesetzgebungsverfahren war vom Willen geprägt, hinkünftig und ausschließlich natürlichen Personen den Schutz ihrer – personenbezogenen – Daten zu gewähren. Unter Bezugnahme auf die DSGVO wird in den erläuternden Bemerkungen zur Regierungsvorlage auch klargestellt, dass das Grundrecht (auf Datenschutz) nur noch natürliche Personen erfassen soll (1664 der Beilagen XXV. GP 3). Nur gab es dafür eben nicht die erwartete und erforderliche parlamentarische Mehrheit. Ganz grundsätzlich sollte man sich aber mit Überlegungen zu „analogen Anwendungen“ zurückhalten, wenn es sich um ein hochaktuelles Gesetz handelt und die Gründe, die die angebliche Regelungslücke begründen sollen, von Anfang an auf der Hand lagen und sogar Gegenstand – gegenteiliger – gesetzgeberischer Überlegungen waren.
2.2 Anwendbarkeit des DSG Neu?
Diese Frage ist in dieser Pauschalität mit einem eindeutigen Ja zu beantworten. Die Frage selbst ist jedoch zu unpräzise gestellt. Sie müsste richtigerweise lauten: Welche Bestimmungen des DSG Neu sind – mit welchen rechtlichen Konsequenzen – anzuwenden?
§ 1 DSG 2000 blieb unverändert. Das heißt, juristische Personen haben zwar (nach wie vor) Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Dieses Grundrecht gilt – infolge der unmittelbaren Drittwirkung – auch gegenüber privaten Rechtsträgern. Einschränkungen sind, dem Wortlaut des § 1 DSG Neu folgend, bei einer erteilten Einwilligung, einer entsprechenden gesetzlichen Regelung oder zur Wahrung überwiegender berechtigten Interessen eines anderen zulässig.
Die nunmehrige Fassung des DSG lässt jedoch insbesondere offen, wann von einem schutzwürdigen Interesse auszugehen ist, welche Voraussetzungen an die Einwilligung zu stellen sind und wann ein überwiegend berechtigtes Interesse vorliegt. Die diese Kriterien jedenfalls teilweise ausfüllenden einfach-gesetzlichen Regelungen des DSG 2000 stehen, was juristische Personen angeht, an sich nicht mehr zur Verfügung. Die des DSG Neu bzw. der DSGVO sind nicht auf personenbezogene Daten juristischer Personen anzuwenden. Und zwar, wie dargelegt, weder direkt noch analog. Die Reichweite des – neuen alten – Grundrechts zugunsten von juristischen Personen, sein konkreter Gehalt, ist demgemäß unklar.
Hinzu kommt, dass § 1 Abs 3 DSG zwar gewisse Betroffenenrechte (Auskunftsrecht, Recht auf Löschung und Richtigstellung) statuiert. Diese Rechte müssten demgemäß auch juristischen Personen zukommen. Allerdings: Diese Rechte gelten, dem Wortlaut des § 1 Abs 3 DSG folgend, „nach Maßgabe gesetzlicher Bestimmungen“. Es gibt jedoch im DSG Neu keine einfach gesetzlichen datenschutzrechtlichen Bestimmungen (mehr), die zugunsten von juristischen Personen solche Rechte normieren.
3. Konsequenzen und Lösungswege
3.1 Öffentlich-rechtliche Sanktionslosigkeit?
§ 30 DSG Neu sanktioniert Verstöße gegen § 1 DSG Neu mit Geldbußen. Der Wortlaut des § 1 DSG Neu legt hierbei nahe, dass nur solche Verstöße relevant sind, die zugleich einen Verstoß gegen Bestimmungen der DSGVO begründen („[…] Verstöße gegen Bestimmungen der DSGVO und des § 1 […]). Lässt man diese zumindest sprachlich missglückte Formulierung außer Betracht, bleibt festzuhalten: Zwar können auch unbestimmte Rechtsbegriffe einer Auslegung fähig und Grundlage verwaltungsrechtlicher Maßnahmen sein. Ob sich jedoch beispielsweise das unbestimmte „überwiegend berechtigte“ bzw. „schutzwürdige Interesse“ in der Form verdichten lässt, dass ein Verstoß gegen das auch Geldbußen einschließende Verfassungsgrundprinzip „nulla poena sine lege“ ausgeschlossen ist, darf bezweifelt werden. Nicht ohne Grund fehlt es im österreichischen (Verwaltungs-)Strafrecht beispielsweise an einer Strafnorm, die sinngemäß lauten könnte: „Ob ein mittels Geldbuße zu ahndender Verstoß vorliegt, richtet sich danach, welche – im Einzelfall zu bestimmende – berechtigten Interessen der Beteiligten als überwiegend einzustufen sind“.
In § 29 DSG Neu stellte der Gesetzgeber übrigens klar, dass ein Verstoß gegen die DSGVO oder § 1 DSG Neu anspruchsbegründend wirken kann. Allerdings verweist § 29 DSG Neu auf Art 82 DSGVO, der jedoch selbst die Anwendbarkeit der DSGVO voraussetzt. Demgemäß können sich juristische Personen, sofern es um eine vermeintlich rechtswidrige Verarbeitung ihrer personenbezogenen Daten geht, nicht auf § 29 DSG Neu stützen. Davon unbenommen bleibt natürlich die Möglichkeit, etwaige Schäden nach allgemeinen zivilrechtlichen Grundsätzen durchzusetzen. Letztlich stellt sich auch die Frage, ob nicht zumindest das Beschwerdrecht nach § 24 DSG Neu juristischen Personen offensteht. Die Norm spricht von „betroffener Person“ als Beschwerdeberechtigte – in datenschutzrechtlichen Zusammenhängen müssen juristische Personen nicht zwangsläufig darunter subsumiert werden. Abgesehen von der vorgelagerten Frage, ob die Datenschutzbehörde kraft der ihr übertragenen Befugnisse überhaupt für Beschwerden juristischer Personen zuständig ist.
3.2 Was sonst?
Damit ist natürlich nicht gesagt, dass juristische Personen, was ihre personenbezogenen Daten betrifft, schutzlos gestellt sind. Das ist keineswegs der Fall. Nur ist der mittels des Grundrechtes statuierte Schutz nicht wirklich stark ausgeprägt. Und selbst wenn man bei dem durch § 1 DSG vermittelten, unklaren Kerngehalt stehen bleibt:
Privaten Rechtsträgern steht es grundsätzlich frei, auf zustehende Rechte zu verzichten. Zwar ist nicht jeder Rechtsverzicht wirksam bzw. mögen bestimmte, insbesondere höchstpersönliche Rechte einem Verzicht unzugänglich sein. Und Grundrechten, denen der Charakter eines Abwehrrechtes gegenüber staatlichem Handeln immanent ist, mag eine solche Unverzichtbarkeit regelmäßig innewohnen. Allerdings dürfte jedenfalls dann, wenn genau diese Abwehrfunktion gegenüber staatlichem Handeln nicht Gegenstand der Grundrechtsausübung ist, eine differenzierte Betrachtung angebracht sein:
Ist das Grundrecht auf Datenschutz disponibel oder nicht?
Fehlende Dispositionsbefugnis dürfte nur bei überindividuellen Gütern in Betracht kommen. Das Recht auf Datenschutz fällt nicht darunter. Dessen Schutzbereich betrifft nur den Einzelnen, sei es auch eine juristische Person. Sollte demgemäß der österreichische Gesetzgeber bei der Wertung bleiben, dass auch in Zukunft juristischen Personen das (inhaltlich unklare) Grundrecht auf Datenschutz zukommen soll, erscheint es überdenkenswert, jedenfalls hinkünftig in entsprechenden Verträgen eindeutig zu regeln, ob darauf verzichtet wird oder nicht.