31. Juli 2008 - Anspruch von Unternehmen auf Datenschutz

Datenschutzfalle Lieferanten­verzeichnis

Auch wenn es zunächst ungewöhnlich klingt, kann es durchaus sinnvoll sein, auch Lieferantendaten in das Verfahrensverzeichnis aufzunehmen. Denn aus ihnen lassen sich personenbezogene Daten des Geschäftsführers ablesen. Heute zeigen wir Ihnen den rechtlichen Hintergrund und die praktischen Konsequenzen für Sie als Datenschutzbeauftragten.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Der Immobilienkaufmann tobte. Natürlich stimmte es, dass er Geschäftsführer der E GmbH war. Und es war auch richtig, dass diese wirtschaftlich an die Wand gefahren war. Zu einem Insolvenzverfahren über das Vermögen der GmbH kam es erst gar nicht mehr, denn es war schlicht kein Geld da, um auch nur die Kosten eines solchen Verfahrens zu zahlen.

Deshalb hatte das Amtsgericht die GmbH sozusagen „sterben“ lassen, indem es sie wegen Vermögenslosigkeit von Amts wegen im Handelsregister löschte.

Wer eine GmbH in den Konkurs führt, ist seine Kreditwürdigkeit los

Wie gesagt, das war dem Geschäftsführer alles klar. Aber jetzt das! Eine Auskunftei erteilte auf Anfrage über ihn – nicht etwa über die GmbH – folgende Auskunft: „Herr X. war Geschäftsführer der E GmbH. Die Firma gab eine eidesstattliche Versicherung ab. Ein Insolvenzverfahren lehnte das Gericht mangels Masse ab.“

Was dies für ihn bedeutet, ist klar. Mit einer solchen Auskunft bekommt auch er persönlich bei keiner Bank mehr einen Kredit. Er gilt als Versager, dem man kein Geld anvertrauen kann.

Der frühere Geschäftsführer meint, Daten der GmbH würden sich nicht auf seine eigene Person beziehen

Der Geschäftsführer klagt gegen die Auskunftei. Er fordert von ihr, dass sie die geschilderten Daten löscht. Seine hauptsächliche Begründung ist, dass zu seiner Person nur solche Daten gespeichert werden dürfen, die sich auch tatsächlich auf diese Person beziehen. Und das sei hier nicht der Fall.

Denn er und die GmbH seien eigenständige Personen, deren Daten man nicht einfach miteinander vermengen dürfe.

Der Bundesgerichtshof sieht das bei Einmann-GmbHs aber sehr wohl so

So eng wollte der Bundesgerichtshof, bei dem der Rechtsstreit schließlich landete, den Begriff der „personenbezogenen Daten“ allerdings nicht sehen. Freilich, § 3 Abs. 1 BDSG definiert ihn als „Einzelangaben […] einer […] natürlichen Person“. Und die GmbH, um deren wirtschaftliches Schicksal es geht, ist ja eindeutig keine natürliche Person.

Aber unter die personenbezogenen Daten des Geschäftsführers fallen nach Auffassung des Gerichts zumindest in diesem Fall auch Informationen über die GmbH, deren einziger Geschäftsführer der Immobilienkaufmann war. Denn die GmbH hatte zudem nur einen einzigen Gesellschafter, nämlich den Immobilienkaufmann.

Damit war klar, dass er einen besonders intensiven Einfluss auf die GmbH hatte. Es lag eine „Einmann-GmbH“ vor. Wie es einer solchen GmbH wirtschaftlich geht, sagt auch etwas über die wirtschaftliche Situation – und die wirtschaftlichen Fähigkeiten – des Geschäftsführers aus.

Die Daten dürfen gespeichert sein, Auskünfte darüber bleiben zulässig

Laut Auffassung des Bundesgerichtshofs sind Angaben über finanzielle Verhältnisse einer Einmann-GmbH zugleich kreditrelevante Aussagen über den Geschäftsführer.

Der „Schutzzweck des Gesetzes“ fordere deshalb geradezu, dass diese Daten zu seiner Person gespeichert und auf Anfrage potenzieller Kreditgeber auch mitgeteilt würden.

Das ist auch logisch. Denn sonst könnte jemand sogar mehrere GmbHs in den Ruin führen, und dennoch würde es einem potenziellen Kreditgeber kaum gelingen, das herauszufinden. Denn die Suche über die Daten der GmbHs selbst kann eine sehr langwierige Sache sein.

Die Rechtsprechung ist 20 Jahre alt, wurde aber im Jahr 2003 nochmals bestätigt

Der geschilderte Fall wurde am 17.12.1985 entschieden. Das führt manchmal zu der kritischen Frage, ob das Urteil denn überhaupt noch gültig sei. Die Antwort ist ein klares Ja! Denn in einem Beschluss vom 24. Juni 2003 hat das Gericht deutlich gemacht, dass es an diesen Grundsätzen festhält.

Das Urteil könnte auch für andere GmbHs gelten

Dabei hat es übrigens die Beschränkung auf Einmann-GmbHs nicht mehr erwähnt. Möglicherweise heißt das, dass sie auch für sonstige GmbHs gelten. Die Folge wäre: Wer Geschäftsführer einer GmbH ist, muss generell dulden, dass zu seiner Person wirtschaftliche Kerndaten über diese GmbH gespeichert werden. Entsprechend verfahren auch alle großen Auskunfteien.

Die Rechtsprechung erfasst auch Daten über englische „Ltd“

Das wurde zwar bisher noch nicht gerichtlich entschieden, ist aber nur konsequent. Schließlich weiß jeder, dass eine englische Limited im Extremfall mit einem Euro Stammkapital gegründet werden kann. Die Gefahr wirtschaftlichen Scheiterns ist hier deshalb besonders groß.

Eine wichtige Folge: Lieferanten- und Kundendateien gehören in das Verfahrensverzeichnis

Vermutlich werden die meisten DSB dem, was bisher gesagt wurde, spontan zustimmen können. Gleichzeitig wird aber mehr als einer fragen: Hat das irgendwelche praktischen Konsequenzen für die tägliche Arbeit?

Das ist durchaus der Fall. Bekanntlich muss der DSB über ein Verfahrensverzeichnis verfügen (§ 4g Absatz 2 Satz 1 BDSG). Es muss alle Verfahren enthalten, mit denen personenbezogene Daten verarbeitet werden.

Viele meinen deshalb, dass man etwa Lieferantendateien nicht aufnehmen müsse, wenn die Datei ausschließlich Daten juristischer Personen (also etwa Daten von GmbHs) enthält. Allerdings sieht man einer GmbH ohne aufwendige Recherchen nicht an, ob es sich um eine Einmann-GmbH handelt. Sollte das der Fall sein, wären ihre Daten jedoch auch Daten ihres Geschäftsführers und damit Daten einer natürlichen Person.

Mit der Aufnahme von GmbHs spart der Datenschutzbeauftragte Zeit

Die Konsequenz ist klar. Um sich solche Unterscheidungen zu ersparen, nimmt man Lieferantendateien am besten immer in das Verzeichnis auf, dann ist man auf der sicheren Seite. Umgekehrt, nämlich für Kundendateien, die nur juristische Personen enthalten, gilt natürlich dasselbe.

Juristische Personen können sogar ein Persönlichkeitsrecht haben

Der Bundesgerichtshof hat entschieden, dass juristische Personen sogar ein Persönlichkeitsrecht haben. Beklagter war dabei ein Professor für Wirtschaftswissenschaften. Er führte für die Bundessteuerkammer Seminare zum Thema „Jahresabschlussanalyse aus der Sicht der Banken“ durch.

Dabei diente ihm die Klägerin – ein mittelständisches Bauunternehmen in Familienbesitz – als Negativbeispiel für die kritische wirtschaftliche Lage eines Unternehmens. Er schilderte sie anhand des Jahresabschlusses, der im Bundesanzeiger veröffentlicht worden war. Name und Anschrift des betreffenden Unternehmens waren dabei deutlich zu erkennen.

Unternehmen haben einen sozialen Geltungsanspruch

Das ging dem Gericht zu weit. Das Unternehmen habe einen „sozialen Geltungsanspruch als Wirtschaftsunternehmen“. Er sei eine spezifische Ausprägung des allgemeinen Persönlichkeitsrechts und stehe auch juristischen Personen zu. Das Unternehmen müsse nicht zuschauen, wie es in Seminaren gezielt vorgeführt werde.

Dabei komme erschwerend hinzu, dass der Professor ja Name und Anschrift weglassen könne. Dass die Abschlüsse im Bundesanzeiger veröffentlicht seien, ändere daran nichts.

Hüten Sie sich davor, ein Unternehmen gezielt negativ in die Öffentlichkeit zu bringen

Daraus folgt für die Praxis: Wer ein anderes Unternehmen gezielt negativ in die Öffentlichkeit bringt, sollte sich genau überlegen, womit er das im Ernstfall begründen kann. Ohne sehr gute Argumente droht sonst eine einstweilige Verfügung auf Unterlassung.

Hier finden Sie die Urteile:
  • Beschluss vom 24. Juni 2003 zu Angaben einer Wirtschaftsauskunftsdatei, Aktenzeichen VI ZR 3/03, abrufbar unter http://www.bundesgerichtshof.de, Button „Entscheidungen“)
  • Der geschilderte Fall des Geschäftsführers findet sich im Praxishandbuch Datenschutz von Dr. Horst G. Abel unter 9/5.1.3.
  • Das Urteil über die Seminare zum Thema „Jahresabschlussanalyse“ ist im gleichen Werk unter 9/2.8 beschrieben (weitere Infos unter http://www.weka.de/8091)

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Datenschutzbeauftragter beim Bayerischen Landesamt für Gesundheit und Lebensmittelsicherheit.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln