Schützt die DSGVO auch juristische Personen?

Angesichts diverser ausdrücklicher Vorschriften, die eine Anwendbarkeit der Verordnung auf natürliche Personen beschränkt, mag die Frage zunächst verwundern. So normiert Art. 1 Abs. 1 DSGVO: „Die Verordnung enthält Vorschriften zum Schutz natürlicher Personen…“ oder Art. 4 Nr. 1 DSGVO: „Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen…“. Schließlich schreibt der Erwägungsgrund (EG) 14 der Verordnung ausdrücklich fest: „…Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“.  

Zwischen Gesetz und Rechtsprechung 

Augenscheinlich fallen juristische Personen sonach nicht unter den persönlichen Anwendungsbereich der DSGVO. Dies scheint die Systematik des Gesetzes anzuzeigen: wenn personenbezogene Daten nach Art. 4 Nr. 1 DSGVO nur Informationen hinsichtlich einer natürlichen Person sind und nach EG 14 die Verordnung nicht für personenbezogene Daten einer juristischen Person gilt, dann kann damit nur gemeint sein, dass der Anwendungsbereich auch dann nicht eröffnet ist, wenn sich auch durch Daten einer juristischen Person ein Bezug zu natürlichen Personen ergibt. Andernfalls wäre EG 14 redundant. Doch verweisen die Erwägungsgründe der DSGVO lediglich auf die Motive des Gesetzgebers, ohne dass ihnen dabei eine unmittelbare normative Verbindlichkeit zukommt. Sie wiederholen oft nur den Gesetzeswortlaut oder drücken dessen Sinngehalt anders aus.  

Für die Einbeziehung in den Schutz der DSGVO von juristischen Personen spricht neben der Rechtsprechung des EuGHs, die eine Anwendung der Art. 7 und 8 der Grundrechtecharte GRCh annimmt auch die Tatsache, dass in der deutschen Rechtsprechung ein sog. Unternehmenspersönlichkeitsrechts – z.B. als sonstiges Recht iSd. § 823 Abs. 1 BGB – anerkannt ist. Hierin spiegelt sich die de facto Schutzbedürftigkeit von Unternehmen bezogen auf ihre Unternehmensidentität. Eine solche Ansicht verkennt hingegen den grundsätzlichen Entscheidungsvorrang des europäischen Gesetzgebers vor der europäischen und erst recht vor der deutschen Gerichtsbarkeit.  

Gut richtet, wer gut unterscheidet 

Wie so oft in juristischen Streitständen liegt die richtige Lösung in der Unterscheidung. Die eindeutige Entscheidung des Gesetzgebers, juristische Personen nicht zu schützen ist angesichts des klaren Wortlauts zu respektieren. Dennoch muss die Verarbeitung eines Datums bezogen auf eine juristische Person dann an den Anforderungen der DSGVO messen lassen, wenn es mittelbar auf eine dahinterstehende natürliche Person durchschlägt. Dies entspricht dem anhand von Art. 19 Abs. 3 GG entworfenen Gedanken, wonach Grundrechte nur dann auf juristische Personen anwendbar sein sollen, wenn die dahinterstehenden natürlichen Personen betroffen sind (sog. Durchgriffstheorie).  

Dass solch eine mittelbare Einbeziehung juristischer Personen notwendig ist, um den Schutz natürlicher Personen nach Art. 1 Abs. 1 DSGVO zu gewährleisten, zeigen die folgenden Überlegungen: 

1. Tatsächliche Ununterscheidbarkeit: Informationen über das Vermögen einer Ein-Mann-GmbH sind immer zugleich Informationen über das Vermögen des einzigen Geschäftsführers der GmbH.  Entsprechendes gilt für den eingetragenen Kaufmann, der zwar nach deutschem Recht keine juristische Person ist, aber im Sinne der DSGVO schon.  

1. Machtungleichgewicht: insbesondere im Rahmen von Bewerbungsverfahren um Marktstellplätze oder Ladeflächen in einem Einkaufszentrum o.Ä. besteht eine faktische Abhängigkeit vom Verpächter/Vermieter, das wie bei natürlichen Personen dazu führen kann, dass unverhältnismäßig viele und sensible Daten erhoben werden, um beispielweise die Solvenz des Unternehmens zu ergründen.  

1. Unzureichender Angestelltendatenschutz: Unternehmensdatenschutz ist im sonstigen Recht in erster Linie gerichtet auf Informationen, die das Unternehmen selbst betreffen (Geschäftsgeheimnisgesetz, Steuergeheimnis etc.). Die natürlichen Personen, die für oder sogar im Namen eines Unternehmens arbeiten und im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten an Kunden preisgeben müssen, werden sonst kaum geschützt. Diese Lücke kann nur eine mittelbare Anwendung der DSGVO auf juristische Personen schließen. 

Fazit: angepasster Schutz auch juristischer Personen 

Es bleibt damit bei dem Grundsatz, dass juristische Personen als solche nicht geschützt sind, dass die DSGVO aber sehr wohl anwendbar ist, wenn es um den Schutz der hinter der juristischen Person stehenden natürlichen Personen geht.  Das hat für die Praxis zur Folge, dass auch im Handelsverkehr die Anwendbarkeit der DSGVO nicht von Anfang an ausgeschlossen werden kann.