Dieser Artikel wurde Ihnen von einem unserer Abonnenten zur Verfügung gestellt. Mit einem Abonnement der ZFR erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Das Grundrecht auf Datenschutz1 gem § 1 DSG2 schützt in Ö - anders als nach der DSGVO - auch juristische Personen. Die Datenschutzbehörde und ein Großteil der Literatur bejahen zudem das Recht auf eine Beschwerde bei der Datenschutzbehörde gem § 24 DSG für juristische Personen wegen einer Verletzung in diesem Grundrecht.3 Das BVwG sieht eine Aktivlegitimation in seinem hier besprochenen Erk vom 19. 9. 2023 allerdings nur für natürliche Personen als gegeben an.4 Die Datenschutzbehörde hat eine oAmtsRev gegen das vorliegende Erk eingebracht.
Bemerkenswert ist in diesem Zusammenhang, dass diese fundamentale Rechtsfrage, die die Rechtswissenschaft bereits seit dem Jahr 2018 beschäftigt, nun gerade in einem finanzmarktrechtlichen Zusammenhang zum ersten Mal an das Höchstgericht herangetragen wird: Die FMA hatte auf ihrer Website eine "Investorenwarnung" zu einer namentlich identifizierten juristischen Person veröffentlicht und später mit Bescheid ausgesprochen, dass diese juristische Person nicht berechtigt war, konzessionspflichtige Wertpapierdienstleistungen zu erbringen. BVwG und VwGH bestätigten diese E. Dies hielt die betroffene juristische Person jedoch nicht davon ab, infolge der geänderten Sachlage einen Löschantrag an die FMA zu stellen, welchem die Datenschutzbehörde erstinstanzlich stattgab. In der hier gegenständlichen E wies das BVwG das Löschbegehren jedoch mangels Aktivlegitimation einer juristischen Person zurück.
Vor der umfassenden Novellierung des DSG 20005 waren personenbezogene Daten juristischer Personen vom gesamten Anwendungsbereich des Gesetzes umfasst. Im Hinblick auf die unmittelbar anwendbare DSGVO sollte ursprünglich das DSG 2000 aufgehoben und ein neues DSG erlassen werden, mit dem der Anwendungsbereich und daher auch das Grundrecht auf Datenschutz in § 1 DSG auf natürliche Personen beschränkt werden sollte.6 Da jedoch keine erforderliche Zweidrittelmehrheit für die Änderung dieser Verfassungsbestimmung gefunden werden konnte, wurde das DSG 2000 nicht aufgehoben, sondern es wurde nur der Titel geändert und die einfachgesetzlichen Bestimmungen der §§ 4 ff DSG an die DSGVO angepasst, § 1 DSG hingegen unverändert belassen.7 Auch die nachfolgenden Versuche zur Änderung der Verfassungsbestimmung blieben aufgrund unzureichender Quoren erfolglos.8 Das aktuelle DSG sieht daher weiterhin ein Grundrecht auf Datenschutz für juristische Personen vor. Es besteht aus dem zentralen Grundrecht auf Geheimhaltung personenbezogener Daten (§ 1 Abs 1 DSG) sowie den Rechten auf Auskunft, Richtigstellung unrichtiger Daten und Löschung unzulässigerweise verarbeiteter Daten (§ 1 Abs 3 DSG).
Das BVwG erkennt zwar das Grundrecht auf Datenschutz für juristische Personen in § 1 DSG an, erblickt jedoch keine Möglichkeit der Geltendmachung dieses subjektiven Rechts im Wege des verwaltungsbehördlichen Verfahrens, weil das Recht auf Beschwerde bei der Datenschutzbehörde in § 24 DSG auf natürliche Personen beschränkt ist. Begründend führt das BVwG aus, dass für die Reichweite des Schutzes des in § 1 Abs 1 DSG statuierten subjektiv-öffentlichen Rechts die Durchführungsbestimmung des § 4 Abs 1 DSG beachtlich ist, die auf die Bestimmungen der DSGVO verweist. Die Mat zum IA betreffend die Änderung des § 4 Abs 1 DSG legen auch dementsprechend dar, dass das Grundrecht auf Datenschutz iSd DSGVO ausgelegt werden muss, und daher "Betroffene" und "betroffene Personen" iSd Art 4 Z 1 DSGVO nur natürliche Personen sind.9 Zwar äußert das BVwG diesen Gedankengang nicht ausdrücklich; vor dem Hintergrund der voranstehenden Argumenta-
tion stützt sich das Gericht jedoch wohl auf den Wortlaut des § 24 Abs 1 DSG, der das Recht auf Beschwerde bei der Datenschutzbehörde jeder "betroffenen Person" festlegt, sowie auf die damit im Zusammenhang stehenden Mat zu § 4 Abs 1 DSG, wonach betroffene Personen - wie ausgeführt - nur natürliche Personen sind. Eine verfassungskonforme Interpretation von § 24 DSG iS einer Erweiterung entgegen dem Normengehalt ("betroffene Person") auf die Aktivlegitimation der juristischen Person komme laut BVwG nicht infrage, weil der Wortlaut der Bestimmung unzweideutig sei. Zudem sieht das BVwG keine planwidrige Lücke, weil der Gesetzgeber bei der Änderung des § 4 Abs 1 DSG den Anwendungsbereich des Art 1 und 2 DSGVO, der sich nur auf personenbezogene Daten natürlicher Personen bezieht, ausnehmen hätte können.10
Das BVwG lässt bei der Auslegung von § 24 DSG allerdings außer Acht, dass die versuchten Aufhebungen der aktuellen Verfassungsbestimmung mit der Intention, das Grundrecht auf Datenschutz nur natürlichen Personen zu gewähren, mehrfach gescheitert sind, weil keine erforderliche Verfassungsmehrheit gefunden wurde. Die einfachgesetzlichen Bestimmungen des DSG verwenden aber dennoch die Formulierung "betroffene Person", die aufgrund der Durchführungsbestimmung in § 4 DSG iVm Art 4 Z 1 DSGVO nur natürliche Personen meint, wodurch es an einer einfachgesetzlichen Umsetzung des Grundrechts auf Datenschutz für juristische Personen fehlt. Den persönlichen Schutzbereich des § 1 Abs 1 DSG aufgrund der vorgenommenen "Notlösung" des Verweises auf die DSGVO im einfachgesetzlichen § 4 DSG und der Mat zu § 4 DSG derart einzuschränken, würde allerdings zu einer Aushebelung des Verfassungsgesetzgebungsverfahrens führen.11 Zudem bedingt der Pauschalverweis auf die DSGVO eine sachlich nicht gerechtfertigte Differenzierung zwischen natürlichen und juristischen Personen, die aufgrund des fortbestehenden Grundrechts auf Datenschutz für juristische Personen in § 1 DSG ebenfalls zu einer Verfassungswidrigkeit des § 4 Abs 1 DSG führen würde.12 Auch die Datenschutzbehörde sieht in der Auslegung der §§ 4 und 24 DSG dahin gehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, eine gleichheits- und damit verfassungswidrige Ungleichbehandlung.13
Lachmayer 14 und Schweiger 15 erblicken zudem infolge des ausdrücklichen Verweises im das Beschwerderecht regelnden § 24 Abs 1 DSG auf Verletzungen des § 1 DSG sogar ein unmittelbares Recht auf Erhebung einer Beschwerde bei der Datenschutzbehörde für die juristische Person. Auch wenn diese Argumentation zutreffend erschiene, könnte wohl damit dem vom BVwG ins Treffen geführten Umstand nicht begegnet werden, dass § 24 Abs 1 DSG von "betroffenen Personen" spricht.
Richtigerweise muss das Beschwerderecht bei der Datenschutzbehörde für juristische Personen daher durch eine verfassungskonforme Interpretation des Begriffs "betroffene Person" erzielt werden,16 wofür der Wortlaut des § 4 DSG den Weg öffnet. Die Anwendung der Bestimmungen der DSGVO ist gem § 4 Abs 1 DSG für die "ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen", festgelegt. Demnach ist der Begriff der "betroffenen Personen" bei Vorliegen personenbezogener Daten juristischer Personen im Anwendungsbereich des Grundrechts gem § 1 DSG nicht iSd DSGVO, sondern als auch juristische Personen erfassend auszulegen.17
Dem Argument des BVwG, dass sich aus der Einschränkung des Beschwerderechts auf natürliche Personen kein (grob) unterschiedlicher Grundrechtsschutz für juristische Personen ergebe, weil laut EuGH in den Rs Schecke und Eifert 18 der Rechtsschutz betreffend Art 8 EMRK auch juristischen Personen zugutekommt, wenn eine juristische Person den Namen einer oder mehrerer natürlicher Personen enthält, kann aus mehreren Gründen nichts abgewonnen werden: Weder ergibt sich dadurch ein Beschwerderecht bei der Datenschutzbehörde für andere juristische Personen noch ein anderer vergleichbar einfacher und kostengünstiger Weg eines verwaltungsbehördlichen Administrativverfahrens zur Durchsetzung des Grundrechts auf Datenschutzrecht. Zudem geht es aber auch am dem Erk zugrunde liegenden Sachverhalt vorbei: Die im gegenständlichen Verfahren Beschwerde erhebende juristische Person trägt gerade keine Namen natürlicher Personen in ihrer Firma. Auf die vom BVwG zitierte Rsp des EuGH hätte sie sich daher auch nicht stützen können.
Ein ähnliches Problem ergibt sich für die in § 1 Abs 3 DSG - und damit ebenso im Verfassungsrang stehenden - genannten Teilgrundrechte, die einem Konkretisierungsvorbehalt mit Ausgestaltungsauftrag an den einfachen Gesetzgeber unterliegen. Die Verfassungsnorm umschreibt den Inhalt der Rechte nicht abschließend, sondern überlässt die nähere Ausformung dem einfachen Gesetzgeber und räumt ihm einen gewissen Spielraum für die Regelung der Art und Weise der Geltendmachung und Durchsetzung des Anspruchs ein. Inhaltliche Beschränkungen der Rechte sind laut VfGH nicht Gegenstand des in § 1 Abs 3 DSG enthaltenen Auftrages an den Gesetzgeber.19 §§ 26 ff DSG 2000 hatten noch einfachgesetzliche Ausführungsbestimmungen enthalten, die jedoch das Datenschutz-Anpassungsgesetz 2018 ersatzlos strich. Zwar ergeben sich für natürliche Personen keine Rechtsdurchsetzungsdefizite, weil sie sich auf die Rechte in der DSGVO berufen können; für juristische Personen scheidet eine unmittelbare Anwendung der
DSGVO allerdings aus. Zwar kann die Regelung der Art und Weise der Geltendmachung und Durchsetzung des Anspruchs laut VfGH eine Beschränkung des Grundrechts bewirken, es darf jedoch nicht dazu führen, den Erfordernissen des Art 8 Abs 2 EMRK zu widersprechen.20 Der juristischen Person steht nun zwar ein Grundrecht auf Datenschutz inkl Rechte auf Auskunft, Richtigstellung und Löschung zu. Der einfache Gesetzgeber hat es bei der Novellierung des DSG jedoch verabsäumt, entsprechende Ausführungsbestimmungen zur Konkretisierung und Durchsetzung der Rechte gem § 1 Abs 3 DSG einzuführen. Nun könnte aufgrund des Ausgestaltungsvorbehalts argumentiert werden, dass § 4 Abs 1 DSG eine solche nähere Ausgestaltung darstellt. Allerdings kann dieser Vorbehalt nicht so ausgelegt werden, dass der einfache Gesetzgeber die Grundrechte quasi aushebelt. Infolge der Einschränkung in § 4 Abs 1 DSG fehlt juristischen Personen nämlich jede Möglichkeit, sich auf ihre Teilgrundrechte in § 1 Abs 3 DSG zu berufen, was zu einem Eingriff in das Grundrecht führte, der vom VfGH geprüft und im Falle einer Verletzung aufgehoben werden kann.21 Auch der juristischen Person muss daher ein Recht auf Einbringung einer Beschwerde vor der Datenschutzbehörde eingeräumt werden, wenn sie sich in den Teilgrundrechten des § 1 Abs 3 DSG verletzt fühlt.
Nach dem Wortlaut des § 24 Abs 1 DSG steht das Recht auf Beschwerde an die Datenschutzbehörde "betroffenen Personen" zu. Aufgrund der Durchführungsbestimmung gem § 4 Abs 1 DSG und im Lichte der Mat zu dieser Bestimmung müsse der Begriff laut BVwG iSd Art 4 Z 1 DSGVO dergestalt ausgelegt werden, dass nur natürliche Personen umfasst sind. Es bleibt daher abzuwarten, ob der VwGH den Begriff der "betroffenen Personen" in § 24 Abs 1 DSG im Rahmen einer verfassungskonformen Auslegung im Anwendungsbereich des Grundrechts der juristischen Person gem § 1 DSG weiter interpretiert als nach Art 4 Z 1 DSGVO und damit auch der juristischen Person die Möglichkeit einer Beschwerde bei der Datenschutzbehörde erhalten bleibt.
Ungeachtet der Verwendung in der Überschrift im DSG entfernt man sich mit der Gewährung von "Grundrechten" für juristische Personen stetig vom ursprünglichen (und korrekten) Begriffsinhalt des Wortes "Grundrecht" als Abwehrrecht der Gesellschaft und ihrer Mitglieder gegen den Staat.
Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG) BGBl I 1999/165 idF 2023/2.
DSB 25. 5. 2020, D124.1182; Lachmayer in Knyrim, DatKomm Art 1 DSGVO Rz 83; Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 1 Rz 7; Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 24 Rz 4, 317.
BVwG 19. 9. 2023, W298 2261568-1/16E ZFR 2024/8, 24 (in diesem Heft).
Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000) BGBl I 1999/165 idF I 2011/112.
Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018) BGBl I 2017/120.
IA 189/A BlgNR 26. GP; Bundesgesetz, mit dem das Datenschutzgesetz geändert wird (Datenschutz-Deregulierungs-Gesetz 2018) BGBl I 2018/24; ErläutRV 301 BlgNR 26. GP, die nur zum Entfall der §§ 2 und 3 DSG führte.
AÄA zu § 4 Abs 1 idF des Datenschutz-Deregulierungsgesetzes 2018 (AA-10 26. GP 4).
Richtigerweise hätte dann aber auch die Begriffsbestimmung in Art 4 Z 1 DSGVO ausgenommen werden müssen.
Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 4 Rz 10.
Lachmayer in Knyrim, DatKomm Art 1 DSGVO Rz 82; Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 1 Rz 20; Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 4 Rz 10.
DSB 25. 5. 2020, D124.1182, Rz 64.
Lachmayer in Knyrim, DatKomm Art 1 DSGVO Rz 83.
Schweiger in Knyrim, DatKomm Art 77 DSGVO Rz 19/1.
Vgl Dopplinger in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 1 Rz 3.
S auch Heißl in Knyrim, DatKomm Art 2 DSGVO Rz 23.
EuGH 9. 11. 2010, C-92/09 und C-93/09, Schecke und Eifert.
Vgl VfSlg 16.986/2003.
Vgl VfSlg 16.986/2003; 11.548/1987.
S auch Lehner/Lachmayer, Datenschutz im Verfassungsrecht 109; Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 1 Rz 199; Heißl in Knyrim, DatKomm Art 2 DSGVO Rz 25; Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 4 Rz 10.
