Die DSB hat am 19.7.2018 (DSB-D123.089/0002-DSB/2018) eine Beschwerde zu einem Löschungsantrag einer juristischen Person abgewiesen. Der Sachverhalt betraf eine Bewertung einer SteuerberatungsGmbH auf
Eine Bewertung im Internet als Auslöser
Eine SteuerberatungsGmbH verlangte am 16. Mai 2018 von einem Internetplattformbetreiber die Löschung einer Bewertung. Aus dem Bescheid der DSB ist erkennbar, dass eine Löschung nicht erfolgte, und der Plattformbetreiber gar nicht reagierte.
Daraufhin wandte sich die SteuerberatungsGmbH mit einer Beschwerde wegen Verletzung des Rechts auf Löschung an die DSB. Sie bezog sich explizit auf sich selbst als juristische Person.
Die juristische Person und das DSG (in Ö)
Die DSB stellte fest, dass aufgrund von § 1 Abs 1 DSG („Jedermann …“) auch einer juristischen Person ein Recht auf Geheimhaltung zukommt:
„Gemäß § 1 Abs. 3 DSG idgF hat Jedermann das in Z 2 leg. cit. angeführte Recht auf Löschung unzulässigerweise verarbeiteter Daten.
Entsprechend der Legaldefinition nach § 4 Z 3 DSG 2000 idF BGBl. I Nr. 83/2013 fiel eine juristische Person (also auch die Beschwerdeführerin als GmbH) unter dem Begriff „Betroffener“.“
Die juristische Person und die DSGVO
Die DSGVO bezieht sich ausschließlich auf „natürliche Personen“:
„Der Anwendungsbereich der seit 25. Mai 2018 geltenden DSGVO erschöpft sich jedoch ausdrücklich auf den Schutz natürlicher Personen:
Die Begriffsbestimmung der „betroffenen Person“ in Art. 4 Z 1 DSGVO stellt auf eine „identifizierte oder identifizierbare natürliche Personen“ ab. Vor diesem Hintergrund ist das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 Abs. 1 einer juristischen Person nicht zugänglich, da auch hier auf das Beschwerderecht einer betroffenen und somit natürlichen Person abgestellt wird.“
Rechtliche Auswirkungen dieses „Zusammenspiels“
§ 1 Abs 3 DSG gewährt „jedermann“ (und damit auch juristischen Personen) ein Recht auf Löschung, welches „nach Maßgabe der gesetzlichen Bestimmungen“ zusteht.
Dies stellt einen Auftrag dar, der in gesetzlicher Form auszugestalten ist. In § 27 DSG 2000 war dieser Ausgestaltungsauftrag erfüllt, wobei diese Bestimmung seit 24.5.2018, 24.00 Uhr außer Kraft getreten ist.
Im neuen DSG (Datenschutzgesetz) gibt es keine gesetzliche Ausführungsbestimmung zum Recht auf Löschung iSd § 1 Abs 3 DSG, und es ist daher auf die direkt anwendbaren Bestimmungen der DSGVO zurückzugreifen. Die DSGVO kennt jedoch in den Art 12 iVm Art 17 („Recht auf Löschung“) keine Beschwerdemöglichkeit für juristische Personen.
Das „Recht auf Löschung“ nach der DSGVO ist auf natürliche Personen beschränkt, sodass sich juristische Personen nicht darauf berufen können, und daher auch keine Beschwerde an die DSB erheben können.
„Ferner würde eine Interpretation von § 1 Abs. 3 DSG dahingehend, dass das Recht auf Löschung auch juristischen Personen zugänglich ist, § 24 Abs. 1 DSG einen unionsrechtswidrigen Inhalt unterstellen.“
Konsequenzen aus diesem Bescheid?
· Eine juristische Person kann sich auf das Recht auf
Geheimhaltung iSd § 1 Abs 1 DSG berufen.
· Eine juristische Person kann „nach Maßgabe der
gesetzlichen Bestimmungen“ das Recht auf Löschung auch durchsetzen, sich jedoch mangels Regelung im DSG für Beschwerdemöglichkeiten für
juristische Personen nicht mit einer Beschwerde an die DSB wenden. Auch § 24 DSG („Beschwerde an die Datenschutzbehörde“) bezieht sich nur auf „betroffene Personen“.
· Der juristischen Person stehen mE andere rechtliche Möglichkeiten zur Verfügung. Es könnte zB auch eine zivilrechtliche Unterlassungsklage und Klage auf Beseitigung des grundrechtswidrigen Zustandes aufgrund der Beeinträchtigung des allgemeinen Persönlichkeitsrechts des § 16 ABGB geführt werden, wobei es noch keine Rechtsprechung zur Frage gibt, ob einer juristischen Person ein allgemeines Persönlichkeitsrecht zukommt oder nicht. Bei einer Videoübwachungsanlage wurde einer juristischen Person jedoch die Legitimation zur Klage unter bestimmten Umständen zuerkannt (6 Ob 231/16p).
Wenn die Bewertung „unwahr“ ist, könnte auch eine Klage auf Unterlassung/Beseitigung aufgrund Kreditschädigung möglich sein.
06.04.2019, Autor:
Michael Schweiger, zert. DSBA
Kommentar schreiben
Dipl.-Ing. Florian Fuchs (Freitag, 10 Mai 2019 18:58)
Im RIS ist angeführt, dass es sich dabei um einen grenzüberschreitenden Fall handelt. Im "Datenschutzbericht 2018" erklärt die DSB, dass sie in grenzüberschreitenden Fällen die Rechtsfragen ausschließlich auf Basis der DSGVO entscheiden kann.
Gehen Sie dennoch davon aus, dass auch bei einem nicht-grenzüberschreitenden Fall eine juristische Person kein Beschwerderecht hätte?
Thomas Schweiger (Sonntag, 12 Mai 2019 18:57)
Sg. Hr. DI Fuchs,
aus dem Sachverhalt ergibt sich für mich, dass die "betroffene" GmbH aus Ö stammt und der Verantwortliche seinen Sitz außerhalb Ö ("N Search LLC") hat.
Der Sitz des Verantwortlichen spielt in der Beurteilung der DSB in Bezug auf § 1 Abs 1 DSG und § 1 Abs 3 DSG und die Notwendigkeit der Ausführungsgesetzgebung mE keine Rolle. Für die Beschwerdemöglichkeit an die DSB durch die juristische Person fehlt es an einer gesetzlichen Regelung.