DSGVO und Juristische Personen: Das Urteil des OLG Dresden

Juristische Personen sind Einheiten, die durch das Gesetz als rechtlich eigenständige Einheiten anerkannt sind. Sie können Eigentum besitzen, Verträge abschließen und vor Gericht klagen oder verklagt werden. Beispiele für juristische Personen sind Unternehmen, Vereine oder Stiftungen. Personenbezogene Daten sind Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Dies kann alles von Namen, Adressen, E-Mail-Adressen bis hin zu IP-Adressen sein. Das Urteil des Oberlandesgerichts Dresden, dass die Datenschutzgrundverordnung bei juristischen Personen nicht greift, mag für einige überraschend sein, da es eine klare Unterscheidung zwischen natürlichen und juristischen Personen in Bezug auf den Datenschutz darstellt.

Das Urteil des OLG Dresden: Kein DSGVO-Schutz für juristische Personen

Das OLG Dresden entschied am 14.03.2023, dass juristische Personen keinen Unterlassungsanspruch nach der DSGVO geltend machen können. Der Grund dafür ist, dass die DSGVO personenbezogene Daten schützt, die sich typischerweise auf identifizierbare natürliche Personen beziehen, nicht auf juristische Personen. Dieses Urteil steht im Gegensatz zu einem früheren Urteil des Landgerichts Hamburg, das entschieden hatte, dass juristischen Personen ein Löschungsanspruch zusteht, wenn die betreffenden Informationen Bezug auf die hinter der juristischen Person stehenden natürlichen Personen nehmen.

Der Fall vor dem OLG Dresden: Unternehmen gegen Beklagten

Ein Unternehmen klagte vor dem OLG Dresden gegen einen Beklagten, der Daten aus seiner Lohnbuchhaltung verwendet hatte. Das Unternehmen behauptete, dass dies gegen das Gesetz zum Schutz von Geschäftsgeheimnissen und die DSGVO verstoße. Das Gericht wies die Klage jedoch ab, da es der Ansicht war, dass keine Ansprüche nach der DSGVO geltend gemacht werden könnten.

Die Auswirkungen des Urteils: Was bedeutet das für juristische Personen?

Das Urteil des OLG Dresden hat weitreichende Auswirkungen auf juristische Personen. Es stellt klar, dass die DSGVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen gilt. Dies könnte dazu führen, dass Unternehmen ihre Datenschutzpraktiken überdenken müssen, insbesondere in Bezug auf die Verarbeitung personenbezogener Daten. Es bleibt jedoch abzuwarten, wie dieses Urteil in zukünftigen Fällen angewendet wird und ob es zu weiteren rechtlichen Diskussionen über den Anwendungsbereich der DSGVO führen wird.

Juristische Gründe für das Urteil

Das OLG Dresden stützte seine Entscheidung auf den Wortlaut von Art. 4 Nr. 1 DSGVO und Erwägungsgrund 14 S. 2 DSGVO. Nach diesen Bestimmungen bezieht sich der Schutz der „personenbezogenen Daten“ nur auf Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Juristische Personen können sich daher nicht auf die in der DSGVO enthaltenen Ansprüche berufen. Dies wird auch durch Erwägungsgrund 14 S. 2 DSGVO bestätigt, der klarstellt, dass der durch die Verordnung gewährte Schutz für die Verarbeitung der personenbezogenen Daten natürlicher Personen gelten soll, nicht aber für juristische Personen.

Das Gericht stellte auch klar, dass die Klägerin ihre Ansprüche nicht auf das Bundesdatenschutzgesetz stützen konnte. Obwohl sie als juristische Person des privaten Rechts eine nichtöffentliche Stelle im Sinne von § 1 Abs. 1 Satz 2, § 2 Abs. 4 BDSG darstellt und damit Verpflichtete im Sinne des BDSG ist, führt dies nicht zu einem eigenen Anspruch der Klägerin als juristische Person gegen einen Dritten.

Das Gericht wies auch darauf hin, dass die DSGVO und das BDSG Schutzgesetze im Sinne von § 823 Abs. 2 BGB darstellen können, jedoch nur zugunsten des betroffenen Einzelnen. Da die DSGVO unmittelbare Rechtsverbindlichkeit hat und Vorrang vor nationalem Recht hat, verbleibt dem nationalen Recht nur dann ein Anwendungsbereich, wenn der sachliche Anwendungsbereich der DSGVO eingeschränkt ist oder wenn der europäische Gesetzgeber den Mitgliedstaaten durch eine Öffnungsklausel die Befugnis zur Konkretisierung der DSGVO oder Abweichung von ihren Regelungen eingeräumt hat.

Abschließend stellte das Gericht fest, dass die Klägerin für die von ihr geltend gemachten Ansprüche auch nicht auf §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB analog i.V.m. ihrem allgemeinen Persönlichkeitsrecht berufen konnte. Obwohl juristische Personen des Privatrechtes grundsätzlich zivilrechtlichen Persönlichkeitsschutz genießen, ist die Klägerin als juristische Person nicht vom Schutzgehalt der Gewährleistung des Rechts auf informationelle Selbstbestimmung umfasst. Dieser Schutzgehalt bezieht sich auch verfassungsrechtlich allein auf natürliche Personen, deren freie Entfaltung es sicherstellen will.

Fazit: Die Grenzen des Datenschutzes und des Schutzes von Geschäftsgeheimnissen

Das Urteil des OLG Dresden hat wichtige Klarstellungen zum Datenschutzrecht und zum Schutz von Geschäftsgeheimnissen gebracht. Es hat deutlich gemacht, dass juristische Personen keinen Anspruch auf Schutz nach der DSGVO haben. Dies gilt unabhängig davon, ob sie versuchen, ihre Ansprüche auf die DSGVO selbst, das BDSG oder das allgemeine Persönlichkeitsrecht zu stützen.

Darüber hinaus hat das Gericht entschieden, dass Informationen aus der Lohnbuchhaltung, die keinen wirtschaftlichen Wert haben, nicht als Geschäftsgeheimnisse gelten. In dem vorliegenden Fall enthielten die streitgegenständlichen E-Mails Angaben zu Urlaubs- und Krankheitstagen von Mitarbeitern des klagenden Unternehmens sowie Informationen über Prämienzahlungen und die Arbeitsstunden eines bestimmten Arbeitnehmers. Obwohl diese Informationen nicht allgemein bekannt sind und das Unternehmen ein erhebliches Interesse an ihrer Geheimhaltung hat, insbesondere zum Schutz der persönlichen Daten seiner Mitarbeiter, hat das Gericht entschieden, dass sie nicht den Schutz des Gesetzes zum Schutz von Geschäftsgeheimnissen genießen.

Dieses Urteil unterstreicht die Notwendigkeit für Unternehmen, ihre Datenschutzpraktiken und die Handhabung von Geschäftsgeheimnissen sorgfältig zu überprüfen. Es zeigt auch, dass der Schutz personenbezogener Daten in erster Linie auf natürliche Personen und nicht auf juristische Personen abzielt. Es bleibt abzuwarten, wie dieses Urteil in zukünftigen Fällen angewendet wird und ob es zu weiteren rechtlichen Diskussionen über den Anwendungsbereich der DSGVO und des Gesetzes zum Schutz von Geschäftsgeheimnissen führen wird.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.