DSGVO: Juristische Personen haben keine Ansprüche

Um datenschutzrechtliche Ansprüche eines Unternehmens ging es kürzlich vor dem Oberlandesgericht Dresden (Urteil v. 14.03.2023, Az. 4 U 1377/22). Das klagende Unternehmen, als GmbH eine juristische Person, ging gegen die Beklagte vor, da diese Daten aus der Lohnbuchhaltung der Klägerin verwendet haben soll. Hierbei stützte sie einen Unterlassungsanspruch auch auf die DSGVO, womit sie allerdings scheiterte. Den Anspruch kann sie laut Urteil nicht geltend machen, weil sie ihn als juristische Person nicht hat. 

Beklagte verwendete Buchhaltungsdaten der Klägerin 

Immer mal wieder taucht die Annahme auf, mit juristischen Personen könnten insbesondere Rechtsanwältinnen und Rechtsanwälte gemeint sein. Praktisch geht es aber um etwas anderes, nämlich etwa Vereine oder Gesellschaften mit beschränkter Haftung (GmbH), aber auch Gesellschaften bürgerlichen Rechts (GbR) oder offene Handelsgesellschaften (oHG) werden dazu gezählt – gemeint sind Organisationen, die eigene Rechte haben können. Natürliche Personen sind dem gegenüber Menschen, als Träger von Rechten und Pflichten. Relevant ist diese Unterscheidung auch im vorliegenden Fall. 

Das klagende Unternehmen wollte hier gegen die Beklagte vorgehen, weil diese Lohnbuchhaltungsdaten der Klägerin verwendet haben soll. Genaugenommen ging es offenbar um zwei E-Mails, aus denen sich urlaubs- und krankheitsbedingte Fehlzeiten des Geschäftsführers und weiterer Mitarbeiter der Klägerin ergeben, und welche die Beklagte in einem anderen Verfahren als Beweismittel vorgelegt haben soll. 

DSGVO-Schutz für Unternehmensdaten?

Mit dem auf die DSGVO gestützten Unterlassungsanspruch kam die Klägerin aber nun nicht weit. Das OLG Dresden stellte fest, dass sie sich als juristische Person (hier GmbH) nicht auf die in der DSGVO enthaltenen Ansprüche berufen kann. Manch einem mag hier nun die Tatsache in den Sinn kommen, dass die DSGVO keine Unternehmensdaten schützt, und zumindest die Schussrichtung dieses Gedankens ist nicht fehl am Platz.

Die „personenbezogenen Daten“, deren Schutz sich die DSGVO verschrieben hat, umfassen nämlich nur Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Personen, einen Menschen, beziehen. So ist die Wohnadresse eines Menschen ein personenbezogenes Datum, das dem Schutz der DSGVO unterliegt, die Adresse des Sitzes einer GmbH hingegen aber in der Regel und als solches nicht. „Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Personen gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person“, heißt es recht ausdrücklich in Erwägungsgrund 14 der DSGVO, worauf sich auch das OLG Dresden bezieht. 

GmbH hat keine Ansprüche

„Moment mal!“, mag man da einwerfen, wenn man sich mit der tatsächlichen Situation auseinandersetzt: Es ging doch hier auch um Daten zu Fehlzeiten von Mitarbeitenden, sind das nun etwa keinen personenbezogenen Daten, obwohl sie natürliche Personen betreffen und dazu ja auch noch besonders sensibel sind? 

Natürlich orientiert sich das Recht da an den tatsächlichen Zuständen, und in dieser Realität ist es natürlich auch möglich, dass etwa die Adresse einer GmbH einem Mitarbeiter zugeordnet ist. Dass die Tatsache, wo bzw. für wen ein Mensch arbeitet, ein personenbezogenes Datum darstellen dürfte, ist de facto klar. 

Auch für den hiesigen Fall erkennt das Urteil an, dass die E-Mails, um deren Verwendung es ja geht, auch Daten enthalten, die jedenfalls den Geschäftsführer betreffen. Doch wer die Ansprüche hier im Verfahren geltend mache, das war eben nicht er selbst, sondern die GmbH, in eigenem Namen. Und das geht, so lässt sich dem Urteil entnehmen, eben nicht.