Blog > Totgesagte leben länger: Der Datenschutz für juristische Personen existiert >

Totgesagte leben länger: Der Datenschutz für juristische Personen existiert

Nach den Bestimmungen des bis Mai 2018 gültigen Datenschutzgesetzes 2000 waren vom Datenschutzrecht in Österreich bis dahin sowohl natürliche als auch juristische Personen umfasst. Mit Wirksamwerden der DSGVO und der dazugehörigen Novelle des DSG wurden diese Bestimmungen jedoch weitgehend aufgehoben. Eine verbliebene Verfassungsbestimmung hält den Datenschutz für juristische Personen jedoch weiterhin aufrecht, wie eine Entscheidung der Datenschutzbehörde in Erinnerung ruft.

Anlässlich des Wirksamwerdens der DSGVO wurde das Datenschutzgesetz 2000 im Mai 2018 umfassend novelliert bzw. mit Ausnahme einiger weniger Bestimmungen weitestgehend neu geschrieben. Eine der verbliebenen Bestimmungen ist der § 1 DSG (Grundrecht auf Datenschutz), der im Verfassungsrang für jedermann das Grundrecht auf Datenschutz normiert.

Der Begriff „jedermann“ umfasst sowohl natürliche als auch juristische Personen. Alle übrigen, einfachgesetzlichen, Bestimmungen des DSG 2000 zum Datenschutz für juristische Personen wurden damals aus dem DSG entfernt. Eine entsprechende Änderung der Verfassungsbestimmung des § 1 scheiterte jedoch an einer fehlenden Zweidrittelmehrheit im Nationalrat.

Seither wurde in Datenschutzkreisen kontrovers diskutiert, ob und wenn ja in welchem Umfang, juristische Personen aufgrund dieser Bestimmung weiterhin ein Recht auf den Schutz ihrer personenbezogenen Daten genießen.

Die Beschwerde eines Unternehmens des Arzneimittel-Großhandels, das sich durch die Kontrolltätigkeit einer Aufsichtsbehörde in seinem Grundrecht auf Datenschutz verletzt sah, nahm die Datenschutzbehörde zum Anlass, ihre Rechtsansicht zu dieser Frage darzulegen (GZ 2020-0.191.240, Volltext für Abonnenten im Datenschutzhandbuch verfügbar).

Die Datenschutzbehörde kommt dabei zu dem Ergebnis, dass sich das beschwerdeführende Unternehmen auf den Schutzumfang des § 1 DSG in seiner Gesamtheit berufen kann, weil einerseits für Mitgliedsstaaten der EU die Möglichkeit besteht einen über die Charta der Grundrechte der EU (insbes. Art 8) hinausgehenden Schutz zu gewährleisten und andererseits dadurch weder das Schutzniveau der Grundrechtecharta noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt werden. Aus europarechtlicher Sicht spricht dementsprechend also nichts gegen das Grundrecht auf Datenschutz für juristische Personen und ist diese Verfassungsbestimmung daher zulässig.

Nach nationalem Recht war jedoch noch die Frage zu klären, ob dieses Grundrecht auch im Rahmen eines Verfahrens vor der Datenschutzbehörde durchgesetzt werden kann. Auch diese Frage bejaht die Datenschutzbehörde und führt dazu aus:

„Eine Auslegung der einfachgesetzlichen Bestimmungen, insbesondere der §§ 4 und 24 DSG, dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln zu wollen als natürliche Personen (…).“

Aus dieser Rechtsansicht der Datenschutzbehörde ergibt sich, dass juristische Personen Verletzungen ihres Rechts auf Auskunft, Richtigstellung, Löschung oder Feststellung der Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG ebenso wie natürliche Personen im Rahmen einer Beschwerde an die Datenschutzbehörde geltend machen können.

Darüber hinausgehende Betroffenenrechte, wie z.B. das Recht auf Datenübertragbarkeit oder das Recht auf Einschränkung der Verarbeitung, die nur in der DSGVO verankert sind, stehen juristischen Personen jedoch weiterhin nicht zur Verfügung.

Im konkreten Fall des Arzneimittel-Großhändlers wurde die Beschwerde schlussendlich aus inhaltlichen Gründen als unbegründet abgewiesen. Generell ergibt sich für Unternehmen damit aber neuerlich die Möglichkeit, die Verarbeitung ihrer personenbezogenen Daten und die Einhaltung ihrer Datenschutzrechte durch die Datenschutzbehörde überprüfen zu lassen.

 

Datenschutz Online-Schulung

Newsletter

Für den Datenschutzbrief
anmelden >