„Unternehmen haben ja sowieso keine Datenschutzrechte!“ – Haben Sie das schon mal gehört? Dieser Glaube geistert durch die Unternehmerwelt und hält sich hartnäckig. Dabei stimmt das gar nicht. Oder nicht ganz 😉
„Ob DSG oder DSGVO, was ändert das schon. Datenschutz ist Datenschutz – egal, mit wie vielen Buchstaben.“
Klingt vernünftig? Tja, die Welt ist nicht so einfach und die Realität sieht anders aus, wie eine Entscheidung der österreichischen Datenschutzbehörde zeigt. Darin lässt sich gut erkennen, warum sich Unternehmen nicht nur mit der DSGVO sondern auch intensiv mit dem DSG befassen müssen.
Die Entscheidung der Datenschutzbehörde: Endlich Klarheit oder neue Fragen?
Erst kürzlich befasste sich die österreichische Datenschutzbehörde mit der Frage, ob eine juristische Person, dazu zählt eine Vielzahl an Unternehmen, eine Beschwerde wegen einer angeblichen Verletzung ihrer Datenschutzrechte erheben kann. Diese Fragestellung mag verwirren, denn warum sollte das nicht möglich sein?
Das hängt mit der Struktur des in Österreich anwendbaren Datenschutzrechts zusammen. Die rechtlichen Rahmenbedingungen des Datenschutzes unterscheiden sich nämlich enorm, je nachdem, ob das DSG oder die DSGVO anzuwenden ist.
Der Anwendungsbereich: Wer genießt welchen Schutz?
Der wohl markanteste Unterschied zwischen DSG und DSGVO besteht darin, wer sich auf Rechte daraus berufen kann. Die DSGVO verfolgt einen besonders restriktiven Ansatz und schützt ausschließlich natürliche Personen, also Menschen, vor der unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten. Unternehmen, Vereine und andere juristische Personen bleiben außen vor. Also unabhängig davon, wie heikel Unternehmensdaten sein mögen, sie werden von der DSGVO nicht geschützt.
Österreich geht mit dem nationalen DSG einen einzigartigen Weg. Mit diesem werden nämlich sowohl natürlichen als auch juristischen Personen Datenschutzrechte zugesprochen.
Daraus ergibt sich eine besondere Situation. Trotz des Versuchs, durch die DSGVO das europäische Datenschutzrecht anzugleichen, werden die personenbezogenen Daten juristischer Personen in Österreich auf eine Weise geschützt, die ihnen in anderen EU-Mitgliedstaaten nicht zukommt.
Welche Rechte stehen juristischen Personen jetzt eigentlich zu?
Nachdem geklärt ist, welche Rechtsgrundlage für wen anzuwenden ist, stellt sich die Frage, welchen Schutz das DSG und die DSGVO bieten und ob dieser vergleichbar ist. Die simple Antwort lautet nein. Denn während natürliche Personen unter der DSGVO eine umfangreiche Palette an Betroffenenrechten genießen, fällt der Schutz für juristische Personen nach dem DSG weitaus bescheidener aus. Diese können lediglich die DSG-Rechte auf Geheimhaltung, Auskunft, Berichtigung und Löschung von personenbezogenen Daten geltend machen. Daraus ergeben sich unterschiedliche Betroffenenrechte für natürliche Personen und juristische Personen. Das bedeutet, dass Unternehmensinhaber andere (und vor allem mehr) Rechte für sich selbst geltend machen können, als es den Inhaberinnen im Namen ihres Unternehmens möglich ist. Natürlich unabhängig davon, ob es sich um Frauen oder Männer handelt ;-).
Beschwerderechte: Wer darf sich wehren?
Ein weiterer zentraler Unterschied zwischen DSG und DSGVO ergibt sich auch aus der Möglichkeit, eine Beschwerde gegen eine Datenverarbeitung einzubringen. Laut dem österreichischen DSG können sich sowohl natürliche als auch juristische Personen an die Datenschutzbehörde wenden, wenn sie sich in ihren Datenschutzrechten verletzt sehen. Sie können also vermeintliche Datenschutzverletzungen sowohl im Namen eines Unternehmens als auch für sich selbst geltend machen. Die DSGVO hingegen sieht entsprechend ihres Anwendungsbereichs ein solches Recht ausschließlich für natürliche Personen vor.
Dies führt zu der paradoxen Rechtssituation, dass natürlichen Personen auf nationaler und europäischer Ebene umfassende Beschwerdemöglichkeiten zukommen (DSG/DSGVO), während juristische Personen auf nationaler Ebene ein eingeschränktes Beschwerderecht haben (DSG) und ihnen auf europäischer Ebene sogar gar keine Beschwerdemöglichkeit offensteht (DSGVO).
Die Beschwerdebefugnis juristischer Personen kann sich also ausschließlich aus dem nationalen Recht ergeben und sich auch nur auf die im DSG verankerten Rechte erstrecken.
Fazit: Datenschutzrecht für juristische Personen – eine halbe Lösung?
Zusammengefasst bedeutet das also, dass das DSG Unternehmen und anderen juristischen Personen gewisse Datenschutzrechte gewährt, die in der DSGVO nicht vorgesehen sind. Diese nationale Sonderlösung ermöglicht es Unternehmen, ihre Daten zumindest begrenzt zu schützen und bei behaupteten Verstößen Beschwerde einzulegen. Dennoch bleibt die Schutzlücke im Gegensatz zu natürlichen Personen eklatant.
MeineBerater-Tipp
Datenschutz? Ein Unternehmen hat mehr Rechte, als wir alle vielleicht dachten 😉
Die DSGVO schützt zwar nur natürliche Personen, doch das österreichische DSG räumt auch juristischen Personen Unternehmen Datenschutzrechte ein. Das heißt, wenn Betroffenenrechte im Namen eines Unternehmens ausgeübt werden, wenden Sie sich am besten an uns, wir helfen Ihnen bei der rechtsrichtigen Einschätzung und Beantwortung. Und bei den natürlichen Personen sowieso.
Kontaktieren Sie uns unter office@meineberater.at, um unsere Unterstützung anzufordern. 😊