Datenschutz im Gesellschaftsrecht

Das Datenschutzrecht hat im Gesellschaftsrecht Einzug genommen. In einer Vielzahl von komplexen Konstellationen wird häufig übersehen, dass das Datenschutzrecht auch in gesellschaftsrechtlichen Fragen berücksichtigt werden muss.

1. Listen der Gesellschafter, Aktionäre Vereinsmitglieder, Genossenschaftsmitglieder oder Kommanditisten

Alle diejenigen, die mit Listen von Gesellschaftern, Aktionäre Vereinsmitgliedern, Genossenschaftsmitgliedern oder Kommanditisten umgehen, müssen die Anforderungen der Datenschutzgrundverordnung erfüllen. Zu den Verpflichteten jedenfalls die Gesellschaft selbst, der Notar und das Registergericht. Zu den Anforderungen der Datenschutzgrundverordnung gehört zunächst die Frage, ob und auf welcher Grundlage (in der Regel Art. 6 Abs. 1 lit. b) zu DS-GVO) die Verarbeitung der personenbezogenen Daten erfolgt. Darüber hinaus müssen die Hinweispflichten nach Art. 13 DS-GVO oder Art. 14 DS-GVO in Gestalt von Datenschutzhinweisen erfüllt werden.

Instruktiv ist hier die Entscheidung des OLG München (Urteil vom 16.01.2019, Az. 7 U 342/18).

2. Due Diligence

Der Datenschutz muss insbesondere auch im Rahmen von Due Diligence berücksichtigt werden. Es muss geprüft und klargestellt werden, ob und inwieweit Dienstleister für datenschutzrechtliche Fragen verantwortlich sind, ob ein Auftragsverarbeitungsverhältnis nach Art. 28 DS-GVO oder aber eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegt. Entsprechende vertragliche Vereinbarungen müssen getroffen werden.

Bereits beim Letter of Intent bei der späteren Transaktion müssen datenschutzrechtliche Fragen grundsätzlich berücksichtigt werden. Es wird dann zu prüfen sein, ob über Kunden, Arbeitnehmern oder Lieferanten ein Fall des Art. 14 Abs. 5 lit. b) DS-GVO i.V.m. § 26 Abs. 1 Satz 1 BDSG vorliegt.

3. Verantwortung der Organ für Datenschutz und IT-Sicherheit

Mit der Zunahme der Datenmengen steigt auch die Verantwortung der Organe. Datenschutz und IT-Sicherheit sollte grundsätzlich „Chefsache“ sein. Zuständig für den Datenschutz und IT-Sicherheit ist der „Verantwortliche“ nach Art. 4 Nr. 7 DS-GVO, also die Gesellschaft, vertreten durch die Organe.

Die pflichtgemäße Organisation durch die Geschäftsführung oder Vorstand, insbesondere mit Blick auf die Grundsätze der DS-GVO, Berichtswesen, Überprüfungen, Dokumentation usw. kann durch Satzung oder Geschäftsordnung erfolgen.

Die Haftung eines Vorstandes richtet sich nach § 93 Abs. 2 S. 1 AktG bzw. eines Geschäftsführers nach § 43 Abs. 2 GmbHG.

Das OLG Köln hat in seinem Urteil vom 26.07.2019 (Az. 20 U 75/18, Rdnr. 66, BeckRS 2019, 162619) entschieden, dass Auskunftsrecht keine Abwägung mit wirtschaftlichen Erwägungen erfolgen könne.

Zusammenfassung des Vortrags „Datenschutz und Gesellschaftsrecht“ auf dem 5. Kölner Syndikus-Rechtstag von IHK Köln, KAV und BU am 13.09.2019. Präsentation auf dem Kanzleiprofil abrufbar: https://www.werner-ri.de/team/partner/dipl-inform-dr-jur-marcus-werner/