2023-0.058.359 – Datenschutzbehörde Entscheidung

GZ: 2023-0.058.359 vom 10.August 2023 (Verfahrenszahl: DSB-D124.1612/22)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

TEILBESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der A*** KG (Beschwerdeführerin) vom 20. Dezember 2022, verbessert mit Eingabe von 23. Jänner 2023, gegen die 1. N*** Süd GmbH (Erstbeschwerdegnerin), 2. die N*** International GmbH (Zweitbeschwerdegnerin), 3. die N*** Tiefkühl GmbH (Drittbeschwerdegegnerin), 5. das Vertretungsorgan der N*** Süd GmbH (Fünftbeschwerdegegner), 6. das Vertretungsorgan der N*** International GmbH (Sechstbeschwerdegegner) sowie 7. das Vertretungsorgan der N*** Tiefkühl GmbH (Siebtbeschwerdegegner) wegen behaupteter Verletzung im Recht auf Geheimhaltung wie folgt:

- Die Beschwerde wird zurückgewiesen .

Rechtsgrundlagen : § 1 Abs. 1 und 24 Abs. 1 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 1, Art. 4 Z 1 und Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 S. 1; §§ 105, 161 des Unternehmensgesetzbuches (UGB), dRGBl. S 219/1897 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

Mit Eingabe vom 20. Dezember 2022, verbessert mit Eingabe von 23. Jänner 2023, behauptete die Beschwerdeführerin von der Erst-, Zweit- und Drittbeschwerdegegnerin sowie dem Fünft-, Sechst- und Siebtbeschwerdegegner im Recht auf Geheimhaltung verletzt worden zu sein, da diese die Daten der Beschwerdeführerin an die B*** Markt GmbH mit der Anschrift O***gasse *7, **** Wien, weitergegeben hätten.

B. Beschwerdegegenstand

In der vorliegenden Sache ist zu überprüfen, ob die Beschwerdegegner – wobei es sich bei der Erst-, Zweit- und Drittbeschwerdegegnerin um Gesellschaften mit beschränkter Haftung mit Sitz in Deutschland und beim Fünft-, Sechst-, und Siebtbeschwerdegegner um die jeweiligen Vertretungsorgane der Erst-, Zweit- und Drittbeschwerdegegnerin handelt – die Beschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt haben, indem sie Daten der Beschwerdeführerin verarbeitet und an die B*** Markt GmbH mit Sitz in Österreich übermittelt haben. Zunächst stellt sich jedoch die Frage, ob der Beschwerdeführerin das Recht auf Beschwerde bei einer Aufsichtsbehörde im Sinne von Art. 77 Abs. 1 DSGVO bzw. § 24 DSG zugänglich ist.

C. Sachverhaltsfeststellungen:

1. Die Beschwerdeführerin ist eine KG (Kommanditgesellschaft). Sie brachte am 20. Dezember 2022, verbessert mit Eingabe von 23. Jänner 2023, eine Beschwerde wegen Verletzung im Recht auf Geheimhaltung ein, die sich explizit auf die Beschwerdeführerin als KG bezieht.

Beweiswürdigung : Die getroffenen Feststellungen beruhen auf dem Vorbringen der Beschwerdeführerin vom 20. Dezember 2022 und 23. Jänner 2023. Dass es sich bei der Beschwerdeführerin um eine Kommanditgesellschaft handelt, ergibt sich auch aus dem seitens der Datenschutzbehörde am 09.08.2023 abgerufenen Firmenbuchauszug zur FN *6**11h, A*** KG mit der Geschäftsanschrift O***gasse *8/*5, **** Wien. Dass die Beschwerdeführerin als Kommanditgesellschaft eine Verletzung im Recht auf Geheimhaltung geltend macht, ergibt sich aus der verbesserten Beschwerde vom 23. Jänner 2023, in der die Beschwerdeführerin zur Bezeichnung des als verletzt erachteten Rechts wie folgt ausführt: „Das verfassungsgesetzlich gewährleistete Recht auf Geheimhaltung personenbezogener Daten der A*** KG gemäß § 1 Abs 1 DSG “.

2. Bei der Erstbeschwerdegegnerin handelt es sich um die N*** Süd GmbH mit Sitz in der T***straße *5/**0, *6*4* V***stadt, Deutschland.

Bei der Zweitbeschwerdegegnerin handelt es sich um die N*** International GmbH mit Sitz am Z***platz 1*/4/*5, *2**9 U***hausen, Deutschland.

Bei der Drittbeschwerdegegnerin handelt es sich um die N*** Tiefkühl GmbH mit Sitz in der I***allee *3a, *8*07 O***dorf, Deutschland.

Beweiswürdigung : Die getroffenen Feststellungen ergeben sich aus dem Vorbringen der Beschwerdeführerin vom 23. Jänner 2023.

3. Beschwerdegegenständlich ist die Verarbeitung und Übermittlung von Daten der Beschwerdeführerin durch die Erst-, Zweit- und Drittbeschwerdegegnerin und deren Vertretretungsorgane - dem Fünft-, Sechst-, und Siebtbeschwerdegegner - an die B*** Markt GmbH mit Sitz in der O***gasse *7, **** Wien, Österreich. Konkret geht es dabei um die Daten zu den - von der Beschwerdeführerin bei der Erst-, Zweit- und Drittbeschwerdegegnerin - bestellten Produkten, um Daten zu Mengen dieser bestellten Produkte, um Daten zur geschätzten Absatzmenge dieser Produkte sowie um Daten des Betriebsortes der Beschwerdeführerin.

Beweiswürdigung : Die getroffene Feststellung ergibt sich aus dem Vorbringen der Beschwerdeführerin vom 23. Jänner 2023.

D. In rechtlicher Hinsicht folgt daraus:

D. 1 Anzuwendende Rechtsvorschriften

§ 1 Abs. 1 DSG lautet samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Artikel 1

(Verfassungsbestimmung)

Grundrecht auf Datenschutz

(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.“

§ 24 Abs. 1 DSG lautet samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Beschwerde an die Datenschutzbehörde

§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.“

Art. 1 DSGVO lautet samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Artikel 1

Gegenstand und Ziele

(1)   Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2)   Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3)   Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Art. 4 Z 1 DSGVO lautet samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

Art. 77 Abs. 1 DSGVO lautet samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“

§ 105 UGB lautet samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Zweites Buch Offene Gesellschaft, Kommanditgesellschaft und stille Gesellschaft

Erster Abschnitt Offene Gesellschaft

Erster Titel Errichtung der Gesellschaft

Begriff

§ 105. Eine offene Gesellschaft ist eine unter eigener Firma geführte Gesellschaft, bei der die Gesellschafter gesamthandschaftlich verbunden sind und bei keinem der Gesellschafter die Haftung gegenüber den Gesellschaftsgläubigern beschränkt ist. Die offene Gesellschaft ist rechtsfähig . Sie kann jeden erlaubten Zweck einschließlich freiberuflicher und land- und forstwirtschaftlicher Tätigkeit haben. Ihr gehören mindestens zwei Gesellschafter an.“

§ 161 UGB lautet samt Überschrift (Hervorhebungen durch die Datenschutzbehörde):

„Zweiter Abschnitt. Kommanditgesellschaft.

Begriff, Anwendung der Vorschriften über die offene Gesellschaft

§ 161. (1) Eine Kommanditgesellschaft ist eine unter eigener Firma geführte Gesellschaft, bei der die Haftung gegenüber den Gesellschaftsgläubigern bei einem Teil der Gesellschafter auf einen bestimmten Betrag (Haftsumme) beschränkt ist (Kommanditisten), beim anderen Teil dagegen unbeschränkt ist (Komplementäre).

(2) Soweit dieser Abschnitt nichts anderes bestimmt, finden auf die Kommanditgesellschaft die für die offene Gesellschaft geltenden Vorschriften Anwendung.“

D. 2 In der Sache

Gemäß § 1 Abs. 1 DSG idgF hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

Im vorliegenden Fall handelt es sich bei der Beschwerdeführerin um eine Kommanditgesellschaft.

§ 105 UGB legt fest, dass eine offene Gesellschaft rechtsfähig ist. Gemäß § 161 Abs. 2 UGB finden auf die Kommanditgesellschaft die für die offene Gesellschaft geltenden Vorschriften Anwendung, soweit dieser Abschnitt (= Zweiter Abschnitt „Kommanditgesellschaft“ des Zweiten Buches „Offene Gesellschaft, Kommanditgesellschaft und stille Gesellschaft“ des UGB) nichts anderes bestimmt. Da der Zweite Abschnitt „Kommanditgesellschaft“ des Zweiten Buches „Offene Gesellschaft, Kommanditgesellschaft und stille Gesellschaft“ des UGB zur Rechtsfähigkeit von Kommanditgesellschaften nichts anderes bestimmt, gilt der zweite Satz des § 105 UGB.

Das bedeutet: Auch die Kommanditgesellschaft ist rechtsfähig. Dadurch ist sie auch partei-, insolvenz- und deliktsfähig (vgl. dazu Koppensteiner/Auer in Straube/Ratka/Rauter, UGB I 4 § 161 Rz 3 (Stand 1.10.2020, rdb.at)).

Ob es sich bei der Kommanditgesellschaft aber auch um eine juristische Person handelt, ist umstritten (verneinend etwa Duursma/Duursma-Kepplinger/Roth, Gesellschaftsrecht Rz 1122; Schauer in Kalss/Nowotny/Schauer, Gesellschaftsrecht 2 Rz 2/285; bejahend schon zum HGB Dellinger, Rechtsfähige Personengesellschaften 28 ff, je mwN; vgl auch Meinungsübersicht bei Krejci in Krejci, RK UGB § 105 Rz 14; vgl. dazu im Gesamten Koppensteiner/Auer in Straube/Ratka/Rauter, UGB I 4 § 161 Rz 4 (Stand 1.10.2020, rdb.at) ö.

Nun umfasst „jedermann“ in § 1 Abs. 1 DSG auch juristische Personen .

Allerdings legt § 3 Abs. 1 DSG ebenfalls fest, dass die Bestimmungen des Datenschutzgesetzes auf die Verwendung von personenbezogenen Daten im Inland anzuwenden sind.

Da es sich im vorliegenden Fall jedoch um eine Datenverarbeitung und –übermittlung durch Gesellschaften mit beschränkter Haftung (Erst-, Zweit- und Drittbeschwerdegegnerin) samt den diesen Gesellschaften zurechenbaren Vertretungsorganen (Fünft-, Sechst-, und Siebtbeschwerdegegner) – in Deutschland und somit nicht im Inland handelt, gelangt § 1 Abs. 1 DSG wie auch § 24 Abs. 1 DSG nicht zur Anwendung. Insofern kann auch dahingestellt bleiben, ob die Beschwerdeführerin – eine Kommanditgesellschaft – als juristische Person zu qualifizieren ist.

Darüber hinaus ist weiters die Anwendung der DSGVO zu überprüfen: Art. 1 Abs. 1 DSGVO legt fest, dass die DSGVO Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten enthält. Art. 1 Abs. 2 DSGVO legt fest, dass die DSGVO Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten schützt .

Dass ausschließlich personenbezogene Daten von natürlichen Personen durch die DSGVO geschützt sind, ergibt sich auch aus der Begriffsdefinition „betroffene Person“ des Art. 4 Z 1 DSGVO, wonach damit „ eine identifizierte oder identifizierbare natürliche Person “, gemeint ist.

In der vorliegenden Beschwerde geht es jedoch nicht um die Verarbeitung und Übermittlung von Daten einer natürlichen Person, sondern um die Daten einer Kommanditgesellschaft – der Beschwerdeführerin – zu den von ihr bestellten Produkte samt deren Mengen.

Das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO steht jedoch nur betroffenen Personen, also natürlichen Personen, zu. Einer nicht-natürlichen Person wie der Beschwerdeführerin steht dieses Beschwerderecht gemäß Art. 77 Abs. 1 DSGVO nicht zu .

D. 3 Ergebnis

Da die Beschwerdeführerin eine Beschwerde betreffend Verletzung im Recht auf Geheimhaltung einbrachte und sich die beschwerdegegenständlichen Daten explizit auf die Beschwerdeführerin als Kommanditgesellschaft beziehen, war nach dem Gesagten spruchgemäß zu entscheiden.

Abschließend wird darauf hingewiesen, dass es der Beschwerdeführerin nach Art. 77 DSGVO offensteht, eine Beschwerde am Ort des mutmaßlichen Verstoßes der DSGVO (hier: Deutschland) einzubringen. Zudem wird darauf verwiesen, dass die vorliegende Beschwerde gegen den in der Beschwerde bezeichneten Viertbeschwerdegegner (B*** Markt GmbH mit der Anschrift O***gasse *7, **** Wien) und Achtbeschwerdegegner (Vertretungsorgan der B*** Markt GmbH) fortgesetzt wird.