Das OLG Dresden entschied in einem aktuellen Fall, dass juristische Personen wie GmbHs, AGs oder KGs keine datenschutzrechtlichen Ansprüche gegen Dritte aus der DSGVO oder dem BDSG geltend machen können. Der Klage einer GmbH auf Unterlassung, Auskunft und Herausgabe von E-Mails aus der Lohnbuchhaltung, die der Beklagte zu Beweiszwecken in einem anderen Verfahren vorgelegt hatte, wurde daher nicht stattgegeben.
Sachverhalt: Vorlage von E-Mails aus Lohnbuchhaltung im Prozess
Im Rahmen eines anderen Verfahrens hatte der Beklagte zwei E-Mails vorgelegt, die urlaubs- und krankheitsbedingte Fehlzeiten des Geschäftsführers und weiterer Mitarbeiter der Klägerin enthielten. Die Klägerin war der Ansicht, dass die Vorlage der E-Mails gegen datenschutzrechtliche Vorschriften und das GeschGehG verstoße, da sie Geschäftsgeheimnisse der Klägerin offenlegten. Sie verlangte daraufhin Unterlassung, Auskunft und Herausgabe der im Besitz des Beklagten befindlichen vertraulichen Informationen aus ihrem Unternehmen.
OLG Dresden: DSGVO und BDSG schützen keine juristischen Personen
Sowohl das Landgericht als auch das Oberlandesgericht Dresden wiesen die Klage ab.
Juristische Personen haben keine Ansprüche nach der DSGVO
Das OLG Dresden begründete dies damit, dass sich juristische Personen wie die Klägerin nicht auf die in der DSGVO enthaltenen Ansprüche berufen können, da die DSGVO nur natürliche Personen schützt. Diese - so das Gericht – folge bereits aus dem Wortlaut der DSGVO:
"Nach dem eindeutigen Wortlaut von Art. 4 Nr. 1 DSGVO können sich juristische Personen wie die Klägerin nicht auf die in der DSGVO enthaltenen Ansprüche berufen. Vielmehr betrifft der Schutz der dort genannten „personenbezogenen Daten“ nur Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person“) beziehen. Dass der Schutz der DSGVO sich nicht auf juristische Personen bezieht, ergibt sich in gleicher Weise aus Erwägungsgrund 14 S. 2 DSGVO, der klarstellt, dass der „durch diese Verordnung gewährte Schutz [...] für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten [soll]. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“.
Juristische Personen haben keine Ansprüche nach dem BDSG
Auch Ansprüche nach dem BDSG könne die Klägerin nicht geltend machen. Zwar sei die Klägerin eine nichtöffentliche Stelle im Sinne des BDSG. Als solche müsse sie Daten Dritter gem. den Bestimmungen des BDSG verarbeiten. Dies führe aber nicht dazu, dass sie ihrerseits Ansprüche nach dem BDSG gegenüber Dritten gelten machen könne:
"Die Klägerin kann ihre Ansprüche auch nicht auf das Bundesdatenschutzgesetz stützen. Zwar stellt sie als juristische Person des privaten Rechts eine nichtöffentliche Stelle im Sinne von § 1 Abs. 1 Satz 2, § 2 Abs. 4 BDSG dar und ist damit Verpflichtete im Sinne des BDSG.
Für nicht öffentliche Stellen gilt das Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, § 1 Abs. 1 Satz 2 BDSG. Der Umstand, dass die Klägerin als nicht-öffentliche Stelle verpflichtet ist, die von ihr erhobenen Daten ihrer Arbeitnehmer zu schützen, führt aber nicht zu einem eigenen - im BDSG nicht geregelten - Anspruch der Klägerin als juristische Person gegen einen Dritten. Unabhängig davon, dass die Vorschriften des BDSG gem. § 46 Nr. 1 BDSG ebenfalls nur den Schutz „personenbezogener Daten“, d.h. aller Informationen normieren, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen, enthält das BDSG keine Grundlage, aus der sich Ansprüche privater Arbeitgeber gegen private Dritte herleiten ließen.“
Kein Geschäftsgeheimnis: Informationen über Mitarbeiter-Fehlzeiten
Das OLG Dresden stellte zudem fest, dass Informationen über Fehlzeiten von Mitarbeitern oder Geschäftsführern kein Geschäftsgeheimnis im Sinne des GeschGehG darstellen. Die erste Voraussetzung für ein Geschäftsgeheimnis sei, dass die Information weder allgemein bekannt noch ohne Weiteres zugänglich ist und einen wirtschaftlichen Wert hat. Informationen über Mitarbeiter-Fehlzeiten komme - so das Gericht - kein wirtschaftlicher Wert zu:
"Eine Information weist (…) einen wirtschaftlichen Wert auf, wenn sie über einen tatsächlichen oder künftigen Handelswert verfügt, Relevanz für die Wettbewerbsposition eines Unternehmens hat oder wenn ihr Bekanntwerden für den Inhaber des Geschäftsgeheimnisses wirtschaftliche Nachteile mit sich bringt (…). Nach der von der Klägerin zitierten Rechtsprechung des BAG (Beschluss vom 26.02.1987, 6 ABR 46/84 - juris) kann auch Lohn- und Gehaltsdaten als Teil der betriebswirtschaftlichen Kalkulation ein solcher wirtschaftlicher Wert zukommen, weil die Geheimhaltung dieser Daten für den wirtschaftlichen Erfolg eines Betriebs insoweit von Vorteil sein kann, als die Konkurrenz mit dieser Kenntnis ihre eigene Wettbewerbsfähigkeit steigern könnte (so BAG a.a.O. Rn. 18). Vorliegend ist aber nicht ersichtlich, welchen wirtschaftlichen Wert die in den streitgegenständlichen Mails enthaltenen Angaben über die abgeleisteten Urlaubszeiten von Mitarbeitern der Klägerin für Dritte haben könnten, erlauben sie doch weder einen Rückschluss auf den Personalbestand noch auf die Urlaubs- oder Gehaltsstruktur der Klägerin.“
OLG Dresden, Urteil vom 14.03.2023, 4 U 1377/22
Fazit
Die Entscheidung des OLG Dresden verdeutlicht, dass sich juristische Personen wie GmbHs, AGs oder KGs nicht auf die datenschutzrechtlichen Ansprüche der DSGVO oder des BDSG berufen können. Auch können Informationen über Mitarbeiter-Fehlzeiten nicht als Geschäftsgeheimnis geschützt werden. Unternehmen sollten daher ihre Datenverarbeitungsprozesse überprüfen und sicherstellen, dass vertrauliche Informationen angemessen geschützt sind.