Ihr Kontakt
Der EuGH hat kürzlich entschieden, dass es im geltenden EU-Datenschutzrecht grundsätzlich keinen Anspruch auf Löschung oder Anonymisierung der im Handelsregister eingetragenen personenbezogenen Daten gibt. Auch nach der Auflösung einer Gesellschaft kann die Einsichtnahme in die entsprechenden Daten nur in Ausnahmefällen und nach Ablauf einer hinreichend langen Frist nach der Auflösung der fraglichen Gesellschaft beschränkt werden. Das Urteil stützt sich auf die noch bis im Mai 2018 in Kraft stehende EU-Datenschutzrichtlinie. Die vom EuGH aufgestellten Grundsätze werden im Wesentlichen aber auch unter der Geltung der Datenschutzgrundverordnung (DSGVO), welche die Richtlinie ersetzt, ihre Gültigkeit haben.
Ausgangslage
Der Fall, der dem Urteil des EuGH (C-398/15) zugrund lag, betraf den Geschäftsführer einer italienischen Gesellschaft, die den Auftrag für die Errichtung einer Ferienanlage erhalten hatte. Die dortigen Immobilien liessen sich allerdings kaum veräussern. Der Geschäftsführer führte dies auf einen Eintrag im italienischen Handels- bzw. Gesellschaftsregister zurück, nach welchem er zuvor Geschäftsführer eines Unternehmens war, welches 1992 insolvent und 2005 endgültig liquidiert wurde.
Er verlangte daher die Löschung oder Anonymisierung des Eintrags; die zuständige Handelskammer lehnte dies jedoch ab. Das vom Geschäftsführer in der Folge angerufene erstinstanzliche Gericht verpflichtete die Handelskammer, die personenbezogenen Daten, welche ihn mit der Insolvenz der früheren Gesellschaft in Verbindung bringen, zu anonymisieren. Der von der Handelskammer angerufene Kassationsgerichtshof hat dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob es die EU-Datenschutzrichtlinie (95/46/EG) und die «handelsrechtliche» Richtlinie 68/151/EWG (neu: Richtlinie 2009/101/EG) verbieten, dass jede Person ohne zeitliche Beschränkung Zugang zu Daten natürlicher Personen im Gesellschaftsregister haben kann.
Vorgaben bezüglich der Offenlegung von Handelsregisterdaten
Auf der einen Seite sieht die Richtlinie 68/151/EWG eine Pflicht zur Offenlegung von Handelsregisterdaten vor. Diese Pflicht erstreckt sich mindestens auf die Personalien, die Bestellung und das Ausscheiden derjenigen Personen, die aufgrund einer Organstellung
- befugt sind, die betreffende Gesellschaft gerichtlich und aussergerichtlich zu vertreten, oder
- an der Verwaltung, Beaufsichtigung oder Kontrolle dieser Gesellschaft teilnehmen.
Diese Angaben müssen in jedem Mitgliedstaat in ein zentrales Register oder in ein Handels- oder Gesellschaftsregister eingetragen werden und es muss eine vollständige oder auszugsweise Kopie dieser Angaben auf Antrag erhältlich sein.
Auf der anderen Seite handelt es sich bei den entsprechenden Angaben um personenbezogene Daten im Sinne der EU-Datenschutzrichtlinie. Aufgrund der Eintragung und Aufbewahrung sowie der Übermittlung an Dritte nimmt die mit der Führung des Registers betraute Stelle eine Verarbeitung personenbezogener Daten vor, für die sie «Verantwortlicher» ist. Für diese Verarbeitung gelten dementsprechend die Vorgaben der EU-Datenschutzrichtlinie. Danach dürfen personenbezogene Daten nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Für den Fall, dass diese Bedingung nicht erfüllt wird, haben die betroffenen Person das Recht, vom Verantwortlichen die Löschung oder Sperrung der betreffenden Daten zu verlangen.
Offenlegung von Gesellschaftsregistern dient der Rechtssicherheit
Zur Beantwortung der Frage, ob nach Ablauf einer bestimmten Frist nach Auflösung einer Gesellschaft ein Anspruch auf Löschung, Anonymisierung oder Beschränkung der Offenlegung personenbezogener Daten besteht, ist der Zweck, für die sie erhoben und offengelegt werden, entscheidend.
Dieser liegt nach Ansicht des EuGH im Schutz der Interessen Dritter (Geschäftspartner und andere Aussenstehende) gegenüber Kapitalgesellschaften, da diese – zum Schutz Dritter bzw. als Haftungssubstrat – lediglich ihr Gesellschaftsvermögen zur Verfügung stellen. Die Offenlegung ermöglicht es Dritten, sich insbesondere über die vertretungsberechtigten Personen zu informieren. Dadurch soll Rechtssicherheit in den Beziehungen zwischen den Gesellschaften und Dritten und damit das reibungslose Funktionieren des Binnenmarkts sichergestellt werden.
Kein Anspruch auf Löschung von personenbezogenen Daten nach Auflösung der Gesellschaft
Die Richtlinie 68/151/EWG trifft keine Aussage darüber, ob es zur Erreichung des mit der Offenlegung verfolgten Zwecks grundsätzlich erforderlich ist, dass die personenbezogenen Daten der in der Richtlinie aufgeführten Personen mit Organstellung im Register verbleiben und/oder für jeden Dritten auch nach der Auflösung der Gesellschaft auf Antrag zugänglich sind.
Der EuGH hält diesbezüglich Folgendes fest: Es können auch nach der Auflösung einer Gesellschaft Rechte und Rechtsbeziehungen bestehen, die sich auf dieses Unternehmen beziehen. Die Daten im Register können sich im Streitfall als relevant erweisen, zum Beispiel, für die Prüfung, ob eine im Namen der Gesellschaft während ihrer Tätigkeit vorgenommene Handlung rechtmässig war, oder damit Dritte gegen Mitglieder von Organen oder gegen Liquidatoren einer Gesellschaft eine Klage anstrengen können. Es können sich m.a.W. auch noch mehrere Jahre nach Auflösung einer Gesellschaft Fragen ergeben, die einen Rückgriff auf im Gesellschaftsregister eingetragene Daten erfordern.
Der Zeitraum, innerhalb welchem ein entsprechender Rückgriff möglich ist, hängt dabei von den Verjährungsfristen in den einzelnen Mitgliedstaaten ab. In Anbetracht der erheblichen Unterschiede in den Verjährungsfristen der verschiedenen nationalen Rechtsordnungen, ist es derzeit nicht möglich, eine einheitliche Frist festzulegen, die mit der Auflösung einer Gesellschaft zu laufen beginnt und nach deren Ablauf die Eintragung und Offenlegung der personenbezogenen Daten nicht mehr notwendig wären. Dementsprechend können die Mitgliedstaaten den betroffenen natürlichen Personen auch kein entsprechendes Recht garantieren.
Dies greift zwar insbesondere in das Grundrecht auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten ein. Der Grundrechtseingriff ist nach Ansicht des EuGH jedoch verhältnismässig. Einerseits bezieht sich die Offenlegung nur auf Personalien und Aufgaben von Personen mit Organstellung. Zum anderen sei es gerechtfertigt, dass natürliche Personen, die sich dafür entscheiden, über eine haftungsbeschränkte Kapitalgesellschaft am Wirtschaftsleben teilzunehmen, verpflichtet sind, die Daten über ihre Personalien und Aufgaben innerhalb der Gesellschaft offenzulegen, zumal sie sich dieser Verpflichtung in dem Augenblick bewusst sind, in dem sie sich für eine solche Tätigkeit entscheiden.
Ausnahmsweise Zugangsbeschränkung aus überwiegenden schutzwürdigen Interessen
Die EU-Datenschutzrichtlinie gewährt den betroffenen Personen ein Widerspruchsrecht gegen die Bearbeitung ihrer Daten. Voraussetzung dafür ist jedoch ein überwiegendes Interesse der betroffenen Person oder genauer: überwiegende, schutzwürdige, sich aus ihrer besonderen Situation ergebende Gründe. Erforderlich ist demnach eine Interessenabwägung.
Gemäss EuGH hat dabei jedoch der Schutz der Interessen Dritter und die Rechtssicherheit bzw. das reibungslose Funktionieren des Binnenmarkts grundsätzlich Vorrang. Der EuGH schliesst allerdings nicht generell aus, dass in einzelnen Ausnahmefällen ein besonderes Interesse der Betroffenen vorhanden sein kann, zumindest die Einsichtnahme in die im Register eingetragenen personenbezogenen Daten nach Ablauf einer hinreichend langen Frist nach der Auflösung einer Gesellschaft auf Dritte zu beschränken, die ein besonderes Interesse an der Einsichtnahme in diese Daten nachweisen.
Ob den betroffenen Personen die Möglichkeit geboten wird, die mit der Führung des Registers betraute Stelle um eine solche Zugangsbeschränkung zu ersuchen, liegt allerdings im Ermessen des nationalen Gesetzgebers, da das datenschutzrechtliche Widerspruchsrecht unter dem Vorbehalt steht, dass im einzelstaatlichen Recht keine entgegenstehende Bestimmung vorgesehen ist.
Vor dem Hintergrund der im Allgemeininteresse liegenden Ziele, die mit der Offenlegung von Daten im Handelsregister verfolgt werden, sind Zugangsbeschränkungen indessen nur sehr restriktiv zu gewähren. In diesem Sinne hielt der EuGH im zugrunde liegenden Fall denn auch den Umstand, dass sich die Immobilien der Ferienanlage nicht veräussern liessen, für nicht ausreichend.
Ausblick auf die Rechtslage nach der DSGVO
Die EU-Datenschutzrichtlinie, welche dem vorliegenden Urteil zugrunde lag, wird per Mai 2018 durch die Datenschutzgrundverordnung (DSGVO) ersetzt (vgl. dazu BR-News vom 14. Januar 2016). Im Gegensatz zur Richtlinie gilt die DSGVO unmittelbar mit ihrem Inkrafttreten am 25. Mai 2018 in der gesamten Europäischen Union. Eine Umsetzung in nationales Recht ist nicht erforderlich.
Die DSGVO sieht ebenfalls vor, dass personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Darüber hinaus sind auch die den betroffenen Personen gewährten Rechte für die vorliegend relevante Frage vergleichbar ausgestaltet. So kommt das «Recht auf Vergessenwerden» bzw. auf Löschung insbesondere nicht zur Anwendung, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt. Eine entsprechende Einschränkung enthält auch das Widerspruchsrecht, das in der DSGVO weiterhin vorgesehen ist. Ausgehend davon wird auch künftig eine Löschung von Daten in Gesellschaftsregistern nach Auflösung einer Gesellschaft, wenn überhaupt, nur in Ausnahmefällen möglich sein.
Weitere Informationen: