Wer seine Unternehmensdaten wirksam schützen will, muss neben der Technik auch wehrhafte Verteidiger vorhalten. Denn ist der Schaden erst passiert, kann oft nur noch das Gesetz weiterhelfen.
Wenn man vom Datenschutz in Unternehmen hört, denkt man zunächst an den Schutz personenbezogener Daten von Kunden oder Mitarbeitern des Unternehmens, nur selten an die Daten des Unternehmens selbst. Klar, ist doch stets die Rede von Personenbezug und so ein Unternehmen hat schließlich keine Persönlichkeit. Oder vielleicht doch?
Person oder nicht?
Wenn Unternehmen in unterschiedlichen Rechtsformen auftreten und – je nachdem, um welche Form es sich dabei handelt – auch eigene Rechte erwerben können, dann spricht man von juristischen Personen. Das sind Zusammenschlüsse von anderen Personen oder auch von bloßem Kapital, es gibt sie im privaten Bereich ebenso wie im Bereich der öffentlichen Verwaltung.
Die Vermutung liegt nahe, dass eine juristische Person auch den Schutz ihrer Privatsphäre verdient wie der gemeine Bürger. Dem ist aber nicht so: Nach dem Wortlaut des Bundesdatenschutzgesetzes (BDSG, [1]), des Dreh- und Angelpunkts, wenn es um personenbezogene Daten geht, genießen nur natürliche Personen diesen Schutz, also Menschen.
In Paragraf 3 des BDSG steht, dass personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person sind. Man hätte leicht durch bloßes Weglassen eines einzigen Wortes den Datenschutz auch auf jede andere Art von Personen und damit auch auf Unternehmen übertragen können – schließlich gibt es neben natürlichen nur noch juristische Personen.
Weil der Gesetzgeber das entscheidende Wort aber explizit dazugeschrieben hat, spricht viel dafür, dass hier kein Versehen vorliegt, sondern dass die Regelung exakt so aussehen soll.
Datenschutz ist eine Frage der Persönlichkeit
Um zu verstehen, worum es sich dreht, hilft ein Blick in die jüngere Geschichte: 1983 hatte das Bundesverfassungsgericht in einer wegweisenden Entscheidung [2] ein Grundrecht auf informationelle Selbstbestimmung und damit auf den Datenschutz erkannt.
Dieses Grundrecht, so das Gericht, gewährleiste es dem Einzelnen, grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Das bedeutet einen Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten.
Das BVerfG hat dieses Grundrecht als besondere Ausprägung des bereits seit Langem grundrechtlich geschützten allgemeinen Persönlichkeitsrechts gesehen, das aus Artikel 2 Absatz 1 des Grundgesetzes bekannt ist. Mit anderen Worten: Jeder, der eine Persönlichkeit hat, hat ein Recht auf Datenschutz!
Die logische Folgefrage muss dann lauten: Haben Unternehmen eine Persönlichkeit? Genau diese Frage ist unter den Juristen aber noch recht umstritten. Während eine Seite für eine Gleichstellung mit “echten” Menschen nicht einmal einen Grund sieht, erkennen andere – aus dem unter Juristen kunstgerechten Herstellen eines Zusammenhangs zwischen bewährten Paragrafen – logisch zwingend auf eine Persönlichkeit auch bloßer Kapitalanhäufungen.
Der Trend geht sicher dahin, auch Unternehmen so etwas wie Rechtspersönlichkeit zuzusprechen, was zur Folge haben dürfte, dass wohl auch der Grundrechtsschutz dieser Persönlichkeit ein Recht auf Datenschutz nach sich zieht.
Grundrechte wirken aber primär nur als Abwehrrechte gegenüber dem Staat und nicht unmittelbar gegen Dritte. Das würde bedeuten, dass selbst dann, wenn ein echtes Datenschutzrecht zugunsten eines Unternehmens bestünde, es sich nicht gegen den Datenmissbrauch etwa eines Konkurrenten darauf berufen könnte. Weil aber Fundrechte auch in die Auslegung und Anwendung anderer Normen einwirken, festigt sich so auf jeden Fall das Recht der Unternehmen an den eigenen Daten.
Fein verteilt
Darüber hinaus existiert noch eine ganze Reihe von Vorschriften in speziellen Einzelgesetzen, die dieses Recht der Unternehmen an eigenen Daten regeln. Besonders wichtig im Bereich von Unternehmensdaten, gerade bezüglich Konkurrenz und Wettbewerb, ist das Gesetz gegen den unlauteren Wettbewerb: In den Paragrafen 3, 17 oder 18 UWG findet man recht spezifische Schutzvorschriften, die den Umgang mit “Nachrichten” und “Informationen” betreffen, die der Sphäre des Unternehmens angehören.
Weil Unternehmen als juristische Personen auch Eigentum und ähnliche Rechte erwerben können, finden sich Schutzvorschriften über das “Eigentum” beziehungsweise die entsprechenden Immaterialgüterrechte an nicht verkörperten Daten auch im bürgerlichen Recht. Zum Beispiel setzen BGB [3] oder Strafrecht Normen, etwa über die Verletzung des persönlichen Lebens- und Geheimbereichs in den Paragrafen 201 ff. StGB [4]. Bemerkenswert in den Strafrechtsvorschriften ist, dass etwa bloße Betriebs- und Geschäftsgeheimnisse explizit aufgeführt sind – “bloße” steht hier nur als Abgrenzung zu den persönlichen Lebensgeheimnissen, die nur Menschen haben können.
Schadensersatz ist möglich
Auch wenn die Normen des Strafrechts regelmäßig keine Schadensersatzansprüche zwischen Täter und Opfer statuieren, ist diese Form des Schadensausgleichs über die gewöhnlichen Zivilrechtsnormen – und damit auch vor dem Zivilgericht – möglich.
Das bürgerliche Recht kennt den Anspruch auf Schadensersatz wegen unerlaubter Handlung, geregelt in Paragraf 823 BGB. Jeder, der vorsätzlich oder fahrlässig eine ganze Reihe von Rechten eines anderen verletzt, ist zum Ersatz des Schadens verpflichtet. Zu den aufgezählten gehören Eigentum und “sonstige Rechte” – gleich im ersten Absatz der Vorschrift, der subsidiären Norm. Die gleiche Ersatzpflicht trifft nach Absatz zwei, der vorrangig anwendbaren Norm, aber auch den, der gegen ein Gesetz verstößt, das einen anderen schützen soll.
Vor Gericht wird viel darüber gestritten, ob es sich bei einzelnen Vorschriften tatsächlich um ein Schutzgesetz handelt oder ob sie nur andere Sachen regeln sollen. Bei strafrechtlichen Normen, die den persönlichen Lebens- und Geheimbereich betreffen, liegt ganz klar ein Schutzgesetz vor. Stellt sich die Frage, was die Herleitung eines verfassungsrechtlichen Datenschutzrechts für Unternehmen bringt, wenn zivil- und strafrechtliche Normen ihre Daten bereits ausreichend schützen? In diesem Fall möge man einmal an das tatsächliche Bedrohungsszenario denken: Welche Rechte man an den eigenen Daten hat, wird vordringlich dann entscheidend, wenn man diese auf dem Rechtsweg schützen muss.
Der primäre Schutz ist sicherlich der technische, der Zugriffsschutz durch Passwort und Firewall, durch Zugriffsberechtigung und Datensafe. Das ist der planbare, der fassbare, der “leichte” Schutz. Der zweite, der Rechtsschutz, kommt dann zum Tragen, wenn der erste versagt – aus welchen Gründen auch immer. Solange der erste Schutz wirkt, hat das Unternehmen allein die tatsächliche Verfügungsgewalt über die Daten. Sind diese jedoch erst aus diesem Schutzbereich entzogen, dann hilft allenfalls der zweite, der Weg zum Gericht (oder die Drohung damit).
Überschaubarer Täterkreis
Die Bedrohungsszenarien sind dabei vielfältig: Mitarbeiter entwenden Daten oder ermöglichen Betriebsfremden planwidrigen Zugang. Solche Verrats- oder Social-Engineering-Fälle machen nach glaubhaften Statistiken etwa 80 Prozent bei den Verletzungen der Datenintegrität aus, echte Hacker-Angriffe von außen dagegen nur etwa 20 Prozent.
Neben diesen illegalen Beeinträchtigungen der Datenintegrität gibt es aber noch die gesetzlich vorgesehenen Pflichten, zu denen jede Menge Mitteilungs- und Offenbarungspflichten oder gar die Verpflichtung zur Einräumung einer unmittelbaren Zugriffsmöglichkeit durch staatliche Behörden gehören. Wenn der Staat auf Unternehmensdaten zugreift, nutzen zivilrechtliche Abwehr- oder Schadensersatzansprüche wenig.
Dabei geht es nicht einmal um die geheimen oder verdeckten Eingriffe, mit denen eigene und fremde Behörden laufend Komunikationsdaten ausspähen – wie zuletzt im amerikanischen Rechtsraum durch die angebliche Zusammenarbeit zwischen NSA und Internetfirmen wie Google und Apple aufgeflogen.
Es geht um die alltäglichen, üblichen Berichte, Gutachten, Stellungnahmen und anderen Betriebs- und Geschäftsgeheimnisse, die man im Behördenverkehr selbst einreicht, weil man muss. Von Angaben über Giftstoffe, die bei der Produktion anfallen über die vollständigen Finanzunterlagen bei der Steuererklärung bis zu Verbindungsdaten aller Kunden des IT-Provider-Unternehmensbereichs.
Außer Haus ist ein Problem
Ob freiwillig oder einer gesetzlichen Pflicht folgend herausgegeben oder durch Datenklau entwendet: Sind die Daten erst mal außer Haus, ist die tatsächliche Verfügungsgewalt flöten und die Justiz kommt ins Spiel. Wer weiß, wo seine Daten stecken, kann zumindest rechtliche Hilfe in Anspruch nehmen, damit der Dritte damit kein Unheil anrichtet – soll heißen, damit er sie nicht weitergibt oder missbraucht. Das klappt aber nur, wenn man sich auf ein Recht berufen kann. Gegenüber Ämtern und Behörden stützt sich so ein Anspruch – oder einer auf Verweigerung der Datenherausgabe – am besten auf ein Grundrecht.
Im Grenzbereich entfaltet ein dem Unternehmen etwa zustehendes Grundrecht, das allgemeine Persönlichkeitsrecht, beim bereits bekannten Auffangtatbestand der unerlaubten Handlung Wirkung: Das allgemeine Persönlichkeitsrecht ist eines der in Paragraf 823 Absatz 1 genannten sonstigen Rechte. Wenn also kein anderer Schutz zuerkannt wird, wäre es hilfreich, wenn das Unternehmen ein eigenes Datenschutzrecht in Anspruch nehmen könnte. Unter dieser Voraussetzung wäre ein Anspruch auf Schadensersatz fast immer begründbar, also auch dann, wenn andere Anspruchsgrundlagen versagen.
Schnelle Hilfe ist die einzig wahre
Der Zeitfaktor ist kritisch, also ist in beiden Fällen der vorläufige Rechtsschutz das Mittel der Wahl. Gegen (bekannte) Datendiebe und Konkurrenten zieht man vors Zivilgericht, wo bei nicht auf Geld gerichteten Ansprüchen ein Antrag auf eine einstweilige Verfügung nach den Paragrafen 935 ff. ZPO [5] weiterhilft. Der kann sich auf Nichtweitergabe, Nichtverwendung oder Löschen der Daten richten und sollte Erfolg bringen, wenn der Schutzanspruch besteht und seine Durchsetzung im normalen Gerichtsverfahren gefährdet wäre.
Natürlich gibt’s vorläufigen Rechtsschutz auch im Verwaltungsverfahren, also im öffentlichen Recht, wenn Behörden einen zur Herausgabe von Daten auffordern. Sofern dies per Bescheid geschieht, bieten die förmlichen Rechtsmittel des Verwaltungsverfahrens – Widerspruch oder Anfechtungsklage – regelmäßig bereits aufschiebende Wirkung.
Wo diese aufschiebende Wirkung vom Gesetz ausnahmsweise ausgeschlossen wird, lässt sich jederzeit ein Antrag auf Wiederherstellung der aufschiebenden Wirkung stellen. Weil so ein Vorgehen aber meist auch eine beantragte Genehmigung oder gar eine laufende Zulassung gefährdet, wird in der Praxis allenfalls eine Anordnung auf Nichtweitergabe der Daten sachgerecht sein.
Ein solcher – vom übrigen Rechtsverkehr zwischen Behörde und Unternehmen abgekoppelter, isoliert zu betrachtender Anspruch – kann auch im Verwaltungsverfahren vorläufig durch eine einstweilige Anordnung erwirkt werden. Die Verwaltungsverfahren sind in länderspezifischen Gesetzen geregelt, die mehr oder weniger alle denen der Bundesgesetzgebung entsprechen.
Für den Bereich der Bundesverwaltung regeln beispielsweise die Paragrafen 80 ff. der Verwaltungsgerichtsordnung [6] die aufschiebende Wirkung und deren Wiederherstellung oder Feststellung; die einstweilige Anordnung ist Thema des Paragrafen 123 VwGO.
Zugriffsschutz ist wichtig
Der Schutz der Daten des Unternehmens ist damit zunächst eine Frage des effektiven Zugriffsschutzes. Ist die Datenintegrität aber bereits beeinträchtigt, steht gut da, wer seine Datenschutz-Rechte kennt und weiß, wie er sie schnellstmöglich durchsetzen kann. (mfe)
Mailen Sie uns Ihre Fragen!
Im monatlichen Wechsel mit aktuellen Fachbeiträgen lässt das Linux-Magazin in der Serie “Rechts-Rat” Leserfragen durch einen Rechtsanwalt kompetent beantworten. Was immer Sie beschäftigt oder ärgert, oder was Sie einfach nur wissen möchten: Schreiben Sie eine entsprechende E-Mail an die Adresse mailto:rechtsrat@linux-magazin.de.
Die Themen dürfen von Softwarelizenzen bis zum Hardwarekauf reichen. Die Redaktion behält es sich vor, abgedruckte Zuschriften zu kürzen und eventuell enthaltene persönliche Daten zu ändern.
Infos
- Bundesdatenschutzgesetz: http://www.gesetze-im-internet.de/bdsg_1990/
- Volkszählungsurteil des BVerfG: http://www.bfdi.bund.de/DE/GesetzeUndRechtsprechung/Rechtsprechung/BDSGDatenschutzAllgemein/Artikel/151283_VolkszaehlungsUrteil.html?nn=1236576
- Bürgerliches Gesetzbuch: http://www.gesetze-im-internet.de/bgb/
- Strafgesetzbuch: http://www.gesetze-im-internet.de/stgb/
- Zivilprozessordnung: http://www.gesetze-im-internet.de/zpo/
- Verwaltungsgerichtsordnung: http://www.gesetze-im-internet.de/vwgo/







