Aktuell in der AG

Datenschutz und Hauptversammlung (Zetzsche, AG 2019, 233)

Die Reform des Datenschutzrechts durch die Datenschutzgrundverordnung hat Unsicherheit hervorgerufen, wie den neuen Anforderungen bei der Organisation und Durchführung von Hauptversammlungen Rechnung zu tragen ist. Dieser Beitrag untersucht daher das Verhältnis des Datenschutzrechts zum Gesellschaftsrecht unter Berücksichtigung der reformierten Aktionärsrechte-RL 2017/828 (ARRL II) und des Regierungsentwurfs eines ARUG II. Behandelt werden u.a. der Anwendungsbereich des Datenschutzrechts im Kontext der HV, die datenschutzrechtliche Legitimationsgrundlage, die zulässige Speicherdauer sowie die damit zusammenhängenden aktienrechtlichen Fragen.


I. Einleitung

II. Anwendungsbereich der DSGVO eröffnet?

1. Praktische Konkordanz von Gesellschafts- und Datenschutzrecht

2. Begrenzung auf Daten natürlicher Personen

3. Ausnahme für kleinere Unternehmen?

4. Grundsätze für die Verarbeitung personenbezogener Daten

III. Anforderungen des Datenschutzrechts

1. Datenverarbeitung im Rahmen der HV-Durchführung

a) Datenkategorien

b) Interne Datenverarbeitung und Auftragsverarbeitung

2. Rechtfertigungsgrundlage: Erfüllung einer Rechtspflicht

a) Anforderungen an die Rechtspflicht

b) Europäische Rechtspflichten nach ARRL (I und II)

c) Rechtspflichten des AktG

d) Verarbeitungsrecht gem. § 67e Abs. 1 RegE ARUG II

e) Grenzen

3. Information über die Datenverarbeitung

4. Speicherung und Löschung

a) Aktionärsdaten: 12 Monate nach Kenntnis vom Wegfall der Aktionärsstellung

b) Vergütungsbericht: zehn Jahre ab Veröffentlichung

c) Zweckinduzierte Speicherdauer bei „Rechtsverfahren“

d) Sonstiges Aktienrecht

IV. Aktienrechtliche Fragen

1. Zuständigkeit für Datenschutz-Compliance

2. Einfluss der DSGVO auf das HV-Verfahren

3. Datenschutzrechtliche Anträge und Fragen in der HV

a) Differenzierung zwischen aktien- und datenschutzrechtlicher Anspruchsberechtigung

b) Antrag auf Löschung/reduzierte Mitteilung von Aktionärsdaten?

c) Ton- und Bild-Aufzeichnungen

V. Fazit in Thesen
 

I. Einleitung

Bei Hauptversammlungen wird seit jeher eine Vielzahl personenbezogener Daten verarbeitet. Die Reform des Datenschutzrechts durch die Datenschutzgrundverordnung (DSGVO) hat angesichts der drakonischen Sanktionsdrohungen (Art. 83 DSGVO) manche Unsicherheit hervorgerufen, wie den Anforderungen der DSGVO bei der Organisation und Durchführung von Hauptversammlungen Rechnung zu tragen ist. Dieser Beitrag untersucht daher das Verhältnis des Datenschutzrechts zum Gesellschaftsrecht unter Berücksichtigung der reformierten Aktionärsrechte-RL 2017/828 (ARRL II) und des Regierungsentwurfs eines ARUG II. Dabei werden zunächst der Anwendungsbereich des Datenschutzrechts (II.), sodann die Datenschutz- (III.) und dann die aktienrechtlichen Fragen (IV.) untersucht. Der Beitrag schließt mit zusammenfassenden Thesen (V.).

II. Anwendungsbereich der DSGVO eröffnet?

Die DSGVO gilt ausweislich ihrer Art. 2 und 3 grundsätzlich für die Verarbeitung personenbezogener Daten. Datenverarbeitung ist gem. Art. 4 Nr. 2 DSGVO der Oberbegriff für sämtlichen Umgang mit Daten, insbesondere das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Auslesung, Verwendung oder Offenlegung durch Übermittlung.

1. Praktische Konkordanz von Gesellschafts- und Datenschutzrecht

Eine – naheliegende – Ausnahme für die nicht-kommerzielle Datenverarbeitung – etwa in (Wirtschafts-)Vereinen wie der AG – sieht die DSGVO nicht vor. Vielmehr folgt aus dem ErwGr. 52 der ARRL II, dass die AktionärsrechteRL „im Einklang mit dem Datenschutzrecht der Union“ anzuwenden ist und jede „Verarbeitung der personenbezogenen Daten natürlicher Personen ... gemäß der Verordnung (EU) 2016/679 erfolgen“ muss. Aktienrecht und Datenschutzrecht gelten grds. parallel, mit dem Ziel praktischer Konkordanz: Beiden Rechtsakten soll möglichst weitgehend Rechnung getragen werden. Ein Über- oder Unterordnungsverhältnis dergestalt, dass das Datenschutzrecht dem Aktienrecht immer vorgeht et vice versa, besteht nicht.

Aus ErwGr. 52, 53 ARRL II und den dortigen Regelbeispielen folgt: Die Details der Datenverarbeitung richten sich in Bezug auf Regelungen der Richtlinie nach den dortigen Vorgaben, jenseits davon nach der DSGVO; letzteres betrifft insbesondere Umsetzungswahlrechte der Mitgliedstaaten.

Konsequenz ist die Notwendigkeit, die jeweilige Zwecksetzung der Vorschriften des Gesellschafts- und Datenschutzrechts zu ermitteln und zu prüfen, inwiefern beiden Rechtsakten im Einzelfall Rechnung getragen werden kann.

2. Begrenzung auf Daten natürlicher Personen

Für geringe praktische Entlastung sorgt die Begrenzung auf Daten natürlicher Personen (Art. 2 Abs. 1 i.V.m. Art. 4 Nr. 1 DSGVO). Selbst wenn viele, namentlich institutionelle Anleger häufig juristische Person oder solche zumindest stimmberechtigt sind (vgl. § 93 Abs. 1 Alt. 2 KAGB 5 ), nehmen für diese Anleger natürliche Personen die Teilhaberechte wahr. Deren Daten werden dann verarbeitet.

3. Ausnahme für kleinere Unternehmen?

Kleinere und mittlere Unternehmen mit bis zu 250 Mitarbeitern sind gem. Art. 30 Abs. 5 DSGVO von der Pflicht zur Erstellung eines Verarbeitungsverzeichnisses befreit, wenn (...)
 

Verlag Dr. Otto Schmidt vom 02.04.2019 10:48
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite