Zum Inhalt springen Zur Navigation springen
Rechtmäßigkeit der internen Datenweitergabe bei Investmentfonds

Rechtmäßigkeit der internen Datenweitergabe bei Investmentfonds

Mit Entscheidung vom 21. Dezember 2021 reichte das Amtsgericht München beim Europäischen Gerichtshof ein Vorabentscheidungsersuchen nach Art. 267 AEUV ein. Dabei ging es um die Frage, wie Art. 6 Abs. 1 S. 1 lit. b, c und f DSGVO in Bezug auf die Weitergabe von Informationen über Mitgesellschafter einer Publikumskommanditgesellschaft auszulegen sind. Der EuGH befasst sich infolgedessen mit den Voraussetzungen dieser Rechtsgrundlagen im Detail. Im Folgenden werfen wir einen Blick auf die Hintergründe der Entscheidung des EuGH und auf die dort enthaltenen Überlegungen.

Hintergründe der Entscheidung

Die Kläger im Ausgangsverfahren sind über eine Treuhandgesellschaft mittelbar an einem als Publikumskommanditgesellschaft organisierten Investmentfonds beteiligt und forderten von den Beklagten, treuhänderischen Beteiligungsgesellschaften, dass sie den Namen und die Adressen aller ihrer mittelbar über treuhänderische Beteiligungsgesellschaften beteiligten Mitgesellschafter der betreffenden Investmentfonds offenlegen. Nach Auffassung der Klägerinnen hätten sie aus dem Gesellschaftsvertrag das Recht, Kontakt zu den anderen Kommanditisten aufzunehmen, um über den Kauf von anderen Anteilen zu verhandeln. Die Beklagten vertreten dagegen die Ansicht, dass eine solche Weitergabe unzulässig sei, weil die Beteiligungs- und Treuhandverträge, aufgrund deren die Gesellschafter der Beklagten die mittelbare Beteiligung an den Investmentfonds erworben haben, Regelungen vorsehen, die dies ausdrücklich verbieten.

Die deutsche Rechtsprechung

Gemäß der Rechtsprechung des Bundesgerichtshofs gehört das Recht eines Gesellschafters in einer Kommanditgesellschaft, Namen und Anschrift seiner Mitgesellschafter zu erfahren, zum unverzichtbaren Kernbereich der Gesellschaftsrechte. Grund dafür sei, dass die Kenntnis sämtlicher Mitgesellschafter – einschließlich der mittelbar beteiligten Kommanditisten – notwendig sei, um die Rechte eines Gesellschafters einer Publikumsgesellschaft effektiv zu nutzen. Die Gesellschaft sei durch den Gesellschaftsvertrag verpflichtet, diese personenbezogenen Daten an die Mitgesellschafter weiterzugeben. Eine Ausnahme hiervon bestehe nur dann, wenn die Ausübung dieses Auskunftsrechts einen Rechtsmissbrauch darstellt. Laut BGH liegt kein Rechtsmissbrauch vor, wenn ein Mitgesellschafter den Kontakt zu den anderen sucht, um mit ihnen Fragen der Gesellschaft zu besprechen oder sich als Anleger gemeinsam zu organisieren. Darüber hinaus ist ein solches Recht vertraglich unabdingbar, da es wesentliche Rechte der Gesellschaft, wie die Möglichkeit, eine außerordentliche Hauptversammlung einzuberufen, praktisch beseitigen würde.

Zudem nimmt das vorliegende Gericht Bezug auf das Urteil des Oberlandesgerichts München vom 16. Januar 2019, welches besagt, dass der wesentliche Zweck des Gesellschaftsvertrags die Ausübung von Gesellschaftsrechten sei und die Weitergabe von personenbezogenen Daten der Mitgesellschaften zu diesem Zweck nur dann verweigert werden darf, wenn es hierfür kein vernünftiges Interesse gibt. Ferner sei auch zu erwähnen, personenbezogene Daten aller Gesellschafter innerhalb einer Unternehmensgruppe nach dem 48. Erwägungsgrund der DSGVO an einen von ihnen zu internen Verwaltungszwecken weitergegeben werden können.

Vereinbarkeit der Rechtsprechung mit der DSGVO

Vor diesem Hintergrund stellte das Amtsgericht München dem Europäischen Gerichtshof die Frage, ob die Weitergabe von Informationen über einen Mitgesellschafter eines als Publikumspersonengesellschaft organisierten Investmentfonds an andere Mitgesellschafter für die Erfüllung eines Vertrages oder für die Wahrung eines berechtigten Interesses erforderlich ist. Der Zweck der Datenweitergabe wäre dann, dass die Mitgesellschafter Kontakt aufnehmen können, um über den Abkauf ihrer Gesellschaftsanteile zu verhandeln oder sich im Hinblick auf den Entscheidungsprozess bei Gesellschafterbeschlüssen abzustimmen. Sinngemäß wollte das Amtsgericht München wissen, ob die Datenweitergabe auf eine Rechtsgrundlage der DSGVO gestützt werden kann. Dementsprechend befasst sich der Europäische Gerichtshof in diesem Zusammenhang ausführlich mit dem Thema der Rechtmäßigkeit der Datenverarbeitung.

Rechtmäßigkeit der Verarbeitung

Die Verarbeitung personenbezogener Daten muss rechtmäßig im Sinne von Art. 5 Abs. 1 lit. a DSGVO sein. Wie wir bereits in mehreren Beiträgen erläutert haben, gilt im Datenschutzrecht das sogenannte Verbotsprinzip mit Erlaubnisvorbehalt. Danach ist die Verarbeitung personenbezogener Daten verboten, wenn sie nicht ausdrücklich durch eine Erlaubnisnorm gestattet ist. Art. 6 Abs. 1 S. 1 DSGVO enthält eine abschließende Aufzählung von Fällen, in denen die Datenverarbeitung als rechtmäßig angesehen werden kann. Dies bedeutet, dass die Datenverarbeitung unter einen der dort genannten Fälle subsumierbar sein muss, damit sie als rechtmäßig betrachtet werden kann. Vorliegend kommen für die beschriebene Datenverarbeitung mangels einer Einwilligung der Mitgesellschafter die Erfüllung eines Vertrags und die Wahrung eines berechtigten Interesses ein Betracht.

Erfüllung eines Vertrages

Gemäß Art. 6 Abs. 1 S. 1 lit. b DSGVO ist die Verarbeitung rechtmäßig, wenn diese für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Mehr Informationen über diese Rechtsgrundlage finden Sie in unserem Beitrag: „Welche Datenverarbeitung ist im Zuge der Vertragserfüllung erforderlich?“. Dies bedeutet, dass die vertraglich vereinbarte Dienstleistung ohne die angestrebte Datenverarbeitung nicht erfüllt werden kann. Gegen die Erforderlichkeit der Datenverarbeitung spricht der Umstand, dass die Mitgesellschafter eine mittelbare Beteiligung über eine Treuhandgesellschaft erworben haben, da die Anonymität der Gesellschafter, auch im Verhältnis zueinander, ein wesentliches Merkmal eines solchen Erwerbs darstellt. Diese Form der Kapitalbeteiligung wird daher aufgrund der vertraulichen Behandlung der personenbezogenen Daten der Gesellschafter ausgewählt. Basierend auf diesen Überlegungen kommt der Europäische Gerichtshof zum Ergebnis, dass die Datenweitergabe nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden kann.

Wahrung eines berechtigten Interesses

Die Datenverarbeitung ist gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO zulässig, wenn diese für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Dies bedeutet, dass drei Voraussetzungen kumulativ erfüllt sein müssen, damit die Verarbeitung als rechtmäßig betrachtet werden kann: es muss ein berechtigtes Interesse wahrgenommen werden, die Verarbeitung muss für die Wahrung des berechtigten Interesses erforderlich sein und schließlich dürfen die Interessen des Betroffenen nicht überwiegen.

Eine Rechtfertigung der Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO scheitert hier allerdings daran, dass diese nicht erforderlich ist, um die verfolgten Zwecke zu erreichen, da es vorliegend alternative Mittel gibt, die weniger intensiv in die Rechte und Grundfreiheiten der Betroffenen eingreifen und mit denen das berechtigte Interesse genauso effektiv erreicht werden kann. Denkbar wäre hier, dass die Gesellschaft eine Anfrage an die betreffenden Mitgesellschafter weiterleitet, damit ein Kennenlernen oder ein Austausch stattfinden kann. Dann können die kontaktierten Mitgesellschafter frei entscheiden, ob sie Kontakt aufnehmen möchten. Daher kann die Datenverarbeitung nach Ansicht des Europäischen Gerichtshofs auch nicht auf ein berechtigtes Interesse gestützt werden.

Erfüllung einer rechtlichen Verpflichtung

Schließlich erklärt der EuGH, dass Art. 6 Abs. 1 S. 1 lit. c DSGVO dahin auszulegen ist, dass eine Datenverarbeitung danach gerechtfertigt ist, wenn diese für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Diese Verpflichtung kann durch die Rechtsprechung des Mitgliedstaates konkretisiert sein, solange sie klar und präzise ist, ihre Anwendung für die Rechtsunterworfenen vorhersehbar ist und sie ein im öffentlichen Interesse liegendes Ziel verfolgt. Diesbezüglich erklärt der EuGH, dass es Aufgabe des Amtsgerichts München ist, zu prüfen, ob es alternative weniger intensive Maßnahmen gibt, die die Transparenz unter Gesellschaftern ermöglichen und gleichzeitig den Schutz vertraulicher personenbezogener Daten weniger beschränkt.

Der Teufel steckt im Detail

Obwohl es sich beim vorliegenden Fall um eine sehr konkrete Konstellation des Gesellschaftsrechts handelt, bringt die Entscheidung des EuGH mehr Licht in die Bedeutung und die Voraussetzungen der Rechtsgrundlagen für die Datenverarbeitung. Im Allgemeinen sind Verantwortliche immer gut beraten, sicherzustellen, dass sämtliche Datenverarbeitungen im Unternehmen auf ihre Rechtmäßigkeit geprüft werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.