Der Gerichtshof der Europäischen Union („EuGH“) musste kürzlich über einen kuriosen Fall entscheiden – kann die Veröffentlichung des Gesellschaftsvertrags eines Unternehmens eine Verletzung der Menschenrechte aus der GDPR-Verordnung bedeuten? Die bulgarische Agentur für Eintragungen in öffentliche Register (im Folgenden „Agentur“ genannt), d.h. die für das bulgarische Handelsregister zuständige Stelle (in der Tschechischen Republik gibt es keine ähnliche Stelle/Agentur, für die gleiche Tagesordnung sind jedoch die Kreisgerichte zuständig), weigerte sich, aus dem bulgarischen Handelsregister („HR“) bestimmte personenbezogene Daten von Frau OL zu löschen. Sie sah in diesem Verhalten eine Verletzung ihrer durch die GDPR garantierten Rechte und verklagte die Agentur.

Was der Klage vorausging

Frau OL ist Gesellschafterin einer Gesellschaft mit beschränkter Haftung. Es unterliegt, wie jedes andere ähnliche Unternehmen, der Anforderung, einen Gesellschaftsvertrag im Handelsregister einzutragen. Der eingetragene Vertrag enthielt neben dem Vor- und Nachnamen von Frau OL auch ihre Identifikationsnummer, die Nummer ihres Personalausweises, das Ausstellungsdatum und den Ausstellungsort dieses Ausweises, ihre Wohnadresse und ihre Unterschrift. Die Agentur veröffentlichte den Gesellschaftsvertrag im Handelsregister auch mit diesen Daten.

Nach etwa einem halben Jahr begann Frau OL die Löschung dieser Daten aus dem Register zu fordern. Als die Agentur jedoch nicht reagierte, reichte sie Beschwerde beim Verwaltungsgericht ein, das die Agentur anwies, diese personenbezogenen Daten zu löschen. Als Reaktion auf diese Aufforderung forderte die Agentur in Form eines Briefes von Frau OL die Zusendung eines Gesellschaftsvertrags mit versteckten Daten.

Auch dieses Schreiben wurde jedoch von Frau OL für ungültig befunden, sowie vom Verwaltungsgericht, das entschied, dass die Agentur verpflichtet sei, Frau OL ca. 255 EUR als Entschädigung für den durch ihre Untätigkeit entstandenen immateriellen Schaden zu zahlen. Die Agentur entschied, gegen diese Entscheidung vorzugehen, und so ging dieser Streit über das bulgarische Oberste Verwaltungsgericht bis zum EuGH.

Vorfragen und Entscheidungen des EuGH

Das bulgarische Oberste Verwaltungsgericht hat den EuGH nicht verschont und ihm sofort 8 Vorfragen gestellt. Einige wurden jedoch vom EuGH aufgrund ihrer Verflechtung nicht beantwortet und einige waren nicht so interessant, dass sie hier erwähnt werden sollten. Zu den interessanten Fragen zählen insbesondere Fragen 5, 6, 7 und 8, die einen Bezug zur GDPR hatten.

Die fünfte Frage richtete sich darauf, ob die Agentur in diesem Fall als Empfänger personenbezogener Daten oder als deren Verwalter fungierte. Der EuGH kam, ebenso wie die Generalanwältin, zu dem Schluss, dass die Agentur zwar keine Kontrolle über die Daten in den ihr übermittelten Dokumenten hat und diese dann veröffentlicht, dass sie jedoch als Verwalter der in diesen Dokumenten enthaltenen personenbezogenen Daten fungiert. Auch im Fall, wenn ihr eine Version des Dokuments mit versteckten persönlichen Daten hätte ausgehändigt werden sollen; eine solche Kopie wurde ihr jedoch nicht ausgehändigt. Was die Agentur (einschließlich der tschechischen Gerichte) daher zum Verantwortlichen (Verwalter) für personenbezogene Daten macht, ist deren Veröffentlichung im Handelsregister.

Die nächste Frage war etwas geradliniger: Ist eine handschriftliche Unterschrift eine Personalangabe? Der EuGH stellte im Hinblick auf seine Entscheidungspraxis fest, dass es sich um personenbezogene Daten handele, insbesondere weil sie Informationen über den Unterzeichner geben und zugleich seiner Identifizierung dienen.

Die vorletzte Frage zielte auf die Auslegung des Begriffs „immaterieller Schaden“ gemäß der GDPR und deren Annahmen bezogen auf den zu verhandelnden Fall ab. Laut EuGH kann bereits der Verlust der Kontrolle über die im Handelsregister veröffentlichten personenbezogenen Daten einen immateriellen Schaden lt. Art. 82 der GDPR bedeuten, sofern das Unternehmen einen immateriellen Schaden nachweist. Auch die Angst vor einem Missbrauch veröffentlichter personenbezogener Daten kann ein solcher immaterieller Schaden sein.

Auch die Bearbeitung der letzten Frage nahm dem EuGH nicht viel Zeit in Anspruch. Das bulgarische Gericht suchte nach einer Antwort auf die Frage, ob die Stellungnahme von der Aufsichtsbehörde (in der Tschechischen Republik ÚOOÚ-Amt) die Haftung der Agentur für den Schaden vollständig ausschließen kann. Die Antwort war selbstverständlich negativ, da die Stellungnahme nicht rechtsverbindlich ist und die Möglichkeit, die Haftung für Schäden auf diese Weise auszuschließen, dem Sinn und den Zielen der GDPR völlig widersprechen würde.

Was nun?

Das Oberste Verwaltungsgericht in Bulgarien muss in seiner Entscheidung alle Antworten des EuGH auf die von ihm gestellten Fragen berücksichtigen; aber alles deutet darauf hin, dass gegen die Agentur eine Geldstrafe gesetzlich berechtigt verhängt wurde; d.h. die personenbezogenen Daten von Frau OL sollten überhaupt nicht veröffentlicht und müssen auf Anfrage gelöscht werden.

Obwohl dies eine interessante Entscheidung ist, wird ihre Anwendung in anderen Mitgliedstaaten, einschließlich der Tschechischen Republik, nicht so einfach sein, wie es scheint. In jedem Land sind personenbezogene Daten zur Veröffentlichung gesetzlich unterschiedlich festgelegt. Dennoch bietet die Entscheidung in manchen Teilen eine interessante Grundlage für mögliche ähnliche inländische Streitigkeiten.

Die gesamte Entscheidung finden Sie auf der Website https://curia.europa.eu/ unter dem Aktenzeichen C-200/23.