Löschung per­so­nen­be­zo­ge­ner Daten aus dem Han­dels­re­gis­ter

Die bulgarische Agentur für Eintragungen (Agentur) machte den Gesellschaftsvertrag einer Gesellschaft bulgarischen Rechts in der eingereichten Form der Öffentlichkeit zugänglich. Er enthielt den Namen, den Vornamen, die Identifikationsnummer, die Nummer des Personalausweises, das Datum und den Ort der Ausstellung dieses Ausweises sowie die Anschrift der Gesellschafterin und ihre Unterschrift.

Die Gesellschafterin beantragte bei der Agentur die Löschung ihrer personenbezogenen Daten in diesem Gesellschaftsvertrag, was diese ablehnte. Der „Administrativen sad Dobrich“ (Verwaltungsgericht Dobrich) hob die Ablehnung der Agentur, die genannten Daten zu löschen, auf und verwies die Sache zur erneuten Entscheidung an die Agentur zurück.

Die Agentur wies darauf hin, dass ihr eine beglaubigte Kopie des betreffenden Gesellschaftsvertrags zu übermitteln sei, in der die personenbezogenen Daten der Gesellschafter, mit Ausnahme der gesetzlich vorgeschriebenen Daten, unkenntlich gemacht worden seien, damit dem Antrag auf Löschung personenbezogener Daten entsprochen werden könne. Die Gesellschafterin erhob erneut Klage mit dem Begehren, dieses Schreiben für nichtig zu erklären und die Agentur zum Ersatz des immateriellen Schadens zu verurteilen, der ihr durch das Schreiben unter Verletzung der Rechte aus der Datenschutz-Grundverordnung (DS-GVO) entstanden sein soll. Vor Zustellung dieser Klage an die Agentur löschte diese von Amts wegen die Identifikationsnummer, die Daten zum Personalausweis und die Anschrift der Gesellschafterin, nicht aber ihren Namen, ihren Vornamen und ihre Unterschrift.

Der „Administrativen sad Dobrich“ erklärte das betreffende Schreiben für nichtig und verurteilte die Agentur, an die Gesellschafterin gemäß Art. 82 DS-GVO Ersatz ihres immateriellen Schadens zu leisten. Das Schreiben habe das Recht der Gesellschafterin auf Löschung gemäß Art. 17 Abs. 1 DS-GVO verletzt und zur rechtswidrigen Verarbeitung ihrer in dem öffentlich zugänglich gemachten Gesellschaftsvertrag enthaltenen Daten geführt. Der Schaden bestehe in den negativen psychologischen und emotionalen Erfahrungen der Gesellschafterin, nämlich der Angst und Sorge vor möglichem Missbrauch sowie der Hilflosigkeit und Enttäuschung über die Unmöglichkeit, ihre persönlichen Daten zu schützen. 

Gegen dieses Urteil hat die Agentur Kassationsbeschwerde zum „Varhoven administrativen sad“ (Oberstes Verwaltungsgericht) eingelegt.

Die Agentur macht geltend, dass sie nicht nur Verantwortlicher für die Verarbeitung, sondern auch Empfänger der im Rahmen des Verfahrens der Registrierung der „Praven Shtit Konsulting“ übermittelten personenbezogenen Daten sei. Zudem habe sie keine Kopie des betreffenden Gesellschaftsvertrags erhalten, in der die personenbezogenen Daten der Gesellschafterin, die nicht öffentlich zugänglich gemacht werden sollten, unkenntlich gemacht worden seien, obwohl sie dies vor der Eintragung dieser Gesellschaft in das Handelsregister verlangt habe. Das Fehlen einer solchen Kopie könne jedoch für sich allein der Eintragung einer Handelsgesellschaft in dieses Register nicht entgegenstehen. Dies ergebe sich aus einer Stellungnahme der nationalen Aufsichtsbehörde, der „Komisia za zashtita na lichnite danni“ (Kommission für den Schutz personenbezogener Daten, Bulgarien), die gemäß Art. 58 Abs. 3 lit. b DS-GVO ergangen sei und auf die sich die Agentur beziehe.

Der „Varhoven administrativen sad“ hat das Verfahren ausgesetzt und dem EuGH seine Fragen zur Vorabentscheidung vorgelegt. Diese betreffen insbesondere den Ausgleich, der zwischen dem Recht auf Schutz personenbezogener Daten einerseits und der Regelung, die die Offenlegung sowie den Zugang zu bestimmten Urkunden der Gesellschaften gewährleiste, andererseits herzustellen sei.

Nach der Entscheidung des EuGH ist Art. 21 Abs. 2 der RL (EU) 2017/1132 dahin auszulegen, dass keine Verpflichtung eines Mitgliedsstaats besteht, die Offenlegung eines Gesellschaftsvertrags im Handelsregister zuzulassen, der über die erforderlichen personenbezogenen Mindestdaten hinaus weitere nicht offenlegungspflichtige personenbezogene Daten enthält.

Art. 4 Nr. 7 und Nr. 9 DS-GVO sind dahin auszulegen, dass die für die Führung des Handelsregisters zuständige Stelle, die personenbezogene Daten veröffentlicht, die in einem Gesellschaftsvertrag enthalten sind, „Empfänger“ dieser Daten und für ihre Verarbeitung „Verantwortlicher“ ist.

Art. 16 der RL (EU) 2017/1132 und Art. 17 DS-GVO sind dahin auszulegen, dass sie einer Regelung oder Praxis eines Mitgliedstaats entgegenstehen, die dazu führt, dass die mit der Führung des Handelsregisters betraute Stelle jeden Antrag auf Löschung nicht erforderlicher personenbezogener Daten ablehnt, die in einem offengelegten Gesellschaftsvertrag enthalten sind.

Die eigenhändige Unterschrift einer natürlichen Person fällt unter den Begriff „personenbezogene Daten“ im Sinne von Art. 4 Abs. 1 DS-GVO.

Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der durch Online-Bereitstellung im Handelsregister bewirkten öffentlichen Zugänglichmachung dieser Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen. Die Person hat nachzuweisen, dass sie tatsächlich einen solchen Schaden erlitten hat, nicht jedoch zusätzliche spürbare negative Folgen.

Art. 82 Abs. 3 DS-GVO ist dahin auszulegen, dass eine Stellungnahme der Aufsichtsbehörde nicht ausreicht, um die mit der Führung des Handelsregisters betraute Stelle von der Haftung nach Art. 82 Abs. 2 DS-GVO zu befreien.

Insbesondere durch die mit dem Gesetz zur Umsetzung der Digitalisierungsrichtlinie vom 5. Juli 2021 (DiRUG) für jeden eingeführte Möglichkeit der kostenfreien Einsichtnahme in das Handelsregister (§§ 9, 10 Abs. 2 HGB) hat für die Betroffenen der Schutz ihrer darin enthaltenen personenbezogenen Daten an Bedeutung gewonnen.

Was gegenüber dem Handelsregister anzumelden ist, ergibt sich aus dem jeweiligen sogenannten Anmeldetatbestand, der insbesondere um die Regelungen in der Handelsregisterverordnung ergänzt wird.

In Bezug auf die erforderlichen Angaben hat der BGH unter anderem mit Entscheidungen vom 23. Januar 2024 (BGH, Beschluss vom 23. Januar 2024 – II ZB 7/23, NJW 2024, 1577 und BGH, Beschluss vom 23. Januar 2024 – II ZB 8/23, BeckRS 2024, 5838) die Löschung personenbezogener Daten aus dem Handelsregister abgelehnt.

Der EuGH hat mit Blick auf die über die erforderlichen Mindestdaten hinausgehenden personenbezogenen Daten entschieden, dass die Ablehnung von Löschungsersuchen nicht mit EU-Recht vereinbar ist. Dabei sind eigenhändige Unterschriften natürlicher Personen personenbezogene Daten gemäß Art. 4 Abs. 1 DS-GVO.