Kundendaten & Geheimhaltungsrecht | dataprotect.at | Text mit KI generiert.
Rechtssatz
Die Datenschutzbehörde hat entschieden, dass Kundendaten (E-Mail-Adressen), die ein Unternehmen von einem insolventen Vorgänger erworben hat,
nicht als personenbezogene Daten des übernehmenden Unternehmens selbst gelten (dh nicht dasselbe "identifizieren") und daher deren Geheimhaltungsrecht dieser GmbH nicht
verletzen, wenn Dritte diese Daten für eigene Zwecke verwenden.
Sachverhalt
Die Beschwerdeführerin, eine GmbH, erwarb im Zuge eines Insolvenzverfahrens das Unternehmen und die Kundenkartei eines insolventen Vorgängers mit etwa 500.000 E-Mail-Adressen.
Ein ehemaliger Geschäftsführer dieser Vorgängergesellschaft, der später Geschäftsführer einer anderen GmbH wurde, nutzte diese Kundendaten unbefugt, um E-Mails für seine eigene Gesellschaft an die Kundenemailadressen zu versenden.
Die Beschwerdeführerin beschwerte sich bei der Datenschutzbehörde und argumentierte, dass damit ihre Rechte auf Geheimhaltung verletzt worden seien, da sie die
E-Mail-Adressen "gekauft" hatte. Die Beschwerdeführerin war selbst nicht Adressatin der (versendeten) E-Mails.
Rechtliche Begründung
Die Datenschutzbehörde prüfte zunächst, ob juristische Personen überhaupt Beschwerde erheben dürfen.
Sie bestätigte, dass § 1 Datenschutzgesetz (DSG) nicht nur natürliche Personen, sondern auch juristische Personen schützt. Dies entspricht auch der Auffassung des Verfassungsgerichtshofs und des Bundesverwaltungsgerichts.
Die zentrale Frage war jedoch, ob die Kundendaten (gekaufte E-Mail-Adressen von "Kunden") als personenbezogene Daten der Beschwerdeführerin selbst, dh der GmbH, die diese Kundendaten (E-Mail-Adressen erworben hatte) anzusehen sind.
Die Behörde verneinte dies:
E-Mail-Adressen von Kunden der Beschwerdeführerin enthalten keine Informationen, die die Beschwerdeführerin selbst identifizieren oder identifizierbar machen.
Anders als bei Geschäftsunterlagen, die etwa Lagerbestände oder Geschäftsbeziehungen des Unternehmens dokumentieren, handelt es sich hier lediglich um Kontaktdaten natürlicher Personen. Diese sind höchstpersönliche Daten der Kunden, nicht der Beschwerdeführerin.
Sollten die Kunden ihre Rechte verletzt sehen, können diese selbst Beschwerde einreichen.
Fazit
Die Datenschutzbehörde wies die Beschwerde als unbegründet ab.
Während juristische Personen grundsätzlich Datenschutzrechte haben, schützen diese nur Daten, die sie selbst betreffen. Kundendaten sind Daten der Kunden und nicht der kaufenden Gesellschaft, auch wenn diese die Daten in ihren Besitz hat.
Auch einie widerrechtliche Nutzung dieser Daten durch Dritte stellt daher keine unmittelbare Verletzung der Geheimhaltungsrechte des übernehmenden Unternehmens dar.
Kommentar schreiben