Dass das Verhältnis zwischen Insolvenzrecht und DSGVO nicht unkompliziert ist, bestätigt ein kürzlich bekannt gewordenes Urteil des VG Gießen: Der klagende Insolvenzverwalter begehrte beim Finanzamt Auskunft über das Steuerkonto einer insolventen GmbH. Das Gericht lehnte diesen Anspruch unter Verweis auf die DSGVO ab.
Auf den ersten Blick nichts Neues. Bereits im Sommer hatte das OVG Lüneburg geurteilt, dass ein solcher Anspruch nach Art. 15 DSGVO nicht bestehe (Beschluss vom 26.6.19 – 11 LA 274/18). Das „höchstpersönliche“ Auskunftsrecht sei nicht vom Übergang des Verwaltungs- und Verfügungsrechts nach § 80 Abs. 1 InsO auf den Insolvenzverwalter erfasst und gehöre nicht zur Insolvenzmasse (§ 36 Abs. 1 Satz 1 InsO). So weit so klar (und so dogmatisch streitbar!). Dass der Insolvenzverwalter im vorliegenden Fall den Einstieg über das Hessische Informationsfreiheitsrecht gewählt hatte, tat nichts zur Sache. Über die Subsidiaritätsklausel des § 80 Abs. 2 HDSIG findet auf Informationsersuchen nach dem Hessischen Informationsfreiheitsrecht die DSGVO vorrangig Anwendung.
Warum sich also dem Urteil widmen? Die aufmerksame Leserin hat bereits bemerkt; Trägerin der durch den Insolvenzverwalter begehrten Information war vorliegend keine natürliche Person, sondern eine GmbH. Wie aber konnte der Zugang zu Informationen einer juristischen Person durch das Datenschutzrecht reglementiert sein? Warum war die GmbH „passivlegitimiert“?
Zur Erinnerung: Die DSGVO findet gemäß Art. 2 Abs. 1 Anwendung sowie Daten natürlicher Personen verarbeitet werden. Datenschutz ist kein „Jedermann-Grundrecht“. Erwägungsgrund 14 bestätigt das und erklärt die DSGVO auf „personenbezogene Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen“ als nicht anwendbar. Die Grundverordnung soll gerade nicht auf Informationen über juristische Personen Anwendung finden. (Vor Inkrafttreten der DSGVO war das etwa in Dänemark oder Österreich noch anders.) Die holprige Formulierung in Erwägungsgrund 14 gilt dabei nicht absolut. „Wenn der Name der juristischen Person eine oder mehrere natürliche Personen bestimmt“, können sich auch juristische Personen auf den durch die Art. 7 und 8 der GrCH verliehenen Schutz berufen (vgl. EuGH, Urteil vom 9.11.2010, C-92/09, C-93/09). Gemeint sind neben Unternehmen, die unter dem Namen der zumindest auch haftenden Eigentümerin firmieren, u.a. auch Ich-AGs, eingetragene Kaufleute, usw. (nur exemplarisch: VG Wiesbaden, Urteil vom 7.12.2007 – 6 E 928/07).
Vorliegend lag die Sache anders.
Denn gemäß § 2a Abs. 5 AO findet die DSGVO „entsprechend“ auf die dort genannten juristischen Personen, namentlich „Körperschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Vermögensmassen“ Anwendung. Gesellschaften mit beschränkter Haftung sind Körperschaften.
Reflexartig will man hier das von Vielen inflationär genutzte Argument bemühen, nationales Recht, hier: die AO, verstoße gegen den vollharmonisierenden Ansatz der DSGVO. Auf den ersten Blick erweitert § 2a Abs. 5 AO denn auch den Anwendungsbereich der Grundverordnung auf juristische Personen.
(Datenschutzrechtlich) Problematisch? Keineswegs. Den Anwendungsbereich der DSGVO „entsprechend“ auf andere Regelungsbereiche zu übertragen, lässt die DSGVO selbst nämlich völlig unberührt. Die DSGVO regelt gerade nicht abschließend, für welche Bereiche sie nicht „entsprechend“ gelten darf. Rechtsdogmatisch wird man allein, dann aber bei AO-Sachverhalten, die Frage zu stellen haben, ob es sich bei § 2a Abs. 5 AO um eine Rechtsgrund- oder eine Rechtsfolgenverweisung handelt (ersteres dürfte zutreffend sein).
Zusammenfassend: Zu dem hier betrachteten Urteil zur Beschränkung eines Auskunftsanspruchs aus HDSIG iVm DSGVO iVm AO durch AO iVm Art. 15 DSGVO kam das VG Gießen nur deshalb, weil es die DSGVO sowohl auf den Anspruchsteller (den Insolvenzverwalter) als auch auf die Anspruchsgegnerin (das Finanzamt / die GmbH) anzuwenden hatte. Die DSGVO kann also ohne Weiteres auch auf juristische Personen – jedenfalls entsprechend – anzuwenden sein. Ein Verstoß gegen die Grundverordnung sind solche Verweise nicht.