Gesetzt den Fall, es gibt ein Merkmal, das nicht durch Art. 67.1 gedeckt ist: Beurteilen Sie die Informationspflicht durch die DSGVO überhaupt als verhältnismäßig?

Zacherl: Die eigentliche Frage ist doch diese: Welche Art der Information ist verhältnismäßig? Und wie erfülle ich dies auf eine praktikable Art und Weise? Zunächst ist anzumerken, dass eine Information bei der Datenerhebung selbst ausscheidet. Der Emittent muss daher im Nachgang informieren. Hier stellt sich jetzt die Frage: durch welches Medium?

Schmitz: Ohne Nationalität würde man es über Ausnahmeregeln klären – hier würde dann ein Verweis zum Link auf die Homepage mit der DSGVO und der Privacy Policy reichen, in der explizit aufgeführt wird, warum man gewisse Daten wie Nationalität erhebt. Falls in dem Fall eine Aufsichtsbehörde dies als unzureichend erklären würde, würde ich in dem Fall nochmal explizit aufführen, warum solche Datenerhebungen nicht die Privatsphäre des Einzelnen verletzen. Hier hätte man zumindest eine einheitliche Argumentationslinie und könnte dann für den Fall der Fälle doch die Informationspflicht anwenden, falls die Aufsichtsbehörde dagegen stimmt.

Hamann: Das sehe ich genauso. Kann ich Art. 14 Abs. 5c) DSGVO nicht anwenden, bin ich in der Pflicht zu informieren. Doch was heißt informieren? Muss ich jeden einzelnen anschreiben oder reicht es aus, über die Website aufzuklären ? Hier lässt die DSGVO die genaue Vorgehensweise offen. Bei den Aktionärsinformationen, über die wir hier sprechen, genügt m.E. ein prominent platzierter Hinweis auf der Website der Gesellschaft. Dies wäre dann ein verhältnismäßiger Aufwand – unverhältnismäßig wäre es z.B., wenn jeder einzelne Neuaktionär postalisch innerhalb eines Monats nach Erwerb seiner Aktien angeschrieben werden müsste.

Zacherl: Das ist ein entscheidender Punkt. Oft haben die Emittenten – wie etwa die MTU Aero Engines – keine Email-Adressen erfasst, sodass auf jeden Fall ein postalischer Versand notwendig wäre. Für ein Aktionärsmailing besteht häufig keine interne Infrastruktur; hier müsste dann ein Dienstleister beauftragt werden, um die Kommunikation abzuwickeln. Das ist nicht nur aufwändig, sondern schafft datenschutzrechtlich eine neue Schnittstelle.

Ein wichtiger Punkt der DSGVO ist die Löschung der personenbezogenen Daten. Bezogen auf Namensaktien: Wann komme ich aus dem Aktienregister raus?

Schmitz: Aus meiner Sicht muss der Aktionär dann aus dem Aktienregister gelöscht werden, sobald dieser keiner mehr ist. Aus buchhalterischen und steuerlichen Gründen kann es aber durchaus sein, dass die Daten noch zum Nachweis aufbewahrt werden können. Da müssen dann entsprechend die Speicherungen nach dem Berechtigungs- und Rollenkonzept geändert werden. Aus den HGB-Grundlagen gilt ja eine generelle Löschfrist von zehn Jahren. Bei den hauptversammlungsbezogenen Daten gelten Löschfristen von drei Jahren, die sich allerdings im Falle von Rechtsstreitigkeiten verlängern würden.

Zu den Sanktionen: Sind 4% des Umsatzes ein „Schreckgespenst“ für die Unternehmen?

Hamann: Wenn man alles richtig macht, hat man auch unter dem neuen Recht natürlich nichts zu befürchten. Das Problem ist nur – und das bestätigen sogar die Aufsichtsbehörden –, dass eine hundertprozentige Datenschutz-Compliance de facto nicht möglich ist. Es wird immer Grauzonen geben. Bislang sind die Erfahrungswerte so, dass die Aussichtsbehörden bei „Ersttätern“ erst mal eine Verwarnung ausgesprochen und die Möglichkeit zur Nachbesserung gegeben haben, bevor mit Bußgeldern operiert wurde. Wie sich das allerdings in Zukunft entwickeln wird, ist nicht ganz klar. Mit der neuen DSGVO haben die Behörden nämlich kein Opportunitätsermessen mehr, darüber zu entscheiden, ob sie überhaupt ein Bußgeld verhängen wollen. Es ist also gesetzlich festgelegt, dass auf jeden Fall ein Bußgeld verhängt wird – abgesehen von geringfügigen Verstößen. Es wird deshalb ganz sicher mehr Bußgelder geben und diese werden sich auch spürbar erhöhen.