Datenschutzrechtliche Probleme beim Online-Handelsregister

Seit dem 01.08.2022 sind Einträge im Handelsregister für alle Bürgerinnen und Bürger auf der Plattform www.handelsregister.de frei verfügbar. Damit wurde die Digitalisierungsrichtlinie (DiRUG) umgesetzt und so mehr Transparenz im Rechts- und Geschäftsverkehr geschaffen. Es gibt jedoch zunehmend Bedenken hinsichtlich des Datenschutzes auf dem Portal.

Was ist das Problem?

Bisher war das Abfragen von Informationen aus dem Handelsregister mit einigem Aufwand verbunden. Man musste sich vorab beim Amtsgericht Hamm, welches der Plattformbetreiber ist, per Fax registrieren und unter Umständen eine Gebühr für die Auskunft entrichten. Seit der Umsetzung der Richtlinie ist die Website nicht mehr zugangsbeschränkt und gebührenfrei. Die Folge: jeder Interessierte kann Einträge im Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister ohne Registrierung jederzeit einsehen und speichern. Dabei enthalten die Einträge teilweise sensible persönliche Daten wie Adressen, Geburtsdaten, Bankverbindungen, Unterschriften oder auch Verifikationsnummern des Personalausweises. Durch die freie Verfügbarkeit solcher Informationen besteht ein erhöhtes Risiko für Missbrauch dieser personenbezogenen Daten. Insbesondere besteht das Risiko, dass solche Daten massenhaft von Bots ausgelesen und genutzt werden, ohne dass sie in irgendeiner Art und Weise kontrolliert werden können. Die einzige Einschränkung: Nutzer können auf dem Portal maximal 60 Dokumente pro Stunde über eine IP-Adresse abrufen. In Anbetracht des hohen Missbrauchspotenzials ist dies keine ausreichende Maßnahme für den Datenschutz.

Wer ist verantwortlich?

Einerseits sind die Registergerichte für die Daten verantwortlich, denn sie stellen die ihnen von den Notaren übermittelten Dokumente ein. Andererseits liegt das Portal im Zuständigkeitsbereich des nordrhein-westfälischen Justizministerium, sodass auch dieses als Verantwortlicher im Sinne der DSGVO in Frage kommt. Gemäß Art. 26 DSGVO sind die Registergerichte gemeinsam mit dem Justizministerium verantwortlich. Sämtliche gemeinsam Verantwortlichen sind somit auch Adressaten der Betroffenenrechte nach Art. 12 ff. DSGVO. Daraus folgt, dass sich die Betroffenen auch an beide Stellen wenden können, um ihre Rechte geltend zu machen. Insbesondere sind aber gerade nicht die Notare für die Veröffentlichung der Daten im Portal verantwortlich.

Welche Möglichkeiten stehen den Betroffenen zu?

Betroffene können beim zuständigen Registergericht einen Antrag zum Austausch von Dokumenten mit sensiblen Daten stellen. Das alte Dokument wird dann für den Abruf gesperrt. Außerdem besteht die Möglichkeit, sich an den jeweiligen Notar zu wenden und die Dokumente so umzugestalten, dass sie keine derart sensiblen Informationen beinhalten.

Was wird gefordert?

Kritiker verlangen insbesondere verbindliche technische und organisatorische Maßnahmen, um Missbrauchspotenziale einzugrenzen. Darunter fällt insbesondere die Löschung von nicht mehr erforderlichen Daten und ein Verzicht auf Daten, die nicht für die Personenidentifizierung erforderlich sind. Diese Grundsätze sind auf die Einhaltung des Art.  5 DSGVO zurückzuführen.

Aufgrund der ubiquitären Datenverfügbarkeit, ohne jegliche Kontrollmöglichkeiten, steigt die Eingriffsintensität in die Grundrechte von Betroffenen, insbesondere den Datenschutz, erheblich. Deshalb soll bei der Frage, welche Maßnahmen notwendigerweise zu ergreifenden sind, ein besonders strenger Maßstab angewendet werden.

Problematisch ist auch, dass die betroffene Person selbst zunächst die kompletten Datensätze durchsuchen muss um zu prüfen, ob und wenn ja welche Daten unberechtigt veröffentlicht wurden.

Wir hatten im Namen eines Mandanten ein Löschungsersuchen an das Amtsgericht Frankfurt gestellt. Dieses wurde nach langer Rücksprache mit übergeordneten Gerichten und dem Justizministerium nun beantwortet. Folgendes führte das OLG Frankfurt zu unserer Anfrage bezüglich eines Antrags auf Löschung gemäß Artikel 17 DSGVO aus:

Die Problemstellung der datenschutzrechtlichen Fragen bei eingereichten Dokumenten im Registerordner ist auch bereits vom BMJ aufgegriffen worden und wird für die Zukunft durch Änderung der Dienstordnung für Notarinnen und Notare und der Handelsregisterverordnung (§ 9) angegangen. Für die Vergangenheit, die bereits im Registerordner eingestellten Dokumente, wird nach zulässigen und technisch geeigneten Lösungen gesucht.

Der derzeit in den Ländern praktizierte Lösungsansatz bei den bereits im Registerordner eingestellten Dokumenten sieht vor, dass ein Betroffener sich unmittelbar oder mittelbar über seinen Notar an das Registergericht wenden und Urkunden, die personenbezogene Daten enthalten, die für die begründete Eintragung bzw. deren vorherigen Prüfung nicht erforderlich sind, durch Urkundenexemplare, in denen diese Daten nicht enthalten bzw. geschwärzt sind, ersetzen kann.

Aus unserer Sicht ist diese Antwort unbefriedigend und datenschutzrechtlich zumindest fragwürdig. Es wird der betroffenen Person selbst die Aufgabe zugeschoben, den Registereintrag durch eigenes Handeln (welches durch die Einschaltung eines Notars auch schlicht Geld kostet) zu durchsuchen und erforderlichenfalls bereinigen.

Nach den Grundsätzen des Datenschutzrechts, beispielsweise dem Rechtmäßigkeitsgrundsatz gemäß Art. 5 Abs. 1 Nr. 1 DSGVO und dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 Nr. 3 DSGVO, wäre es eigentlich Aufgabe der Registergerichte, zu Gewährleisten, dass nur solche Daten verarbeitet werden, für die eine entsprechende Rechtsgrundlage besteht.

Das letzte Wort dürfte hier noch nicht gesprochen sein. Es bleibt die weitere Entwicklung abzuwarten.

Foto von Tingey Injury Law Firm auf Unsplash