26.7.2011   

DE

Amtsblatt der Europäischen Union

C 220/1

1.

Am 24. Februar 2011 verabschiedete die Europäische Kommission einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinien 89/666/EWG, 2005/56/EG und 2009/101/EG in Bezug auf die Verknüpfung von Zentral-, Handels- und Gesellschaftsregistern (3) („Vorschlag“) und konsultierte anschließend den EDSB hierzu.

2.

Der EDSB begrüßt den Umstand, dass er gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert worden ist und in der Präambel des Vorschlags auf die vorliegende Stellungnahme verwiesen wird.

3.

Ziel des Vorschlags ist es, die grenzübergreifende Zusammenarbeit und den Informationsaustausch zwischen Unternehmensregistern im Europäischen Wirtschaftsraum zu erleichtern und zu intensivieren und auf diese Weise die Transparenz und die Zuverlässigkeit grenzübergreifend verfügbarer Informationen zu verbessern. Effiziente Verfahren für die administrative Zusammenarbeit im Hinblick auf Unternehmensregister sind von entscheidender Bedeutung, da sie das Vertrauen in den europäischen Binnenmarkt erhöhen, indem sie sicherere geschäftliche Rahmenbedingungen für Verbraucher, Gläubiger und andere Geschäftspartner gewährleisten, den Verwaltungsaufwand reduzieren und die Rechtssicherheit verbessern. Besonders wichtig ist die Intensivierung der administrativen Zusammenarbeit in Bezug auf Unternehmensregister in Europa bei Verfahren für grenzübergreifende Verschmelzungen oder Sitzverlagerungen und bei der Aktualisierung von Einträgen ausländischer Zweigniederlassungen in Fällen, in denen Kooperationsmechanismen derzeit fehlen oder nicht ausreichen.

4.

Zu diesem Zweck richtet sich der Vorschlag auf die folgenden Änderungen von drei bestehenden Richtlinien:

5.

In jedem Mitgliedstaat gibt es Unternehmensregister, die entweder auf nationaler, regionaler oder kommunaler Ebene angesiedelt sind. Im Jahr 1968 wurden gemeinsame Vorschriften verabschiedet, die Mindeststandards für die Offenlegung (Eintragung und Veröffentlichung) von Unternehmensinformationen festlegten (7). Seit dem 1. Januar 2007 müssen die Mitgliedstaaten außerdem elektronische Unternehmensregister führen (8) und Dritten ermöglichen, online auf den Inhalt der Register zuzugreifen.

6.

Einige europäische Rechtsakte sehen eine Zusammenarbeit in Bezug auf die Unternehmensregister unterschiedlicher Mitgliedstaaten ausdrücklich vor, um die Verschmelzung von Kapitalgesellschaften aus verschiedenen Mitgliedstaaten (9) und die grenzübergreifende Sitzverlagerung der Europäischen Gesellschaft (SE) (10) und der Europäischen Genossenschaft (SCE) (11) zu fördern.

7.

Im Jahr 1992 wurde eine freiwillige Kooperation im Hinblick auf Unternehmensregister in Europa geschaffen. Mittlerweile umfasst das Europäische Unternehmensregister („EBR“, European Business Register) (12) amtliche Unternehmensregister von 19 Mitgliedstaaten und sechs weiteren europäischen Ländern. Zwischen 2006 und 2009 war das EBR an dem Forschungsprojekt BRITE (13) beteiligt, das eine technische Plattform für die Interoperabilität von Unternehmensregistern in ganz Europa entwickeln sollte. Die im Vorschlag enthaltene Folgenabschätzung weist jedoch darauf hin, dass das EBR im Hinblick auf Erweiterung, Finanzierung und Governance mit erheblichen Schwierigkeiten zu kämpfen hat: Laut Folgenabschätzung ist die bisherige Kooperation in ihrer derzeitigen Form für potenzielle Nutzer nicht völlig zufriedenstellend.

8.

In der Begründung des Vorschlags wird festgestellt, dass das Europäische E-Justiz-Portal (14) zur Plattform für den zentralen Zugang zu rechtlichen Informationen, Rechts- und Verwaltungsorganen, Registern, Datenbanken und anderen Diensten in der EU ausgebaut werden soll. Außerdem wird bekräftigt, dass der Vorschlag das E-Justiz-Projekt ergänzt und dazu beitragen dürfte, dass Dritte über dieses Portal künftig leichter auf Unternehmensinformationen zugreifen können.

9.

In der Folgenabschätzung wird auf das Binnenmarkt-Informationssystem (IMI, Internal Market Information System) als ein weiteres maßgebliches Projekt mit potenziellen Synergieeffekten hingewiesen (15). Das IMI ist ein elektronisches Hilfsmittel, das die tägliche administrative Zusammenarbeit zwischen den öffentlichen Verwaltungen im Zusammenhang mit der Dienstleistungsrichtlinie (2006/123/EG) und der Berufsqualifikationsrichtlinie (2005/36/EG) unterstützen soll. Derzeit wird das IMI erweitert und die Folgenabschätzung hebt hervor, dass das IMI auch die Durchsetzung anderer Richtlinien — einschließlich im Bereich des Gesellschaftsrechts — unterstützen könnte.

10.

Artikel 3 des Vorschlags enthält mehrere Änderungen der Richtlinie 2009/101/EG. Davon sind zwei Änderungen von erheblicher datenschutzrechtlicher Bedeutung.

11.

Artikel 2 der Richtlinie 2009/101/EG enthält bereits in seiner derzeitigen Fassung die Verpflichtung, in jedem Mitgliedstaat bestimmte Mindestinformationen in einem Unternehmensregister offenzulegen, damit sich Dritte Informationen über Unternehmen verschaffen können. Wie bereits in Abschnitt 1.2 dargelegt wurde, müssen die Mitgliedstaaten außerdem elektronische Unternehmensregister führen und Dritten ermöglichen, online auf den Inhalt dieser Register zuzugreifen.

12.

Artikel 2 enthält eine Aufzählung von elf grundlegenden Unternehmensinformationen, die veröffentlicht werden müssen. Hierzu zählen unter anderem:

13.

Aus datenschutzrechtlicher Sicht ist der Umstand bedeutend, dass Artikel 2 darüber hinaus die Verpflichtung enthält, „die Bestellung, das Ausscheiden sowie die Personalien“ (Hervorhebung nur hier) der Personen, die i) befugt sind, die Gesellschaft zu vertreten, und/oder ii) in sonstiger Weise an der „Verwaltung, Beaufsichtigung oder Kontrolle“ der Gesellschaft teilnehmen, offenzulegen.

14.

Die Aufzählung der nach Artikel 2 offenzulegenden Punkte wird durch den Vorschlag nicht geändert. Auch die Verpflichtung der Mitgliedstaaten, die Informationen elektronisch verfügbar zu machen, ist nicht neu. Die Neuerung des Vorschlags besteht darin, dass die Informationen, die bislang nur verstreut und oft nur in lokalen Sprachen und über lokale Websites verfügbar waren, künftig über eine(n) gemeinsame(n) europäische(n) elektronische(n) Plattform/Zugang in einer multilingualen Umgebung leicht abgerufen werden können.

15.

Zu diesem Zweck fügt der Vorschlag einen neuen Artikel 3a in die Richtlinie ein. Dieser bestimmt: „Die Mitgliedstaaten sorgen dafür, dass die in Artikel 2 genannten Urkunden und Angaben, die bei dem zuständigen Register hinterlegt wurden, auf Anfrage für jeden Antragsteller über eine gemeinsame, von jedem Mitgliedstaat aus zugängliche europäische Elektronikplattform in elektronischer Form erhältlich sind.“ Die weiteren Einzelheiten überlässt der Vorschlag delegierten Rechtsakten.

16.

Darüber hinaus fügt der Vorschlag einen neuen Artikel 4a in die Richtlinie 2009/101/EG ein, der bestimmt: „Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass die [Unternehmensregister] interoperabel sind und ein elektronisches Netz … bilden.“ Auch hier überlässt der Vorschlag die weiteren Einzelheiten delegierten Rechtsakten.

17.

Im Hinblick auf datenschutzrechtliche Bedenken enthält der Vorschlag eine spezielle datenschutzrechtliche Vorschrift, die in alle drei Richtlinien aufzunehmen ist und bestimmt: „Für die Verarbeitung personenbezogener Daten im Zusammenhang mit [der] Richtlinie gilt die Richtlinie 95/46/EG...“

18.

Der EDSB teilt die Auffassung der Kommission, dass i) der Einsatz von Informations- und Kommunikationstechnologien die Zusammenarbeit im Hinblick auf Unternehmensregister effizienter gestalten kann und ii) eine verbesserte Zugänglichkeit von Informationen des Unternehmensregisters die Transparenz erhöhen kann. Daher unterstützt der EDSB die Ziele des Vorschlags. Seine Kommentare sind im Licht dieser konstruktiven Herangehensweise zu bewerten.

19.

Gleichzeitig weist der EDSB darauf hin, dass eine verbesserte Zugänglichkeit personenbezogener Daten auch eine erhöhte Gefährdung dieser personenbezogenen Daten beinhaltet. Beispielsweise kann die korrekte Identifizierung des Vertreters einer Gesellschaft leichter erfolgen, wenn seine Privatadresse offengelegt wird, doch die Offenlegung könnte auch sein Recht auf den Schutz personenbezogener Daten beeinträchtigen. Dies gilt insbesondere für personenbezogene Daten, die im Internet in großem Umfang digital und in mehreren Sprachen über eine leicht zugängliche europäische Plattform verfügbar gemacht werden.

20.

Bis in die jüngste Vergangenheit wurden personenbezogene Daten aus Unternehmensregistern (z. B. Name, Adresse und Unterschriftsprobe eines Direktors) in Papierform und einer lokalen Sprache veröffentlicht, oftmals nur nach persönlichem Erscheinen des Antragstellers beim örtlichen Registeramt. Es ist zu beachten, dass sich diese Situation von einer digitalen Veröffentlichung der Daten über einen nationalen elektronischen Zugang qualitativ unterscheidet. Die Veröffentlichung personenbezogener Daten über eine leicht zugängliche europaweite Plattform bzw. entsprechende Zugänge geht noch einen Schritt weiter und erhöht die Zugänglichkeit der Informationen sowie die Gefahren für den Schutz personenbezogener Daten der Betroffenen.

21.

Zu den (aufgrund der einfachen Verfügbarkeit der Daten in digitaler Form über einen gemeinsamen elektronischen Zugang) drohenden Gefahren zählen Identitätsdiebstahl und sonstige kriminelle Handlungen sowie die Gefahr, dass die offengelegten Informationen von Unternehmen rechtswidrig gesammelt und — nachdem Profile der Betroffenen erstellt wurden — zu kommerziellen, ursprünglich nicht vorgesehenen Zwecken verwendet werden. Ohne angemessene Schutzbestimmungen können die Informationen auch an Dritte verkauft oder mit sonstigen Informationen verbunden und an die Regierungen zurückverkauft werden, um für fremde und nicht offengelegte Zwecke (z. B. Eintreibung von Steuern oder strafrechtliche bzw. verwaltungsrechtliche Ermittlungen) verwendet zu werden, ohne dass eine geeignete Rechtsgrundlage gegeben wäre (16).

22.

Aus diesem Grund muss sorgfältig geprüft werden, welche personenbezogenen Informationen über die gemeinsame europäische Plattform verfügbar gemacht werden sollten und welche zusätzlichen datenschutzrechtlichen Garantien — einschließlich technischer Maßnahmen zur Beschränkung von Such- und Downloadfunktionen und zur Einschränkung von Data Mining — gelten sollten.

23.

Wie bereits in den Abschnitten 2.1 und 2.2 dargelegt, sind die vorgeschlagenen Artikel 3a und 4a der Richtlinie 2009/101/EG sehr allgemein gehalten und die Regelung vieler zentraler Fragen wird delegierten Rechtsakten überlassen.

24.

Zwar erkennt der EDSB an, dass Flexibilität und somit delegierte Rechtsakte erforderlich sind, doch er weist darauf hin, dass es sich bei den notwendigen datenschutzrechtlichen Garantien um wesentliche Vorschriften handelt, die der Wortlaut des Richtlinienvorschlags selbst ausdrücklich und eindeutig festlegen sollte. In dieser Hinsicht können sie nicht als „nicht wesentliche Vorschriften“ angesehen werden, die später in delegierten Rechtsakten gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union festgelegt werden können.

25.

Daher empfiehlt der EDSB, die datenschutzrechtlichen Bestimmungen des Vorschlags genauer abzufassen und über einen bloßen Verweis auf die Richtlinie 95/46/EG hinauszugehen (siehe Abschnitte 3.4 bis 3.13). Zusätzliche Vorschriften zur Umsetzung bestimmter Schutzbestimmungen können anschließend in delegierten Rechtsakten auf der Grundlage einer Konsultation des EDSB und gegebenenfalls der nationalen Datenschutzbehörden festgelegt werden (siehe Abschnitte 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 und 3.13).

26.

Der Vorschlag lässt nicht nur wichtige datenschutzrechtliche Garantien vermissen, sondern ist auch in anderen Bereichen sehr offen gehalten. Insbesondere wird es den delegierten Rechtsakten überlassen, die wesentlichen Vorschriften zur Realisierung der vorgeschlagenen i) Verknüpfung von Unternehmensregistern und ii) Veröffentlichung von Daten festzulegen.

27.

Eine eindeutige Regelung dieser anderen wesentlichen Vorschriften des Vorschlags ist notwendige Voraussetzung für den Erlass angemessener datenschutzrechtlicher Garantien. Daher empfiehlt der EDSB, diese wesentlichen Vorschriften im Richtlinienvorschlag selbst zu regeln (siehe Abschnitte 3.4 und 3.5).

28.

In seiner derzeitigen Fassung überlässt es der Vorschlag den delegierten Rechtsakten, die Regeln für Governance, Verwaltung, Betrieb und Vertretung des elektronischen Netzes festzulegen (17).

29.

Zwar identifizieren die Folgenabschätzung und die Begründung einige Synergieeffekte mit dem IMI und dem E-Justiz-Portal, doch der Wortlaut des Richtlinienvorschlags lässt verschiedene Optionen offen, bei denen einige oder alle dieser Synergieeffekte realisiert würden, einschließlich einer Neuausrichtung des EBR, des Einsatzes des IMI für bestimmte Zwecke des Datenaustauschs und/oder der Nutzung des E-Justiz-Portals als Plattform/Zugang für die Veröffentlichung von Informationen aus den Unternehmensregistern.

30.

Auch andere Optionen werden nicht ausgeschlossen, z. B. eine Ausschreibung für Entwicklung und Betrieb des elektronischen Netzes oder eine aktive Beteiligung der Kommission an Entwicklung und Betrieb des Systems. Auch Vertreter der Mitgliedstaaten können an der Führungsstruktur des elektronischen Netzes beteiligt werden.

31.

Auch wenn der Vorschlag in seiner derzeitigen Fassung eine „gemeinsame europäische Elektronikplattform“ (Hervorhebung nur hier) vorsieht, ist es nicht ausgeschlossen, dass der Wortlaut während des Gesetzgebungsverfahrens im Sinne einer dezentraleren Struktur geändert wird.

32.

Darüber hinaus stellt der EDSB fest, dass die Verknüpfung von Unternehmensregistern mit anderen Datenbanken (z. B. Grundbuch oder Personenstandsregister) im derzeitigen Vorschlag zwar nicht speziell berücksichtigt wird, technisch jedoch gewiss möglich ist und in einigen Mitgliedstaaten bereits realisiert wird (18).

33.

Die einzelnen Optionen können zu völlig unterschiedliche Governance-Modelle für das elektronische Netz und das elektronische Hilfsmittel, die bei der Veröffentlichung verwendet werden, führen. Dies wirkt sich wiederum auf die Funktionen und Aufgaben der Beteiligten aus und führt auch aus datenschutzrechtlicher Perspektive dazu, dass sich die Funktionen und Aufgaben ändern.

34.

In diesem Zusammenhang betont der EDSB, dass es in allen Fällen, in denen personenbezogene Daten verarbeitet werden, von entscheidender Bedeutung ist, den „für die Verarbeitung Verantwortlichen“ korrekt zu identifizieren. Auch die Artikel-29-Datenschutzgruppe hat dies in ihrer Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ hervorgehoben (19). Die klare und eindeutige Identifizierung des für die Verarbeitung Verantwortlichen ist vor allem deshalb so wichtig, weil sie der Klärung der Frage dient, wer für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich ist und welches Recht gilt (20).

35.

In der Stellungnahme der Artikel-29-Datenschutzgruppe wird Folgendes festgehalten: „Wenn nicht ausreichend klar ist, wer welcher Verpflichtung unterliegt — wenn beispielsweise niemand verantwortlich ist oder wenn es mehrere mögliche für die Verarbeitung Verantwortliche gibt, — dann besteht das offensichtliche Risiko, dass nur unzureichende oder überhaupt keine Maßnahmen durchgeführt werden und die Rechtsvorschriften wirkungslos bleiben.“

36.

Der EDSB weist darauf hin, dass Klarheit besonders in Situationen erforderlich ist, in denen mehrere Akteure zusammenarbeiten. Dies ist häufig der Fall, wenn Informationssysteme der EU für öffentliche Zwecke genutzt werden, wobei der Zweck der Verarbeitung im EU-Recht definiert ist.

37.

Aus diesen Gründen empfiehlt der EDSB, im Wortlaut des Richtlinienvorschlags ausdrücklich und in klarer und unmissverständlicher Form festzulegen,

38.

Aus datenschutzrechtlicher Sicht sollten diese Klarstellungen auch deshalb bestimmt und unmissverständlich formuliert werden, damit auf der Grundlage des Richtlinienvorschlags ermittelt werden kann, ob ein bestimmter Akteur als „für die Verarbeitung Verantwortlicher“ oder als „Auftragsverarbeiter“ anzusehen ist.

39.

Grundsätzlich sollte der Vorschlag ausdrücklich klarstellen, dass — wie aus dem derzeitigen Entwurf insgesamt hervorzugehen scheint — sowohl die Stellen, die Unternehmensregister führen, als auch der/die Betreiber des Systems jeweils im Hinblick auf ihre eigenen Tätigkeiten als für die Verarbeitung Verantwortliche angesehen werden sollten. Da der Vorschlag in seiner derzeitigen Fassung die Governance-Struktur nicht beschreibt und die/den Betreiber des elektronischen Systems nicht definiert, kann jedoch nicht ausgeschlossen werden, dass einige der Stellen, die das System letztendlich in der Praxis betreiben werden, eher als Auftragsverarbeiter und nicht als für die Verarbeitung Verantwortliche tätig werden. Dies kann insbesondere der Fall sein, wenn ein streng weisungsgebundener Dritter mit der Tätigkeit beauftragt wird. In jedem Fall gibt es anscheinend mehrere — mindestens einen in jedem Mitgliedstaat — für die Verarbeitung Verantwortliche: nämlich die Stellen, die die Unternehmensregister führen. Der Umstand, dass eventuell weitere (private) Stellen als Betreiber, „Verteiler“ oder in sonstiger Weise beteiligt sind, ist in dieser Hinsicht unerheblich. Jedenfalls sollte dies im Richtlinienvorschlag aus Gründen der Klarheit und Rechtssicherheit festgelegt werden.

40.

Schlussendlich sollte der Vorschlag auch die Zuständigkeiten, die sich aus diesen Funktionen ableiten, genauer und umfassender beschreiben. Beispielsweise sollte die Funktion des Betreibers, eine datenschutzfreundliche Ausgestaltung des Systems zu gewährleisten, sowie seine Koordinierungsfunktion im Hinblick auf datenschutzrechtliche Fragen in den Vorschlag aufgenommen werden.

41.

Der EDSB stellt fest, dass alle diese Klarstellungen auch für die Klärung der Frage, welche Datenschutzaufsichtsbehörden für welche Verarbeitungen personenbezogener Daten zuständig sind, maßgeblich sein werden.

42.

Der derzeitige Entwurf sieht anscheinend nicht vor, dass das elektronische Netz alle Informationen, die in den einzelnen Unternehmensregistern geführt werden, automatisch allen anderen Unternehmensregistern in allen anderen Mitgliedstaaten zur Verfügung stellt: Der Vorschlag schreibt nur die Verknüpfung und Interoperabilität von Unternehmensregistern vor und regelt somit die Bedingungen, unter denen künftig Informationsaustausch und Zugang möglich sein wird. Aus Gründen der Rechtssicherheit sollte der Vorschlag klarstellen, ob diese Auslegung zutreffend ist.

43.

Darüber hinaus enthält der Vorschlag auch keine Angaben dazu, was für ein Datenverkehr bzw. welche Verfahren für die administrative Zusammenarbeit über die verknüpften Unternehmensregister stattfinden dürfen (21). Der EDSB ist der Auffassung, dass eine gewisse Flexibilität erforderlich sein könnte, damit auch zukünftigen Anforderungen Rechnung getragen werden kann. In Anbetracht dessen ist es nach Ansicht des EDSB von entscheidender Bedeutung, dass der Vorschlag den Rahmen festlegt, der für künftig über das elektronische Netz stattfindende Datenflüsse und Verfahren der administrativen Zusammenarbeit gilt. Dies ist besonders wichtig, damit gewährleistet ist, dass i) jeder Datenaustausch auf einer soliden Rechtsgrundlage erfolgt und ii) angemessene datenschutzrechtliche Garantien vorhanden sind.

44.

Nach Auffassung des EDSB sollte jeder Datenaustausch sowie sonstige datenverarbeitende Tätigkeiten, die über das elektronische Netz stattfinden (z. B. Veröffentlichung personenbezogener Daten über die gemeinsame Plattform bzw. den gemeinsamen Zugang), auf einem verbindlichen Rechtsakt der EU basieren, der auf einer soliden Rechtsgrundlage verabschiedet wurde. Dies sollte im Richtlinienvorschlag eindeutig festgelegt werden (22).

45.

Der Vorschlag sieht ferner vor, dass die folgenden Bereiche in delegierten Rechtsakten geregelt werden (23):

46.

Im Hinblick auf den ersten und zweiten Spiegelstrich ist der EDSB der Auffassung, dass bestimmte wesentliche Schutzbestimmungen im Richtlinienvorschlag selbst enthalten sein sollten (siehe Abschnitte 3.12 und 3.13). Die Einzelheiten können in delegierten Rechtsakten geregelt werden.

47.

Im Hinblick auf den automatischen Datenaustausch begrüßt der EDSB, dass der Vorschlag delegierten Rechtsakten vorschreibt, „Standards für Format, Inhalt und Beschränkungen für Speicherung und Abruf der Angaben und Urkunden, die den automatischen Datenaustausch ermöglichen“ zu bestimmen.

48.

Um diesen Bereich eindeutiger zu regeln, empfiehlt der EDSB, in der vorgeschlagenen Richtlinie selbst unmissverständlich festzulegen, dass das elektronische Netz i) bestimmte, auf Einzelfallbasis und manuell vorzunehmende Datenaustauschvorgänge zwischen Unternehmensregistern (wie in einem EU-Rechtsakt z. B. bei Verschmelzung oder Sitzverlegung vorgesehen) und ii) automatische Datenübermittlungen (wie in einem EU-Rechtsakt für die Aktualisierung von Informationen im Register für ausländische Zweigniederlassungen vorgesehen) ermöglicht.

49.

Zur weiteren Klarstellung empfiehlt der EDSB darüber hinaus eine Änderung des vorgeschlagenen Wortlauts für den maßgeblichen Artikel 4a Absatz 3 Buchstabe i der Richtlinie 2009/101/EG im Sinne einer Gewährleistung, dass i) delegierte Rechtsakte sowohl manuelle als auch automatische Datenaustauschvorgänge lückenlos erfassen, ii) alle Verarbeitungen, die personenbezogene Daten betreffen können, erfasst sind (nicht nur Speicherung und Abruf) und iii) spezielle datenschutzrechtliche Bestimmungen in delegierten Rechtsakten auch die praktische Anwendung der maßgeblichen Datenschutzbestimmungen garantieren.

50.

Zur Veranschaulichung könnte Artikel 4a Absatz 3 Buchstabe i zum Beispiel wie folgt geändert werden:

51.

Vorab weist der EDSB darauf hin, dass die Namen (und möglicherweise sonstige Angaben wie z. B. die Privatadressen) der Unternehmensvertreter (und sonstiger Personen, die an der Leitung von Unternehmen beteiligt sind) zwar ohne Zweifel die offensichtlichsten personenbezogenen Daten sind, die über das elektronische Netz verarbeitet und/oder über die gemeinsame elektronische Plattform veröffentlicht werden können, doch handelt es sich dabei keineswegs um die einzigen personenbezogenen Informationen, die in Unternehmensregistern geführt werden.

52.

Erstens können einige der in Artikel 2 der Richtlinie 2009/101/EG aufgeführten Urkunden (z. B. Errichtungsakt, Satzung und Unterlagen der Rechnungslegung) auch personenbezogene Daten anderer Menschen beinhalten. Diese Daten können u. a. die folgenden Informationen betreffen: Namen, Adressen, ggf. Identifikationsnummern und Geburtsdaten und sogar eingescannte Unterschriftsproben verschiedener Personen, einschließlich der Unternehmensgründer, Anteilseigner, Rechtsanwälte, Buchhalter, Angestellten und Notare des Unternehmens.

53.

Zweitens könnten Unternehmensdaten, wenn sie mit dem Namen einer Person (z. B. einem Direktor) verknüpft werden, ebenfalls als personenbezogene Daten im Hinblick auf diese Person angesehen werden. Wenn aus den Daten des Unternehmensregisters beispielsweise hervorgeht, dass eine bestimmte Person dem Vorstand eines Unternehmens angehört, das sich in einem Liquidationsverfahren befindet, ist diese Information auch für die betroffene Person relevant.

54.

Damit eindeutig feststeht, welche personenbezogenen Daten verarbeitet werden, und gewährleistet ist, dass der Umfang der verarbeiteten Daten in einem angemessenen Verhältnis zu den Zielen des Vorschlags steht, empfiehlt der EDSB die Klarstellungen, die nachstehend im vorliegenden Abschnitt 3.7 erläutert werden.

55.

Artikel 2 der Richtlinie 2009/101/EG definiert nicht, welche „Personalien“ der Betroffenen (Vertreter der Gesellschaft und sonstige Personen, die an der Unternehmensführung beteiligt sind) offengelegt werden müssen.

56.

In der Tat geht aus den verschiedenen Sprachfassungen des Vorschlags hervor, dass der Begriff „Personalien“ sehr unterschiedlich übersetzt wird. Beispielsweise heißt es in der französischen Fassung „l’identité des personnes“ (deutsch: die Identität der Personen), in der italienischen Fassung „le generalità delle persone“ (deutsch: Angaben zur Person, z. B. Vorname und Nachname), in der ungarischen Fassung „személyek adatai“ (deutsch: Daten der Personen), in der niederländischen Fassung „de identiteit van de personen“ (deutsch: die Identität der Personen) und in der rumänischen Fassung „identitatea persoanelor“ (deutsch: die Identität der Personen).

57.

Zudem werden in einigen Mitgliedstaaten die Privatadressen der Direktoren von Unternehmen und/oder anderer Personen, z. B. Anteilseigner, standardmäßig im Internet veröffentlicht. In anderen Mitgliedstaaten werden diese Informationen aus Vertraulichkeitsgründen, u. a. aus Furcht vor Identitätsdiebstahl, von dem Unternehmensregister, an das sie übermittelt werden, vertraulich behandelt.

58.

Der EDSB empfiehlt eine Änderung von Artikel 2 der Richtlinie 2009/101/EG zur Klarstellung, ob und welche personenbezogenen Daten zusätzlich zu den Namen der Betroffenen (Vertreter der Gesellschaft und sonstige Personen, die an der Unternehmensführung beteiligt sind) offengelegt werden müssen. Dabei ist das Bedürfnis nach Transparenz und genauer Identifizierung dieser Personen zu berücksichtigen, doch es muss auch mit anderen konkurrierenden Belangen abgewogen werden, z. B. dem notwendigen Schutz der Privatsphäre der Betroffenen (24).

59.

Wird aufgrund der unterschiedlichen nationalen Praktiken keine Einigung erzielt, sollte Artikel 2 zumindest in dem Sinne geändert werden, dass „der vollständige Name der Betroffenen und — soweit nach nationalem Recht ausdrücklich vorgeschrieben — weitere Informationen, die für ihre Identifikation benötigt werden“ offengelegt werden müssen. Somit wäre klar erkennbar, dass es den Mitgliedstaaten überlassen bleibt, durch innerstaatliche Rechtsvorschriften zu entscheiden, ob und welche „Personalien“ zusätzlich zum Namen offenzulegen sind, und dass zusätzliche personenbezogene Daten nur offengelegt werden müssen, wenn dies für die Identifikation der Betroffenen erforderlich ist.

60.

Alternativ und in Anbetracht des Umstands, dass Artikel 2 eine Aufzählung von „Mindestinformationen“ enthält und keine umfassende Harmonisierung des Inhalts von Unternehmensregistern in ganz Europa bezweckt, könnte der Begriff „Personalien“ einfach durch die Formulierung „die vollständigen Namen“ ersetzt werden. Auch in diesem Fall bliebe die Entscheidung, ob und welche zusätzlichen Informationen gegebenenfalls offenzulegen sind, den Mitgliedstaaten überlassen.

61.

Artikel 2 der Richtlinie 2009/101/EG enthält darüber hinaus die Verpflichtung, Informationen über Personen offenzulegen, die an der „Verwaltung, Beaufsichtigung oder Kontrolle“ der Gesellschaft teilnehmen. Aus dieser weit gefassten Formulierung geht nicht eindeutig hervor, ob Informationen über Anteilseigner offengelegt werden müssen, insbesondere Informationen über Anteilseigner, die i) über einen wesentlichen, beeinflussenden oder kontrollierenden Anteil jenseits eines bestimmten Schwellenwerts verfügen oder ii) aufgrund von Sonderaktien (Golden Shares), besonderen vertraglichen Vereinbarungen oder aus sonstigem Grund die tatsächliche Kontrolle über die Gesellschaft ausüben oder wirksam Einfluss nehmen.

62.

Der EDSB erkennt an, dass die Vorschrift weit formuliert sein muss, um die zahlreichen unterschiedlichen Strukturen zu erfassen, die derzeit im Bereich der Unternehmensführung in den Mitgliedstaaten vorzufinden sind. Dennoch ist es aus datenschutzrechtlicher Sicht wichtig, dass hinsichtlich der Gruppen von Betroffenen, deren Daten offengelegt werden dürfen, Rechtssicherheit herrscht. Daher empfiehlt der EDSB eine Änderung von Artikel 2 der Richtlinie 2009/101/EG zur Klarstellung, ob und welche personenbezogenen Daten im Hinblick auf Anteilseigner offengelegt werden müssen. Dabei muss auch eine Verhältnismäßigkeitsprüfung im Sinne des Urteils Schecke (wie oben angeführt) durchgeführt werden.

63.

Zwar enthält der Vorschlag keine Bestimmung, die den Austausch oder die Veröffentlichung personenbezogener Daten jenseits der Mindestanforderungen von Artikel 2 der Richtlinie 2009/101/EG verlangt, doch er schließt auch nicht aus, dass Mitgliedstaaten ihre Unternehmensregister nach eigenem Ermessen verpflichten, weitere personenbezogene Daten zu verarbeiten oder offenzulegen und über die gemeinsame europäische Plattform zur Verfügung zu stellen und/oder diese Daten mit Unternehmensregistern in anderen Mitgliedstaaten auszutauschen.

64.

Dies ist im Hinblick auf „schwarze Listen“ besonders heikel. In einigen Ländern dient das elektronische Register de facto auch als „schwarze Liste“, da beliebige Dritte über ein elektronisches Portal nach Informationen über Unternehmensvertreter, die ihre Tätigkeiten nicht mehr ausüben dürfen, suchen können.

65.

Hierzu empfiehlt der EDSB, im Vorschlag klarzustellen, ob und in welchem Umfang die Mitgliedstaaten nach eigenem Ermessen und auf der Grundlage ihres nationalen Rechts gegebenenfalls mehr Informationen über das gemeinsame Portal veröffentlichen und/oder miteinander austauschen dürfen. Dabei sollte eine strenge Verhältnismäßigkeitsprüfung (siehe Urteil Schecke, oben angeführt) auf der Grundlage nationaler Rechtsvorschriften und unter Berücksichtigung der Ziele des Binnenmarktes durchgeführt werden.

66.

Darüber hinaus schlägt der EDSB vor, den nationalen Datenschutzbehörden eine Funktion zu übertragen, die die Ausübung dieser Befugnisse eingrenzt, z. B. im Rahmen einer Konsultation.

67.

Wenn beabsichtigt wäre, solche „schwarzen Listen“ in einem europäischen System ausdrücklich vorzuschreiben, dann sollte dies nach Ansicht des EDSB ausdrücklich im Richtlinienvorschlag festgelegt werden (25).

68.

Der EDSB empfiehlt, in der vorgeschlagenen Richtlinie ausdrücklich vorzusehen, dass in allen Fällen, in denen personenbezogene Daten veröffentlicht oder in sonstiger Weise von Unternehmensregistern untereinander ausgetauscht werden, angemessene Schutzbestimmungen festgelegt werden sollten, insbesondere zum Schutz vor Datensammlungen, Data Mining, Datenverknüpfungen und unangemessenen Suchabfragen, damit gewährleistet ist, dass personenbezogene Daten, die aus Gründen der Transparenz verfügbar gemacht wurden, nicht für sonstige fremde Zwecke missbraucht werden (26).

69.

Insbesondere bekräftigt der EDSB die Notwendigkeit, gemäß dem Grundsatz des eingebauten Datenschutzes (privacy by design) technische und organisatorische Maßnahmen zu erwägen (siehe Abschnitt 3.14). Die praktische Umsetzung dieser Schutzbestimmungen kann delegierten Rechtsakten überlassen werden. Die Grundsätze sollten jedoch im Richtlinienvorschlag selbst geregelt sein.

70.

Der EDSB empfiehlt, eine ausdrückliche Bestimmung in die vorgeschlagene Richtlinie aufzunehmen, nach der Informationen im Sinne der Artikel 10 und 11 der Richtlinie 95/46/EG (und entsprechender Bestimmungen der Verordnung (EG) Nr. 45/2001, soweit maßgeblich) den Betroffenen wirksam und umfassend zur Verfügung gestellt werden müssen. Darüber hinaus und abhängig von der zu vereinbarenden Governance-Struktur und den Funktionen und Aufgaben der verschiedenen Beteiligten kann die vorgeschlagene Richtlinie ausdrücklich vorsehen, dass der Betreiber des Systems bei der Benachrichtigung der Betroffenen und der Bereitstellung sonstiger Informationen auf seiner Website eine proaktive Rolle übernimmt, auch „im Namen“ der Unternehmensregister. Nähere Einzelheiten können, soweit erforderlich, in delegierten Rechtsakten oder später in einem Datenschutz-Grundsatzdokument festgelegt werden.

71.

Der Vorschlag sollte zumindest einen Verweis auf die Verpflichtung enthalten, die Modalitäten einer Regelung (in delegierten Rechtsakten) auszuarbeiten, die den Betroffenen eine Ausübung ihrer Rechte ermöglicht. Darüber hinaus sollte auf die Möglichkeit verwiesen werden, ein Datenschutzmodul und Lösungen für einen eingebauten Datenschutz im Hinblick auf eine Zusammenarbeit der Behörden im Bereich der Auskunftsrechte sowie ein „Empowerment der Betroffenen“, soweit relevant, zu entwickeln.

72.

Da auch die Kommission und andere Organe/Einrichtungen der EU personenbezogene Daten im elektronischen Netz verarbeiten können (z. B. als Netzbetreiber oder durch Abruf personenbezogener Daten aus dem Netz), sollte auch ein Hinweis auf die Verordnung (EG) Nr. 45/2001 eingefügt werden.

73.

Außerdem sollte klargestellt werden, dass die Richtlinie 95/46/EG auf Unternehmensregister sowie andere Beteiligte, die nach den nationalen Rechtsvorschriften der Mitgliedstaaten tätig werden, anwendbar ist, während die Verordnung (EG) Nr. 45/2001 für die Kommission und andere Organe und Einrichtungen der EU gilt.

74.

Bei der Übermittlung personenbezogener Daten durch eine Stelle, die ein Unternehmensregister in der EU führt, an eine Stelle, die ein Unternehmensregister in einem Drittstaat führt, in dem kein angemessenes Schutzniveau für personenbezogene Daten existiert, müssen nach Ansicht des EDSB zwei Fälle unterschieden werden:

75.

Im ersten Fall sieht Artikel 26 Absatz 1 Buchstabe f der Richtlinie 95/46/EG vorbehaltlich des Vorliegens bestimmter Bedingungen eine Ausnahme vor, wenn „die Übermittlung aus einem [öffentlichen] Register erfolgt“. Wenn z. B. die Stelle, die ein Unternehmensregister in einem EU-Land führt, einen bestimmten personenbezogenen Datensatz (z. B. im Zusammenhang mit der Eintragung ausländischer Zweigstellen) an eine Stelle, die ein Unternehmensregister in einem Drittstaat führt, übermitteln möchte und diese Daten bereits öffentlich verfügbar sind, sollte die Übermittlung in jedem Fall möglich sein, selbst wenn das fragliche Drittland kein angemessenes Schutzniveau bietet.

76.

Im zweiten Fall empfiehlt der EDSB, im Vorschlag klarzustellen, dass die Übermittlung von öffentlich nicht verfügbaren Daten an Einrichtungen oder Personen in Drittstaaten, die keinen angemessenen Schutz bieten, nur zulässig ist, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG ergeben (27). Soweit diese Datenübermittlungen an Drittstaaten den systematischen Datenaustausch von Unternehmensregistern in zwei oder mehr EU-Ländern beinhalten oder es aus sonstigem Grund wünschenswert ist, dass Maßnahmen auf EU-Ebene getroffen werden, könnten Vertragsklauseln auch auf EU-Ebene ausgehandelt werden (Artikel 26 Absatz 4).

77.

Der EDSB weist darauf hin, dass andere Ausnahmen wie z. B. die Ausnahme in Artikel 26 Absatz 1 Buchstabe d für Fälle, in denen „die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist“, nicht verwendet werden sollten, um systematische Datenübermittlungen an Drittländer, die über das elektronische Netz erfolgen, zu rechtfertigen.

78.

Der EDSB empfiehlt, im Vorschlag ausdrücklich auf den Grundsatz der Rechenschaftspflicht (28) zu verweisen und dessen Umsetzung anzustreben und einen eindeutigen Rahmen für angemessene interne Mechanismen und Kontrollsysteme festzulegen, der die Einhaltung der datenschutzrechtlichen Bestimmungen gewährleistet und nachweist, z. B. durch die folgenden Maßnahmen:

79.

Der Vorschlag sollte sich ausdrücklich auf den Grundsatz des eingebauten Datenschutzes (29) beziehen und diese Selbstverpflichtung auch durch konkrete Maßnahmen umsetzen. Insbesondere sollte der Vorschlag vorsehen, dass das elektronische Netz sicher und solide konzipiert ist und standardmäßig mit zahlreichen datenschutzrechtlichen Garantien ausgestattet wird. Nachstehend werden einige Beispiele für eingebaute datenschutzrechtliche Bestimmungen aufgeführt:

80.

Der EDSB unterstützt die Ziele des Vorschlags. Seine Kommentare sind im Licht dieser konstruktiven Herangehensweise zu bewerten.

81.

Der EDSB weist darauf hin, dass die notwendigen datenschutzrechtlichen Garantien ausdrücklich und eindeutig im Wortlaut der Richtlinie selbst enthalten sein sollten, da es sich um wesentliche Vorschriften handelt. Zusätzliche Bestimmungen zur Umsetzung bestimmter Garantien können anschließend in delegierten Rechtsakten geregelt werden.

82.

Die Bereiche Governance, Funktionen, Zuständigkeiten und Aufgaben müssen im Richtlinienvorschlag behandelt werden. Zu diesem Zweck sollte die vorgeschlagene Richtlinie die folgenden Fragen regeln:

83.

Jede datenverarbeitende Tätigkeit, die über das elektronische Netz stattfindet, sollte auf einem verbindlichen Rechtsakt basieren, z. B. einem besonderen Rechtsakt der Europäischen Union, der sich auf eine solide Rechtsgrundlage stützt. Dies sollte im Richtlinienvorschlag eindeutig festgelegt werden.

84.

Die Vorschriften zum anwendbaren Recht sollten eindeutiger formuliert werden und einen Hinweis auf die Verordnung (EG) Nr. 45/2001 enthalten.

85.

Im Hinblick auf die Übermittlung personenbezogener Daten an Drittländer sollte der Vorschlag klarstellen, dass grundsätzlich — mit Ausnahme der Fälle gemäß Artikel 26 Absatz 1 Buchstabe f der Richtlinie 95/46/EG — Übermittlungen an Einrichtungen oder Personen in Drittstaaten, die keinen angemessenen Schutz bieten, nur zulässig sind, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln gemäß Artikel 26 der Richtlinie 95/46/EG ergeben.

86.

Darüber hinaus sollte die Kommission sorgfältig prüfen, mit welchen technischen und organisatorischen Maßnahmen sichergestellt werden kann, dass der Schutz der Privatsphäre und der Datenschutz in die Architektur des elektronischen Netzes „eingebaut“ werden („eingebauter Datenschutz“) und geeignete Mechanismen vorhanden sind, die die Einhaltung der datenschutzrechtlichen Bestimmungen gewährleisten und nachweisen („Rechenschaftspflicht“).

87.

Zudem empfiehlt der EDSB: