Bildnachweis: Foto: © WrightStudio – AdobeStock.
Die europäische Datenschutz-Grundverordnung legt fest, was, wieviel und zu welchem Zweck erhoben werden darf. Die bisherige Erfahrung zeigt: In Österreich werden mehr Daten im Zuge der HV-Ausrichtung erhoben als in Deutschland. Für die Durchführung von virtuellen HVs werden mehr Daten erhoben als für Präsenzveranstaltungen.
Bei der Organisation und Durchführung einer Hauptversammlung werden personenbezogene Daten ausgetauscht, gesammelt und den gesetzlichen Vorschriften entsprechend gespeichert. Daher verwundert es nicht, dass schon mit der Einberufung der Hauptversammlung den Informationen für Aktionäre und ihre Bevollmächtigten zur Verarbeitung personenbezogener Daten durch die entsprechende Gesellschaft im Hinblick auf die Datenverarbeitung für Zwecke der (virtuellen) Hauptversammlung ein gesonderter Abschnitt und damit Stellenwert eingeräumt wird.
Seit dem Jahr 2018 gilt die Europäische Datenschutz-Grundverordnung und regelt den Datenschutz vorrangig im europäischen Raum. Aufgrund von Öffnungs- und Spezialklauseln müssen in Deutschland wie auch in Österreich jedoch auch die Regelungen des jeweiligen Bundesdatenschutzgesetzes beachtet werden. Im Hinblick auf die Durchführung und Organisation von Hauptversammlungen sind ebenfalls die Regelungen aus dem Aktiengesetz zu beachten.
Ganz allgemein regeln die Datenschutzgesetze den Umgang mit personenbezogenen Daten in Unternehmen, die im täglichen Geschäft anfallen. Daraus leiten sich auf der einen Seite entsprechende Rechte für Individuen ab und auf der anderen Seite Pflichten für die Unternehmen, die diese Daten verarbeiten. Gerade in einer immer digitaler und globaler vernetzten Welt spielt der Schutz personenbezogener Daten eine immer wichtigere Rolle.
In diesem Artikel sollen die rechtlichen Grundlagen beleuchtet werden und auch auf die Unterschiede im DACH-Raum, hier speziell bezogen auf Österreich, eingegangen werden.
Welche Daten werden zur Organisation und Durchführung von HVs ausgetauscht, gesammelt und gespeichert?
Für eine Hauptversammlung in Deutschland werden der Name, der Vorname, die Kontaktdaten, Informationen zu Aktienbesitz, Aktiengattung, Besitzart, Aktienanzahl, optional E-Mail-Adresse, die depotführende Bank und sonstige Daten, die im Rahmen der Vorbereitung und Durchführung der Hauptversammlung anfallen (z.B. Abstimmungsverhalten bei Anträgen, Wahlvorschlägen), je Aktionär gespeichert. Sollte im Zuge des Anmeldeprozesses die Telefonnummer des Aktionärs wegen möglicher Rückfragen angegeben werden, wird diese ebenso gespeichert.
Für die Abwicklung einer österreichischen Hauptversammlung werden neben den bereits angezeigten personenbezogenen Daten (Name, Anschrift) das Geburtsdatum, die Registernummer bei juristischen Personen sowie die Nummer des Wertpapierdepots gespeichert. Es werden also im Zuge einer österreichischen Hauptversammlung mehr Daten erhoben als bei ihrem deutschen Pendant.
Virtuelle Hauptversammlungen
Sollte es sich um eine virtuelle Hauptversammlung handeln, werden noch weitere Daten gesammelt und verarbeitet. Dazu gehören neben den abgerufenen bzw. angefragten Daten (einschließlich der abgerufenen URL) das Datum und die Uhrzeit des Abrufs, die Meldung, ob dieser Abruf erfolgreich war, der Typ des Webbrowsers, die Referrer-URL, falls diese gesendet wird, die IP-Adresse, der Port, über den der Zugriff erfolgt, die innerhalb des HV-Portals durchgeführten Aktionen, die individuellen Zugangsdaten, die Session-ID und der Log-in bzw. Log-out mit dem jeweiligen Zeitstempel.
Verantwortlich für die Verarbeitung der personenbezogenen Daten ist immer die einladende Gesellschaft. Diese hat dafür Sorge zu tragen, dass die Verarbeitung der personenbezogenen Daten unter Beachtung der Vorschriften der DSGVO, des BDSG (Deutschland), DSG (Österreich) des AktG sowie weiterer einschlägiger Rechtsvorschriften erfolgt.
Die gespeicherten personenbezogenen Daten werden wie folgt verarbeitet: zur Anmeldung zur Hauptversammlung und im Falle einer virtuellen Hauptversammlung zur Zuschaltung der Aktionäre wie auch der Ermöglichung der Ausübung der Aktionärsrechte (z.B. Stimmrecht, Rederecht, Antragsrecht). Die rechtliche Grundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. c) DSGVO in Verbindung mit § 67e Abs. 1 AktG und den aktienrechtlichen Verpflichtungen nach §§ 118 ff. AktG.
Die personenbezogenen Daten werden weiterhin zur Erfüllung gesetzlicher Melde- und Publikationspflichten (insbesondere Stimmrechtsmitteilungen) und weiterer gesetzlicher Pflichten, insbesondere Aufbewahrungspflichten verarbeitet. Im Falle einer virtuellen Hauptversammlung werden auch technisch erforderliche Cookies gespeichert: Diese können gesetzt werden, da ohne diese der Dienst (virtuelle JHV) nicht erbracht werden kann. Rechtsgrundlage ist dafür das berechtigte Interesse gemäß Art. 6 Abs. 1lit. f) DSGVO.
Eine Einwilligung ist aber für zusätzliche Funktionen (Analyse/Newsletter) erforderlich, die für die Erbringung des Dienstes nicht zwingend erforderlich sind. Es bestehen bei der Einwilligung für zusätzliche Funktionen zwei Möglichkeiten. Man spricht von einem Opt-in- und einem Opt-out- Verfahren: Diese sind Mechanismen, die es Individuen ermöglichen, ihre Zustimmung zur Verarbeitung ihrer Daten zu erteilen oder zu widerrufen. In einem Opt-in-Verfahren muss die Zustimmung aktiv erteilt werden, während in einem Opt-out-Verfahren die Zustimmung als erteilt gilt, es sei denn, das Individuum widerspricht aktiv.
Zusammenfassend ist die Gesellschaft für die Verarbeitung der personenbezogenen Daten verantwortlich. Das inkludiert dementsprechend auch alle Dienstleister, die bei der Organisation und Durchführung der Hauptversammlung involviert sind. Es müssen neben dem sicheren Austausch dieser sensiblen Daten die Löschfristen beachtet werden.
Handlungsempfehlungen
Folgende konkrete Handlungsempfehlungen lassen sich bei der Durchführung einer (virtuellen) Hauptversammlung ableiten:
- Sorgfältige Auswahl der eingesetzten Dienstleister
- Datenschutzrechtliche Verträge mit den involvierten Dienstleistern
- Datenschutzhinweise, die über die Verarbeitung der personenbezogenen Daten informieren
- Löschkonzept erstellen, dass Daten nicht länger gespeichert werden als gesetzlich zulässig
- Benennung fester Ansprechpartner hinsichtlich Datenschutz
Ein wesentlicher Baustein für ein hohes Datenschutzniveau bei der Durchführung von Hauptversammlungen ist die Zertifizierung von Dienstleistern und der genutzten Technologien. In diesem Zusammenhang kann die TISAX-Zertifizierung von Link Market Services eine zentrale Rolle spielen. Diese Zertifizierung besagt nicht nur, dass ein Unternehmen strenge Sicherheitskontrollen eingeführt hat, sondern auch, dass es sich regelmäßigen externen Audits unterzieht. Diese Audits gewährleisten, dass die Sicherheitsmaßnahmen nicht nur auf dem Papier existieren, sondern auch effektiv umgesetzt werden. Zudem ermöglicht die TISAX-Zertifizierung eine standardisierte Bewertung der Informationssicherheit, die von zahlreichen Unternehmen und auch Investoren anerkannt wird.
Fazit
Der Datenschutz bei der Durchführung von Hauptversammlungen ist ein komplexes, aber unverzichtbares Thema, das sowohl rechtliche als auch technische Herausforderungen mit sich bringt. Die DSGVO und weitere nationale Gesetze bieten hierfür den rechtlichen Rahmen. Doch um ein hohes Datenschutzniveau in der Praxis zu gewährleisten, ist die Wahl eines kompetenten und zertifizierten Dienstleisters entscheidend. Hier schaffen Zertifizierungen wie TISAX/ISO 27001 eine wichtige Vertrauensbasis: Sie stellen nicht nur das Einhalten der gesetzlichen Mindeststandards sicher, sondern auch ein fortlaufendes Bemühen um bestmöglichen Datenschutz. Daher sollte bei der Auswahl der Dienstleister und der zu verwendenden Technologien ein besonderes Augenmerk auf deren Qualifikationen und Zertifizierungen gelegt werden.
Dieser Beitrag erschien im Special Kapitalmarkt Österreich 2023.
Autor/Autorin
Christian Grötzbach
Christian Grötzbach ist Senior Berater und Prokurist bei Link Market Services GmbH.
