Bußgelder in Höhe von bis zu 300.000 EUR
Daneben ist auch die Sicherheit der Daten zu gewährleisten. § 9 BDSG verpflichtet Unternehmen zu technischen und organisatorischen Sicherheitsmaßnahmen, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff durch unberechtigte Personen bestmöglich zu schützen. Dabei ist die Unwahrscheinlichkeit eines potenziellen Datenmissbrauchs völlig unerheblich. In Hamburg hat in einer Firma allein die bestehende Möglichkeit zum Datenmissbrauch den Landesdatenschutzbeauftragten auf den Plan gerufen, der ein Bußgeld von 300.000 EUR verhängte. Der eingangs skizzierte HV-Aktionär hat nach § 34 BDSG ein Recht darauf zu erfahren, welche personenbezogenen Daten von ihm zu welchem Zweck gespeichert werden und woher diese stammen. Wobei in diesem Fall nicht nur die Speicherung seiner Daten im IR-Verteiler zu berücksichtigen ist: Entsprechende Datenschutzvorkehrungen sind auch im Hinblick auf seine Erfassung im Anmeldeverzeichnis zur HV und vor allem dessen Archivierung beim Emittenten zu treffen. Eine Auskunftsverpflichtung besteht hier nämlich für den Emittenten nach dem BDSG auch, wenn diese Daten aufgrund einer gesetzlichen Vorgabe erfasst werden. Gemäß § 129 AktG hat jeder Aktionär ohnehin das Recht, bis zu zwei Jahre nach der HV das Teilnehmerverzeichnis einzusehen.
Je digitaler die Vorgänge in einer Hauptversammlung ablaufen, desto interessanter könnten die Auswertung der entsprechenden Informationen und ihre Verknüpfung mit dem IR-Verteiler oder anderen Datenbanken werden. Es ließen sich diffizile Aktionärsprofile inklusive des Abstimmungsverhaltens erstellen, was jedoch datenschutzrechtlich ohne explizite Einwilligung kaum zulässig wäre.
Unsichere Rechtslage durch Ungültigkeit des Safe-Harbor-Beschlusses
Doch zurück zu den IR-Verteilern: Solange deren Verarbeitung und Speicherung ausschließlich auf dem Gebiet der EU erfolgt, ist per se ein angemessenes Datenschutzniveau gewährleistet. Unternehmen, die diesbezüglich z.B. mit in den USA ansässigen Dienstleistern zusammenarbeiten, stehen seit dem Fortfall des Safe Harbors aber vor einer unsicheren Rechtslage. In Fällen, in denen die Daten an einen Empfänger in den USA weitergegeben werden oder auch nur dort zugänglich sind (etwa bei einem Cloud-Anbieter), muss durch angemessene Garantien sichergestellt werden, dass die Daten auch dort hinreichend geschützt sind. Ein Instrument dafür war bisher der Beitritt des US-Unternehmens zum sogenannten Safe Harbor, wodurch es sich auf die Einhaltung bestimmter Mindeststandards verpflichtete. Diese Möglichkeit ist den Unternehmen nun aber vom EuGH genommen worden. Ein Ersatzmechanismus, das sogenannte „EU-US Privacy Shield“, ist zwar in Vorbereitung; es können aber noch Monate vergehen, bis es in Kraft ist. Zumal die in der sogenannten Artikel-29-Datenschutzgruppe repräsentierten Vertreter der europäischen Datenschutzbehörden just Nachbesserungen gefordert haben. In der Zwischenzeit bleibt nur die Möglichkeit, solche Datentransfers vertraglich abzusichern.