Neues Handelsregister veröffentlicht personenbezogene Daten
Datenschützer warnen, personenbezogene Daten in den überarbeiteten Handels- und Vereinsregistern müssten besser geschützt werden. Die Deutsche Vereinigung für Datenschutz (DVD) kritisierte am Montag, dass Informationen wie Adressen oder Geburtsdaten über das Online-Register derzeit für jeden frei im Internet verfügbar sind. Da Privatpersonen keine Möglichkeit gegeben wird, ihre Daten zu schützen, verstoße das Register in seiner jetzigen Form gegen die Datenschutzgrundverordnung (DSGVO). Die Politik müsse einschreiten, das Portal müsse bis zur Behebung der Mängel abgeschaltet oder der Zugang wieder beschränkt werden.
Bei dem Handelsregister handelt es sich um die zentrale Registerplattform des Bundes für Firmen in Deutschland. Es ist unter der Adresse handelsregister.de erreichbar und enthält unter anderem Informationen über Firmensitze, Geschäftsinhaber, Rechtsform und Stammkapital der Unternehmen. Auch Genossenschafts-, Partnerschafts- und Vereinsregister sind über die Plattform einsehbar. Das Online-Register wurde am 1. August reformiert, die Einträge sind nun ohne vorhergehende Registrierung offen im Internet abrufbar – inklusive umfangreicher Suchfunktion.
Auf der Plattform können auch (eingescannte) Dokumente eingesehen werden, die mit den jeweiligen Firmen in Verbindung stehen wie beispielsweise Anmeldungen oder Gesellschaftsverträge. In diesen Dokumenten finden sich nicht nur Informationen zu den Firmen, sondern auch personenbezogene – eigentlich schützenswerte – Daten zu Inhaberinnen und Inhabern und Gesellschafterinnen und Gesellschaftern.
In zufällig gewählten Stichproben stieß auch Posteo sofort auf Adressen, Geburtsdaten – und abgescannte Unterschriften.
Diese Praxis lade geradezu ein zum “Datenmissbrauch” wie Identitätsdiebstahl, warnte die DVD am Montag in einer Pressemitteilung. Der Verein forderte, sensible Daten müssten aus dem Register gelöscht und die Rechtsgrundlage korrigiert werden.
Einladung an Betrüger
Die deutsche Verwaltung hätte es sich bei der Reform des Registers einfach gemacht “und die früheren dezentralen und bisher nur mit Aufwand zugänglichen Register – eins-zu-eins – ins Internet gestellt”, kritisiert die DVD. “Die teilweise sensiblen Daten können dazu verwendet werden, sich online als andere Person auszuweisen, eignen sich zur Einrichtung von Fake-Accounts, Fake-Bestellungen und zu anderen kriminellen Machenschaften bis hin zu persönlichen Bedrohungen.”
Die abrufbaren Dokumente umfassen neben Namen und Adressen teils auch persönliche Kontonummern oder Personalausweisnummern. Unterschriften sind abgescannt und könnten aus den PDF-Seiten herauskopiert werden.
Auch die Daten aus dem Vereinsregister wurden veröffentlicht. Hier befürchtet die DVD, dass ehrenamtlich tätige Menschen durch die Veröffentlichung ihrer persönlichen Daten von ihrem Engagement abgeschreckt werden könnten. Viele von ihnen würden durch diese Praxis gefährdet.
Um wirtschaftliche Verantwortlichkeiten zu klären, seien die sensiblen Informationen aus dem Register oftmals gar nicht erforderlich, erklärte der Verein.
DSGVO missachtet
Bis zur Neuauflage war das Register nur mit vorhergehender Registrierung zugänglich – per Fax beim Portalbetreiber, dem Amtsgericht Hamm. Die Abfrage von Dokumenten kostete jeweils 1,50 Euro; teils musste ein berechtigtes Interesse nachgewiesen werden.
Seit 1. August gilt aber das Gesetz zur Umsetzung der Digitalisierungsrichtlinie (DiRUG) der EU vom Juni 2019. Die EU will damit unter anderem Registerauskünfte vereinfachen. Bei der Reform des deutschen Online-Registers wurden Gebühren und Registrierung gestrichen.
Bei der Umsetzung des EU-Gesetzes sei aber der Datenschutz auf der Strecke geblieben, meint die DVD. Vorstandsmitglied und früherer Datenschutzbeauftragter von Schleswig-Holstein, Thilo Weichert, kritisiert: “Die alte Bundesregierung hat die DSGVO in vieler Hinsicht unter Missachtung der europarechtlichen Vorgaben umgesetzt. Eine zeitnahe Korrektur ist dringend nötig.” Betroffene sollten zumindest die Möglichkeit haben, der Veröffentlichung von Einzelangaben zu widersprechen – dieses Recht ist aktuell nicht vorgesehen, obwohl in der EU-Richtlinie klargestellt wurde, dass bei der Umsetzung die DSGVO beachtet werden muss.
Schnelle Lösung gefordert
Auf Nachfrage von heise online erklärte die für das Portal zuständige Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen Anfang August mit Bezug auf die Datenschutzprobleme, dass das Portal an sich schon länger existiere und die Neuerungen sich einzig auf den Wegfall der Gebühren und Registrierung beschränken würden. Mit Verweis auf das Handelsgesetzbuch (HGB) und die Handelsregisterverordnung erklärte die Datenschützerin, das Portal diene der Transparenz “im Rechtsverkehr”. Ihrer Ansicht nach fänden Rechte nach der Datenschutzgrundverordnung daher “nur sehr eingeschränkt” Anwendung.
Andererseits erklärte die Datenschützerin, sie sei sich des Problems des möglichen Datenmissbrauchs und den damit verbundenen Sorgen einiger Betroffener bewusst. Deswegen sollten Einschränkungen bei der Veröffentlichung der Registerdaten erwogen werden – solange europäisches Recht dem nicht entgegensteht.
Tatsächlich wird in der angesprochenen EU-Richtlinie aber in Art. 161 unmissverständlich klargestellt, dass bei der Umsetzung die EU-Datenschutz-Grundverordnung beachtet werden muss.
Indes lobt die DVD auch die gewonnene Transparenz im Wirtschaftsleben durch einen offenen Online-Zugang zum Register als “begrüßenswertes Ziel”, dieser müsse aber korrekt umgesetzt werden.
DVD-Vorsitzender Frank Spaeing forderte: “Bis die Registerauskunft datenschutzkonform umgesetzt ist, muss die Online-Plattform abgeschaltet oder zumindest im Zugang wieder beschränkt werden.”(hcz)