Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
prägen, ob und inwieweit aus europäischen Verpflichtungen Begrenzungen des nationalen Grundrechtsschutzes erwachsen. 101 Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 7. 102 Nur sofern ein Umsetzungsspielraum gegeben ist, unterliegt das BDSG n.F. der Grundrechtskontrolle durch das BVerfG, vgl. BVerfG, Beschluss vom 06. November 2019 – 1 BvR 16/13; m.w.N. Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 89. Das BVerfG überprüft hingegen das nationale Recht am Maßstab der Unionsgrundrechte, wenn die anwendbaren Regelungen unionsrechtlich vollständig vereinheitlich sind, also dem nationalen Gesetzgeber kein Spielraum eingeräumt wurde, vgl. BVerfG, Beschluss vom 06. November 2019 – 1 BvR 276/17; BVerfG, Beschluss vom 13. März 2007 – 1 BvF 1/05 = BVerfGE 118, 79 (95f.). Konflikte bei Kompetenzfragen im Bereich der Öffnungsklauseln sind daher absehbar, Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 108. 103 Klement, JZ 2017, 161 (167). 104 Die Mitgliedstaaten haben bei der Ausgestaltung des nationalen Rechts im Zuge der Umsetzung einer EU-Richtlinie „die Erfordernisse des Schutzes der in der Gemeinschaftsordnung anerkannten allgemeinen Grundsätze, zu denen auch die Grundrechte zählen, bei der Durchführung gemeinschaftsrechtlicher Regelungen zu beachten“, EuGH, Rs. 540/06, Parlament/Rat, Slg. 2006, I-5769, Rn. 105; zum Überblick des Streits hinsichtlich des Prüfungsmaßstabs von nationalen oder europäischen Grundrechten bei der Durchführung von EU-Richtlinien ausführlich Calliess, JZ 2009, 113 (115ff.). 105 Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 8. 106 Klement, JZ 2017, 161 (166) lässt bereits eine unionsrechtliche „Veranlassung“ mitgliedstaatlichen Handelns genügen, um das Erfordernis des unmittelbaren (oder auch mittelbaren) Vollzugs von Unionsrecht zu begründen. 107 Kritisch gegenüber einem rigiden Anwendungsvorrang der GRCh gegenüber nationalen Grundrechten insbesondere Kirchhof, NVwZ 2014, 1537 (1538ff.), wonach nationale Grundrechte im gleichen Maße bei der Anwendung der Normen der GRCh zu berücksichtigen sind, denn im Gegensatz zum Anwendungsvorrang von europäischen Normen vor nationalem Recht, findet der Integrationsgedanke der EU bei europäischen Grundrechten keine Beachtung; für ein Nebeneinander von nationalen und europäischen Grundrechten im Ergebnis ebenso Schantz/Wolff, Das neue Datenschutzrecht, Rn. 194ff.; Greve, NVwZ 2017, 737 (744); a.A. Albrecht/Janson, CR 2016, 500 (503ff.); Klement, JZ 2017, 161 (167f.), der eine Anwendung der nationalen Grundrechte wegen des abschließenden Charakters der DSGVO ausschließt. 108 Schantz/Wolff, Das neue Datenschutzrecht, Rn. 196. 109 Roßnagel, Europäische Datenschutz-Grundverordnung, § 2, Rn. 65.
A. Begrifflichkeiten einer Unternehmenstransaktion im datenschutzrechtlichen Kontext
Für die Beurteilung von Unternehmenstransaktionen nach der DSGVO ist es erforderlich, dass Kundendaten einem datenschutzrechtsrelevanten Vorgang unterliegen. Mit Blick auf die in der DSGVO verwendeten, teils sehr eigenen Begrifflichkeiten ist deshalb zunächst zu erörtern, wann der Anwendungsbereich der DSGVO in sachlicher Hinsicht eröffnet ist. Anschließend werden die Besonderheiten der datenschutzrechtlichen Rechtfertigungsgrundlagen dargelegt, bevor schließlich aus Gründen der Verständlichkeit der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure untersucht wird.
I. Der Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO
Der Begriff der Verarbeitung ist deshalb für das Thema der datenschutzrechtlichen Beurteilung von Unternehmenstransaktionen zentral, weil erst dann der sachliche Anwendungsbereich der DSGVO eröffnet ist, wenn personenbezogene Daten verarbeitet werden.110 Irrelevant ist dabei, ob die Datenverarbeitung ganz bzw. teilweise automatisiert oder gar nichtautomatisiert zum Zwecke der Speicherung in einem Dateisystem stattfindet, vgl. Art. 2 Abs. 1 DSGVO. In Art. 4 Nr. 2 DSGVO wird die ‚Verarbeitung‘ als Oberbegriff für eine Vielzahl unterschiedlichster Tätigkeiten definiert, wobei sich diese teils überschneiden bzw. nicht klar trennen lassen. Letztendlich enthält die Legaldefinition keinen abschließenden Katalog möglicher Verarbeitungsschritte.111 Dieser extensiv gefasste Verarbeitungsbegriff,112 der jeden „Vorgang“ und jede „Vorgangsreihe“ im Zusammenhang mit personenbezogenen Daten erfasst, führt konsequenterweise dazu, dass jegliche „Einwirkung“ auf und jeglicher Umgang mit personenbezogenen Daten als Verarbeitung auszulegen ist.113 Vom europäischen Gesetzgeber ist dieser offene Wortlaut des Verarbeitungsbegriffs intendiert, denn der Anwendungsbereich der DSGVO soll unabhängig von technologischen Veränderungen eröffnet sein (vgl. Erwägungsgrund 15).114
Von besonderer Relevanz für die Abwicklung von Unternehmenstransaktionen ist die in Art. 4 Nr. 2 DSGVO ausdrücklich genannte „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“. Generell sind davon alle Vorgänge erfasst, bei denen der Verantwortliche personenbezogene Daten anderen zugänglich macht, sodass vom Informationsgehalt dieser Daten Kenntnis erlangt werden kann.115 Auf die Form des Zugänglichmachens (schriftlich, mündlich, elektronisch) kommt es dabei nicht an.116 Der Ausdruck „oder andere Form der Bereitstellung“ verdeutlicht, dass ein bloßes Zum-Abruf-Bereithalten bereits genügt, sodass die personenbezogenen Daten potenziell von anderen abgerufen werden können.117 Wenn personenbezogene Daten durch Übermittlung oder Verbreitung offengelegt werden, liegt die Besonderheit darin, dass sich hierbei die personenbezogenen Daten nicht mehr oder nur noch im begrenzten Einwirkungskreis des Verantwortlichen befinden. Im Falle einer Offenlegung an einen bestimmten Empfängerkreis (bspw. per E-Mail) handelt es sich um eine Übermittlung, im Falle einer Offenlegung an eine unbestimmte Vielzahl von Empfängern (bspw. in einer Zeitung) hingegen um eine Verbreitung.118
Normativ bildet sich ein Verarbeitungsbegriff unter Berücksichtigung der Systematik der DSGVO und allen voran des Verbotsprinzips heraus, dessen Bezugspunkt sich von einer kleinteiligen Analyse und Rechtfertigung eines jeden einzelnen Verarbeitungsschrittes abwendet und stattdessen den Fokus auf einen in sich ‚stimmigen‘ Verarbeitungsprozess legt.119 Datenverarbeitungen sind nach der DSGVO nicht mehr in allen Einzelheiten, sondern im Ganzen zu beurteilen. Die datenschutzrechtliche Bewertung der Verarbeitung ist demnach auf die Frage ausgerichtet, ob das datenverarbeitende Unternehmen dazu berechtigt ist, auf die personenbezogenen Daten einzuwirken.120 So ist in Art. 4 Nr. 2 DSGVO ausdrücklich von einer Reihe von Vorgängen die Rede, was ebenfalls den Schluss zulässt, dass Verarbeitungsphasen – wie etwa eine zusammenhängende Erhebung, Speicherung und anschließende Verwendung – summarisch als zulässig oder unzulässig zu begutachten sind. Jede Verarbeitungsphase als solche steht unter dem Verbot mit Erlaubnisvorbehalt.121 Von bloß einer einzigen Verarbeitung ist auszugehen, sofern ein enger Zusammenhang zwischen den Vorgängen besteht oder diese logisch aufeinander aufbauen.122 Um der damit einhergehenden Gefahr von ausufernden Verarbeitungsprozessen entgegenzuwirken, hat der europäische Gesetzgeber mit dem in den Erlaubnistatbeständen integrierten Erforderlichkeitsgrundsatz und den verschärften Anforderungen an Einwilligungserklärungen Mechanismen eingeführt, die eine interessengerechte und einzelfallabhängige Einschränkung der Verarbeitung ermöglichen.123 Zu eruieren ist insofern, wann im Kontext einer Unternehmenstransaktion von zusammenhängenden Verarbeitungsphasen oder einem einzelnen Verarbeitungsvorgang auszugehen ist.
II. Personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO im Rahmen von Unternehmenstransaktionen
1. Auslegung des Begriffs des personenbezogenen Datums
Wenn die Übermittlung von Kundendaten