Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
um entsprechende Pflichten optimal erfüllen zu können.154 Der Aufbau und Erhalt einer Bindung zum Kunden mithilfe eines CRM-System gilt deshalb als Grundpfeiler des (Beziehungs-)Marketings eines Unternehmens.155 Werden Daten ohne Personenbezug mit personenbezogenen Daten in einer Datenbank zusammengefasst, sind sie aus datenschutzrechtlicher Sicht nicht mehr getrennt voneinander zu betrachten. Aufgrund der Kombination der Daten in einem System können sich vormals Daten ohne Personenbezug ohne weiteres auch auf eine identifizierte oder identifizierbare Person beziehen. Dies hat meist zur Folge, dass der gesamte Datenbestand in einem CRM-System personenbezogen ist. Wenn also Geschäftskundendaten nur als Bestandteil eines Datensatzes dem CRM-System zugeführt werden, reicht dies bereits für das Vorliegen der Personenbeziehbarkeit aus.156 Nicht selten kommt es zu dem Fall, dass ein gesamtes CRM-System bei einer Transaktion zu übertragen ist. Infolge des wahrscheinlichen Personenbezugs eines CRM-Systems ist daher im Rahmen der datenschutzrechtlichen Bewertung der Übertragbarkeit von Kundendaten bei Unternehmenstransaktion auch dieser Aspekt zu berücksichtigen.
Letztendlich können zwar auch Kundendaten aus dem Geschäftskundenbereich von wirtschaftlichem Nutzen sein, jedoch sind meist private Endkunden von entscheidender Attraktivität für den Erwerber eines Unternehmens. Geht es um die Anwendung datenschutzrechtlicher Normen, sind ferner Privatkundendaten insoweit von hoher Relevanz, als die Verarbeitung von Privatkundendaten hohe Risiken für den Schutz natürlicher Personen birgt.157
b. Privatkundendaten
Die bereits erläuterte Personenbeziehbarkeit von Privatkundendaten ist nicht von der Hand zu weisen. Im Privatkundenbereich weisen selbst einzelne nicht personenbezogene Daten (wie etwa Produktdaten, Daten zu Fristen etc.) immer einen Personenbezug auf, da sie im Grunde nie isoliert von der dazugehörigen natürlichen Person gespeichert werden. Nicht nur der Name des Kunden, sondern auch Informationen zur natürlichen Person, wie etwa die Kundennummer, Adresse oder Kontoinformationen können einen Personenbezug herstellen.158 Dies hat zur Folge, dass grundsätzlich der gesamte Datensatz einer Privatkundendatenbank dem Datenschutzregime der DSGVO unterliegt.159 Das Datenschutzrecht wird daher in Bezug auf Privatkundendaten seiner Funktion als Verbraucherschutzrecht in vollem Umfang gerecht.160 Beim Privatkunden handelt es sich regelmäßig zugleich um die betroffene Person i.S.v. Art. 4 Nr. 1 DSGVO.161
Privatkundendaten können nach ihrem Inhalt differenziert werden.162 Unternehmen speichern Daten sowohl aus laufenden als auch aus vergangenen Verträgen mit dem Kunden. Bei bestehenden Vertragsverhältnissen sind personenbezogene Daten des Kunden unabdingbar, um etwaige Forderungen geltend zu machen oder die jeweiligen Verbindlichkeiten erfüllen zu können.163 Solche Daten, die zur Durchführung eines Vertrages erforderlich sind, reichen vom Namen, der Anschrift, E-Mail-Adresse, des Geburtsdatums oder den Zahlungsinformationen164 bis hin zu konkreten Angaben zur Leistung, also etwa eine Bestellübersicht.165 Daneben werden von Unternehmen auch personenbezogene Daten von Kunden gespeichert, mit denen in der Vergangenheit Verträge abgewickelt wurden, aber keine aktuelle Vertragsbeziehung mehr besteht. Das Unternehmen hat ein großes Interesse daran, die personenbezogenen Daten dieser sog. Bestandskunden fortlaufend in ihrem Datenbestand zu verwalten, um sie weiterhin bewerben und bestenfalls erneut zum Vertragsabschluss bewegen zu können.166 Solche personenbezogenen Daten, die Auskunft über die vollständige Kundenhistorie geben, sind deshalb besonders wertvoll für das Unternehmen.
Außerdem verfügt das Unternehmen meist abseits solcher bestehenden Vertragsdaten des Kunden über weitere personenbezogene Daten aus sonstigen Geschäftskontakten und zwar unabhängig davon, ob ein Schuldverhältnis besteht oder nicht. Jenseits der klassischen Vertragsdaten sind die von einem Unternehmen über einen Kunden gespeicherten Daten sehr vielfältig (bspw. Interaktionsdaten zwischen Unternehmen und Kunden, Daten zu persönlichen Einstellungen). Ein Unternehmen ist stets bestrebt, Kundendatensätze in datenschutzrechtlich rechtmäßiger Weise mit weiteren Informationen anzureichern, um den größten Nutzen aus der Kundenbeziehung zu ziehen.167 Häufig werden Auswertungen durchgeführt, die sich auf das Nutzungsverhalten des Kunden beziehen. Die geschilderten CRM-Systeme dienen dabei als Grundlage für die Erstellung von Kundenprofilen.168 Personenbezogene Daten können nämlich nicht nur Tatsachen sein, sondern auch subjektiven Einflüssen unterliegen.169 So sind insbesondere Meinungen, Beurteilungen oder Prognosen über eine natürliche Person von wirtschaftlicher Relevanz für ein Unternehmen, die bspw. Aufschluss über die Zahlungsfähigkeit eines Kunden oder sein zukünftiges Kaufverhalten geben.170 Dieses sog. Profiling, bei dem personenbezogene Daten hinsichtlich bestimmter persönlicher Aspekte der betroffenen Person ausgewertet werden, führen Unternehmen oft zu Marketingzwecken oder zum Zwecke der Verhaltens- und Meinungsbeeinflussung durch.171 Ein Sonderfall stellt das Scoring dar, wodurch die Kreditwürdigkeit des Kunden beurteilt wird.172 Die dadurch erfassten Daten können sich auch auf betroffene Personen beziehen, mit denen erst noch eine Geschäftsbeziehung angebahnt wird. Zum Kundendatenschutz zählen im weitesten Sinne eben auch Daten über potenzielle Neukunden.173
Letztendlich verfügen daher vor allem Unternehmen, die im Verbraucherverkehr tätig sind, über Massen an personenbezogenen Daten über ihre Kunden, die nach den Anforderungen der DSGVO während einer Transaktion zu übertragen sind.
c. Besondere Kategorien personenbezogener Kundendaten
Besondere Kategorien personenbezogener Daten von Kunden sind darüber hinaus besonders zu schützen, da bei ihrer Verarbeitung für gewöhnlich erhebliche Risiken für die Grundrechte und Grundfreiheiten bestehen können (Erwägungsgrund 51 Satz 1). Gem. Art. 9 Abs. 1 DSGVO handelt es sich hierbei um solche personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie um genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Unternehmen ist es grundsätzlich untersagt, diese zu verarbeiten (vgl. Art. 9 Abs. 1 DSGVO), es sei denn, eine der restriktiven Verarbeitungsbefugnisse nach Art. 9 Abs. 2 DSGVO liegt vor.174 Im nicht-öffentlichen Bereich wird es daher zumeist auf eine Einwilligung des Kunden gem. Art. 9 Abs. 2 lit. a DSGVO ankommen, um eine Verarbeitung solcher ‚sensiblen‘ Kundendaten seitens der Unternehmen zu legitimieren.
Die Verarbeitung besonderer Kategorien personenbezogener Daten von Kunden kann u.a. in der Gesundheitsindustrie, Versicherungsbranche oder der Erotikindustrie von Relevanz sein.175 Abgesehen davon handelt es sich jedoch bei einem Großteil der in einem Unternehmen verarbeiteten ‚sensiblen‘ Daten um solche der eigenen Mitarbeiter.
3. Beschäftigtendaten
Neben den Kundendaten machen die Informationen über die Mitarbeiter einen wichtigen Teilbereich der Daten im Unternehmen aus. Diese Beschäftigtendaten betreffen in der Regel solche Informationen, deren Verarbeitung für die Durchführung des Beschäftigtenverhältnisses notwendig ist.176 Relevante Mitarbeiterdaten, die personenbezogene Daten enthalten, sind bspw. Arbeitsverträge und Personalakten einschließlich Bewerbungsunterlagen.177 Solche Informationen zu den arbeitsrechtlichen Verhältnissen geben Aufschluss über die wirtschaftlichen Umstände im Unternehmen, weshalb sie für den Erwerber eines Unternehmens ebenso von Interesse sind.178
Von datenschutzrechtlicher Brisanz sind die Daten der Mitarbeiter bei einer Unternehmenstransaktion insbesondere aufgrund ihrer Sensibilität und des damit einhergehenden hohen Schutzbedarfs,179 wenn auch die Menge an Daten, die dabei übertragen werden, grundsätzlich geringer im Vergleich zu den Kundendaten ausfallen dürfte. Eine Besonderheit des Beschäftigtendatenschutzrechts liegt darin, dass der Bundesgesetzgeber von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht und in § 26 BDSG n.F. besondere Regeln des bisherigen Beschäftigtendatenschutzes übernommen hat.180 Diese Regelung berührt aber nicht die Frage, ob es zulässig ist, bei Unternehmenstransaktionen Beschäftigtendaten weiterzugeben. Deshalb sind die datenschutzrechtlichen Voraussetzungen der Übermittlung dieser Daten während der Due Diligence und beim Vollzug der Unternehmenstransaktion (nach Maßgabe der jeweiligen