Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
4. Nicht personenbezogene Unternehmensdaten
Den strengen Voraussetzungen der DSGVO unterliegen hingegen nicht Unternehmensdaten bzw. maschinengenerierte Daten, die keinerlei Personenbezug aufweisen. Solche nicht personenbezogenen Daten können aber auch – ähnlich wie Geschäftskundendaten – eine Angabe über eine natürliche Person enthalten, wenn eine solche Information auf eine natürliche Person durchschlägt. Sofern also Maschinendaten oder industrielle Daten mit anderen personenbezogenen Daten verknüpft werden, kann unter Umständen der Anwendungsbereich der DSGVO eröffnet sein.182
III. Das Verbotsprinzip mit Erlaubnisvorbehalt gem. Art. 6 DSGVO
Die oben dargelegten Begriffsdefinitionen bilden die Grundlage für das Verständnis des Art. 6 DSGVO, der als zentrale Norm der DSGVO die Zulässigkeitsvoraussetzungen einer Verarbeitung von personenbezogenen Daten begründet.183 Als Ausprägung des Datenschutzprinzips aus Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen, wurde in der DSGVO an dem Grundsatz des Verbots mit Erlaubnisvorbehalt festgehalten (sog. Verbotsprinzip).184 Danach sind Datenverarbeitungen gerade nicht erlaubt, sondern grundsätzlich verboten, es sei denn, die betroffene Person hat eingewilligt oder ein gesetzlicher Erlaubnistatbestand legitimiert die Datenverarbeitung.185 Abgesehen von den aus Art. 288 Abs. 2 und 3 AEUV folgenden Unterschieden entspricht Art. 6 DSGVO in Teilen seiner Vorgängerregelung des Art. 7 EU-Datenschutzrichtlinie.186 Jede Verarbeitung von Kundendaten im Rahmen von Unternehmenstransaktionen ist daher nach Art. 6 Abs. 1 DSGVO nur zulässig, sofern der Kunde in die konkrete Datenverarbeitung eingewilligt hat oder ein Rechtfertigungstatbestand dies erlaubt.
1. Die Gleichrangigkeit und das Konkretisierungsbedürfnis der Zulässigkeitsvarianten
Die Zulässigkeitsvarianten des Art. 6 Abs. 1 DSGVO im Umgang mit personenbezogenen Daten stehen in keinem Stufenverhältnis zueinander, sondern sind gleichrangig nebeneinander anwendbar. Insbesondere die Annahme, die Einwilligung müsse als lex specialis gegenüber den anderen gesetzlichen Erlaubnistatbeständen angesehen werden, widerspricht dem Gesetzeswortlaut.187 Im Rahmen des Löschungsrechts der betroffenen Personen nach Art. 17 Abs. 1 lit. b DSGVO hat der europäische Gesetzgeber klargestellt, dass erst dann die Löschung der personenbezogenen Daten verlangt werden kann, wenn nach widerrufener Einwilligung auch keine anderweitige Rechtsgrundlage für die Verarbeitung vorliegt. Dies impliziert, dass die Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO in gleicher Wertigkeit zueinanderstehen und eben auch dann eine Datenverarbeitung gerechtfertigt sein kann, wenn der Erlaubnistatbestand gem. Art. 6 Abs. 1 lit. a DSGVO weggefallen ist. In diesem Fall muss zwar der Umstand des Widerrufs oder der Verweigerung der Einwilligung im Rahmen der Erforderlichkeitsprüfung der Verarbeitung sowie der allgemeinen Interessenabwägung nach Art. 6 Abs. 1 lit. b und lit. f DSGVO Berücksichtigung finden, jedoch kann nicht allein deshalb per se von einer unzulässigen Datenverarbeitung ausgegangen werden.188 Eine wichtige Erkenntnis für datenverarbeitende Unternehmen liegt deshalb darin, dass sie keine Einwilligung bräuchten, wenn ohnehin die Datenverarbeitung von den gesetzlichen Erlaubnistatbeständen gem. Art. 6 Abs. 1 lit. b bis f DSGVO erfasst wäre.189 Im Umkehrschluss kann eine Datenverarbeitung zulässig sein, wenn die betroffene Person in die Datenverarbeitung eingewilligt hat, auch wenn kein sonstiger Erlaubnistatbestand die Verarbeitung rechtfertigen würde.
Jedoch kann die Beurteilung, ob die konkrete Verarbeitung der Kundendaten auf Grundlage einer dieser Erlaubnistatbestände zulässig ist, angesichts der Tatsache, dass die Zulässigkeitsvarianten konkretisierungsbedürftig sind, eine große Herausforderung für Unternehmen darstellen. Die offene Interessenabwägung erweist sich damit durchaus als Risikofaktor in der Privatwirtschaft. Während in der Vergangenheit gerichtlich lediglich über die Kriterien der Einwilligung entschieden wurde,190 fehlte es an Rechtsprechung zu den gesetzlichen Erlaubnistatbeständen und Spezifizierungen ihrer Anwendung.191 Gleiches gilt unter der DSGVO fort.192 Es kann lediglich darauf gehofft werden, dass die Datenschutzaufsichtsbehörden Empfehlungen oder der EDSA Leitlinien zeitnah veröffentlichen werden, die zu einer einheitlichen Anwendung des Datenschutzrechts beitragen. Es ist bspw. zu präzisieren, welche konkrete Verarbeitungssituation i.S.v. Art. 6 Abs. 1 lit. f DSGVO als zulässig zu erachten ist.193
2. Art. 6 Abs. 1 lit. f DSGVO als zentrale Rechtsgrundlage bei Unternehmenstransaktionen
Diese bereits beschriebene Rechtsunsicherheit wirkt sich vor allem auf Unternehmenstransaktionen aus, wenn Unternehmen ex-ante zu entscheiden haben, ob die Übermittlung der Kundendaten nach Art. 6 DSGVO gerechtfertigt ist. Da auch das BDSG n.F. keine weiteren Konkretisierungen zum rechtmäßigen Umgang mit Kundendaten enthält, bleibt es vorerst den Unternehmen überlassen, die teils generalklauselartigen Erlaubnistatbestände selbst auszulegen.194
Von den in Art. 6 Abs. 1 DSGVO aufgelisteten Zulässigkeitstatbeständen, die viel Spielraum ermöglichen, ist vor allem Art. 6 Abs. 1 lit. f DSGVO eine mögliche Rechtsgrundlage für die Verarbeitung von Kundendaten im Rahmen von Unternehmenstransaktionen.195 Seiner Betitelung als Generalklausel wird Art. 6 Abs. 1 lit. f DSGVO mehr als gerecht, da der Wortlaut der Vorschrift sehr vage formuliert und von unbestimmten Rechtsbegriffen geprägt ist, die erneut Auslegungsschwierigkeiten hervorrufen.196 Dass eine Verarbeitung personenbezogener Daten infolge einer Interessenabwägung legitimiert ist, wenn drei kumulative Voraussetzungen vorliegen, hat der EuGH jedoch schon zu Art. 7 lit. f EU-Datenschutzrichtlinie festgestellt.197 Aufgrund der in dieser Hinsicht ähnelnden Rechtslage lassen sich dessen Ausführungen auch auf die DSGVO anwenden.198
a. Berechtigtes Interesse
Die erste dieser drei kumulativen Voraussetzungen für eine legitime Verarbeitung personenbezogener Daten ist ein berechtigtes Interesse an der Datenverarbeitung, das von dem Verantwortlichen oder von einem Dritten wahrgenommen wird.199 Dabei kann es sich um jedes von der Rechtsordnung gebilligte, wirtschaftliche oder ideelle Interesse handeln.200 Laut der Artikel-29-Datenschutzgruppe muss das berechtigte Interesse gesetzlich zulässig sowie hinreichend bestimmt sein und ein gegenwärtiges Interesse des Verantwortlichen widerspiegeln.201 Damit gilt das Vorliegen von berechtigten Interessen im Rahmen von Art. 6 Abs. 1 lit. f DSGVO als eines der „zentralen Stellschrauben für einen angemessenen Ausgleich zwischen den Interessen der Verbraucherinnen und Verbraucher einerseits und der Unternehmensinteressen andererseits“202 fort. Dass vor allem Kundenverhältnisse ein berechtigtes Interesse des Verantwortlichen an einer Datenverarbeitung begründen können, hat auch der europäische Gesetzgeber selbst als konkretes Beispiel in Erwägungsgrund 47 Satz 2 angeführt.203 Trotz dieses Indizes sind nichtsdestoweniger die berechtigten Interessen stets kontextabhängig auszulegen.204
b. Erforderlichkeit
Um eine Verarbeitung personenbezogener Daten zu legitimieren, bedarf es zweitens der Erforderlichkeit der Datenverarbeitung, um das berechtigte Interesse zu verwirklichen.205 Das Merkmal der Erforderlichkeit, unter dessen Vorbehalt – mit Ausnahme der zulässigen Datenverarbeitung infolge einer Einwilligung – sämtliche Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO stehen, trägt den Anforderungen der allgemeinen Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO Rechnung.206 So ist die Datenverarbeitung auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO nur dann erforderlich, wenn keine milderen Maßnahmen zur Verfügung stehen, die dem verfolgten Ziel dienen würden.207 Entscheidend dabei ist, dass das Unternehmen über keine zumutbare Alternative zur betreffenden Datenverarbeitung verfügt, um das konkrete Ziel zu erreichen. Deshalb reicht die bloße Dienlichkeit der Datenverarbeitung zur Zweckerfüllung gerade nicht aus.208
c. Abwägung
Drittens muss eine Abwägung der jeweiligen gegenüberstehenden Interessen und Rechte stattfinden,209 bei der schließlich die Interessen