Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
einerseits die zugrundeliegenden Motive, die das berechtigte Interesse des Verantwortlichen an der konkreten Datenverarbeitung begründen, und andererseits die Auswirkungen der Datenverarbeitung auf die betroffene Person, einschließlich des drohenden Grades der Beeinträchtigung für ihre Rechte und Freiheiten.211 In der Bewertung müssen mögliche Faktoren, wie etwa die Art und Weise der Verarbeitung, die vernünftigen Erwartungen der betroffenen Person an die Verarbeitung oder die Beziehung zwischen dem Verantwortlichen und der betroffenen Person Berücksichtigung finden (vgl. Erwägungsgrund 47).212 Insbesondere ist von erheblicher Bedeutung, dass die Umstände der Verarbeitung zum Zeitpunkt der Erhebung der personenbezogenen Daten abzusehen sind (Erwägungsgrund 47 Satz 3). Hingegen soll der Umstand, dass der Verantwortliche die sonstigen Vorschriften der DSGVO einhält, keinen Einfluss auf die Abwägung haben, es sei denn, der Verantwortliche kann aufgrund von konkreten Umständen des Einzelfalls durch die Implementierung von technischen und organisatorischen Maßnahmen ein weitaus höheres Schutzniveau als das angemessene Maß gewährleisten.213
Ein standardisiertes Vorgehen verbietet sich dennoch, denn dem EuGH ist zuzustimmen, dass die Abwägung „grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt“214. Der europäische Gesetzgeber hat sich insofern mit der Konzeption eines offenen Abwägungstatbestandes, den Art. 6 Abs. 1 lit. f DSGVO verkörpert, an die einst vom EuGH aufgestellten Vorgaben gehalten. Danach darf das Ergebnis der Abwägung nicht abschließend vorgeschrieben werden, „ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt“215. Überwiegen im Ergebnis der Interessenabwägung letztendlich die Interessen der betroffenen Person gegenüber denjenigen des Verantwortlichen oder des Dritten, kann die Datenverarbeitung nicht nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden.216
d. Zwischenergebnis
Eine der größten Herausforderungen der praktischen Anwendung des Datenschutzes ist es, dass das normanwendende Unternehmen selbst unmittelbar die Abwägung vornimmt und dabei auch die Perspektive des Kunden einnehmen muss. Dazu hat es die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (vgl. Erwägungsgrund 47 Satz 1 und 3)217 und nach einem gemischt subjektiv-objektiven Maßstab die gegenüberstehenden Interessen und Rechte zu gewichten.218 Es besteht die Gefahr, dass Unternehmen aus wirtschaftlichen Gründen dazu tendieren, auf Kosten der Rechte und Freiheiten des Kunden an die Grenzen der rechtlichen Zulässigkeit zu gehen.219
Die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO bietet den Behörden und Gerichten in ihrer ex-post-Betrachtung hingegen große Flexibilität, was sich – anders als für private Datenverarbeiter – durchaus vorteilhaft in der Anwendung eines progressiven Datenschutzrechts auswirkt.220 Auch wenn oftmals aufgrund der umfangreichen Interessenabwägung im Einzelfall eine rechtssichere Bewertung der konkreten Verarbeitungstätigkeit nicht möglich ist, soll im Nachfolgenden im Grundsatz herausgearbeitet werden, ob die Verarbeitung der Kundendaten bei Unternehmenstransaktion insbesondere für die Wahrung der berechtigten Interessen der Unternehmen tatsächlich erforderlich ist und welche Eingriffsintensität dabei in Bezug auf die Interessen oder Grundrechte und Grundfreiheiten der Kunden zu erwarten ist.
IV. Der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure
Wenn von Unternehmenstransaktionen die Rede ist, muss vorab erläutert werden, was unter dem Begriff des Unternehmens zu verstehen ist. In erster Linie kommt es dabei darauf an, welche datenschutzrechtlichen Institute der DSGVO auf Unternehmen angewandt werden können.
1. Das datenschutzrechtlich verantwortliche (Ziel-)Unternehmen
a. Der Begriff des Unternehmens im Allgemeinen
Als Anknüpfungspunkt, um das Objekt einer Transaktion zu bestimmen, dient zunächst der Begriff des Unternehmens.
Einen einheitlichen Unternehmensbegriff kennt weder das deutsche Recht, noch existiert dieser im ökonomischen Sinne.221 Aus betriebswirtschaftlicher Perspektive wird das Unternehmen als eine ökonomische Einheit der Gesamtwirtschaft betrachtet, das zu Erwerbszwecken auf eigene Rechnung und Gefahr betrieben wird.222 Ein juristischer Unternehmensbegriff hingegen muss im Hinblick auf den jeweiligen Normzweck eines Gesetzes wandelbar sein.223 Wenngleich dem BGH aus diesem Grund keine allgemein gültige Begriffsdefinition gelingen kann (oder konnte),224 wird dennoch gemeinhin unter Unternehmen eine organisierte und betriebsfähige Wirtschaftseinheit verstanden, die dem Unternehmer das Auftreten am Markt ermöglicht.225 Das Unternehmen als solches ist somit kein einheitliches Rechtsobjekt, sondern setzt sich aus einer komplexen Gesamtheit zusammen: aus körperlichen, beweglichen und unbeweglichen Sachen, jeglichen Rechten, tatsächlichen Beziehungen und Erfahrungen sowie unternehmerischen Handlungen, wie etwa im Einzelnen der betrieblichen Organisation, den Absatzmöglichkeiten einschließlich des Kundenkreises, den Geschäftsgeheimnissen und dem ‚Goodwill‘ (Ruf des Unternehmens bei Mitarbeitern, Vertragspartnern und in der Öffentlichkeit).226
Zwar weist der Unternehmensbegriff Unschärfen auf, jedoch erlauben erst diese, die Komplexität und Individualität eines Unternehmenskonstrukts zu begreifen. Im Unternehmensprivatrecht ist das Unternehmen daher die Summe seiner gesamten Vermögensgegenstände und wird als organisierte, am Markt wirkende Wirtschaftseinheit verstanden.227 Das dazugehörige Rechtssubjekt bildet jedoch der Unternehmensträger, der bei Unternehmenstätigkeiten der Inhaber der zum Unternehmen gehörenden Rechte und Pflichten ist.228
b. Der datenschutzrechtliche Unternehmensbegriff
Der datenschutzrechtliche Unternehmensbegriff in Art. 4 Nr. 18 DSGVO greift ebenfalls das Merkmal der Wirtschaftlichkeit auf. Die Definition des Unternehmens ist nicht an eine bestimmte Rechtsform geknüpft, sondern lediglich an das Merkmal der Ausübung einer wirtschaftlichen Tätigkeit durch eine natürliche oder juristische Person.229 Nach europarechtskonformer Auslegung gilt jedes Anbieten von Gütern oder Dienstleistungen auf einem bestimmten Markt als wirtschaftliche Tätigkeit.230 So sollen keine natürlichen Personen, die ausschließlich persönliche oder familiäre Datenverarbeitungstätigkeiten ausüben, vom datenschutzrechtlichen Unternehmensbegriff erfasst werden, vgl. Art. 2 Abs. 2 lit. c DSGVO.231
Es ist bemerkenswert, dass jeglicher Bezug zu einer datenverarbeitenden Tätigkeit fehlt. Wird der datenschutzrechtliche Unternehmensbegriff aber unter Berücksichtigung des Gesetzeszwecks der DSGVO begriffen, ist dieser Ansatz des europäischen Gesetzgebers nachvollziehbar. Im Grundsatz ist nur der Verantwortliche Normadressat der DSGVO und daher als Bezugspunkt dafür heranzuziehen, die Rechtmäßigkeit von Datenverarbeitungen zu beurteilen. Dennoch enthält die DSGVO für Unternehmen an anderen Stellen einzelne sowohl privilegierende als auch verschärfende Konsequenzen.232 Dabei impliziert der Begriff des Unternehmens ohnehin eine Verarbeitung von personenbezogenen Daten, denn andernfalls wäre der Anwendungsbereich der DSGVO erst gar nicht eröffnet.
c. Der Verantwortliche
Anders als der Unternehmensbegriff geht die Frage, wer rechtlich für die Einhaltung und Umsetzung der Datenschutzanforderungen verantwortlich ist, mit der Bestimmung des Verantwortlichen einher, denn der Begriff dient dazu, „Verantwortung zuzuweisen“.233 Für jede Verarbeitungstätigkeit soll eine Rechtsperson Verantwortung übernehmen.234 Primär wird durch die zentrale Rolle des Verantwortlichen aber nicht nur festgelegt, wem die Pflicht zur Einhaltung der Vorgaben der DSGVO und deren Nachweis auferlegt wird (vgl. Art. 24 DSGVO), sondern auch gegenüber wem betroffene Personen und Behörden ihre etwaigen datenschutzrechtlichen Ansprüche und anderen Begehren geltend machen können.235
Nach der Definition des Art. 4 Nr. 7 DSGVO, die wortgleich aus der EU-Datenschutzrichtlinie übernommen wurde, gilt jede natürliche oder juristische Person als Verantwortlicher, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen