Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
darin, einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.237 Das wesentliche Merkmal eines Verantwortlichen ist dessen Entscheidungsmöglichkeit über die Zwecke und Mittel der Verarbeitung.238 Statt auf formale Kriterien kommt es vielmehr auf die tatsächliche Entscheidungsfähigkeit über und den faktischen Einfluss auf die Verarbeitungsvorgänge an sich an.239 Als Verantwortlicher gilt daher derjenige, der die eigentliche Kontrolle über die Verarbeitung innehat.240
Aus datenschutzrechtlicher Perspektive ist ferner eine Abgrenzung des Verantwortlichen zu anderen Akteuren erforderlich, wie sie in der Negativdefinition des Dritten i.S.v. Art. 4 Nr. 10 DSGVO genannt werden.241 Als Dritter gilt insbesondere jede natürliche oder juristische Person, die nicht betroffene Person, Verantwortlicher oder Auftragsverarbeiter ist. Außerdem werden von der Definition des Dritten solche Personen ausgeschlossen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten. Solche Dritte gehören in der datenschutzrechtlichen Organisation nicht dem Verantwortlichen oder Auftragsverarbeiter an, da sie funktionell für sich selbst arbeiten, jedoch (unabhängig von ihrer arbeitsrechtlichen Zuordnung) den fachlichen Weisungen unterstellt sind (bspw. freiberufliche Mitarbeiter).242 Folgerichtig bedeutet dies für das Merkmal des Verantwortlichen, dass grundsätzlich jeder Dritter, der von einem anderen dieselben personenbezogenen Daten empfängt, selbst zum tätigen Verantwortlichen gegenüber der betroffenen Person wird, vorausgesetzt, die weiteren Anforderungen zur Begründung der Verantwortlichkeit liegen vor.243
d. Zwischenergebnis: Der Begriff des Zielunternehmens
Angesichts des umfangreichen Schutzzwecks der DSGVO ist zwar das datenschutzrechtliche extensive Verständnis des Unternehmensbegriffs, das der europäische Gesetzgeber in Art. 4 Nr. 18 DSGVO aufgegriffen hat, durchaus begrüßenswert. Die Legaldefinition ist jedoch im Hinblick auf diejenigen maßgeblichen Konturen wenig ergiebig, die ein unternehmerisches Handeln prägen und konkretisieren. Im Zusammenhang mit Unternehmenstransaktionen muss der Schwerpunkt ein anderer sein. Gegenstand der Übertragung ist nicht nur die unternehmerische Tätigkeit als solche, sondern vielmehr das Unternehmen als organisierte und betriebsfähige Wirtschaftseinheit, durch deren Gesamtheit die unternehmerische Tätigkeit erst ausgeübt werden kann.244
Zusammenfassend lässt sich festhalten, dass weder jedes Unternehmen als Verantwortlicher im datenschutzrechtlichen Sinn gilt noch jeder Verantwortlicher ein Unternehmen ist: Bspw. ist ein gemeinnütziger Verein zwar kein Unternehmen, er kann aber trotzdem verantwortlich für eine Datenverarbeitung sein. Nur sofern ein Unternehmen personenbezogene Daten verarbeitet, gilt es als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO. Da aber heutzutage nahezu jedes Unternehmen in irgendeiner Art und Weise personenbezogene Daten verarbeitet, ist Prämisse der nachfolgenden rechtlichen Untersuchung, dass die betreffenden Unternehmen datenverarbeitend auf dem Markt tätig sind. Auch wenn es auf die Wirtschaftlichkeit der Tätigkeit nur für den datenschutzrechtlichen Unternehmensbegriff, nicht aber für die Begriffsbestimmung des Verantwortlichen ankommt, werden nachfolgend nur solche Unternehmen erfasst, die Datenverarbeitungsprozesse mit Kundendaten durchführen und daher als Verantwortliche gelten.
Dieses Unternehmensverständnis vorausgesetzt, gilt unabhängig davon, in welchem Wege das Unternehmen erworben wird, immer das Unternehmen selbst als Verantwortlicher und nicht die einzelnen Gesellschafter,245 auch dann, wenn bei einem Share Deal nicht der Verantwortliche selbst als Veräußerer auftritt.246 Diese Auslegungsweise lässt sich darauf zurückzuführen, dass die datenschutzrechtliche Verantwortlichkeit die juristische Person betrifft, während in der Regel die Verantwortungszuweisung zu einzelnen natürlichen Personen im Unternehmen nur bedingt erfolgen kann.247 Zwischen dem Unternehmen und dem potenziellen Erwerber bestehen hingegen vor Beginn der Unternehmenstransaktion bei jeder Gestaltungsform getrennte Verantwortlichkeiten. Im Verhältnis zum betroffenen Kunden ist der Erwerber im Vorfeld einer Unternehmenstransaktion als Dritter i.S.v. Art. 4 Nr. 10 DSGVO zu qualifizieren. Erst wenn der Erwerber tatsächlich die Kundendaten erlangt hat, kann auch er gegenüber dem Kunden für die Rechtmäßigkeit der Verarbeitung verantwortlich werden.
Ausgehend von diesem komplexen und weiten Unternehmensbegriff handelt es sich beim sog. Zielunternehmen immer um das Objekt, das Ziel der Transaktion ist, unabhängig von seiner Rechtsform oder der zwischen den Beteiligten vereinbarten Transaktionsstruktur.248 Das zu erwerbende Unternehmen wird dabei in seiner komplexen Gesamtheit erfasst. Für das Zielunternehmen muss in diesem Kontext vorausgesetzt werden, dass es personenbezogene Kundendaten verarbeitet, also als ‚das datenschutzrechtlich verantwortliche Zielunternehmen‘ zu bewerten ist. Während des Geschäftsbetriebs, aber noch vor einer Unternehmenstransaktion, verfolgt das Zielunternehmen mit der Verarbeitung der Kundendaten eigene Zwecke und ist insoweit als alleiniger Verantwortlicher einzustufen.
2. Abgrenzung zu datenschutzrelevanten Übermittlungen innerhalb oder zwischen Unternehmen
Grundsätzlich hat der europäische Gesetzgeber die Bedeutung und Notwendigkeit von Datenflüssen von einem zum anderen Unternehmen erkannt und an mehreren Stellen in der DSGVO aufgegriffen. Innerhalb eines Unternehmens gehören vor allem die Weitergabe und der Austausch von personenbezogenen Daten zum täglichen Geschäft, sodass diese Vorgänge von hoher praktischer Relevanz sind.249 Gleichwohl lagern Unternehmen immer häufiger einige ihrer Datenverarbeitungsprozesse an externe Dienstleister aus, weshalb auch Datenströme nach außen zunehmen. Solche Datenübermittlungen innerhalb oder zwischen Unternehmen sind aber datenschutzrechtlich anders zu bewerten als solche im Rahmen von Unternehmenstransaktionen. Derjenige, der für die Verarbeitung im Rahmen von Unternehmenstransaktionen als Verantwortlicher gilt, ist im Folgenden daher vor dem Hintergrund solcher komplexen Unternehmensstrukturen und -bündnisse von anderen datenschutzrechtlichen Konzepten und Rechtsfiguren abzugrenzen.
a. Fehlendes Konzernprivileg
Die DSGVO verschließt sich grundsätzlich gegenüber einer Privilegierung des Umgangs mit personenbezogenen Daten in einem Unternehmensverbund, sodass jede unternehmerische Verarbeitung dem Verbot mit Erlaubnisvorbehalt nach Art. 6 Abs. 1 DSGVO unterliegt. Ein sog. „Konzernprivileg“, dessen Annahme innerhalb oder zwischen Unternehmen zu erleichterten Voraussetzungen für eine Übermittlung von personenbezogenen Daten führen würde, wurde wie auch schon in der Vergangenheit nicht vom europäischen Gesetzgeber eingeführt.250 Stattdessen sind nach der DSGVO die einzelnen an einem Konzern beteiligten Unternehmen zueinander wie Dritte i.S.v. Art. 4 Nr. 10 DSGVO zu behandeln.251
Der europäische Gesetzgeber erkennt allerdings in Erwägungsgrund 48 das Interesse an einem Datenaustausch innerhalb einer Unternehmensgruppe ausdrücklich als berechtigt an.252 Zwar gelten solche Datenflüsse weiterhin als rechtfertigungsbedürftige Verarbeitungen, jedoch zielt Erwägungsgrund 48 darauf ab, dass diese im Rahmen von Art. 6 Abs. 1 lit. f DSGVO erleichtert stattfinden können.253 Bei der in diesem Zusammenhang zu erfolgenden Interessenabwägung ist laut Erwägungsgrund 48 insbesondere das berechtigte Interesse verbundener Unternehmen an einer Datenübermittlung für interne Verwaltungszwecke anzuerkennen, einschließlich der Verarbeitung von Kunden- und Beschäftigtendaten.254
Jedoch kann sich nicht jedes Unternehmen auf interne Verwaltungszwecke berufen, denn Erwägungsgrund 48 erfasst ausschließlich solche Unternehmen, die Teil einer Unternehmensgruppe sind.255 Die Bezeichnung der Unternehmensgruppe, die in Art. 4 Nr. 19 DSGVO i.V.m. Erwägungsgrund 37 legaldefiniert wird, ist ein Novum in der DSGVO.256 Der Begriff definiert eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.257 Entscheidend ist also ein hierarchisches Abhängigkeitsverhältnis zwischen den Unternehmen, weshalb Gleichordnungskonzerne nicht mehr vom datenschutzrechtlichen Begriff der Unternehmensgruppe erfasst werden.258
Dennoch macht es trotz des Erwägungsgrundes 48 datenschutzrechtlich grundsätzlich keinen Unterschied, ob personenbezogene Daten innerhalb des Konzerns an Mutter- bzw. Schwestergesellschaften oder an im gesellschaftsrechtlichen Sinne unabhängige Unternehmen übermittelt werden. Da es an einem echten Konzernprivileg