Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
zu beurteilen und müssen daher nach einer Erlaubnisnorm gerechtfertigt werden.259 Erwägungsgrund 48 fungiert lediglich als privilegierende Hilfestellung im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.
Ungeachtet dessen ist ein Rückgriff auf Erwägungsgrund 48 im Rahmen von Unternehmenstransaktionen nicht weiterführend. Weder können Zielunternehmen und Erwerber als Unternehmensgruppe zusammengefasst werden noch werden dabei die betreffenden Kundendaten für interne Verwaltungszwecke übertragen. Vielmehr agieren zwei voneinander unabhängige Unternehmen, dessen Verarbeitungstätigkeiten sich auf die Durchführung der Unternehmenstransaktion beschränken.
b. Auftragsdatenverarbeitung i.S.v. Art. 28 DSGVO
Von datenschutzrechtlich anderer Qualität wäre die nachfolgende rechtliche Untersuchung, wenn sich die Tätigkeiten des Zielunternehmens und des potenziellen Erwerbers im Zusammenhang mit der Unternehmenstransaktion datenschutzrechtlich als Auftragsdatenverarbeitung i.S.v. Art. 28 DSGVO darstellen ließen.
Ob die Auftragsdatenverarbeitung in der DSGVO rechtlich privilegiert bleibt260 oder stattdessen die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter ein eigener nach Art. 6 DSGVO rechtfertigungsbedürftiger Vorgang ist,261 hat der europäische Gesetzgeber jedoch versäumt, hinreichend zu klären.262 Allein aber die Tatsache, dass ein Auftragsverarbeiter unabhängig vom Ort der Verarbeitung ausdrücklich nicht mehr als Dritter zu qualifizieren ist263 und sonst kein zusätzlicher Regelungsbedarf in Art. 28f. DSGVO bestünde, zeichnet eine Tendenz des europäischen Gesetzgebers hin zu einer Privilegierung der Auftragsdatenverarbeitung ab.264 Prägendes Kriterium des Auftragsverarbeiters ist seine Weisungsgebundenheit gegenüber dem Verantwortlichen (vgl. Art. 29 DSGVO), selbst wenn der Wortlaut der Legaldefinition in Art. 4 Nr. 8 DSGVO lediglich ein Auftragsverhältnis voraussetzt.265 In der DSGVO wurden die Pflichten in Bezug auf die Weisungen des Verantwortlichen sowie weitere eigene Pflichten des Auftragsverarbeiters ausgeweitet, die in einer entsprechenden Vereinbarung festzuhalten sind, und erlangen durch die Bußgeldandrohung in Art. 83 DSGVO besonderen Nachdruck, weshalb bei einem Rückgriff auf eine Auftragsdatenverarbeitung kein erhöhter Schutzbedarf der betroffenen Personen zu erkennen ist.266
Unter anderem verlangt Art. 28 Abs. 3 lit. g DSGVO, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten löscht oder zurückgibt. Aufgrund dieser temporären Datenüberlassung ist das Instrument der Auftragsdatenverarbeitung für die Verarbeitung von Kundendaten bei Unternehmenstransaktionen ungeeignet.267 Zudem sollen Erwerber gerade nicht wie bei der Auftragsdatenverarbeitung in die Verarbeitungsvorgänge des Zielunternehmens integriert werden, sondern die Verarbeitungstätigkeiten eigenständig übernehmen und fortführen. Nach dem BDSG a.F. wurde zur Klärung der Frage, wann sich die Tätigkeiten eines Auftragsverarbeiters als eigenverantwortlich definieren lassen, noch die Funktionsübertragung als Abgrenzungskriterium herangezogen. Nach der DSGVO hingegen ist die Legaldefinition des Verantwortlichen richtungsweisend.268 Sobald ein Auftragsverarbeiter allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, wird er selbst zum Verantwortlichen oder gemeinsamen Verantwortlichen, vgl. Art. 4 Nr. 7 DSGVO. Da aber bei Unternehmenstransaktionen der Erwerber die vollständige Eigenkompetenz zur Verarbeitung der überlassenden Daten hat, ist er aus diesem Grunde selbst Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. Es fehlt damit offensichtlich an einer Weisungsbefugnis des Zielunternehmens gegenüber dem Erwerber.269
c. Gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO
Das Institut der gemeinsamen Verantwortlichkeit, das schon in der EU-Datenschutzrichtlinie vorgesehen war,270 umfasst einen weiteren Fall der Verarbeitung personenbezogener Daten von mehreren datenverarbeitenden Beteiligten. Beim Konzept der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO liegt ein und dieselbe Verarbeitung zugrunde, bei der mehrere Verantwortliche gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden und gesamtschuldnerisch gem. Art. 82 Abs. 2 und Abs. 4 DSGVO dafür haften. Vor dem Hintergrund des Erwägungsgrundes 79, wonach es „einer klaren Zuteilung der Verantwortlichkeiten“ bedarf, erlegt Art. 26 DSGVO dabei den gemeinsamen Verantwortlichen konkrete Pflichten auf.271
Im Vergleich zur Auftragsdatenverarbeitung, bei der die Verantwortlichkeiten zwischen dem Verantwortlichen und Auftragsverarbeiter hierarchisch aufgeteilt werden, ist die Rechtsfigur des gemeinsamen Verantwortlichen von einem grundsätzlich gleichberechtigten Nebeneinanderbestehen geprägt.272 Während der Auftragsverarbeiter also nur auf Weisung des Verantwortlichen hin tätig wird, nimmt jeder der gemeinsamen Verantwortlichen eine wesentliche Entscheidungsbefugnis über die Zwecke und Mittel einer Datenverarbeitung wahr.273
Ob ein Datenaustausch im Rahmen der gemeinsamen Verantwortlichkeit als Verarbeitung innerhalb eines Verantwortlichen legitimiert ist, kann nach Art. 26 DSGVO nicht abschließend geklärt werden. Überwiegend wird eine Rechtfertigung des Datenaustauschs nach Art. 6 DSGVO gefordert, weil Art. 26 DSGVO selbst keinen besonderen Erlaubnistatbestand darstellt.274 Danach bleiben die gemeinsamen Verantwortlichen zueinander „Dritte“ i.S.v. Art. 4 Nr. 10 DSGVO.275 Ansonsten würde dies den Anschein einer Einführung eines Konzernprivilegs ‚durch die Hintertür‘ verschaffen. Dahingegen scheint es in mancher Hinsicht unklar, welchen Anreiz und praktischen Nutzen die Vorschrift für datenverarbeitende Unternehmen zu schaffen vermag.
Für die datenschutzrechtliche Beurteilung einer Unternehmenstransaktion hilft dieses unter der DSGVO erstarkte Institut überwiegend wohl nicht weiter, denn Zielunternehmen und Erwerber einer Transaktion erheben, verarbeiten und nutzen gerade nicht gemeinsam personenbezogene Daten.276 Um eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO anzunehmen, reicht eine bloße Zusammenarbeit mehrerer Stellen im Rahmen einer Kette per se nicht aus.277 Zwar wirken die Parteien im Rahmen einer Unternehmenstransaktion im gewissen Umfang beim Transfer der Kundendaten zusammen (vornehmlich in Bezug auf technische und organisatorische Maßnahmen), jedoch erfolgt der Austausch von personenbezogenen Daten zwischen zwei getrennten Stellen, ohne dass gemeinsam die Zwecke oder Mittel festgelegt wurden. Bis der Vollzug der Transaktion beendet ist, hat der Erwerber weder rechtlichen noch tatsächlichen Einfluss auf die Datenverarbeitung, weshalb er hierfür keine datenschutzrechtliche Verantwortung zu tragen hat.278 In zutreffender Weise ist dabei die Einflussmöglichkeit aus einer holistischen Betrachtungsweise heraus zu bewerten.279 Wenn auch der Zweck der Verarbeitung, nämlich der der Übermittlung von Kundendaten im Zuge einer Unternehmenstransaktion, ein gemeinsamer zu erscheinen vermag, sind Unternehmenstransaktionen aber in der Gesamtschau von einem konkurrierenden Verhältnis geprägt. Das Zielunternehmen bestimmt sowohl den abstrakten als auch konkreten Rahmen der Datenübermittlung. Überdies besteht die Verfügungshoheit über die Kundendaten meist nur einseitig: bis zum Vollzug der Transaktion geht sie vom Zielunternehmen aus und erst anschließend gewinnt der Erwerber die vollständige Datenhoheit. Aus diesem Grund ist der Erwerber nicht an der Entscheidung über die Zwecke und Mittel der Verarbeitung beteiligt. Es fehlt also an einer beidseitigen tatsächlichen Einflussnahme auf den Verarbeitungsvorgang.280 Als Außenstehender ist der Erwerber vielmehr auf die Kooperation des Veräußerers angewiesen: Bspw. um einen Einblick in die Daten in der Due Diligence zu erlangen; zudem muss der Veräußerer selbst den Anstoß zum Transfer der Daten aus dem eigenen Datenbestand heraus geben. Deshalb kann der Erwerber während der Transaktion weder konkrete Kriterien der Verarbeitung festlegen, noch mangels Kenntnis die Kategorien von Personen bezeichnen, deren personenbezogene Daten erworben werden.281 Auf ein arbeitsteiliges Zusammenwirken der Parteien wird es bei Unternehmenstransaktionen daher nur in wenigen Fällen hinauslaufen, wie etwa kurzweilig nach erfolgtem Vollzug der Transaktion, sofern dies zur vollständigen Integration der Datensätze angesichts der besonderen Umstände des Einzelfalls erforderlich ist.282 Grundsätzlich steuern aber die Verantwortlichen nicht gleichberechtigt die Abläufe, sodass die Annahme einer kollaborativen Datenverarbeitung während des Prozesses einer Unternehmenstransaktion in der Gesamtheit zu verneinen ist.
Da die DSGVO keine weiteren Rechtsinstitute bereitstellt, spielt nur die Bestimmung des datenschutzrechtlich verantwortlichen Unternehmens im Verlaufe einer Unternehmenstransaktion die maßgebende Rolle. Bis die Transaktion vollendet ist, hat