Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
target="_blank" rel="nofollow" href="#ulink_99f271b7-ac30-563e-a8da-aaac71773083">110 Ausnahmen hiervon sind in Art. 2 Abs. 2 bis 4 DSGVO geregelt. 111 Der Wortlaut des Art. 4 Nr. 2 DSGVO deutet wegen des Wortes „jeder“ Vorgang und der anschließenden Aufzählung unterschiedlichster Verarbeitungstätigkeiten („wie“) auf einen rein exemplarischen Charakter der Legaldefinition hin; auch der Wortlaut der englischen Sprachfassung bestätigt diese Auslegung („any operation“/„such as“); vgl. im Ergebnis auch Krohm/Müller-Peltzer, RDV 2016, 307 (310); Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330; Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 20. 112 So auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2, Rn. 1. 113 Voigt/von dem Bussche, DSGVO, S. 11; Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330. 114 Voigt/von dem Bussche, DSGVO, S. 12; ebd. ausführlich zu automatisierten und manuellen Verarbeitungsvorgängen. 115 Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 29. 116 Schild, in: Wolff/Brink, Datenschutzrecht, Artikel 4 DS-GVO, Rn. 50. 117 Vgl. Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 30. 118 Dieses Verständnis steht auch im Einklang mit dem Lindqvist-Urteil des EuGH zur EU-Datenschutzrichtlinie (EuGH, Rs. 101/01, Lindqvist, ECLI:EU:C:2003:596), wonach zwar der EuGH zur Bestimmung des Übermittlungstatbestandes nicht auf die Perspektive des Verantwortlichen abstellt, aber jedenfalls dann eine Übermittlung ablehnt, wenn personenbezogene Daten einer Internetseite auf einen Server hochgeladen werden, ohne dass ein Internetnutzer tatsächlich die betreffende Internetseite aufgerufen hat. Nach der hier vertretenen Auffassung würde dies ebenfalls keine Offenlegung durch Übermittlung nach der DSGVO darstellen, da diejenige Person, die die personenbezogenen Daten auf eine Internetseite hochgeladen hat, immer noch auf die Daten einwirken (und sie bspw. verändern) kann, weil sie weiterhin ihrer Sphäre zugeordnet werden können. 119 Krohm/Müller-Peltzer, RDV 2016, 307 (310). 120 Vgl. Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 331. 121 Gola, in: Gola, DSGVO, Art. 4, Rn. 31. 122 Krohm/Müller-Peltzer, RDV 2016, 307 (310f.). Ob hingegen die Formulierung in Art. 6 Abs. 1 DSGVO, dass eine Verarbeitung nur rechtmäßig sei, „wenn“ eine der genannten Bedingungen erfüllt ist, statt der Verwendung des Wortes „soweit“, tatsächlich darauf hindeutet, dass die Bewertung der Zulässigkeit einer Verarbeitung nicht mehr in einzelnen Phasen erfolgen soll, kann nicht eindeutig beantwortet werden. Zwar wurde 2001 im BDSG a.F. „wenn“ durch „soweit“ ersetzt, was genau Gegenteiliges bezwecken sollte (also die Klarstellung der Rechtfertigungsbedürftigkeit jedes einzelnen Verarbeitungsschrittes). Es blieb aber fraglich, ob das BDSG a.F. nicht europarechtskonform hätte ausgelegt werden müssen, da in Art. 7 EU-Datenschutzrichtlinie von „wenn“ die Rede ist. Welche Bedeutung der europäische Gesetzgeber dieser Formulierung beigemessen hat, wird allerdings nicht deutlich. 123 Krohm/Müller-Peltzer, RDV 2016, 307 (311). 124 Zu Daten und Informationen Schmitz, ZD 2018, 5 (6). 125 So etwa Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7, wonach ausdrücklich der Wortlaut des Art. 2 lit. a EU-Datenschutzrichtlinie „eine großzügige Auslegung“ verlangt. Abgesehen davon erfolgte die Wortlautänderung der Definition des personenbezogenen Datums in der deutschen Fassung im Gegensatz zur alten Rechtslage lediglich aus redaktionellen Gründen, dazu Krügel, ZD 2017, 455 (455). 126 Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 8; zum personenbezogenen Datum i.S.d. EU-Datenschutzrichtlinie, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 8. 127 Kritisch im Hinblick auf technologische Entwicklungen, die für eine Identifizierung eingesetzt werden könnten Krügel, ZD 2017, 455 (456). 128 Vertreter der Theorie des absoluten Personenbezugs stellen auf die objektive Möglichkeit ab, dass durch die Anwendung eines Mittels oder von Zusatzwissen Dritter die betroffene Person bestimmt werden kann und zwar unabhängig davon, wer tatsächlich das Mittel anwendet oder über das Zusatzwissen verfügt, so etwa Pahlen-Brandt, DuD 2008, 34 (38); Düsseldorfer Kreis, Beschluss „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ vom 26./27. November 2009; Heidrich/Wegener, DuD 2010, 172 (174). Nach dem relativen Ansatz ist für die Bewertung der Bestimmbarkeit einer betroffenen Person entscheidend, ob die konkret verarbeitende Stelle selbst mit den ihr zur Verfügung stehenden Hilfsmitteln bzw. mit ihrem eigenen Zusatzwissen und ohne unverhältnismäßigen Aufwand den Bezug zu einer natürlichen Person herstellen kann; so etwa Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 20; Dammann, in: Simitis, BDSG a.F., § 3, Rn. 32; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 10; Köcher, MMR 2007, 799 (801). Zur kursorischen Übersicht des Streits in Bezug auf das BDSG a.F. siehe u.a. Herbst, NVwZ 2016, 902 (902ff.); Bergt, ZD 2015, 365 (365ff.); Brink/Eckhardt, ZD 2015, 205 (205ff.). 129 So auch Hofmann/Johannes, ZD 2017, 221 (222); Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26. 130 EuGH, Rs. 582/14, Breyer vs. BRD, ECLI:EU:C:2016:779. Im Grundsatz ging es um die Auslegung der mit Art. 4 Nr. 1 DSGVO übereinstimmenden Definition in Art. 2 lit. a EU-Datenschutzrichtlinie. Der EuGH entschied, „dass eine dynamische IP-Adresse [...] für den Anbieter [von Online-Mediendiensten] ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“, EuGH, Rs. 582/14, Breyer vs. BRD, ECLI:EU:C:2016:779, Rn. 49. In der DSGVO wird daran angeknüpft, denn IP-Adressen können personenbezogene Daten i.S.d. DSGVO darstellen, da laut Erwägungsgrund 30 IP-Adressen (und auch Cookie-Kennungen), die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen einem Nutzer zugeordnet werden, dazu geeignet sind Spuren zu hinterlassen, die dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. 131 Vgl. Hofmann/Johannes, ZD 2017, 221 (224). 132 Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 10. 133 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 3. 134 M.w.N. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 281; im Ergebnis auch Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26, der aber hinsichtlich der Nutzung der Mittel durch einen Dritten dahingehend differenziert, ob Daten vom Verantwortlichen an den Dritten weitergegeben wurden oder, falls dies nicht der Fall ist, ob der Verantwortliche über rechtliche Mittel verfügt, um sich einen Zugriff auf die Daten des Dritten zu verschaffen; a.A. Buchner, DuD 2016, 155 (156), der von einem absoluten Verständnis in der DSGVO ausgeht; zu dieser Auffassung tendierend auch Härting, ITRB 2016, 36 (37). 135 Hofmann/Johannes, ZD 2017, 221 (223). 136 Roßnagel/Kroschwald, ZD 2014, 495 (497); Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 9.