Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 174 Zur umstrittenen Frage des Verhältnisses von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO siehe S. 170f. 175 Vgl. Thode, PinG 2016, 26 (29). 176 Wächter, Datenschutz im Unternehmen, Rn. 50. 177 Eine Checkliste über Beschäftigtendaten, die im Rahmen von Unternehmenstransaktionen geprüft werden, enthält Grimm/Böker, NZA 2002, 193 (198ff.). 178 Sander/Schumacher/Kühne, ZD 2017, 105 (105). 179 Insbesondere Beschäftigtendaten enthalten regelmäßig besondere Kategorien personenbezogenen Daten i.S.v. Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten (Krankheitstage oder Schwerbehinderteneigenschaften), Daten zur Gewerkschaftsangehörigkeit oder zur religiösen Überzeugung (Kirchensteuer), Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 21. 180 Vgl. Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 6.; ausführlich zum § 26 BDSG n.F. siehe Gola, BB 2017, 1462 (1462ff.). 181 Im Einzelnen Sander/Schumacher/Kühne, ZD 2017, 105 (108ff.); Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 14ff.; a.A. Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 42. 182 Ausführlich zum rechtlichen Rahmen von nicht personenbezogenen Daten Wiebe/Schur, ZUM 2017, 461 (461ff.); Thalhofer, GRUR-Prax 2017, 225 (225ff.); Wiebe, CR 2017, 87 (87 ff).; Ensthaler, NJW 2016, 3473 (3473ff.); Wiebe, ecolex 2017, 783 (783ff.); ders., GRUR Int. 2016, 877 (877ff.). 183 Indes regelt Art. 6 Abs. 1 DSGVO nur die Zulässigkeit der Datenverarbeitung („Ob“), deren Rechtmäßigkeit („Wie“ der Verarbeitung) noch durch weitere Vorschriften (insbesondere durch die Datenschutzgrundsätze nach Art. 5 DSGVO) bestimmt wird, Frenzel, in: Paal/Pauly, DSGVO BDSG, Art. 6 DS-GVO, Rn. 7; Roßnagel, ZD 2018, 339 (343). 184 GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 26. 185 Nach Erwägungsgrund 40 können personenbezogene Daten nur dann rechtmäßig verarbeitet werden, wenn sich die Rechtsgrundlage aus der DSGVO (explizit: Art. 6 DSGVO) oder aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt. 186 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 2. 187 U.a. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 30; Engeler, ZD 2018, 55 (56); Arning, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, Kapitel 5, Rn. 72; Piltz, K&R 2016, 557 (562); Wächter, Datenschutz im Unternehmen, Rn. 511; a.A. Sattler, JZ 2017, 1036 (1039f.), der der Einwilligung eine Vorrangstellung einzuräumen versucht. 188 Vgl. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 31; a.A. Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01, S. 28; zu einer Sperrwirkung tendierend Tinnefeld/Conrad, ZD 2018, 391 (392f.). 189 Vgl. auch Engeler, ZD 2018, 55 (56), der einen Rückgriff auf die Rechtsgrundlage der Einwilligung erst nach Überschreiten der Erforderlichkeit für nötig hält. 190 So etwa BGH, Urteil vom 16. Juli 2008 – VIII ZR 348/06 (juris) = BGHZ 177, 253 (253ff.); BGH, Urteil vom 11. November 2009 – VIII ZR 12/08 (juris) = CR 2010, 87 (87ff.). 191 Conrad, ZD 2016, 1 (1). 192 Der EDSA hat lediglich die Richtlinien der Artikel-29-Datenschutzgruppe zu Einwilligungserklärungen (Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01) bestätigt, vgl. Europäischer Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018. In Bezug auf die Erlaubnistatbestände fehlt es hingegen weitestgehend an Leitlinien aus der europäischen Rechtsprechung, vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 193 Vgl. hierzu die Aufgabenbefugnisse aus bspw. Art. 57 Abs. 1 lit. g DSGVO oder Art. 70 Abs. 1 lit. e DSGVO. 194 Im Gegensatz zum BDSG a.F., in dem in den §§ 28ff. weitaus detailliertere Datenverarbeitungsgrundlagen für die Privatwirtschaft normiert waren, wurden die Erlaubnistatbestände in der DSGVO extensiver und weitaus undifferenzierter formuliert, sodass die Rechtfertigung einer Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO einige Rechtsunsicherheit mit sich bringt, Robrahn/Bremert, ZD 2018, 291 (291, 297). 195 Daneben ist der Einwilligungstatbestand (Art. 6 Abs. 1 lit. a DSGVO) und der Rechtfertigungstatbestand zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) im Zuge von Unternehmenstransaktionen von weiterer Relevanz; dazu ausführlich an relevanter Stelle. 196 Voigt/von dem Bussche, DSGVO, S. 132. 197 EuGH, Rs. 13/16, Rigas satiksme, ECLI:EU:C:2017:336, Rn. 28; Herfurth, ZD 2018, 514 (514); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 27. 198 Vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 199 Während nach alter Rechtslage gem. Art. 7 lit. f EU-Datenschutzrichtlinie Drittinteressen noch nicht die Datenverarbeitung legitimieren konnten, fanden Drittinteressen bereits Berücksichtigung in § 28 Abs. 2 Nr. 2 lit. a BDSG a.F. 200 Robrahn/Bremert, ZD 2018, 291 (291f.); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DSGVO, Rn. 28; Härting, Datenschutz-Grundverordnung, Teil B, S. 105, Rn. 429; letztendlich hat der europäische Gesetzgeber davon abgesehen zu konkretisieren, welche berechtigten Interessen grundsätzlich Vorrang gegenüber den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben sollen (so noch der Änderungsantrag 101 im Entwurf des Parlamentsberichterstatters vom 16.01.2013, vgl. Entwurf eines Berichts über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 16.01.2013, COM (2012) 0011 — C7-0025/2012 — 2012/0011(COD), S. 80. 201 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 32; da der Wortlaut des Abwägungstatbestandes in der DSGVO nahezu gleich mit dem aus Art. 7 lit. f EU-Datenschutzrichtlinie ist, kann auch für die Auslegung und Anwendung des Art. 6 Abs. 1 lit. f DSGVO die Stellungnahme der Artikel-29-Datenschutzgruppe zur Hilfe genommen werden. 202 Albrecht, CR 2016, 88 (92). 203 Erwägungsgrund 47 Satz 2 lautet explizit: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist [...].“ 204 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 28. 205 Zur umstrittenen Anwendbarkeit des Merkmals der Erforderlichkeit auf Privatrechtssubjekte (jedoch im Ergebnis bejahend) m.w.N. Robrahn/Bremert, ZD 2018, 291 (292f.). 206 Im Ergebnis auch Härting, Datenschutz-Grundverordnung,