Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
berechtigten Interessen und nicht in den Erforderlichkeitsgrundsatz einfließen lässt; zu den Datenschutzprinzipien kursorisch etwa Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2, Rn. 2ff.; im Einzelnen zu den Datenschutzprinzipien im Folgenden an relevanter Stelle. 207 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 37; dies kann auch aus Erwägungsgrund 39 Satz 9 abgeleitet werden, wonach „personenbezogene Daten [...] nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“, vgl. Herfurth, ZD 2018, 514 (515). 208 Buchner/Petri, in: Kühling/Buchner, DSGVO/BDSG, Art. 6, Rn. 15. 209 Dafür sind die gegenüberstehenden Interessen und Rechte zunächst zu gewichten und sodann zu vergleichen, Robrahn/Bremert, ZD 2018, 291 (293). 210 So soll in die Abwägung bereits jedes (legitime) Interesse der betroffenen Person und nicht bloß geschützte Grundrechte und Grundfreiheiten einfließen, denn wenn jedes Interesse des Verantwortlichen Berücksichtigung finden darf, dann soll Gleiches auch für die betroffene Person gelten, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 38. 211 Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 43; Voigt/von dem Bussche, DSGVO, S. 135. 212 Verkennt der Verantwortliche einzelne erkennbare Interessen der betroffenen Person, obwohl er eine solche Prüfungsabwägung vorgenommen hat, muss er sich diesen Abwägungsfehler nur vorwerfen lassen, wenn diese Interessen der betroffenen Person für den Verantwortlichen aus ex ante-Sicht erkennbar waren, Robrahn/Bremert, ZD 2018, 291 (293). 213 Robrahn/Bremert, ZD 2018, 291 (295). 214 EuGH, Rs. 13/16, Rigas satiksme, ECLI:EU:C:2017:336, Rn. 31. 215 So zur EU-Datenschutzrichtlinie EuGH, verb. Rs. C-468/10 und C-469/10, ASNEF/FECEMD, ECLI:EU:C:2011:777, Rn. 47. 216 Bei gleichwertigen Interessen ist die Datenverarbeitung hingegen nach Art. 6 Abs. 1 lit. f DGVO gerechtfertigt, Robrahn/Bremert, ZD 2018, 291 (294); Schulz, in: Gola, DSGVO, Art. 6, Rn. 58. 217 Vgl. von Lewinski/Pohl, ZD 2018, 17 (18); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DSGVO, Rn. 27. Anders als in den USA war bislang die Berücksichtigung der Erwartungshaltung der betroffenen Personen im europäischen Datenschutzrecht nicht vorgesehen, weshalb im Einzelfall bei der Auslegung auf die das amerikanische Institut der „reasonable expectations“ als Hilfestellung zurückgegriffen werden kann, vgl. Piltz, K&R 2016, 557 (565). So ist in dieser Hinsicht eine Annäherung des europäischen Datenschutzrechtsrahmens an das Regelungssystem der USA erkennbar, Wehmeyer, PinG 2016, 215 (217). 218 Abzustellen ist auf einen objektiven Dritten in der konkreten Situation der betroffenen Person, Schulz, in: Gola, DSGVO, Art. 6, Rn. 63; Herfurth, ZD 2018, 514 (518). Unter den unbestimmten Rechtsbegriff der „vernünftigen“ Erwartungen fallen zumindest solche, die logisch, rational, sinnvoll und auch realistisch sind, Piltz, K&R 2016, 557 (565). 219 Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 220 Vgl. Sattler, JZ 2017, 1036 (1045). 221 Vgl. Schmidt, Handelsrecht, Unternehmensrecht I, § 3, Rn. 1. 222 Picot, Handbuch Mergers & Acquisitions, S. 25. 223 Vossler, in: Oetker, HGB, §§ 25–28 Anh., Rn. 2; BGH, Urteil vom 13. Oktober 1977 – II ZR 123/76 = BGHZ 69, 334 (335f.); BGH, Urteil vom 26. Oktober 1959 – KZR 2/59 = BGHZ 31, 105 (108f.). 224 So auch Beisel, in: Beisel/Klumpp, Der Unternehmenskauf, § 1, Rn. 14; bspw. ist der Versuch des BGH im Zusammenhang mit einer kartellrechtlichen Entscheidung, das Unternehmen als ein Gebilde zu bezeichnen, welches sich „institutionell und funktionell als Unternehmen im hergebrachten Sinne darstellt“ (BGH, Beschluss vom 08. Mai 1979 – KVR 1/78 = BGHZ 74, 359 (364)), aufgrund der stark auslegungsbedürftigen Begriffe kaum aufschlussreich. 225 M.w.N. Gomille, JA 2012, 487 (488). 226 Beisel, in: Beisel/Klumpp, Der Unternehmenskauf, § 4, Rn. 4; Thiessen, in: MüKoHGB, § 25 Anh., Rn. 3. 227 Vgl. Schmidt, Handelsrecht, Unternehmensrecht I, § 3, Rn. 3f. 228 Vgl. Rempp, in: Hölters, Handbuch Unternehmenskauf, Teil I, Rn. 1.2; zur vorausgesetzten Rechtsfähigkeit des Unternehmensträgers ausführlich Schmidt, Handelsrecht, Unternehmensrecht I, § 4, Rn. 4ff. 229 Inwiefern die Regelmäßigkeit der wirtschaftlichen Tätigkeit ein einschränkendes Erfordernis des Unternehmensbegriffs ist oder es sich lediglich um ein redaktionelles Versehen in Bezug auf Personengesellschaften und Vereinigungen handelt, siehe Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 73; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 135. 230 Gola, K&R 2017, 145 (145). Nach Erwägungsgrund 18 haben Datenverarbeitungen ausschließlich zu persönlichen oder familiären Zwecken keinen Bezug zu einer wirtschaftlichen (oder beruflichen) Tätigkeit. 231 So auch Schröder, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 18, Rn. 1. 232 Solche rechtlichen Folgen für Unternehmen finden sich in Art. 30 Abs. 5 DSGVO (Freistellung von der Verpflichtung zur Führung eines Verfahrensverzeichnisses), in Art. 40 Abs. 1 bzw. Art. 42 Abs. 1 DSGVO (Gestaltungsmöglichkeiten in Bezug auf Verhaltensregeln und Zertifizierungen für kleine und mittlere Unternehmen), oder in Art. 83 Abs. 4 und 5 DSGVO (Bußgeldbemessungen). 233 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 6; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 1. 234 Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 5. 235 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. 236 Siehe Legaldefinition in Art. 2 lit. d EU-Datenschutzrichtlinie, in der lediglich der Begriff „für die Verarbeitung Verantwortlicher“ statt des „Verantwortlichen“ nach der DSGVO verwendet wurde. Neben der identischen Definition des Verantwortlichen in der EU-Datenschutzrichtlinie und der DSGVO bleibt auch der Begriff des Dritten unverändert, weshalb die Grundsätze der Artikel-29-Datenschutzgruppe in Bezug auf die EU-Datenschutzrichtlinie (Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169) auf die Rechtslage nach der DSGVO Anwendung finden können. 237 EuGH, Rs. 131/12, Google Spain, ECLI:EU:C:2014:317, Rn. 34. 238 Zu den Kriterien des Mittels und des Zwecks der Verarbeitung ausführlich Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15ff. Im Unterschied dazu war nach dem BDSG a.F., in dem abweichend zur EU-Datenschutzrichtline der Begriff der „verantwortlichen Stelle“ verwendet wurde, die Interessenrichtung der Verarbeitung das entscheidende Kriterium, m.w.N. Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 3. 239 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. So soll wörtlich „auf der Grundlage einer Analyse der Fakten und nicht einer