Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
WP 169, S. 12. 240 Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 28, 30. Laut Artikel-29-Datenschutzgruppe kann die Kontrolle über die Verarbeitung aufgrund einer ausdrücklichen Kompetenznorm, ungeschriebener Kompetenzen („implizierte Zuständigkeit“) oder infolge tatsächlicher Einflussnahme bestehen, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12ff. 241 Daneben wird in der DSGVO der Begriff des „Empfängers“ verwendet und in Art. 4 Nr. 9 DSGVO legaldefiniert, der auf den ersten Blick für Unternehmenstransaktionen eine Rolle spielen könnte. Zwar wird etwa im Rahmen der Betroffenenrechte oder beim Verzeichnis der Verarbeitungstätigkeiten auf den „Empfänger“ Bezug genommen, jedoch hat der Begriff keinerlei Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Übermittlung von Kundendaten bei Unternehmenstransaktionen. Es kommt bei der Empfängereigenschaft nicht darauf an, ob es sich um einen Dritten handelt oder nicht, sondern ausschließlich darauf, ob die empfangene Stelle Teil desselben Verantwortlichen ist, der die Daten offenlegt. All diejenigen, die nicht zum Verantwortlichen gehören, können Empfänger sein, vgl. Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 34; Gola, in: Gola, DSGVO, Art. 4, Rn. 78; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 9, Rn. 6. 242 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 DS-GVO, Rn. 60; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 10, Rn. 9. 243 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 38. 244 Vgl. Gomille, JA 2012, 487 (488). 245 Sofern das Unternehmen keine Gesellschaftsform innehat, ist der Einzelunternehmer identisch mit dem Unternehmen und gilt daher ebenso als Verantwortlicher. 246 Beim Share Deal bleibt das Zielunternehmen datenschutzrechtlich verantwortlich, jedoch treten die Anteilsinhaber als Veräußerer des Zielunternehmens auf; siehe dazu S. 65f. 247 Jung/Hansch, ZD 2019, 143 (146); ebd. zu den Ausnahmen des zulässigen Delegierens der Verantwortlichkeit. 248 Wilhelmi, in: Gsell/Krüger/Lorenz/Reymann, BGB, § 453, Rn. 274; das zu erwerbende Zielunternehmen wird auch teilweise als sog. „Target“ bezeichnet, so etwa van Kann, Kapitel I: Transaktionsanbahnung und -ablauf, in: van Kann, Praxishandbuch Unternehmenskauf, S. 8; Gran, NJW 2008, 1409 (1409); zu den Gestaltungsformen einer Unternehmenstransaktion im Einzelnen siehe S. 64ff. 249 Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172ff., auch weiterführend zu den praktischen relevanten konzerninternen Datenübermittlungen wie etwa solchen in Matrix-Strukturen oder HR-Datenbanken; zum Aufbau und Merkmalen von Matrixorganisationen Schmidl, DuD 2009, 364 (365f.). 250 Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 2. 251 Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (535). 252 Hierzu kritisch Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 175, denn das tatsächliche Vorliegen eines berechtigten Interesses bleibt weiterhin einzelfallabhängig. 253 Erwägungsgrund 48 wird deshalb auch teils als „kleines Konzernprivileg“ bezeichnet, Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (542). Das Europäische Parlament unterbreitete hingegen einen noch strengeren Vorschlag, wonach eine Übermittlung innerhalb einer Unternehmensgruppe für interne (administrative) Verwaltungszwecke nur zulässig sein sollte, wenn ein angemessenes Datenschutzniveau durch interne Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln gewährleistet wird. Auf diesen Zusatz wurde jedoch in der endgültigen Fassung der DSGVO verzichtet, vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 664. 254 Was genau unter „interne[n] Verwaltungszwecke[n]“ verstanden werden muss, ist bislang noch ungeklärt; dazu kursorisch Ringel/von Busekist, CCZ 2017, 31 (36). 255 Im Sprachgebrauch der DSGVO fällt ein Konzern unter den Begriff der „Unternehmensgruppe“ i.S.v. Art. 4 Nr. 19 DSGVO, Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172. 256 Auf den Begriff der Unternehmensgruppe wird nur vereinzelt im Gesetzestext der DSGVO Bezug genommen (etwa in Art. 37 Abs. 2, Art. 47, Art. 88 Abs. 2 DSGVO). Seine Relevanz erfährt er aber insbesondere im Rahmen des Erwägungsgrunds 48. Darüber hinaus wird die Unternehmensgruppe in Erwägungsgrund 36 und 110 erwähnt. 257 Gem. Erwägungsgrund 37 Satz 1 sollte das herrschende Unternehmen dasjenige sein, das z.B. aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, soll gem. Satz 2 zusammen mit diesen als eine Unternehmensgruppe betrachtet werden. 258 Ringel/von Busekist, CCZ 2017, 31 (36). Für die Beurteilung der Zulässigkeit der Datenverarbeitung wird jedoch jedes rechtlich selbstständige Unternehmen innerhalb eines Konzerns als eigenständiger Verantwortlicher behandelt, weshalb die Differenzierung zwischen einem Unterordnungs- und Gleichordnungskonzern in diesem Zusammenhang nur marginale Auswirkungen hinsichtlich des Erwägungsgrundes 48 hat. 259 Vgl. Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 15. 260 Zur Privilegierungswirkung der Auftragsdatenverarbeitung nach der EU-Datenschutzrichtlinie und dem BDSG a.F. siehe m.w.N. Krohm/Müller-Peltzer, RDV 2016, 307 (307f.). Eine fortwährende Privilegierung der Auftragsdatenverarbeitung nach der DSGVO kann auf zwei Ansätze zurückgeführt werden. Zum einen wird argumentiert, dass Art. 28 DSGVO als eigenständiger Erlaubnistatbestand für die Datenweitergabe gilt. Zum anderen gibt es Vertreter, die den Datenverarbeitungsvorgang bei der Auftragsverarbeitung einheitlich bewerten und daher die Weitergabe der Daten an den Auftragsverarbeiter und dessen Verarbeitungstätigkeiten im Auftrag bei Vorliegen der Voraussetzungen des Art. 28 DSGVO bereits vom Umfang der ursprünglichen rechtmäßigen Verarbeitung erfasst sehen, vgl. zu beiden Auffassungen Schmidt/Freund, ZD 2017, 14 (16f.); überzeugend aber hinsichtlich der letzteren Auffassung Schmitz/von Dall’Armi, ZD 2016, 427 (429); Härting, ITRB 2016, 137 (139); Krohm/Müller-Peltzer, RDV 2016, 307 (310f.); Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 5, C, Rn. 22.; von Holleben/Knaut, CR 2017, 299 (301); Eckhardt, CCZ 2017, 111 (113); Seiter, DuD 2019, 127 (131). 261 Spoerr, in: Wolff/Brink, Datenschutzrecht, Artikel 28 DS-GVO, Rn. 31; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 5, Teil A, Rn. 10; Roßnagel/Kroschwald, ZD 2014, 495 (497); Koós/Englisch, ZD 2014, 276 (284). 262 Wäre in der DSGVO bestimmt worden, wann der Tatbestand der Übermittlung vorläge, hätte die Rechtsunsicherheit vermieden werden können, ob die Datenweitergabe an einen Auftragsverarbeiter den Übermittlungstatbestand erfüllt, vgl. Krohm/Müller-Peltzer, RDV 2016, 307 (308); ebd. ausführlich zum Streit über die rechtliche Einordnung der Auftragsverarbeitung in der DSGVO. 263 So explizit der Wortlaut der Legaldefinition des Dritten in Art. 4 Nr. 10 DSGVO. Nach § 3 Abs. 8 Satz 3 BDSG a.F. war die Ablehnung des Auftragsverarbeiters als Dritten hingegen territorial beschränkt. 264