Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
Harmonisierung zu präzisieren, da es an einer ausgeprägten Rechtsprechung zur DSGVO noch fehlt. Infolge der jungen Geschichte der DSGVO sind im Rahmen der historischen Auslegungsmethode insbesondere die Erwägungsgründe der DSGVO von Bedeutung, die aufzeigen, welche Überlegungen und Beweggründe zum Erlass der DSGVO geführt haben. Da sie auch Auskunft über den Sinn und Zweck einzelner Regelungen der DSGVO gewähren, dienen sie als wichtige Orientierungshilfe im Rahmen der Auslegung.34 Sofern von Relevanz, wird rechtsvergleichend auf die Vorschriften des BDSG a.F. bzw. auf die diesem Gesetz zugrundeliegende EU-Datenschutzrichtlinie eingegangen. Da die DSGVO aus deutscher Sicht und mit Blick auf die angestrebte Rechtssicherheit teilweise in Frage gestellt wird, soll die nachfolgende Auseinandersetzung dahingehend einen Mehrwert bieten, für beteiligte Unternehmen und betroffene Kunden Klarheit zu schaffen, wie mit Kundendaten bei Unternehmenstransaktionen umzugehen ist.
34 Paal/Pauly, in: Paal/Pauly, DS-GVO BDSG, Einleitung, Rn. 10.
C. Nicht behandelte Aspekte
Um dem Schutzregime der DSGVO zu unterfallen, muss eine Verarbeitung von personenbezogenen Kundendaten im Rahmen von Unternehmenstransaktionen einen hinreichenden Unionsbezug i.S.v. Art. 3 DSGVO aufweisen. Dieser ist zu unterstellen, sodass der räumliche Anwendungsbereich der DSGVO als eröffnet gilt.35 Davon abgesehen soll es nachfolgend nicht um Unternehmenstransaktionen außerhalb des Geltungsbereichs der DSGVO gehen. Solche Drittlanddatentransfers sind nur unter den zusätzlichen Voraussetzungen der Art. 44ff. DSGVO zulässig.36
Im Hinblick auf die rechtliche Zulässigkeit der Übermittlung von Kundendaten im Zuge einer Unternehmenstransaktion erfolgt lediglich eine datenschutzrechtliche Bewertung.37 Aus diesem Grund werden kartell- und lauterkeitsrechtliche Fragestellungen nicht untersucht.
Inwiefern hingegen Rechte an den Daten der Kunden bestehen können, ob also Unternehmen überhaupt befugt sind, die Daten zu nutzen, ist von gänzlich anderem rechtlichen Ausmaß. Deshalb soll für die folgende Untersuchung davon ausgegangen werden, dass Unternehmen grundsätzlich zur Nutzung befugt sind; es wird daher um die faktische Übertragbarkeit der Kundendaten gehen.38
35 Ausführlich zum räumlichen Anwendungsbereich etwa Golland, DuD 2018, 351 (351ff.); Klar, in: Kühling/Buchner, DSGVO/BDSG, Art. 3, Rn. 35ff.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, B, Rn. 31ff. 36 Ausführlich zur Übermittlung personenbezogener Daten in Drittländer und den Anforderungen etwa Wybitul/Ströbel/Ruess, ZD 2017, 503 (503ff.); Ambrock/Karg, ZD 2017, 154 (154ff.); Voigt/von dem Bussche, DSGVO, S. 150ff.; Schröder/von Alten/Weinhold, ZD 2018, 746 (746ff.); Wieczorek, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, Teil A, § 7, Rn. 1ff. 37 Da nachfolgend maßgeblich die Übermittlung statt der Erhebung und Verwendung von personenbezogenen Daten von Bedeutung ist, spielt sowohl das Telemediengesetz (TMG), als auch das Telekommunikationsgesetz (TKG) keine weitere Rolle, vgl. Funk, KSzW 2017, 56 (57). 38 Zu der Frage nach Rechten an Daten und einer Ausschließlichkeitsfunktion, einschließlich der Lizensierung siehe etwa Max-Planck-Institut für Innovation und Wettbewerb, Positionspapier vom 16.8.2016 zur aktuellen europäischen Debatte, GRUR Int. 2016, 914 (914ff.); Schefzig, K&R 2015, 3 (3ff.); Denga, NJW 2018, 1371 (1371ff.); Wandtke, MMR 2017, 6 (6ff.); Härting/Schneider, CR 2015, 819 (826); Markendorf, ZD 2018, 409 (409ff.); Determann, ZD 2018, 503 (503ff.).
A. Entwicklung des deutschen Datenschutzrechts
Als Reaktion auf den technischen Fortschritt im Hinblick auf die Entwicklung von Großrechnertechnologien musste der Gesetzgeber mit rechtlichen Rahmenbedingungen nachfolgen. Als erstes Bundesland verabschiedete Hessen im Jahr 1970 ein allgemeines Landesdatenschutzgesetz.39 Auf Länderebene zogen die westlichen Bundesländer bis 1981 und schließlich die neuen Bundesländer bis 1992 nach, während auf Bundesebene bereits 1977 das erste deutsche Bundesdatenschutzgesetz (BDSG) im Bundesgesetzblatt verkündet wurde.40 Schon damals hatte der Gesetzgeber von 1977 den Grundsatz in § 3 BDSG eingeführt, dass die Verarbeitung personenbezogener Daten nur auf der Grundlage einer Einwilligung des Betroffenen oder einer gesetzlichen Grundlage zulässig sein sollte (sog. Verbot mit Erlaubnisvorbehalt), wodurch der Bürger nicht nur gegenüber dem Staat, sondern auch gegenüber Privaten in seinen Grundrechten geschützt wurde.41
Bis heute erfolgten im Wesentlichen drei umfangreiche Novellierungen des BDSG von 1977. Die Anerkennung eines umfassenden grundrechtlich verankerten Rechts auf informationelle Selbstbestimmung, welches das BVerfG im Urteil vom 15. Dezember 1983 zum Volkszählungsgesetz (sog. ‚Volkszählungsurteil‘)42 als Ausprägung des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG etabliert hatte, markierte eine Zäsur im deutschen Datenschutzrecht. Das BVerfG forderte, dass das Recht auf informationelle Selbstbestimmung – im Wesen als Abwehrrecht gegenüber dem Staat zu verstehen – den Einzelnen davor schützen solle, dass seine persönlichen Daten in Anbetracht der modernen Datenverarbeitung unbegrenzt erhoben, gespeichert, verwendet und weitergegeben werden.43 Es wurde als die „Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“ konstituiert.44 Um diesen Vorgaben des BVerfG zu genügen, die weit über den ursprünglichen Beschwerdegegenstand hinaus eher in allgemeinen Grundsätzen mündeten,45 wurde das BDSG von 1977 zum ersten Mal durch das Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 20. Dezember 199046 novelliert.47
Im Jahr 2001 führte die Umsetzung der sog. EU-Datenschutzrichtlinie48 zur zweiten Novellierung des BDSG (im Folgenden: BDSG a.F.).49 Fortan wurde das in Europa existierende, auf der EU-Datenschutzrichtlinie basierende Datenschutzrecht oftmals als „Flickenteppich“ bezeichnet.50 Zwar wurde schon mit der EU-Datenschutzrichtlinie der Zweck verfolgt, dass die „Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten“ harmonisiert werden sollten (Erwägungsgrund 3, Art. 1 EU-Datenschutzrichtlinie).51 Allerdings konnte dieses Ziel mit einer ‚bloßen‘ Richtlinie nicht erreicht werden. Die Mitgliedstaaten durften in Anbetracht des Art. 288 Abs. 3 AEUV die Form und Mittel zur Erreichung des verbindlichen Ziels der Richtlinie selbst wählen, wodurch der Datenschutz in der EU unterschiedlich gehandhabt wurde (Erwägungsgrund 9). Nicht nur nationale Umsetzungsgesetze wichen infolge dieser Umsetzungsspielräume erheblich voneinander ab, sondern auch deren Auslegung und Anwendung war von Stellungnahmen und Interpretationshilfen der jeweiligen nationalen Datenschutzbehörden geprägt. Solche Divergenzen standen einer vom europäischen Datenschutzrecht beabsichtigten ausgeprägten Binnenmarktdimension (also der Gewährleistung des freien Verkehrs personenbezogener Daten) entgegen.52 Unternehmen, die auf mehreren europäischen Märkten agierten, waren in der Praxis mit der beschwerlichen Aufgabe konfrontiert, die Orientierung bei der Einhaltung der zahlreichen unterschiedlichen datenschutzrechtlichen Vorgaben nicht zu verlieren.53 Die durch die verschiedenen nationalstaatlichen Regelungen bedingte Rechtszersplitterung innerhalb der EU führte zudem in der Wirtschaft auch meist zu einem höheren Verwaltungsaufwand und zu unnötigen Kosten.54 Teils wurde aber auch schon die Entscheidung über den Ort der Niederlassung in einem bestimmten Mitgliedstaat der EU davon abhängig gemacht, wo die für den Geschäftsbetrieb vorteilhaftesten, meist schwächsten Datenschutzgesetzen galten.55 Das deutsche Umsetzungsgesetz – das BDSG a.F. – galt indes als eines der strengsten Europas. Von einem „gleichwertigen Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser [personenbezogenen] Daten in allen Mitgliedstaaten“56, wie es vom europäischen Gesetzgeber wünschenswert war, konnte derweil in Anbetracht der existierenden Rechtsunsicherheit keine Rede sein.57
Schließlich entschloss sich der europäische Gesetzgeber 2016 nach einem herausfordernden