Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
Abkehr von einer ‚bloßen‘ Richtlinie hin zu einer in allen Teilen verbindlichen, unmittelbar in jedem Mitgliedstaat geltenden Verordnung (vgl. Art. 288 Abs. 2 AEUV59), woraufhin letztlich die dritte Novellierung des BDSG folgte.60 Damit wurde dem Datenschutz in Europa seine entsprechende Wichtigkeit zugemessen.61
39 Datenschutzgesetz vom 7. Oktober 1970 (GVBl. I für das Land Hessen vom 12.10.1970, S. 625ff.). 40 Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung vom 27. Januar 1977 (BGBl. I vom 1.2.1977, S. 201ff.). Im Gegensatz zu den Landesdatenschutzgesetzen enthielt das BDSG von 1977 neben Regelungen für die Verarbeitung personenbezogener Daten durch öffentliche Stellen auch solche für die Datenverarbeitung durch private Stellen. Im Vergleich zum Datenschutzrecht auf europäischer Ebene, auf der sowohl in der EU-Datenschutzrichtlinie als auch in der DSGVO die Datenverarbeitung durch den öffentlichen und privaten Sektor einheitlich durch den Begriff des Verantwortlichen (vgl. Art. 2 lit. d EU-Datenschutzrichtlinie bzw. Art. 4 Nr. 7 DSGVO) konzipiert ist, bleibt eine solche Differenzierung im BDSG bis heute erhalten. 41 Der § 3 BDSG von 1977 wurde den speziellen Vorschriften zur Datenverarbeitung öffentlicher Stellen (§§ 7ff.) und nicht-öffentlicher Stellen (§§ 22ff.) vorangestellt, vgl. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 30. 42 Vgl. BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (45ff.). 43 Mit dem ‚Volkszählungsurteil‘ (BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (1ff.).) wendete sich das BVerfG von der räumlich geprägten Sphärentheorie (die heute nur noch im Presserecht Anwendung findet) zur Rechtfertigung eines Eingriffs in das allgemeine Persönlichkeitsrecht ab und stellte die Selbstbestimmung des Individuums im Rahmen der elektronischen Datenverarbeitung in den Vordergrund. Der Schutzbereich der informationellen Selbstbestimmung wird nun individuell durch den Einzelnen bestimmt, da Daten nicht räumlich oder aufgrund ihres Ursprungs eingeordnet werden können, sondern ihr Schutz stets im Zusammenhang mit ihren Nutzungs- und Verwendungsmöglichkeiten zu betrachten ist. Werden Daten aus ihrem Kontext gerissen und mit weiteren Informationen angereichert, kann sich eine weitaus höhere Schutzbedürftigkeit ergeben als zuvor, wobei ein absolut geschützter Kernbereich privater Lebensgestaltung zu garantieren ist. Unter den Bedingungen der modernen Datenverarbeitung kann daher kein Datum mehr als „belanglos[...]“ gelten, vgl. BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (45). Während das BVerfG 1983 bei der Entwicklung des Grundrechts vor allem noch von staatlichen Eingriffen ausging, kommt dem Recht auf informationelle Selbstbestimmung heute insbesondere in der datengetriebenen Privatwirtschaft und den Herausforderungen der Informationsgesellschaft Gewichtung zu, vgl. m.w.N. Nebel, ZD 2015, 517 (518ff.); ebenso m.w.N. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 26. 44 BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (42). 45 Gegenstand der Verfassungsbeschwerde war nämlich nur das Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz 1983). Auf dessen Grundlage sollten Daten aller Einwohner Deutschlands mittels einer sog. Totalerhebung durch die öffentliche Verwaltung statistisch erhoben werden, um aktuelle Informationen über Bevölkerungsstand, räumliche Verteilung der Bevölkerung, ihre Zusammensetzung nach sozialen und demografischen Merkmalen und ihre wirtschaftliche Betätigung zu erlangen. Zwar ließ das BVerfG die Volkszählung mit Einschränkungen zu, stellte daneben jedoch weitere grundsätzliche Anforderungen an den Datenschutz auf, auf die die Legislative zu agieren hatte; m.w.N. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 30f. 46 BGBl. I vom 29.12.1990, S. 2954. 47 Kursorisch zu den Neuregelungen vgl. m.w.N. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., Einleitung, Rn. 7. 48 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31ff.), im Folgenden: EU-Datenschutzrichtlinie. 49 Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I vom 22.5.2001, S. 904ff.) sowie Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I vom 24.1.2003, S. 66ff.), im Folgenden: BDSG a.F. Zuvor hatte die Kommission am 1.12.2000 ein Vertragsverletzungsverfahren gegen Deutschland wegen Überschreitung der Umsetzungsfrist der EU-Datenschutzrichtlinie vor dem EuGH eingeleitet (Klage der Kommission der Europäischen Gemeinschaften gegen die Bundesrepublik Deutschland, Rs. C-443/00, ABl. C 45/17 vom 10.2.2001, S. 8). 50 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 7; GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 11. 51 Die Gewährleistung eines gleichwertigen und hohen Schutzniveaus für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten der EU soll auch weiterhin unter der DSGVO Bestand haben, vgl. Erwägungsgrund 9 Satz 1, 10 Satz 1. 52 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union vom 4.11.2010, KOM (2010) 609 endgültig, S. 11. 53 Vgl. Hamann, BB 2017, 1090 (1090); diese Unterschiede im Schutzniveau der Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Datenverarbeitung in den Mitgliedstaaten konnten nicht nur den unionsweiten freien Verkehr solcher Daten behindern, sondern auch ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen und den Wettbewerb verzerren (Erwägungsgrund 9 Satz 3). 54 Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, D, Rn. 22; Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert vom 25.1.2012, KOM (2012) 9 endgültig, Abschnitt 3., S. 7. 55 Vgl. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 11. 56 Erwägungsgrund 8 S. 1 EU-Datenschutzrichtline. 57 So auch etwa Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 7. 58 Vertiefend zum Gesetzgebungsverfahren der DSGVO vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, C, Rn. 11ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 197ff.; insbesondere zu den politischen und äußeren Einflüssen im Gesetzgebungsverfahren vgl. Albrecht, CR 2016, 88 (89f.). 59 Vertrag über die Arbeitsweise der Europäischen Union in der Fassung der Bekanntmachung vom 9. Mai 2008 (ABl. C 115 vom 9.5.2008, S. 47ff.), im Folgenden: AEUV. 60 Die im Jahr 2009 erfolgten drei Änderungen des BDSG waren weniger eine Novellierung, sondern eher bloße Einzelfallkorrekturen, vgl. m.w.N. Simitis, in: Simitis, BDSG a.F., Einleitung, Rn. 102. 61 Mit Geltung der DSGVO wurde zeitgleich gem. Art. 94 Abs. 1 DSGVO die EU-Datenschutzrichtlinie aufgehoben.
B. Ziele der DSGVO und ihre Auslegungsbedürftigkeit
Die DSGVO sollte der Diskussion um ein einheitliches unionsweites Datenschutzregime ein Ende setzen