Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
in den einzelnen Mitgliedstaaten entgegenzuwirken, hat der europäische Gesetzgeber letztendlich eine Verordnung verabschiedet, die aufgrund ihrer Rechtsnatur keines Umsetzungsaktes mehr bedarf. Sie gilt auf europäischer Ebene als Reaktion auf die jüngsten technologischen Entwicklungen sowie die globalisierten Märkte und den digitalen Binnenmarkt und soll neue rechtssichere Rahmenbedingungen für die Herausforderungen des Datenschutzes schaffen.63
Die damit in Aussicht gestellte ‚Vollharmonisierung‘ findet jedoch auch nach Inkrafttreten der DSGVO zumindest in den diversen sog. Öffnungsklauseln, die national abweichende Regelungen erlauben, ihre Grenze.64 Sie erlauben nationale Gestaltungs- und daher auch Abweichungsspielräume, indem sie die Mitgliedstaaten in bestimmten Fällen nicht nur zum Erlass einzelstaatlicher Datenschutzvorschriften fakultativ ermächtigen (bspw. Art. 6 Abs. 2 DSGVO, Art. 8 Abs. 1 Satz 3 DSGVO), sogar teilweise verpflichten (bspw. Art. 54 Abs. 1 DSGVO, Art. 84 Abs. 1 DSGVO).65 Dadurch führte die DSGVO zur – wenn auch nur indirekten – dritten und bis dato letzten Novellierung des BDSG. Da der deutsche Gesetzgeber bereits von seinem Handlungsauftrag aus der DSGVO Gebrauch gemacht, wurde zeitgleich mit Geltung der DSGVO am 25. Mai 2018 gem. Art. 8 Abs. 1 DSAnpUG-EU66 das BDSG a.F. außer Kraft und gleichzeitig das BDSG n.F.67 in Kraft gesetzt.68
Neben den nationalen Gestaltungsspielräumen stellt vor allem die Auslegungsoffenheit der DSGVO die angestrebte Rechtssicherheit auf den Prüfstand. Durch ihre abstrakten Regeln fehlt es an Komplexität eines ausdifferenzierten Datenschutzregimes, wie es bislang aus dem BDSG a.F. bspw. in Bezug auf die Datenübermittlung an Auskunfteien (§ 28a BDSG a.F.) oder das Scoring (§ 28b BDSG a.F.) bekannt war.69 Ihre ausfüllungsbedürftigen Begriffe und die Unbestimmtheit zahlreicher Vorschriften birgt das Risiko, dass die Anwendungspraxis in den Mitgliedstaaten auseinanderdriftet.70
Aus diesem Grunde muss die DSGVO vorerst durch die Aufsichtsbehörden, den Europäischen Datenschutzausschuss (EDSA)71 und die Rechtsprechung bzw. ultimativ durch den EuGH inhaltlich konkretisiert werden, damit die Effektivität des Datenschutzes gewährleistet werden kann.72 Solange es an höchstrichterlicher Konturierung der unbestimmten Rechtsbegriffe mangelt, kann es zwar als Chance für Unternehmen gesehen werden, die Interpretationsspielräume der DSGVO bis zur Grenze der Rechtmäßigkeit zu nutzen. Gleichzeitig verursacht dies aber eine Gefahr zu Lasten der Grundrechte und Grundfreiheiten natürlicher Personen.
Obwohl vor diesem Hintergrund die offenen Tatbestände der DSGVO und die damit einhergehende Rechtsunsicherheit vielfach kritisiert worden sind,73 ist die vom europäischen Gesetzgeber mit der DSGVO beabsichtigte europaweite Datenschutzeinheitlichkeit zu begrüßen. Eine solche Vollharmonisierung aufgrund eines „soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen[s]“ (Erwägungsgrund 7 Satz 1) soll nicht nur das Vertrauen in die datenverarbeitende Wirtschaft wiederherstellen, sondern gleichzeitig die unternehmerische Sensibilität für datenschutzrechtliche Vorgaben entscheidend erhöhen, um weiteren Wachstum im Binnenmarkt zu ermöglichen.74 Ein großer Vorteil der DSGVO besteht in ihrer – wenn auch viel kritisierten – Flexibilität.75 Zwar könnten Tatbestände, die weniger auslegungsfähig und von einer Interessenabwägung geprägt sind, temporäre Rechtssicherheit schaffen. In Anbetracht des stetigen technologischen Fortschritts bedarf es aber anpassungsfähiger Rechtnormen, denn das Datenschutzrecht darf gegenüber den grundsätzlich zu begrüßenden Innovationen nicht als ‚Bremsklotz‘ fungieren. Ob die DSGVO in Anbetracht ihrer Auslegungsoffenheit und nationalen Gestaltungsspielräume mit Blick auf die angestrebte Rechtssicherheit aber tatsächlich insgesamt einen Mehrwert bietet, wird sich noch zeigen müssen.76 Ziel der nachfolgenden Rechtsinterpretation ist es, der derweil noch anhaltenden Rechtsunsicherheit in Bezug auf den Kundendatenschutz bei Unternehmenstransaktionen entgegenzuwirken.77
62 Dazu kritisch Härting/Schneider, CR 2015, 819 (819), die die DSGVO als eine „aufgehübschte“ Fortsetzung der EU-Datenschutzrichtlinie darstellen. 63 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union vom 4.11.2010, KOM (2010) 609 endgültig, S. 3f.; Entschließung des Europäischen Parlaments vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union, (2011/2025(INI)), Punkt C. 64 Hierzu kritisch u.a. Kühling/Martini, EuZW 2016, 448 (449), die die DSGVO gar als „atypischer Hybrid aus Verordnung und Richtlinie“ bezeichnen. 65 Etwa Hamann, BB 2017, 1090 (1090); Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 16; Kühling/Martini, EuZW 2016, 448 (449), die die fakultativen Handlungsspielräume weitergehend kategorisieren sowie zwischen allgemeinen und spezifischen Öffnungsklauseln differenzieren. Vor allem die Umsetzung obligatorischer Gestaltungsaufträge ist erforderlich, um die effektive Durchführung der DSGVO zu gewährleisten, vgl. Kühling/Martini et al., Die DSGVO und das nationale Recht, S. 1. 66 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017 (BGBl. I vom 5.7.2017, S. 2097ff.) – sog. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU, im Folgenden: DSAnpUG-EU. 67 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 30. Juni 2017 (Art. 1 DSAnpUG-EU, BGBl. I vom 5.7.2017, S. 2097ff.), im Folgenden: BDSG n.F. 68 Die für das BDSG typische Differenzierung zwischen den Verarbeitungssituationen öffentlicher und nicht-öffentlicher Stellen gilt, wie bereits erwähnt, auch im BDSG n.F. weiterhin fort. 69 Vgl. Roßnagel, DuD 2017, 277 (278). 70 Dammann, ZD 2016, 307 (309). 71 Der EDSA, der gem. Art. 68 Abs. 1 DSGVO als Einrichtung der EU eigene Rechtspersönlichkeit besitzt, ist für die einheitliche Anwendung der Verordnung zuständig, vgl. Art. 70 Abs. 1 DSGVO. Er setzt sich aus den Leitern der einzelnen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten oder deren Vertretern zusammen, vgl. Art. 68 Abs. 3 DSGVO. Als Vorläufer des EDSA gilt die auf der Grundlage von Art. 29 EU-Datenschutzrichtlinie gegründete Artikel-29-Datenschutzgruppe, vgl. Erwägungsgrund 139. 72 Kühling/Martini, EuZW 2016, 448 (449); Roßnagel, DuD 2017, 277 (278). 73 Vgl. Buchner, DuD 2016, 155 (195); teilweise ist sogar von einer Verfehlung der Vollharmonisierung die Rede, vgl. Hofmann/Johannes, ZD 2017, 221 (221). 74 Vgl. Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 18. 75 Trotz ihrer Rechtsform als Verordnung kann aufgrund der vielen Öffnungsklauseln in der DSGVO auch im mitgliedstaatlichen Recht auf digitale Entwicklungen rasch reagiert werden, vgl. Greve, NVwZ 2017, 737 (744). 76 Kritisch u.a. Gierschmann, ZD 2016, 51 (55); Piltz, BDSG Praxiskommentar für die Wirtschaft, Einleitung, Rn. 1; Roßnagel, Europäische Datenschutz-Grundverordnung, § 1, Rn. 43; anders hingegen Greve, NVwZ 2017, 737 (744), der eine Regelungsvielfalt auf nationaler Ebene förderlich für den Wettbewerb des digitalen Binnenmarktes und für Lösungsmöglichkeiten neuartiger Herausforderungen hält, da sich letztendlich meist nur eine Regelungsweise durchsetzen wird; dennoch möchte er aber nicht dem EuGH die notwendige Klärung der Grenzen der mitgliedstaatlichen Ausgestaltungsbefugnis im Wege von Vorabentscheidungsverfahren (Art. 267 Abs. 1 AEUV) oder Vertragsverletzungsverfahren (Art. 258 AEUV) absprechen. 77 Dabei erfordern die einheitliche Terminologie und Regelungssystematik der DSGVO eine einheitliche Interpretation und Rechtsfortbildung,