Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
Das neue Datenschutzrecht der EU, Teil 1, D, Rn. 26ff.
C. Das Verhältnis des BDSG n.F. zur DSGVO
Notwendigerweise stellt sich die Frage des Verhältnisses zwischen BDSG n.F. und DSGVO.78 Dass die EU überhaupt die Kompetenz zur Regelung eines einheitlichen Datenschutzregimes inne hatte, steht außer Frage, denn gem. Art. 16 Abs. 2 S. 1 AEUV sind das Europäische Parlament und der Rat zum Erlass von Rechtsvorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten (oder durch die EU selbst) und zum Schutz des freien Datenverkehrs ermächtigt.79 Diskussionsbedürftig ist vielmehr, wie das BDSG n.F. in einem europarechtskonformen Kontext einzubetten ist und ob deutsche oder europäische Grundrechte anwendbar sind.
I. Potenzieller Verstoß gegen das Normwiederholungsverbot durch das BDSG n.F.
In das BDSG n.F. wurden teils Formulierungen aus dem Normentext der DSGVO inkorporiert,80 sodass voraussichtlich richterlich zu klären sein wird, inwiefern die Vorschriften des BDSG n.F. das europarechtliche Normwiederholungsverbot berühren.81 Das Normwiederholungsverbot, das der europäische Gesetzgeber sogar in Erwägungsgrund 8 in die DSGVO aufgenommen hat, verbietet es den Mitgliedstaaten, den Verordnungswortlaut in nationalen Vorschriften zu wiederholen; es sei denn, solche Wiederholungen sind aus Gründen der Kohärenz und der Verständlichkeit für die Beteiligten unbedingt erforderlich. Durch das Normwiederholungsverbot wird dem Telos des Art. 267 AEUV Rechnung getragen, wonach der EuGH über die alleinige Kompetenz zur Auslegung und Anwendung von Unionrechtsakten verfügt.82 Sofern die Wiedergabe einer mit der DSGVO im Wortlaut übereinstimmenden Regelung ausnahmsweise gerechtfertigt ist, um die nationale Norm klarer zu gestalten, muss diese Vorschrift jedenfalls in einem sachlichen Zusammenhang mit einer Öffnungsklausel stehen, denn Erwägungsgrund 8 eröffnet nur bei Vorschriften aus der DSGVO zur „Präzisierung[en] oder Einschränkung[en]“ die Möglichkeit zur Normwiederholung.83 Wenn also das BDSG n.F. Gegenstand eines gerichtlichen Verfahrens wird, muss dieser Umstand Berücksichtigung finden, denn es gilt zu verhindern, dass die DSGVO bei wortgleicher Wiedergabe in nationalen Vorschriften indirekt von den Mitgliedstaaten überprüft werden kann.84
Die Europäische Kommission hat klargestellt, dass sie einem erneuten Risiko erhöhter Rechtsunsicherheit in der Wirtschaft entschieden entgegenwirken will. So dürfen Wiederholungen des Verordnungswortlautes in nationalen Normen „nicht dazu verwendet werden, um zusätzliche Bedingungen oder Auslegungen zu ergänzen.“85 Andernfalls zieht sie bei gegebenem Anlass in Erwägung, ein Vertragsverletzungsverfahrens einzuleiten.86 Diese Sichtweise ist zu begrüßen, denn letztendlich ist es eben nicht Aufgabe des deutschen Gesetzgebers, die DSGVO auszulegen.87 Es ist daher durchaus zu erwarten, dass sich die nationalen Gerichte und im Zweifel der EuGH mit der Rechtmäßigkeit einzelstaatlicher Vorschriften, vor allem mit solchen des BDSG n.F., beschäftigen werden müssen.88
II. Europarechtskonforme Auslegung des BDSG n.F. und der Anwendungsvorrang der DSGVO
Im Zusammenhang mit der Auslegung und Anwendung des BDSG n.F. markiert der Anwendungsvorrang der DSGVO eine weitere wichtige Weichenstellung. Ohne weiteren Umsetzungsakt gilt die DSGVO als unmittelbar anwendbares Recht in Deutschland (Art. 288 Abs. 2 AEUV) und wurde mit Inkrafttreten Teil der deutschen Rechtsordnung.89 Deshalb können Vorschriften sowohl aus der DSGVO als auch aus dem BDSG n.F. den gleichen Sachverhalt regeln und sich ggf. widersprechen.90 Aus der Sicht des EuGH genießt das Unionsrecht im Falle einer Kollision umfassenden Vorrang gegenüber dem nationalen Recht.91 Dieser Anwendungsvorrang bedeutet aber nicht, dass mit der DSGVO kollidierende nationale Vorschriften nichtig sind, sondern lediglich „ohne weiteres unanwendbar“ bleiben.92 Während die Voraussetzungen und Grenzen einer solchen Nichtanwendungsbefugnis vermeintlich europarechtswidriger Vorschriften durch die Behörden schon in der Vergangenheit rechtliche Unsicherheiten hervorgerufen haben,93 stellt dies in Anbetracht fehlender Rechtsprechung zur noch jungen DSGVO insbesondere auch die unmittelbaren Adressaten der DSGVO und des BDSG n.F. vor besondere Herausforderungen.94 Kann eine europarechtskonforme Auslegung des BDSG n.F. keine Rechtsklarheit verschaffen, sind nach der hier vertretenen Auffassung deshalb auch datenverarbeitende Unternehmen im Zweifel gehalten, einzelne Vorschriften des BDSG n.F. nicht anzuwenden.
Aus diesen Gründen liegt in der nachfolgenden Bearbeitung der Fokus auf den generell-abstrakten Regeln der DSGVO, die ohnehin weitestgehend diejenigen Erlaubnistatbestände definieren, die die Verarbeitung von personenbezogenen Daten bei Unternehmenstransaktionen zum Gegenstand haben oder damit im Zusammenhang stehen. Das BDSG n.F. sieht hingegen grundsätzlich keine speziellen Vorschriften im Umgang mit Kundendaten vor, sodass die Problematik allein anhand der allgemeinen datenschutzrechtlichen Vorgaben der DSGVO zu beurteilen ist. Auf das BDSG n.F. wird nur in Einzelfällen Bezug genommen, vor allem im Zusammenhang mit der Erfüllung von Informationspflichten.95
III. Anwendung der Grundrechte – welcher Maßstab gilt?
Mit dieser europarechtlichen Fragestellung ist einhergehend zu klären, welche Grundrechte im Rahmen der DSGVO und des BDSG n.F. anzuwenden sind. Die Charta der Grundrechte der Europäischen Union96, die gem. Art. 6 Abs. 1 EUV97 als Teil des Primärrechts der EU gilt,98 ist dem Wortlaut des Art. 51 Abs. 1 Satz 1 GRCh nach indes eindeutig. Die GRCh „gilt [...] für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union“. Die GRCh beansprucht also immer dann unmittelbare Geltung, wenn der Anwendungsbereich der DSGVO eröffnet ist, insbesondere in den Bereichen, in denen eine Vollharmonisierung mit der DSGVO erreicht werden soll.99 In diesen Fällen ist nicht auf den Grundrechtsmaßstab des GG abzustellen, da aus der Sicht des EuGH die nationalen Grundrechte im Anwendungsbereich des europäischen Rechts verdrängt werden.100
Im Umkehrschluss darf jedoch nicht angenommen werden, dass im Fall der Anwendung des BDSG n.F. ausschließlich das deutsche Grundgesetz gelte.101 Vielmehr sind auch dann die europäischen Grundrechte der GRCh zu beachten, wenn Deutschland im Kontext des BDSG n.F. europäisches Recht durchführt.102 So sind die Mitgliedstaaten bei der Durchführung des Rechts der Union gehalten, nach Maßgabe von Art. 8 Abs. 2, Art. 52 Abs. 1 GRCh nicht gerechtfertigte Eingriffe in das Grundrecht des Schutzes personenbezogener Daten zu unterlassen.103 Die Rechtsprechung des EuGH in Bezug auf EU-Richtlinien und der Frage, ob ein Mitgliedstaat im Anwendungsbereich des Rechts der EU agiert,104 muss auf die DSGVO übertragen werden, denn diese enthält ebenso Gestaltungsspielräume der Mitgliedstaaten in Form von Öffnungsklauseln, wie sie sonst nur bei der Umsetzung einer EU-Richtlinie eröffnet werden.105 Folgerichtig wird mit dem BDSG n.F. überwiegend das Recht der DSGVO durchgeführt,106 sodass bei der Anwendung und Auslegung des BDSG n.F. vor allem die GRCh in Betracht zu ziehen ist.107
Ohnehin bilden europäische Grundrechte einen faktischen Mindeststandard, bei dessen Unterschreitung durch nationale Grundrechte eine Auslegung nach der GRCh geboten ist.108 Vice versa sind bei der Auslegung der GRCh gem. Art. 52 Abs. 4 GRCh gemeinsame Grundrechte im Einklang mit den gemeinsamen Verfassungsüberlieferungen der Mitgliedsaaten auszulegen. So wird teils argumentiert, dass die Rechtsprechung des BVerfG zu den Grundrechten bei der Auslegung von unbestimmten Rechtsbegriffen der GRCh als auch bei der Auslegung der DSGVO herangezogen werden kann.109 Da grundsätzlich der Anwendungsbereich der DSGVO bei Unternehmenstransaktionen eröffnet ist, sind im Nachfolgenden maßgeblich die Vorschriften der DSGVO am Maßstab der europäischen Grundrechte zu messen. Dessen ungeachtet bestünden auch bei der Berücksichtigung deutscher Grundrechte keinerlei gravierende nationale Abweichungen im Falle der Auslegung und Anwendung der DSGVO.
78 Neben der DSGVO und dem BDSG n.F. findet auch das bereichsspezifische Datenschutzrecht (bspw. im Meldewesen, Telekommunikationssektor, Sozialversicherungsrecht, Finanz- und Steuerverwaltung etc.) in Deutschland Anwendung (vgl. § 1 Abs. 2 BDSG n.F.), das jedoch für die vorliegende Erörterung außer Betracht bleibt. 79 Der europäische Gesetzgeber