Maximilian Schnebbe - Due Diligence

31

Ein elementarer Grundsatz des Datenschutzrechts ist das „Verbotsprinzip mit Erlaubnisvorbehalt“. Dieser ergibt sich unmittelbar aus Art. 8 Abs. 2 Satz 1 Grundrechtecharta und wurde innerhalb der DSGVO in Art. 5 Abs. 1 lit. a), 6 implementiert.49 Nach diesem Prinzip ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Eine Verarbeitung kann jedoch durch den Betroffenen dadurch legitimiert werden, dass dieser in die Verarbeitung einwilligt oder eine sonstige Rechtsgrundlage einschlägig ist.50 Die Einwilligung sowie die gesetzlichen Erlaubnistatbestände sind innerhalb der DSGVO in den Art. 6 bis 10 geregelt.51

32

Um die Datenverarbeitung im Rahmen einer Due Diligence rechtfertigen zu können, kommen freilich nicht alle gesetzlichen Erlaubnistatbestände in Frage. Insofern soll sich die folgende Kurzvorstellung der Rechtsgrundlagen der DSGVO nur auf solche beschränken, welche für die Due Diligence von Relevanz sind.

33

Von zentraler Bedeutung für die Legitimierung der Datenverarbeitung ist die Einwilligung des Betroffenen. Sie gestattet eine unmittelbare Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung, da sie dem Betroffenen zugesteht, autonom über das „ob“ und „wie“ der Verarbeitung „seiner“ personenbezogenen Daten zu entscheiden.52

34

Die Einwilligung ist in den Art. 4 Nr. 11, 6 Abs. 1 lit. a) und Art. 7 DSGVO geregelt. In dieser Zusammenschau finden sich diverse Vorgaben zur Einholung einer wirksamen Einwilligung. So muss die Einwilligung freiwillig und auf Grundlage einer transparenten, vollumfänglichen Belehrung erfolgen.53 Die Vorrausetzungen für eine wirksame Einwilligung verschärfen sich, sofern in die Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 Abs. 1 DSGVO eingewilligt werden soll. Sodann werden gemäß Art. 9 Abs. 2 lit. a) DSGVO deutlich strengere Anforderungen an die Einwilligung gestellt.54 Selbiges gilt für die Einwilligung von Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber, welche in § 26 Abs. 1 DSGVO geregelt ist. Mit dieser nationalen Norm wurde von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht.

35

Ein gesetzlicher Erlaubnistatbestand liegt gem. Art. 6 Abs. 1 lit. b) DSGVO darin, dass die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person darstellt, erforderlich ist. Die Daseinsberechtigung dieses Erlaubnistatbestandes normiert scheinbar eine Selbstverständlichkeit: Denn dass eine Datenverarbeitung erlaubt sein muss, die für die Erfüllung eines Schuldverhältnisses erforderlich ist, liegt schon in der Natur der Sache.55 Gleichwohl ist hinsichtlich des Merkmals der Erforderlichkeit eine enge Auslegung indiziert. Auf diese Weise wird verhindert, dass der Erlaubnistatbestand durch zu weit gefasste (vermeintliche) vertragliche Leistungen ausgehebelt wird.56 Die Verarbeitung von Beschäftigtendaten ist gem. § 26 Abs. 1 Satz 1 BDSG rechtmäßig, sofern dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

36

Ein zentraler Erlaubnistatbestand im Bereich der Durchführung einer Due-Diligence-Prüfung findet sich in Art. 6 Abs. 1 lit. f) DSGVO wieder. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Ausweislich der Norm ist jedoch zuvor eine Interessenabwägung durchzuführen. Gemäß Art. 6 Abs. 1 lit. f) DSGVO ist das Interesse des Verantwortlichen nur zu berücksichtigen, soweit nicht die Interessen oder Grundrechte und -freiheiten der betroffenen Person hinsichtlich ihrer personenbezogenen Daten überwiegen.57

26Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2, Rn. 1. 27RL 95/46/EG des europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 28Buchner, Wirtschaftsinformatik & Management 2019, 43, 43. 29Abhängig von der Zählweise, mindestens jedoch 50. 30Vgl. auch Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Teil I. Kap. 1 Rn. 48. 31Gola, in: Gola, Art. 4 Rn. 5. 32Martens, PinG 2015, 213, 214. 33Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 34Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 35V. Lewinski, in: Auernhammer, Art. 2 Rn. 5. 36Siehe Legaldefinition in Art. 4 Nr. 6 DSGVO. 37Außer Akten, die nicht nach bestimmten Kriterien geordnet sind, Erwägungsgrund 15 DSGVO. 38Bäcker, in: BeckOK DatenschutzR, Art. 2 Rn. 4. 39Erwägungsgrund 26. 40Bach, EuZW 2020, 175, 175. 41Zur Anonymisierung im Detail Kapitel 2 Rn. 181ff. 42Vgl. Hornung, in: NK DatenschutzR, Art. 3 Rn. 52. 43Abgestellt wird auf die vom EuGH zur Warenverkehrsfreiheit aus Art. 28ff. AEUV vertretene Interpretation des Warenbegriffs. 44Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2 Rn. 1. 45Herbst, in: Kühling/Buchner, Art. 5 Rn. 1. 46Dazu Kapitel 2 Rn. 141ff. 47Voigt, in: Taeger/Gabel, Art. 5 Rn. 22. 48Frenzel, in: Paal/Pauly, Art. 6 Rn. 43. 49Kramer, in: Auernhammer, Art. 5 Rn. 10. 50So auch in Erwägungsgrund 40 DSGVO. 51Im Rahmen der Öffnungsklauseln steht es auch dem nationalen Gesetzgeber zu, eigene Erlaubnistatbestände zu normieren bzw. bestehende der DSGVO weiter auszuführen. So wurde bspw. in § 26 BDSG die Verarbeitung von Beschäftigtendaten weiterführend geregelt. 52Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 17. 53Für detaillierte Ausführungen zu den Wirksamkeitsvoraussetzungen im Rahmen der Due Diligence siehe Kapitel 2 Rn. 141ff. 54Vgl. Rn. 143. 55Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 56Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 57Hierzu im Detail Kapitel 2 Rn. 171ff.

37

Die Risiken, welche mit Verstößen gegen das Datenschutzrecht einhergehen können, sind divers und teilweise nicht ex ante kalkulierbar. Das zentrale Risiko stellt hierbei die Forderung nach etwaigen Geldzahlungen dar. Derartige Forderungen können diesbezüglich von zwei unterschiedlichen „Anspruchstellern“ kommen. Zum einen können die Aufsichtsbehörden bei Verstößen Bußgelder (nach Inkrafttreten der DSGVO in nunmehr kolossaler Höhe) verhängen. Zum anderen können auch Betroffene, die durch entsprechende Datenschutzverstöße in ihren Rechten verletzt wurden, Schadensersatzforderungen an die Verantwortlichen richten.

38

Eine wesentliche Neuerung hat das Datenschutzrecht hinsichtlich der Höhe der Bußgelder erfahren. Die in Art. 83 DSGVO normierten Bußgelder, welche durch die zuständigen Aufsichtsbehörden erteilt werden können, stellen eine drastische Verschärfung der Sanktionen bei Verstößen im Vergleich zum alten Datenschutzrecht dar. So sieht der Katalog des Art. 83 Abs. 5 DSGVO vor, dass Bußgelder in Höhe von bis zu 20.000.000 EUR und bei Unternehmen sogar bis zu 4 % des Vorjahresumsatzes verhängt werden können. Es ist neben der Verhältnismäßigkeit gemäß Art. 84 Abs. 1 Satz 2 DSGVO ein erklärtes Ziel, dass die Bußgelder abschreckend sind, mithin eine ausreichende Präventionswirkung entfalten.58 Darüber hinaus sind fast alle materiellen Pflichten, die sich aus der DSGVO ergeben, durch den Katalog des Art. 83 DSGVO bußgeldbewehrt.59

39

Dass die Behörden diesen Bußgeldrahmen auch tatsächlich ausschöpfen, zeigt die Praxis. So wurde beispielsweise gegen H&M ein Bußgeld in Höhe von 35 Mio. EUR durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wegen schwerwiegenden Verstößen gegen den Beschäftigtendatenschutz verhängt.