Carmen Födisch - Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Ferner verdeutlicht der Ausschluss von anonymen Daten aus dem Anwendungsbereich der DSGVO in Erwägungsgrund 26 diesen gemäßigt relativen Ansatz der Identifizierbarkeit einer Person.135 Denn würde es anderenfalls ausreichen, dass irgendjemand den Personenbezug herstellen könne, gäbe es keine anonymen Daten und ihre explizite Erwähnung in der DSGVO wäre gegenstandslos.136 Ob es hingegen im technischen Zeitalter überhaupt noch Daten ohne Personenbezug tatsächlich geben kann, ist eine Diskussion von gänzlich anderer Dimension und wird nicht nur die juristische Debatte zukünftig kontrovers prägen.137

Im Hinblick auf die Wahrscheinlichkeit, ob Mittel des Verantwortlichen oder einer anderen Person konkret eingesetzt werden, fließen alle objektiven Kriterien, wie etwa die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, in die Entscheidung ein, vgl. Erwägungsgrund 26 Satz 4. Ebenso sind dabei aktuelle technologische Entwicklungen und verfügbare Technologien zu berücksichtigen, vgl. Erwägungsgrund 26 Satz 4. Überwiegen diese objektiven Faktoren derart, dass davon auszugehen ist, dass die Identifizierung nicht erfolgt, handelt es sich um kein personenbezogenes Datum, obwohl eine Identifizierung einer natürlichen Person möglich (aber eben nicht wahrscheinlich) wäre.138

Ob die verarbeiteten Daten im Unternehmen einen Personenbezug aufweisen, hängt grundsätzlich vom Einzelfall ab. Nichtsdestoweniger ist es in der Praxis äußerst wahrscheinlich, dass nahezu jede Information in einem Unternehmen einen Bezug zu einer natürlichen Person aufweisen oder Aussagen und Entscheidungen über eine natürliche Person ermöglichen kann. Aus Unternehmensperspektive erweist sich die Anwendung der DSGVO daher als unumgänglich.139

Die für ein Unternehmen wirtschaftlich wertvollsten Daten stellen meist diejenigen Daten dar, die in Verbindung mit einem Kunden erhoben, gespeichert und verwendet wurden. Um das Ziel der Kundenbindung zu erreichen, sind die jeweiligen Kundendaten für Unternehmen von großer Bedeutung.140 Diese eröffnen häufig die Möglichkeit der persönlichen Werbeansprache und sind deshalb besonders attraktiv für den Erwerber eines Unternehmens.141 Anders als noch nach dem BDSG a.F. werden in der DSGVO grundsätzlich sämtliche Kundendaten gleichbehandelt, sofern sie als personenbezogen klassifiziert werden.142

Ist von Kundendaten die Rede, muss differenziert werden, ob es sich dabei um solche im Geschäftskunden- (sog. Business-to-Business-Kunden – B2B)143 oder im Privatkundenbereich (sog. Business-to-Consumer-Kunden – B2C) handelt. Bei Privatkunden kann grundsätzlich die Personenbeziehbarkeit der Datensätze einer gesamten Kundendatenbank leicht bejaht werden, da bei fast sämtlichen Informationen über einen Kunden eine dahinterstehende konkrete natürliche Person zu identifizieren ist; Geschäftskundendaten dagegen sind meist nur dann als personenbezogen einzuordnen, sofern sie Rückschlüsse auf eine natürliche Personen zulassen. Der Geschäftskunde ist nicht zugleich automatisch identisch mit der betroffenen Person i.S.v. Art. 4 Nr. 1 DSGVO. Zu beachten ist nämlich, dass gem. Art. 1 Abs. 1 DSGVO lediglich natürliche und nicht juristische Personen dem Schutz der DSGVO unterliegen. Die DSGVO „gilt nicht für Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person“, vgl. Erwägungsgrund 14 Satz 2.144 Einzelne Daten wie etwa zu Produkten, Dienstleistungen, Fristen sowie Zeiträumen oder sonstige Vertragsinformationen sind daher ohne Personenbezug, sofern sie sich nicht auf eine identifizierte oder identifizierbare Person beziehen.145 Grundsätzlich können Geschäftskunden als juristische Personen datenschutzrechtliche Ansprüche nur aus dem auch für sie geltenden allgemeinen Persönlichkeitsrecht ableiten.146 Sind einzelne nicht personenbezogene Daten im Geschäftskundenbereich jedoch untrennbar mit weiteren personenbezogenen Informationen verbunden, hat dies zur Konsequenz, dass unweigerlich der gesamte Datensatz den Datenschutzvorschriften unterliegt.147 Daher ist trotz der in Erwägungsgrund 14 Satz 2 genannten Ausnahme auch bei juristischen Personen im Einzelfall zu prüfen, ob Informationen ggf. auf natürliche Personen der juristischen Person „durchschlagen“.148 Dies trifft jedenfalls auf einen Gesellschafter einer Ein-Mann-GmbH oder einen Einzelunternehmer zu.149

Bspw. werden in einem sog. Customer-Relationship-Management-System (CRM-System – oder zu Deutsch: System zum Kundenbeziehungsmanagement oder zur Kundenpflege)150, auf das häufig Unternehmen in der Praxis aufgrund der Vielzahl und Vielfalt der potenziell zu erhebenden Kundendatensätze zurückgreifen,151 solche Daten, denen ein Personenbezug fehlt, mit personenbezogenen Daten kombiniert.152 Der Nutzen eines CRM-Systems liegt darin, dass sämtliche Daten von Kunden, einschließlich aller vertragsbezogener Kundendaten, unter Einhaltung strenger datenschutzrechtlicher Vorgaben systematisch gesammelt, verwaltet und dokumentiert werden können.153 Eine solche Kundendatenbank dient vor allem der Optimierung der Geschäftsbeziehung sowie der Pflege des Verhältnisses und aller interaktiven Prozesse mit Kunden, Anbietern und Partnern, um entsprechende Pflichten optimal erfüllen zu können.154 Der Aufbau und Erhalt einer Bindung zum Kunden mithilfe eines CRM-System gilt deshalb als Grundpfeiler des (Beziehungs-)Marketings eines Unternehmens.155 Werden Daten ohne Personenbezug mit personenbezogenen Daten in einer Datenbank zusammengefasst, sind sie aus datenschutzrechtlicher Sicht nicht mehr getrennt voneinander zu betrachten. Aufgrund der Kombination der Daten in einem System können sich vormals Daten ohne Personenbezug ohne weiteres auch auf eine identifizierte oder identifizierbare Person beziehen. Dies hat meist zur Folge, dass der gesamte Datenbestand in einem CRM-System personenbezogen ist. Wenn also Geschäftskundendaten nur als Bestandteil eines Datensatzes dem CRM-System zugeführt werden, reicht dies bereits für das Vorliegen der Personenbeziehbarkeit aus.156 Nicht selten kommt es zu dem Fall, dass ein gesamtes CRM-System bei einer Transaktion zu übertragen ist. Infolge des wahrscheinlichen Personenbezugs eines CRM-Systems ist daher im Rahmen der datenschutzrechtlichen Bewertung der Übertragbarkeit von Kundendaten bei Unternehmenstransaktion auch dieser Aspekt zu berücksichtigen.

Letztendlich können zwar auch Kundendaten aus dem Geschäftskundenbereich von wirtschaftlichem Nutzen sein, jedoch sind meist private Endkunden von entscheidender Attraktivität für den Erwerber eines Unternehmens. Geht es um die Anwendung datenschutzrechtlicher Normen, sind ferner Privatkundendaten insoweit von hoher Relevanz, als die Verarbeitung von Privatkundendaten hohe Risiken für den Schutz natürlicher Personen birgt.157

Die bereits erläuterte Personenbeziehbarkeit von Privatkundendaten ist nicht von der Hand zu weisen. Im Privatkundenbereich weisen selbst einzelne nicht personenbezogene Daten (wie etwa Produktdaten, Daten zu Fristen etc.) immer einen Personenbezug auf, da sie im Grunde nie isoliert von der dazugehörigen natürlichen Person gespeichert werden. Nicht nur der Name des Kunden, sondern auch Informationen zur natürlichen Person, wie etwa die Kundennummer, Adresse oder Kontoinformationen können einen Personenbezug herstellen.158 Dies hat zur Folge, dass grundsätzlich der gesamte Datensatz einer Privatkundendatenbank dem Datenschutzregime der DSGVO unterliegt.159 Das Datenschutzrecht wird daher in Bezug auf Privatkundendaten seiner Funktion als Verbraucherschutzrecht in vollem Umfang gerecht.160 Beim Privatkunden handelt es sich regelmäßig zugleich um die betroffene Person i.S.v. Art. 4 Nr. 1 DSGVO.161