Carmen Födisch - Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Privatkundendaten können nach ihrem Inhalt differenziert werden.162 Unternehmen speichern Daten sowohl aus laufenden als auch aus vergangenen Verträgen mit dem Kunden. Bei bestehenden Vertragsverhältnissen sind personenbezogene Daten des Kunden unabdingbar, um etwaige Forderungen geltend zu machen oder die jeweiligen Verbindlichkeiten erfüllen zu können.163 Solche Daten, die zur Durchführung eines Vertrages erforderlich sind, reichen vom Namen, der Anschrift, E-Mail-Adresse, des Geburtsdatums oder den Zahlungsinformationen164 bis hin zu konkreten Angaben zur Leistung, also etwa eine Bestellübersicht.165 Daneben werden von Unternehmen auch personenbezogene Daten von Kunden gespeichert, mit denen in der Vergangenheit Verträge abgewickelt wurden, aber keine aktuelle Vertragsbeziehung mehr besteht. Das Unternehmen hat ein großes Interesse daran, die personenbezogenen Daten dieser sog. Bestandskunden fortlaufend in ihrem Datenbestand zu verwalten, um sie weiterhin bewerben und bestenfalls erneut zum Vertragsabschluss bewegen zu können.166 Solche personenbezogenen Daten, die Auskunft über die vollständige Kundenhistorie geben, sind deshalb besonders wertvoll für das Unternehmen.

Außerdem verfügt das Unternehmen meist abseits solcher bestehenden Vertragsdaten des Kunden über weitere personenbezogene Daten aus sonstigen Geschäftskontakten und zwar unabhängig davon, ob ein Schuldverhältnis besteht oder nicht. Jenseits der klassischen Vertragsdaten sind die von einem Unternehmen über einen Kunden gespeicherten Daten sehr vielfältig (bspw. Interaktionsdaten zwischen Unternehmen und Kunden, Daten zu persönlichen Einstellungen). Ein Unternehmen ist stets bestrebt, Kundendatensätze in datenschutzrechtlich rechtmäßiger Weise mit weiteren Informationen anzureichern, um den größten Nutzen aus der Kundenbeziehung zu ziehen.167 Häufig werden Auswertungen durchgeführt, die sich auf das Nutzungsverhalten des Kunden beziehen. Die geschilderten CRM-Systeme dienen dabei als Grundlage für die Erstellung von Kundenprofilen.168 Personenbezogene Daten können nämlich nicht nur Tatsachen sein, sondern auch subjektiven Einflüssen unterliegen.169 So sind insbesondere Meinungen, Beurteilungen oder Prognosen über eine natürliche Person von wirtschaftlicher Relevanz für ein Unternehmen, die bspw. Aufschluss über die Zahlungsfähigkeit eines Kunden oder sein zukünftiges Kaufverhalten geben.170 Dieses sog. Profiling, bei dem personenbezogene Daten hinsichtlich bestimmter persönlicher Aspekte der betroffenen Person ausgewertet werden, führen Unternehmen oft zu Marketingzwecken oder zum Zwecke der Verhaltens- und Meinungsbeeinflussung durch.171 Ein Sonderfall stellt das Scoring dar, wodurch die Kreditwürdigkeit des Kunden beurteilt wird.172 Die dadurch erfassten Daten können sich auch auf betroffene Personen beziehen, mit denen erst noch eine Geschäftsbeziehung angebahnt wird. Zum Kundendatenschutz zählen im weitesten Sinne eben auch Daten über potenzielle Neukunden.173

Letztendlich verfügen daher vor allem Unternehmen, die im Verbraucherverkehr tätig sind, über Massen an personenbezogenen Daten über ihre Kunden, die nach den Anforderungen der DSGVO während einer Transaktion zu übertragen sind.

Besondere Kategorien personenbezogener Daten von Kunden sind darüber hinaus besonders zu schützen, da bei ihrer Verarbeitung für gewöhnlich erhebliche Risiken für die Grundrechte und Grundfreiheiten bestehen können (Erwägungsgrund 51 Satz 1). Gem. Art. 9 Abs. 1 DSGVO handelt es sich hierbei um solche personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie um genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Unternehmen ist es grundsätzlich untersagt, diese zu verarbeiten (vgl. Art. 9 Abs. 1 DSGVO), es sei denn, eine der restriktiven Verarbeitungsbefugnisse nach Art. 9 Abs. 2 DSGVO liegt vor.174 Im nicht-öffentlichen Bereich wird es daher zumeist auf eine Einwilligung des Kunden gem. Art. 9 Abs. 2 lit. a DSGVO ankommen, um eine Verarbeitung solcher ‚sensiblen‘ Kundendaten seitens der Unternehmen zu legitimieren.

Die Verarbeitung besonderer Kategorien personenbezogener Daten von Kunden kann u.a. in der Gesundheitsindustrie, Versicherungsbranche oder der Erotikindustrie von Relevanz sein.175 Abgesehen davon handelt es sich jedoch bei einem Großteil der in einem Unternehmen verarbeiteten ‚sensiblen‘ Daten um solche der eigenen Mitarbeiter.

Neben den Kundendaten machen die Informationen über die Mitarbeiter einen wichtigen Teilbereich der Daten im Unternehmen aus. Diese Beschäftigtendaten betreffen in der Regel solche Informationen, deren Verarbeitung für die Durchführung des Beschäftigtenverhältnisses notwendig ist.176 Relevante Mitarbeiterdaten, die personenbezogene Daten enthalten, sind bspw. Arbeitsverträge und Personalakten einschließlich Bewerbungsunterlagen.177 Solche Informationen zu den arbeitsrechtlichen Verhältnissen geben Aufschluss über die wirtschaftlichen Umstände im Unternehmen, weshalb sie für den Erwerber eines Unternehmens ebenso von Interesse sind.178

Von datenschutzrechtlicher Brisanz sind die Daten der Mitarbeiter bei einer Unternehmenstransaktion insbesondere aufgrund ihrer Sensibilität und des damit einhergehenden hohen Schutzbedarfs,179 wenn auch die Menge an Daten, die dabei übertragen werden, grundsätzlich geringer im Vergleich zu den Kundendaten ausfallen dürfte. Eine Besonderheit des Beschäftigtendatenschutzrechts liegt darin, dass der Bundesgesetzgeber von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht und in § 26 BDSG n.F. besondere Regeln des bisherigen Beschäftigtendatenschutzes übernommen hat.180 Diese Regelung berührt aber nicht die Frage, ob es zulässig ist, bei Unternehmenstransaktionen Beschäftigtendaten weiterzugeben. Deshalb sind die datenschutzrechtlichen Voraussetzungen der Übermittlung dieser Daten während der Due Diligence und beim Vollzug der Unternehmenstransaktion (nach Maßgabe der jeweiligen Gestaltungsform) grundsätzlich anhand der allgemeinen Vorgaben des Art. 6 DSGVO zu beleuchten.181

Den strengen Voraussetzungen der DSGVO unterliegen hingegen nicht Unternehmensdaten bzw. maschinengenerierte Daten, die keinerlei Personenbezug aufweisen. Solche nicht personenbezogenen Daten können aber auch – ähnlich wie Geschäftskundendaten – eine Angabe über eine natürliche Person enthalten, wenn eine solche Information auf eine natürliche Person durchschlägt. Sofern also Maschinendaten oder industrielle Daten mit anderen personenbezogenen Daten verknüpft werden, kann unter Umständen der Anwendungsbereich der DSGVO eröffnet sein.182

Die oben dargelegten Begriffsdefinitionen bilden die Grundlage für das Verständnis des Art. 6 DSGVO, der als zentrale Norm der DSGVO die Zulässigkeitsvoraussetzungen einer Verarbeitung von personenbezogenen Daten begründet.183 Als Ausprägung des Datenschutzprinzips aus Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen, wurde in der DSGVO an dem Grundsatz des Verbots mit Erlaubnisvorbehalt festgehalten (sog. Verbotsprinzip).184 Danach sind Datenverarbeitungen gerade nicht erlaubt, sondern grundsätzlich verboten, es sei denn, die betroffene Person hat eingewilligt oder ein gesetzlicher Erlaubnistatbestand legitimiert die Datenverarbeitung.185 Abgesehen von den aus Art. 288 Abs. 2 und 3 AEUV folgenden Unterschieden entspricht Art. 6 DSGVO in Teilen seiner Vorgängerregelung des Art. 7 EU-Datenschutzrichtlinie.186 Jede Verarbeitung von Kundendaten im Rahmen von Unternehmenstransaktionen ist daher nach Art. 6 Abs. 1 DSGVO nur zulässig, sofern der Kunde in die konkrete Datenverarbeitung eingewilligt hat oder ein Rechtfertigungstatbestand dies erlaubt.