Carmen Födisch - Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Ein standardisiertes Vorgehen verbietet sich dennoch, denn dem EuGH ist zuzustimmen, dass die Abwägung „grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt“214. Der europäische Gesetzgeber hat sich insofern mit der Konzeption eines offenen Abwägungstatbestandes, den Art. 6 Abs. 1 lit. f DSGVO verkörpert, an die einst vom EuGH aufgestellten Vorgaben gehalten. Danach darf das Ergebnis der Abwägung nicht abschließend vorgeschrieben werden, „ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt“215. Überwiegen im Ergebnis der Interessenabwägung letztendlich die Interessen der betroffenen Person gegenüber denjenigen des Verantwortlichen oder des Dritten, kann die Datenverarbeitung nicht nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden.216

Eine der größten Herausforderungen der praktischen Anwendung des Datenschutzes ist es, dass das normanwendende Unternehmen selbst unmittelbar die Abwägung vornimmt und dabei auch die Perspektive des Kunden einnehmen muss. Dazu hat es die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (vgl. Erwägungsgrund 47 Satz 1 und 3)217 und nach einem gemischt subjektiv-objektiven Maßstab die gegenüberstehenden Interessen und Rechte zu gewichten.218 Es besteht die Gefahr, dass Unternehmen aus wirtschaftlichen Gründen dazu tendieren, auf Kosten der Rechte und Freiheiten des Kunden an die Grenzen der rechtlichen Zulässigkeit zu gehen.219

Die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO bietet den Behörden und Gerichten in ihrer ex-post-Betrachtung hingegen große Flexibilität, was sich – anders als für private Datenverarbeiter – durchaus vorteilhaft in der Anwendung eines progressiven Datenschutzrechts auswirkt.220 Auch wenn oftmals aufgrund der umfangreichen Interessenabwägung im Einzelfall eine rechtssichere Bewertung der konkreten Verarbeitungstätigkeit nicht möglich ist, soll im Nachfolgenden im Grundsatz herausgearbeitet werden, ob die Verarbeitung der Kundendaten bei Unternehmenstransaktion insbesondere für die Wahrung der berechtigten Interessen der Unternehmen tatsächlich erforderlich ist und welche Eingriffsintensität dabei in Bezug auf die Interessen oder Grundrechte und Grundfreiheiten der Kunden zu erwarten ist.

Wenn von Unternehmenstransaktionen die Rede ist, muss vorab erläutert werden, was unter dem Begriff des Unternehmens zu verstehen ist. In erster Linie kommt es dabei darauf an, welche datenschutzrechtlichen Institute der DSGVO auf Unternehmen angewandt werden können.

Als Anknüpfungspunkt, um das Objekt einer Transaktion zu bestimmen, dient zunächst der Begriff des Unternehmens.

Einen einheitlichen Unternehmensbegriff kennt weder das deutsche Recht, noch existiert dieser im ökonomischen Sinne.221 Aus betriebswirtschaftlicher Perspektive wird das Unternehmen als eine ökonomische Einheit der Gesamtwirtschaft betrachtet, das zu Erwerbszwecken auf eigene Rechnung und Gefahr betrieben wird.222 Ein juristischer Unternehmensbegriff hingegen muss im Hinblick auf den jeweiligen Normzweck eines Gesetzes wandelbar sein.223 Wenngleich dem BGH aus diesem Grund keine allgemein gültige Begriffsdefinition gelingen kann (oder konnte),224 wird dennoch gemeinhin unter Unternehmen eine organisierte und betriebsfähige Wirtschaftseinheit verstanden, die dem Unternehmer das Auftreten am Markt ermöglicht.225 Das Unternehmen als solches ist somit kein einheitliches Rechtsobjekt, sondern setzt sich aus einer komplexen Gesamtheit zusammen: aus körperlichen, beweglichen und unbeweglichen Sachen, jeglichen Rechten, tatsächlichen Beziehungen und Erfahrungen sowie unternehmerischen Handlungen, wie etwa im Einzelnen der betrieblichen Organisation, den Absatzmöglichkeiten einschließlich des Kundenkreises, den Geschäftsgeheimnissen und dem ‚Goodwill‘ (Ruf des Unternehmens bei Mitarbeitern, Vertragspartnern und in der Öffentlichkeit).226

Zwar weist der Unternehmensbegriff Unschärfen auf, jedoch erlauben erst diese, die Komplexität und Individualität eines Unternehmenskonstrukts zu begreifen. Im Unternehmensprivatrecht ist das Unternehmen daher die Summe seiner gesamten Vermögensgegenstände und wird als organisierte, am Markt wirkende Wirtschaftseinheit verstanden.227 Das dazugehörige Rechtssubjekt bildet jedoch der Unternehmensträger, der bei Unternehmenstätigkeiten der Inhaber der zum Unternehmen gehörenden Rechte und Pflichten ist.228

Der datenschutzrechtliche Unternehmensbegriff in Art. 4 Nr. 18 DSGVO greift ebenfalls das Merkmal der Wirtschaftlichkeit auf. Die Definition des Unternehmens ist nicht an eine bestimmte Rechtsform geknüpft, sondern lediglich an das Merkmal der Ausübung einer wirtschaftlichen Tätigkeit durch eine natürliche oder juristische Person.229 Nach europarechtskonformer Auslegung gilt jedes Anbieten von Gütern oder Dienstleistungen auf einem bestimmten Markt als wirtschaftliche Tätigkeit.230 So sollen keine natürlichen Personen, die ausschließlich persönliche oder familiäre Datenverarbeitungstätigkeiten ausüben, vom datenschutzrechtlichen Unternehmensbegriff erfasst werden, vgl. Art. 2 Abs. 2 lit. c DSGVO.231

Es ist bemerkenswert, dass jeglicher Bezug zu einer datenverarbeitenden Tätigkeit fehlt. Wird der datenschutzrechtliche Unternehmensbegriff aber unter Berücksichtigung des Gesetzeszwecks der DSGVO begriffen, ist dieser Ansatz des europäischen Gesetzgebers nachvollziehbar. Im Grundsatz ist nur der Verantwortliche Normadressat der DSGVO und daher als Bezugspunkt dafür heranzuziehen, die Rechtmäßigkeit von Datenverarbeitungen zu beurteilen. Dennoch enthält die DSGVO für Unternehmen an anderen Stellen einzelne sowohl privilegierende als auch verschärfende Konsequenzen.232 Dabei impliziert der Begriff des Unternehmens ohnehin eine Verarbeitung von personenbezogenen Daten, denn andernfalls wäre der Anwendungsbereich der DSGVO erst gar nicht eröffnet.

Anders als der Unternehmensbegriff geht die Frage, wer rechtlich für die Einhaltung und Umsetzung der Datenschutzanforderungen verantwortlich ist, mit der Bestimmung des Verantwortlichen einher, denn der Begriff dient dazu, „Verantwortung zuzuweisen“.233 Für jede Verarbeitungstätigkeit soll eine Rechtsperson Verantwortung übernehmen.234 Primär wird durch die zentrale Rolle des Verantwortlichen aber nicht nur festgelegt, wem die Pflicht zur Einhaltung der Vorgaben der DSGVO und deren Nachweis auferlegt wird (vgl. Art. 24 DSGVO), sondern auch gegenüber wem betroffene Personen und Behörden ihre etwaigen datenschutzrechtlichen Ansprüche und anderen Begehren geltend machen können.235

Nach der Definition des Art. 4 Nr. 7 DSGVO, die wortgleich aus der EU-Datenschutzrichtlinie übernommen wurde, gilt jede natürliche oder juristische Person als Verantwortlicher, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.236 Grundsätzlich ist der Begriff extensiv auszulegen, denn das Ziel dieser Bestimmung liegt darin, einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.237 Das wesentliche Merkmal eines Verantwortlichen ist dessen Entscheidungsmöglichkeit über die Zwecke und Mittel der Verarbeitung.238 Statt auf formale Kriterien kommt es vielmehr auf die tatsächliche Entscheidungsfähigkeit über und den faktischen Einfluss auf die Verarbeitungsvorgänge an sich an.239 Als Verantwortlicher gilt daher derjenige, der die eigentliche Kontrolle über die Verarbeitung innehat.240