Carmen Födisch - Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Da die DSGVO keine weiteren Rechtsinstitute bereitstellt, spielt nur die Bestimmung des datenschutzrechtlich verantwortlichen Unternehmens im Verlaufe einer Unternehmenstransaktion die maßgebende Rolle. Bis die Transaktion vollendet ist, hat daher nur das Zielunternehmen nach außen für die Einhaltung aller datenschutzrechtlicher Vorgaben einzustehen.

110Ausnahmen hiervon sind in Art. 2 Abs. 2 bis 4 DSGVO geregelt. 111Der Wortlaut des Art. 4 Nr. 2 DSGVO deutet wegen des Wortes „jeder“ Vorgang und der anschließenden Aufzählung unterschiedlichster Verarbeitungstätigkeiten („wie“) auf einen rein exemplarischen Charakter der Legaldefinition hin; auch der Wortlaut der englischen Sprachfassung bestätigt diese Auslegung („any operation“/„such as“); vgl. im Ergebnis auch Krohm/Müller-Peltzer, RDV 2016, 307 (310); Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330; Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 20. 112So auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2, Rn. 1. 113Voigt/von dem Bussche, DSGVO, S. 11; Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330. 114Voigt/von dem Bussche, DSGVO, S. 12; ebd. ausführlich zu automatisierten und manuellen Verarbeitungsvorgängen. 115Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 29. 116Schild, in: Wolff/Brink, Datenschutzrecht, Artikel 4 DS-GVO, Rn. 50. 117Vgl. Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 30. 118Dieses Verständnis steht auch im Einklang mit dem Lindqvist-Urteil des EuGH zur EU-Datenschutzrichtlinie (EuGH, Rs. 101/01, Lindqvist, ECLI:EU:C:2003:596), wonach zwar der EuGH zur Bestimmung des Übermittlungstatbestandes nicht auf die Perspektive des Verantwortlichen abstellt, aber jedenfalls dann eine Übermittlung ablehnt, wenn personenbezogene Daten einer Internetseite auf einen Server hochgeladen werden, ohne dass ein Internetnutzer tatsächlich die betreffende Internetseite aufgerufen hat. Nach der hier vertretenen Auffassung würde dies ebenfalls keine Offenlegung durch Übermittlung nach der DSGVO darstellen, da diejenige Person, die die personenbezogenen Daten auf eine Internetseite hochgeladen hat, immer noch auf die Daten einwirken (und sie bspw. verändern) kann, weil sie weiterhin ihrer Sphäre zugeordnet werden können. 119Krohm/Müller-Peltzer, RDV 2016, 307 (310). 120Vgl. Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 331. 121Gola, in: Gola, DSGVO, Art. 4, Rn. 31. 122Krohm/Müller-Peltzer, RDV 2016, 307 (310f.). Ob hingegen die Formulierung in Art. 6 Abs. 1 DSGVO, dass eine Verarbeitung nur rechtmäßig sei, „wenn“ eine der genannten Bedingungen erfüllt ist, statt der Verwendung des Wortes „soweit“, tatsächlich darauf hindeutet, dass die Bewertung der Zulässigkeit einer Verarbeitung nicht mehr in einzelnen Phasen erfolgen soll, kann nicht eindeutig beantwortet werden. Zwar wurde 2001 im BDSG a.F. „wenn“ durch „soweit“ ersetzt, was genau Gegenteiliges bezwecken sollte (also die Klarstellung der Rechtfertigungsbedürftigkeit jedes einzelnen Verarbeitungsschrittes). Es blieb aber fraglich, ob das BDSG a.F. nicht europarechtskonform hätte ausgelegt werden müssen, da in Art. 7 EU-Datenschutzrichtlinie von „wenn“ die Rede ist. Welche Bedeutung der europäische Gesetzgeber dieser Formulierung beigemessen hat, wird allerdings nicht deutlich. 123Krohm/Müller-Peltzer, RDV 2016, 307 (311). 124Zu Daten und Informationen Schmitz, ZD 2018, 5 (6). 125So etwa Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7, wonach ausdrücklich der Wortlaut des Art. 2 lit. a EU-Datenschutzrichtlinie „eine großzügige Auslegung“ verlangt. Abgesehen davon erfolgte die Wortlautänderung der Definition des personenbezogenen Datums in der deutschen Fassung im Gegensatz zur alten Rechtslage lediglich aus redaktionellen Gründen, dazu Krügel, ZD 2017, 455 (455). 126Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 8; zum personenbezogenen Datum i.S.d. EU-Datenschutzrichtlinie, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 8. 127Kritisch im Hinblick auf technologische Entwicklungen, die für eine Identifizierung eingesetzt werden könnten Krügel, ZD 2017, 455 (456). 128Vertreter der Theorie des absoluten Personenbezugs stellen auf die objektive Möglichkeit ab, dass durch die Anwendung eines Mittels oder von Zusatzwissen Dritter die betroffene Person bestimmt werden kann und zwar unabhängig davon, wer tatsächlich das Mittel anwendet oder über das Zusatzwissen verfügt, so etwa Pahlen-Brandt, DuD 2008, 34 (38); Düsseldorfer Kreis, Beschluss „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ vom 26./27. November 2009; Heidrich/Wegener, DuD 2010, 172 (174). Nach dem relativen Ansatz ist für die Bewertung der Bestimmbarkeit einer betroffenen Person entscheidend, ob die konkret verarbeitende Stelle selbst mit den ihr zur Verfügung stehenden Hilfsmitteln bzw. mit ihrem eigenen Zusatzwissen und ohne unverhältnismäßigen Aufwand den Bezug zu einer natürlichen Person herstellen kann; so etwa Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 20; Dammann, in: Simitis, BDSG a.F., § 3, Rn. 32; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 10; Köcher, MMR 2007, 799 (801). Zur kursorischen Übersicht des Streits in Bezug auf das BDSG a.F. siehe u.a. Herbst, NVwZ 2016, 902 (902ff.); Bergt, ZD 2015, 365 (365ff.); Brink/Eckhardt, ZD 2015, 205 (205ff.). 129So auch Hofmann/Johannes, ZD 2017, 221 (222); Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26. 130EuGH, Rs. 582/14, Breyer vs. BRD, ECLI:EU:C:2016:779. Im Grundsatz ging es um die Auslegung der mit Art. 4 Nr. 1 DSGVO übereinstimmenden Definition in Art. 2 lit. a EU-Datenschutzrichtlinie. Der EuGH entschied, „dass eine dynamische IP-Adresse [...] für den Anbieter [von Online-Mediendiensten] ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“, EuGH, Rs. 582/14, Breyer vs. BRD, ECLI:EU:C:2016:779, Rn. 49. In der DSGVO wird daran angeknüpft, denn IP-Adressen können personenbezogene Daten i.S.d. DSGVO darstellen, da laut Erwägungsgrund 30 IP-Adressen (und auch Cookie-Kennungen), die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen einem Nutzer zugeordnet werden, dazu geeignet sind Spuren zu hinterlassen, die dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. 131Vgl. Hofmann/Johannes, ZD 2017, 221 (224). 132Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 10. 133Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 3. 134M.w.N. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 281; im Ergebnis auch Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26, der aber hinsichtlich der Nutzung der Mittel durch einen Dritten dahingehend differenziert, ob Daten vom Verantwortlichen an den Dritten weitergegeben wurden oder, falls dies nicht der Fall ist, ob der Verantwortliche über rechtliche Mittel verfügt, um sich einen Zugriff auf die Daten des Dritten zu verschaffen; a.A. Buchner, DuD 2016, 155 (156), der von einem absoluten Verständnis in der DSGVO ausgeht; zu dieser Auffassung tendierend auch Härting, ITRB 2016, 36 (37). 135Hofmann/Johannes, ZD 2017, 221 (223). 136Roßnagel/Kroschwald, ZD 2014, 495 (497); Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 9. 137Dazu ausführlich u.a. Boehme-Neßler, DuD 2016, 419 (419ff.); Härting, ITRB 2016, 36 (37); Härting/Schneider, CR 2015, 819 (822). 138Hofmann/Johannes, ZD 2017, 221 (224f.) im Hinblick auch auf die Auslegung des Begriffs der Verfügbarkeit i.S.d. Stands der Technik. 139Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 273. 140Vgl. Büllesbach, in: Roßnagel, Handbuch Datenschutzrecht, Kapitel 7.1, Rn. 28. 141Auf diese wirtschaftliche Werthaltigkeit von Kundendaten stellt auch das BayLDA ab, vgl. Bayerisches Landesamt für Datenschutzaufsicht, Pressemitteilung vom 30.07.2015. 142Wehmeyer, PinG 2016, 215 (217); zum vormaligen „Listenprivileg“ nach dem BDSG a.F. Härting, Datenschutz-Grundverordnung, Teil B, S. 114f., Rn. 467ff. 143Die Bezeichnung der Geschäftskundendaten als ‚Lieferantendaten‘ ist insofern zu repressiv und missverständlich, als damit nur eine Art einer Geschäftsbeziehung bezeichnet wird (die der Lieferung von Waren). Vielmehr gelten jegliche Vertragspartner eines Unternehmens allgemein als Geschäftskunden, die nicht Privatkunden sind (Firmenkunden fallen ebenso unter den hier verwendeten Begriff der Geschäftskundendaten). 144Ausführlich zur Auslegung und der Auswirkungen des Erwägungsgrundes 14 und der Frage, inwieweit die auf eine juristische Person bezogenen Informationen im Hinblick auf den Erwägungsgrund 14 vom Anwendungsbereich der DSGVO ausgeschlossen werden siehe Gola, K&R 2017, 145 (146f.). Der Autor ist der Auffassung, dass der Name, die Rechtsform und die Kontaktdaten der juristischen Person in vertretbarer Weise aus dem Schutzbereich der DSGVO ausgenommen werden können, da Gründe der Praktikabilität und das fehlende Risiko einer gravierenden Persönlichkeitsverletzung diese insbesondere für die Praxis vorteilhafte Einschränkung rechtfertigen. 145Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 15f. 146Vgl. m.w.N. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 11; BGH, Urteil vom 08. Februar 1994 – VI ZR 286/93, Rn. 21ff. (juris) = NJW 1994, 1281 (1282); ausführlich Stancke, BB 2013, 1418 (1419ff.) in Bezug auf das BDSG a.F., jedoch gelten diese Grundsätze unter der DSGVO fort, da auch die DSGVO auf die Einbeziehung juristischer Personen in ihrem Anwendungsbereich verzichtet. 147Conrad, ZD 2016, 1 (1). 148BAG, Beschluss vom 18. Februar 1986 – 1 ABR 21/84, Rn. 23ff. (juris) = BAGE 51, 143 (147ff.); BAG, Beschluss vom 26. Juli 1994 – 1 ABR 6/94, Rn. 25 (juris) = BAGE 77, 262 (267); Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 27f. 149Im Einzelnen Gola, in: Gola, DSGVO, Art. 4, Rn. 25; Funk, KSzW 2017, 56 (58); m.w.N. Ashkar/Zieger, ZD 2016, 58 (59). 150Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 151Auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO kann ein CRM-System erfassen, Hamann, BB 2017, 1090 (1091); zum Verzeichnis von Verarbeitungstätigkeiten siehe S. 81. 152Unternehmen wie bspw. Oracle Corporation oder Salesforce.com sind typische Anbieter solcher CRM-Systeme, vgl. Söbbing, RDV 2016, 120 (120). 153So wird angenommen, dass unter Berücksichtigung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) die bloße Speicherung der Vertragsdaten der Kunden in einem CRM-System wohl nach Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt werden kann, vgl. Gierschmann, MMR 2018, 7 (8); ausführlich zu den Rechtsgrundlagen im Hinblick auf die Verarbeitung von Kundendaten in einem CRM-System siehe Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 32ff.; Söbbing, RDV 2016, 120 (120ff.) zur Rechtslage nach dem BDSG a.F. 154Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 155Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 1. 156Vgl. Härting, CR 2017, 724 (725). 157Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 158Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 159Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 160Vgl. Wächter, Datenschutz im Unternehmen, Rn. 51. 161Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 714. 162Eine Differenzierung der Daten in Bestands- und Nutzungsdaten, wie es § 14 und § 15 TMG vorsehen, ist nach der DSGVO hingegen nicht erforderlich, da der europäische Gesetzgeber lediglich zwischen ‚einfachen‘ personenbezogenen Daten und besonderen Kategorien personenbezogener unterscheidet. Die Frage, auf welcher Grundlage solche Daten verarbeitet werden dürfen, ist eine andere und kann nicht pauschal beantwortet werden; anders tendierend Härting, Datenschutz-Grundverordnung, Teil B, S. 102, Rn. 421. 163Auch der Erwerber eines Unternehmens will nach Erhalt der Daten regelmäßig an dieser Vertragsbeziehung zum Kunden festhalten, vgl. Thode, PinG 2016, 26 (26). 164Finanzdaten gelten gerade nicht als besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO, vgl. Schulz, in: Gola, DSGVO, Art. 9, Rn. 15. 165Vgl. Härting, CR 2017, 724 (726). 166Wehmeyer, PinG 2014, 183 (185); auch für den Erwerber eines Unternehmens sind diese Daten wertvoll, da er ebenso ein großes Interesse an einer erneuten Geschäftsbeziehung hat, vgl. Thode, PinG 2016, 26 (26). 167Vgl. Wehmeyer, PinG 2014, 183 (184). 168Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO/BDSG, Art. 6, Rn. 52. 169Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7. 170Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 274. Dass in der DSGVO die Bedeutung von bewertenden und analysierenden Verarbeitungstätigkeiten erkannt wurde, verdeutlicht die Einführung der Legaldefinition des Profilings in Art. 4 Nr. 4 DSGVO und seinen weiteren Voraussetzungen in Art. 22 DSGVO, vgl. ebd. 171Ausführlich zum Rechtsrahmen des Profilings Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP 251 rev. 01. (bestätigt vom Europäischen Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018); Abel, ZD 2018, 304 (304ff.); zu Nutzungsprofilen im Rahmen von online-basierten Dienstleistungen mit Bezug zum TMG (bzw. mit Blick auf den Entwurf der sog. ePrivacy-Verordnung) siehe Schleipfer, ZD 2017, 460 (460ff.); Hennemann, ZUM 2017, 544 (544ff.). 172Zur datenschutzrechtlichen Zulässigkeit des Scorings Buchner, in: Kühling/Buchner, DSGVO/BDSG, § 31, Rn. 7ff. 173Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 174Zur umstrittenen Frage des Verhältnisses von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO siehe S. 170f. 175Vgl. Thode, PinG 2016, 26 (29). 176Wächter, Datenschutz im Unternehmen, Rn. 50. 177Eine Checkliste über Beschäftigtendaten, die im Rahmen von Unternehmenstransaktionen geprüft werden, enthält Grimm/Böker, NZA 2002, 193 (198ff.). 178Sander/Schumacher/Kühne, ZD 2017, 105 (105). 179Insbesondere Beschäftigtendaten enthalten regelmäßig besondere Kategorien personenbezogenen Daten i.S.v. Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten (Krankheitstage oder Schwerbehinderteneigenschaften), Daten zur Gewerkschaftsangehörigkeit oder zur religiösen Überzeugung (Kirchensteuer), Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 21. 180Vgl. Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 6.; ausführlich zum § 26 BDSG n.F. siehe Gola, BB 2017, 1462 (1462ff.). 181Im Einzelnen Sander/Schumacher/Kühne, ZD 2017, 105 (108ff.); Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 14ff.; a.A. Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 42. 182Ausführlich zum rechtlichen Rahmen von nicht personenbezogenen Daten Wiebe/Schur, ZUM 2017, 461 (461ff.); Thalhofer, GRUR-Prax 2017, 225 (225ff.); Wiebe, CR 2017, 87 (87 ff).; Ensthaler, NJW 2016, 3473 (3473ff.); Wiebe, ecolex 2017, 783 (783ff.); ders., GRUR Int. 2016, 877 (877ff.). 183Indes regelt Art. 6 Abs. 1 DSGVO nur die Zulässigkeit der Datenverarbeitung („Ob“), deren Rechtmäßigkeit („Wie“ der Verarbeitung) noch durch weitere Vorschriften (insbesondere durch die Datenschutzgrundsätze nach Art. 5 DSGVO) bestimmt wird, Frenzel, in: Paal/Pauly, DSGVO BDSG, Art. 6 DS-GVO, Rn. 7; Roßnagel, ZD 2018, 339 (343). 184GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 26. 185Nach Erwägungsgrund 40 können personenbezogene Daten nur dann rechtmäßig verarbeitet werden, wenn sich die Rechtsgrundlage aus der DSGVO (explizit: Art. 6 DSGVO) oder aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt. 186Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 2. 187U.a. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 30; Engeler, ZD 2018, 55 (56); Arning, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, Kapitel 5, Rn. 72; Piltz, K&R 2016, 557 (562); Wächter, Datenschutz im Unternehmen, Rn. 511; a.A. Sattler, JZ 2017, 1036 (1039f.), der der Einwilligung eine Vorrangstellung einzuräumen versucht. 188Vgl. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 31; a.A. Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01, S. 28; zu einer Sperrwirkung tendierend Tinnefeld/Conrad, ZD 2018, 391 (392f.). 189Vgl. auch Engeler, ZD 2018, 55 (56), der einen Rückgriff auf die Rechtsgrundlage der Einwilligung erst nach Überschreiten der Erforderlichkeit für nötig hält. 190So etwa BGH, Urteil vom 16. Juli 2008 – VIII ZR 348/06 (juris) = BGHZ 177, 253 (253ff.); BGH, Urteil vom 11. November 2009 – VIII ZR 12/08 (juris) = CR 2010, 87 (87ff.). 191Conrad, ZD 2016, 1 (1). 192Der EDSA hat lediglich die Richtlinien der Artikel-29-Datenschutzgruppe zu Einwilligungserklärungen (Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01) bestätigt, vgl. Europäischer Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018. In Bezug auf die Erlaubnistatbestände fehlt es hingegen weitestgehend an Leitlinien aus der europäischen Rechtsprechung, vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 193Vgl. hierzu die Aufgabenbefugnisse aus bspw. Art. 57 Abs. 1 lit. g DSGVO oder Art. 70 Abs. 1 lit. e DSGVO. 194Im Gegensatz zum BDSG a.F., in dem in den §§ 28ff. weitaus detailliertere Datenverarbeitungsgrundlagen für die Privatwirtschaft normiert waren, wurden die Erlaubnistatbestände in der DSGVO extensiver und weitaus undifferenzierter formuliert, sodass die Rechtfertigung einer Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO einige Rechtsunsicherheit mit sich bringt, Robrahn/Bremert, ZD 2018, 291 (291, 297). 195Daneben ist der Einwilligungstatbestand (Art. 6 Abs. 1 lit. a DSGVO) und der Rechtfertigungstatbestand zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) im Zuge von Unternehmenstransaktionen von weiterer Relevanz; dazu ausführlich an relevanter Stelle. 196Voigt/von dem Bussche, DSGVO, S. 132. 197EuGH, Rs. 13/16, Rigas satiksme, ECLI:EU:C:2017:336, Rn. 28; Herfurth, ZD 2018, 514 (514); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 27. 198Vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 199Während nach alter Rechtslage gem. Art. 7 lit. f EU-Datenschutzrichtlinie Drittinteressen noch nicht die Datenverarbeitung legitimieren konnten, fanden Drittinteressen bereits Berücksichtigung in § 28 Abs. 2 Nr. 2 lit. a BDSG a.F. 200Robrahn/Bremert, ZD 2018, 291 (291f.); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DSGVO, Rn. 28; Härting, Datenschutz-Grundverordnung, Teil B, S. 105, Rn. 429; letztendlich hat der europäische Gesetzgeber davon abgesehen zu konkretisieren, welche berechtigten Interessen grundsätzlich Vorrang gegenüber den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben sollen (so noch der Änderungsantrag 101 im Entwurf des Parlamentsberichterstatters vom 16.01.2013, vgl. Entwurf eines Berichts über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 16.01.2013, COM (2012) 0011 — C7-0025/2012 — 2012/0011(COD), S. 80. 201Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 32; da der Wortlaut des Abwägungstatbestandes in der DSGVO nahezu gleich mit dem aus Art. 7 lit. f EU-Datenschutzrichtlinie ist, kann auch für die Auslegung und Anwendung des Art. 6 Abs. 1 lit. f DSGVO die Stellungnahme der Artikel-29-Datenschutzgruppe zur Hilfe genommen werden. 202Albrecht, CR 2016, 88 (92). 203Erwägungsgrund 47 Satz 2 lautet explizit: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist [...].“ 204Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 28. 205Zur umstrittenen Anwendbarkeit des Merkmals der Erforderlichkeit auf Privatrechtssubjekte (jedoch im Ergebnis bejahend) m.w.N. Robrahn/Bremert, ZD 2018, 291 (292f.). 206Im Ergebnis auch Härting, Datenschutz-Grundverordnung, Teil B, S. 105, Rn. 430, 433, der jedoch die Wertungen der Datenschutzprinzipien in die berechtigten Interessen und nicht in den Erforderlichkeitsgrundsatz einfließen lässt; zu den Datenschutzprinzipien kursorisch etwa Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2, Rn. 2ff.; im Einzelnen zu den Datenschutzprinzipien im Folgenden an relevanter Stelle. 207Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 37; dies kann auch aus Erwägungsgrund 39 Satz 9 abgeleitet werden, wonach „personenbezogene Daten [...] nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“, vgl. Herfurth, ZD 2018, 514 (515). 208Buchner/Petri, in: Kühling/Buchner, DSGVO/BDSG, Art. 6, Rn. 15. 209Dafür sind die gegenüberstehenden Interessen und Rechte zunächst zu gewichten und sodann zu vergleichen, Robrahn/Bremert, ZD 2018, 291 (293). 210So soll in die Abwägung bereits jedes (legitime) Interesse der betroffenen Person und nicht bloß geschützte Grundrechte und Grundfreiheiten einfließen, denn wenn jedes Interesse des Verantwortlichen Berücksichtigung finden darf, dann soll Gleiches auch für die betroffene Person gelten, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 38. 211Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 43; Voigt/von dem Bussche, DSGVO, S. 135. 212Verkennt der Verantwortliche einzelne erkennbare Interessen der betroffenen Person, obwohl er eine solche Prüfungsabwägung vorgenommen hat, muss er sich diesen Abwägungsfehler nur vorwerfen lassen, wenn diese Interessen der betroffenen Person für den Verantwortlichen aus ex ante-Sicht erkennbar waren, Robrahn/Bremert, ZD 2018, 291 (293). 213Robrahn/Bremert, ZD 2018, 291 (295). 214EuGH, Rs. 13/16, Rigas satiksme, ECLI:EU:C:2017:336, Rn. 31. 215So zur EU-Datenschutzrichtlinie EuGH, verb. Rs. C-468/10 und C-469/10, ASNEF/FECEMD, ECLI:EU:C:2011:777, Rn. 47. 216Bei gleichwertigen Interessen ist die Datenverarbeitung hingegen nach Art. 6 Abs. 1 lit. f DGVO gerechtfertigt, Robrahn/Bremert, ZD 2018, 291 (294); Schulz, in: Gola, DSGVO, Art. 6, Rn. 58. 217Vgl. von Lewinski/Pohl, ZD 2018, 17 (18); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DSGVO, Rn. 27. Anders als in den USA war bislang die Berücksichtigung der Erwartungshaltung der betroffenen Personen im europäischen Datenschutzrecht nicht vorgesehen, weshalb im Einzelfall bei der Auslegung auf die das amerikanische Institut der „reasonable expectations“ als Hilfestellung zurückgegriffen werden kann, vgl. Piltz, K&R 2016, 557 (565). So ist in dieser Hinsicht eine Annäherung des europäischen Datenschutzrechtsrahmens an das Regelungssystem der USA erkennbar, Wehmeyer, PinG 2016, 215 (217). 218Abzustellen ist auf einen objektiven Dritten in der konkreten Situation der betroffenen Person, Schulz, in: Gola, DSGVO, Art. 6, Rn. 63; Herfurth, ZD 2018, 514 (518). Unter den unbestimmten Rechtsbegriff der „vernünftigen“ Erwartungen fallen zumindest solche, die logisch, rational, sinnvoll und auch realistisch sind, Piltz, K&R 2016, 557 (565). 219Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 220Vgl. Sattler, JZ 2017, 1036 (1045). 221Vgl. Schmidt, Handelsrecht, Unternehmensrecht I, § 3, Rn. 1. 222Picot, Handbuch Mergers & Acquisitions, S. 25. 223Vossler, in: Oetker, HGB, §§ 25–28 Anh., Rn. 2; BGH, Urteil vom 13. Oktober 1977 – II ZR 123/76 = BGHZ 69, 334 (335f.); BGH, Urteil vom 26. Oktober 1959 – KZR 2/59 = BGHZ 31, 105 (108f.). 224So auch Beisel, in: Beisel/Klumpp, Der Unternehmenskauf, § 1, Rn. 14; bspw. ist der Versuch des BGH im Zusammenhang mit einer kartellrechtlichen Entscheidung, das Unternehmen als ein Gebilde zu bezeichnen, welches sich „institutionell und funktionell als Unternehmen im hergebrachten Sinne darstellt“ (BGH, Beschluss vom 08. Mai 1979 – KVR 1/78 = BGHZ 74, 359 (364)), aufgrund der stark auslegungsbedürftigen Begriffe kaum aufschlussreich. 225M.w.N. Gomille, JA 2012, 487 (488). 226Beisel, in: Beisel/Klumpp, Der Unternehmenskauf, § 4, Rn. 4; Thiessen, in: MüKoHGB, § 25 Anh., Rn. 3. 227Vgl. Schmidt, Handelsrecht, Unternehmensrecht I, § 3, Rn. 3f. 228Vgl. Rempp, in: Hölters, Handbuch Unternehmenskauf, Teil I, Rn. 1.2; zur vorausgesetzten Rechtsfähigkeit des Unternehmensträgers ausführlich Schmidt, Handelsrecht, Unternehmensrecht I, § 4, Rn. 4ff. 229Inwiefern die Regelmäßigkeit der wirtschaftlichen Tätigkeit ein einschränkendes Erfordernis des Unternehmensbegriffs ist oder es sich lediglich um ein redaktionelles Versehen in Bezug auf Personengesellschaften und Vereinigungen handelt, siehe Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 73; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 135. 230Gola, K&R 2017, 145 (145). Nach Erwägungsgrund 18 haben Datenverarbeitungen ausschließlich zu persönlichen oder familiären Zwecken keinen Bezug zu einer wirtschaftlichen (oder beruflichen) Tätigkeit. 231So auch Schröder, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 18, Rn. 1. 232Solche rechtlichen Folgen für Unternehmen finden sich in Art. 30 Abs. 5 DSGVO (Freistellung von der Verpflichtung zur Führung eines Verfahrensverzeichnisses), in Art. 40 Abs. 1 bzw. Art. 42 Abs. 1 DSGVO (Gestaltungsmöglichkeiten in Bezug auf Verhaltensregeln und Zertifizierungen für kleine und mittlere Unternehmen), oder in Art. 83 Abs. 4 und 5 DSGVO (Bußgeldbemessungen). 233Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 6; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 1. 234Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 5. 235Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. 236Siehe Legaldefinition in Art. 2 lit. d EU-Datenschutzrichtlinie, in der lediglich der Begriff „für die Verarbeitung Verantwortlicher“ statt des „Verantwortlichen“ nach der DSGVO verwendet wurde. Neben der identischen Definition des Verantwortlichen in der EU-Datenschutzrichtlinie und der DSGVO bleibt auch der Begriff des Dritten unverändert, weshalb die Grundsätze der Artikel-29-Datenschutzgruppe in Bezug auf die EU-Datenschutzrichtlinie (Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169) auf die Rechtslage nach der DSGVO Anwendung finden können. 237EuGH, Rs. 131/12, Google Spain, ECLI:EU:C:2014:317, Rn. 34. 238Zu den Kriterien des Mittels und des Zwecks der Verarbeitung ausführlich Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15ff. Im Unterschied dazu war nach dem BDSG a.F., in dem abweichend zur EU-Datenschutzrichtline der Begriff der „verantwortlichen Stelle“ verwendet wurde, die Interessenrichtung der Verarbeitung das entscheidende Kriterium, m.w.N. Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 3. 239Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. So soll wörtlich „auf der Grundlage einer Analyse der Fakten und nicht einer formellen Analyse“ die Bestimmung des Verantwortlichen erfolgen, Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12. 240Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 28, 30. Laut Artikel-29-Datenschutzgruppe kann die Kontrolle über die Verarbeitung aufgrund einer ausdrücklichen Kompetenznorm, ungeschriebener Kompetenzen („implizierte Zuständigkeit“) oder infolge tatsächlicher Einflussnahme bestehen, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12ff. 241Daneben wird in der DSGVO der Begriff des „Empfängers“ verwendet und in Art. 4 Nr. 9 DSGVO legaldefiniert, der auf den ersten Blick für Unternehmenstransaktionen eine Rolle spielen könnte. Zwar wird etwa im Rahmen der Betroffenenrechte oder beim Verzeichnis der Verarbeitungstätigkeiten auf den „Empfänger“ Bezug genommen, jedoch hat der Begriff keinerlei Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Übermittlung von Kundendaten bei Unternehmenstransaktionen. Es kommt bei der Empfängereigenschaft nicht darauf an, ob es sich um einen Dritten handelt oder nicht, sondern ausschließlich darauf, ob die empfangene Stelle Teil desselben Verantwortlichen ist, der die Daten offenlegt. All diejenigen, die nicht zum Verantwortlichen gehören, können Empfänger sein, vgl. Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 34; Gola, in: Gola, DSGVO, Art. 4, Rn. 78; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 9, Rn. 6. 242Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 DS-GVO, Rn. 60; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 10, Rn. 9. 243Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 38. 244Vgl. Gomille, JA 2012, 487 (488). 245Sofern das Unternehmen keine Gesellschaftsform innehat, ist der Einzelunternehmer identisch mit dem Unternehmen und gilt daher ebenso als Verantwortlicher. 246Beim Share Deal bleibt das Zielunternehmen datenschutzrechtlich verantwortlich, jedoch treten die Anteilsinhaber als Veräußerer des Zielunternehmens auf; siehe dazu S. 65f. 247Jung/Hansch, ZD 2019, 143 (146); ebd. zu den Ausnahmen des zulässigen Delegierens der Verantwortlichkeit. 248Wilhelmi, in: Gsell/Krüger/Lorenz/Reymann, BGB, § 453, Rn. 274; das zu erwerbende Zielunternehmen wird auch teilweise als sog. „Target“ bezeichnet, so etwa van Kann, Kapitel I: Transaktionsanbahnung und -ablauf, in: van Kann, Praxishandbuch Unternehmenskauf, S. 8; Gran, NJW 2008, 1409 (1409); zu den Gestaltungsformen einer Unternehmenstransaktion im Einzelnen siehe S. 64ff. 249Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172ff., auch weiterführend zu den praktischen relevanten konzerninternen Datenübermittlungen wie etwa solchen in Matrix-Strukturen oder HR-Datenbanken; zum Aufbau und Merkmalen von Matrixorganisationen Schmidl, DuD 2009, 364 (365f.). 250Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 2. 251Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (535). 252Hierzu kritisch Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 175, denn das tatsächliche Vorliegen eines berechtigten Interesses bleibt weiterhin einzelfallabhängig. 253Erwägungsgrund 48 wird deshalb auch teils als „kleines Konzernprivileg“ bezeichnet, Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (542). Das Europäische Parlament unterbreitete hingegen einen noch strengeren Vorschlag, wonach eine Übermittlung innerhalb einer Unternehmensgruppe für interne (administrative) Verwaltungszwecke nur zulässig sein sollte, wenn ein angemessenes Datenschutzniveau durch interne Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln gewährleistet wird. Auf diesen Zusatz wurde jedoch in der endgültigen Fassung der DSGVO verzichtet, vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 664. 254Was genau unter „interne[n] Verwaltungszwecke[n]“ verstanden werden muss, ist bislang noch ungeklärt; dazu kursorisch Ringel/von Busekist, CCZ 2017, 31 (36). 255Im Sprachgebrauch der DSGVO fällt ein Konzern unter den Begriff der „Unternehmensgruppe“ i.S.v. Art. 4 Nr. 19 DSGVO, Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172. 256Auf den Begriff der Unternehmensgruppe wird nur vereinzelt im Gesetzestext der DSGVO Bezug genommen (etwa in Art. 37 Abs. 2, Art. 47, Art. 88 Abs. 2 DSGVO). Seine Relevanz erfährt er aber insbesondere im Rahmen des Erwägungsgrunds 48. Darüber hinaus wird die Unternehmensgruppe in Erwägungsgrund 36 und 110 erwähnt. 257Gem. Erwägungsgrund 37 Satz 1 sollte das herrschende Unternehmen dasjenige sein, das z.B. aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, soll gem. Satz 2 zusammen mit diesen als eine Unternehmensgruppe betrachtet werden. 258Ringel/von Busekist, CCZ 2017, 31 (36). Für die Beurteilung der Zulässigkeit der Datenverarbeitung wird jedoch jedes rechtlich selbstständige Unternehmen innerhalb eines Konzerns als eigenständiger Verantwortlicher behandelt, weshalb die Differenzierung zwischen einem Unterordnungs- und Gleichordnungskonzern in diesem Zusammenhang nur marginale Auswirkungen hinsichtlich des Erwägungsgrundes 48 hat. 259Vgl. Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 15. 260Zur Privilegierungswirkung der Auftragsdatenverarbeitung nach der EU-Datenschutzrichtlinie und dem BDSG a.F. siehe m.w.N. Krohm/Müller-Peltzer, RDV 2016, 307 (307f.). Eine fortwährende Privilegierung der Auftragsdatenverarbeitung nach der DSGVO kann auf zwei Ansätze zurückgeführt werden. Zum einen wird argumentiert, dass Art. 28 DSGVO als eigenständiger Erlaubnistatbestand für die Datenweitergabe gilt. Zum anderen gibt es Vertreter, die den Datenverarbeitungsvorgang bei der Auftragsverarbeitung einheitlich bewerten und daher die Weitergabe der Daten an den Auftragsverarbeiter und dessen Verarbeitungstätigkeiten im Auftrag bei Vorliegen der Voraussetzungen des Art. 28 DSGVO bereits vom Umfang der ursprünglichen rechtmäßigen Verarbeitung erfasst sehen, vgl. zu beiden Auffassungen Schmidt/Freund, ZD 2017, 14 (16f.); überzeugend aber hinsichtlich der letzteren Auffassung Schmitz/von Dall’Armi, ZD 2016, 427 (429); Härting, ITRB 2016, 137 (139); Krohm/Müller-Peltzer, RDV 2016, 307 (310f.); Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 5, C, Rn. 22.; von Holleben/Knaut, CR 2017, 299 (301); Eckhardt, CCZ 2017, 111 (113); Seiter, DuD 2019, 127 (131). 261Spoerr, in: Wolff/Brink, Datenschutzrecht, Artikel 28 DS-GVO, Rn. 31; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 5, Teil A, Rn. 10; Roßnagel/Kroschwald, ZD 2014, 495 (497); Koós/Englisch, ZD 2014, 276 (284). 262Wäre in der DSGVO bestimmt worden, wann der Tatbestand der Übermittlung vorläge, hätte die Rechtsunsicherheit vermieden werden können, ob die Datenweitergabe an einen Auftragsverarbeiter den Übermittlungstatbestand erfüllt, vgl. Krohm/Müller-Peltzer, RDV 2016, 307 (308); ebd. ausführlich zum Streit über die rechtliche Einordnung der Auftragsverarbeitung in der DSGVO. 263So explizit der Wortlaut der Legaldefinition des Dritten in Art. 4 Nr. 10 DSGVO. Nach § 3 Abs. 8 Satz 3 BDSG a.F. war die Ablehnung des Auftragsverarbeiters als Dritten hingegen territorial beschränkt. 264Zustimmend Kramer, in: Auernhammer, DSGVO BDSG, Art. 28 DSGVO, Rn. 9; Hartung/Büttgen, DuD 2017, 549 (553). 265Dass die DSGVO eigenverantwortliches Handeln und eigene Entscheidungsspielräume des Auftragsverarbeiters nicht ausschließt (so Härting, ITRB 2016, 137 (138)), welches tatsächlich ins Gewicht fallen, ist vor dem Hintergrund der präzisen inhaltlichen Anforderungen an eine Auftragsdatenvereinbarung nach Art. 28 Abs. 3 DSGVO nur schwer nachvollziehbar. 266Gola, K&R 2017, 145 (148f.); Schmitz/von Dall’Armi, ZD 2016, 427 (429); zu den einzelnen Pflichten Lissner, Auftragsdatenverarbeitung nach der DSGVO – Was kommt, was bleibt?, in: Taeger, DSRITB 2016, 401 (409ff.). 267A.A. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2017, S. 130f. zum BDSG a.F. 268Vgl. Müthlein, RDV 2016, 74 (83f.); ebd. ausführlich zu den Änderungen der Auftragsdatenverarbeitung nach der DSGVO im Vergleich zum BDSG a.F. 269Zustimmend Tribess/Spitz, GWR 2019, 261 (262). 270Aufgrund der Kongruenz der Definition des Verantwortlichen in der EU-Datenschutzrichtlinie und der DSGVO, aus dessen Kontext sich das Institut des gemeinsamen Verantwortlichen ergibt, können die Grundsätze der Artikel-29-Datenschutzgruppe zum gemeinsamen Verantwortlichen (vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169) und die Rechtsprechung zur EU-Datenschutzrichtlinie auch auf die aktuelle Rechtslage übertragen werden. Im BDSG a.F. wurde hingegen das Konzept des gemeinsamen Verantwortlichen nicht explizit bestimmt, vgl. Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 3. 271Zu den weiteren Einzelheiten und insbesondere zu den Anforderungen an eine Vereinbarung zwischen den gemeinsamen Verantwortlichen, vgl. Dovas, ZD 2016, 512 (514ff.); Lezzi/Oberlin, ZD 2018, 398 (402f.). 272Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1, Teil B, Rn. 55. 273Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 12; zu den Merkmalen der „Zwecke und Mittel der Verarbeitung“ bei gemeinsamen Verantwortlichen und den Grad der Beteiligung an der gemeinsamen Entscheidung Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 21ff.; Lezzi/Oberlin, ZD 2018, 398 (400), wonach kein gleiches Maß an Mitbestimmungsrecht hinsichtlich der Festlegung der Zwecke und Mittel erforderlich ist; für das nach alter Rechtslage entscheidende Abgrenzungskriterium der „Funktionsübertragung“ ist hingegen unter Geltung der DSGVO kein Raum mehr, Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO vom 19.03.2018, S. 2. 274Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 26, Rn. 11; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 62; Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO vom 19.03.2018, S. 1; a.A. Plath, in: Plath, DSGVO/BDSG, Art. 26, Rn. 5; Moos, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, Kapitel 8, Rn. 32; Monreal, ZD 2014, 611 (616), der Datenübermittlungen an andere gemeinsame Verantwortliche aus der Rolle des Verantwortlichen heraus legitimiert, weshalb ein rechtfertigender Erlaubnistatbestand entbehrlich ist. 275Dovas, ZD 2016, 512 (515). 276So auch Conrad, ZD 2016, 1 (2): a.A. Bach, EuZW 2020, 175 (176); Tribess/Spitz, GWR 2019, 261 (262) zumindest im Hinblick auf die Due Diligence-Phase. 277Vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1, Teil B, Rn. 56; Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO vom 19.03.2018, S. 3. 278Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15. 279Moos/Rothkegel, MMR 2018, 591 (598). 280Vgl. EuGH, Rs. 40/17, Fashion ID, ECLI:EU:C:2019:629, Rn. 85. 281Vgl. EuGH, Rs. 210/16, Facebook-Fanpages, ECLI:EU:C:2018:388, Rn. 36; zur Einstufung als gemeinsame Verantwortliche kommt es allerdings nicht darauf an, dass jeder Zugang zu den betreffenden personenbezogenen Daten hat, ebd., Rn. 38. 282Siehe dazu S. 245f.