Carmen Födisch - Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Umso mehr verwundert es, dass keine hinreichende Klarheit besteht, ob die Übertragung von personenbezogenen Kundendaten vom Veräußerer eines Unternehmens an einen Erwerber datenschutzrechtlich gerechtfertigt werden kann und welche datenschutzrechtlichen Anforderungen im Hinblick auf den Umgang mit Kundendaten während des gesamten Prozesses einer Unternehmenstransaktion konkret zu erfüllen sind.23 Da die Parteien bei Rechtsverstößen in der Praxis bislang häufig versucht haben, sich außergerichtlich zu einigen, um öffentliche Aufmerksamkeit zu vermeiden,24 fehlt es vor allem auch an gerichtlichen Entscheidungen zu den relevanten datenschutzrechtlichen Fragestellungen.25 Hinsichtlich der Frage des Kundendatenschutzes bei Unternehmenstransaktionen verkompliziert sich der durch die DSGVO geänderte datenschutzrechtliche Rahmen außerdem dadurch, dass bislang kaum klärende Rechtsprechung oder behördliche Entscheidungen zur Auslegung und Anwendung der DSGVO vorliegen. Zugleich enthält die DSGVO weder einzelne Regelungen noch Erwägungsgründe zum Umgang mit Kundendaten bei Unternehmenstransaktionen.26 Im Allgemeinen umfasst der Datenschutz den Schutz der Privatsphäre und der Persönlichkeit von natürlichen Personen, deren Daten verarbeitet werden.27 Zu der Frage, was hingegen konkret unter Kundendatenschutz verstanden wird, schweigt sowohl die EU-Datenschutzrichtlinie als auch die DSGVO.28 Weithin geht es dabei um den Schutz sämtlicher personenbezogener Daten, über die ein Verantwortlicher (also ein Unternehmen) im Hinblick auf seine bestehenden oder ehemaligen Kunden verfügt.29 Es wäre jedoch falsch anzunehmen, dass die DSGVO ausschließlich zum Schutz natürlicher Personen bei der Datenverarbeitung dient. Art. 1 Abs. 1 DSGVO hebt hervor, dass die DSGVO auch den freien Verkehr von personenbezogenen Daten regelt.30 Damit hat der europäische Gesetzgeber ausdrücklich den Wert von Daten in der heutigen digitalen Wirtschaft hervorgehoben, den es nicht zu behindern, sondern in verantwortlicher und angemessener Weise zu gestalten gilt. Gleichzeitig ist es aber nicht von der Hand zu weisen, dass der „unionsweite Austausch personenbezogener Daten zwischen [...] privaten Akteuren einschließlich natürlichen Personen, Vereinigungen und Unternehmen [...] zugenommen“ hat, vgl. Erwägungsgrund 5 Satz 2.31 Zumindest indirekt hat damit der europäische Gesetzgeber die steigende Relevanz von Unternehmenstransaktionen in der Wirtschaft erkannt, die zunehmend das Potential von datenschutzrechtlichen Verstößen birgen.

Dass die Übernahme eines Unternehmens aber nicht nur rechtliche, sondern auch operative Herausforderungen in Bezug auf Kundendaten mit sich bringen kann, verdeutlicht beispielhaft die Fusion von Telefónica und E-Plus und der erst im Jahr 2016/2017 stattgefundenen Zusammenlegung der Netze, was als die „größte Kundenmigration in der Mobilfunkgeschichte“ bezeichnet wurde.32 Telefónica, in Europa unter dem Namen O2 agierend, hatte mit zahlreichen Kundenbeschwerden zu kämpfen, nachdem Kunden Störungen bei ihrem Internet- und Telefonanschluss meldeten. Telefonische Anliegen über die Kundenhotline konnten jedoch kaum angenommen und bearbeitet werden. Als Grund hierfür gab das Unternehmen die hochkomplizierte Übertragung von mehreren Millionen Kundendaten in ein einheitliches Kundensystem an. Dies zeigt einmal mehr, dass technische Schwierigkeiten bei der Zusammenführung von Datensätzen infolge einer Unternehmenstransaktion zu einer belastenden Kundensituation führen können, bei der im schlimmsten Fall sogar ein erheblicher Verlust des Kundenstamms droht. Da mit einer solchen unternehmerischen Maßnahme meist gerade das Gegenteil – nämlich eine Vergrößerung der Kundschaft – beabsichtigt wird, ist es für Unternehmen äußerst wichtig, bereits im Vorfeld einer Transaktion eine geeignete Datenstruktur zu schaffen, die den rechtlichen und tatsächlichen Gegebenheiten standhält. Ein Unternehmen kann nur dann den optimalen Nutzen aus einer Transaktion ziehen, wenn die Abwicklung der Transaktion vom ersten Schritt des Prozesses bis zur Integration strukturiert und ordnungsgemäß funktioniert.33

1So auch u.a. Wilhelmi, in: Gsell/Krüger/Lorenz/Reymann, BGB, § 453, Rn. 263. Nach zwei Studien des Institute for Mergers, Acquisitions and Alliances (IMAA) haben allein in Deutschland im Jahr 2019 über 2.000 Unternehmenstransaktionen mit einem Transaktionsvolumen von 134 Mrd. Euro stattgefunden, vgl. Institute for Mergers, Acquisitions and Alliances (IMAA) (2020), zitiert nach Statista (2020): „Anzahl der M&A Deals in Deutschland von 1991 bis 2020“, abrufbar unter https://de-1statista-1com-1ny53hpd27013.han.sub.uni-goettingen.de/statistik/daten/studie/233975/umfrage/anzahl-der-munda-deals-in-deutschland-nach-quartalen/ (zuletzt abgerufen am 01.08.2020) sowie „Volumen der M&A Deals in Deutschland von 1991 bis 2020 (in Milliarden Euro)“ abrufbar unter https://de-1statista-1com-1ny53hpd27013.han.sub.uni-goettingen.de/statistik/daten/studie/233970/umfrage/volumen-der-munda-deals-in-deutschland/ (zuletzt abgerufen am 01.08.2020). 2Duisberg, RDV 2004, 104 (105). 3Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, 26. Tätigkeitsbericht Datenschutz 2016/2017, S. 86. 4Dies trifft insbesondere auf Unternehmen zu, die Online-Portale (wie etwa soziale Netzwerke) betreiben bzw. Apps entwickeln, vgl. Baranowski/Glaßl, BB 2017, 199 (199). 5Vgl. Moos, K&R Beihefter 3/2015, 12 (12); daneben ist der eigene wirtschaftliche Wert von Daten in der heutigen Informationsgesellschaft nicht zu verkennen, denn Daten dienen immer häufiger als Instrument zur Erlangung geldwerter Vorteile in der Privatwirtschaft (bspw. die Preisgabe von Daten zur Erlangung von kostenlosen Informationen), vgl. Klement, JZ 2017, 161 (168). 6Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert vom 25.1.2012, KOM (2012) 9 endgültig, Abschnitt 1., S. 2. 7Vgl. Krohm/Müller-Peltzer, ZD 2017, 551 (551). 8Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 18; die im öffentlichen Diskurs oft zu hörende Bezeichnung der Daten als das neue „Öl“ (vgl. etwa Wandtke, MMR 2017, 6 (6); Berberich/Kanschik, NZI 2017, 1 (1)) hinkt insoweit, da Daten gerade nicht vergänglich oder exklusiv sind, vgl. m.w.N. Louven, NZKart 2018, 217 (220). 9Vgl. Funk, KSzW 2017, 56 (56). 10Pressemitteilung „Studie von IDC und Seagate: Weltweite Datenmenge verzehnfacht sich bis 2025 auf 163 ZB“ vom 04.04.2017 auf seagate.com, abrufbar unter: https://www.seagate.com/de/de/news/news-archive/seagate-advises-global-business-leaders-and-entrepreneurs-pr-master/ (zuletzt abgerufen am 01.08.2020). 11Vgl. Wandtke, MMR 2017, 6 (6). 12GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 10. 13Vgl. Beyer/Beyer, NZI 2016, 241 (242); Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 1; Uwer/Jungkind, in: Meyer-Sparenberg/Jäckle, Beck’sches M&A-Handbuch, § 77, Rn. 1. 14Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 1. 15Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4. Mai 2016, S. 1ff.), im Folgenden: DSGVO. 16Zwar ist die DSGVO schon seit dem 24. Mai 2016 in Kraft (gem. Art. 99 Abs. 1 DSGVO 20 Tage nach ihrer Veröffentlichung am 4. Mai 2016 im ABl. L 119), jedoch erlangte die DSGVO erst ab dem Zeitpunkt ihrer Geltung (vgl. Art. 99 Abs. 2 DSGVO) Verbindlichkeit. Dieser Übergangszeitraum von zwei Jahren sollte es den Mitgliedstaaten, Verantwortlichen und Datenschutzbehörden erleichtern, die nötigen Maßnahmen zur Umsetzung der DSGVO zu treffen, vgl. Pauly, in: Paal/Pauly, DS-GVO BDSG, Art. 99 DS-GVO, Rn. 2. 17Der Begriff der Unternehmenstransaktion ist nachfolgend im weitesten Sinne unabhängig von der konkreten Form der juristischen Ausgestaltung zu verstehen; Näheres hierzu S. 70ff. 18Stattdessen gilt es für die Unternehmen den Datenschutz als Chance zu sehen, um einen Wettbewerbsvorsprung zu erlangen, dazu Bayer, Artikel „Firmen nutzen die Chancen durch die DSGVO zu wenig“ vom 24.05.2018 auf computerwoche.de, abrufbar unter https://www.computerwoche.de/a/firmen-nutzen-die-chancen-durch-die-dsgvo-zu-wenig, 3544981 (zuletzt abgerufen am 01.08.2020). 19Insbesondere tendiert die jüngere Generation zu einer größeren Bereitschaft, ihre personenbezogenen Daten zu offenbaren, vgl. Klement, JZ 2017, 161 (168). 20Vgl. Plath/Struck/ter Hazeborg, CR 2020, 9 (9). 21Plath, Datenschutz bei M&A-Transaktionen, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 6, Rn. 2. 22So u.a. insbesondere Ernst, DuD 2016, 792 (795); dies wird an relevanter Stelle eingehend erläutert. 23Im Folgenden werden grundsätzlich die Begriffe des Veräußerers und des Erwerbers statt die des Verkäufers und Käufers verwendet, da die Übertragung von Kundendaten im Rahmen von Unternehmenstransaktionen maßgeblich von dinglicher Bedeutung ist. Ferner gilt der Begriff der Verarbeitung von oder des Umgangs mit personenbezogenen Daten synonym und gleichzeitig als Obergriff in Übereinstimmung mit der Legaldefinition des Art. 4 Nr. 2 DSGVO für das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 24Blassl, CCZ 2017, 37 (37). 25Eine Ausnahme stellt der Bußgeldbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vom 30.7.2015 dar, siehe dazu ausführlich S. 217ff. 26Wehmeyer, PinG 2016, 215 (216). 27Wächter, Datenschutz im Unternehmen, Rn. 1. 28So auch Bierekoven, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil XI, Kapitel 1, Rn. 1. 29Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 30Weil die DSGVO sowohl auf den Schutz der Grundrechte der Bürger als auch auf die Förderung des Binnenmarktes gerichtet ist, wohnt der DSGVO eine „doppelte Zweckrichtung“ inne, vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 9. 31Erwägungsgründe ohne Gesetzesangabe sind solche der DSGVO. Erwägungsgründe enthalten teils ergänzende Ausführungen zum Normtext, wobei einzelne Erwägungsgründe tendenziell ausführlicher ausgefallen sind, je brisanter die korrelierende Rechtsnorm in der DSGVO im Gesetzgebungsprozess diskutiert wurde, vgl. Kühling/Martini, EuZW 2016, 448 (448). Zwar dienen Erwägungsgründe als Auslegungshilfe der DSGVO, da sie begründen und rechtfertigen sollen, jedoch entfalten sie keine rechtliche Bindungswirkung, auch wenn sie Teil der Rechtsquelle sind, vgl. EuGH, Rs. 267/06, Schlussanträge des Generalanwalts Colomer vom 06.09.2007, BeckRS 2007, 70624, Rn. 76; Juristischer Dienst der EU, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2015, S. 31ff. 32Wilke, Artikel „Wie O2 Tausende Kunden in der Hotline hängen lässt“ vom 16.11.2017 auf sueddeutsche.de, abrufbar unter: http://www.sueddeutsche.de/wirtschaft/internet-und-telefonie-wie-o-tausende-kunden-in-der-hotline-haengen-laesst-1.3750419 (zuletzt abgerufen am 01.08.2020). 33Schiessl, in: Meyer-Sparenberg/Jäckle, Beck’sches M&A-Handbuch, § 1, Rn. 28.