Carmen Födisch - Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Ziel der vorliegenden Arbeit ist es, die Zulässigkeit von Kundendatenübertragungen im Zuge von privatrechtlichen Unternehmenstransaktionen in datenschutzrechtlicher Hinsicht zu evaluieren. Davon abgesehen sollen umfassend diejenigen spezifischen Vorschriften der DSGVO beleuchtet werden, die darüber hinaus bei Unternehmenstransaktionen zum Tragen kommen. Die Herausforderung der nachfolgenden Ausarbeitung besteht darin, nicht nur eine rechtliche Einschätzung zu geben, sondern zugleich praktische Vorgehensweisen für datenverarbeitende Unternehmen und Maßnahmen im Umgang mit den konkreten datenschutzrechtlichen Anforderungen für die Rechtspraxis zu evaluieren.

Nach einer kurzen Einführung in die Problematik (Kapitel Eins) wird zunächst kursorisch der Rechtsrahmen anhand der Entwicklung des deutschen Datenschutzrechts dargelegt (Kapitel Zwei), bevor die Grundlagen einer Unternehmenstransaktion im datenschutzrechtlichen und ökonomischen Kontext erläutert werden, die als Ausgangspunkt für eine eingehende Auseinandersetzung mit dem Schutz von personenbezogenen Kundendaten vorauszusetzen sind (Kapitel Drei).

Die anschließende Ausarbeitung (Kapitel Vier) sieht vor, transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken aufzudecken. Hierbei wird die Frage erörtert, welche technischen und organisatorischen Maßnahmen die beteiligten Akteure im gesamten Verlauf der Unternehmenstransaktionen zu ergreifen haben und welche Voraussetzungen der Datensicherheit dabei einzuhalten sind.

Im Mittelpunkt der weiteren Vorgehensweise steht, anhand jedes einzelnen Schrittes einer Unternehmenstransaktion den rechtmäßigen Umgang mit Kundendaten zu untersuchen. Die Kapitel thematisieren daher jeweils eine der vier Phasen einer Unternehmenstransaktion: die Vorbereitungsphase (Kapitel Fünf), die Due Diligence (Kapitel Sechs), die Vollzugsphase (Kapitel Sieben) und die Phase der anschließenden Integration der Daten (Kapitel Acht).

Einen Schwerpunkt in der Due Diligence bildet die Abgrenzung des Verarbeitungsbegriffs zur zweckändernden Verarbeitung. In Kapitel Sechs werden zudem die Voraussetzungen für eine rechtmäßige Einwilligungserklärung nach neuer Gesetzeslage analysiert. Neben einer Darstellung und Bewertung der Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung von Kundendaten in den Datenraum wird in diesem Kapitel an die Informationspflichten nach der DSGVO angeknüpft und letztlich ein Lösungsansatz für eine effektive und datenschutzkonforme Datenverarbeitung in der Praxis präsentiert.

Im Kapitel Sieben soll die datenschutzrechtliche Untersuchung der Vollzugsphase anhand der jeweiligen Gestaltungsform einer Unternehmenstransaktion – Share Deal, Asset Deal oder Umwandlung – differenziert werden. Im Rahmen des Vollzugs eines Asset Deals ist vor allem eine umfassende Auseinandersetzung mit dem Bußgeldbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vom 30.7.2015 geboten, in dem eine ‚Widerspruchslösung‘ bei der Übermittlung von Kundendaten gefordert wird. Insgesamt wird der Meinungsstand von Literatur und Rechtsprechung sowie einzelner Datenschutzbehörden dahingehend ausgewertet, wie der Verarbeitungstatbestand bzw. die Erlaubnistatbestände sowohl beim Asset Deal, Share Deal als auch bei der Umwandlung ausgelegt werden. Auf Basis dessen soll sodann ein eigenes Auslegungsergebnis entwickelt werden. Der Bearbeitung liegt der Gedanke zugrunde, dass das Datenschutzrecht das Vertrauen der Kunden in unternehmerische Datenverarbeitungstätigkeiten wiederherstellen soll, zugleich aber Innovation und Marktfreiheit nicht ausgebremst werden dürfen.

In Kapitel Acht ist zu erörtern, wie nach einer Unternehmenstransaktion erworbene Kundendatensätze rechtmäßig genutzt werden können, um einen möglichst großen Nutzen der Daten unter Wahrung der Rechte der Kunden zu erzielen. Datenschutzrechtlicher Dreh- und Angelpunkt ist hierbei der Zweckbindungsgrundsatz. Für die Problematik, wer für die Datenverarbeitungsvorgänge verantwortlich ist, wird ein temporärer Lösungsansatz aus dem Datenschutzrecht vorgeschlagen. Anschließend werden Überlegungen zu rechtlichen Konsequenzen im Falle von datenschutzrechtlichen Verstößen während einer Unternehmenstransaktion angestellt.

Im Zentrum der Auseinandersetzung mit den genannten Fragestellungen steht die DSGVO, da das BDSG n.F. keine weiteren Präzisierungen hinsichtlich des Umgangs mit Kundendaten bei Unternehmenstransaktionen enthält, sodass unmittelbar die Bestimmungen der DSGVO alleiniger Gegenstand der nachfolgenden Bearbeitung sind. Die Anwendung klassischer juristischer Methodik wird einen wesentlichen Beitrag zur Ermittlung des Willens des europäischen Gesetzgebers und des jeweiligen Zwecks einer Norm in der DSGVO leisten. Die Grauzonen des Datenschutzrechts respektive die in der DSGVO häufig verwendeten abstrakten und generalklauselartigen Bestimmungen sollen einer konkreten Interpretation unterzogen werden. Eine Herausforderung besteht also darin, die vielen offenen Formulierungen und Prinzipien der geltenden Rechtslage nach der DSGVO in Anbetracht einer erst kürzlich unionsweiten Harmonisierung zu präzisieren, da es an einer ausgeprägten Rechtsprechung zur DSGVO noch fehlt. Infolge der jungen Geschichte der DSGVO sind im Rahmen der historischen Auslegungsmethode insbesondere die Erwägungsgründe der DSGVO von Bedeutung, die aufzeigen, welche Überlegungen und Beweggründe zum Erlass der DSGVO geführt haben. Da sie auch Auskunft über den Sinn und Zweck einzelner Regelungen der DSGVO gewähren, dienen sie als wichtige Orientierungshilfe im Rahmen der Auslegung.34 Sofern von Relevanz, wird rechtsvergleichend auf die Vorschriften des BDSG a.F. bzw. auf die diesem Gesetz zugrundeliegende EU-Datenschutzrichtlinie eingegangen. Da die DSGVO aus deutscher Sicht und mit Blick auf die angestrebte Rechtssicherheit teilweise in Frage gestellt wird, soll die nachfolgende Auseinandersetzung dahingehend einen Mehrwert bieten, für beteiligte Unternehmen und betroffene Kunden Klarheit zu schaffen, wie mit Kundendaten bei Unternehmenstransaktionen umzugehen ist.

34Paal/Pauly, in: Paal/Pauly, DS-GVO BDSG, Einleitung, Rn. 10.

Um dem Schutzregime der DSGVO zu unterfallen, muss eine Verarbeitung von personenbezogenen Kundendaten im Rahmen von Unternehmenstransaktionen einen hinreichenden Unionsbezug i.S.v. Art. 3 DSGVO aufweisen. Dieser ist zu unterstellen, sodass der räumliche Anwendungsbereich der DSGVO als eröffnet gilt.35 Davon abgesehen soll es nachfolgend nicht um Unternehmenstransaktionen außerhalb des Geltungsbereichs der DSGVO gehen. Solche Drittlanddatentransfers sind nur unter den zusätzlichen Voraussetzungen der Art. 44ff. DSGVO zulässig.36

Im Hinblick auf die rechtliche Zulässigkeit der Übermittlung von Kundendaten im Zuge einer Unternehmenstransaktion erfolgt lediglich eine datenschutzrechtliche Bewertung.37 Aus diesem Grund werden kartell- und lauterkeitsrechtliche Fragestellungen nicht untersucht.

Inwiefern hingegen Rechte an den Daten der Kunden bestehen können, ob also Unternehmen überhaupt befugt sind, die Daten zu nutzen, ist von gänzlich anderem rechtlichen Ausmaß. Deshalb soll für die folgende Untersuchung davon ausgegangen werden, dass Unternehmen grundsätzlich zur Nutzung befugt sind; es wird daher um die faktische Übertragbarkeit der Kundendaten gehen.38

35Ausführlich zum räumlichen Anwendungsbereich etwa Golland, DuD 2018, 351 (351ff.); Klar, in: Kühling/Buchner, DSGVO/BDSG, Art. 3, Rn. 35ff.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, B, Rn. 31ff. 36Ausführlich zur Übermittlung personenbezogener Daten in Drittländer und den Anforderungen etwa Wybitul/Ströbel/Ruess, ZD 2017, 503 (503ff.); Ambrock/Karg, ZD 2017, 154 (154ff.); Voigt/von dem Bussche, DSGVO, S. 150ff.; Schröder/von Alten/Weinhold, ZD 2018, 746 (746ff.); Wieczorek, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, Teil A, § 7, Rn. 1ff. 37Da nachfolgend maßgeblich die Übermittlung statt der Erhebung und Verwendung von personenbezogenen Daten von Bedeutung ist, spielt sowohl das Telemediengesetz (TMG), als auch das Telekommunikationsgesetz (TKG) keine weitere Rolle, vgl. Funk, KSzW 2017, 56 (57). 38Zu der Frage nach Rechten an Daten und einer Ausschließlichkeitsfunktion, einschließlich der Lizensierung siehe etwa Max-Planck-Institut für Innovation und Wettbewerb, Positionspapier vom 16.8.2016 zur aktuellen europäischen Debatte, GRUR Int. 2016, 914 (914ff.); Schefzig, K&R 2015, 3 (3ff.); Denga, NJW 2018, 1371 (1371ff.); Wandtke, MMR 2017, 6 (6ff.); Härting/Schneider, CR 2015, 819 (826); Markendorf, ZD 2018, 409 (409ff.); Determann, ZD 2018, 503 (503ff.).