dürfe. Diese Rechtsansicht ist aber nachvollziehbar, weil dieses Datum bei abgeschlossenem Vertragsverhältnis etwa für den Zweck der Neukundengewinnung nicht mehr im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO erforderlich ist.197 Die von der DSK aufgebrachte pauschale Drei-Jahres-Frist ist allerdings nicht verbindlich und nicht begründet, sodass es in jedem Einzelfall einer Abwägung bedarf.198
111
Bestehen offene Forderungen des Übertragenden, dürfen die Daten – so auch die DSK – aufgrund einer Forderungsabtretung (§§ 398ff. BGB) übertragen werden.
112
Die Übertragung von Kundendaten ohne laufende Vertragsverhältnisse auf eine Einwilligung zu stützen, wäre insbesondere aus zivilrechtlicher Sicht wegen des Wechsels des Vertragspartners eine sichere Lösung.199 Wegen der zu erwartenden geringen Rücklaufquote wäre sie aus der Sicht der Verantwortlichen nicht wünschenswert.200 Anstelle einer Einwilligung kommt eine gesetzliche Erlaubnis in Betracht.201 Diese wird sowohl für Kunden – wie auch für Beschäftigte in der Due Diligence- und in der Transaktionsphase202 – in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zu sehen sein, weil Übertragender und Empfänger der Daten ein berechtigtes Interesse an dem „deal“ haben.203 In der Regel werden auch die Unternehmenskunden ein Interesse „an einer reibungslosen Fortsetzung der Geschäftsbeziehung mit dem neuen Unternehmensinhaber haben“.204 Soweit die Kundendaten nicht aus einem lange zurückliegenden Vertragsverhältnis stammen und in einem vergleichbaren Geschäftssegment genutzt werden sollen, darf davon ausgegangen werden, dass gegenüber diesen Interessen dasjenige des betroffenen Kunden nicht überwiegt.
113
Dass die übertragenen Kundendaten nicht ohne gesonderte Einwilligung für eine elektronische Ansprache genutzt werden dürfen, folgt aus § 7 Abs. 2 Nr. 3 UWG. Ist eine Ansprache über E-Mail gewünscht, empfiehlt es sich, diese beim Betroffenen erneut einzuholen, weil sie – soweit sie vor der Übertragung der Daten vorlag – nicht gegenüber dem Empfänger erteilt wurde.
c) Alternative zur Auftragsverarbeitung
114
Bei einer entsprechenden vertraglichen Gestaltung kann es in der Praxis sachgerechter sein, anstelle einer Auftragsverarbeitung von einer Verarbeitung beispielsweise in der Form einer Datenübermittlung auszugehen, bei der Buchstabe f als Erlaubnistatbestand herangezogen wird. Um etwaige, nicht gewollte Folgen zu vermeiden, die bei einer Übermittlung darin liegen, dass der Empfänger der Daten zu einem Weisungen nicht unterliegenden Verantwortlichen wird, der allein über die weitere Verarbeitung entscheiden kann, sind vertragliche Vereinbarungen zwischen der übermittelnden Stelle und dem Empfänger der Daten denkbar, die diesen an vertraglich festgelegte Pflichten im Umgang mit den Daten bindet. Die Vereinbarung könnte etwa vorsehen, dass die Daten ausschließlich zu einem festgelegten Zweck verarbeitet und nach Zweckerreichung oder nach einer bestimmten Frist zu löschen sind.
115
Beispielsweise wäre es unpraktikabel und würde den Interessen sowohl der betroffenen Personen als auch der beteiligten Verantwortlichen entgegenstehen, wenn ein Mitarbeiter eines Handwerksunternehmens (Verantwortlicher) als Vertreter dieses Unternehmens auf einem Datenträger gespeicherte Fotos vom Betriebsfest auf einem Fotodrucker eines Kaufhauses (z.B. eines Drogeriemarktes) einen Auftragsverarbeitungsvertrag mit dem Aufsteller des Druckers schließen müsste, der die von dem Datenträger an den Drucker übermittelten Daten für den Fall etwaiger Gewährleistungsansprüche noch einige Tage speichert. Auf den Fotos sind Beschäftigte und Dritte erkennbar, sodass es sich bei den auf einem Datenträger (Chip) gespeicherten Fotos um personenbezogene Daten handelt. Die beim Ausdruck der Fotos stattfindende Verarbeitung würde hier auch nicht „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ erfolgen (Art. 2 Abs. 2 lit. c DSGVO), was die Anwendung der DSGVO ausschließen würde. Bedient sich ein Handwerksunternehmen eines Dritten, hier des Drogeriemarktes, um an einer Sofortbild-Station an einen Foto-Sofort-Drucker Dateien zu übermitteln, damit Fotos ausgedruckt werden, dann liegt es bei einer ersten datenschutzrechtlichen Bewertung nahe, dass mit dem Drogeriemarkt oder mit dem Fotodienstleister als Aufsteller des Fototerminals ein Auftragsverarbeitungsvertrag geschlossen werden müsste. Es liegt auf der Hand, dass Auftragsverarbeitungsverträge mit einer unüberschaubaren Zahl an Fotokunden, die auf den Verarbeitungsvorgang nicht einwirken und keine Weisungen erteilen können, nicht praxisgerecht wären. Dies ließe sich auch kaum über die AGB des Betreibers der Sofortbild-Station mit anonym bleibenden Auftraggebern realisieren. Der erforderliche technische Aufwand und der zeitaufwändige Prozess der Beauftragung über ein Terminal, bei dem zudem weitere personenbezogene Daten des Auftraggebers erhoben würden, wäre unzumutbar.
116
Eine mögliche und datenschutzrechtlich zulässige Alternative ist es, die Fotos auf der Grundlage des Buchstaben f „zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten“ vom Aufsteller des Fototerminals verarbeiten zu lassen. Damit der Aufsteller des Fototerminals dann nicht selbst als Verantwortlicher über die Verarbeitung der ihm überlassenen Fotos befinden kann, würden die Interessen der betroffenen Personen dadurch gewahrt werden, dass der Aufsteller des Fototerminals sich u.a. vertraglich verpflichten würde, die Menschen abbildenden Fotos beispielsweise nicht durch eine Gesichtserkennung personenbezogen auszuwerten oder zu anderen Zwecken zu verarbeiten und nach einer kurzen Frist von beispielsweise zwei Tagen wieder zu löschen. Das kann ggf. über die (sehr kurz gefassten) AGB erfolgen, die in den Vertragsschluss gem. § 305 Abs. 2 BGB wirksam einzubinden wären und mit denen der Aufsteller des Foto-Druckers seine Möglichkeiten der Verarbeitung der Fotodaten im Interesse des Kunden beschränkt. Dieses Beispiel zeigt, dass Buchstabe f als Erlaubnisnorm, hier in Verbindung mit einem die betroffenen Personen schützenden Vertrag, praxisgerecht herangezogen werden kann.
d) Interessenabwägung
117
Soweit zwischen einer betroffenen Person und einem Verantwortlichen kein Vertrag angebahnt wird oder geschlossen wurde, der eine für den Vertragszweck erforderliche Datenverarbeitung gem. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erlaubt, werden sich Verantwortliche bei einer Verarbeitung personenbezogener Daten ganz überwiegend auf den Erlaubnistatbestand Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO stützen, der in der Praxis für zahlreiche Anwendungsfälle herangezogen wird. Voraussetzung dafür ist, dass die Verarbeitung erstens zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erfolgt, dass zweitens diese Verarbeitung dafür erforderlich ist und schließlich drittens die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person demgegenüber nicht überwiegen.205
118
Die Vorschrift ähnelt damit sehr dem § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F., nach dem der verantwortlichen Stelle die Verarbeitung als Mittel für die Erfüllung eigener Geschäftszwecke erlaubt war, soweit sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich war und kein Grund zu der Annahme bestand, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwog. Im Unterschied zu diesem Erlaubnistatbestand kann nach der DSGVO auch die Wahrung von Interessen Dritter zu einer Erlaubnis der Verarbeitung führen.
119
Dieser Erlaubnistatbestand nach Buchstabe f erfordert folglich eine vom Verantwortlichen vorzunehmende Abwägung eigener berechtigter Interessen bzw. der berechtigten Interessen eines Dritten mit möglicherweise entgegenstehenden und überwiegenden Interessen der betroffenen Person, wobei nach ErwG 47 Satz 1 „die vernünftigen Erwartungen der betroffenen Personen, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, zu berücksichtigen“ sind. Je näher das Verhältnis des Verantwortlichen zu den betroffenen Personen ist, umso eher dürfte die Abwägung zugunsten des Verantwortlichen ausfallen. Das ist jedenfalls die Annahme von ErwG 47, der davon ausgeht, dass ein berechtigtes Interesse vorliegen dürfte, wenn „eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des