Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO
Vgl. Plath/Struck/ter Hazeborg, CR 2020, 9 (9). 21 Plath, Datenschutz bei M&A-Transaktionen, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 6, Rn. 2. 22 So u.a. insbesondere Ernst, DuD 2016, 792 (795); dies wird an relevanter Stelle eingehend erläutert. 23 Im Folgenden werden grundsätzlich die Begriffe des Veräußerers und des Erwerbers statt die des Verkäufers und Käufers verwendet, da die Übertragung von Kundendaten im Rahmen von Unternehmenstransaktionen maßgeblich von dinglicher Bedeutung ist. Ferner gilt der Begriff der Verarbeitung von oder des Umgangs mit personenbezogenen Daten synonym und gleichzeitig als Obergriff in Übereinstimmung mit der Legaldefinition des Art. 4 Nr. 2 DSGVO für das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 24 Blassl, CCZ 2017, 37 (37). 25 Eine Ausnahme stellt der Bußgeldbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vom 30.7.2015 dar, siehe dazu ausführlich S. 217ff. 26 Wehmeyer, PinG 2016, 215 (216). 27 Wächter, Datenschutz im Unternehmen, Rn. 1. 28 So auch Bierekoven, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil XI, Kapitel 1, Rn. 1. 29 Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 30 Weil die DSGVO sowohl auf den Schutz der Grundrechte der Bürger als auch auf die Förderung des Binnenmarktes gerichtet ist, wohnt der DSGVO eine „doppelte Zweckrichtung“ inne, vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 9. 31 Erwägungsgründe ohne Gesetzesangabe sind solche der DSGVO. Erwägungsgründe enthalten teils ergänzende Ausführungen zum Normtext, wobei einzelne Erwägungsgründe tendenziell ausführlicher ausgefallen sind, je brisanter die korrelierende Rechtsnorm in der DSGVO im Gesetzgebungsprozess diskutiert wurde, vgl. Kühling/Martini, EuZW 2016, 448 (448). Zwar dienen Erwägungsgründe als Auslegungshilfe der DSGVO, da sie begründen und rechtfertigen sollen, jedoch entfalten sie keine rechtliche Bindungswirkung, auch wenn sie Teil der Rechtsquelle sind, vgl. EuGH, Rs. 267/06, Schlussanträge des Generalanwalts Colomer vom 06.09.2007, BeckRS 2007, 70624, Rn. 76; Juristischer Dienst der EU, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2015, S. 31ff. 32 Wilke, Artikel „Wie O2 Tausende Kunden in der Hotline hängen lässt“ vom 16.11.2017 auf sueddeutsche.de, abrufbar unter: http://www.sueddeutsche.de/wirtschaft/internet-und-telefonie-wie-o-tausende-kunden-in-der-hotline-haengen-laesst-1.3750419 (zuletzt abgerufen am 01.08.2020). 33 Schiessl, in: Meyer-Sparenberg/Jäckle, Beck’sches M&A-Handbuch, § 1, Rn. 28.
B. Ziel der Untersuchung und Gang der Darstellung
Ziel der vorliegenden Arbeit ist es, die Zulässigkeit von Kundendatenübertragungen im Zuge von privatrechtlichen Unternehmenstransaktionen in datenschutzrechtlicher Hinsicht zu evaluieren. Davon abgesehen sollen umfassend diejenigen spezifischen Vorschriften der DSGVO beleuchtet werden, die darüber hinaus bei Unternehmenstransaktionen zum Tragen kommen. Die Herausforderung der nachfolgenden Ausarbeitung besteht darin, nicht nur eine rechtliche Einschätzung zu geben, sondern zugleich praktische Vorgehensweisen für datenverarbeitende Unternehmen und Maßnahmen im Umgang mit den konkreten datenschutzrechtlichen Anforderungen für die Rechtspraxis zu evaluieren.
Nach einer kurzen Einführung in die Problematik (Kapitel Eins) wird zunächst kursorisch der Rechtsrahmen anhand der Entwicklung des deutschen Datenschutzrechts dargelegt (Kapitel Zwei), bevor die Grundlagen einer Unternehmenstransaktion im datenschutzrechtlichen und ökonomischen Kontext erläutert werden, die als Ausgangspunkt für eine eingehende Auseinandersetzung mit dem Schutz von personenbezogenen Kundendaten vorauszusetzen sind (Kapitel Drei).
Die anschließende Ausarbeitung (Kapitel Vier) sieht vor, transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken aufzudecken. Hierbei wird die Frage erörtert, welche technischen und organisatorischen Maßnahmen die beteiligten Akteure im gesamten Verlauf der Unternehmenstransaktionen zu ergreifen haben und welche Voraussetzungen der Datensicherheit dabei einzuhalten sind.
Im Mittelpunkt der weiteren Vorgehensweise steht, anhand jedes einzelnen Schrittes einer Unternehmenstransaktion den rechtmäßigen Umgang mit Kundendaten zu untersuchen. Die Kapitel thematisieren daher jeweils eine der vier Phasen einer Unternehmenstransaktion: die Vorbereitungsphase (Kapitel Fünf), die Due Diligence (Kapitel Sechs), die Vollzugsphase (Kapitel Sieben) und die Phase der anschließenden Integration der Daten (Kapitel Acht).
Einen Schwerpunkt in der Due Diligence bildet die Abgrenzung des Verarbeitungsbegriffs zur zweckändernden Verarbeitung. In Kapitel Sechs werden zudem die Voraussetzungen für eine rechtmäßige Einwilligungserklärung nach neuer Gesetzeslage analysiert. Neben einer Darstellung und Bewertung der Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung von Kundendaten in den Datenraum wird in diesem Kapitel an die Informationspflichten nach der DSGVO angeknüpft und letztlich ein Lösungsansatz für eine effektive und datenschutzkonforme Datenverarbeitung in der Praxis präsentiert.
Im Kapitel Sieben soll die datenschutzrechtliche Untersuchung der Vollzugsphase anhand der jeweiligen Gestaltungsform einer Unternehmenstransaktion – Share Deal, Asset Deal oder Umwandlung – differenziert werden. Im Rahmen des Vollzugs eines Asset Deals ist vor allem eine umfassende Auseinandersetzung mit dem Bußgeldbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vom 30.7.2015 geboten, in dem eine ‚Widerspruchslösung‘ bei der Übermittlung von Kundendaten gefordert wird. Insgesamt wird der Meinungsstand von Literatur und Rechtsprechung sowie einzelner Datenschutzbehörden dahingehend ausgewertet, wie der Verarbeitungstatbestand bzw. die Erlaubnistatbestände sowohl beim Asset Deal, Share Deal als auch bei der Umwandlung ausgelegt werden. Auf Basis dessen soll sodann ein eigenes Auslegungsergebnis entwickelt werden. Der Bearbeitung liegt der Gedanke zugrunde, dass das Datenschutzrecht das Vertrauen der Kunden in unternehmerische Datenverarbeitungstätigkeiten wiederherstellen soll, zugleich aber Innovation und Marktfreiheit nicht ausgebremst werden dürfen.
In Kapitel Acht ist zu erörtern, wie nach einer Unternehmenstransaktion erworbene Kundendatensätze rechtmäßig genutzt werden können, um einen möglichst großen Nutzen der Daten unter Wahrung der Rechte der Kunden zu erzielen. Datenschutzrechtlicher Dreh- und Angelpunkt ist hierbei der Zweckbindungsgrundsatz. Für die Problematik, wer für die Datenverarbeitungsvorgänge verantwortlich ist, wird ein temporärer Lösungsansatz aus dem Datenschutzrecht vorgeschlagen. Anschließend werden Überlegungen zu rechtlichen Konsequenzen im Falle von datenschutzrechtlichen Verstößen während einer Unternehmenstransaktion angestellt.
Im Zentrum der Auseinandersetzung mit den genannten Fragestellungen steht die DSGVO, da das BDSG n.F. keine weiteren Präzisierungen hinsichtlich des Umgangs mit Kundendaten bei Unternehmenstransaktionen enthält, sodass unmittelbar die Bestimmungen der DSGVO alleiniger Gegenstand der nachfolgenden Bearbeitung sind. Die Anwendung klassischer juristischer Methodik wird einen wesentlichen Beitrag zur Ermittlung des Willens des europäischen Gesetzgebers und des jeweiligen Zwecks einer Norm in der DSGVO leisten. Die Grauzonen des Datenschutzrechts respektive die in der DSGVO häufig verwendeten abstrakten und generalklauselartigen Bestimmungen sollen einer konkreten Interpretation unterzogen werden. Eine Herausforderung besteht also darin,