Kitabı oku: «Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO», sayfa 5
Kapitel Drei. Grundlagen einer Unternehmenstransaktion in datenschutzrechtlicher und ökonomischer Hinsicht
A. Begrifflichkeiten einer Unternehmenstransaktion im datenschutzrechtlichen Kontext
Für die Beurteilung von Unternehmenstransaktionen nach der DSGVO ist es erforderlich, dass Kundendaten einem datenschutzrechtsrelevanten Vorgang unterliegen. Mit Blick auf die in der DSGVO verwendeten, teils sehr eigenen Begrifflichkeiten ist deshalb zunächst zu erörtern, wann der Anwendungsbereich der DSGVO in sachlicher Hinsicht eröffnet ist. Anschließend werden die Besonderheiten der datenschutzrechtlichen Rechtfertigungsgrundlagen dargelegt, bevor schließlich aus Gründen der Verständlichkeit der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure untersucht wird.
I. Der Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO
Der Begriff der Verarbeitung ist deshalb für das Thema der datenschutzrechtlichen Beurteilung von Unternehmenstransaktionen zentral, weil erst dann der sachliche Anwendungsbereich der DSGVO eröffnet ist, wenn personenbezogene Daten verarbeitet werden.110 Irrelevant ist dabei, ob die Datenverarbeitung ganz bzw. teilweise automatisiert oder gar nichtautomatisiert zum Zwecke der Speicherung in einem Dateisystem stattfindet, vgl. Art. 2 Abs. 1 DSGVO. In Art. 4 Nr. 2 DSGVO wird die ‚Verarbeitung‘ als Oberbegriff für eine Vielzahl unterschiedlichster Tätigkeiten definiert, wobei sich diese teils überschneiden bzw. nicht klar trennen lassen. Letztendlich enthält die Legaldefinition keinen abschließenden Katalog möglicher Verarbeitungsschritte.111 Dieser extensiv gefasste Verarbeitungsbegriff,112 der jeden „Vorgang“ und jede „Vorgangsreihe“ im Zusammenhang mit personenbezogenen Daten erfasst, führt konsequenterweise dazu, dass jegliche „Einwirkung“ auf und jeglicher Umgang mit personenbezogenen Daten als Verarbeitung auszulegen ist.113 Vom europäischen Gesetzgeber ist dieser offene Wortlaut des Verarbeitungsbegriffs intendiert, denn der Anwendungsbereich der DSGVO soll unabhängig von technologischen Veränderungen eröffnet sein (vgl. Erwägungsgrund 15).114
Von besonderer Relevanz für die Abwicklung von Unternehmenstransaktionen ist die in Art. 4 Nr. 2 DSGVO ausdrücklich genannte „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“. Generell sind davon alle Vorgänge erfasst, bei denen der Verantwortliche personenbezogene Daten anderen zugänglich macht, sodass vom Informationsgehalt dieser Daten Kenntnis erlangt werden kann.115 Auf die Form des Zugänglichmachens (schriftlich, mündlich, elektronisch) kommt es dabei nicht an.116 Der Ausdruck „oder andere Form der Bereitstellung“ verdeutlicht, dass ein bloßes Zum-Abruf-Bereithalten bereits genügt, sodass die personenbezogenen Daten potenziell von anderen abgerufen werden können.117 Wenn personenbezogene Daten durch Übermittlung oder Verbreitung offengelegt werden, liegt die Besonderheit darin, dass sich hierbei die personenbezogenen Daten nicht mehr oder nur noch im begrenzten Einwirkungskreis des Verantwortlichen befinden. Im Falle einer Offenlegung an einen bestimmten Empfängerkreis (bspw. per E-Mail) handelt es sich um eine Übermittlung, im Falle einer Offenlegung an eine unbestimmte Vielzahl von Empfängern (bspw. in einer Zeitung) hingegen um eine Verbreitung.118
Normativ bildet sich ein Verarbeitungsbegriff unter Berücksichtigung der Systematik der DSGVO und allen voran des Verbotsprinzips heraus, dessen Bezugspunkt sich von einer kleinteiligen Analyse und Rechtfertigung eines jeden einzelnen Verarbeitungsschrittes abwendet und stattdessen den Fokus auf einen in sich ‚stimmigen‘ Verarbeitungsprozess legt.119 Datenverarbeitungen sind nach der DSGVO nicht mehr in allen Einzelheiten, sondern im Ganzen zu beurteilen. Die datenschutzrechtliche Bewertung der Verarbeitung ist demnach auf die Frage ausgerichtet, ob das datenverarbeitende Unternehmen dazu berechtigt ist, auf die personenbezogenen Daten einzuwirken.120 So ist in Art. 4 Nr. 2 DSGVO ausdrücklich von einer Reihe von Vorgängen die Rede, was ebenfalls den Schluss zulässt, dass Verarbeitungsphasen – wie etwa eine zusammenhängende Erhebung, Speicherung und anschließende Verwendung – summarisch als zulässig oder unzulässig zu begutachten sind. Jede Verarbeitungsphase als solche steht unter dem Verbot mit Erlaubnisvorbehalt.121 Von bloß einer einzigen Verarbeitung ist auszugehen, sofern ein enger Zusammenhang zwischen den Vorgängen besteht oder diese logisch aufeinander aufbauen.122 Um der damit einhergehenden Gefahr von ausufernden Verarbeitungsprozessen entgegenzuwirken, hat der europäische Gesetzgeber mit dem in den Erlaubnistatbeständen integrierten Erforderlichkeitsgrundsatz und den verschärften Anforderungen an Einwilligungserklärungen Mechanismen eingeführt, die eine interessengerechte und einzelfallabhängige Einschränkung der Verarbeitung ermöglichen.123 Zu eruieren ist insofern, wann im Kontext einer Unternehmenstransaktion von zusammenhängenden Verarbeitungsphasen oder einem einzelnen Verarbeitungsvorgang auszugehen ist.
II. Personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO im Rahmen von Unternehmenstransaktionen
1. Auslegung des Begriffs des personenbezogenen Datums
Wenn die Übermittlung von Kundendaten bei Unternehmenstransaktionen aus datenschutzrechtlicher Sicht zu bewerten ist, steht neben dem Verarbeitungstatbestand die Auslegung des Begriffs von personenbezogenen Daten im Mittelpunkt, um die Anwendung des Rechtsrahmens der DSGVO zu begründen. Für Daten ohne Personenbezug gilt die DSGVO einschließlich ihrer Pflichten für datenverarbeitende Unternehmen nämlich nicht. Art. 4 Nr. 1 DSGVO bestimmt näher, wann ein personenbezogenes Datum vorliegt. Hierunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.124
Grundsätzlich ist der Begriff des Datums in Anknüpfung an Art. 2 lit. a EU-Datenschutzrichtlinie und § 3 Abs. 1 BDSG a.F. weit auszulegen.125 Der Wortlaut des Art. 4 Nr. 1 DSGVO, wonach „alle Informationen“ mit Personenbezug vom Schutzbereich der DSGVO umfasst werden, bestätigt eine extensive Interpretation. Aufgrund des „technologieneutralen“ Schutzumfangs der datenschutzrechtlichen Vorschriften (Erwägungsgrund 15 Satz 1) soll es auch nach der DSGVO nicht darauf ankommen, in welchem Format die Informationen vorliegen (alphabetisch, numerisch, grafisch, fotografisch, akustisch etc.) oder gespeichert sind (physischer Datenträger, Server etc.).126 Die besonderen Kategorien personenbezogener Daten ausgenommen, die in Art. 9 DSGVO einem höheren Schutzumfang unterliegen, werden die Informationen i.S.v. Art. 4 Nr. 1 DSGVO nicht weiter eingegrenzt.
Weitaus missverständlicher verhält es sich mit dem Begriff des Personenbezugs und insbesondere mit der Frage, wann sich Informationen auf eine identifizierbare Person beziehen. Weil auch der Begriff der Identifizierbarkeit unbestimmt ist, hat der europäische Gesetzgeber zugleich in Art. 4 Nr. 1 Hs. 2 DSGVO versucht, diesen zu konkretisieren. Eine Person wird dann als identifizierbar angesehen, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standorten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Der Wortlaut lässt jedoch keinen Rückschluss darauf zu, auf wessen Wissen, Fähigkeiten oder Mittel es konkret bei der Identifizierung der betroffenen Person mittels Zuordnung ankommt.127 Der bereits nach dem BDSG a.F. unter § 3 Abs. 1 geführte Streit des absoluten und relativen Personenbezugs128 im Rahmen des Tatbestandsmerkmals der „bestimmbaren Person“ kann mittels der grammatikalischen Auslegung der DSGVO nicht hinreichend geklärt werden.129 Unter Einbeziehung der Rechtsprechung des EuGH zur Personenbeziehbarkeit von IP-Adressen,130 die Anklang in Erwägungsgrund 26 gefunden hat, und des Sinns und Zwecks der Bestimmung lässt sich der Ansatz der DSGVO hinsichtlich der Frage der Identifizierbarkeit jedoch dahingehend verstehen, dass nur solche Mittel zu berücksichtigen sind, die der Verantwortliche oder eine andere Person vernünftigerweise nutzen wird.131 In Erwägungsgrund 26 Satz 3 heißt es dazu, dass die Nutzung solcher Mittel „nach allgemeinen Ermessen wahrscheinlich“ sein muss. Die bloße Möglichkeit einer Identifizierung reicht also gerade nicht aus, denn dem Erwägungsgrund 26 ist in diesem Kontext eine einschränkende Funktion zuzusprechen.132 Es ist daher der Prüfungsmaßstab eines objektiven Dritten anzulegen, ob dieser in der Lage des Verantwortlichen eine Person individualisieren könnte oder nicht.133 Hinsichtlich der in Erwägungsgrund 26 genannten Mittel der „anderen Person“ gilt Entsprechendes. Zu berücksichtigen sind nur solche Dritte, derer sich der Verantwortliche vernünftigerweise bedienen würde, um eine natürliche Person zu identifizieren.134
Ferner verdeutlicht der Ausschluss von anonymen Daten aus dem Anwendungsbereich der DSGVO in Erwägungsgrund 26 diesen gemäßigt relativen Ansatz der Identifizierbarkeit einer Person.135 Denn würde es anderenfalls ausreichen, dass irgendjemand den Personenbezug herstellen könne, gäbe es keine anonymen Daten und ihre explizite Erwähnung in der DSGVO wäre gegenstandslos.136 Ob es hingegen im technischen Zeitalter überhaupt noch Daten ohne Personenbezug tatsächlich geben kann, ist eine Diskussion von gänzlich anderer Dimension und wird nicht nur die juristische Debatte zukünftig kontrovers prägen.137
Im Hinblick auf die Wahrscheinlichkeit, ob Mittel des Verantwortlichen oder einer anderen Person konkret eingesetzt werden, fließen alle objektiven Kriterien, wie etwa die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, in die Entscheidung ein, vgl. Erwägungsgrund 26 Satz 4. Ebenso sind dabei aktuelle technologische Entwicklungen und verfügbare Technologien zu berücksichtigen, vgl. Erwägungsgrund 26 Satz 4. Überwiegen diese objektiven Faktoren derart, dass davon auszugehen ist, dass die Identifizierung nicht erfolgt, handelt es sich um kein personenbezogenes Datum, obwohl eine Identifizierung einer natürlichen Person möglich (aber eben nicht wahrscheinlich) wäre.138
Ob die verarbeiteten Daten im Unternehmen einen Personenbezug aufweisen, hängt grundsätzlich vom Einzelfall ab. Nichtsdestoweniger ist es in der Praxis äußerst wahrscheinlich, dass nahezu jede Information in einem Unternehmen einen Bezug zu einer natürlichen Person aufweisen oder Aussagen und Entscheidungen über eine natürliche Person ermöglichen kann. Aus Unternehmensperspektive erweist sich die Anwendung der DSGVO daher als unumgänglich.139
2. Der Begriff der Kundendaten im weitesten Sinne
Die für ein Unternehmen wirtschaftlich wertvollsten Daten stellen meist diejenigen Daten dar, die in Verbindung mit einem Kunden erhoben, gespeichert und verwendet wurden. Um das Ziel der Kundenbindung zu erreichen, sind die jeweiligen Kundendaten für Unternehmen von großer Bedeutung.140 Diese eröffnen häufig die Möglichkeit der persönlichen Werbeansprache und sind deshalb besonders attraktiv für den Erwerber eines Unternehmens.141 Anders als noch nach dem BDSG a.F. werden in der DSGVO grundsätzlich sämtliche Kundendaten gleichbehandelt, sofern sie als personenbezogen klassifiziert werden.142
a. Geschäftskundendaten
Ist von Kundendaten die Rede, muss differenziert werden, ob es sich dabei um solche im Geschäftskunden- (sog. Business-to-Business-Kunden – B2B)143 oder im Privatkundenbereich (sog. Business-to-Consumer-Kunden – B2C) handelt. Bei Privatkunden kann grundsätzlich die Personenbeziehbarkeit der Datensätze einer gesamten Kundendatenbank leicht bejaht werden, da bei fast sämtlichen Informationen über einen Kunden eine dahinterstehende konkrete natürliche Person zu identifizieren ist; Geschäftskundendaten dagegen sind meist nur dann als personenbezogen einzuordnen, sofern sie Rückschlüsse auf eine natürliche Personen zulassen. Der Geschäftskunde ist nicht zugleich automatisch identisch mit der betroffenen Person i.S.v. Art. 4 Nr. 1 DSGVO. Zu beachten ist nämlich, dass gem. Art. 1 Abs. 1 DSGVO lediglich natürliche und nicht juristische Personen dem Schutz der DSGVO unterliegen. Die DSGVO „gilt nicht für Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person“, vgl. Erwägungsgrund 14 Satz 2.144 Einzelne Daten wie etwa zu Produkten, Dienstleistungen, Fristen sowie Zeiträumen oder sonstige Vertragsinformationen sind daher ohne Personenbezug, sofern sie sich nicht auf eine identifizierte oder identifizierbare Person beziehen.145 Grundsätzlich können Geschäftskunden als juristische Personen datenschutzrechtliche Ansprüche nur aus dem auch für sie geltenden allgemeinen Persönlichkeitsrecht ableiten.146 Sind einzelne nicht personenbezogene Daten im Geschäftskundenbereich jedoch untrennbar mit weiteren personenbezogenen Informationen verbunden, hat dies zur Konsequenz, dass unweigerlich der gesamte Datensatz den Datenschutzvorschriften unterliegt.147 Daher ist trotz der in Erwägungsgrund 14 Satz 2 genannten Ausnahme auch bei juristischen Personen im Einzelfall zu prüfen, ob Informationen ggf. auf natürliche Personen der juristischen Person „durchschlagen“.148 Dies trifft jedenfalls auf einen Gesellschafter einer Ein-Mann-GmbH oder einen Einzelunternehmer zu.149
Bspw. werden in einem sog. Customer-Relationship-Management-System (CRM-System – oder zu Deutsch: System zum Kundenbeziehungsmanagement oder zur Kundenpflege)150, auf das häufig Unternehmen in der Praxis aufgrund der Vielzahl und Vielfalt der potenziell zu erhebenden Kundendatensätze zurückgreifen,151 solche Daten, denen ein Personenbezug fehlt, mit personenbezogenen Daten kombiniert.152 Der Nutzen eines CRM-Systems liegt darin, dass sämtliche Daten von Kunden, einschließlich aller vertragsbezogener Kundendaten, unter Einhaltung strenger datenschutzrechtlicher Vorgaben systematisch gesammelt, verwaltet und dokumentiert werden können.153 Eine solche Kundendatenbank dient vor allem der Optimierung der Geschäftsbeziehung sowie der Pflege des Verhältnisses und aller interaktiven Prozesse mit Kunden, Anbietern und Partnern, um entsprechende Pflichten optimal erfüllen zu können.154 Der Aufbau und Erhalt einer Bindung zum Kunden mithilfe eines CRM-System gilt deshalb als Grundpfeiler des (Beziehungs-)Marketings eines Unternehmens.155 Werden Daten ohne Personenbezug mit personenbezogenen Daten in einer Datenbank zusammengefasst, sind sie aus datenschutzrechtlicher Sicht nicht mehr getrennt voneinander zu betrachten. Aufgrund der Kombination der Daten in einem System können sich vormals Daten ohne Personenbezug ohne weiteres auch auf eine identifizierte oder identifizierbare Person beziehen. Dies hat meist zur Folge, dass der gesamte Datenbestand in einem CRM-System personenbezogen ist. Wenn also Geschäftskundendaten nur als Bestandteil eines Datensatzes dem CRM-System zugeführt werden, reicht dies bereits für das Vorliegen der Personenbeziehbarkeit aus.156 Nicht selten kommt es zu dem Fall, dass ein gesamtes CRM-System bei einer Transaktion zu übertragen ist. Infolge des wahrscheinlichen Personenbezugs eines CRM-Systems ist daher im Rahmen der datenschutzrechtlichen Bewertung der Übertragbarkeit von Kundendaten bei Unternehmenstransaktion auch dieser Aspekt zu berücksichtigen.
Letztendlich können zwar auch Kundendaten aus dem Geschäftskundenbereich von wirtschaftlichem Nutzen sein, jedoch sind meist private Endkunden von entscheidender Attraktivität für den Erwerber eines Unternehmens. Geht es um die Anwendung datenschutzrechtlicher Normen, sind ferner Privatkundendaten insoweit von hoher Relevanz, als die Verarbeitung von Privatkundendaten hohe Risiken für den Schutz natürlicher Personen birgt.157
b. Privatkundendaten
Die bereits erläuterte Personenbeziehbarkeit von Privatkundendaten ist nicht von der Hand zu weisen. Im Privatkundenbereich weisen selbst einzelne nicht personenbezogene Daten (wie etwa Produktdaten, Daten zu Fristen etc.) immer einen Personenbezug auf, da sie im Grunde nie isoliert von der dazugehörigen natürlichen Person gespeichert werden. Nicht nur der Name des Kunden, sondern auch Informationen zur natürlichen Person, wie etwa die Kundennummer, Adresse oder Kontoinformationen können einen Personenbezug herstellen.158 Dies hat zur Folge, dass grundsätzlich der gesamte Datensatz einer Privatkundendatenbank dem Datenschutzregime der DSGVO unterliegt.159 Das Datenschutzrecht wird daher in Bezug auf Privatkundendaten seiner Funktion als Verbraucherschutzrecht in vollem Umfang gerecht.160 Beim Privatkunden handelt es sich regelmäßig zugleich um die betroffene Person i.S.v. Art. 4 Nr. 1 DSGVO.161
Privatkundendaten können nach ihrem Inhalt differenziert werden.162 Unternehmen speichern Daten sowohl aus laufenden als auch aus vergangenen Verträgen mit dem Kunden. Bei bestehenden Vertragsverhältnissen sind personenbezogene Daten des Kunden unabdingbar, um etwaige Forderungen geltend zu machen oder die jeweiligen Verbindlichkeiten erfüllen zu können.163 Solche Daten, die zur Durchführung eines Vertrages erforderlich sind, reichen vom Namen, der Anschrift, E-Mail-Adresse, des Geburtsdatums oder den Zahlungsinformationen164 bis hin zu konkreten Angaben zur Leistung, also etwa eine Bestellübersicht.165 Daneben werden von Unternehmen auch personenbezogene Daten von Kunden gespeichert, mit denen in der Vergangenheit Verträge abgewickelt wurden, aber keine aktuelle Vertragsbeziehung mehr besteht. Das Unternehmen hat ein großes Interesse daran, die personenbezogenen Daten dieser sog. Bestandskunden fortlaufend in ihrem Datenbestand zu verwalten, um sie weiterhin bewerben und bestenfalls erneut zum Vertragsabschluss bewegen zu können.166 Solche personenbezogenen Daten, die Auskunft über die vollständige Kundenhistorie geben, sind deshalb besonders wertvoll für das Unternehmen.
Außerdem verfügt das Unternehmen meist abseits solcher bestehenden Vertragsdaten des Kunden über weitere personenbezogene Daten aus sonstigen Geschäftskontakten und zwar unabhängig davon, ob ein Schuldverhältnis besteht oder nicht. Jenseits der klassischen Vertragsdaten sind die von einem Unternehmen über einen Kunden gespeicherten Daten sehr vielfältig (bspw. Interaktionsdaten zwischen Unternehmen und Kunden, Daten zu persönlichen Einstellungen). Ein Unternehmen ist stets bestrebt, Kundendatensätze in datenschutzrechtlich rechtmäßiger Weise mit weiteren Informationen anzureichern, um den größten Nutzen aus der Kundenbeziehung zu ziehen.167 Häufig werden Auswertungen durchgeführt, die sich auf das Nutzungsverhalten des Kunden beziehen. Die geschilderten CRM-Systeme dienen dabei als Grundlage für die Erstellung von Kundenprofilen.168 Personenbezogene Daten können nämlich nicht nur Tatsachen sein, sondern auch subjektiven Einflüssen unterliegen.169 So sind insbesondere Meinungen, Beurteilungen oder Prognosen über eine natürliche Person von wirtschaftlicher Relevanz für ein Unternehmen, die bspw. Aufschluss über die Zahlungsfähigkeit eines Kunden oder sein zukünftiges Kaufverhalten geben.170 Dieses sog. Profiling, bei dem personenbezogene Daten hinsichtlich bestimmter persönlicher Aspekte der betroffenen Person ausgewertet werden, führen Unternehmen oft zu Marketingzwecken oder zum Zwecke der Verhaltens- und Meinungsbeeinflussung durch.171 Ein Sonderfall stellt das Scoring dar, wodurch die Kreditwürdigkeit des Kunden beurteilt wird.172 Die dadurch erfassten Daten können sich auch auf betroffene Personen beziehen, mit denen erst noch eine Geschäftsbeziehung angebahnt wird. Zum Kundendatenschutz zählen im weitesten Sinne eben auch Daten über potenzielle Neukunden.173
Letztendlich verfügen daher vor allem Unternehmen, die im Verbraucherverkehr tätig sind, über Massen an personenbezogenen Daten über ihre Kunden, die nach den Anforderungen der DSGVO während einer Transaktion zu übertragen sind.