Читать книгу: «Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO»

Vorwort

Die vorliegende Arbeit wurde im Sommersemester 2020 von der Juristischen Fakultät der Georg-August-Universität zu Göttingen als Dissertation angenommen. Literatur und Rechtsprechung konnten bis August 2020 berücksichtigt werden.

Mein besonderer Dank gilt meinem Doktorvater Herrn Prof. Dr. Andreas Wiebe, LL. M. (Virginia) für seine Unterstützung bei meinem Promotionsvorhaben. Ebenso gebührt Herrn Prof. Dr. Gerald Spindler mein herzlicher Dank für die rasche Erstellung des Zweitgutachtens.

Letztlich bedanke ich mich für die finanzielle Unterstützung und das damit entgegengebrachte Vertrauen bei der Friedrich-Naumann-Stiftung für die Freiheit, die die Anfertigung dieser Dissertation mit Mitteln des Bundesministeriums für Bildung und Forschung gefördert hat.

Inhaltsverzeichnis

1  Vorwort

2  Abkürzungsverzeichnis

3  Kapitel Eins. Einführung in die Problematik A. Einleitung und Forschungsfrage I. Der rasante Anstieg von Datenmengen bei Unternehmenstransaktionen und dessen Auswirkungen II. Die Rolle des Datenschutzes und der Einfluss der DSGVO auf Unternehmenstransaktionen III. Das Paradoxon der bestehenden Rechtsunsicherheit und dem hohen Wert von Kundendaten bei Unternehmenstransaktionen B. Ziel der Untersuchung und Gang der Darstellung C. Nicht behandelte Aspekte

4  Kapitel Zwei. Der datenschutzrechtliche Rechtsrahmen A. Entwicklung des deutschen Datenschutzrechts B. Ziele der DSGVO und ihre Auslegungsbedürftigkeit C. Das Verhältnis des BDSG n.F. zur DSGVO I. Potenzieller Verstoß gegen das Normwiederholungsverbot durch das BDSG n.F. II. Europarechtskonforme Auslegung des BDSG n.F. und der Anwendungsvorrang der DSGVO III. Anwendung der Grundrechte – welcher Maßstab gilt?

5  Kapitel Drei. Grundlagen einer Unternehmenstransaktion in datenschutzrechtlicher und ökonomischer Hinsicht A. Begrifflichkeiten einer Unternehmenstransaktion im datenschutzrechtlichen Kontext I. Der Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO II. Personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO im Rahmen von Unternehmenstransaktionen 1. Auslegung des Begriffs des personenbezogenen Datums 2. Der Begriff der Kundendaten im weitesten Sinne a. Geschäftskundendaten b. Privatkundendaten c. Besondere Kategorien personenbezogener Kundendaten 3. Beschäftigtendaten 4. Nicht personenbezogene Unternehmensdaten III. Das Verbotsprinzip mit Erlaubnisvorbehalt gem. Art. 6 DSGVO 1. Die Gleichrangigkeit und das Konkretisierungsbedürfnis der Zulässigkeitsvarianten 2. Art. 6 Abs. 1 lit. f DSGVO als zentrale Rechtsgrundlage bei Unternehmenstransaktionen a. Berechtigtes Interesse b. Erforderlichkeit c. Abwägung d. Zwischenergebnis IV. Der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure 1. Das datenschutzrechtlich verantwortliche (Ziel-)Unternehmen a. Der Begriff des Unternehmens im Allgemeinen b. Der datenschutzrechtliche Unternehmensbegriff c. Der Verantwortliche d. Zwischenergebnis: Der Begriff des Zielunternehmens 2. Abgrenzung zu datenschutzrelevanten Übermittlungen innerhalb oder zwischen Unternehmen a. Fehlendes Konzernprivileg b. Auftragsdatenverarbeitung i.S.v. Art. 28 DSGVO c. Gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO B. Beteiligte Akteure und ihre Interessenspositionen I. Das Zielunternehmen und seine geschützten Interessen II. Potenzielle Unternehmenserwerber III. Der Kunde des Zielunternehmens IV. Zwischenergebnis: Die der DSGVO immanenten gegenüberstehenden Interessenspositionen C. Ökonomische Betrachtung einer Unternehmenstransaktion I. Motive für die Durchführung einer Unternehmenstransaktion II. Überblick über die Phasen einer Unternehmenstransaktion und ihre Zweckmäßigkeit III. Gestaltungsformen einer Unternehmenstransaktion 1. Share Deal 2. Asset Deal 3. Umwandlungsrechtliche Maßnahmen nach § 1 UmwG a. Verschmelzung b. Spaltung (Aufspaltung, Abspaltung, Ausgliederung) c. Vermögensübertragung d. Formenwechsel 4. Zwischenergebnis: Der verwendete Begriff der Unternehmenstransaktion

6  Kapitel Vier. Transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken A. Maßnahmen in technischer und organisatorischer Hinsicht im Zusammenhang mit einer Unternehmenstransaktion I. Gesetzliche Anforderungen des Art. 24 Abs. 1 DSGVO und des Art. 32 Abs. 1 DSGVO 1. Allgemeine technische und organisatorische Maßnahmen 2. Technische und organisatorische Sicherheitsmaßnahmen 3. Begrenzung durch den risikobasierten Ansatz der DSGVO a. Sinn und Zweck des risikobasierten Ansatzes der DSGVO b. Allgemeine Vorgehensweise zur Risikobeurteilung c. Risikobeurteilung einer Unternehmenstransaktion II. Praktische Umsetzungsbeispiele technischer und organisatorischer Maßnahmen 1. Dokumentation in einem Verzeichnis von Verarbeitungstätigkeiten 2. Zuständigkeitsregelungen 3. Datenselektion 4. Pseudonymisierung und Verschlüsselung von Kundendaten 5. Weitere Maßnahmen der Informationssicherheit 6. Prozesse zur Erfüllung der Transparenzpflichten 7. Keine Notwendigkeit einer vorherigen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO 8. Einbindung des Datenschutzbeauftragten B. Rechenschaftspflicht I. Gesetzliche Anforderungen II. Praktische Umsetzungsmöglichkeit in einem Datenschutz-Management-System C. Zwischenergebnis

7  Kapitel Fünf. Datenschutzrechtliche Untersuchung der Vorbereitungsphase A. Datenaufbereitung durch das Zielunternehmen I. Rechtmäßigkeit der ursprünglichen Datenerhebung II. Strukturierung und Systematisierung der Kundendatensätze B. Informationsmemorandum vs. Letter of Intent bzw. Memorandum of Understanding C. Zusammenfassung

8  Kapitel Sechs. Datenschutzrechtliche Untersuchung der Due Diligence A. Die Due Diligence im Allgemeinen I. Ablauf einer Due Diligence: Die sukzessive Zurverfügungstellung von Daten II. Funktionen einer Due Diligence 1. Risikoermittlungsfunktion 2. Wertermittlungsfunktion 3. Gewährleistungsfunktion a. Notwendige Grundlage zur Gestaltung des Gewährleistungs- und Haftungsregimes b. Keine rechtliche Verpflichtung zur Durchführung einer Due Diligence 4. Dokumentations- und Beweissicherungsfunktion III. Der Datenraum 1. Arten von Datenräumen 2. Technische und organisatorische Anforderungen an den Datenraum a. Datenraumregeln b. Vertraulichkeitsvereinbarungen IV. Arten einer Due Diligence mit besonderem Blick auf die Einhaltung der datenschutzrechtlichen Anforderungen V. Zwischenfazit: Wirtschaftlicher und rechtlicher Spagat zwischen Datenpreisgabe und -zurückhaltung B. Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung der Kundendatensätze gegenüber potenziellen Erwerbern I. Auslegung des Verarbeitungsbegriffs in der Due Diligence 1. Abgrenzung zum Begriff der zweckändernden Verarbeitung a. Unklare Reichweite des Art. 6 Abs. 4 DSGVO und sein Verhältnis zu Art. 6 Abs. 1 DSGVO b. E.A.: Kompatible Zweckänderung i.S.v. Art. 6 Abs. 4 DSGVO im Rahmen der Due Diligence c. A.A.: neue, nach Art. 6 Abs. 1 DSGVO zu rechtfertigende Verarbeitungssituation d. Eigene Stellungnahme und Zwischenergebnis i. Negatives Ergebnis des Kompatibilitätstest (1) Eigenständige Bedeutung des Zwecks der Datenverarbeitung in der Due Diligence (2) Unbestimmtheit des Zwecks der Fortführung des Geschäftsbetriebes (3) Entgegenstehende Erwartungen der betroffenen Personen ii. Weitere Wertungsgesichtspunkte (1) Rechtssichere Verarbeitung ausschließlich auf der Grundlage der Erlaubnistatbestände mangels systematischer Normenklarheit (2) Erhöhtes Verarbeitungsrisiko während der Due Diligence (3) Keine bloße Fortsetzung ursprünglicher Verarbeitungsvorgänge in der Due Diligence 2. Einheitlicher Verarbeitungsbegriff in der Due Diligence II. Keine Rechtfertigung der Datenverarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO III. Der gesetzliche Erlaubnistatbestand der Einwilligung in der Due Diligence 1. Gefahren einer ausufernden Zweckerweiterung der ursprünglichen Einwilligungserklärung a. Grundsätzliche Fortgeltung alter Einwilligungserklärungen b. Fehlende Freiwilligkeit c. Begrenzende Vorgaben der Informiertheit und Transparenz im Hinblick auf die Reichweite einer Einwilligungserklärung d. Praktisches Umsetzungsdefizit e. Zwischenergebnis: Entgegenstehende Wertungen der Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO 2. Impraktikable Neuerteilung einer Einwilligungserklärung 3. Zwischenergebnis: Untauglichkeit der Rechtsgrundlage der Einwilligung IV. Anforderungen und Auswirkungen der Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO in der Due Diligence 1. Die berechtigten Interessenspositionen in der Due Diligence a. Klarstellung der Interessenspositionen beim Share Deal und der Umwandlung b. Das Offenlegungsinteresse des Veräußerers und das Informationsinteresse der potenziellen Erwerber 2. Erforderlichkeit der Datenverarbeitung in der Due Diligence a. Grundsatz: Ergreifen von Pseudonymisierungsmaßnahmen i. Rechtsfolgen der Anwendung der Pseudonymisierung in der Due Diligence für das Zielunternehmen und die Erwerber ii. Pseudonymisierte Kundendaten als Basis der Due Diligence Prüfung b. Erforderlichkeit des Personenbezugs in Ausnahmefällen i. Unzumutbarkeit der Pseudonymisierung ii. Wesentlichkeit des Personenbezugs iii. Keine Hinzuziehung eines Treuhänders c. Zwischenergebnis 3. Interessenabwägung in der Due Diligence 4. Ergebnisse zur Rechtsgrundlage der Interessenabwägung V. Kollision mit den erweiterten Informationspflichten nach der DSGVO 1. Informationspflicht des Zielunternehmens vor Übermittlung der Kundendaten in den Datenraum a. Auslegung des Zeitpunkts der Informationspflicht nach Art. 13 Abs. 1 und 2 DSGVO b. Auslegung des Anwendungsbereichs der Informationspflicht gem. Art. 14 Abs. 3 lit. c DSGVO c. Eigene Stellungnahme zum Bestehen von Informationspflichten 2. Keine Informationspflicht der potenziellen Erwerber gegenüber den Kunden 3. Die Problematik zwischen Informationspflicht und Geheimhaltungsinteresse VI. Lösungsansatz für eine effektive und datenschutzkonforme Verarbeitung von Kundendaten in der Due Diligence 1. Hinreichende Anonymisierung von Kundendaten und ihre Risiken 2. Unzureichende Pseudonymisierungsmaßnahmen 3. Bewertung – Umgehung der Informationspflichten im Wege der Anonymisierung 4. Zwischenergebnis VII. Sonderfall: Besondere Kategorien personenbezogener Daten C. Ergebnis der datenschutzrechtlichen Untersuchung der Due Diligence

9  Kapitel Sieben. Datenschutzrechtliche Untersuchung der Vollzugsphase einer Unternehmenstransaktion A. Umwandlung I. Keine datenschutzrechtliche Relevanz des Formenwechsels II. Weitere Umwandlungsarten der Verschmelzung, Spaltung und Vermögensübertragung 1. Mangelnde Rechtssicherheit unter Geltung des BDSG a.F. 2. Fehlende Verarbeitungsqualität der Gesamtrechtsnachfolge im Sinne der DSGVO a. Keine hinreichende Öffnungsklausel b. Auslegung des Verarbeitungsbegriffs unter Bezugnahme des Vollzugs einer Umwandlung i. Elemente einer Verarbeitung im Vergleich zu den Wirkungen der Gesamtrechtsnachfolge ii. Fehlende zweiseitige Offenlegungssituation iii. Keine besondere Gefährdungslage des Umwandlungsvorgangs III. Ergebnis und Bewertung des Vollzugs einer Umwandlung B. Share Deal I. Das Fehlen eines datenschutzrechtlich relevanten Vorgangs II. Bewertung des Share Deals unter Zugrundelegung des veränderten Verarbeitungsbegriffs in der DSGVO 1. Kein tatbestandliches Offenlegen von Daten 2. Fehlende gesellschaftsrechtliche Auswirkung auf den Fortbestand der datenschutzrechtlichen Verantwortlichkeit III. Ergebnis und Bewertung des Vollzugs eines Share Deals C. Asset Deal I. Der datenschutzrechtliche Verarbeitungstatbestand in Abgrenzung zur zweckändernden Verarbeitung II. Rechtfertigung der Datenübertragung aufgrund einer Kundeneinwilligung gem. Art. 6 Abs. 1 lit. a DSGVO 1. Wiederkehrende Problematik der Praxisuntauglichkeit 2. Gefahren der Freiwilligkeit und Unterscheidungskraft 3. Ergebnis und Bewertung III. Rechtfertigung der Datenübertragung gem. Art. 6 Abs. 1 lit. b DSGVO 1. Anwendbarkeit der Rechtsgrundlage im Rahmen des Vollzugs einer Unternehmenstransaktion 2. Vertragsabhängige Möglichkeit der Datenübermittlung IV. Rechtfertigung der Datenübertragung auf der Grundlage einer Interessenabwägung 1. Die Kollision der berechtigten Interessenspositionen des Zielunternehmens und des Erwerbers mit den schutzwürdigen Interessen der Kunden 2. Die Erforderlichkeit der Kundendatenübertragung 3. Anknüpfungspunkte im konkreten Abwägungsprozess: (Un)gleiche Interessenspositionen? a. Differenzierung nach Daten aus übernommenen Schuldverhältnissen und sonstigen Daten b. Abgrenzung der Datenübermittlung zum bloßen Datenhandel c. Die hohe Aussagekraft der Kundendaten für die Fortführung des Geschäftsbetriebs d. Das Kriterium der zweckgebundenen Fortsetzung der Datenverarbeitung e. Geringere Risiken der Datenverarbeitung im Gegensatz zur Due Diligence f. Erwartungshaltung des Kunden g. Vergleich zum Share Deal und zur Umwandlung h. Zwischenergebnis und Bewertung 4. Bußgeldentscheidung des Bayerischen Landesamt für Datenschutzaufsicht vom 30.07.2015 a. Kernaussagen des BayLDA nach dem BDSG a.F. b. Bewertung der Bußgeldentscheidung und Übertragbarkeit auf die aktuelle Rechtslage i. Kritikwürdige Auslegung der alten Rechtslage ii. (Scheinbare) Aufhebung der Differenzierung von Datenarten und Verarbeitungszwecken in der DSGVO iii. Verankerung der Widerspruchslösung in der DSGVO 5. Zwischenergebnis: ausreichender Schutz der Kunden durch Ausübung ihrer Betroffenenrechte V. Sonderfall: Besondere Kategorien personenbezogener Daten VI. Ergebnis und Bewertung des Vollzugs eines Asset Deals D. Informationspflichten E. Ergebnis und Bewertung der Vollzugsphasen einer Unternehmenstransaktion

10  Kapitel Acht. Anschließende datenschutzkonforme Integration der Daten (Post-Merger-Integration) und die Rechtsfolgen einer Unternehmenstransaktion A. Fortbestehende Risiken I. Grenzen der zweckgebundenen Kundendatenverarbeitung durch den Erwerber II. Übertragbarkeit der datenschutzrechtlichen Einwilligungserklärung auf den Erwerber 1. Absenderbezogene Einwilligungserklärung 2. Geschäftsbezogene Einwilligungserklärung 3. Bewertung B. Das Institut der Gemeinsamen Verantwortlichkeit als temporärer Lösungsansatz im Anschluss an den Vollzug eines Asset Deals C. Rechtsfolgen datenschutzrechtlicher Verstöße während der Unternehmenstransaktion I. Keine Nichtigkeit des Unternehmenskaufvertrages infolge von Datenschutzverstößen II. Erhöhtes Risiko von finanziellen und sanktionsrechtlichen Belastungen D. Wahrung der Löschpflicht gem. Art. 17 DSGVO

11  Kapitel Neun. Schlussbetrachtungen A. Zusammenfassung der Untersuchungsergebnisse B. Bewertung und Ausblick auf Gestaltungsmöglichkeiten

12  Literaturverzeichnis