Читать книгу: «Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO», страница 3
B. Ziel der Untersuchung und Gang der Darstellung
Ziel der vorliegenden Arbeit ist es, die Zulässigkeit von Kundendatenübertragungen im Zuge von privatrechtlichen Unternehmenstransaktionen in datenschutzrechtlicher Hinsicht zu evaluieren. Davon abgesehen sollen umfassend diejenigen spezifischen Vorschriften der DSGVO beleuchtet werden, die darüber hinaus bei Unternehmenstransaktionen zum Tragen kommen. Die Herausforderung der nachfolgenden Ausarbeitung besteht darin, nicht nur eine rechtliche Einschätzung zu geben, sondern zugleich praktische Vorgehensweisen für datenverarbeitende Unternehmen und Maßnahmen im Umgang mit den konkreten datenschutzrechtlichen Anforderungen für die Rechtspraxis zu evaluieren.
Nach einer kurzen Einführung in die Problematik (Kapitel Eins) wird zunächst kursorisch der Rechtsrahmen anhand der Entwicklung des deutschen Datenschutzrechts dargelegt (Kapitel Zwei), bevor die Grundlagen einer Unternehmenstransaktion im datenschutzrechtlichen und ökonomischen Kontext erläutert werden, die als Ausgangspunkt für eine eingehende Auseinandersetzung mit dem Schutz von personenbezogenen Kundendaten vorauszusetzen sind (Kapitel Drei).
Die anschließende Ausarbeitung (Kapitel Vier) sieht vor, transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken aufzudecken. Hierbei wird die Frage erörtert, welche technischen und organisatorischen Maßnahmen die beteiligten Akteure im gesamten Verlauf der Unternehmenstransaktionen zu ergreifen haben und welche Voraussetzungen der Datensicherheit dabei einzuhalten sind.
Im Mittelpunkt der weiteren Vorgehensweise steht, anhand jedes einzelnen Schrittes einer Unternehmenstransaktion den rechtmäßigen Umgang mit Kundendaten zu untersuchen. Die Kapitel thematisieren daher jeweils eine der vier Phasen einer Unternehmenstransaktion: die Vorbereitungsphase (Kapitel Fünf), die Due Diligence (Kapitel Sechs), die Vollzugsphase (Kapitel Sieben) und die Phase der anschließenden Integration der Daten (Kapitel Acht).
Einen Schwerpunkt in der Due Diligence bildet die Abgrenzung des Verarbeitungsbegriffs zur zweckändernden Verarbeitung. In Kapitel Sechs werden zudem die Voraussetzungen für eine rechtmäßige Einwilligungserklärung nach neuer Gesetzeslage analysiert. Neben einer Darstellung und Bewertung der Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung von Kundendaten in den Datenraum wird in diesem Kapitel an die Informationspflichten nach der DSGVO angeknüpft und letztlich ein Lösungsansatz für eine effektive und datenschutzkonforme Datenverarbeitung in der Praxis präsentiert.
Im Kapitel Sieben soll die datenschutzrechtliche Untersuchung der Vollzugsphase anhand der jeweiligen Gestaltungsform einer Unternehmenstransaktion – Share Deal, Asset Deal oder Umwandlung – differenziert werden. Im Rahmen des Vollzugs eines Asset Deals ist vor allem eine umfassende Auseinandersetzung mit dem Bußgeldbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vom 30.7.2015 geboten, in dem eine ‚Widerspruchslösung‘ bei der Übermittlung von Kundendaten gefordert wird. Insgesamt wird der Meinungsstand von Literatur und Rechtsprechung sowie einzelner Datenschutzbehörden dahingehend ausgewertet, wie der Verarbeitungstatbestand bzw. die Erlaubnistatbestände sowohl beim Asset Deal, Share Deal als auch bei der Umwandlung ausgelegt werden. Auf Basis dessen soll sodann ein eigenes Auslegungsergebnis entwickelt werden. Der Bearbeitung liegt der Gedanke zugrunde, dass das Datenschutzrecht das Vertrauen der Kunden in unternehmerische Datenverarbeitungstätigkeiten wiederherstellen soll, zugleich aber Innovation und Marktfreiheit nicht ausgebremst werden dürfen.
In Kapitel Acht ist zu erörtern, wie nach einer Unternehmenstransaktion erworbene Kundendatensätze rechtmäßig genutzt werden können, um einen möglichst großen Nutzen der Daten unter Wahrung der Rechte der Kunden zu erzielen. Datenschutzrechtlicher Dreh- und Angelpunkt ist hierbei der Zweckbindungsgrundsatz. Für die Problematik, wer für die Datenverarbeitungsvorgänge verantwortlich ist, wird ein temporärer Lösungsansatz aus dem Datenschutzrecht vorgeschlagen. Anschließend werden Überlegungen zu rechtlichen Konsequenzen im Falle von datenschutzrechtlichen Verstößen während einer Unternehmenstransaktion angestellt.
Im Zentrum der Auseinandersetzung mit den genannten Fragestellungen steht die DSGVO, da das BDSG n.F. keine weiteren Präzisierungen hinsichtlich des Umgangs mit Kundendaten bei Unternehmenstransaktionen enthält, sodass unmittelbar die Bestimmungen der DSGVO alleiniger Gegenstand der nachfolgenden Bearbeitung sind. Die Anwendung klassischer juristischer Methodik wird einen wesentlichen Beitrag zur Ermittlung des Willens des europäischen Gesetzgebers und des jeweiligen Zwecks einer Norm in der DSGVO leisten. Die Grauzonen des Datenschutzrechts respektive die in der DSGVO häufig verwendeten abstrakten und generalklauselartigen Bestimmungen sollen einer konkreten Interpretation unterzogen werden. Eine Herausforderung besteht also darin, die vielen offenen Formulierungen und Prinzipien der geltenden Rechtslage nach der DSGVO in Anbetracht einer erst kürzlich unionsweiten Harmonisierung zu präzisieren, da es an einer ausgeprägten Rechtsprechung zur DSGVO noch fehlt. Infolge der jungen Geschichte der DSGVO sind im Rahmen der historischen Auslegungsmethode insbesondere die Erwägungsgründe der DSGVO von Bedeutung, die aufzeigen, welche Überlegungen und Beweggründe zum Erlass der DSGVO geführt haben. Da sie auch Auskunft über den Sinn und Zweck einzelner Regelungen der DSGVO gewähren, dienen sie als wichtige Orientierungshilfe im Rahmen der Auslegung.34 Sofern von Relevanz, wird rechtsvergleichend auf die Vorschriften des BDSG a.F. bzw. auf die diesem Gesetz zugrundeliegende EU-Datenschutzrichtlinie eingegangen. Da die DSGVO aus deutscher Sicht und mit Blick auf die angestrebte Rechtssicherheit teilweise in Frage gestellt wird, soll die nachfolgende Auseinandersetzung dahingehend einen Mehrwert bieten, für beteiligte Unternehmen und betroffene Kunden Klarheit zu schaffen, wie mit Kundendaten bei Unternehmenstransaktionen umzugehen ist.
34 Paal/Pauly, in: Paal/Pauly, DS-GVO BDSG, Einleitung, Rn. 10.
C. Nicht behandelte Aspekte
Um dem Schutzregime der DSGVO zu unterfallen, muss eine Verarbeitung von personenbezogenen Kundendaten im Rahmen von Unternehmenstransaktionen einen hinreichenden Unionsbezug i.S.v. Art. 3 DSGVO aufweisen. Dieser ist zu unterstellen, sodass der räumliche Anwendungsbereich der DSGVO als eröffnet gilt.35 Davon abgesehen soll es nachfolgend nicht um Unternehmenstransaktionen außerhalb des Geltungsbereichs der DSGVO gehen. Solche Drittlanddatentransfers sind nur unter den zusätzlichen Voraussetzungen der Art. 44ff. DSGVO zulässig.36
Im Hinblick auf die rechtliche Zulässigkeit der Übermittlung von Kundendaten im Zuge einer Unternehmenstransaktion erfolgt lediglich eine datenschutzrechtliche Bewertung.37 Aus diesem Grund werden kartell- und lauterkeitsrechtliche Fragestellungen nicht untersucht.
Inwiefern hingegen Rechte an den Daten der Kunden bestehen können, ob also Unternehmen überhaupt befugt sind, die Daten zu nutzen, ist von gänzlich anderem rechtlichen Ausmaß. Deshalb soll für die folgende Untersuchung davon ausgegangen werden, dass Unternehmen grundsätzlich zur Nutzung befugt sind; es wird daher um die faktische Übertragbarkeit der Kundendaten gehen.38
35 Ausführlich zum räumlichen Anwendungsbereich etwa Golland, DuD 2018, 351 (351ff.); Klar, in: Kühling/Buchner, DSGVO/BDSG, Art. 3, Rn. 35ff.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, B, Rn. 31ff. 36 Ausführlich zur Übermittlung personenbezogener Daten in Drittländer und den Anforderungen etwa Wybitul/Ströbel/Ruess, ZD 2017, 503 (503ff.); Ambrock/Karg, ZD 2017, 154 (154ff.); Voigt/von dem Bussche, DSGVO, S. 150ff.; Schröder/von Alten/Weinhold, ZD 2018, 746 (746ff.); Wieczorek, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, Teil A, § 7, Rn. 1ff. 37 Da nachfolgend maßgeblich die Übermittlung statt der Erhebung und Verwendung von personenbezogenen Daten von Bedeutung ist, spielt sowohl das Telemediengesetz (TMG), als auch das Telekommunikationsgesetz (TKG) keine weitere Rolle, vgl. Funk, KSzW 2017, 56 (57). 38 Zu der Frage nach Rechten an Daten und einer Ausschließlichkeitsfunktion, einschließlich der Lizensierung siehe etwa Max-Planck-Institut für Innovation und Wettbewerb, Positionspapier vom 16.8.2016 zur aktuellen europäischen Debatte, GRUR Int. 2016, 914 (914ff.); Schefzig, K&R 2015, 3 (3ff.); Denga, NJW 2018, 1371 (1371ff.); Wandtke, MMR 2017, 6 (6ff.); Härting/Schneider, CR 2015, 819 (826); Markendorf, ZD 2018, 409 (409ff.); Determann, ZD 2018, 503 (503ff.).
Kapitel Zwei. Der datenschutzrechtliche Rechtsrahmen
A. Entwicklung des deutschen Datenschutzrechts
Als Reaktion auf den technischen Fortschritt im Hinblick auf die Entwicklung von Großrechnertechnologien musste der Gesetzgeber mit rechtlichen Rahmenbedingungen nachfolgen. Als erstes Bundesland verabschiedete Hessen im Jahr 1970 ein allgemeines Landesdatenschutzgesetz.39 Auf Länderebene zogen die westlichen Bundesländer bis 1981 und schließlich die neuen Bundesländer bis 1992 nach, während auf Bundesebene bereits 1977 das erste deutsche Bundesdatenschutzgesetz (BDSG) im Bundesgesetzblatt verkündet wurde.40 Schon damals hatte der Gesetzgeber von 1977 den Grundsatz in § 3 BDSG eingeführt, dass die Verarbeitung personenbezogener Daten nur auf der Grundlage einer Einwilligung des Betroffenen oder einer gesetzlichen Grundlage zulässig sein sollte (sog. Verbot mit Erlaubnisvorbehalt), wodurch der Bürger nicht nur gegenüber dem Staat, sondern auch gegenüber Privaten in seinen Grundrechten geschützt wurde.41
Bis heute erfolgten im Wesentlichen drei umfangreiche Novellierungen des BDSG von 1977. Die Anerkennung eines umfassenden grundrechtlich verankerten Rechts auf informationelle Selbstbestimmung, welches das BVerfG im Urteil vom 15. Dezember 1983 zum Volkszählungsgesetz (sog. ‚Volkszählungsurteil‘)42 als Ausprägung des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG etabliert hatte, markierte eine Zäsur im deutschen Datenschutzrecht. Das BVerfG forderte, dass das Recht auf informationelle Selbstbestimmung – im Wesen als Abwehrrecht gegenüber dem Staat zu verstehen – den Einzelnen davor schützen solle, dass seine persönlichen Daten in Anbetracht der modernen Datenverarbeitung unbegrenzt erhoben, gespeichert, verwendet und weitergegeben werden.43 Es wurde als die „Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“ konstituiert.44 Um diesen Vorgaben des BVerfG zu genügen, die weit über den ursprünglichen Beschwerdegegenstand hinaus eher in allgemeinen Grundsätzen mündeten,45 wurde das BDSG von 1977 zum ersten Mal durch das Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 20. Dezember 199046 novelliert.47
Im Jahr 2001 führte die Umsetzung der sog. EU-Datenschutzrichtlinie48 zur zweiten Novellierung des BDSG (im Folgenden: BDSG a.F.).49 Fortan wurde das in Europa existierende, auf der EU-Datenschutzrichtlinie basierende Datenschutzrecht oftmals als „Flickenteppich“ bezeichnet.50 Zwar wurde schon mit der EU-Datenschutzrichtlinie der Zweck verfolgt, dass die „Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten“ harmonisiert werden sollten (Erwägungsgrund 3, Art. 1 EU-Datenschutzrichtlinie).51 Allerdings konnte dieses Ziel mit einer ‚bloßen‘ Richtlinie nicht erreicht werden. Die Mitgliedstaaten durften in Anbetracht des Art. 288 Abs. 3 AEUV die Form und Mittel zur Erreichung des verbindlichen Ziels der Richtlinie selbst wählen, wodurch der Datenschutz in der EU unterschiedlich gehandhabt wurde (Erwägungsgrund 9). Nicht nur nationale Umsetzungsgesetze wichen infolge dieser Umsetzungsspielräume erheblich voneinander ab, sondern auch deren Auslegung und Anwendung war von Stellungnahmen und Interpretationshilfen der jeweiligen nationalen Datenschutzbehörden geprägt. Solche Divergenzen standen einer vom europäischen Datenschutzrecht beabsichtigten ausgeprägten Binnenmarktdimension (also der Gewährleistung des freien Verkehrs personenbezogener Daten) entgegen.52 Unternehmen, die auf mehreren europäischen Märkten agierten, waren in der Praxis mit der beschwerlichen Aufgabe konfrontiert, die Orientierung bei der Einhaltung der zahlreichen unterschiedlichen datenschutzrechtlichen Vorgaben nicht zu verlieren.53 Die durch die verschiedenen nationalstaatlichen Regelungen bedingte Rechtszersplitterung innerhalb der EU führte zudem in der Wirtschaft auch meist zu einem höheren Verwaltungsaufwand und zu unnötigen Kosten.54 Teils wurde aber auch schon die Entscheidung über den Ort der Niederlassung in einem bestimmten Mitgliedstaat der EU davon abhängig gemacht, wo die für den Geschäftsbetrieb vorteilhaftesten, meist schwächsten Datenschutzgesetzen galten.55 Das deutsche Umsetzungsgesetz – das BDSG a.F. – galt indes als eines der strengsten Europas. Von einem „gleichwertigen Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser [personenbezogenen] Daten in allen Mitgliedstaaten“56, wie es vom europäischen Gesetzgeber wünschenswert war, konnte derweil in Anbetracht der existierenden Rechtsunsicherheit keine Rede sein.57
Schließlich entschloss sich der europäische Gesetzgeber 2016 nach einem herausfordernden Gesetzgebungsverfahren58 mit der Verabschiedung der DSGVO zu einem Rechtsaktwechsel – also der Abkehr von einer ‚bloßen‘ Richtlinie hin zu einer in allen Teilen verbindlichen, unmittelbar in jedem Mitgliedstaat geltenden Verordnung (vgl. Art. 288 Abs. 2 AEUV59), woraufhin letztlich die dritte Novellierung des BDSG folgte.60 Damit wurde dem Datenschutz in Europa seine entsprechende Wichtigkeit zugemessen.61
39 Datenschutzgesetz vom 7. Oktober 1970 (GVBl. I für das Land Hessen vom 12.10.1970, S. 625ff.). 40 Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung vom 27. Januar 1977 (BGBl. I vom 1.2.1977, S. 201ff.). Im Gegensatz zu den Landesdatenschutzgesetzen enthielt das BDSG von 1977 neben Regelungen für die Verarbeitung personenbezogener Daten durch öffentliche Stellen auch solche für die Datenverarbeitung durch private Stellen. Im Vergleich zum Datenschutzrecht auf europäischer Ebene, auf der sowohl in der EU-Datenschutzrichtlinie als auch in der DSGVO die Datenverarbeitung durch den öffentlichen und privaten Sektor einheitlich durch den Begriff des Verantwortlichen (vgl. Art. 2 lit. d EU-Datenschutzrichtlinie bzw. Art. 4 Nr. 7 DSGVO) konzipiert ist, bleibt eine solche Differenzierung im BDSG bis heute erhalten. 41 Der § 3 BDSG von 1977 wurde den speziellen Vorschriften zur Datenverarbeitung öffentlicher Stellen (§§ 7ff.) und nicht-öffentlicher Stellen (§§ 22ff.) vorangestellt, vgl. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 30. 42 Vgl. BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (45ff.). 43 Mit dem ‚Volkszählungsurteil‘ (BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (1ff.).) wendete sich das BVerfG von der räumlich geprägten Sphärentheorie (die heute nur noch im Presserecht Anwendung findet) zur Rechtfertigung eines Eingriffs in das allgemeine Persönlichkeitsrecht ab und stellte die Selbstbestimmung des Individuums im Rahmen der elektronischen Datenverarbeitung in den Vordergrund. Der Schutzbereich der informationellen Selbstbestimmung wird nun individuell durch den Einzelnen bestimmt, da Daten nicht räumlich oder aufgrund ihres Ursprungs eingeordnet werden können, sondern ihr Schutz stets im Zusammenhang mit ihren Nutzungs- und Verwendungsmöglichkeiten zu betrachten ist. Werden Daten aus ihrem Kontext gerissen und mit weiteren Informationen angereichert, kann sich eine weitaus höhere Schutzbedürftigkeit ergeben als zuvor, wobei ein absolut geschützter Kernbereich privater Lebensgestaltung zu garantieren ist. Unter den Bedingungen der modernen Datenverarbeitung kann daher kein Datum mehr als „belanglos[...]“ gelten, vgl. BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (45). Während das BVerfG 1983 bei der Entwicklung des Grundrechts vor allem noch von staatlichen Eingriffen ausging, kommt dem Recht auf informationelle Selbstbestimmung heute insbesondere in der datengetriebenen Privatwirtschaft und den Herausforderungen der Informationsgesellschaft Gewichtung zu, vgl. m.w.N. Nebel, ZD 2015, 517 (518ff.); ebenso m.w.N. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 26. 44 BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (42). 45 Gegenstand der Verfassungsbeschwerde war nämlich nur das Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz 1983). Auf dessen Grundlage sollten Daten aller Einwohner Deutschlands mittels einer sog. Totalerhebung durch die öffentliche Verwaltung statistisch erhoben werden, um aktuelle Informationen über Bevölkerungsstand, räumliche Verteilung der Bevölkerung, ihre Zusammensetzung nach sozialen und demografischen Merkmalen und ihre wirtschaftliche Betätigung zu erlangen. Zwar ließ das BVerfG die Volkszählung mit Einschränkungen zu, stellte daneben jedoch weitere grundsätzliche Anforderungen an den Datenschutz auf, auf die die Legislative zu agieren hatte; m.w.N. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 30f. 46 BGBl. I vom 29.12.1990, S. 2954. 47 Kursorisch zu den Neuregelungen vgl. m.w.N. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., Einleitung, Rn. 7. 48 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31ff.), im Folgenden: EU-Datenschutzrichtlinie. 49 Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I vom 22.5.2001, S. 904ff.) sowie Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I vom 24.1.2003, S. 66ff.), im Folgenden: BDSG a.F. Zuvor hatte die Kommission am 1.12.2000 ein Vertragsverletzungsverfahren gegen Deutschland wegen Überschreitung der Umsetzungsfrist der EU-Datenschutzrichtlinie vor dem EuGH eingeleitet (Klage der Kommission der Europäischen Gemeinschaften gegen die Bundesrepublik Deutschland, Rs. C-443/00, ABl. C 45/17 vom 10.2.2001, S. 8). 50 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 7; GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 11. 51 Die Gewährleistung eines gleichwertigen und hohen Schutzniveaus für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten der EU soll auch weiterhin unter der DSGVO Bestand haben, vgl. Erwägungsgrund 9 Satz 1, 10 Satz 1. 52 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union vom 4.11.2010, KOM (2010) 609 endgültig, S. 11. 53 Vgl. Hamann, BB 2017, 1090 (1090); diese Unterschiede im Schutzniveau der Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Datenverarbeitung in den Mitgliedstaaten konnten nicht nur den unionsweiten freien Verkehr solcher Daten behindern, sondern auch ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen und den Wettbewerb verzerren (Erwägungsgrund 9 Satz 3). 54 Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, D, Rn. 22; Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert vom 25.1.2012, KOM (2012) 9 endgültig, Abschnitt 3., S. 7. 55 Vgl. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 11. 56 Erwägungsgrund 8 S. 1 EU-Datenschutzrichtline. 57 So auch etwa Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 7. 58 Vertiefend zum Gesetzgebungsverfahren der DSGVO vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, C, Rn. 11ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 197ff.; insbesondere zu den politischen und äußeren Einflüssen im Gesetzgebungsverfahren vgl. Albrecht, CR 2016, 88 (89f.). 59 Vertrag über die Arbeitsweise der Europäischen Union in der Fassung der Bekanntmachung vom 9. Mai 2008 (ABl. C 115 vom 9.5.2008, S. 47ff.), im Folgenden: AEUV. 60 Die im Jahr 2009 erfolgten drei Änderungen des BDSG waren weniger eine Novellierung, sondern eher bloße Einzelfallkorrekturen, vgl. m.w.N. Simitis, in: Simitis, BDSG a.F., Einleitung, Rn. 102. 61 Mit Geltung der DSGVO wurde zeitgleich gem. Art. 94 Abs. 1 DSGVO die EU-Datenschutzrichtlinie aufgehoben.
