Читать книгу: «Due Diligence», страница 3

Шрифт:

c) Berechtigtes Interesse

Ein zentraler Erlaubnistatbestand im Bereich der Durchführung einer Due-Diligence-Prüfung findet sich in Art. 6 Abs. 1 lit. f) DSGVO wieder. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Ausweislich der Norm ist jedoch zuvor eine Interessenabwägung durchzuführen. Gemäß Art. 6 Abs. 1 lit. f) DSGVO ist das Interesse des Verantwortlichen nur zu berücksichtigen, soweit nicht die Interessen oder Grundrechte und -freiheiten der betroffenen Person hinsichtlich ihrer personenbezogenen Daten überwiegen.57

26 Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2, Rn. 1. 27 RL 95/46/EG des europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 28 Buchner, Wirtschaftsinformatik & Management 2019, 43, 43. 29 Abhängig von der Zählweise, mindestens jedoch 50. 30 Vgl. auch Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Teil I. Kap. 1 Rn. 48. 31 Gola, in: Gola, Art. 4 Rn. 5. 32 Martens, PinG 2015, 213, 214. 33 Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 34 Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 35 V. Lewinski, in: Auernhammer, Art. 2 Rn. 5. 36 Siehe Legaldefinition in Art. 4 Nr. 6 DSGVO. 37 Außer Akten, die nicht nach bestimmten Kriterien geordnet sind, Erwägungsgrund 15 DSGVO. 38 Bäcker, in: BeckOK DatenschutzR, Art. 2 Rn. 4. 39 Erwägungsgrund 26. 40 Bach, EuZW 2020, 175, 175. 41 Zur Anonymisierung im Detail Kapitel 2 Rn. 181ff. 42 Vgl. Hornung, in: NK DatenschutzR, Art. 3 Rn. 52. 43 Abgestellt wird auf die vom EuGH zur Warenverkehrsfreiheit aus Art. 28ff. AEUV vertretene Interpretation des Warenbegriffs. 44 Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2 Rn. 1. 45 Herbst, in: Kühling/Buchner, Art. 5 Rn. 1. 46 Dazu Kapitel 2 Rn. 141ff. 47 Voigt, in: Taeger/Gabel, Art. 5 Rn. 22. 48 Frenzel, in: Paal/Pauly, Art. 6 Rn. 43. 49 Kramer, in: Auernhammer, Art. 5 Rn. 10. 50 So auch in Erwägungsgrund 40 DSGVO. 51 Im Rahmen der Öffnungsklauseln steht es auch dem nationalen Gesetzgeber zu, eigene Erlaubnistatbestände zu normieren bzw. bestehende der DSGVO weiter auszuführen. So wurde bspw. in § 26 BDSG die Verarbeitung von Beschäftigtendaten weiterführend geregelt. 52 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 17. 53 Für detaillierte Ausführungen zu den Wirksamkeitsvoraussetzungen im Rahmen der Due Diligence siehe Kapitel 2 Rn. 141ff. 54 Vgl. Rn. 143. 55 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 56 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 57 Hierzu im Detail Kapitel 2 Rn. 171ff.

IV. Risiken

Die Risiken, welche mit Verstößen gegen das Datenschutzrecht einhergehen können, sind divers und teilweise nicht ex ante kalkulierbar. Das zentrale Risiko stellt hierbei die Forderung nach etwaigen Geldzahlungen dar. Derartige Forderungen können diesbezüglich von zwei unterschiedlichen „Anspruchstellern“ kommen. Zum einen können die Aufsichtsbehörden bei Verstößen Bußgelder (nach Inkrafttreten der DSGVO in nunmehr kolossaler Höhe) verhängen. Zum anderen können auch Betroffene, die durch entsprechende Datenschutzverstöße in ihren Rechten verletzt wurden, Schadensersatzforderungen an die Verantwortlichen richten.

1. Bußgelder

Eine wesentliche Neuerung hat das Datenschutzrecht hinsichtlich der Höhe der Bußgelder erfahren. Die in Art. 83 DSGVO normierten Bußgelder, welche durch die zuständigen Aufsichtsbehörden erteilt werden können, stellen eine drastische Verschärfung der Sanktionen bei Verstößen im Vergleich zum alten Datenschutzrecht dar. So sieht der Katalog des Art. 83 Abs. 5 DSGVO vor, dass Bußgelder in Höhe von bis zu 20.000.000 EUR und bei Unternehmen sogar bis zu 4 % des Vorjahresumsatzes verhängt werden können. Es ist neben der Verhältnismäßigkeit gemäß Art. 84 Abs. 1 Satz 2 DSGVO ein erklärtes Ziel, dass die Bußgelder abschreckend sind, mithin eine ausreichende Präventionswirkung entfalten.58 Darüber hinaus sind fast alle materiellen Pflichten, die sich aus der DSGVO ergeben, durch den Katalog des Art. 83 DSGVO bußgeldbewehrt.59

Dass die Behörden diesen Bußgeldrahmen auch tatsächlich ausschöpfen, zeigt die Praxis. So wurde beispielsweise gegen H&M ein Bußgeld in Höhe von 35 Mio. EUR durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wegen schwerwiegenden Verstößen gegen den Beschäftigtendatenschutz verhängt.

Bezüglich der Maßstäbe für die Festlegung der Höhe der Bußgelder bietet Art. 83 Abs. 2 DSGVO einen umfangreichen Kriterienkatalog für die Bemessung der Geldbußen.60 Dieser enthält jedoch nur Vorgaben hinsichtlich des „Wie“ der Bußgeldverhängung. Regelungen bezüglich des „Ob“ macht die Norm den Behörden nicht.61 So ist die Höhe des Bußgeldes gemäß Art. 84 Abs. 2 lit. a) DSGVO von der Art, Schwere und Dauer des Verstoßes abhängig. Auch kommt es auf die Kategorien der personenbezogenen Daten an oder etwa auf den Umfang der Zusammenarbeit mit den Aufsichtsbehörden, um dem Verstoß abzuhelfen, Art. 83 Abs. 2 lit. g) und f) DSGVO.

Von besonderer Relevanz für eine Due-Diligence-Prüfung ist Art. 82 Abs. 2 lit. e) DSGVO. Danach wird bei der Festlegung der Höhe des Bußgeldes berücksichtigt, ob bereits frühere Verstöße des Verantwortlichen bei der Aufsichtsbehörde bekannt sind. Bei einer Unternehmenstransaktion tritt der Käufer an die Stelle des bisherigen datenschutzrechtlichen Verantwortlichen. Insofern muss er sich die Datenschutzverstöße seines Vorgängers bei der Bemessung eines Bußgeldes gemäß Art. 83 Abs. 2 lit. e) DSGVO zurechnen lassen. In diesem Lichte ist bei der Durchführung einer Due-Diligence-Prüfung insbesondere darauf zu achten, ob gegen das zu prüfende Unternehmen in der Vergangenheit bereits Bußgelder verhängt wurden.

2. Schadensersatz

Ein weiteres Novum der DSGVO liegt darin, dass die Verordnung den Betroffenen bei Datenschutzverstößen gemäß Art. 82 Abs. 1 DSGVO expressis verbis einen immateriellen Schadensersatzanspruch zuschreibt. Das deutsche Schadensersatzrecht zielt primär auf den Ersatz materieller Vermögenschäden ab, vergleiche § 253 BGB. Art. 82 Abs. 1 DSGVO verpflichte Verantwortliche und Auftragsverarbeiter hingegen dazu, auch den immateriellen Schaden des Betroffenen zu ersetzen. In Anbetracht dessen, dass Art. 82 DSGVO im Gegensatz zu den Bußgeldern keine Maximalhöhe des immateriellen Schadens nennt und bei einer Datenpanne zumeist eine Vielzahl von Personen betroffen sein können, stellen Schadensersatzforderungen durch Betroffene ein durchaus schwer zu kalkulierendes Risiko dar. Hinzu kommt, dass der Schadensbergriff weit auszulegen ist.62 Mithin begründet schon der Verstoß gegen datenschutzrechtliche Vorschriften einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Unter Berücksichtigung des effet utile sollen Schadensersatzforderungen darüber hinaus auch eine abschreckende Wirkung entfalten und über das Maß eines symbolischen Schadensersatzes hinausgehen.63

Gerade in der jüngsten Vergangenheit zeichnete sich durchaus die Tendenz ab, dass Gerichte diese Auslegungskriterien berücksichtigen und Schadensersatzforderungen entsprechend stattgeben.64

Schließlich ist es nicht ausgeschlossen, dass Betroffene neben ihrem Schadensersatzanspruch auch von ihrem Melderecht gemäß Art. 77 Abs. 1 DSGVO bei der zuständigen Aufsichtsbehörde Gebrauch machen und letztlich neben Schadensersatzforderungen auch ein Bußgeld zu zahlen ist.

3. Abmahnung

Bisweilen wurde höchstrichterlich nicht abschließend geklärt, ob Datenschutzverstöße auch von Mitbewerbern, etwa auf Grundlage des UWG, abgemahnt werden können. Diese Frage hat der BGH mit Beschluss vom 28.5.2020 dem EuGH als Vorabentscheidung vorgelegt.65 Die nationalen Gerichte entschieden bisweilen uneinheitlich.66 Maßgeblich für die Frage der Anwendbarkeit des UWG ist die Entscheidung, ob es sich bei den Vorschriften der DSGVO um sogenannte „Marktverhaltensregeln“ i.S.d. § 3a UWG handelt.67 In diesem Zusammenhang ist ferner streitig, ob das UWG neben der DSGVO anwendbar oder ob letztere vielmehr abschließend ist. Sofern die Vorschriften des UWG Anwendung finden, könnten Mitbewerber i.S.d. § 8 Abs. 3 Nr. 1 UWG entsprechende Forderungen geltend machen. In Anbetracht dessen, dass noch keine Entscheidung durch den EuGH vorliegt, sollte das Risiko einer Abmahnung zumindest berücksichtigt und keinesfalls unterschätzt werden.

4. Vertrag unwirksam/Gewährleistungsansprüche

Tritt einer der vorgenannten Fälle ein, besteht ein nachvollziehbares Interesse des Kaufinteressenten, Gewährleistungs- und Schadenersatzansprüche gegenüber dem Zielunternehmen durchzusetzen. Dies gilt jedenfalls, sofern der Käufer während der Due-Diligence-Prüfung nicht selbst einen Verstoß begeht und ein Regress ausgeschlossen ist. An dieser Stelle konkretisiert sich ein weiteres Ziel der Due Diligence, die Ausgestaltung der Gewährleistung. In der Regel wird bei Abschluss eines Unternehmenskaufvertrages versucht, die Gewährleistung weitreichend auszuschließen. Dies kann natürlich nicht im Interesse des Kaufinteressenten liegen, schon gar nicht angesichts der erheblichen Folgen bei einem Verstoß gegen datenschutzrechtliche Vorschriften, insbesondere die der DSGVO. Die Gewährleistung in Deutschland, die vertraglichen Individualvereinbarungen der Kaufvertragsparteien einmal unbeachtet, richtet sich im Kaufvertragsrecht nach den Regelungen der §§ 434ff. BGB.68 Grundsätzlich haftet der Verkäufer dafür, dass der Kaufgegenstand die Sollbeschaffenheit aufweist und nicht mit Rechtsmängeln behaftet ist. Die Sollbeschaffenheit ist dabei vertraglich definiert oder wird objektivierend beurteilt. Rechtlich relevant ist bei der Frage der Gewährleistung die Norm des § 442 BGB. Nach § 442 Abs. 1 Satz 1 BGB sind die Rechte des Käufers ausgeschlossen, wenn er den Mangel bei Abschluss des Vertrages kennt. Isoliert betrachtet könnte man den Eindruck gewinnen, dass die Durchführung einer Due Diligence kontraproduktiv ist.69 Erwartungsgemäß werden bei dieser Prüfung gerade Mängel aufgedeckt, die dann als bekannt zu werten wären und zu einem Gewährleistungsausschluss führen würden. § 442 Abs. 1 BGB regelt in Satz 2 erschwerend noch weiter, dass ein Käufer etwaige Rechte wegen eines Mangels, der ihm infolge grober Fahrlässigkeit unbekannt geblieben ist, nur geltend machen kann, wenn der Verkäufer den Mangel arglistig verschwiegen oder eine Garantie für die Beschaffenheit der Sache übernommen hat. Hieraus wird teilweise geschlossen, dass derjenige, der eine Due Diligence durchführt und Mängel in grober Fahrlässigkeit verkennt, seine Gewährleistungsrechte verlieren soll.70 Ob dabei die Kenntnis des Beraters des Käufers bei der Due-Diligence-Prüfung zugerechnet werden kann, wird streitig behandelt.71 Jedenfalls würde die Gefahr, etwas bei der Prüfung zu übersehen und folglich die Gewährleistungsansprüche zu verlieren, gegen die Durchführung einer Due Diligence sprechen. Gleichwohl würde es paradox anmuten, wenn derjenige, der keine Prüfung vornimmt, Mängel damit weder kennt noch grob fahrlässig übersieht, gerade aus diesem Grunde seine Gewährleistungsrechte behalten soll. Eine Verpflichtung zur Durchführung einer Due Diligence gibt es jedenfalls nicht.72 Möglicherweise muss man eine grobe Fahrlässigkeit aber auch gerade dann bejahen, wenn, trotz Möglichkeit, Unterlagen zu prüfen, keine Due Diligence durchgeführt würde. Der Untätige wäre dann in jedem Fall seiner Gewährleistungsrechte verlustig.

Derartige, zumindest rein dogmatisch geführte Betrachtungen, verbieten sich bei einem Blick auf die praktischen Folgen einer unterlassenen Datenschutz-Due-Diligence. Die Verhängung eines Bußgeldes oder die Inanspruchnahme durch einen in seinen Rechten verletzten Dritten trifft das Zielunternehmen direkt. Selbst bei eindeutiger Rechtslage und unterstellt, dass ein Regress beim Zielunternehmen geführt werden könnte, dauern Prozesse oftmals Jahre. Anschließend müsste dann noch die Vollstreckung erfolgreich verlaufen, also Vermögen vorhanden sein, um die eingetretenen Schäden zu kompensieren. Die dabei entstehenden Kosten, abhängig von der Höhe der streitbefangenen Ansprüche, dürften die Kosten einer Due Diligence übersteigen.

Beachte:

Die Frage des „Ob“ der Durchführung einer Datenschutz-Due-Diligence während eines Verkaufsvorganges sollte gar nicht gestellt werden.

Stellen sich Mängel heraus, ist vielmehr mit dem Zielunternehmen zu vereinbaren, wie mit den festgestellten Mängeln zu verfahren ist. Bis zum Abschluss eines Verkaufes sieht sich der Verkäufer ja selbst dem Datenschutzverstoß ausgesetzt und wird ein gesteigertes Interesse haben, diesen abzustellen. Neben dem Einfluss auf die Kaufpreishöhe sollte der Fokus also darauf liegen, etwaige Mängel zu beseitigen.

58 Gola, in: Gola, Art. 84 Rn. 2. 59 Bergt, in: Kühling/Buchner, Art. 83 Rn. 2. 60 Boehm, in: NK-DatenschutzR, Art. 83 Rn. 22. 61 Boehm, in: NK-DatenschutzR, Art. 83 Rn. 22. 62 Moos/Schefzig, in: Taeger/Gabel, Art. 82 Rn. 26 DSGVO; Bergt, in: Kühling/Buchner, Art. 82 Rn. 17; Frenzel, in: Paal/Pauly, Art. 82. 63 Unter Verweis auf den Effektivitätsgrundsatz Bergt, in: Kühling/Buchner, Art. 82 Rn. 17; siehe auch Schantz, NJW 2016, 1841, 1847; Bäcker, in: Plath, Art. 82 Rn. 4a. 64 Vgl. etwa LG Lüneburg, Urt. v. 14.7.2020 – ZD 2021, 275, 276f.; LG Darmstadt, Urt. v. 26.5.2020 – ZD 2020, 642, 643; ArbG Düsseldorf, Urt. v. 5.3.2020 – ZD 2020, 422, 422f.. 65 BGH, EuGH-Vorlage vom 28.5.2020 – ZD 2020, 589, 589ff. 66 Für die Möglichkeit abzumahnen etwa OLG Hamburg, Urt. v. 25.10.2018 – GRUR 2019, 86; dagegen LG Bochum, Urt. v. 7.8.2020 – BB 2018, 2580, 2580. 67 Wessels, DuD 2018, 782, 782. 68 Zur Anwendbarkeit bei einem Unternehmensverkauf BGH, Urt. v. 26.9.2018 – BGHZ 220, 19, 20. 69 Loges, DB 1997, 965, 969. 70 Fleischer/Körber, BB 2001, 841, 844; einschränkend wird gefordert, dass ein Übersehen des Mangels dann unbeachtlich sein soll, wenn nur ein Sachverständiger diesen Mangel hätte feststellen können (so OLG Köln, Urt. v. 19.6.1991 – NJW-RR 1992, 49, 50). 71 Hierzu Weinland, in: jurisPK-BGB, § 166 BGB Rn. 22; umfassend zu der Problematik auf Käufer- und Verkäuferseite: Werner, jM 2017, 222, 223ff., jeweils mit weiteren Nachweisen. 72 Backu/Bayer, ITRB 2017, 19, 20f.

Kapitel 2: Datenschutz bei der Durchführung der Due Diligence

I. Vorüberlegungen
1. Allgemeines

Unabhängig davon, ob ein Share oder Asset Deal erfolgt, sollen dem potenziellen Käufer diverse Informationen zur Verfügung gestellt werden. Kommt es dabei zur Übermittlung von personenbezogenen Daten im räumlichen Anwendungsbereich der DSGVO73, ist hierbei ein eigener Verarbeitungsvorgang im Sinne von Art 4 Nr. 2 DSGVO zu sehen.74 Ein Personenbezug besteht immer dann, wenn mit Hilfe der Informationen Personen identifizierbar sind oder eine solche Identifizierung möglich ist.75 Zumindest theoretisch denkbar wäre es im Rahmen der Due Diligence, personenbezogene Daten zu anonymisieren und damit einen Personenbezug auszuschließen. Dies würde im Ergebnis zu einer Unanwendbarkeit der DSGVO führen.76 In Abgrenzung hierzu nicht ausreichend wäre eine bloße Pseudonymisierung. Diese liegt vor, wenn Daten erst nach Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten und hiermit ein Personenbezug möglich würde. Beim Anonymisieren hingegen werden die personenbezogenen Daten so verändert, dass eine Wiederherstellung ausgeschlossen ist, jedenfalls einen erheblichen Aufwand darstellen würde.77

In der Praxis scheiden derartige Vorbereitungshandlungen oftmals aus. Abhängig von der Größe des Unternehmens und dem relevanten Datenmaterial wäre der Aufwand, personenbezogene Daten zunächst herauszufiltern, um diese dann vollumfänglich unkenntlich (gleich, ob anonymisiert oder pseudonymisiert) zu machen, erheblich. Erwartungsgemäß wird zudem der Käufer ein nachhaltiges Interesse daran haben, Datenmaterial umfassend zu prüfen. Wäre nun ein Großteil nicht verwertbar oder wenig aussagekräftig, würde dies nachhaltigen Einfluss auf die Kaufpreisbildung nehmen. Mangels praktischer Umgehungsmöglichkeit bleibt der Anwendungsbereich der DSGVO also eröffnet. Dadurch ist eine Vielzahl von Regelungen zu berücksichtigen, die im Vorwege der Due Diligence abzuprüfen sind. Es ist insbesondere zu klären, welche Parteien an der Prüfung teilnehmen und welcher Aufgabenkreis ihnen zukommen soll. Abhängig hiervon müsste der Abschluss einer Vereinbarung gemäß Art. 26 Abs. 1 Satz 2 DSGVO und/oder einer Auftragsdatenverarbeitungsvereinbarung78 gemäß Art. 28 Abs. 3 Satz 1 DSGVO in Betracht gezogen werden. Zu berücksichtigen ist, dass die mit der Due Diligence einhergehenden Datenverarbeitungsvorgänge stets durch eine Rechtsgrundlage der DSGVO legitimiert werden. Hierbei ist für einen Teil der Daten zu prüfen, ob Informationsverpflichtungen gemäß Art. 13, 14 DSGVO bestehen. Darüber hinaus ist der Ort der Prüfung festzulegen. Wesentliche Bedeutung kommt zudem der Frage zu, welche Daten zu überprüfen sind. Schlussendlich wird (auch) hiervon abhängig sein, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO anzustellen oder ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu erstellen ist.

Praktische Erwägung:

Sämtliche Überlegungen sind dabei immer vor dem Hintergrund anzustellen, dass jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage erfordert. Wenn es Art und Umfang einer Prüfung zulassen, z.B. wenn es nur vorbereitende Gespräche über einen Unternehmenskauf betrifft, bei dem lediglich kursorisch Unternehmensdaten geprüft werden, sollte eine Anonymisierung in Erwägung gezogen werden. Datenschutzrechtliche Fragen könnten so, zumindest vorübergehend, vermieden werden.

Bei Missachtung einschlägiger Vorschriften drohen schon bei der Durchführung der Due Diligence Risiken hinsichtlich einer Verhängung von Bußgeldern oder der Zahlung von Schadenersatz.79

2. Datenschutzrechtliche Stellung der Beteiligten

Bei jeder Due Diligence ist für die Berücksichtigung datenschutzrechtlicher Regelungen zunächst festzustellen, welche Parteien hieran teilnehmen und welche Mittel für deren Durchführung eingesetzt werden. Zu empfehlen ist die Erstellung einer Übersicht, in der neben der Bezeichnung der Parteien auch deren Aufgabenkreis umrissen wird. Nur so ist es möglich, die Verantwortlichkeit dieser Partei im Sinne der DSGVO festzulegen. Dabei greift die pauschale Unterscheidung zwischen Verkäufer und Käufer sicherlich zu kurz. Im Datenschutzrecht gibt es keine starren Begrifflichkeiten. Die Fluktuation macht es daher schwierig, im Vorwege die einzig richtig Lösung festzulegen. Bei einer weiten Auslegung des Begriffes der Verantwortlichkeit gemäß Art. 26 DSGVO, werden die Kaufvertragsparteien als gemeinsam Verantwortliche anzusehen sein. Allerdings erfolgt die Due-Diligence-Prüfung, gerade im Bereich des Datenschutzes, zumeist nicht durch die Kaufvertragsparteien bzw. deren rechtliche Vertreter, sondern durch beauftragte Dritte. Werden aber Dritte eingesetzt, ist fraglich, ob diese ebenso Mitverantwortliche im Sinne des Art. 26 DSGVO sind oder ihnen sogar eine Eigenverantwortlichkeit zukommt. Denkbar wäre ebenso, ein Auftragsverarbeitungsverhältnis zwischen dem Verantwortlichen und dem eingeschalteten Dritten anzunehmen, Art. 28 DSGVO. Dabei können auch Dritte beteiligt sein, die schon lange vor Durchführung der Due Diligence und unabhängig hiervon beauftragt waren. Typische Beispiele sind der EDV-Dienstleister80 und der Datenschutzbeauftragte.

Bindeglied zwischen allen Beteiligten ist der Ort der Prüfung. Früher wurden die Unternehmensinformationen schlicht innerhalb der Räumlichkeiten des Zielunternehmens oder dessen Beratern in Papierform zur Einsicht und Prüfung bereitgestellt. Datenschutzrechtlich ist dies weiterhin zu empfehlen, um so den größtmöglichen Schutz der Informationen, nicht zuletzt den eigenen Unternehmensdaten, zu gewährleisten. Gängige Praxis ist dies allerdings nicht mehr. Heutzutage gewinnen digitale Datenräume zunehmend an Bedeutung. Zumeist werden hierzu professionelle Anbieter von Cloud-Lösungen, und damit ein weiterer relevanter Beteiligter, eingesetzt, die ein umfassendes Rechtemanagement zur Verfügung stellen.

Die Auswahl der Beteiligten sollte gut durchdacht werden, um auch hierbei Verstöße gegen Datenschutzvorschriften zu vermeiden. Wiederum zeigt sich, dass es im Datenschutzrecht keine starren Begrifflichkeiten gibt und auch die Eigenschaft der Beteiligten fluktuiert.

73 Nach Art. 3 DSGVO muss ein Bezug zur Europäischen Union gegeben sein; dazu im Detail Kapitel 1 Rn. 27ff. 74 Dies wird auch im DSK-Kurzpapier Nr. 16 unterstellt. Ebenso Grau, FS Willemsen, 2018, S. 147, 148. 75 Beispielsweise handelt es sich bei IP-Adressen um personenbezogene Daten, da es möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen, BGH, Urt. v. 16.5.2017 – NJW 2017, 2416, 2416f. 76 So Erwägungsgrund 26. 77 Denkbar wäre die Unkenntlichkeitsmachung, klassisch in Form von Schwärzen. Dzida, BB 2019, 3060, 3063, spricht vom so genannten „Signing“; dazu im Detail Kapitel 2 Rn. 184f. 78 Art. 28 Abs. 3 Satz 1 DSGVO spricht von einem „Vertrag“ oder „einem anderen Rechtsinstrument“. 79 Dazu im Detail Kapitel 1 Rn. 37ff. 80 Hierunter fällt nicht nur der Hard- und Software-Betreuer, sondern auch der Dienstleister der im Unternehmen eingesetzten Softwarekomponenten.

Бесплатный фрагмент закончился.