Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO
Автор книги: id книги: 2020739     Оценка: 0.0     Голосов: 0     Отзывы, комментарии: 0 8282,79 руб.     (80,93$) Читать книгу Купить и скачать книгу Купить бумажную книгу Электронная книга Жанр: Социология Правообладатель и/или издательство: Bookwire Дата добавления в каталог КнигаЛит: ISBN: 9783800593811 Скачать фрагмент в формате   fb2   fb2.zip Возрастное ограничение: 0+ Оглавление Отрывок из книги

Реклама. ООО «ЛитРес», ИНН: 7719571260.

Описание книги

Mit Geltung der DSGVO seit Mai 2018 müssen sich Unternehmen auf deren Regelungen und Durchsetzung einrichten. Die vorliegende Arbeit untersucht aus datenschutzrechtlicher Perspektive die Durchführung von Unternehmenstransaktionen, bei denen Daten von Kunden auf den Erwerber übertragen werden sollen. In diesem Zusammenhang wird die DSGVO als neuer datenschutzrechtlicher Rahmen in Bezug auf Unternehmenstransaktionen durch Auslegung konkretisiert. Das Thema ist nicht nur in theoretischer Hinsicht von enormer Bedeutung, sondern auch für die Rechtspraxis von aktueller Relevanz. Denn heutzutage sind Kundendaten für den Geschäftserfolg eines Unternehmens wichtiger denn je.
Im Fokus der Untersuchung stehen eine Unterteilung der Unternehmenstransaktion in verschiedene Phasen (Vorbereitung, Due Diligence, Vollzug und Post-Merger-Integration) sowie eine Differenzierung anhand der rechtlichen Gestaltungsformen (Umwandlung, Share Deal und Asset Deal). Neben einer umfassenden Analyse der datenschutzrechtlichen Rahmenbedingungen werden die wesentlichen Risiken herausgearbeitet und datenschutzkonforme Lösungen präsentiert. Dabei werden die datenschutzrechtlichen Anforderungen an eine zulässige Datenverarbeitung detailliert beleuchtet, wobei insbesondere Kriterien für den Abwägungstatbestand des Art. 6 Abs. 1 lit. f DSGVO aufgezeigt werden.

Оглавление

Carmen Födisch. Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO

Datenschutz bzgl. Kundendaten bei. Unternehmenstransaktionen unter. besonderer Berücksichtigung der. Datenschutz-Grundverordnung

Vorwort

Inhaltsverzeichnis

Abkürzungsverzeichnis

A. Einleitung und Forschungsfrage. I. Der rasante Anstieg von Datenmengen bei Unternehmenstransaktionen und dessen Auswirkungen

II. Die Rolle des Datenschutzes und der Einfluss der DSGVO auf Unternehmenstransaktionen

III. Das Paradoxon der bestehenden Rechtsunsicherheit und dem hohen Wert von Kundendaten bei Unternehmenstransaktionen

B. Ziel der Untersuchung und Gang der Darstellung

C. Nicht behandelte Aspekte

A. Entwicklung des deutschen Datenschutzrechts

B. Ziele der DSGVO und ihre Auslegungsbedürftigkeit

C. Das Verhältnis des BDSG n.F. zur DSGVO

I. Potenzieller Verstoß gegen das Normwiederholungsverbot durch das BDSG n.F

II. Europarechtskonforme Auslegung des BDSG n.F. und der Anwendungsvorrang der DSGVO

III. Anwendung der Grundrechte – welcher Maßstab gilt?

A. Begrifflichkeiten einer Unternehmenstransaktion im datenschutzrechtlichen Kontext

I. Der Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO

II. Personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO im Rahmen von Unternehmenstransaktionen. 1. Auslegung des Begriffs des personenbezogenen Datums

2. Der Begriff der Kundendaten im weitesten Sinne

a. Geschäftskundendaten

b. Privatkundendaten

c. Besondere Kategorien personenbezogener Kundendaten

3. Beschäftigtendaten

4. Nicht personenbezogene Unternehmensdaten

III. Das Verbotsprinzip mit Erlaubnisvorbehalt gem. Art. 6 DSGVO

1. Die Gleichrangigkeit und das Konkretisierungsbedürfnis der Zulässigkeitsvarianten

2. Art. 6 Abs. 1 lit. f DSGVO als zentrale Rechtsgrundlage bei Unternehmenstransaktionen

a. Berechtigtes Interesse

b. Erforderlichkeit

c. Abwägung

d. Zwischenergebnis

IV. Der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure

1. Das datenschutzrechtlich verantwortliche (Ziel-)Unternehmen. a. Der Begriff des Unternehmens im Allgemeinen

b. Der datenschutzrechtliche Unternehmensbegriff

c. Der Verantwortliche

d. Zwischenergebnis: Der Begriff des Zielunternehmens

2. Abgrenzung zu datenschutzrelevanten Übermittlungen innerhalb oder zwischen Unternehmen

a. Fehlendes Konzernprivileg

b. Auftragsdatenverarbeitung i.S.v. Art. 28 DSGVO

c. Gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO

B. Beteiligte Akteure und ihre Interessenspositionen

I. Das Zielunternehmen und seine geschützten Interessen

II. Potenzielle Unternehmenserwerber

III. Der Kunde des Zielunternehmens

IV. Zwischenergebnis: Die der DSGVO immanenten gegenüberstehenden Interessenspositionen

C. Ökonomische Betrachtung einer Unternehmenstransaktion. I. Motive für die Durchführung einer Unternehmenstransaktion

II. Überblick über die Phasen einer Unternehmenstransaktion und ihre Zweckmäßigkeit

III. Gestaltungsformen einer Unternehmenstransaktion

1. Share Deal

2. Asset Deal

3. Umwandlungsrechtliche Maßnahmen nach § 1 UmwG

a. Verschmelzung

b. Spaltung (Aufspaltung, Abspaltung, Ausgliederung)

c. Vermögensübertragung

d. Formenwechsel

4. Zwischenergebnis: Der verwendete Begriff der Unternehmenstransaktion

Kapitel Vier. Transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken

A. Maßnahmen in technischer und organisatorischer Hinsicht im Zusammenhang mit einer Unternehmenstransaktion

I. Gesetzliche Anforderungen des Art. 24 Abs. 1 DSGVO und des Art. 32 Abs. 1 DSGVO

1. Allgemeine technische und organisatorische Maßnahmen

2. Technische und organisatorische Sicherheitsmaßnahmen

3. Begrenzung durch den risikobasierten Ansatz der DSGVO. a. Sinn und Zweck des risikobasierten Ansatzes der DSGVO

b. Allgemeine Vorgehensweise zur Risikobeurteilung

c. Risikobeurteilung einer Unternehmenstransaktion

II. Praktische Umsetzungsbeispiele technischer und organisatorischer Maßnahmen

1. Dokumentation in einem Verzeichnis von Verarbeitungstätigkeiten

2. Zuständigkeitsregelungen

3. Datenselektion

4. Pseudonymisierung und Verschlüsselung von Kundendaten

5. Weitere Maßnahmen der Informationssicherheit

6. Prozesse zur Erfüllung der Transparenzpflichten

7. Keine Notwendigkeit einer vorherigen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

8. Einbindung des Datenschutzbeauftragten

B. Rechenschaftspflicht. I. Gesetzliche Anforderungen

II. Praktische Umsetzungsmöglichkeit in einem Datenschutz-Management-System

C. Zwischenergebnis

A. Datenaufbereitung durch das Zielunternehmen

I. Rechtmäßigkeit der ursprünglichen Datenerhebung

II. Strukturierung und Systematisierung der Kundendatensätze

B. Informationsmemorandum vs. Letter of Intent bzw. Memorandum of Understanding

C. Zusammenfassung

Kapitel Sechs. Datenschutzrechtliche Untersuchung der Due Diligence

A. Die Due Diligence im Allgemeinen

I. Ablauf einer Due Diligence: Die sukzessive Zurverfügungstellung von Daten

II. Funktionen einer Due Diligence. 1. Risikoermittlungsfunktion

2. Wertermittlungsfunktion

3. Gewährleistungsfunktion. a. Notwendige Grundlage zur Gestaltung des Gewährleistungs- und Haftungsregimes

b. Keine rechtliche Verpflichtung zur Durchführung einer Due Diligence

4. Dokumentations- und Beweissicherungsfunktion

III. Der Datenraum. 1. Arten von Datenräumen

2. Technische und organisatorische Anforderungen an den Datenraum

a. Datenraumregeln

b. Vertraulichkeitsvereinbarungen

IV. Arten einer Due Diligence mit besonderem Blick auf die Einhaltung der datenschutzrechtlichen Anforderungen

V. Zwischenfazit: Wirtschaftlicher und rechtlicher Spagat zwischen Datenpreisgabe und -zurückhaltung

B. Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung der Kundendatensätze gegenüber potenziellen Erwerbern

I. Auslegung des Verarbeitungsbegriffs in der Due Diligence. 1. Abgrenzung zum Begriff der zweckändernden Verarbeitung

a. Unklare Reichweite des Art. 6 Abs. 4 DSGVO und sein Verhältnis zu Art. 6 Abs. 1 DSGVO

b. E.A.: Kompatible Zweckänderung i.S.v. Art. 6 Abs. 4 DSGVO im Rahmen der Due Diligence

c. A.A.: neue, nach Art. 6 Abs. 1 DSGVO zu rechtfertigende Verarbeitungssituation

d. Eigene Stellungnahme und Zwischenergebnis

i. Negatives Ergebnis des Kompatibilitätstest

(1) Eigenständige Bedeutung des Zwecks der Datenverarbeitung in der Due Diligence

(2) Unbestimmtheit des Zwecks der Fortführung des Geschäftsbetriebes

(3) Entgegenstehende Erwartungen der betroffenen Personen

ii. Weitere Wertungsgesichtspunkte (1) Rechtssichere Verarbeitung ausschließlich auf der Grundlage der Erlaubnistatbestände mangels systematischer Normenklarheit

(2) Erhöhtes Verarbeitungsrisiko während der Due Diligence

(3) Keine bloße Fortsetzung ursprünglicher Verarbeitungsvorgänge in der Due Diligence

2. Einheitlicher Verarbeitungsbegriff in der Due Diligence

II. Keine Rechtfertigung der Datenverarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO

III. Der gesetzliche Erlaubnistatbestand der Einwilligung in der Due Diligence

1. Gefahren einer ausufernden Zweckerweiterung der ursprünglichen Einwilligungserklärung

a. Grundsätzliche Fortgeltung alter Einwilligungserklärungen

b. Fehlende Freiwilligkeit

c. Begrenzende Vorgaben der Informiertheit und Transparenz im Hinblick auf die Reichweite einer Einwilligungserklärung

d. Praktisches Umsetzungsdefizit

e. Zwischenergebnis: Entgegenstehende Wertungen der Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO

2. Impraktikable Neuerteilung einer Einwilligungserklärung

3. Zwischenergebnis: Untauglichkeit der Rechtsgrundlage der Einwilligung

IV. Anforderungen und Auswirkungen der Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO in der Due Diligence

1. Die berechtigten Interessenspositionen in der Due Diligence

a. Klarstellung der Interessenspositionen beim Share Deal und der Umwandlung

b. Das Offenlegungsinteresse des Veräußerers und das Informationsinteresse der potenziellen Erwerber

2. Erforderlichkeit der Datenverarbeitung in der Due Diligence

a. Grundsatz: Ergreifen von Pseudonymisierungsmaßnahmen

i. Rechtsfolgen der Anwendung der Pseudonymisierung in der Due Diligence für das Zielunternehmen und die Erwerber

ii. Pseudonymisierte Kundendaten als Basis der Due Diligence Prüfung

b. Erforderlichkeit des Personenbezugs in Ausnahmefällen. i. Unzumutbarkeit der Pseudonymisierung

ii. Wesentlichkeit des Personenbezugs

iii. Keine Hinzuziehung eines Treuhänders

c. Zwischenergebnis

3. Interessenabwägung in der Due Diligence

4. Ergebnisse zur Rechtsgrundlage der Interessenabwägung

V. Kollision mit den erweiterten Informationspflichten nach der DSGVO

1. Informationspflicht des Zielunternehmens vor Übermittlung der Kundendaten in den Datenraum

a. Auslegung des Zeitpunkts der Informationspflicht nach Art. 13 Abs. 1 und 2 DSGVO

b. Auslegung des Anwendungsbereichs der Informationspflicht gem. Art. 14 Abs. 3 lit. c DSGVO

c. Eigene Stellungnahme zum Bestehen von Informationspflichten

2. Keine Informationspflicht der potenziellen Erwerber gegenüber den Kunden

3. Die Problematik zwischen Informationspflicht und Geheimhaltungsinteresse

VI. Lösungsansatz für eine effektive und datenschutzkonforme Verarbeitung von Kundendaten in der Due Diligence

1. Hinreichende Anonymisierung von Kundendaten und ihre Risiken

2. Unzureichende Pseudonymisierungsmaßnahmen

3. Bewertung – Umgehung der Informationspflichten im Wege der Anonymisierung

4. Zwischenergebnis

VII. Sonderfall: Besondere Kategorien personenbezogener Daten

C. Ergebnis der datenschutzrechtlichen Untersuchung der Due Diligence

Kapitel Sieben. Datenschutzrechtliche Untersuchung der Vollzugsphase einer Unternehmenstransaktion

A. Umwandlung

I. Keine datenschutzrechtliche Relevanz des Formenwechsels

II. Weitere Umwandlungsarten der Verschmelzung, Spaltung und Vermögensübertragung

1. Mangelnde Rechtssicherheit unter Geltung des BDSG a.F

2. Fehlende Verarbeitungsqualität der Gesamtrechtsnachfolge im Sinne der DSGVO

a. Keine hinreichende Öffnungsklausel

b. Auslegung des Verarbeitungsbegriffs unter Bezugnahme des Vollzugs einer Umwandlung

i. Elemente einer Verarbeitung im Vergleich zu den Wirkungen der Gesamtrechtsnachfolge

ii. Fehlende zweiseitige Offenlegungssituation

iii. Keine besondere Gefährdungslage des Umwandlungsvorgangs

III. Ergebnis und Bewertung des Vollzugs einer Umwandlung

B. Share Deal

I. Das Fehlen eines datenschutzrechtlich relevanten Vorgangs

II. Bewertung des Share Deals unter Zugrundelegung des veränderten Verarbeitungsbegriffs in der DSGVO

1. Kein tatbestandliches Offenlegen von Daten

2. Fehlende gesellschaftsrechtliche Auswirkung auf den Fortbestand der datenschutzrechtlichen Verantwortlichkeit

III. Ergebnis und Bewertung des Vollzugs eines Share Deals

C. Asset Deal

I. Der datenschutzrechtliche Verarbeitungstatbestand in Abgrenzung zur zweckändernden Verarbeitung

II. Rechtfertigung der Datenübertragung aufgrund einer Kundeneinwilligung gem. Art. 6 Abs. 1 lit. a DSGVO

1. Wiederkehrende Problematik der Praxisuntauglichkeit

2. Gefahren der Freiwilligkeit und Unterscheidungskraft

3. Ergebnis und Bewertung

III. Rechtfertigung der Datenübertragung gem. Art. 6 Abs. 1 lit. b DSGVO

1. Anwendbarkeit der Rechtsgrundlage im Rahmen des Vollzugs einer Unternehmenstransaktion

2. Vertragsabhängige Möglichkeit der Datenübermittlung

IV. Rechtfertigung der Datenübertragung auf der Grundlage einer Interessenabwägung

1. Die Kollision der berechtigten Interessenspositionen des Zielunternehmens und des Erwerbers mit den schutzwürdigen Interessen der Kunden

2. Die Erforderlichkeit der Kundendatenübertragung

3. Anknüpfungspunkte im konkreten Abwägungsprozess: (Un)gleiche Interessenspositionen?

a. Differenzierung nach Daten aus übernommenen Schuldverhältnissen und sonstigen Daten

b. Abgrenzung der Datenübermittlung zum bloßen Datenhandel

c. Die hohe Aussagekraft der Kundendaten für die Fortführung des Geschäftsbetriebs

d. Das Kriterium der zweckgebundenen Fortsetzung der Datenverarbeitung

e. Geringere Risiken der Datenverarbeitung im Gegensatz zur Due Diligence

f. Erwartungshaltung des Kunden

g. Vergleich zum Share Deal und zur Umwandlung

h. Zwischenergebnis und Bewertung

4. Bußgeldentscheidung des Bayerischen Landesamt für Datenschutzaufsicht vom 30.07.2015

a. Kernaussagen des BayLDA nach dem BDSG a.F

b. Bewertung der Bußgeldentscheidung und Übertragbarkeit auf die aktuelle Rechtslage

i. Kritikwürdige Auslegung der alten Rechtslage

ii. (Scheinbare) Aufhebung der Differenzierung von Datenarten und Verarbeitungszwecken in der DSGVO

iii. Verankerung der Widerspruchslösung in der DSGVO

5. Zwischenergebnis: ausreichender Schutz der Kunden durch Ausübung ihrer Betroffenenrechte

V. Sonderfall: Besondere Kategorien personenbezogener Daten

VI. Ergebnis und Bewertung des Vollzugs eines Asset Deals

D. Informationspflichten

E. Ergebnis und Bewertung der Vollzugsphasen einer Unternehmenstransaktion

Kapitel Acht. Anschließende datenschutzkonforme Integration der Daten (Post-Merger-Integration) und die Rechtsfolgen einer Unternehmenstransaktion

A. Fortbestehende Risiken

I. Grenzen der zweckgebundenen Kundendatenverarbeitung durch den Erwerber

II. Übertragbarkeit der datenschutzrechtlichen Einwilligungserklärung auf den Erwerber

1. Absenderbezogene Einwilligungserklärung

2. Geschäftsbezogene Einwilligungserklärung

3. Bewertung

B. Das Institut der Gemeinsamen Verantwortlichkeit als temporärer Lösungsansatz im Anschluss an den Vollzug eines Asset Deals

C. Rechtsfolgen datenschutzrechtlicher Verstöße während der Unternehmenstransaktion

I. Keine Nichtigkeit des Unternehmenskaufvertrages infolge von Datenschutzverstößen

II. Erhöhtes Risiko von finanziellen und sanktionsrechtlichen Belastungen

D. Wahrung der Löschpflicht gem. Art. 17 DSGVO

Kapitel Neun. Schlussbetrachtungen

A. Zusammenfassung der Untersuchungsergebnisse

B. Bewertung und Ausblick auf Gestaltungsmöglichkeiten

Literaturverzeichnis

Отрывок из книги

Eine praxisorientierte Bewertung aus

der Perspektive von datenverarbeitenden

.....

Drittens muss eine Abwägung der jeweiligen gegenüberstehenden Interessen und Rechte stattfinden,209 bei der schließlich die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen dürfen.210 Hier sind vor allem zwei Aspekte zu erwägen: einerseits die zugrundeliegenden Motive, die das berechtigte Interesse des Verantwortlichen an der konkreten Datenverarbeitung begründen, und andererseits die Auswirkungen der Datenverarbeitung auf die betroffene Person, einschließlich des drohenden Grades der Beeinträchtigung für ihre Rechte und Freiheiten.211 In der Bewertung müssen mögliche Faktoren, wie etwa die Art und Weise der Verarbeitung, die vernünftigen Erwartungen der betroffenen Person an die Verarbeitung oder die Beziehung zwischen dem Verantwortlichen und der betroffenen Person Berücksichtigung finden (vgl. Erwägungsgrund 47).212 Insbesondere ist von erheblicher Bedeutung, dass die Umstände der Verarbeitung zum Zeitpunkt der Erhebung der personenbezogenen Daten abzusehen sind (Erwägungsgrund 47 Satz 3). Hingegen soll der Umstand, dass der Verantwortliche die sonstigen Vorschriften der DSGVO einhält, keinen Einfluss auf die Abwägung haben, es sei denn, der Verantwortliche kann aufgrund von konkreten Umständen des Einzelfalls durch die Implementierung von technischen und organisatorischen Maßnahmen ein weitaus höheres Schutzniveau als das angemessene Maß gewährleisten.213

Ein standardisiertes Vorgehen verbietet sich dennoch, denn dem EuGH ist zuzustimmen, dass die Abwägung „grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt“214. Der europäische Gesetzgeber hat sich insofern mit der Konzeption eines offenen Abwägungstatbestandes, den Art. 6 Abs. 1 lit. f DSGVO verkörpert, an die einst vom EuGH aufgestellten Vorgaben gehalten. Danach darf das Ergebnis der Abwägung nicht abschließend vorgeschrieben werden, „ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt“215. Überwiegen im Ergebnis der Interessenabwägung letztendlich die Interessen der betroffenen Person gegenüber denjenigen des Verantwortlichen oder des Dritten, kann die Datenverarbeitung nicht nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden.216

.....

Добавление нового отзыва

Комментарий Поле, отмеченное звёздочкой  — обязательно к заполнению

Отзывы и комментарии читателей

Нет рецензий. Будьте первым, кто напишет рецензию на книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO
Подняться наверх