Оглавление
Carmen Födisch. Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO
Datenschutz bzgl. Kundendaten bei. Unternehmenstransaktionen unter. besonderer Berücksichtigung der. Datenschutz-Grundverordnung
Vorwort
Inhaltsverzeichnis
Abkürzungsverzeichnis
A. Einleitung und Forschungsfrage. I. Der rasante Anstieg von Datenmengen bei Unternehmenstransaktionen und dessen Auswirkungen
II. Die Rolle des Datenschutzes und der Einfluss der DSGVO auf Unternehmenstransaktionen
III. Das Paradoxon der bestehenden Rechtsunsicherheit und dem hohen Wert von Kundendaten bei Unternehmenstransaktionen
B. Ziel der Untersuchung und Gang der Darstellung
C. Nicht behandelte Aspekte
A. Entwicklung des deutschen Datenschutzrechts
B. Ziele der DSGVO und ihre Auslegungsbedürftigkeit
C. Das Verhältnis des BDSG n.F. zur DSGVO
I. Potenzieller Verstoß gegen das Normwiederholungsverbot durch das BDSG n.F
II. Europarechtskonforme Auslegung des BDSG n.F. und der Anwendungsvorrang der DSGVO
III. Anwendung der Grundrechte – welcher Maßstab gilt?
A. Begrifflichkeiten einer Unternehmenstransaktion im datenschutzrechtlichen Kontext
I. Der Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO
II. Personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO im Rahmen von Unternehmenstransaktionen. 1. Auslegung des Begriffs des personenbezogenen Datums
2. Der Begriff der Kundendaten im weitesten Sinne
a. Geschäftskundendaten
b. Privatkundendaten
c. Besondere Kategorien personenbezogener Kundendaten
3. Beschäftigtendaten
4. Nicht personenbezogene Unternehmensdaten
III. Das Verbotsprinzip mit Erlaubnisvorbehalt gem. Art. 6 DSGVO
1. Die Gleichrangigkeit und das Konkretisierungsbedürfnis der Zulässigkeitsvarianten
2. Art. 6 Abs. 1 lit. f DSGVO als zentrale Rechtsgrundlage bei Unternehmenstransaktionen
a. Berechtigtes Interesse
b. Erforderlichkeit
c. Abwägung
d. Zwischenergebnis
IV. Der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure
1. Das datenschutzrechtlich verantwortliche (Ziel-)Unternehmen. a. Der Begriff des Unternehmens im Allgemeinen
b. Der datenschutzrechtliche Unternehmensbegriff
c. Der Verantwortliche
d. Zwischenergebnis: Der Begriff des Zielunternehmens
2. Abgrenzung zu datenschutzrelevanten Übermittlungen innerhalb oder zwischen Unternehmen
a. Fehlendes Konzernprivileg
b. Auftragsdatenverarbeitung i.S.v. Art. 28 DSGVO
c. Gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO
B. Beteiligte Akteure und ihre Interessenspositionen
I. Das Zielunternehmen und seine geschützten Interessen
II. Potenzielle Unternehmenserwerber
III. Der Kunde des Zielunternehmens
IV. Zwischenergebnis: Die der DSGVO immanenten gegenüberstehenden Interessenspositionen
C. Ökonomische Betrachtung einer Unternehmenstransaktion. I. Motive für die Durchführung einer Unternehmenstransaktion
II. Überblick über die Phasen einer Unternehmenstransaktion und ihre Zweckmäßigkeit
III. Gestaltungsformen einer Unternehmenstransaktion
1. Share Deal
2. Asset Deal
3. Umwandlungsrechtliche Maßnahmen nach § 1 UmwG
a. Verschmelzung
b. Spaltung (Aufspaltung, Abspaltung, Ausgliederung)
c. Vermögensübertragung
d. Formenwechsel
4. Zwischenergebnis: Der verwendete Begriff der Unternehmenstransaktion
Kapitel Vier. Transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken
A. Maßnahmen in technischer und organisatorischer Hinsicht im Zusammenhang mit einer Unternehmenstransaktion
I. Gesetzliche Anforderungen des Art. 24 Abs. 1 DSGVO und des Art. 32 Abs. 1 DSGVO
1. Allgemeine technische und organisatorische Maßnahmen
2. Technische und organisatorische Sicherheitsmaßnahmen
3. Begrenzung durch den risikobasierten Ansatz der DSGVO. a. Sinn und Zweck des risikobasierten Ansatzes der DSGVO
b. Allgemeine Vorgehensweise zur Risikobeurteilung
c. Risikobeurteilung einer Unternehmenstransaktion
II. Praktische Umsetzungsbeispiele technischer und organisatorischer Maßnahmen
1. Dokumentation in einem Verzeichnis von Verarbeitungstätigkeiten
2. Zuständigkeitsregelungen
3. Datenselektion
4. Pseudonymisierung und Verschlüsselung von Kundendaten
5. Weitere Maßnahmen der Informationssicherheit
6. Prozesse zur Erfüllung der Transparenzpflichten
7. Keine Notwendigkeit einer vorherigen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
8. Einbindung des Datenschutzbeauftragten
B. Rechenschaftspflicht. I. Gesetzliche Anforderungen
II. Praktische Umsetzungsmöglichkeit in einem Datenschutz-Management-System
C. Zwischenergebnis
A. Datenaufbereitung durch das Zielunternehmen
I. Rechtmäßigkeit der ursprünglichen Datenerhebung
II. Strukturierung und Systematisierung der Kundendatensätze
B. Informationsmemorandum vs. Letter of Intent bzw. Memorandum of Understanding
C. Zusammenfassung
Kapitel Sechs. Datenschutzrechtliche Untersuchung der Due Diligence
A. Die Due Diligence im Allgemeinen
I. Ablauf einer Due Diligence: Die sukzessive Zurverfügungstellung von Daten
II. Funktionen einer Due Diligence. 1. Risikoermittlungsfunktion
2. Wertermittlungsfunktion
3. Gewährleistungsfunktion. a. Notwendige Grundlage zur Gestaltung des Gewährleistungs- und Haftungsregimes
b. Keine rechtliche Verpflichtung zur Durchführung einer Due Diligence
4. Dokumentations- und Beweissicherungsfunktion
III. Der Datenraum. 1. Arten von Datenräumen
2. Technische und organisatorische Anforderungen an den Datenraum
a. Datenraumregeln
b. Vertraulichkeitsvereinbarungen
IV. Arten einer Due Diligence mit besonderem Blick auf die Einhaltung der datenschutzrechtlichen Anforderungen
V. Zwischenfazit: Wirtschaftlicher und rechtlicher Spagat zwischen Datenpreisgabe und -zurückhaltung
B. Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung der Kundendatensätze gegenüber potenziellen Erwerbern
I. Auslegung des Verarbeitungsbegriffs in der Due Diligence. 1. Abgrenzung zum Begriff der zweckändernden Verarbeitung
a. Unklare Reichweite des Art. 6 Abs. 4 DSGVO und sein Verhältnis zu Art. 6 Abs. 1 DSGVO
b. E.A.: Kompatible Zweckänderung i.S.v. Art. 6 Abs. 4 DSGVO im Rahmen der Due Diligence
c. A.A.: neue, nach Art. 6 Abs. 1 DSGVO zu rechtfertigende Verarbeitungssituation
d. Eigene Stellungnahme und Zwischenergebnis
i. Negatives Ergebnis des Kompatibilitätstest
(1) Eigenständige Bedeutung des Zwecks der Datenverarbeitung in der Due Diligence
(2) Unbestimmtheit des Zwecks der Fortführung des Geschäftsbetriebes
(3) Entgegenstehende Erwartungen der betroffenen Personen
ii. Weitere Wertungsgesichtspunkte (1) Rechtssichere Verarbeitung ausschließlich auf der Grundlage der Erlaubnistatbestände mangels systematischer Normenklarheit
(2) Erhöhtes Verarbeitungsrisiko während der Due Diligence
(3) Keine bloße Fortsetzung ursprünglicher Verarbeitungsvorgänge in der Due Diligence
2. Einheitlicher Verarbeitungsbegriff in der Due Diligence
II. Keine Rechtfertigung der Datenverarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO
III. Der gesetzliche Erlaubnistatbestand der Einwilligung in der Due Diligence
1. Gefahren einer ausufernden Zweckerweiterung der ursprünglichen Einwilligungserklärung
a. Grundsätzliche Fortgeltung alter Einwilligungserklärungen
b. Fehlende Freiwilligkeit
c. Begrenzende Vorgaben der Informiertheit und Transparenz im Hinblick auf die Reichweite einer Einwilligungserklärung
d. Praktisches Umsetzungsdefizit
e. Zwischenergebnis: Entgegenstehende Wertungen der Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO
2. Impraktikable Neuerteilung einer Einwilligungserklärung
3. Zwischenergebnis: Untauglichkeit der Rechtsgrundlage der Einwilligung
IV. Anforderungen und Auswirkungen der Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO in der Due Diligence
1. Die berechtigten Interessenspositionen in der Due Diligence
a. Klarstellung der Interessenspositionen beim Share Deal und der Umwandlung
b. Das Offenlegungsinteresse des Veräußerers und das Informationsinteresse der potenziellen Erwerber
2. Erforderlichkeit der Datenverarbeitung in der Due Diligence
a. Grundsatz: Ergreifen von Pseudonymisierungsmaßnahmen
i. Rechtsfolgen der Anwendung der Pseudonymisierung in der Due Diligence für das Zielunternehmen und die Erwerber
ii. Pseudonymisierte Kundendaten als Basis der Due Diligence Prüfung
b. Erforderlichkeit des Personenbezugs in Ausnahmefällen. i. Unzumutbarkeit der Pseudonymisierung
ii. Wesentlichkeit des Personenbezugs
iii. Keine Hinzuziehung eines Treuhänders
c. Zwischenergebnis
3. Interessenabwägung in der Due Diligence
4. Ergebnisse zur Rechtsgrundlage der Interessenabwägung
V. Kollision mit den erweiterten Informationspflichten nach der DSGVO
1. Informationspflicht des Zielunternehmens vor Übermittlung der Kundendaten in den Datenraum
a. Auslegung des Zeitpunkts der Informationspflicht nach Art. 13 Abs. 1 und 2 DSGVO
b. Auslegung des Anwendungsbereichs der Informationspflicht gem. Art. 14 Abs. 3 lit. c DSGVO
c. Eigene Stellungnahme zum Bestehen von Informationspflichten
2. Keine Informationspflicht der potenziellen Erwerber gegenüber den Kunden
3. Die Problematik zwischen Informationspflicht und Geheimhaltungsinteresse
VI. Lösungsansatz für eine effektive und datenschutzkonforme Verarbeitung von Kundendaten in der Due Diligence
1. Hinreichende Anonymisierung von Kundendaten und ihre Risiken
2. Unzureichende Pseudonymisierungsmaßnahmen
3. Bewertung – Umgehung der Informationspflichten im Wege der Anonymisierung
4. Zwischenergebnis
VII. Sonderfall: Besondere Kategorien personenbezogener Daten
C. Ergebnis der datenschutzrechtlichen Untersuchung der Due Diligence
Kapitel Sieben. Datenschutzrechtliche Untersuchung der Vollzugsphase einer Unternehmenstransaktion
A. Umwandlung
I. Keine datenschutzrechtliche Relevanz des Formenwechsels
II. Weitere Umwandlungsarten der Verschmelzung, Spaltung und Vermögensübertragung
1. Mangelnde Rechtssicherheit unter Geltung des BDSG a.F
2. Fehlende Verarbeitungsqualität der Gesamtrechtsnachfolge im Sinne der DSGVO
a. Keine hinreichende Öffnungsklausel
b. Auslegung des Verarbeitungsbegriffs unter Bezugnahme des Vollzugs einer Umwandlung
i. Elemente einer Verarbeitung im Vergleich zu den Wirkungen der Gesamtrechtsnachfolge
ii. Fehlende zweiseitige Offenlegungssituation
iii. Keine besondere Gefährdungslage des Umwandlungsvorgangs
III. Ergebnis und Bewertung des Vollzugs einer Umwandlung
B. Share Deal
I. Das Fehlen eines datenschutzrechtlich relevanten Vorgangs
II. Bewertung des Share Deals unter Zugrundelegung des veränderten Verarbeitungsbegriffs in der DSGVO
1. Kein tatbestandliches Offenlegen von Daten
2. Fehlende gesellschaftsrechtliche Auswirkung auf den Fortbestand der datenschutzrechtlichen Verantwortlichkeit
III. Ergebnis und Bewertung des Vollzugs eines Share Deals
C. Asset Deal
I. Der datenschutzrechtliche Verarbeitungstatbestand in Abgrenzung zur zweckändernden Verarbeitung
II. Rechtfertigung der Datenübertragung aufgrund einer Kundeneinwilligung gem. Art. 6 Abs. 1 lit. a DSGVO
1. Wiederkehrende Problematik der Praxisuntauglichkeit
2. Gefahren der Freiwilligkeit und Unterscheidungskraft
3. Ergebnis und Bewertung
III. Rechtfertigung der Datenübertragung gem. Art. 6 Abs. 1 lit. b DSGVO
1. Anwendbarkeit der Rechtsgrundlage im Rahmen des Vollzugs einer Unternehmenstransaktion
2. Vertragsabhängige Möglichkeit der Datenübermittlung
IV. Rechtfertigung der Datenübertragung auf der Grundlage einer Interessenabwägung
1. Die Kollision der berechtigten Interessenspositionen des Zielunternehmens und des Erwerbers mit den schutzwürdigen Interessen der Kunden
2. Die Erforderlichkeit der Kundendatenübertragung
3. Anknüpfungspunkte im konkreten Abwägungsprozess: (Un)gleiche Interessenspositionen?
a. Differenzierung nach Daten aus übernommenen Schuldverhältnissen und sonstigen Daten
b. Abgrenzung der Datenübermittlung zum bloßen Datenhandel
c. Die hohe Aussagekraft der Kundendaten für die Fortführung des Geschäftsbetriebs
d. Das Kriterium der zweckgebundenen Fortsetzung der Datenverarbeitung
e. Geringere Risiken der Datenverarbeitung im Gegensatz zur Due Diligence
f. Erwartungshaltung des Kunden
g. Vergleich zum Share Deal und zur Umwandlung
h. Zwischenergebnis und Bewertung
4. Bußgeldentscheidung des Bayerischen Landesamt für Datenschutzaufsicht vom 30.07.2015
a. Kernaussagen des BayLDA nach dem BDSG a.F
b. Bewertung der Bußgeldentscheidung und Übertragbarkeit auf die aktuelle Rechtslage
i. Kritikwürdige Auslegung der alten Rechtslage
ii. (Scheinbare) Aufhebung der Differenzierung von Datenarten und Verarbeitungszwecken in der DSGVO
iii. Verankerung der Widerspruchslösung in der DSGVO
5. Zwischenergebnis: ausreichender Schutz der Kunden durch Ausübung ihrer Betroffenenrechte
V. Sonderfall: Besondere Kategorien personenbezogener Daten
VI. Ergebnis und Bewertung des Vollzugs eines Asset Deals
D. Informationspflichten
E. Ergebnis und Bewertung der Vollzugsphasen einer Unternehmenstransaktion
Kapitel Acht. Anschließende datenschutzkonforme Integration der Daten (Post-Merger-Integration) und die Rechtsfolgen einer Unternehmenstransaktion
A. Fortbestehende Risiken
I. Grenzen der zweckgebundenen Kundendatenverarbeitung durch den Erwerber
II. Übertragbarkeit der datenschutzrechtlichen Einwilligungserklärung auf den Erwerber
1. Absenderbezogene Einwilligungserklärung
2. Geschäftsbezogene Einwilligungserklärung
3. Bewertung
B. Das Institut der Gemeinsamen Verantwortlichkeit als temporärer Lösungsansatz im Anschluss an den Vollzug eines Asset Deals
C. Rechtsfolgen datenschutzrechtlicher Verstöße während der Unternehmenstransaktion
I. Keine Nichtigkeit des Unternehmenskaufvertrages infolge von Datenschutzverstößen
II. Erhöhtes Risiko von finanziellen und sanktionsrechtlichen Belastungen
D. Wahrung der Löschpflicht gem. Art. 17 DSGVO
Kapitel Neun. Schlussbetrachtungen
A. Zusammenfassung der Untersuchungsergebnisse
B. Bewertung und Ausblick auf Gestaltungsmöglichkeiten
Literaturverzeichnis
