Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 24

Ist von Kundendaten die Rede, muss differenziert werden, ob es sich dabei um solche im Geschäftskunden- (sog. Business-to-Business-Kunden – B2B)143 oder im Privatkundenbereich (sog. Business-to-Consumer-Kunden – B2C) handelt. Bei Privatkunden kann grundsätzlich die Personenbeziehbarkeit der Datensätze einer gesamten Kundendatenbank leicht bejaht werden, da bei fast sämtlichen Informationen über einen Kunden eine dahinterstehende konkrete natürliche Person zu identifizieren ist; Geschäftskundendaten dagegen sind meist nur dann als personenbezogen einzuordnen, sofern sie Rückschlüsse auf eine natürliche Personen zulassen. Der Geschäftskunde ist nicht zugleich automatisch identisch mit der betroffenen Person i.S.v. Art. 4 Nr. 1 DSGVO. Zu beachten ist nämlich, dass gem. Art. 1 Abs. 1 DSGVO lediglich natürliche und nicht juristische Personen dem Schutz der DSGVO unterliegen. Die DSGVO „gilt nicht für Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person“, vgl. Erwägungsgrund 14 Satz 2.144 Einzelne Daten wie etwa zu Produkten, Dienstleistungen, Fristen sowie Zeiträumen oder sonstige Vertragsinformationen sind daher ohne Personenbezug, sofern sie sich nicht auf eine identifizierte oder identifizierbare Person beziehen.145 Grundsätzlich können Geschäftskunden als juristische Personen datenschutzrechtliche Ansprüche nur aus dem auch für sie geltenden allgemeinen Persönlichkeitsrecht ableiten.146 Sind einzelne nicht personenbezogene Daten im Geschäftskundenbereich jedoch untrennbar mit weiteren personenbezogenen Informationen verbunden, hat dies zur Konsequenz, dass unweigerlich der gesamte Datensatz den Datenschutzvorschriften unterliegt.147 Daher ist trotz der in Erwägungsgrund 14 Satz 2 genannten Ausnahme auch bei juristischen Personen im Einzelfall zu prüfen, ob Informationen ggf. auf natürliche Personen der juristischen Person „durchschlagen“.148 Dies trifft jedenfalls auf einen Gesellschafter einer Ein-Mann-GmbH oder einen Einzelunternehmer zu.149

Bspw. werden in einem sog. Customer-Relationship-Management-System (CRM-System – oder zu Deutsch: System zum Kundenbeziehungsmanagement oder zur Kundenpflege)150, auf das häufig Unternehmen in der Praxis aufgrund der Vielzahl und Vielfalt der potenziell zu erhebenden Kundendatensätze zurückgreifen,151 solche Daten, denen ein Personenbezug fehlt, mit personenbezogenen Daten kombiniert.152 Der Nutzen eines CRM-Systems liegt darin, dass sämtliche Daten von Kunden, einschließlich aller vertragsbezogener Kundendaten, unter Einhaltung strenger datenschutzrechtlicher Vorgaben systematisch gesammelt, verwaltet und dokumentiert werden können.153 Eine solche Kundendatenbank dient vor allem der Optimierung der Geschäftsbeziehung sowie der Pflege des Verhältnisses und aller interaktiven Prozesse mit Kunden, Anbietern und Partnern, um entsprechende Pflichten optimal erfüllen zu können.154 Der Aufbau und Erhalt einer Bindung zum Kunden mithilfe eines CRM-System gilt deshalb als Grundpfeiler des (Beziehungs-)Marketings eines Unternehmens.155 Werden Daten ohne Personenbezug mit personenbezogenen Daten in einer Datenbank zusammengefasst, sind sie aus datenschutzrechtlicher Sicht nicht mehr getrennt voneinander zu betrachten. Aufgrund der Kombination der Daten in einem System können sich vormals Daten ohne Personenbezug ohne weiteres auch auf eine identifizierte oder identifizierbare Person beziehen. Dies hat meist zur Folge, dass der gesamte Datenbestand in einem CRM-System personenbezogen ist. Wenn also Geschäftskundendaten nur als Bestandteil eines Datensatzes dem CRM-System zugeführt werden, reicht dies bereits für das Vorliegen der Personenbeziehbarkeit aus.156 Nicht selten kommt es zu dem Fall, dass ein gesamtes CRM-System bei einer Transaktion zu übertragen ist. Infolge des wahrscheinlichen Personenbezugs eines CRM-Systems ist daher im Rahmen der datenschutzrechtlichen Bewertung der Übertragbarkeit von Kundendaten bei Unternehmenstransaktion auch dieser Aspekt zu berücksichtigen.

Letztendlich können zwar auch Kundendaten aus dem Geschäftskundenbereich von wirtschaftlichem Nutzen sein, jedoch sind meist private Endkunden von entscheidender Attraktivität für den Erwerber eines Unternehmens. Geht es um die Anwendung datenschutzrechtlicher Normen, sind ferner Privatkundendaten insoweit von hoher Relevanz, als die Verarbeitung von Privatkundendaten hohe Risiken für den Schutz natürlicher Personen birgt.157