Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 40

Angesichts des umfangreichen Schutzzwecks der DSGVO ist zwar das datenschutzrechtliche extensive Verständnis des Unternehmensbegriffs, das der europäische Gesetzgeber in Art. 4 Nr. 18 DSGVO aufgegriffen hat, durchaus begrüßenswert. Die Legaldefinition ist jedoch im Hinblick auf diejenigen maßgeblichen Konturen wenig ergiebig, die ein unternehmerisches Handeln prägen und konkretisieren. Im Zusammenhang mit Unternehmenstransaktionen muss der Schwerpunkt ein anderer sein. Gegenstand der Übertragung ist nicht nur die unternehmerische Tätigkeit als solche, sondern vielmehr das Unternehmen als organisierte und betriebsfähige Wirtschaftseinheit, durch deren Gesamtheit die unternehmerische Tätigkeit erst ausgeübt werden kann.244

Zusammenfassend lässt sich festhalten, dass weder jedes Unternehmen als Verantwortlicher im datenschutzrechtlichen Sinn gilt noch jeder Verantwortlicher ein Unternehmen ist: Bspw. ist ein gemeinnütziger Verein zwar kein Unternehmen, er kann aber trotzdem verantwortlich für eine Datenverarbeitung sein. Nur sofern ein Unternehmen personenbezogene Daten verarbeitet, gilt es als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO. Da aber heutzutage nahezu jedes Unternehmen in irgendeiner Art und Weise personenbezogene Daten verarbeitet, ist Prämisse der nachfolgenden rechtlichen Untersuchung, dass die betreffenden Unternehmen datenverarbeitend auf dem Markt tätig sind. Auch wenn es auf die Wirtschaftlichkeit der Tätigkeit nur für den datenschutzrechtlichen Unternehmensbegriff, nicht aber für die Begriffsbestimmung des Verantwortlichen ankommt, werden nachfolgend nur solche Unternehmen erfasst, die Datenverarbeitungsprozesse mit Kundendaten durchführen und daher als Verantwortliche gelten.

Dieses Unternehmensverständnis vorausgesetzt, gilt unabhängig davon, in welchem Wege das Unternehmen erworben wird, immer das Unternehmen selbst als Verantwortlicher und nicht die einzelnen Gesellschafter,245 auch dann, wenn bei einem Share Deal nicht der Verantwortliche selbst als Veräußerer auftritt.246 Diese Auslegungsweise lässt sich darauf zurückzuführen, dass die datenschutzrechtliche Verantwortlichkeit die juristische Person betrifft, während in der Regel die Verantwortungszuweisung zu einzelnen natürlichen Personen im Unternehmen nur bedingt erfolgen kann.247 Zwischen dem Unternehmen und dem potenziellen Erwerber bestehen hingegen vor Beginn der Unternehmenstransaktion bei jeder Gestaltungsform getrennte Verantwortlichkeiten. Im Verhältnis zum betroffenen Kunden ist der Erwerber im Vorfeld einer Unternehmenstransaktion als Dritter i.S.v. Art. 4 Nr. 10 DSGVO zu qualifizieren. Erst wenn der Erwerber tatsächlich die Kundendaten erlangt hat, kann auch er gegenüber dem Kunden für die Rechtmäßigkeit der Verarbeitung verantwortlich werden.

Ausgehend von diesem komplexen und weiten Unternehmensbegriff handelt es sich beim sog. Zielunternehmen immer um das Objekt, das Ziel der Transaktion ist, unabhängig von seiner Rechtsform oder der zwischen den Beteiligten vereinbarten Transaktionsstruktur.248 Das zu erwerbende Unternehmen wird dabei in seiner komplexen Gesamtheit erfasst. Für das Zielunternehmen muss in diesem Kontext vorausgesetzt werden, dass es personenbezogene Kundendaten verarbeitet, also als ‚das datenschutzrechtlich verantwortliche Zielunternehmen‘ zu bewerten ist. Während des Geschäftsbetriebs, aber noch vor einer Unternehmenstransaktion, verfolgt das Zielunternehmen mit der Verarbeitung der Kundendaten eigene Zwecke und ist insoweit als alleiniger Verantwortlicher einzustufen.