Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 42

Die DSGVO verschließt sich grundsätzlich gegenüber einer Privilegierung des Umgangs mit personenbezogenen Daten in einem Unternehmensverbund, sodass jede unternehmerische Verarbeitung dem Verbot mit Erlaubnisvorbehalt nach Art. 6 Abs. 1 DSGVO unterliegt. Ein sog. „Konzernprivileg“, dessen Annahme innerhalb oder zwischen Unternehmen zu erleichterten Voraussetzungen für eine Übermittlung von personenbezogenen Daten führen würde, wurde wie auch schon in der Vergangenheit nicht vom europäischen Gesetzgeber eingeführt.250 Stattdessen sind nach der DSGVO die einzelnen an einem Konzern beteiligten Unternehmen zueinander wie Dritte i.S.v. Art. 4 Nr. 10 DSGVO zu behandeln.251

Der europäische Gesetzgeber erkennt allerdings in Erwägungsgrund 48 das Interesse an einem Datenaustausch innerhalb einer Unternehmensgruppe ausdrücklich als berechtigt an.252 Zwar gelten solche Datenflüsse weiterhin als rechtfertigungsbedürftige Verarbeitungen, jedoch zielt Erwägungsgrund 48 darauf ab, dass diese im Rahmen von Art. 6 Abs. 1 lit. f DSGVO erleichtert stattfinden können.253 Bei der in diesem Zusammenhang zu erfolgenden Interessenabwägung ist laut Erwägungsgrund 48 insbesondere das berechtigte Interesse verbundener Unternehmen an einer Datenübermittlung für interne Verwaltungszwecke anzuerkennen, einschließlich der Verarbeitung von Kunden- und Beschäftigtendaten.254

Jedoch kann sich nicht jedes Unternehmen auf interne Verwaltungszwecke berufen, denn Erwägungsgrund 48 erfasst ausschließlich solche Unternehmen, die Teil einer Unternehmensgruppe sind.255 Die Bezeichnung der Unternehmensgruppe, die in Art. 4 Nr. 19 DSGVO i.V.m. Erwägungsgrund 37 legaldefiniert wird, ist ein Novum in der DSGVO.256 Der Begriff definiert eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.257 Entscheidend ist also ein hierarchisches Abhängigkeitsverhältnis zwischen den Unternehmen, weshalb Gleichordnungskonzerne nicht mehr vom datenschutzrechtlichen Begriff der Unternehmensgruppe erfasst werden.258

Dennoch macht es trotz des Erwägungsgrundes 48 datenschutzrechtlich grundsätzlich keinen Unterschied, ob personenbezogene Daten innerhalb des Konzerns an Mutter- bzw. Schwestergesellschaften oder an im gesellschaftsrechtlichen Sinne unabhängige Unternehmen übermittelt werden. Da es an einem echten Konzernprivileg in der DSGVO fehlt, sind Datentransfers im Konzern wie solche mit außerhalb des Konzerns stehenden Dritten zu beurteilen und müssen daher nach einer Erlaubnisnorm gerechtfertigt werden.259 Erwägungsgrund 48 fungiert lediglich als privilegierende Hilfestellung im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.

Ungeachtet dessen ist ein Rückgriff auf Erwägungsgrund 48 im Rahmen von Unternehmenstransaktionen nicht weiterführend. Weder können Zielunternehmen und Erwerber als Unternehmensgruppe zusammengefasst werden noch werden dabei die betreffenden Kundendaten für interne Verwaltungszwecke übertragen. Vielmehr agieren zwei voneinander unabhängige Unternehmen, dessen Verarbeitungstätigkeiten sich auf die Durchführung der Unternehmenstransaktion beschränken.