Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 43

Von datenschutzrechtlich anderer Qualität wäre die nachfolgende rechtliche Untersuchung, wenn sich die Tätigkeiten des Zielunternehmens und des potenziellen Erwerbers im Zusammenhang mit der Unternehmenstransaktion datenschutzrechtlich als Auftragsdatenverarbeitung i.S.v. Art. 28 DSGVO darstellen ließen.

Ob die Auftragsdatenverarbeitung in der DSGVO rechtlich privilegiert bleibt260 oder stattdessen die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter ein eigener nach Art. 6 DSGVO rechtfertigungsbedürftiger Vorgang ist,261 hat der europäische Gesetzgeber jedoch versäumt, hinreichend zu klären.262 Allein aber die Tatsache, dass ein Auftragsverarbeiter unabhängig vom Ort der Verarbeitung ausdrücklich nicht mehr als Dritter zu qualifizieren ist263 und sonst kein zusätzlicher Regelungsbedarf in Art. 28f. DSGVO bestünde, zeichnet eine Tendenz des europäischen Gesetzgebers hin zu einer Privilegierung der Auftragsdatenverarbeitung ab.264 Prägendes Kriterium des Auftragsverarbeiters ist seine Weisungsgebundenheit gegenüber dem Verantwortlichen (vgl. Art. 29 DSGVO), selbst wenn der Wortlaut der Legaldefinition in Art. 4 Nr. 8 DSGVO lediglich ein Auftragsverhältnis voraussetzt.265 In der DSGVO wurden die Pflichten in Bezug auf die Weisungen des Verantwortlichen sowie weitere eigene Pflichten des Auftragsverarbeiters ausgeweitet, die in einer entsprechenden Vereinbarung festzuhalten sind, und erlangen durch die Bußgeldandrohung in Art. 83 DSGVO besonderen Nachdruck, weshalb bei einem Rückgriff auf eine Auftragsdatenverarbeitung kein erhöhter Schutzbedarf der betroffenen Personen zu erkennen ist.266

Unter anderem verlangt Art. 28 Abs. 3 lit. g DSGVO, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten löscht oder zurückgibt. Aufgrund dieser temporären Datenüberlassung ist das Instrument der Auftragsdatenverarbeitung für die Verarbeitung von Kundendaten bei Unternehmenstransaktionen ungeeignet.267 Zudem sollen Erwerber gerade nicht wie bei der Auftragsdatenverarbeitung in die Verarbeitungsvorgänge des Zielunternehmens integriert werden, sondern die Verarbeitungstätigkeiten eigenständig übernehmen und fortführen. Nach dem BDSG a.F. wurde zur Klärung der Frage, wann sich die Tätigkeiten eines Auftragsverarbeiters als eigenverantwortlich definieren lassen, noch die Funktionsübertragung als Abgrenzungskriterium herangezogen. Nach der DSGVO hingegen ist die Legaldefinition des Verantwortlichen richtungsweisend.268 Sobald ein Auftragsverarbeiter allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, wird er selbst zum Verantwortlichen oder gemeinsamen Verantwortlichen, vgl. Art. 4 Nr. 7 DSGVO. Da aber bei Unternehmenstransaktionen der Erwerber die vollständige Eigenkompetenz zur Verarbeitung der überlassenden Daten hat, ist er aus diesem Grunde selbst Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. Es fehlt damit offensichtlich an einer Weisungsbefugnis des Zielunternehmens gegenüber dem Erwerber.269