Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 44
c. Gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO
ОглавлениеDas Institut der gemeinsamen Verantwortlichkeit, das schon in der EU-Datenschutzrichtlinie vorgesehen war,270 umfasst einen weiteren Fall der Verarbeitung personenbezogener Daten von mehreren datenverarbeitenden Beteiligten. Beim Konzept der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO liegt ein und dieselbe Verarbeitung zugrunde, bei der mehrere Verantwortliche gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden und gesamtschuldnerisch gem. Art. 82 Abs. 2 und Abs. 4 DSGVO dafür haften. Vor dem Hintergrund des Erwägungsgrundes 79, wonach es „einer klaren Zuteilung der Verantwortlichkeiten“ bedarf, erlegt Art. 26 DSGVO dabei den gemeinsamen Verantwortlichen konkrete Pflichten auf.271
Im Vergleich zur Auftragsdatenverarbeitung, bei der die Verantwortlichkeiten zwischen dem Verantwortlichen und Auftragsverarbeiter hierarchisch aufgeteilt werden, ist die Rechtsfigur des gemeinsamen Verantwortlichen von einem grundsätzlich gleichberechtigten Nebeneinanderbestehen geprägt.272 Während der Auftragsverarbeiter also nur auf Weisung des Verantwortlichen hin tätig wird, nimmt jeder der gemeinsamen Verantwortlichen eine wesentliche Entscheidungsbefugnis über die Zwecke und Mittel einer Datenverarbeitung wahr.273
Ob ein Datenaustausch im Rahmen der gemeinsamen Verantwortlichkeit als Verarbeitung innerhalb eines Verantwortlichen legitimiert ist, kann nach Art. 26 DSGVO nicht abschließend geklärt werden. Überwiegend wird eine Rechtfertigung des Datenaustauschs nach Art. 6 DSGVO gefordert, weil Art. 26 DSGVO selbst keinen besonderen Erlaubnistatbestand darstellt.274 Danach bleiben die gemeinsamen Verantwortlichen zueinander „Dritte“ i.S.v. Art. 4 Nr. 10 DSGVO.275 Ansonsten würde dies den Anschein einer Einführung eines Konzernprivilegs ‚durch die Hintertür‘ verschaffen. Dahingegen scheint es in mancher Hinsicht unklar, welchen Anreiz und praktischen Nutzen die Vorschrift für datenverarbeitende Unternehmen zu schaffen vermag.
Für die datenschutzrechtliche Beurteilung einer Unternehmenstransaktion hilft dieses unter der DSGVO erstarkte Institut überwiegend wohl nicht weiter, denn Zielunternehmen und Erwerber einer Transaktion erheben, verarbeiten und nutzen gerade nicht gemeinsam personenbezogene Daten.276 Um eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO anzunehmen, reicht eine bloße Zusammenarbeit mehrerer Stellen im Rahmen einer Kette per se nicht aus.277 Zwar wirken die Parteien im Rahmen einer Unternehmenstransaktion im gewissen Umfang beim Transfer der Kundendaten zusammen (vornehmlich in Bezug auf technische und organisatorische Maßnahmen), jedoch erfolgt der Austausch von personenbezogenen Daten zwischen zwei getrennten Stellen, ohne dass gemeinsam die Zwecke oder Mittel festgelegt wurden. Bis der Vollzug der Transaktion beendet ist, hat der Erwerber weder rechtlichen noch tatsächlichen Einfluss auf die Datenverarbeitung, weshalb er hierfür keine datenschutzrechtliche Verantwortung zu tragen hat.278 In zutreffender Weise ist dabei die Einflussmöglichkeit aus einer holistischen Betrachtungsweise heraus zu bewerten.279 Wenn auch der Zweck der Verarbeitung, nämlich der der Übermittlung von Kundendaten im Zuge einer Unternehmenstransaktion, ein gemeinsamer zu erscheinen vermag, sind Unternehmenstransaktionen aber in der Gesamtschau von einem konkurrierenden Verhältnis geprägt. Das Zielunternehmen bestimmt sowohl den abstrakten als auch konkreten Rahmen der Datenübermittlung. Überdies besteht die Verfügungshoheit über die Kundendaten meist nur einseitig: bis zum Vollzug der Transaktion geht sie vom Zielunternehmen aus und erst anschließend gewinnt der Erwerber die vollständige Datenhoheit. Aus diesem Grund ist der Erwerber nicht an der Entscheidung über die Zwecke und Mittel der Verarbeitung beteiligt. Es fehlt also an einer beidseitigen tatsächlichen Einflussnahme auf den Verarbeitungsvorgang.280 Als Außenstehender ist der Erwerber vielmehr auf die Kooperation des Veräußerers angewiesen: Bspw. um einen Einblick in die Daten in der Due Diligence zu erlangen; zudem muss der Veräußerer selbst den Anstoß zum Transfer der Daten aus dem eigenen Datenbestand heraus geben. Deshalb kann der Erwerber während der Transaktion weder konkrete Kriterien der Verarbeitung festlegen, noch mangels Kenntnis die Kategorien von Personen bezeichnen, deren personenbezogene Daten erworben werden.281 Auf ein arbeitsteiliges Zusammenwirken der Parteien wird es bei Unternehmenstransaktionen daher nur in wenigen Fällen hinauslaufen, wie etwa kurzweilig nach erfolgtem Vollzug der Transaktion, sofern dies zur vollständigen Integration der Datensätze angesichts der besonderen Umstände des Einzelfalls erforderlich ist.282 Grundsätzlich steuern aber die Verantwortlichen nicht gleichberechtigt die Abläufe, sodass die Annahme einer kollaborativen Datenverarbeitung während des Prozesses einer Unternehmenstransaktion in der Gesamtheit zu verneinen ist.
Da die DSGVO keine weiteren Rechtsinstitute bereitstellt, spielt nur die Bestimmung des datenschutzrechtlich verantwortlichen Unternehmens im Verlaufe einer Unternehmenstransaktion die maßgebende Rolle. Bis die Transaktion vollendet ist, hat daher nur das Zielunternehmen nach außen für die Einhaltung aller datenschutzrechtlicher Vorgaben einzustehen.
110 Ausnahmen hiervon sind in Art. 2 Abs. 2 bis 4 DSGVO geregelt. 111 Der Wortlaut des Art. 4 Nr. 2 DSGVO deutet wegen des Wortes „jeder“ Vorgang und der anschließenden Aufzählung unterschiedlichster Verarbeitungstätigkeiten („wie“) auf einen rein exemplarischen Charakter der Legaldefinition hin; auch der Wortlaut der englischen Sprachfassung bestätigt diese Auslegung („any operation“/„such as“); vgl. im Ergebnis auch Krohm/Müller-Peltzer, RDV 2016, 307 (310); Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330; Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 20. 112 So auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2, Rn. 1. 113 Voigt/von dem Bussche, DSGVO, S. 11; Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330. 114 Voigt/von dem Bussche, DSGVO, S. 12; ebd. ausführlich zu automatisierten und manuellen Verarbeitungsvorgängen. 115 Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 29. 116 Schild, in: Wolff/Brink, Datenschutzrecht, Artikel 4 DS-GVO, Rn. 50. 117 Vgl. Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 30. 118 Dieses Verständnis steht auch im Einklang mit dem Lindqvist-Urteil des EuGH zur EU-Datenschutzrichtlinie (EuGH, Rs. 101/01, Lindqvist, ECLI:EU:C:2003:596), wonach zwar der EuGH zur Bestimmung des Übermittlungstatbestandes nicht auf die Perspektive des Verantwortlichen abstellt, aber jedenfalls dann eine Übermittlung ablehnt, wenn personenbezogene Daten einer Internetseite auf einen Server hochgeladen werden, ohne dass ein Internetnutzer tatsächlich die betreffende Internetseite aufgerufen hat. Nach der hier vertretenen Auffassung würde dies ebenfalls keine Offenlegung durch Übermittlung nach der DSGVO darstellen, da diejenige Person, die die personenbezogenen Daten auf eine Internetseite hochgeladen hat, immer noch auf die Daten einwirken (und sie bspw. verändern) kann, weil sie weiterhin ihrer Sphäre zugeordnet werden können. 119 Krohm/Müller-Peltzer, RDV 2016, 307 (310). 120 Vgl. Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 331. 121 Gola, in: Gola, DSGVO, Art. 4, Rn. 31. 122 Krohm/Müller-Peltzer, RDV 2016, 307 (310f.). Ob hingegen die Formulierung in Art. 6 Abs. 1 DSGVO, dass eine Verarbeitung nur rechtmäßig sei, „wenn“ eine der genannten Bedingungen erfüllt ist, statt der Verwendung des Wortes „soweit“, tatsächlich darauf hindeutet, dass die Bewertung der Zulässigkeit einer Verarbeitung nicht mehr in einzelnen Phasen erfolgen soll, kann nicht eindeutig beantwortet werden. Zwar wurde 2001 im BDSG a.F. „wenn“ durch „soweit“ ersetzt, was genau Gegenteiliges bezwecken sollte (also die Klarstellung der Rechtfertigungsbedürftigkeit jedes einzelnen Verarbeitungsschrittes). Es blieb aber fraglich, ob das BDSG a.F. nicht europarechtskonform hätte ausgelegt werden müssen, da in Art. 7 EU-Datenschutzrichtlinie von „wenn“ die Rede ist. Welche Bedeutung der europäische Gesetzgeber dieser Formulierung beigemessen hat, wird allerdings nicht deutlich. 123 Krohm/Müller-Peltzer, RDV 2016, 307 (311). 124 Zu Daten und Informationen Schmitz, ZD 2018, 5 (6). 125 So etwa Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7, wonach ausdrücklich der Wortlaut des Art. 2 lit. a EU-Datenschutzrichtlinie „eine großzügige Auslegung“ verlangt. Abgesehen davon erfolgte die Wortlautänderung der Definition des personenbezogenen Datums in der deutschen Fassung im Gegensatz zur alten Rechtslage lediglich aus redaktionellen Gründen, dazu Krügel, ZD 2017, 455 (455). 126 Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 8; zum personenbezogenen Datum i.S.d. EU-Datenschutzrichtlinie, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 8. 127 Kritisch im Hinblick auf technologische Entwicklungen, die für eine Identifizierung eingesetzt werden könnten Krügel, ZD 2017, 455 (456). 128 Vertreter der Theorie des absoluten Personenbezugs stellen auf die objektive Möglichkeit ab, dass durch die Anwendung eines Mittels oder von Zusatzwissen Dritter die betroffene Person bestimmt werden kann und zwar unabhängig davon, wer tatsächlich das Mittel anwendet oder über das Zusatzwissen verfügt, so etwa Pahlen-Brandt, DuD 2008, 34 (38); Düsseldorfer Kreis, Beschluss „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ vom 26./27. November 2009; Heidrich/Wegener, DuD 2010, 172 (174). Nach dem relativen Ansatz ist für die Bewertung der Bestimmbarkeit einer betroffenen Person entscheidend, ob die konkret verarbeitende Stelle selbst mit den ihr zur Verfügung stehenden Hilfsmitteln bzw. mit ihrem eigenen Zusatzwissen und ohne unverhältnismäßigen Aufwand den Bezug zu einer natürlichen Person herstellen kann; so etwa Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 20; Dammann, in: Simitis, BDSG a.F., § 3, Rn. 32; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 10; Köcher, MMR 2007, 799 (801). Zur kursorischen Übersicht des Streits in Bezug auf das BDSG a.F. siehe u.a. Herbst, NVwZ 2016, 902 (902ff.); Bergt, ZD 2015, 365 (365ff.); Brink/Eckhardt, ZD 2015, 205 (205ff.). 129 So auch Hofmann/Johannes, ZD 2017, 221 (222); Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26. 130 EuGH, Rs. 582/14, Breyer vs. BRD, ECLI:EU:C:2016:779. Im Grundsatz ging es um die Auslegung der mit Art. 4 Nr. 1 DSGVO übereinstimmenden Definition in Art. 2 lit. a EU-Datenschutzrichtlinie. Der EuGH entschied, „dass eine dynamische IP-Adresse [...] für den Anbieter [von Online-Mediendiensten] ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“, EuGH, Rs. 582/14, Breyer vs. BRD, ECLI:EU:C:2016:779, Rn. 49. In der DSGVO wird daran angeknüpft, denn IP-Adressen können personenbezogene Daten i.S.d. DSGVO darstellen, da laut Erwägungsgrund 30 IP-Adressen (und auch Cookie-Kennungen), die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen einem Nutzer zugeordnet werden, dazu geeignet sind Spuren zu hinterlassen, die dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. 131 Vgl. Hofmann/Johannes, ZD 2017, 221 (224). 132 Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 10. 133 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 3. 134 M.w.N. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 281; im Ergebnis auch Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26, der aber hinsichtlich der Nutzung der Mittel durch einen Dritten dahingehend differenziert, ob Daten vom Verantwortlichen an den Dritten weitergegeben wurden oder, falls dies nicht der Fall ist, ob der Verantwortliche über rechtliche Mittel verfügt, um sich einen Zugriff auf die Daten des Dritten zu verschaffen; a.A. Buchner, DuD 2016, 155 (156), der von einem absoluten Verständnis in der DSGVO ausgeht; zu dieser Auffassung tendierend auch Härting, ITRB 2016, 36 (37). 135 Hofmann/Johannes, ZD 2017, 221 (223). 136 Roßnagel/Kroschwald, ZD 2014, 495 (497); Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 9. 137 Dazu ausführlich u.a. Boehme-Neßler, DuD 2016, 419 (419ff.); Härting, ITRB 2016, 36 (37); Härting/Schneider, CR 2015, 819 (822). 138 Hofmann/Johannes, ZD 2017, 221 (224f.) im Hinblick auch auf die Auslegung des Begriffs der Verfügbarkeit i.S.d. Stands der Technik. 139 Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 273. 140 Vgl. Büllesbach, in: Roßnagel, Handbuch Datenschutzrecht, Kapitel 7.1, Rn. 28. 141 Auf diese wirtschaftliche Werthaltigkeit von Kundendaten stellt auch das BayLDA ab, vgl. Bayerisches Landesamt für Datenschutzaufsicht, Pressemitteilung vom 30.07.2015. 142 Wehmeyer, PinG 2016, 215 (217); zum vormaligen „Listenprivileg“ nach dem BDSG a.F. Härting, Datenschutz-Grundverordnung, Teil B, S. 114f., Rn. 467ff. 143 Die Bezeichnung der Geschäftskundendaten als ‚Lieferantendaten‘ ist insofern zu repressiv und missverständlich, als damit nur eine Art einer Geschäftsbeziehung bezeichnet wird (die der Lieferung von Waren). Vielmehr gelten jegliche Vertragspartner eines Unternehmens allgemein als Geschäftskunden, die nicht Privatkunden sind (Firmenkunden fallen ebenso unter den hier verwendeten Begriff der Geschäftskundendaten). 144 Ausführlich zur Auslegung und der Auswirkungen des Erwägungsgrundes 14 und der Frage, inwieweit die auf eine juristische Person bezogenen Informationen im Hinblick auf den Erwägungsgrund 14 vom Anwendungsbereich der DSGVO ausgeschlossen werden siehe Gola, K&R 2017, 145 (146f.). Der Autor ist der Auffassung, dass der Name, die Rechtsform und die Kontaktdaten der juristischen Person in vertretbarer Weise aus dem Schutzbereich der DSGVO ausgenommen werden können, da Gründe der Praktikabilität und das fehlende Risiko einer gravierenden Persönlichkeitsverletzung diese insbesondere für die Praxis vorteilhafte Einschränkung rechtfertigen. 145 Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 15f. 146 Vgl. m.w.N. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 11; BGH, Urteil vom 08. Februar 1994 – VI ZR 286/93, Rn. 21ff. (juris) = NJW 1994, 1281 (1282); ausführlich Stancke, BB 2013, 1418 (1419ff.) in Bezug auf das BDSG a.F., jedoch gelten diese Grundsätze unter der DSGVO fort, da auch die DSGVO auf die Einbeziehung juristischer Personen in ihrem Anwendungsbereich verzichtet. 147 Conrad, ZD 2016, 1 (1). 148 BAG, Beschluss vom 18. Februar 1986 – 1 ABR 21/84, Rn. 23ff. (juris) = BAGE 51, 143 (147ff.); BAG, Beschluss vom 26. Juli 1994 – 1 ABR 6/94, Rn. 25 (juris) = BAGE 77, 262 (267); Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 27f. 149 Im Einzelnen Gola, in: Gola, DSGVO, Art. 4, Rn. 25; Funk, KSzW 2017, 56 (58); m.w.N. Ashkar/Zieger, ZD 2016, 58 (59). 150 Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 151 Auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO kann ein CRM-System erfassen, Hamann, BB 2017, 1090 (1091); zum Verzeichnis von Verarbeitungstätigkeiten siehe S. 81. 152 Unternehmen wie bspw. Oracle Corporation oder Salesforce.com sind typische Anbieter solcher CRM-Systeme, vgl. Söbbing, RDV 2016, 120 (120). 153 So wird angenommen, dass unter Berücksichtigung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) die bloße Speicherung der Vertragsdaten der Kunden in einem CRM-System wohl nach Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt werden kann, vgl. Gierschmann, MMR 2018, 7 (8); ausführlich zu den Rechtsgrundlagen im Hinblick auf die Verarbeitung von Kundendaten in einem CRM-System siehe Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 32ff.; Söbbing, RDV 2016, 120 (120ff.) zur Rechtslage nach dem BDSG a.F. 154 Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 155 Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 1. 156 Vgl. Härting, CR 2017, 724 (725). 157 Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 158 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 159 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 160 Vgl. Wächter, Datenschutz im Unternehmen, Rn. 51. 161 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 714. 162 Eine Differenzierung der Daten in Bestands- und Nutzungsdaten, wie es § 14 und § 15 TMG vorsehen, ist nach der DSGVO hingegen nicht erforderlich, da der europäische Gesetzgeber lediglich zwischen ‚einfachen‘ personenbezogenen Daten und besonderen Kategorien personenbezogener unterscheidet. Die Frage, auf welcher Grundlage solche Daten verarbeitet werden dürfen, ist eine andere und kann nicht pauschal beantwortet werden; anders tendierend Härting, Datenschutz-Grundverordnung, Teil B, S. 102, Rn. 421. 163 Auch der Erwerber eines Unternehmens will nach Erhalt der Daten regelmäßig an dieser Vertragsbeziehung zum Kunden festhalten, vgl. Thode, PinG 2016, 26 (26). 164 Finanzdaten gelten gerade nicht als besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO, vgl. Schulz, in: Gola, DSGVO, Art. 9, Rn. 15. 165 Vgl. Härting, CR 2017, 724 (726). 166 Wehmeyer, PinG 2014, 183 (185); auch für den Erwerber eines Unternehmens sind diese Daten wertvoll, da er ebenso ein großes Interesse an einer erneuten Geschäftsbeziehung hat, vgl. Thode, PinG 2016, 26 (26). 167 Vgl. Wehmeyer, PinG 2014, 183 (184). 168 Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO/BDSG, Art. 6, Rn. 52. 169 Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7. 170 Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 274. Dass in der DSGVO die Bedeutung von bewertenden und analysierenden Verarbeitungstätigkeiten erkannt wurde, verdeutlicht die Einführung der Legaldefinition des Profilings in Art. 4 Nr. 4 DSGVO und seinen weiteren Voraussetzungen in Art. 22 DSGVO, vgl. ebd. 171 Ausführlich zum Rechtsrahmen des Profilings Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP 251 rev. 01. (bestätigt vom Europäischen Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018); Abel, ZD 2018, 304 (304ff.); zu Nutzungsprofilen im Rahmen von online-basierten Dienstleistungen mit Bezug zum TMG (bzw. mit Blick auf den Entwurf der sog. ePrivacy-Verordnung) siehe Schleipfer, ZD 2017, 460 (460ff.); Hennemann, ZUM 2017, 544 (544ff.). 172 Zur datenschutzrechtlichen Zulässigkeit des Scorings Buchner, in: Kühling/Buchner, DSGVO/BDSG, § 31, Rn. 7ff. 173 Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 174 Zur umstrittenen Frage des Verhältnisses von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO siehe S. 170f. 175 Vgl. Thode, PinG 2016, 26 (29). 176 Wächter, Datenschutz im Unternehmen, Rn. 50. 177 Eine Checkliste über Beschäftigtendaten, die im Rahmen von Unternehmenstransaktionen geprüft werden, enthält Grimm/Böker, NZA 2002, 193 (198ff.). 178 Sander/Schumacher/Kühne, ZD 2017, 105 (105). 179 Insbesondere Beschäftigtendaten enthalten regelmäßig besondere Kategorien personenbezogenen Daten i.S.v. Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten (Krankheitstage oder Schwerbehinderteneigenschaften), Daten zur Gewerkschaftsangehörigkeit oder zur religiösen Überzeugung (Kirchensteuer), Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 21. 180 Vgl. Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 6.; ausführlich zum § 26 BDSG n.F. siehe Gola, BB 2017, 1462 (1462ff.). 181 Im Einzelnen Sander/Schumacher/Kühne, ZD 2017, 105 (108ff.); Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 14ff.; a.A. Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 42. 182 Ausführlich zum rechtlichen Rahmen von nicht personenbezogenen Daten Wiebe/Schur, ZUM 2017, 461 (461ff.); Thalhofer, GRUR-Prax 2017, 225 (225ff.); Wiebe, CR 2017, 87 (87 ff).; Ensthaler, NJW 2016, 3473 (3473ff.); Wiebe, ecolex 2017, 783 (783ff.); ders., GRUR Int. 2016, 877 (877ff.). 183 Indes regelt Art. 6 Abs. 1 DSGVO nur die Zulässigkeit der Datenverarbeitung („Ob“), deren Rechtmäßigkeit („Wie“ der Verarbeitung) noch durch weitere Vorschriften (insbesondere durch die Datenschutzgrundsätze nach Art. 5 DSGVO) bestimmt wird, Frenzel, in: Paal/Pauly, DSGVO BDSG, Art. 6 DS-GVO, Rn. 7; Roßnagel, ZD 2018, 339 (343). 184 GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 26. 185 Nach Erwägungsgrund 40 können personenbezogene Daten nur dann rechtmäßig verarbeitet werden, wenn sich die Rechtsgrundlage aus der DSGVO (explizit: Art. 6 DSGVO) oder aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt. 186 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 2. 187 U.a. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 30; Engeler, ZD 2018, 55 (56); Arning, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, Kapitel 5, Rn. 72; Piltz, K&R 2016, 557 (562); Wächter, Datenschutz im Unternehmen, Rn. 511; a.A. Sattler, JZ 2017, 1036 (1039f.), der der Einwilligung eine Vorrangstellung einzuräumen versucht. 188 Vgl. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 31; a.A. Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01, S. 28; zu einer Sperrwirkung tendierend Tinnefeld/Conrad, ZD 2018, 391 (392f.). 189 Vgl. auch Engeler, ZD 2018, 55 (56), der einen Rückgriff auf die Rechtsgrundlage der Einwilligung erst nach Überschreiten der Erforderlichkeit für nötig hält. 190 So etwa BGH, Urteil vom 16. Juli 2008 – VIII ZR 348/06 (juris) = BGHZ 177, 253 (253ff.); BGH, Urteil vom 11. November 2009 – VIII ZR 12/08 (juris) = CR 2010, 87 (87ff.). 191 Conrad, ZD 2016, 1 (1). 192 Der EDSA hat lediglich die Richtlinien der Artikel-29-Datenschutzgruppe zu Einwilligungserklärungen (Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01) bestätigt, vgl. Europäischer Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018. In Bezug auf die Erlaubnistatbestände fehlt es hingegen weitestgehend an Leitlinien aus der europäischen Rechtsprechung, vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 193 Vgl. hierzu die Aufgabenbefugnisse aus bspw. Art. 57 Abs. 1 lit. g DSGVO oder Art. 70 Abs. 1 lit. e DSGVO. 194 Im Gegensatz zum BDSG a.F., in dem in den §§ 28ff. weitaus detailliertere Datenverarbeitungsgrundlagen für die Privatwirtschaft normiert waren, wurden die Erlaubnistatbestände in der DSGVO extensiver und weitaus undifferenzierter formuliert, sodass die Rechtfertigung einer Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO einige Rechtsunsicherheit mit sich bringt, Robrahn/Bremert, ZD 2018, 291 (291, 297). 195 Daneben ist der Einwilligungstatbestand (Art. 6 Abs. 1 lit. a DSGVO) und der Rechtfertigungstatbestand zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) im Zuge von Unternehmenstransaktionen von weiterer Relevanz; dazu ausführlich an relevanter Stelle. 196 Voigt/von dem Bussche, DSGVO, S. 132. 197 EuGH, Rs. 13/16, Rigas satiksme, ECLI:EU:C:2017:336, Rn. 28; Herfurth, ZD 2018, 514 (514); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 27. 198 Vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 199 Während nach alter Rechtslage gem. Art. 7 lit. f EU-Datenschutzrichtlinie Drittinteressen noch nicht die Datenverarbeitung legitimieren konnten, fanden Drittinteressen bereits Berücksichtigung in § 28 Abs. 2 Nr. 2 lit. a BDSG a.F. 200 Robrahn/Bremert, ZD 2018, 291 (291f.); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DSGVO, Rn. 28; Härting, Datenschutz-Grundverordnung, Teil B, S. 105, Rn. 429; letztendlich hat der europäische Gesetzgeber davon abgesehen zu konkretisieren, welche berechtigten Interessen grundsätzlich Vorrang gegenüber den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben sollen (so noch der Änderungsantrag 101 im Entwurf des Parlamentsberichterstatters vom 16.01.2013, vgl. Entwurf eines Berichts über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 16.01.2013, COM (2012) 0011 — C7-0025/2012 — 2012/0011(COD), S. 80. 201 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 32; da der Wortlaut des Abwägungstatbestandes in der DSGVO nahezu gleich mit dem aus Art. 7 lit. f EU-Datenschutzrichtlinie ist, kann auch für die Auslegung und Anwendung des Art. 6 Abs. 1 lit. f DSGVO die Stellungnahme der Artikel-29-Datenschutzgruppe zur Hilfe genommen werden. 202 Albrecht, CR 2016, 88 (92). 203 Erwägungsgrund 47 Satz 2 lautet explizit: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist [...].“ 204 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 28. 205 Zur umstrittenen Anwendbarkeit des Merkmals der Erforderlichkeit auf Privatrechtssubjekte (jedoch im Ergebnis bejahend) m.w.N. Robrahn/Bremert, ZD 2018, 291 (292f.). 206 Im Ergebnis auch Härting, Datenschutz-Grundverordnung, Teil B, S. 105, Rn. 430, 433, der jedoch die Wertungen der Datenschutzprinzipien in die berechtigten Interessen und nicht in den Erforderlichkeitsgrundsatz einfließen lässt; zu den Datenschutzprinzipien kursorisch etwa Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2, Rn. 2ff.; im Einzelnen zu den Datenschutzprinzipien im Folgenden an relevanter Stelle. 207 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 37; dies kann auch aus Erwägungsgrund 39 Satz 9 abgeleitet werden, wonach „personenbezogene Daten [...] nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“, vgl. Herfurth, ZD 2018, 514 (515). 208 Buchner/Petri, in: Kühling/Buchner, DSGVO/BDSG, Art. 6, Rn. 15. 209 Dafür sind die gegenüberstehenden Interessen und Rechte zunächst zu gewichten und sodann zu vergleichen, Robrahn/Bremert, ZD 2018, 291 (293). 210 So soll in die Abwägung bereits jedes (legitime) Interesse der betroffenen Person und nicht bloß geschützte Grundrechte und Grundfreiheiten einfließen, denn wenn jedes Interesse des Verantwortlichen Berücksichtigung finden darf, dann soll Gleiches auch für die betroffene Person gelten, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 38. 211 Artikel-29-Datenschutzgruppe, Stellungnahme 06/2014, WP 217, S. 43; Voigt/von dem Bussche, DSGVO, S. 135. 212 Verkennt der Verantwortliche einzelne erkennbare Interessen der betroffenen Person, obwohl er eine solche Prüfungsabwägung vorgenommen hat, muss er sich diesen Abwägungsfehler nur vorwerfen lassen, wenn diese Interessen der betroffenen Person für den Verantwortlichen aus ex ante-Sicht erkennbar waren, Robrahn/Bremert, ZD 2018, 291 (293). 213 Robrahn/Bremert, ZD 2018, 291 (295). 214 EuGH, Rs. 13/16, Rigas satiksme, ECLI:EU:C:2017:336, Rn. 31. 215 So zur EU-Datenschutzrichtlinie EuGH, verb. Rs. C-468/10 und C-469/10, ASNEF/FECEMD, ECLI:EU:C:2011:777, Rn. 47. 216 Bei gleichwertigen Interessen ist die Datenverarbeitung hingegen nach Art. 6 Abs. 1 lit. f DGVO gerechtfertigt, Robrahn/Bremert, ZD 2018, 291 (294); Schulz, in: Gola, DSGVO, Art. 6, Rn. 58. 217 Vgl. von Lewinski/Pohl, ZD 2018, 17 (18); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DSGVO, Rn. 27. Anders als in den USA war bislang die Berücksichtigung der Erwartungshaltung der betroffenen Personen im europäischen Datenschutzrecht nicht vorgesehen, weshalb im Einzelfall bei der Auslegung auf die das amerikanische Institut der „reasonable expectations“ als Hilfestellung zurückgegriffen werden kann, vgl. Piltz, K&R 2016, 557 (565). So ist in dieser Hinsicht eine Annäherung des europäischen Datenschutzrechtsrahmens an das Regelungssystem der USA erkennbar, Wehmeyer, PinG 2016, 215 (217). 218 Abzustellen ist auf einen objektiven Dritten in der konkreten Situation der betroffenen Person, Schulz, in: Gola, DSGVO, Art. 6, Rn. 63; Herfurth, ZD 2018, 514 (518). Unter den unbestimmten Rechtsbegriff der „vernünftigen“ Erwartungen fallen zumindest solche, die logisch, rational, sinnvoll und auch realistisch sind, Piltz, K&R 2016, 557 (565). 219 Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 220 Vgl. Sattler, JZ 2017, 1036 (1045). 221 Vgl. Schmidt, Handelsrecht, Unternehmensrecht I, § 3, Rn. 1. 222 Picot, Handbuch Mergers & Acquisitions, S. 25. 223 Vossler, in: Oetker, HGB, §§ 25–28 Anh., Rn. 2; BGH, Urteil vom 13. Oktober 1977 – II ZR 123/76 = BGHZ 69, 334 (335f.); BGH, Urteil vom 26. Oktober 1959 – KZR 2/59 = BGHZ 31, 105 (108f.). 224 So auch Beisel, in: Beisel/Klumpp, Der Unternehmenskauf, § 1, Rn. 14; bspw. ist der Versuch des BGH im Zusammenhang mit einer kartellrechtlichen Entscheidung, das Unternehmen als ein Gebilde zu bezeichnen, welches sich „institutionell und funktionell als Unternehmen im hergebrachten Sinne darstellt“ (BGH, Beschluss vom 08. Mai 1979 – KVR 1/78 = BGHZ 74, 359 (364)), aufgrund der stark auslegungsbedürftigen Begriffe kaum aufschlussreich. 225 M.w.N. Gomille, JA 2012, 487 (488). 226 Beisel, in: Beisel/Klumpp, Der Unternehmenskauf, § 4, Rn. 4; Thiessen, in: MüKoHGB, § 25 Anh., Rn. 3. 227 Vgl. Schmidt, Handelsrecht, Unternehmensrecht I, § 3, Rn. 3f. 228 Vgl. Rempp, in: Hölters, Handbuch Unternehmenskauf, Teil I, Rn. 1.2; zur vorausgesetzten Rechtsfähigkeit des Unternehmensträgers ausführlich Schmidt, Handelsrecht, Unternehmensrecht I, § 4, Rn. 4ff. 229 Inwiefern die Regelmäßigkeit der wirtschaftlichen Tätigkeit ein einschränkendes Erfordernis des Unternehmensbegriffs ist oder es sich lediglich um ein redaktionelles Versehen in Bezug auf Personengesellschaften und Vereinigungen handelt, siehe Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 73; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 135. 230 Gola, K&R 2017, 145 (145). Nach Erwägungsgrund 18 haben Datenverarbeitungen ausschließlich zu persönlichen oder familiären Zwecken keinen Bezug zu einer wirtschaftlichen (oder beruflichen) Tätigkeit. 231 So auch Schröder, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 18, Rn. 1. 232 Solche rechtlichen Folgen für Unternehmen finden sich in Art. 30 Abs. 5 DSGVO (Freistellung von der Verpflichtung zur Führung eines Verfahrensverzeichnisses), in Art. 40 Abs. 1 bzw. Art. 42 Abs. 1 DSGVO (Gestaltungsmöglichkeiten in Bezug auf Verhaltensregeln und Zertifizierungen für kleine und mittlere Unternehmen), oder in Art. 83 Abs. 4 und 5 DSGVO (Bußgeldbemessungen). 233 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 6; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 1. 234 Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 5. 235 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. 236 Siehe Legaldefinition in Art. 2 lit. d EU-Datenschutzrichtlinie, in der lediglich der Begriff „für die Verarbeitung Verantwortlicher“ statt des „Verantwortlichen“ nach der DSGVO verwendet wurde. Neben der identischen Definition des Verantwortlichen in der EU-Datenschutzrichtlinie und der DSGVO bleibt auch der Begriff des Dritten unverändert, weshalb die Grundsätze der Artikel-29-Datenschutzgruppe in Bezug auf die EU-Datenschutzrichtlinie (Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169) auf die Rechtslage nach der DSGVO Anwendung finden können. 237 EuGH, Rs. 131/12, Google Spain, ECLI:EU:C:2014:317, Rn. 34. 238 Zu den Kriterien des Mittels und des Zwecks der Verarbeitung ausführlich Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15ff. Im Unterschied dazu war nach dem BDSG a.F., in dem abweichend zur EU-Datenschutzrichtline der Begriff der „verantwortlichen Stelle“ verwendet wurde, die Interessenrichtung der Verarbeitung das entscheidende Kriterium, m.w.N. Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 3. 239 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. So soll wörtlich „auf der Grundlage einer Analyse der Fakten und nicht einer formellen Analyse“ die Bestimmung des Verantwortlichen erfolgen, Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12. 240 Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 28, 30. Laut Artikel-29-Datenschutzgruppe kann die Kontrolle über die Verarbeitung aufgrund einer ausdrücklichen Kompetenznorm, ungeschriebener Kompetenzen („implizierte Zuständigkeit“) oder infolge tatsächlicher Einflussnahme bestehen, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12ff. 241 Daneben wird in der DSGVO der Begriff des „Empfängers“ verwendet und in Art. 4 Nr. 9 DSGVO legaldefiniert, der auf den ersten Blick für Unternehmenstransaktionen eine Rolle spielen könnte. Zwar wird etwa im Rahmen der Betroffenenrechte oder beim Verzeichnis der Verarbeitungstätigkeiten auf den „Empfänger“ Bezug genommen, jedoch hat der Begriff keinerlei Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Übermittlung von Kundendaten bei Unternehmenstransaktionen. Es kommt bei der Empfängereigenschaft nicht darauf an, ob es sich um einen Dritten handelt oder nicht, sondern ausschließlich darauf, ob die empfangene Stelle Teil desselben Verantwortlichen ist, der die Daten offenlegt. All diejenigen, die nicht zum Verantwortlichen gehören, können Empfänger sein, vgl. Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 34; Gola, in: Gola, DSGVO, Art. 4, Rn. 78; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 9, Rn. 6. 242 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 DS-GVO, Rn. 60; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 10, Rn. 9. 243 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 38. 244 Vgl. Gomille, JA 2012, 487 (488). 245 Sofern das Unternehmen keine Gesellschaftsform innehat, ist der Einzelunternehmer identisch mit dem Unternehmen und gilt daher ebenso als Verantwortlicher. 246 Beim Share Deal bleibt das Zielunternehmen datenschutzrechtlich verantwortlich, jedoch treten die Anteilsinhaber als Veräußerer des Zielunternehmens auf; siehe dazu S. 65f. 247 Jung/Hansch, ZD 2019, 143 (146); ebd. zu den Ausnahmen des zulässigen Delegierens der Verantwortlichkeit. 248 Wilhelmi, in: Gsell/Krüger/Lorenz/Reymann, BGB, § 453, Rn. 274; das zu erwerbende Zielunternehmen wird auch teilweise als sog. „Target“ bezeichnet, so etwa van Kann, Kapitel I: Transaktionsanbahnung und -ablauf, in: van Kann, Praxishandbuch Unternehmenskauf, S. 8; Gran, NJW 2008, 1409 (1409); zu den Gestaltungsformen einer Unternehmenstransaktion im Einzelnen siehe S. 64ff. 249 Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172ff., auch weiterführend zu den praktischen relevanten konzerninternen Datenübermittlungen wie etwa solchen in Matrix-Strukturen oder HR-Datenbanken; zum Aufbau und Merkmalen von Matrixorganisationen Schmidl, DuD 2009, 364 (365f.). 250 Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 2. 251 Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (535). 252 Hierzu kritisch Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 175, denn das tatsächliche Vorliegen eines berechtigten Interesses bleibt weiterhin einzelfallabhängig. 253 Erwägungsgrund 48 wird deshalb auch teils als „kleines Konzernprivileg“ bezeichnet, Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (542). Das Europäische Parlament unterbreitete hingegen einen noch strengeren Vorschlag, wonach eine Übermittlung innerhalb einer Unternehmensgruppe für interne (administrative) Verwaltungszwecke nur zulässig sein sollte, wenn ein angemessenes Datenschutzniveau durch interne Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln gewährleistet wird. Auf diesen Zusatz wurde jedoch in der endgültigen Fassung der DSGVO verzichtet, vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 664. 254 Was genau unter „interne[n] Verwaltungszwecke[n]“ verstanden werden muss, ist bislang noch ungeklärt; dazu kursorisch Ringel/von Busekist, CCZ 2017, 31 (36). 255 Im Sprachgebrauch der DSGVO fällt ein Konzern unter den Begriff der „Unternehmensgruppe“ i.S.v. Art. 4 Nr. 19 DSGVO, Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172. 256 Auf den Begriff der Unternehmensgruppe wird nur vereinzelt im Gesetzestext der DSGVO Bezug genommen (etwa in Art. 37 Abs. 2, Art. 47, Art. 88 Abs. 2 DSGVO). Seine Relevanz erfährt er aber insbesondere im Rahmen des Erwägungsgrunds 48. Darüber hinaus wird die Unternehmensgruppe in Erwägungsgrund 36 und 110 erwähnt. 257 Gem. Erwägungsgrund 37 Satz 1 sollte das herrschende Unternehmen dasjenige sein, das z.B. aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, soll gem. Satz 2 zusammen mit diesen als eine Unternehmensgruppe betrachtet werden. 258 Ringel/von Busekist, CCZ 2017, 31 (36). Für die Beurteilung der Zulässigkeit der Datenverarbeitung wird jedoch jedes rechtlich selbstständige Unternehmen innerhalb eines Konzerns als eigenständiger Verantwortlicher behandelt, weshalb die Differenzierung zwischen einem Unterordnungs- und Gleichordnungskonzern in diesem Zusammenhang nur marginale Auswirkungen hinsichtlich des Erwägungsgrundes 48 hat. 259 Vgl. Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 15. 260 Zur Privilegierungswirkung der Auftragsdatenverarbeitung nach der EU-Datenschutzrichtlinie und dem BDSG a.F. siehe m.w.N. Krohm/Müller-Peltzer, RDV 2016, 307 (307f.). Eine fortwährende Privilegierung der Auftragsdatenverarbeitung nach der DSGVO kann auf zwei Ansätze zurückgeführt werden. Zum einen wird argumentiert, dass Art. 28 DSGVO als eigenständiger Erlaubnistatbestand für die Datenweitergabe gilt. Zum anderen gibt es Vertreter, die den Datenverarbeitungsvorgang bei der Auftragsverarbeitung einheitlich bewerten und daher die Weitergabe der Daten an den Auftragsverarbeiter und dessen Verarbeitungstätigkeiten im Auftrag bei Vorliegen der Voraussetzungen des Art. 28 DSGVO bereits vom Umfang der ursprünglichen rechtmäßigen Verarbeitung erfasst sehen, vgl. zu beiden Auffassungen Schmidt/Freund, ZD 2017, 14 (16f.); überzeugend aber hinsichtlich der letzteren Auffassung Schmitz/von Dall’Armi, ZD 2016, 427 (429); Härting, ITRB 2016, 137 (139); Krohm/Müller-Peltzer, RDV 2016, 307 (310f.); Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 5, C, Rn. 22.; von Holleben/Knaut, CR 2017, 299 (301); Eckhardt, CCZ 2017, 111 (113); Seiter, DuD 2019, 127 (131). 261 Spoerr, in: Wolff/Brink, Datenschutzrecht, Artikel 28 DS-GVO, Rn. 31; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 5, Teil A, Rn. 10; Roßnagel/Kroschwald, ZD 2014, 495 (497); Koós/Englisch, ZD 2014, 276 (284). 262 Wäre in der DSGVO bestimmt worden, wann der Tatbestand der Übermittlung vorläge, hätte die Rechtsunsicherheit vermieden werden können, ob die Datenweitergabe an einen Auftragsverarbeiter den Übermittlungstatbestand erfüllt, vgl. Krohm/Müller-Peltzer, RDV 2016, 307 (308); ebd. ausführlich zum Streit über die rechtliche Einordnung der Auftragsverarbeitung in der DSGVO. 263 So explizit der Wortlaut der Legaldefinition des Dritten in Art. 4 Nr. 10 DSGVO. Nach § 3 Abs. 8 Satz 3 BDSG a.F. war die Ablehnung des Auftragsverarbeiters als Dritten hingegen territorial beschränkt. 264 Zustimmend Kramer, in: Auernhammer, DSGVO BDSG, Art. 28 DSGVO, Rn. 9; Hartung/Büttgen, DuD 2017, 549 (553). 265 Dass die DSGVO eigenverantwortliches Handeln und eigene Entscheidungsspielräume des Auftragsverarbeiters nicht ausschließt (so Härting, ITRB 2016, 137 (138)), welches tatsächlich ins Gewicht fallen, ist vor dem Hintergrund der präzisen inhaltlichen Anforderungen an eine Auftragsdatenvereinbarung nach Art. 28 Abs. 3 DSGVO nur schwer nachvollziehbar. 266 Gola, K&R 2017, 145 (148f.); Schmitz/von Dall’Armi, ZD 2016, 427 (429); zu den einzelnen Pflichten Lissner, Auftragsdatenverarbeitung nach der DSGVO – Was kommt, was bleibt?, in: Taeger, DSRITB 2016, 401 (409ff.). 267 A.A. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2017, S. 130f. zum BDSG a.F. 268 Vgl. Müthlein, RDV 2016, 74 (83f.); ebd. ausführlich zu den Änderungen der Auftragsdatenverarbeitung nach der DSGVO im Vergleich zum BDSG a.F. 269 Zustimmend Tribess/Spitz, GWR 2019, 261 (262). 270 Aufgrund der Kongruenz der Definition des Verantwortlichen in der EU-Datenschutzrichtlinie und der DSGVO, aus dessen Kontext sich das Institut des gemeinsamen Verantwortlichen ergibt, können die Grundsätze der Artikel-29-Datenschutzgruppe zum gemeinsamen Verantwortlichen (vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169) und die Rechtsprechung zur EU-Datenschutzrichtlinie auch auf die aktuelle Rechtslage übertragen werden. Im BDSG a.F. wurde hingegen das Konzept des gemeinsamen Verantwortlichen nicht explizit bestimmt, vgl. Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 3. 271 Zu den weiteren Einzelheiten und insbesondere zu den Anforderungen an eine Vereinbarung zwischen den gemeinsamen Verantwortlichen, vgl. Dovas, ZD 2016, 512 (514ff.); Lezzi/Oberlin, ZD 2018, 398 (402f.). 272 Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1, Teil B, Rn. 55. 273 Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 12; zu den Merkmalen der „Zwecke und Mittel der Verarbeitung“ bei gemeinsamen Verantwortlichen und den Grad der Beteiligung an der gemeinsamen Entscheidung Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 21ff.; Lezzi/Oberlin, ZD 2018, 398 (400), wonach kein gleiches Maß an Mitbestimmungsrecht hinsichtlich der Festlegung der Zwecke und Mittel erforderlich ist; für das nach alter Rechtslage entscheidende Abgrenzungskriterium der „Funktionsübertragung“ ist hingegen unter Geltung der DSGVO kein Raum mehr, Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO vom 19.03.2018, S. 2. 274 Bertermann, in: Ehmann/Selmayr, DS-GVO, Art. 26, Rn. 11; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 26, Rn. 62; Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO vom 19.03.2018, S. 1; a.A. Plath, in: Plath, DSGVO/BDSG, Art. 26, Rn. 5; Moos, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, Kapitel 8, Rn. 32; Monreal, ZD 2014, 611 (616), der Datenübermittlungen an andere gemeinsame Verantwortliche aus der Rolle des Verantwortlichen heraus legitimiert, weshalb ein rechtfertigender Erlaubnistatbestand entbehrlich ist. 275 Dovas, ZD 2016, 512 (515). 276 So auch Conrad, ZD 2016, 1 (2): a.A. Bach, EuZW 2020, 175 (176); Tribess/Spitz, GWR 2019, 261 (262) zumindest im Hinblick auf die Due Diligence-Phase. 277 Vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1, Teil B, Rn. 56; Unabhängige Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO vom 19.03.2018, S. 3. 278 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15. 279 Moos/Rothkegel, MMR 2018, 591 (598). 280 Vgl. EuGH, Rs. 40/17, Fashion ID, ECLI:EU:C:2019:629, Rn. 85. 281 Vgl. EuGH, Rs. 210/16, Facebook-Fanpages, ECLI:EU:C:2018:388, Rn. 36; zur Einstufung als gemeinsame Verantwortliche kommt es allerdings nicht darauf an, dass jeder Zugang zu den betreffenden personenbezogenen Daten hat, ebd., Rn. 38. 282 Siehe dazu S. 245f.
