Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 9

Nicht nur weil die Öffentlichkeit für den Datenschutz sensibler wird und die Geldbußen in der DSGVO drastisch erhöht worden sind, ist es für die beteiligten Akteure an einer Unternehmenstransaktion längst ein eigenes wichtiges Anliegen geworden, dass der gesamte Vorgang datenschutzkonform ausgestaltet wird. Auch für den Erfolg einer Unternehmenstransaktion ist die Veräußerung von Kundendaten unabdingbar.20 Auf der einen Seite steht für den Veräußerer eines Unternehmens die zulässige Verwertung der Kundendaten im Mittelpunkt, um einen möglichst hohen Kaufpreis für das Unternehmen zu erzielen. Auf der anderen Seite besteht ebenso ein erhebliches Interesse an der Nutzungsmöglichkeit der Daten im weiteren Geschäftsbetrieb des Erwerbers. Ob aber der Erwerber im Falle der Durchführung der geplanten Transaktion überhaupt in der Lage sein wird, den Geschäftsbetrieb des übernommenen Unternehmens fortzuführen, hängt entscheidend von der Übertragung der Kundendaten ab.21 Können Kundendaten im Anschluss an eine Unternehmenstransaktion nicht weiter genutzt werden, da sie nicht datenschutzkonform veräußert wurden, verlieren sie ihren Wert. Der besondere Anreiz der Unternehmenstransaktion, der gegenüber einer Neugründung gerade darin liegt, dass Kundendaten nicht erst noch akquiriert werden müssen, geht damit verloren.

Es reicht jedoch nicht aus, wenn Unternehmen sich auf die rein reaktive Prüfung von datenschutzrechtlichen Fragestellungen beschränken. Stattdessen müssen sie bereits im Vorfeld die datenschutzrechtliche Zulässigkeit der Datenübermittlung beurteilen. Die Kontroverse entspringt insbesondere der datenschutzrechtlichen Frage, ob den Kunden eine autonome Entscheidungsfreiheit über den Umgang mit ihren personenbezogenen Daten eingeräumt werden muss oder stattdessen die DSGVO einen wirksamen Rechtsrahmen schafft, der auch ohne ein Einwilligungserfordernis einen hinreichenden Schutzumfang für die Interessen und Rechte der Kunden gewährleistet. In der Vergangenheit wurden bislang bei Unternehmenstransaktionen große Mengen an personenbezogenen Daten übertragen, ohne dass betroffene Kunden darüber informiert wurden oder deren Behandlung aus datenschutzrechtlicher Sicht geklärt war. Neuerdings ist in der datenschutzrechtlichen Debatte zu befürchten, dass sich – angesichts einer zur alten Rechtslage ergangenen behördlichen Entscheidung und der fehlenden Konkretisierung durch die DSGVO – nicht mehr mit alternativen Lösungswegen auseinandergesetzt und darauf beharrt wird, dass unter allen Umständen der Kunde in die Datenübertragung einwilligen muss.22 Neben dieser pauschalen Einschränkung der Rechtfertigungsmöglichkeiten muss zugleich hinterfragt werden, ob es aus unternehmerischer Sicht überhaupt gerechtfertigt werden kann, dass dem Kunden eine derart weitgehende Entscheidungsbefugnis lediglich aufgrund von datenschutzrechtlichen Erwägungen übertragen wird, die sich erheblich auf den wirtschaftlichen Erfolg einer Unternehmenstransaktion auswirken kann.

Umso mehr verwundert es, dass keine hinreichende Klarheit besteht, ob die Übertragung von personenbezogenen Kundendaten vom Veräußerer eines Unternehmens an einen Erwerber datenschutzrechtlich gerechtfertigt werden kann und welche datenschutzrechtlichen Anforderungen im Hinblick auf den Umgang mit Kundendaten während des gesamten Prozesses einer Unternehmenstransaktion konkret zu erfüllen sind.23 Da die Parteien bei Rechtsverstößen in der Praxis bislang häufig versucht haben, sich außergerichtlich zu einigen, um öffentliche Aufmerksamkeit zu vermeiden,24 fehlt es vor allem auch an gerichtlichen Entscheidungen zu den relevanten datenschutzrechtlichen Fragestellungen.25 Hinsichtlich der Frage des Kundendatenschutzes bei Unternehmenstransaktionen verkompliziert sich der durch die DSGVO geänderte datenschutzrechtliche Rahmen außerdem dadurch, dass bislang kaum klärende Rechtsprechung oder behördliche Entscheidungen zur Auslegung und Anwendung der DSGVO vorliegen. Zugleich enthält die DSGVO weder einzelne Regelungen noch Erwägungsgründe zum Umgang mit Kundendaten bei Unternehmenstransaktionen.26 Im Allgemeinen umfasst der Datenschutz den Schutz der Privatsphäre und der Persönlichkeit von natürlichen Personen, deren Daten verarbeitet werden.27 Zu der Frage, was hingegen konkret unter Kundendatenschutz verstanden wird, schweigt sowohl die EU-Datenschutzrichtlinie als auch die DSGVO.28 Weithin geht es dabei um den Schutz sämtlicher personenbezogener Daten, über die ein Verantwortlicher (also ein Unternehmen) im Hinblick auf seine bestehenden oder ehemaligen Kunden verfügt.29 Es wäre jedoch falsch anzunehmen, dass die DSGVO ausschließlich zum Schutz natürlicher Personen bei der Datenverarbeitung dient. Art. 1 Abs. 1 DSGVO hebt hervor, dass die DSGVO auch den freien Verkehr von personenbezogenen Daten regelt.30 Damit hat der europäische Gesetzgeber ausdrücklich den Wert von Daten in der heutigen digitalen Wirtschaft hervorgehoben, den es nicht zu behindern, sondern in verantwortlicher und angemessener Weise zu gestalten gilt. Gleichzeitig ist es aber nicht von der Hand zu weisen, dass der „unionsweite Austausch personenbezogener Daten zwischen [...] privaten Akteuren einschließlich natürlichen Personen, Vereinigungen und Unternehmen [...] zugenommen“ hat, vgl. Erwägungsgrund 5 Satz 2.31 Zumindest indirekt hat damit der europäische Gesetzgeber die steigende Relevanz von Unternehmenstransaktionen in der Wirtschaft erkannt, die zunehmend das Potential von datenschutzrechtlichen Verstößen birgen.

Dass die Übernahme eines Unternehmens aber nicht nur rechtliche, sondern auch operative Herausforderungen in Bezug auf Kundendaten mit sich bringen kann, verdeutlicht beispielhaft die Fusion von Telefónica und E-Plus und der erst im Jahr 2016/2017 stattgefundenen Zusammenlegung der Netze, was als die „größte Kundenmigration in der Mobilfunkgeschichte“ bezeichnet wurde.32 Telefónica, in Europa unter dem Namen O2 agierend, hatte mit zahlreichen Kundenbeschwerden zu kämpfen, nachdem Kunden Störungen bei ihrem Internet- und Telefonanschluss meldeten. Telefonische Anliegen über die Kundenhotline konnten jedoch kaum angenommen und bearbeitet werden. Als Grund hierfür gab das Unternehmen die hochkomplizierte Übertragung von mehreren Millionen Kundendaten in ein einheitliches Kundensystem an. Dies zeigt einmal mehr, dass technische Schwierigkeiten bei der Zusammenführung von Datensätzen infolge einer Unternehmenstransaktion zu einer belastenden Kundensituation führen können, bei der im schlimmsten Fall sogar ein erheblicher Verlust des Kundenstamms droht. Da mit einer solchen unternehmerischen Maßnahme meist gerade das Gegenteil – nämlich eine Vergrößerung der Kundschaft – beabsichtigt wird, ist es für Unternehmen äußerst wichtig, bereits im Vorfeld einer Transaktion eine geeignete Datenstruktur zu schaffen, die den rechtlichen und tatsächlichen Gegebenheiten standhält. Ein Unternehmen kann nur dann den optimalen Nutzen aus einer Transaktion ziehen, wenn die Abwicklung der Transaktion vom ersten Schritt des Prozesses bis zur Integration strukturiert und ordnungsgemäß funktioniert.33

1 So auch u.a. Wilhelmi, in: Gsell/Krüger/Lorenz/Reymann, BGB, § 453, Rn. 263. Nach zwei Studien des Institute for Mergers, Acquisitions and Alliances (IMAA) haben allein in Deutschland im Jahr 2019 über 2.000 Unternehmenstransaktionen mit einem Transaktionsvolumen von 134 Mrd. Euro stattgefunden, vgl. Institute for Mergers, Acquisitions and Alliances (IMAA) (2020), zitiert nach Statista (2020): „Anzahl der M&A Deals in Deutschland von 1991 bis 2020“, abrufbar unter https://de-1statista-1com-1ny53hpd27013.han.sub.uni-goettingen.de/statistik/daten/studie/233975/umfrage/anzahl-der-munda-deals-in-deutschland-nach-quartalen/ (zuletzt abgerufen am 01.08.2020) sowie „Volumen der M&A Deals in Deutschland von 1991 bis 2020 (in Milliarden Euro)“ abrufbar unter https://de-1statista-1com-1ny53hpd27013.han.sub.uni-goettingen.de/statistik/daten/studie/233970/umfrage/volumen-der-munda-deals-in-deutschland/ (zuletzt abgerufen am 01.08.2020). 2 Duisberg, RDV 2004, 104 (105). 3 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, 26. Tätigkeitsbericht Datenschutz 2016/2017, S. 86. 4 Dies trifft insbesondere auf Unternehmen zu, die Online-Portale (wie etwa soziale Netzwerke) betreiben bzw. Apps entwickeln, vgl. Baranowski/Glaßl, BB 2017, 199 (199). 5 Vgl. Moos, K&R Beihefter 3/2015, 12 (12); daneben ist der eigene wirtschaftliche Wert von Daten in der heutigen Informationsgesellschaft nicht zu verkennen, denn Daten dienen immer häufiger als Instrument zur Erlangung geldwerter Vorteile in der Privatwirtschaft (bspw. die Preisgabe von Daten zur Erlangung von kostenlosen Informationen), vgl. Klement, JZ 2017, 161 (168). 6 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert vom 25.1.2012, KOM (2012) 9 endgültig, Abschnitt 1., S. 2. 7 Vgl. Krohm/Müller-Peltzer, ZD 2017, 551 (551). 8 Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 18; die im öffentlichen Diskurs oft zu hörende Bezeichnung der Daten als das neue „Öl“ (vgl. etwa Wandtke, MMR 2017, 6 (6); Berberich/Kanschik, NZI 2017, 1 (1)) hinkt insoweit, da Daten gerade nicht vergänglich oder exklusiv sind, vgl. m.w.N. Louven, NZKart 2018, 217 (220). 9 Vgl. Funk, KSzW 2017, 56 (56). 10 Pressemitteilung „Studie von IDC und Seagate: Weltweite Datenmenge verzehnfacht sich bis 2025 auf 163 ZB“ vom 04.04.2017 auf seagate.com, abrufbar unter: https://www.seagate.com/de/de/news/news-archive/seagate-advises-global-business-leaders-and-entrepreneurs-pr-master/ (zuletzt abgerufen am 01.08.2020). 11 Vgl. Wandtke, MMR 2017, 6 (6). 12 GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 10. 13 Vgl. Beyer/Beyer, NZI 2016, 241 (242); Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 1; Uwer/Jungkind, in: Meyer-Sparenberg/Jäckle, Beck’sches M&A-Handbuch, § 77, Rn. 1. 14 Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 1. 15 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4. Mai 2016, S. 1ff.), im Folgenden: DSGVO. 16 Zwar ist die DSGVO schon seit dem 24. Mai 2016 in Kraft (gem. Art. 99 Abs. 1 DSGVO 20 Tage nach ihrer Veröffentlichung am 4. Mai 2016 im ABl. L 119), jedoch erlangte die DSGVO erst ab dem Zeitpunkt ihrer Geltung (vgl. Art. 99 Abs. 2 DSGVO) Verbindlichkeit. Dieser Übergangszeitraum von zwei Jahren sollte es den Mitgliedstaaten, Verantwortlichen und Datenschutzbehörden erleichtern, die nötigen Maßnahmen zur Umsetzung der DSGVO zu treffen, vgl. Pauly, in: Paal/Pauly, DS-GVO BDSG, Art. 99 DS-GVO, Rn. 2. 17 Der Begriff der Unternehmenstransaktion ist nachfolgend im weitesten Sinne unabhängig von der konkreten Form der juristischen Ausgestaltung zu verstehen; Näheres hierzu S. 70ff. 18 Stattdessen gilt es für die Unternehmen den Datenschutz als Chance zu sehen, um einen Wettbewerbsvorsprung zu erlangen, dazu Bayer, Artikel „Firmen nutzen die Chancen durch die DSGVO zu wenig“ vom 24.05.2018 auf computerwoche.de, abrufbar unter https://www.computerwoche.de/a/firmen-nutzen-die-chancen-durch-die-dsgvo-zu-wenig, 3544981 (zuletzt abgerufen am 01.08.2020). 19 Insbesondere tendiert die jüngere Generation zu einer größeren Bereitschaft, ihre personenbezogenen Daten zu offenbaren, vgl. Klement, JZ 2017, 161 (168). 20 Vgl. Plath/Struck/ter Hazeborg, CR 2020, 9 (9). 21 Plath, Datenschutz bei M&A-Transaktionen, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 6, Rn. 2. 22 So u.a. insbesondere Ernst, DuD 2016, 792 (795); dies wird an relevanter Stelle eingehend erläutert. 23 Im Folgenden werden grundsätzlich die Begriffe des Veräußerers und des Erwerbers statt die des Verkäufers und Käufers verwendet, da die Übertragung von Kundendaten im Rahmen von Unternehmenstransaktionen maßgeblich von dinglicher Bedeutung ist. Ferner gilt der Begriff der Verarbeitung von oder des Umgangs mit personenbezogenen Daten synonym und gleichzeitig als Obergriff in Übereinstimmung mit der Legaldefinition des Art. 4 Nr. 2 DSGVO für das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 24 Blassl, CCZ 2017, 37 (37). 25 Eine Ausnahme stellt der Bußgeldbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vom 30.7.2015 dar, siehe dazu ausführlich S. 217ff. 26 Wehmeyer, PinG 2016, 215 (216). 27 Wächter, Datenschutz im Unternehmen, Rn. 1. 28 So auch Bierekoven, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil XI, Kapitel 1, Rn. 1. 29 Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 30 Weil die DSGVO sowohl auf den Schutz der Grundrechte der Bürger als auch auf die Förderung des Binnenmarktes gerichtet ist, wohnt der DSGVO eine „doppelte Zweckrichtung“ inne, vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 9. 31 Erwägungsgründe ohne Gesetzesangabe sind solche der DSGVO. Erwägungsgründe enthalten teils ergänzende Ausführungen zum Normtext, wobei einzelne Erwägungsgründe tendenziell ausführlicher ausgefallen sind, je brisanter die korrelierende Rechtsnorm in der DSGVO im Gesetzgebungsprozess diskutiert wurde, vgl. Kühling/Martini, EuZW 2016, 448 (448). Zwar dienen Erwägungsgründe als Auslegungshilfe der DSGVO, da sie begründen und rechtfertigen sollen, jedoch entfalten sie keine rechtliche Bindungswirkung, auch wenn sie Teil der Rechtsquelle sind, vgl. EuGH, Rs. 267/06, Schlussanträge des Generalanwalts Colomer vom 06.09.2007, BeckRS 2007, 70624, Rn. 76; Juristischer Dienst der EU, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2015, S. 31ff. 32 Wilke, Artikel „Wie O2 Tausende Kunden in der Hotline hängen lässt“ vom 16.11.2017 auf sueddeutsche.de, abrufbar unter: http://www.sueddeutsche.de/wirtschaft/internet-und-telefonie-wie-o-tausende-kunden-in-der-hotline-haengen-laesst-1.3750419 (zuletzt abgerufen am 01.08.2020). 33 Schiessl, in: Meyer-Sparenberg/Jäckle, Beck’sches M&A-Handbuch, § 1, Rn. 28.