297
Der datenschutzrechtliche Unternehmensbegriff nach der DS-GVO ist weit gefasst. Er umfasst alle Einzelpersonen und Personenmehrheiten, die einer wirtschaftlichen Tätigkeit nachgehen, mithin bei der datenschutzrechtlich relevanten Handlung in Ausübung ihrer gewerblichen oder selbstständigen Tätigkeit handeln. Unerheblich ist die Branche, sodass auch Freiberufler erfasst sind.[661] Die Spanne reicht damit vom Arzt bis zur börsennotierten Publikumsgesellschaft.[662] Auch juristische Personen des öffentlichen Rechts fallen unter den Unternehmensbegriff, sofern sie wirtschaftlicher Tätigkeit nachgehen. Eine solche setzt voraus, dass die Stelle, um deren Unternehmenseigenschaft es geht, am Markt im Rahmen von Austauschverträgen Waren oder Dienstleistungen anbietet. Hoheitliche Tätigkeit ist damit nicht umfasst.[663] Soweit eine Person gleichzeitig privaten und beruflichen Nutzen aus einer Tätigkeit zieht (Dual Use) ist der Unternehmensbegriff erfüllt.[664]
298
Die DS-GVO gilt grundsätzlich auch für Kleinstunternehmen sowie kleine und mittlere Unternehmen. Nach Art. 40 Abs. 1 und Art. 42 Abs. 1 können für Kleinst- bis mittlere Unternehmen spezielle Verhaltensregeln bzw. Zertifizierungsmöglichkeiten geschaffen werden. Für die Definition des Begriffs Kleinstunternehmen sowie kleine und mittlere Unternehmen ist nach ErwG 13 S. 5 Art. 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission maßgebend. Nach Art. 2 des Anhangs zur Empfehlung dienen die Mitarbeiterzahlen und die finanziellen Schwellenwerte der Definition der Unternehmensklassen. Danach bestimmt sich die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) aus der Beschäftigtenzahl – „weniger als 250 Personen beschäftigen“ und dem Jahresumsatz „die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft“. Als kleines Unternehmen wird ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt. Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet.[665]
299
Werden Unternehmen Geldbußen nach Art. 83 auferlegt, kommt dem Unternehmensbegriff eine besondere Bedeutung zu. In diesem Rahmen wird dieser anders verstanden und erhält eine von Art. 4 Nr. 18 abweichende Definition. Werden Unternehmen Geldbußen auferlegt, soll nach ErwG 150 zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV verstanden werden. Bemessungsgrundlage für ein zu verhängendes Bußgeld gegen ein Unternehmen wäre demnach bei Konzernunternehmen der gesamte Konzernumsatz und nicht der einzelne Unternehmensumsatz. Zu beachten ist jedoch, dass der kartellrechtliche Unternehmensbegriff keinen Einzug in die Verordnung selbst gefunden hat.[666]
1. Allgemeines
300
Art. 4 Nr. 19 definiert die Unternehmensgruppe als eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Eine Unternehmensgruppe besteht danach aus mindestens zwei Unternehmen, zwischen denen ein Über-Unterordnungsverhältnis herrscht.[667]
301
Nach ErwG 37 sollte das herrschende Unternehmen dasjenige sein, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden. Das macht deutlich, dass es bei der Unternehmensgruppe nicht ausschließlich auf eine Beherrschung im gesellschaftsrechtlichen Sinne ankommt, sondern auch faktische Unternehmensgruppen, bei denen z.B. aufgrund von Verträgen bestimmten Unternehmen die Möglichkeit zum Richtlinienerlass gegeben ist, hierunter fallen können.[668]
302
Beispiel für eine Unternehmensgruppe ist insbesondere der Konzern. So definiert § 18 Abs. 1 AktG einen solchen als „ein herrschendes und ein oder mehrere abhängige Unternehmen“, die „unter der einheitlichen Leitung des herrschenden Unternehmens zusammengefasst sind“.
2. Bedeutung
303
Die Unternehmensgruppe ist an verschiedenen Stellen der DS-GVO von Bedeutung. Insbesondere im Zusammenhang mit der Möglichkeit, auf Grundlage von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules – BCR) personenbezogene Daten in Drittländer zu übermitteln.[669]
304
ErwG 48 nennt die Unternehmensgruppe als besonderes Beispiel dafür, dass die verantwortlichen Stellen in einer Unternehmensgruppe ein besonderes berechtigtes Interesse an einer Übermittlung von Daten innerhalb der Unternehmensgruppe haben können.
305
Nach Art. 37 Abs. 2 darf eine Unternehmensgruppe einen gemeinsamen betrieblichen Datenschutzbeauftragten bestellen, sofern der Datenschutzbeauftragte von jeder Niederlassung leicht erreicht werden kann.[670]
306
Art. 88 Abs. 2 verlangt, dass Mitgliedstaaten, die von der Ausnahme des Art. 88 Abs. 1 Gebrauch machen und gesonderte Regelungen zum Umgang mit Beschäftigtendaten erlassen, besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person vorsehen.[671]
XXI. Art. 4 Nr. 20: Verbindliche interne Datenschutzvorschriften
307
Der Begriff der verbindlichen internen Datenschutzvorschriften ist in Art. 4 Nr. 20 legaldefiniert. Danach handelt es sich dabei um Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben und zwar in einem oder mehreren Drittländern.
308
Art. 4 Nr. 20 entspricht mit seiner Regelung zu verbindlichen internen Datenschutzvorschriften (binding corporate rules; BCR) im Wesentlichen Art. 26 Abs. 2 DSRL.
309
Eine detaillierte Regelung zu den verbindlichen internen Datenschutzvorschriften findet sich in der DS-GVO in Art. 47[672]. Darüber hinaus nimmt