B. Ziel der Untersuchung und Gang der Darstellung
Ziel der vorliegenden Arbeit ist es, die Zulässigkeit von Kundendatenübertragungen im Zuge von privatrechtlichen Unternehmenstransaktionen in datenschutzrechtlicher Hinsicht zu evaluieren. Davon abgesehen sollen umfassend diejenigen spezifischen Vorschriften der DSGVO beleuchtet werden, die darüber hinaus bei Unternehmenstransaktionen zum Tragen kommen. Die Herausforderung der nachfolgenden Ausarbeitung besteht darin, nicht nur eine rechtliche Einschätzung zu geben, sondern zugleich praktische Vorgehensweisen für datenverarbeitende Unternehmen und Maßnahmen im Umgang mit den konkreten datenschutzrechtlichen Anforderungen für die Rechtspraxis zu evaluieren.
Nach einer kurzen Einführung in die Problematik (Kapitel Eins) wird zunächst kursorisch der Rechtsrahmen anhand der Entwicklung des deutschen Datenschutzrechts dargelegt (Kapitel Zwei), bevor die Grundlagen einer Unternehmenstransaktion im datenschutzrechtlichen und ökonomischen Kontext erläutert werden, die als Ausgangspunkt für eine eingehende Auseinandersetzung mit dem Schutz von personenbezogenen Kundendaten vorauszusetzen sind (Kapitel Drei).
Die anschließende Ausarbeitung (Kapitel Vier) sieht vor, transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken aufzudecken. Hierbei wird die Frage erörtert, welche technischen und organisatorischen Maßnahmen die beteiligten Akteure im gesamten Verlauf der Unternehmenstransaktionen zu ergreifen haben und welche Voraussetzungen der Datensicherheit dabei einzuhalten sind.
Im Mittelpunkt der weiteren Vorgehensweise steht, anhand jedes einzelnen Schrittes einer Unternehmenstransaktion den rechtmäßigen Umgang mit Kundendaten zu untersuchen. Die Kapitel thematisieren daher jeweils eine der vier Phasen einer Unternehmenstransaktion: die Vorbereitungsphase (Kapitel Fünf), die Due Diligence (Kapitel Sechs), die Vollzugsphase (Kapitel Sieben) und die Phase der anschließenden Integration der Daten (Kapitel Acht).
Einen Schwerpunkt in der Due Diligence bildet die Abgrenzung des Verarbeitungsbegriffs zur zweckändernden Verarbeitung. In Kapitel Sechs werden zudem die Voraussetzungen für eine rechtmäßige Einwilligungserklärung nach neuer Gesetzeslage analysiert. Neben einer Darstellung und Bewertung der Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung von Kundendaten in den Datenraum wird in diesem Kapitel an die Informationspflichten nach der DSGVO angeknüpft und letztlich ein Lösungsansatz für eine effektive und datenschutzkonforme Datenverarbeitung in der Praxis präsentiert.
Im Kapitel Sieben soll die datenschutzrechtliche Untersuchung der Vollzugsphase anhand der jeweiligen Gestaltungsform einer Unternehmenstransaktion – Share Deal, Asset Deal oder Umwandlung – differenziert werden. Im Rahmen des Vollzugs eines Asset Deals ist vor allem eine umfassende Auseinandersetzung mit dem Bußgeldbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vom 30.7.2015 geboten, in dem eine ‚Widerspruchslösung‘ bei der Übermittlung von Kundendaten gefordert wird. Insgesamt wird der Meinungsstand von Literatur und Rechtsprechung sowie einzelner Datenschutzbehörden dahingehend ausgewertet, wie der Verarbeitungstatbestand bzw. die Erlaubnistatbestände sowohl beim Asset Deal, Share Deal als auch bei der Umwandlung ausgelegt werden. Auf Basis dessen soll sodann ein eigenes Auslegungsergebnis entwickelt werden. Der Bearbeitung liegt der Gedanke zugrunde, dass das Datenschutzrecht das Vertrauen der Kunden in unternehmerische Datenverarbeitungstätigkeiten wiederherstellen soll, zugleich aber Innovation und Marktfreiheit nicht ausgebremst werden dürfen.
In Kapitel Acht ist zu erörtern, wie nach einer Unternehmenstransaktion erworbene Kundendatensätze rechtmäßig genutzt werden können, um einen möglichst großen Nutzen der Daten unter Wahrung der Rechte der Kunden zu erzielen. Datenschutzrechtlicher Dreh- und Angelpunkt ist hierbei der Zweckbindungsgrundsatz. Für die Problematik, wer für die Datenverarbeitungsvorgänge verantwortlich ist, wird ein temporärer Lösungsansatz aus dem Datenschutzrecht vorgeschlagen. Anschließend werden Überlegungen zu rechtlichen Konsequenzen im Falle von datenschutzrechtlichen Verstößen während einer Unternehmenstransaktion angestellt.
Im Zentrum der Auseinandersetzung mit den genannten Fragestellungen steht die DSGVO, da das BDSG n.F. keine weiteren Präzisierungen hinsichtlich des Umgangs mit Kundendaten bei Unternehmenstransaktionen enthält, sodass unmittelbar die Bestimmungen der DSGVO alleiniger Gegenstand der nachfolgenden Bearbeitung sind. Die Anwendung klassischer juristischer Methodik wird einen wesentlichen Beitrag zur Ermittlung des Willens des europäischen Gesetzgebers und des jeweiligen Zwecks einer Norm in der DSGVO leisten. Die Grauzonen des Datenschutzrechts respektive die in der DSGVO häufig verwendeten abstrakten und generalklauselartigen Bestimmungen sollen einer konkreten Interpretation unterzogen werden. Eine Herausforderung besteht also darin,