davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. Für die Durchführung einer Due Diligence ist diese Variante in der Praxis jedoch zu vernachlässigen.
29
Entscheidend ist zunächst, ob die Due Diligence zur Vorbereitung eines Asset Deals oder eines Share Deals durchgeführt wird. Nach dem sogenannten Marktortprinzip gemäß Art. 3 Abs. 2 lit. a) DSGVO ist der räumliche Anwendungsbereich eröffnet, wenn der Verantwortliche mit Niederlassung außerhalb der Union Daten von Personen innerhalb der Union verarbeitet. Dies gilt jedoch nur, sofern die Verarbeitung in einem Zusammenhang zu einem Angebot von Waren und Dienstleistungen steht, unabhängig davon, ob von der betroffenen Person eine Zahlung zu leisten ist. Die Formulierung „im Zusammenhang“ ist weit zu verstehen. Unter diesen Begriff fällt die Kaufvorbereitung mit Hilfe einer Due-Diligence-Prüfung.42 Bei dem zu kaufenden Objekt handelt es sich um eine Ware i.S.d Art. 3 Abs. 2 lit. a) DSGVO, sofern bewegliche körperliche Gegenstände gekauft werden sollen.43 Entscheidend ist also, ob die Due-Diligence-Prüfung zur Vorbereitung eines Asset- oder Share Deals durchgeführt wird. Bei einem Share Deal werden Unternehmensanteile gekauft. Diese sind keine beweglichen Sachen. Folglich handelt es sich um keine Ware i.S.d. Norm, weswegen letztlich der räumliche Anwendungsbereich nicht eröffnet ist. Bei einem Asset Deal kommt es auf die zu kaufenden Wirtschaftsgüter an. Bei Grundstücken, Gebäuden oder Patenten etwa handelt es sich um keine beweglichen Gegenstände, mithin gilt dasselbe wie für den Share Deal. Werden hingegen (z.B.) Maschinen verkauft, handelt es sich um bewegliche Sachen, respektive Ware, weswegen in diesem Fall der räumliche Anwendungsbereich eröffnet ist. Eine Auslegung des Art. 3 Abs. 2 lit. a) DSGVO dahingehend, dass den Betroffenen der Due Diligence ein Angebot gemacht wird, da diese mittelbar von dem Asset Deal profitieren, dürfte dem Wortlaut nicht zu entnehmen sein.
2. Allgemeine Grundsätze für die Verarbeitung
30
Art. 5 DSGVO normiert ausweislich seiner Überschrift die „Grundsätze für die Verarbeitung personenbezogener Daten“. Die dort enthaltenen Grundsätze leiten sich aus dem Primärrecht ab und machen diese Grundsätze für den Anwender schon deshalb verbindlich.44 Deren Wertungen ziehen sich durch die gesamte DSGVO und sind bei der Anwendung und Auslegung der Normen der DSGVO stets zu berücksichtigen.45 Art. 5 Abs. 1 lit. a) DSGVO schreibt vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise, verarbeitet werden. Konsequenz dieses Grundsatzes ist es u.a., dass die Verarbeitung von personenbezogenen Daten stets durch eine Rechtsgrundlage legitimiert werden muss.46 Gemäß Art. 5 Abs. 1 lit. b) Hs. 1 DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Aus dem Umkehrschluss ergibt sich etwa, dass personenbezogene Daten nicht zu noch unbekannten Zwecken erhoben werden.47 Art. 5 Abs. 1 lit. c) DSGVO normiert den Grundsatz der Datenminimierung. Danach muss die Datenverarbeitung auf das notwendige Maß beschränkt werden, welches erforderlich ist, um eine Due Diligence durchzuführen. Art. 5 Abs. 1 lit. d) DSGVO gibt vor, dass die Verarbeitung auf Grundlage von richtigen und aktuellen Daten beruhen soll. Der Grundsatz der Speicherbegrenzung findet seinen Niederschlag in Art. 5 Abs. 1 lit. e) DSGVO. Dieser korrespondiert mit dem Zweckbindungsgrundsatz und regelt, dass eine Verbindung zu bestimmten personenbezogenen Daten nur so lange bestehen darf, so lange dies für den Zweck der Verarbeitung erforderlich ist.48 Schließlich normiert der Grundsatz der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f) DSGVO, dass personenbezogene Daten nur auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
3. Rechtmäßigkeit der Verarbeitung
31
Ein elementarer Grundsatz des Datenschutzrechts ist das „Verbotsprinzip mit Erlaubnisvorbehalt“. Dieser ergibt sich unmittelbar aus Art. 8 Abs. 2 Satz 1 Grundrechtecharta und wurde innerhalb der DSGVO in Art. 5 Abs. 1 lit. a), 6 implementiert.49 Nach diesem Prinzip ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Eine Verarbeitung kann jedoch durch den Betroffenen dadurch legitimiert werden, dass dieser in die Verarbeitung einwilligt oder eine sonstige Rechtsgrundlage einschlägig ist.50 Die Einwilligung sowie die gesetzlichen Erlaubnistatbestände sind innerhalb der DSGVO in den Art. 6 bis 10 geregelt.51
32
Um die Datenverarbeitung im Rahmen einer Due Diligence rechtfertigen zu können, kommen freilich nicht alle gesetzlichen Erlaubnistatbestände in Frage. Insofern soll sich die folgende Kurzvorstellung der Rechtsgrundlagen der DSGVO nur auf solche beschränken, welche für die Due Diligence von Relevanz sind.
a) Einwilligung
33
Von zentraler Bedeutung für die Legitimierung der Datenverarbeitung ist die Einwilligung des Betroffenen. Sie gestattet eine unmittelbare Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung, da sie dem Betroffenen zugesteht, autonom über das „ob“ und „wie“ der Verarbeitung „seiner“ personenbezogenen Daten zu entscheiden.52
34
Die Einwilligung ist in den Art. 4 Nr. 11, 6 Abs. 1 lit. a) und Art. 7 DSGVO geregelt. In dieser Zusammenschau finden sich diverse Vorgaben zur Einholung einer wirksamen Einwilligung. So muss die Einwilligung freiwillig und auf Grundlage einer transparenten, vollumfänglichen Belehrung erfolgen.53 Die Vorrausetzungen für eine wirksame Einwilligung verschärfen sich, sofern in die Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 Abs. 1 DSGVO eingewilligt werden soll. Sodann werden gemäß Art. 9 Abs. 2 lit. a) DSGVO deutlich strengere Anforderungen an die Einwilligung gestellt.54 Selbiges gilt für die Einwilligung von Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber, welche in § 26 Abs. 1 DSGVO geregelt ist. Mit dieser nationalen Norm wurde von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht.
b) Verarbeitung erforderlich für Erfüllung des Vertrages
35
Ein gesetzlicher Erlaubnistatbestand liegt gem. Art. 6 Abs. 1 lit. b) DSGVO darin, dass die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person darstellt, erforderlich ist. Die Daseinsberechtigung dieses Erlaubnistatbestandes normiert scheinbar eine Selbstverständlichkeit: Denn dass eine Datenverarbeitung erlaubt sein muss, die für die Erfüllung eines Schuldverhältnisses erforderlich ist, liegt schon in der Natur der Sache.55 Gleichwohl ist hinsichtlich des Merkmals der Erforderlichkeit eine enge Auslegung indiziert. Auf diese Weise wird verhindert, dass der Erlaubnistatbestand durch zu weit gefasste (vermeintliche) vertragliche Leistungen ausgehebelt wird.56 Die Verarbeitung von Beschäftigtendaten ist gem. § 26 Abs. 1 Satz 1 BDSG rechtmäßig, sofern dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
c) Berechtigtes Interesse
36
Ein zentraler Erlaubnistatbestand im Bereich der Durchführung einer Due-Diligence-Prüfung findet sich in Art. 6 Abs. 1 lit. f) DSGVO wieder. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Ausweislich
