nur zu berücksichtigen, soweit nicht die Interessen oder Grundrechte und -freiheiten der betroffenen Person hinsichtlich ihrer personenbezogenen Daten überwiegen.57
26 Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2, Rn. 1. 27 RL 95/46/EG des europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 28 Buchner, Wirtschaftsinformatik & Management 2019, 43, 43. 29 Abhängig von der Zählweise, mindestens jedoch 50. 30 Vgl. auch Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Teil I. Kap. 1 Rn. 48. 31 Gola, in: Gola, Art. 4 Rn. 5. 32 Martens, PinG 2015, 213, 214. 33 Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 34 Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 35 V. Lewinski, in: Auernhammer, Art. 2 Rn. 5. 36 Siehe Legaldefinition in Art. 4 Nr. 6 DSGVO. 37 Außer Akten, die nicht nach bestimmten Kriterien geordnet sind, Erwägungsgrund 15 DSGVO. 38 Bäcker, in: BeckOK DatenschutzR, Art. 2 Rn. 4. 39 Erwägungsgrund 26. 40 Bach, EuZW 2020, 175, 175. 41 Zur Anonymisierung im Detail Kapitel 2 Rn. 181ff. 42 Vgl. Hornung, in: NK DatenschutzR, Art. 3 Rn. 52. 43 Abgestellt wird auf die vom EuGH zur Warenverkehrsfreiheit aus Art. 28ff. AEUV vertretene Interpretation des Warenbegriffs. 44 Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2 Rn. 1. 45 Herbst, in: Kühling/Buchner, Art. 5 Rn. 1. 46 Dazu Kapitel 2 Rn. 141ff. 47 Voigt, in: Taeger/Gabel, Art. 5 Rn. 22. 48 Frenzel, in: Paal/Pauly, Art. 6 Rn. 43. 49 Kramer, in: Auernhammer, Art. 5 Rn. 10. 50 So auch in Erwägungsgrund 40 DSGVO. 51 Im Rahmen der Öffnungsklauseln steht es auch dem nationalen Gesetzgeber zu, eigene Erlaubnistatbestände zu normieren bzw. bestehende der DSGVO weiter auszuführen. So wurde bspw. in § 26 BDSG die Verarbeitung von Beschäftigtendaten weiterführend geregelt. 52 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 17. 53 Für detaillierte Ausführungen zu den Wirksamkeitsvoraussetzungen im Rahmen der Due Diligence siehe Kapitel 2 Rn. 141ff. 54 Vgl. Rn. 143. 55 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 56 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 57 Hierzu im Detail Kapitel 2 Rn. 171ff.
IV. Risiken
37
Die Risiken, welche mit Verstößen gegen das Datenschutzrecht einhergehen können, sind divers und teilweise nicht ex ante kalkulierbar. Das zentrale Risiko stellt hierbei die Forderung nach etwaigen Geldzahlungen dar. Derartige Forderungen können diesbezüglich von zwei unterschiedlichen „Anspruchstellern“ kommen. Zum einen können die Aufsichtsbehörden bei Verstößen Bußgelder (nach Inkrafttreten der DSGVO in nunmehr kolossaler Höhe) verhängen. Zum anderen können auch Betroffene, die durch entsprechende Datenschutzverstöße in ihren Rechten verletzt wurden, Schadensersatzforderungen an die Verantwortlichen richten.
1. Bußgelder
38
Eine wesentliche Neuerung hat das Datenschutzrecht hinsichtlich der Höhe der Bußgelder erfahren. Die in Art. 83 DSGVO normierten Bußgelder, welche durch die zuständigen Aufsichtsbehörden erteilt werden können, stellen eine drastische Verschärfung der Sanktionen bei Verstößen im Vergleich zum alten Datenschutzrecht dar. So sieht der Katalog des Art. 83 Abs. 5 DSGVO vor, dass Bußgelder in Höhe von bis zu 20.000.000 EUR und bei Unternehmen sogar bis zu 4 % des Vorjahresumsatzes verhängt werden können. Es ist neben der Verhältnismäßigkeit gemäß Art. 84 Abs. 1 Satz 2 DSGVO ein erklärtes Ziel, dass die Bußgelder abschreckend sind, mithin eine ausreichende Präventionswirkung entfalten.58 Darüber hinaus sind fast alle materiellen Pflichten, die sich aus der DSGVO ergeben, durch den Katalog des Art. 83 DSGVO bußgeldbewehrt.59
39
Dass die Behörden diesen Bußgeldrahmen auch tatsächlich ausschöpfen, zeigt die Praxis. So wurde beispielsweise gegen H&M ein Bußgeld in Höhe von 35 Mio. EUR durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wegen schwerwiegenden Verstößen gegen den Beschäftigtendatenschutz verhängt.
40
Bezüglich der Maßstäbe für die Festlegung der Höhe der Bußgelder bietet Art. 83 Abs. 2 DSGVO einen umfangreichen Kriterienkatalog für die Bemessung der Geldbußen.60 Dieser enthält jedoch nur Vorgaben hinsichtlich des „Wie“ der Bußgeldverhängung. Regelungen bezüglich des „Ob“ macht die Norm den Behörden nicht.61 So ist die Höhe des Bußgeldes gemäß Art. 84 Abs. 2 lit. a) DSGVO von der Art, Schwere und Dauer des Verstoßes abhängig. Auch kommt es auf die Kategorien der personenbezogenen Daten an oder etwa auf den Umfang der Zusammenarbeit mit den Aufsichtsbehörden, um dem Verstoß abzuhelfen, Art. 83 Abs. 2 lit. g) und f) DSGVO.
41
Von besonderer Relevanz für eine Due-Diligence-Prüfung ist Art. 82 Abs. 2 lit. e) DSGVO. Danach wird bei der Festlegung der Höhe des Bußgeldes berücksichtigt, ob bereits frühere Verstöße des Verantwortlichen bei der Aufsichtsbehörde bekannt sind. Bei einer Unternehmenstransaktion tritt der Käufer an die Stelle des bisherigen datenschutzrechtlichen Verantwortlichen. Insofern muss er sich die Datenschutzverstöße seines Vorgängers bei der Bemessung eines Bußgeldes gemäß Art. 83 Abs. 2 lit. e) DSGVO zurechnen lassen. In diesem Lichte ist bei der Durchführung einer Due-Diligence-Prüfung insbesondere darauf zu achten, ob gegen das zu prüfende Unternehmen in der Vergangenheit bereits Bußgelder verhängt wurden.
2. Schadensersatz
42
Ein weiteres Novum der DSGVO liegt darin, dass die Verordnung den Betroffenen bei Datenschutzverstößen gemäß Art.
