personenbezogenen Informationen verbunden, hat dies zur Konsequenz, dass unweigerlich der gesamte Datensatz den Datenschutzvorschriften unterliegt.147 Daher ist trotz der in Erwägungsgrund 14 Satz 2 genannten Ausnahme auch bei juristischen Personen im Einzelfall zu prüfen, ob Informationen ggf. auf natürliche Personen der juristischen Person „durchschlagen“.148 Dies trifft jedenfalls auf einen Gesellschafter einer Ein-Mann-GmbH oder einen Einzelunternehmer zu.149
Bspw. werden in einem sog. Customer-Relationship-Management-System (CRM-System – oder zu Deutsch: System zum Kundenbeziehungsmanagement oder zur Kundenpflege)150, auf das häufig Unternehmen in der Praxis aufgrund der Vielzahl und Vielfalt der potenziell zu erhebenden Kundendatensätze zurückgreifen,151 solche Daten, denen ein Personenbezug fehlt, mit personenbezogenen Daten kombiniert.152 Der Nutzen eines CRM-Systems liegt darin, dass sämtliche Daten von Kunden, einschließlich aller vertragsbezogener Kundendaten, unter Einhaltung strenger datenschutzrechtlicher Vorgaben systematisch gesammelt, verwaltet und dokumentiert werden können.153 Eine solche Kundendatenbank dient vor allem der Optimierung der Geschäftsbeziehung sowie der Pflege des Verhältnisses und aller interaktiven Prozesse mit Kunden, Anbietern und Partnern, um entsprechende Pflichten optimal erfüllen zu können.154 Der Aufbau und Erhalt einer Bindung zum Kunden mithilfe eines CRM-System gilt deshalb als Grundpfeiler des (Beziehungs-)Marketings eines Unternehmens.155 Werden Daten ohne Personenbezug mit personenbezogenen Daten in einer Datenbank zusammengefasst, sind sie aus datenschutzrechtlicher Sicht nicht mehr getrennt voneinander zu betrachten. Aufgrund der Kombination der Daten in einem System können sich vormals Daten ohne Personenbezug ohne weiteres auch auf eine identifizierte oder identifizierbare Person beziehen. Dies hat meist zur Folge, dass der gesamte Datenbestand in einem CRM-System personenbezogen ist. Wenn also Geschäftskundendaten nur als Bestandteil eines Datensatzes dem CRM-System zugeführt werden, reicht dies bereits für das Vorliegen der Personenbeziehbarkeit aus.156 Nicht selten kommt es zu dem Fall, dass ein gesamtes CRM-System bei einer Transaktion zu übertragen ist. Infolge des wahrscheinlichen Personenbezugs eines CRM-Systems ist daher im Rahmen der datenschutzrechtlichen Bewertung der Übertragbarkeit von Kundendaten bei Unternehmenstransaktion auch dieser Aspekt zu berücksichtigen.
Letztendlich können zwar auch Kundendaten aus dem Geschäftskundenbereich von wirtschaftlichem Nutzen sein, jedoch sind meist private Endkunden von entscheidender Attraktivität für den Erwerber eines Unternehmens. Geht es um die Anwendung datenschutzrechtlicher Normen, sind ferner Privatkundendaten insoweit von hoher Relevanz, als die Verarbeitung von Privatkundendaten hohe Risiken für den Schutz natürlicher Personen birgt.157
b. Privatkundendaten
Die bereits erläuterte Personenbeziehbarkeit von Privatkundendaten ist nicht von der Hand zu weisen. Im Privatkundenbereich weisen selbst einzelne nicht personenbezogene Daten (wie etwa Produktdaten, Daten zu Fristen etc.) immer einen Personenbezug auf, da sie im Grunde nie isoliert von der dazugehörigen natürlichen Person gespeichert werden. Nicht nur der Name des Kunden, sondern auch Informationen zur natürlichen Person, wie etwa die Kundennummer, Adresse oder Kontoinformationen können einen Personenbezug herstellen.158 Dies hat zur Folge, dass grundsätzlich der gesamte Datensatz einer Privatkundendatenbank dem Datenschutzregime der DSGVO unterliegt.159 Das Datenschutzrecht wird daher in Bezug auf Privatkundendaten seiner Funktion als Verbraucherschutzrecht in vollem Umfang gerecht.160 Beim Privatkunden handelt es sich regelmäßig zugleich um die betroffene Person i.S.v. Art. 4 Nr. 1 DSGVO.161
Privatkundendaten können nach ihrem Inhalt differenziert werden.162 Unternehmen speichern Daten sowohl aus laufenden als auch aus vergangenen Verträgen mit dem Kunden. Bei bestehenden Vertragsverhältnissen sind personenbezogene Daten des Kunden unabdingbar, um etwaige Forderungen geltend zu machen oder die jeweiligen Verbindlichkeiten erfüllen zu können.163 Solche Daten, die zur Durchführung eines Vertrages erforderlich sind, reichen vom Namen, der Anschrift, E-Mail-Adresse, des Geburtsdatums oder den Zahlungsinformationen164 bis hin zu konkreten Angaben zur Leistung, also etwa eine Bestellübersicht.165 Daneben werden von Unternehmen auch personenbezogene Daten von Kunden gespeichert, mit denen in der Vergangenheit Verträge abgewickelt wurden, aber keine aktuelle Vertragsbeziehung mehr besteht. Das Unternehmen hat ein großes Interesse daran, die personenbezogenen Daten dieser sog. Bestandskunden fortlaufend in ihrem Datenbestand zu verwalten, um sie weiterhin bewerben und bestenfalls erneut zum Vertragsabschluss bewegen zu können.166 Solche personenbezogenen Daten, die Auskunft über die vollständige Kundenhistorie geben, sind deshalb besonders wertvoll für das Unternehmen.
Außerdem verfügt das Unternehmen meist abseits solcher bestehenden Vertragsdaten des Kunden über weitere personenbezogene Daten aus sonstigen Geschäftskontakten und zwar unabhängig davon, ob ein Schuldverhältnis besteht oder nicht. Jenseits der klassischen Vertragsdaten sind die von einem Unternehmen über einen Kunden gespeicherten Daten sehr vielfältig (bspw. Interaktionsdaten zwischen Unternehmen und Kunden, Daten zu persönlichen Einstellungen). Ein Unternehmen ist stets bestrebt, Kundendatensätze in datenschutzrechtlich rechtmäßiger Weise mit weiteren Informationen anzureichern, um den größten Nutzen aus der Kundenbeziehung zu ziehen.167 Häufig werden Auswertungen durchgeführt, die sich auf das Nutzungsverhalten des Kunden beziehen. Die geschilderten CRM-Systeme dienen dabei als Grundlage für die Erstellung von Kundenprofilen.168 Personenbezogene Daten können nämlich nicht nur Tatsachen sein, sondern auch subjektiven Einflüssen unterliegen.169 So sind insbesondere Meinungen, Beurteilungen oder Prognosen über eine natürliche Person von wirtschaftlicher Relevanz für ein Unternehmen, die bspw. Aufschluss über die Zahlungsfähigkeit eines Kunden oder sein zukünftiges Kaufverhalten geben.170 Dieses sog. Profiling, bei dem personenbezogene Daten hinsichtlich bestimmter persönlicher Aspekte der betroffenen Person ausgewertet werden, führen Unternehmen oft zu Marketingzwecken oder zum Zwecke der Verhaltens- und Meinungsbeeinflussung durch.171 Ein Sonderfall stellt das Scoring dar, wodurch die Kreditwürdigkeit des Kunden beurteilt wird.172 Die dadurch erfassten Daten können sich auch auf betroffene Personen beziehen, mit denen erst noch eine Geschäftsbeziehung angebahnt wird. Zum Kundendatenschutz zählen im weitesten Sinne eben auch Daten über potenzielle Neukunden.173
Letztendlich verfügen daher vor allem Unternehmen, die im Verbraucherverkehr tätig sind, über Massen an personenbezogenen Daten über ihre Kunden, die nach den Anforderungen der DSGVO während einer Transaktion zu übertragen sind.
c. Besondere Kategorien personenbezogener Kundendaten
Besondere Kategorien personenbezogener Daten von Kunden sind darüber hinaus besonders zu schützen, da bei ihrer Verarbeitung für gewöhnlich erhebliche Risiken für die Grundrechte und Grundfreiheiten bestehen können (Erwägungsgrund 51 Satz 1). Gem. Art. 9 Abs. 1 DSGVO handelt es sich hierbei um solche personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie um genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Unternehmen ist es grundsätzlich untersagt, diese zu verarbeiten (vgl. Art. 9 Abs. 1 DSGVO), es sei denn, eine der restriktiven Verarbeitungsbefugnisse nach Art. 9 Abs. 2 DSGVO liegt vor.174 Im nicht-öffentlichen Bereich wird es daher zumeist auf eine Einwilligung des Kunden gem. Art. 9 Abs. 2 lit. a DSGVO ankommen, um eine Verarbeitung solcher ‚sensiblen‘ Kundendaten seitens der Unternehmen zu legitimieren.
Die Verarbeitung besonderer Kategorien personenbezogener Daten von Kunden kann u.a. in der Gesundheitsindustrie, Versicherungsbranche oder der Erotikindustrie von Relevanz sein.175 Abgesehen davon handelt es sich jedoch bei einem Großteil der in einem Unternehmen verarbeiteten ‚sensiblen‘ Daten um solche der eigenen Mitarbeiter.
3. Beschäftigtendaten
Neben den Kundendaten machen die Informationen über die Mitarbeiter einen wichtigen Teilbereich der Daten im Unternehmen aus. Diese Beschäftigtendaten betreffen
