b. Erforderlichkeit
Um eine Verarbeitung personenbezogener Daten zu legitimieren, bedarf es zweitens der Erforderlichkeit der Datenverarbeitung, um das berechtigte Interesse zu verwirklichen.205 Das Merkmal der Erforderlichkeit, unter dessen Vorbehalt – mit Ausnahme der zulässigen Datenverarbeitung infolge einer Einwilligung – sämtliche Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO stehen, trägt den Anforderungen der allgemeinen Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO Rechnung.206 So ist die Datenverarbeitung auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO nur dann erforderlich, wenn keine milderen Maßnahmen zur Verfügung stehen, die dem verfolgten Ziel dienen würden.207 Entscheidend dabei ist, dass das Unternehmen über keine zumutbare Alternative zur betreffenden Datenverarbeitung verfügt, um das konkrete Ziel zu erreichen. Deshalb reicht die bloße Dienlichkeit der Datenverarbeitung zur Zweckerfüllung gerade nicht aus.208
c. Abwägung
Drittens muss eine Abwägung der jeweiligen gegenüberstehenden Interessen und Rechte stattfinden,209 bei der schließlich die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen dürfen.210 Hier sind vor allem zwei Aspekte zu erwägen: einerseits die zugrundeliegenden Motive, die das berechtigte Interesse des Verantwortlichen an der konkreten Datenverarbeitung begründen, und andererseits die Auswirkungen der Datenverarbeitung auf die betroffene Person, einschließlich des drohenden Grades der Beeinträchtigung für ihre Rechte und Freiheiten.211 In der Bewertung müssen mögliche Faktoren, wie etwa die Art und Weise der Verarbeitung, die vernünftigen Erwartungen der betroffenen Person an die Verarbeitung oder die Beziehung zwischen dem Verantwortlichen und der betroffenen Person Berücksichtigung finden (vgl. Erwägungsgrund 47).212 Insbesondere ist von erheblicher Bedeutung, dass die Umstände der Verarbeitung zum Zeitpunkt der Erhebung der personenbezogenen Daten abzusehen sind (Erwägungsgrund 47 Satz 3). Hingegen soll der Umstand, dass der Verantwortliche die sonstigen Vorschriften der DSGVO einhält, keinen Einfluss auf die Abwägung haben, es sei denn, der Verantwortliche kann aufgrund von konkreten Umständen des Einzelfalls durch die Implementierung von technischen und organisatorischen Maßnahmen ein weitaus höheres Schutzniveau als das angemessene Maß gewährleisten.213
Ein standardisiertes Vorgehen verbietet sich dennoch, denn dem EuGH ist zuzustimmen, dass die Abwägung „grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt“214. Der europäische Gesetzgeber hat sich insofern mit der Konzeption eines offenen Abwägungstatbestandes, den Art. 6 Abs. 1 lit. f DSGVO verkörpert, an die einst vom EuGH aufgestellten Vorgaben gehalten. Danach darf das Ergebnis der Abwägung nicht abschließend vorgeschrieben werden, „ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt“215. Überwiegen im Ergebnis der Interessenabwägung letztendlich die Interessen der betroffenen Person gegenüber denjenigen des Verantwortlichen oder des Dritten, kann die Datenverarbeitung nicht nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden.216
d. Zwischenergebnis
Eine der größten Herausforderungen der praktischen Anwendung des Datenschutzes ist es, dass das normanwendende Unternehmen selbst unmittelbar die Abwägung vornimmt und dabei auch die Perspektive des Kunden einnehmen muss. Dazu hat es die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (vgl. Erwägungsgrund 47 Satz 1 und 3)217 und nach einem gemischt subjektiv-objektiven Maßstab die gegenüberstehenden Interessen und Rechte zu gewichten.218 Es besteht die Gefahr, dass Unternehmen aus wirtschaftlichen Gründen dazu tendieren, auf Kosten der Rechte und Freiheiten des Kunden an die Grenzen der rechtlichen Zulässigkeit zu gehen.219
Die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO bietet den Behörden und Gerichten in ihrer ex-post-Betrachtung hingegen große Flexibilität, was sich – anders als für private Datenverarbeiter – durchaus vorteilhaft in der Anwendung eines progressiven Datenschutzrechts auswirkt.220 Auch wenn oftmals aufgrund der umfangreichen Interessenabwägung im Einzelfall eine rechtssichere Bewertung der konkreten Verarbeitungstätigkeit nicht möglich ist, soll im Nachfolgenden im Grundsatz herausgearbeitet werden, ob die Verarbeitung der Kundendaten bei Unternehmenstransaktion insbesondere für die Wahrung der berechtigten Interessen der Unternehmen tatsächlich erforderlich ist und welche Eingriffsintensität dabei in Bezug auf die Interessen oder Grundrechte und Grundfreiheiten der Kunden zu erwarten ist.
IV. Der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure
Wenn von Unternehmenstransaktionen die Rede ist, muss vorab erläutert werden, was unter dem Begriff des Unternehmens zu verstehen ist. In erster Linie kommt es dabei darauf an, welche datenschutzrechtlichen Institute der DSGVO auf Unternehmen angewandt werden können.
1. Das datenschutzrechtlich verantwortliche (Ziel-)Unternehmen
a. Der Begriff des Unternehmens im Allgemeinen
Als Anknüpfungspunkt, um das Objekt einer Transaktion zu bestimmen, dient zunächst der Begriff des Unternehmens.
Einen einheitlichen Unternehmensbegriff kennt weder das deutsche Recht, noch existiert dieser im ökonomischen Sinne.221 Aus betriebswirtschaftlicher Perspektive wird das Unternehmen als eine ökonomische Einheit der Gesamtwirtschaft betrachtet, das zu Erwerbszwecken auf eigene Rechnung und Gefahr betrieben wird.222 Ein juristischer Unternehmensbegriff hingegen muss im Hinblick auf den jeweiligen Normzweck eines Gesetzes wandelbar sein.223 Wenngleich dem BGH aus diesem Grund keine allgemein gültige Begriffsdefinition gelingen kann (oder konnte),224 wird dennoch gemeinhin unter Unternehmen eine organisierte und betriebsfähige Wirtschaftseinheit verstanden, die dem Unternehmer das Auftreten am Markt ermöglicht.225 Das Unternehmen als solches ist somit kein einheitliches Rechtsobjekt, sondern setzt sich aus einer komplexen Gesamtheit zusammen: aus körperlichen, beweglichen und unbeweglichen Sachen, jeglichen Rechten, tatsächlichen Beziehungen und Erfahrungen sowie unternehmerischen Handlungen, wie etwa im Einzelnen der betrieblichen Organisation, den Absatzmöglichkeiten einschließlich des Kundenkreises, den Geschäftsgeheimnissen und dem ‚Goodwill‘ (Ruf des Unternehmens bei Mitarbeitern, Vertragspartnern und in der Öffentlichkeit).226
Zwar weist der Unternehmensbegriff Unschärfen auf, jedoch erlauben erst diese, die Komplexität und Individualität eines Unternehmenskonstrukts zu begreifen. Im Unternehmensprivatrecht ist das Unternehmen daher die Summe seiner gesamten Vermögensgegenstände und wird als organisierte, am Markt wirkende Wirtschaftseinheit verstanden.227 Das dazugehörige Rechtssubjekt bildet jedoch der Unternehmensträger, der bei Unternehmenstätigkeiten der Inhaber der zum Unternehmen gehörenden Rechte und Pflichten ist.228
b. Der datenschutzrechtliche Unternehmensbegriff
Der datenschutzrechtliche Unternehmensbegriff in Art. 4 Nr. 18 DSGVO greift ebenfalls das Merkmal der Wirtschaftlichkeit auf. Die Definition des Unternehmens ist nicht an eine bestimmte Rechtsform geknüpft, sondern lediglich an das Merkmal der Ausübung einer wirtschaftlichen Tätigkeit durch eine natürliche oder juristische Person.229 Nach europarechtskonformer Auslegung gilt jedes Anbieten von Gütern oder Dienstleistungen auf einem bestimmten Markt als wirtschaftliche Tätigkeit.230 So sollen keine natürlichen Personen, die ausschließlich persönliche oder familiäre Datenverarbeitungstätigkeiten ausüben, vom datenschutzrechtlichen Unternehmensbegriff erfasst werden, vgl. Art. 2 Abs. 2 lit. c DSGVO.231
Es ist bemerkenswert, dass jeglicher Bezug zu einer datenverarbeitenden Tätigkeit fehlt. Wird der datenschutzrechtliche Unternehmensbegriff aber unter Berücksichtigung des Gesetzeszwecks der DSGVO begriffen, ist dieser Ansatz
