daher als Bezugspunkt dafür heranzuziehen, die Rechtmäßigkeit von Datenverarbeitungen zu beurteilen. Dennoch enthält die DSGVO für Unternehmen an anderen Stellen einzelne sowohl privilegierende als auch verschärfende Konsequenzen.232 Dabei impliziert der Begriff des Unternehmens ohnehin eine Verarbeitung von personenbezogenen Daten, denn andernfalls wäre der Anwendungsbereich der DSGVO erst gar nicht eröffnet.
c. Der Verantwortliche
Anders als der Unternehmensbegriff geht die Frage, wer rechtlich für die Einhaltung und Umsetzung der Datenschutzanforderungen verantwortlich ist, mit der Bestimmung des Verantwortlichen einher, denn der Begriff dient dazu, „Verantwortung zuzuweisen“.233 Für jede Verarbeitungstätigkeit soll eine Rechtsperson Verantwortung übernehmen.234 Primär wird durch die zentrale Rolle des Verantwortlichen aber nicht nur festgelegt, wem die Pflicht zur Einhaltung der Vorgaben der DSGVO und deren Nachweis auferlegt wird (vgl. Art. 24 DSGVO), sondern auch gegenüber wem betroffene Personen und Behörden ihre etwaigen datenschutzrechtlichen Ansprüche und anderen Begehren geltend machen können.235
Nach der Definition des Art. 4 Nr. 7 DSGVO, die wortgleich aus der EU-Datenschutzrichtlinie übernommen wurde, gilt jede natürliche oder juristische Person als Verantwortlicher, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.236 Grundsätzlich ist der Begriff extensiv auszulegen, denn das Ziel dieser Bestimmung liegt darin, einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.237 Das wesentliche Merkmal eines Verantwortlichen ist dessen Entscheidungsmöglichkeit über die Zwecke und Mittel der Verarbeitung.238 Statt auf formale Kriterien kommt es vielmehr auf die tatsächliche Entscheidungsfähigkeit über und den faktischen Einfluss auf die Verarbeitungsvorgänge an sich an.239 Als Verantwortlicher gilt daher derjenige, der die eigentliche Kontrolle über die Verarbeitung innehat.240
Aus datenschutzrechtlicher Perspektive ist ferner eine Abgrenzung des Verantwortlichen zu anderen Akteuren erforderlich, wie sie in der Negativdefinition des Dritten i.S.v. Art. 4 Nr. 10 DSGVO genannt werden.241 Als Dritter gilt insbesondere jede natürliche oder juristische Person, die nicht betroffene Person, Verantwortlicher oder Auftragsverarbeiter ist. Außerdem werden von der Definition des Dritten solche Personen ausgeschlossen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten. Solche Dritte gehören in der datenschutzrechtlichen Organisation nicht dem Verantwortlichen oder Auftragsverarbeiter an, da sie funktionell für sich selbst arbeiten, jedoch (unabhängig von ihrer arbeitsrechtlichen Zuordnung) den fachlichen Weisungen unterstellt sind (bspw. freiberufliche Mitarbeiter).242 Folgerichtig bedeutet dies für das Merkmal des Verantwortlichen, dass grundsätzlich jeder Dritter, der von einem anderen dieselben personenbezogenen Daten empfängt, selbst zum tätigen Verantwortlichen gegenüber der betroffenen Person wird, vorausgesetzt, die weiteren Anforderungen zur Begründung der Verantwortlichkeit liegen vor.243
d. Zwischenergebnis: Der Begriff des Zielunternehmens
Angesichts des umfangreichen Schutzzwecks der DSGVO ist zwar das datenschutzrechtliche extensive Verständnis des Unternehmensbegriffs, das der europäische Gesetzgeber in Art. 4 Nr. 18 DSGVO aufgegriffen hat, durchaus begrüßenswert. Die Legaldefinition ist jedoch im Hinblick auf diejenigen maßgeblichen Konturen wenig ergiebig, die ein unternehmerisches Handeln prägen und konkretisieren. Im Zusammenhang mit Unternehmenstransaktionen muss der Schwerpunkt ein anderer sein. Gegenstand der Übertragung ist nicht nur die unternehmerische Tätigkeit als solche, sondern vielmehr das Unternehmen als organisierte und betriebsfähige Wirtschaftseinheit, durch deren Gesamtheit die unternehmerische Tätigkeit erst ausgeübt werden kann.244
Zusammenfassend lässt sich festhalten, dass weder jedes Unternehmen als Verantwortlicher im datenschutzrechtlichen Sinn gilt noch jeder Verantwortlicher ein Unternehmen ist: Bspw. ist ein gemeinnütziger Verein zwar kein Unternehmen, er kann aber trotzdem verantwortlich für eine Datenverarbeitung sein. Nur sofern ein Unternehmen personenbezogene Daten verarbeitet, gilt es als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO. Da aber heutzutage nahezu jedes Unternehmen in irgendeiner Art und Weise personenbezogene Daten verarbeitet, ist Prämisse der nachfolgenden rechtlichen Untersuchung, dass die betreffenden Unternehmen datenverarbeitend auf dem Markt tätig sind. Auch wenn es auf die Wirtschaftlichkeit der Tätigkeit nur für den datenschutzrechtlichen Unternehmensbegriff, nicht aber für die Begriffsbestimmung des Verantwortlichen ankommt, werden nachfolgend nur solche Unternehmen erfasst, die Datenverarbeitungsprozesse mit Kundendaten durchführen und daher als Verantwortliche gelten.
Dieses Unternehmensverständnis vorausgesetzt, gilt unabhängig davon, in welchem Wege das Unternehmen erworben wird, immer das Unternehmen selbst als Verantwortlicher und nicht die einzelnen Gesellschafter,245 auch dann, wenn bei einem Share Deal nicht der Verantwortliche selbst als Veräußerer auftritt.246 Diese Auslegungsweise lässt sich darauf zurückzuführen, dass die datenschutzrechtliche Verantwortlichkeit die juristische Person betrifft, während in der Regel die Verantwortungszuweisung zu einzelnen natürlichen Personen im Unternehmen nur bedingt erfolgen kann.247 Zwischen dem Unternehmen und dem potenziellen Erwerber bestehen hingegen vor Beginn der Unternehmenstransaktion bei jeder Gestaltungsform getrennte Verantwortlichkeiten. Im Verhältnis zum betroffenen Kunden ist der Erwerber im Vorfeld einer Unternehmenstransaktion als Dritter i.S.v. Art. 4 Nr. 10 DSGVO zu qualifizieren. Erst wenn der Erwerber tatsächlich die Kundendaten erlangt hat, kann auch er gegenüber dem Kunden für die Rechtmäßigkeit der Verarbeitung verantwortlich werden.
Ausgehend von diesem komplexen und weiten Unternehmensbegriff handelt es sich beim sog. Zielunternehmen immer um das Objekt, das Ziel der Transaktion ist, unabhängig von seiner Rechtsform oder der zwischen den Beteiligten vereinbarten Transaktionsstruktur.248 Das zu erwerbende Unternehmen wird dabei in seiner komplexen Gesamtheit erfasst. Für das Zielunternehmen muss in diesem Kontext vorausgesetzt werden, dass es personenbezogene Kundendaten verarbeitet, also als ‚das datenschutzrechtlich verantwortliche Zielunternehmen‘ zu bewerten ist. Während des Geschäftsbetriebs, aber noch vor einer Unternehmenstransaktion, verfolgt das Zielunternehmen mit der Verarbeitung der Kundendaten eigene Zwecke und ist insoweit als alleiniger Verantwortlicher einzustufen.
2. Abgrenzung zu datenschutzrelevanten Übermittlungen innerhalb oder zwischen Unternehmen
Grundsätzlich hat der europäische Gesetzgeber die Bedeutung und Notwendigkeit von Datenflüssen von einem zum anderen Unternehmen erkannt und an mehreren Stellen in der DSGVO aufgegriffen. Innerhalb eines Unternehmens gehören vor allem die Weitergabe und der Austausch von personenbezogenen Daten zum täglichen Geschäft, sodass diese Vorgänge von hoher praktischer Relevanz sind.249 Gleichwohl lagern Unternehmen immer häufiger einige ihrer Datenverarbeitungsprozesse an externe Dienstleister aus, weshalb auch Datenströme nach außen zunehmen. Solche Datenübermittlungen innerhalb oder zwischen Unternehmen sind aber datenschutzrechtlich anders zu bewerten als solche im Rahmen von Unternehmenstransaktionen. Derjenige, der für die Verarbeitung im Rahmen von Unternehmenstransaktionen als Verantwortlicher gilt, ist im Folgenden daher vor dem Hintergrund solcher komplexen Unternehmensstrukturen und -bündnisse von anderen datenschutzrechtlichen Konzepten und Rechtsfiguren abzugrenzen.
a. Fehlendes Konzernprivileg
Die DSGVO verschließt sich grundsätzlich gegenüber einer Privilegierung des Umgangs mit personenbezogenen Daten in einem Unternehmensverbund, sodass jede unternehmerische Verarbeitung dem Verbot mit Erlaubnisvorbehalt nach Art. 6 Abs. 1 DSGVO unterliegt. Ein sog. „Konzernprivileg“, dessen Annahme innerhalb oder zwischen Unternehmen zu erleichterten Voraussetzungen für eine Übermittlung von personenbezogenen Daten führen würde, wurde wie auch schon in der Vergangenheit nicht vom europäischen Gesetzgeber eingeführt.250 Stattdessen sind nach der DSGVO die einzelnen an einem Konzern beteiligten Unternehmen zueinander wie Dritte
