bestimmt sowohl den abstrakten als auch konkreten Rahmen der Datenübermittlung. Überdies besteht die Verfügungshoheit über die Kundendaten meist nur einseitig: bis zum Vollzug der Transaktion geht sie vom Zielunternehmen aus und erst anschließend gewinnt der Erwerber die vollständige Datenhoheit. Aus diesem Grund ist der Erwerber nicht an der Entscheidung über die Zwecke und Mittel der Verarbeitung beteiligt. Es fehlt also an einer beidseitigen tatsächlichen Einflussnahme auf den Verarbeitungsvorgang.280 Als Außenstehender ist der Erwerber vielmehr auf die Kooperation des Veräußerers angewiesen: Bspw. um einen Einblick in die Daten in der Due Diligence zu erlangen; zudem muss der Veräußerer selbst den Anstoß zum Transfer der Daten aus dem eigenen Datenbestand heraus geben. Deshalb kann der Erwerber während der Transaktion weder konkrete Kriterien der Verarbeitung festlegen, noch mangels Kenntnis die Kategorien von Personen bezeichnen, deren personenbezogene Daten erworben werden.281 Auf ein arbeitsteiliges Zusammenwirken der Parteien wird es bei Unternehmenstransaktionen daher nur in wenigen Fällen hinauslaufen, wie etwa kurzweilig nach erfolgtem Vollzug der Transaktion, sofern dies zur vollständigen Integration der Datensätze angesichts der besonderen Umstände des Einzelfalls erforderlich ist.282 Grundsätzlich steuern aber die Verantwortlichen nicht gleichberechtigt die Abläufe, sodass die Annahme einer kollaborativen Datenverarbeitung während des Prozesses einer Unternehmenstransaktion in der Gesamtheit zu verneinen ist.
Da die DSGVO keine weiteren Rechtsinstitute bereitstellt, spielt nur die Bestimmung des datenschutzrechtlich verantwortlichen Unternehmens im Verlaufe einer Unternehmenstransaktion die maßgebende Rolle. Bis die Transaktion vollendet ist, hat daher nur das Zielunternehmen nach außen für die Einhaltung aller datenschutzrechtlicher Vorgaben einzustehen.
110 Ausnahmen hiervon sind in Art. 2 Abs. 2 bis 4 DSGVO geregelt. 111 Der Wortlaut des Art. 4 Nr. 2 DSGVO deutet wegen des Wortes „jeder“ Vorgang und der anschließenden Aufzählung unterschiedlichster Verarbeitungstätigkeiten („wie“) auf einen rein exemplarischen Charakter der Legaldefinition hin; auch der Wortlaut der englischen Sprachfassung bestätigt diese Auslegung („any operation“/„such as“); vgl. im Ergebnis auch Krohm/Müller-Peltzer, RDV 2016, 307 (310); Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330; Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 20. 112 So auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 2, Rn. 1. 113 Voigt/von dem Bussche, DSGVO, S. 11; Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 330. 114 Voigt/von dem Bussche, DSGVO, S. 12; ebd. ausführlich zu automatisierten und manuellen Verarbeitungsvorgängen. 115 Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 29. 116 Schild, in: Wolff/Brink, Datenschutzrecht, Artikel 4 DS-GVO, Rn. 50. 117 Vgl. Herbst, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 2, Rn. 30. 118 Dieses Verständnis steht auch im Einklang mit dem Lindqvist-Urteil des EuGH zur EU-Datenschutzrichtlinie (EuGH, Rs. 101/01, Lindqvist, ECLI:EU:C:2003:596), wonach zwar der EuGH zur Bestimmung des Übermittlungstatbestandes nicht auf die Perspektive des Verantwortlichen abstellt, aber jedenfalls dann eine Übermittlung ablehnt, wenn personenbezogene Daten einer Internetseite auf einen Server hochgeladen werden, ohne dass ein Internetnutzer tatsächlich die betreffende Internetseite aufgerufen hat. Nach der hier vertretenen Auffassung würde dies ebenfalls keine Offenlegung durch Übermittlung nach der DSGVO darstellen, da diejenige Person, die die personenbezogenen Daten auf eine Internetseite hochgeladen hat, immer noch auf die Daten einwirken (und sie bspw. verändern) kann, weil sie weiterhin ihrer Sphäre zugeordnet werden können. 119 Krohm/Müller-Peltzer, RDV 2016, 307 (310). 120 Vgl. Härting, Datenschutz-Grundverordnung, Teil B, S. 84, Rn. 331. 121 Gola, in: Gola, DSGVO, Art. 4, Rn. 31. 122 Krohm/Müller-Peltzer, RDV 2016, 307 (310f.). Ob hingegen die Formulierung in Art. 6 Abs. 1 DSGVO, dass eine Verarbeitung nur rechtmäßig sei, „wenn“ eine der genannten Bedingungen erfüllt ist, statt der Verwendung des Wortes „soweit“, tatsächlich darauf hindeutet, dass die Bewertung der Zulässigkeit einer Verarbeitung nicht mehr in einzelnen Phasen erfolgen soll, kann nicht eindeutig beantwortet werden. Zwar wurde 2001 im BDSG a.F. „wenn“ durch „soweit“ ersetzt, was genau Gegenteiliges bezwecken sollte (also die Klarstellung der Rechtfertigungsbedürftigkeit jedes einzelnen Verarbeitungsschrittes). Es blieb aber fraglich, ob das BDSG a.F. nicht europarechtskonform hätte ausgelegt werden müssen, da in Art. 7 EU-Datenschutzrichtlinie von „wenn“ die Rede ist. Welche Bedeutung der europäische Gesetzgeber dieser Formulierung beigemessen hat, wird allerdings nicht deutlich. 123 Krohm/Müller-Peltzer, RDV 2016, 307 (311). 124 Zu Daten und Informationen Schmitz, ZD 2018, 5 (6). 125 So etwa Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7, wonach ausdrücklich der Wortlaut des Art. 2 lit. a EU-Datenschutzrichtlinie „eine großzügige Auslegung“ verlangt. Abgesehen davon erfolgte die Wortlautänderung der Definition des personenbezogenen Datums in der deutschen Fassung im Gegensatz zur alten Rechtslage lediglich aus redaktionellen Gründen, dazu Krügel, ZD 2017, 455 (455). 126 Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 8; zum personenbezogenen Datum i.S.d. EU-Datenschutzrichtlinie, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 8. 127 Kritisch im Hinblick auf technologische Entwicklungen, die für eine Identifizierung eingesetzt werden könnten Krügel, ZD 2017, 455 (456). 128 Vertreter der Theorie des absoluten Personenbezugs stellen auf die objektive Möglichkeit ab, dass durch die Anwendung eines Mittels oder von Zusatzwissen Dritter die betroffene Person bestimmt werden kann und zwar unabhängig davon, wer tatsächlich das Mittel anwendet oder über das Zusatzwissen verfügt, so etwa Pahlen-Brandt, DuD 2008, 34 (38); Düsseldorfer Kreis, Beschluss „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ vom 26./27. November 2009; Heidrich/Wegener, DuD 2010, 172 (174). Nach dem relativen Ansatz ist für die Bewertung der Bestimmbarkeit einer betroffenen Person entscheidend, ob die konkret verarbeitende Stelle selbst mit den ihr zur Verfügung stehenden Hilfsmitteln bzw. mit ihrem eigenen Zusatzwissen und ohne unverhältnismäßigen Aufwand den Bezug zu einer natürlichen Person herstellen kann; so etwa Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO, Rn. 20; Dammann, in: Simitis, BDSG a.F., § 3, Rn. 32; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 10; Köcher, MMR 2007, 799 (801). Zur kursorischen Übersicht des Streits in Bezug auf das BDSG a.F. siehe u.a. Herbst, NVwZ 2016, 902 (902ff.); Bergt, ZD 2015, 365 (365ff.); Brink/Eckhardt, ZD 2015, 205 (205ff.). 129 So auch Hofmann/Johannes, ZD 2017, 221 (222); Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26. 130 EuGH, Rs. 582/14, Breyer vs. BRD, ECLI:EU:C:2016:779. Im Grundsatz ging es um die Auslegung der mit Art. 4 Nr. 1 DSGVO übereinstimmenden Definition in Art. 2 lit. a EU-Datenschutzrichtlinie. Der EuGH entschied, „dass eine dynamische IP-Adresse [...] für den Anbieter [von Online-Mediendiensten] ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen
