Название:
Автор:
Жанр:
Серия:
Издательство:
DSGVO wird daran angeknüpft, denn IP-Adressen können personenbezogene Daten i.S.d. DSGVO darstellen, da laut Erwägungsgrund 30 IP-Adressen (und auch Cookie-Kennungen), die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen einem Nutzer zugeordnet werden, dazu geeignet sind Spuren zu hinterlassen, die dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. 131 Vgl. Hofmann/Johannes, ZD 2017, 221 (224). 132 Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 10. 133 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 3. 134 M.w.N. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 281; im Ergebnis auch Klar/Kühling, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 1, Rn. 26, der aber hinsichtlich der Nutzung der Mittel durch einen Dritten dahingehend differenziert, ob Daten vom Verantwortlichen an den Dritten weitergegeben wurden oder, falls dies nicht der Fall ist, ob der Verantwortliche über rechtliche Mittel verfügt, um sich einen Zugriff auf die Daten des Dritten zu verschaffen; a.A. Buchner, DuD 2016, 155 (156), der von einem absoluten Verständnis in der DSGVO ausgeht; zu dieser Auffassung tendierend auch Härting, ITRB 2016, 36 (37). 135 Hofmann/Johannes, ZD 2017, 221 (223). 136 Roßnagel/Kroschwald, ZD 2014, 495 (497); Roßnagel, Europäische Datenschutz-Grundverordnung, § 3, Rn. 9. 137 Dazu ausführlich u.a. Boehme-Neßler, DuD 2016, 419 (419ff.); Härting, ITRB 2016, 36 (37); Härting/Schneider, CR 2015, 819 (822). 138 Hofmann/Johannes, ZD 2017, 221 (224f.) im Hinblick auch auf die Auslegung des Begriffs der Verfügbarkeit i.S.d. Stands der Technik. 139 Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 273. 140 Vgl. Büllesbach, in: Roßnagel, Handbuch Datenschutzrecht, Kapitel 7.1, Rn. 28. 141 Auf diese wirtschaftliche Werthaltigkeit von Kundendaten stellt auch das BayLDA ab, vgl. Bayerisches Landesamt für Datenschutzaufsicht, Pressemitteilung vom 30.07.2015. 142 Wehmeyer, PinG 2016, 215 (217); zum vormaligen „Listenprivileg“ nach dem BDSG a.F. Härting, Datenschutz-Grundverordnung, Teil B, S. 114f., Rn. 467ff. 143 Die Bezeichnung der Geschäftskundendaten als ‚Lieferantendaten‘ ist insofern zu repressiv und missverständlich, als damit nur eine Art einer Geschäftsbeziehung bezeichnet wird (die der Lieferung von Waren). Vielmehr gelten jegliche Vertragspartner eines Unternehmens allgemein als Geschäftskunden, die nicht Privatkunden sind (Firmenkunden fallen ebenso unter den hier verwendeten Begriff der Geschäftskundendaten). 144 Ausführlich zur Auslegung und der Auswirkungen des Erwägungsgrundes 14 und der Frage, inwieweit die auf eine juristische Person bezogenen Informationen im Hinblick auf den Erwägungsgrund 14 vom Anwendungsbereich der DSGVO ausgeschlossen werden siehe Gola, K&R 2017, 145 (146f.). Der Autor ist der Auffassung, dass der Name, die Rechtsform und die Kontaktdaten der juristischen Person in vertretbarer Weise aus dem Schutzbereich der DSGVO ausgenommen werden können, da Gründe der Praktikabilität und das fehlende Risiko einer gravierenden Persönlichkeitsverletzung diese insbesondere für die Praxis vorteilhafte Einschränkung rechtfertigen. 145 Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 15f. 146 Vgl. m.w.N. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., § 3, Rn. 11; BGH, Urteil vom 08. Februar 1994 – VI ZR 286/93, Rn. 21ff. (juris) = NJW 1994, 1281 (1282); ausführlich Stancke, BB 2013, 1418 (1419ff.) in Bezug auf das BDSG a.F., jedoch gelten diese Grundsätze unter der DSGVO fort, da auch die DSGVO auf die Einbeziehung juristischer Personen in ihrem Anwendungsbereich verzichtet. 147 Conrad, ZD 2016, 1 (1). 148 BAG, Beschluss vom 18. Februar 1986 – 1 ABR 21/84, Rn. 23ff. (juris) = BAGE 51, 143 (147ff.); BAG, Beschluss vom 26. Juli 1994 – 1 ABR 6/94, Rn. 25 (juris) = BAGE 77, 262 (267); Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 27f. 149 Im Einzelnen Gola, in: Gola, DSGVO, Art. 4, Rn. 25; Funk, KSzW 2017, 56 (58); m.w.N. Ashkar/Zieger, ZD 2016, 58 (59). 150 Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 151 Auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO kann ein CRM-System erfassen, Hamann, BB 2017, 1090 (1091); zum Verzeichnis von Verarbeitungstätigkeiten siehe S. 81. 152 Unternehmen wie bspw. Oracle Corporation oder Salesforce.com sind typische Anbieter solcher CRM-Systeme, vgl. Söbbing, RDV 2016, 120 (120). 153 So wird angenommen, dass unter Berücksichtigung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) die bloße Speicherung der Vertragsdaten der Kunden in einem CRM-System wohl nach Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt werden kann, vgl. Gierschmann, MMR 2018, 7 (8); ausführlich zu den Rechtsgrundlagen im Hinblick auf die Verarbeitung von Kundendaten in einem CRM-System siehe Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 32ff.; Söbbing, RDV 2016, 120 (120ff.) zur Rechtslage nach dem BDSG a.F. 154 Grützner/Jakob, Compliance von A-Z, Rn. Customer Relationship Management. 155 Vgl. Helfrich, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VII, Kapitel 3, Rn. 1. 156 Vgl. Härting, CR 2017, 724 (725). 157 Vgl. Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 158 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 159 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 715. 160 Vgl. Wächter, Datenschutz im Unternehmen, Rn. 51. 161 Conrad, in: Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, Teil F, § 34, Rn. 714. 162 Eine Differenzierung der Daten in Bestands- und Nutzungsdaten, wie es § 14 und § 15 TMG vorsehen, ist nach der DSGVO hingegen nicht erforderlich, da der europäische Gesetzgeber lediglich zwischen ‚einfachen‘ personenbezogenen Daten und besonderen Kategorien personenbezogener unterscheidet. Die Frage, auf welcher Grundlage solche Daten verarbeitet werden dürfen, ist eine andere und kann nicht pauschal beantwortet werden; anders tendierend Härting, Datenschutz-Grundverordnung, Teil B, S. 102, Rn. 421. 163 Auch der Erwerber eines Unternehmens will nach Erhalt der Daten regelmäßig an dieser Vertragsbeziehung zum Kunden festhalten, vgl. Thode, PinG 2016, 26 (26). 164 Finanzdaten gelten gerade nicht als besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO, vgl. Schulz, in: Gola, DSGVO, Art. 9, Rn. 15. 165 Vgl. Härting, CR 2017, 724 (726).
