Название:
Автор:
Жанр:
Серия:
Издательство:
2014, 183 (185); auch für den Erwerber eines Unternehmens sind diese Daten wertvoll, da er ebenso ein großes Interesse an einer erneuten Geschäftsbeziehung hat, vgl. Thode, PinG 2016, 26 (26). 167 Vgl. Wehmeyer, PinG 2014, 183 (184). 168 Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO/BDSG, Art. 6, Rn. 52. 169 Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136, S. 7. 170 Vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 274. Dass in der DSGVO die Bedeutung von bewertenden und analysierenden Verarbeitungstätigkeiten erkannt wurde, verdeutlicht die Einführung der Legaldefinition des Profilings in Art. 4 Nr. 4 DSGVO und seinen weiteren Voraussetzungen in Art. 22 DSGVO, vgl. ebd. 171 Ausführlich zum Rechtsrahmen des Profilings Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP 251 rev. 01. (bestätigt vom Europäischen Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018); Abel, ZD 2018, 304 (304ff.); zu Nutzungsprofilen im Rahmen von online-basierten Dienstleistungen mit Bezug zum TMG (bzw. mit Blick auf den Entwurf der sog. ePrivacy-Verordnung) siehe Schleipfer, ZD 2017, 460 (460ff.); Hennemann, ZUM 2017, 544 (544ff.). 172 Zur datenschutzrechtlichen Zulässigkeit des Scorings Buchner, in: Kühling/Buchner, DSGVO/BDSG, § 31, Rn. 7ff. 173 Koglin, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Kapitel I. Kundendatenschutz, Teil I. 174 Zur umstrittenen Frage des Verhältnisses von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO siehe S. 170f. 175 Vgl. Thode, PinG 2016, 26 (29). 176 Wächter, Datenschutz im Unternehmen, Rn. 50. 177 Eine Checkliste über Beschäftigtendaten, die im Rahmen von Unternehmenstransaktionen geprüft werden, enthält Grimm/Böker, NZA 2002, 193 (198ff.). 178 Sander/Schumacher/Kühne, ZD 2017, 105 (105). 179 Insbesondere Beschäftigtendaten enthalten regelmäßig besondere Kategorien personenbezogenen Daten i.S.v. Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten (Krankheitstage oder Schwerbehinderteneigenschaften), Daten zur Gewerkschaftsangehörigkeit oder zur religiösen Überzeugung (Kirchensteuer), Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 21. 180 Vgl. Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 6.; ausführlich zum § 26 BDSG n.F. siehe Gola, BB 2017, 1462 (1462ff.). 181 Im Einzelnen Sander/Schumacher/Kühne, ZD 2017, 105 (108ff.); Chr. Schröder, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 4, Rn. 14ff.; a.A. Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 42. 182 Ausführlich zum rechtlichen Rahmen von nicht personenbezogenen Daten Wiebe/Schur, ZUM 2017, 461 (461ff.); Thalhofer, GRUR-Prax 2017, 225 (225ff.); Wiebe, CR 2017, 87 (87 ff).; Ensthaler, NJW 2016, 3473 (3473ff.); Wiebe, ecolex 2017, 783 (783ff.); ders., GRUR Int. 2016, 877 (877ff.). 183 Indes regelt Art. 6 Abs. 1 DSGVO nur die Zulässigkeit der Datenverarbeitung („Ob“), deren Rechtmäßigkeit („Wie“ der Verarbeitung) noch durch weitere Vorschriften (insbesondere durch die Datenschutzgrundsätze nach Art. 5 DSGVO) bestimmt wird, Frenzel, in: Paal/Pauly, DSGVO BDSG, Art. 6 DS-GVO, Rn. 7; Roßnagel, ZD 2018, 339 (343). 184 GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 26. 185 Nach Erwägungsgrund 40 können personenbezogene Daten nur dann rechtmäßig verarbeitet werden, wenn sich die Rechtsgrundlage aus der DSGVO (explizit: Art. 6 DSGVO) oder aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt. 186 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 2. 187 U.a. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 30; Engeler, ZD 2018, 55 (56); Arning, in: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, Kapitel 5, Rn. 72; Piltz, K&R 2016, 557 (562); Wächter, Datenschutz im Unternehmen, Rn. 511; a.A. Sattler, JZ 2017, 1036 (1039f.), der der Einwilligung eine Vorrangstellung einzuräumen versucht. 188 Vgl. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 31; a.A. Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01, S. 28; zu einer Sperrwirkung tendierend Tinnefeld/Conrad, ZD 2018, 391 (392f.). 189 Vgl. auch Engeler, ZD 2018, 55 (56), der einen Rückgriff auf die Rechtsgrundlage der Einwilligung erst nach Überschreiten der Erforderlichkeit für nötig hält. 190 So etwa BGH, Urteil vom 16. Juli 2008 – VIII ZR 348/06 (juris) = BGHZ 177, 253 (253ff.); BGH, Urteil vom 11. November 2009 – VIII ZR 12/08 (juris) = CR 2010, 87 (87ff.). 191 Conrad, ZD 2016, 1 (1). 192 Der EDSA hat lediglich die Richtlinien der Artikel-29-Datenschutzgruppe zu Einwilligungserklärungen (Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679, WP 259 rev. 01) bestätigt, vgl. Europäischer Datenschutzausschuss, Endorsement 1/2018 of WP29 Documents vom 25. Mai 2018. In Bezug auf die Erlaubnistatbestände fehlt es hingegen weitestgehend an Leitlinien aus der europäischen Rechtsprechung, vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 193 Vgl. hierzu die Aufgabenbefugnisse aus bspw. Art. 57 Abs. 1 lit. g DSGVO oder Art. 70 Abs. 1 lit. e DSGVO. 194 Im Gegensatz zum BDSG a.F., in dem in den §§ 28ff. weitaus detailliertere Datenverarbeitungsgrundlagen für die Privatwirtschaft normiert waren, wurden die Erlaubnistatbestände in der DSGVO extensiver und weitaus undifferenzierter formuliert, sodass die Rechtfertigung einer Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO einige Rechtsunsicherheit mit sich bringt, Robrahn/Bremert, ZD 2018, 291 (291, 297). 195 Daneben ist der Einwilligungstatbestand (Art. 6 Abs. 1 lit. a DSGVO) und der Rechtfertigungstatbestand zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) im Zuge von Unternehmenstransaktionen von weiterer Relevanz; dazu ausführlich an relevanter Stelle. 196 Voigt/von dem Bussche, DSGVO, S. 132. 197 EuGH, Rs. 13/16, Rigas satiksme, ECLI:EU:C:2017:336, Rn. 28; Herfurth, ZD 2018, 514 (514); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DS-GVO, Rn. 27. 198 Vgl. von Lewinski/Pohl, ZD 2018, 17 (18). 199 Während nach alter Rechtslage gem. Art. 7 lit. f EU-Datenschutzrichtlinie Drittinteressen noch nicht die Datenverarbeitung legitimieren konnten, fanden Drittinteressen bereits Berücksichtigung in § 28 Abs. 2 Nr. 2 lit. a BDSG a.F. 200 Robrahn/Bremert, ZD 2018, 291 (291f.); Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 DSGVO, Rn. 28; Härting, Datenschutz-Grundverordnung, Teil B, S. 105, Rn. 429; letztendlich hat der europäische Gesetzgeber davon abgesehen zu konkretisieren, welche berechtigten
