Название:
Автор:
Жанр:
Серия:
Издательство:
DSGVO/BDSG, Art. 4 Nr. 7, Rn. 1. 234 Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 5. 235 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. 236 Siehe Legaldefinition in Art. 2 lit. d EU-Datenschutzrichtlinie, in der lediglich der Begriff „für die Verarbeitung Verantwortlicher“ statt des „Verantwortlichen“ nach der DSGVO verwendet wurde. Neben der identischen Definition des Verantwortlichen in der EU-Datenschutzrichtlinie und der DSGVO bleibt auch der Begriff des Dritten unverändert, weshalb die Grundsätze der Artikel-29-Datenschutzgruppe in Bezug auf die EU-Datenschutzrichtlinie (Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169) auf die Rechtslage nach der DSGVO Anwendung finden können. 237 EuGH, Rs. 131/12, Google Spain, ECLI:EU:C:2014:317, Rn. 34. 238 Zu den Kriterien des Mittels und des Zwecks der Verarbeitung ausführlich Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 15ff. Im Unterschied dazu war nach dem BDSG a.F., in dem abweichend zur EU-Datenschutzrichtline der Begriff der „verantwortlichen Stelle“ verwendet wurde, die Interessenrichtung der Verarbeitung das entscheidende Kriterium, m.w.N. Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 7, Rn. 3. 239 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3, A, Rn. 7. So soll wörtlich „auf der Grundlage einer Analyse der Fakten und nicht einer formellen Analyse“ die Bestimmung des Verantwortlichen erfolgen, Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12. 240 Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 28, 30. Laut Artikel-29-Datenschutzgruppe kann die Kontrolle über die Verarbeitung aufgrund einer ausdrücklichen Kompetenznorm, ungeschriebener Kompetenzen („implizierte Zuständigkeit“) oder infolge tatsächlicher Einflussnahme bestehen, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 12ff. 241 Daneben wird in der DSGVO der Begriff des „Empfängers“ verwendet und in Art. 4 Nr. 9 DSGVO legaldefiniert, der auf den ersten Blick für Unternehmenstransaktionen eine Rolle spielen könnte. Zwar wird etwa im Rahmen der Betroffenenrechte oder beim Verzeichnis der Verarbeitungstätigkeiten auf den „Empfänger“ Bezug genommen, jedoch hat der Begriff keinerlei Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Übermittlung von Kundendaten bei Unternehmenstransaktionen. Es kommt bei der Empfängereigenschaft nicht darauf an, ob es sich um einen Dritten handelt oder nicht, sondern ausschließlich darauf, ob die empfangene Stelle Teil desselben Verantwortlichen ist, der die Daten offenlegt. All diejenigen, die nicht zum Verantwortlichen gehören, können Empfänger sein, vgl. Schreiber, in: Plath, DSGVO/BDSG, Art. 4, Rn. 34; Gola, in: Gola, DSGVO, Art. 4, Rn. 78; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 9, Rn. 6. 242 Vgl. Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 DS-GVO, Rn. 60; Hartung, in: Kühling/Buchner, DSGVO/BDSG, Art. 4 Nr. 10, Rn. 9. 243 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, WP 169, S. 38. 244 Vgl. Gomille, JA 2012, 487 (488). 245 Sofern das Unternehmen keine Gesellschaftsform innehat, ist der Einzelunternehmer identisch mit dem Unternehmen und gilt daher ebenso als Verantwortlicher. 246 Beim Share Deal bleibt das Zielunternehmen datenschutzrechtlich verantwortlich, jedoch treten die Anteilsinhaber als Veräußerer des Zielunternehmens auf; siehe dazu S. 65f. 247 Jung/Hansch, ZD 2019, 143 (146); ebd. zu den Ausnahmen des zulässigen Delegierens der Verantwortlichkeit. 248 Wilhelmi, in: Gsell/Krüger/Lorenz/Reymann, BGB, § 453, Rn. 274; das zu erwerbende Zielunternehmen wird auch teilweise als sog. „Target“ bezeichnet, so etwa van Kann, Kapitel I: Transaktionsanbahnung und -ablauf, in: van Kann, Praxishandbuch Unternehmenskauf, S. 8; Gran, NJW 2008, 1409 (1409); zu den Gestaltungsformen einer Unternehmenstransaktion im Einzelnen siehe S. 64ff. 249 Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172ff., auch weiterführend zu den praktischen relevanten konzerninternen Datenübermittlungen wie etwa solchen in Matrix-Strukturen oder HR-Datenbanken; zum Aufbau und Merkmalen von Matrixorganisationen Schmidl, DuD 2009, 364 (365f.). 250 Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 2. 251 Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (535). 252 Hierzu kritisch Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 175, denn das tatsächliche Vorliegen eines berechtigten Interesses bleibt weiterhin einzelfallabhängig. 253 Erwägungsgrund 48 wird deshalb auch teils als „kleines Konzernprivileg“ bezeichnet, Lachenmann, Smart-Groups – Smart Transfers! Konzerndatenübermittlung in der Datenschutzgrundverordnung, in: Taeger, DSRITB 2016, 535 (542). Das Europäische Parlament unterbreitete hingegen einen noch strengeren Vorschlag, wonach eine Übermittlung innerhalb einer Unternehmensgruppe für interne (administrative) Verwaltungszwecke nur zulässig sein sollte, wenn ein angemessenes Datenschutzniveau durch interne Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln gewährleistet wird. Auf diesen Zusatz wurde jedoch in der endgültigen Fassung der DSGVO verzichtet, vgl. Schantz/Wolff, Das neue Datenschutzrecht, Rn. 664. 254 Was genau unter „interne[n] Verwaltungszwecke[n]“ verstanden werden muss, ist bislang noch ungeklärt; dazu kursorisch Ringel/von Busekist, CCZ 2017, 31 (36). 255 Im Sprachgebrauch der DSGVO fällt ein Konzern unter den Begriff der „Unternehmensgruppe“ i.S.v. Art. 4 Nr. 19 DSGVO, Selk, in: Ehmann/Selmayr, DS-GVO, Art. 88, Rn. 172. 256 Auf den Begriff der Unternehmensgruppe wird nur vereinzelt im Gesetzestext der DSGVO Bezug genommen (etwa in Art. 37 Abs. 2, Art. 47, Art. 88 Abs. 2 DSGVO). Seine Relevanz erfährt er aber insbesondere im Rahmen des Erwägungsgrunds 48. Darüber hinaus wird die Unternehmensgruppe in Erwägungsgrund 36 und 110 erwähnt. 257 Gem. Erwägungsgrund 37 Satz 1 sollte das herrschende Unternehmen dasjenige sein, das z.B. aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, soll gem. Satz 2 zusammen mit diesen als eine Unternehmensgruppe betrachtet werden. 258 Ringel/von Busekist, CCZ 2017, 31 (36). Für die Beurteilung der Zulässigkeit der Datenverarbeitung wird jedoch jedes rechtlich selbstständige Unternehmen innerhalb eines Konzerns als eigenständiger Verantwortlicher behandelt, weshalb die Differenzierung zwischen einem Unterordnungs- und Gleichordnungskonzern in diesem Zusammenhang nur marginale Auswirkungen hinsichtlich des Erwägungsgrundes 48 hat. 259 Vgl. Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 1, Rn. 15. 260 Zur Privilegierungswirkung der Auftragsdatenverarbeitung nach der EU-Datenschutzrichtlinie und dem BDSG a.F. siehe m.w.N. Krohm/Müller-Peltzer, RDV 2016, 307 (307f.). Eine fortwährende Privilegierung der Auftragsdatenverarbeitung nach der DSGVO kann auf zwei Ansätze zurückgeführt werden. Zum einen wird argumentiert,
