Anforderungen im Hinblick auf den Umgang mit Kundendaten während des gesamten Prozesses einer Unternehmenstransaktion konkret zu erfüllen sind.23 Da die Parteien bei Rechtsverstößen in der Praxis bislang häufig versucht haben, sich außergerichtlich zu einigen, um öffentliche Aufmerksamkeit zu vermeiden,24 fehlt es vor allem auch an gerichtlichen Entscheidungen zu den relevanten datenschutzrechtlichen Fragestellungen.25 Hinsichtlich der Frage des Kundendatenschutzes bei Unternehmenstransaktionen verkompliziert sich der durch die DSGVO geänderte datenschutzrechtliche Rahmen außerdem dadurch, dass bislang kaum klärende Rechtsprechung oder behördliche Entscheidungen zur Auslegung und Anwendung der DSGVO vorliegen. Zugleich enthält die DSGVO weder einzelne Regelungen noch Erwägungsgründe zum Umgang mit Kundendaten bei Unternehmenstransaktionen.26 Im Allgemeinen umfasst der Datenschutz den Schutz der Privatsphäre und der Persönlichkeit von natürlichen Personen, deren Daten verarbeitet werden.27 Zu der Frage, was hingegen konkret unter Kundendatenschutz verstanden wird, schweigt sowohl die EU-Datenschutzrichtlinie als auch die DSGVO.28 Weithin geht es dabei um den Schutz sämtlicher personenbezogener Daten, über die ein Verantwortlicher (also ein Unternehmen) im Hinblick auf seine bestehenden oder ehemaligen Kunden verfügt.29 Es wäre jedoch falsch anzunehmen, dass die DSGVO ausschließlich zum Schutz natürlicher Personen bei der Datenverarbeitung dient. Art. 1 Abs. 1 DSGVO hebt hervor, dass die DSGVO auch den freien Verkehr von personenbezogenen Daten regelt.30 Damit hat der europäische Gesetzgeber ausdrücklich den Wert von Daten in der heutigen digitalen Wirtschaft hervorgehoben, den es nicht zu behindern, sondern in verantwortlicher und angemessener Weise zu gestalten gilt. Gleichzeitig ist es aber nicht von der Hand zu weisen, dass der „unionsweite Austausch personenbezogener Daten zwischen [...] privaten Akteuren einschließlich natürlichen Personen, Vereinigungen und Unternehmen [...] zugenommen“ hat, vgl. Erwägungsgrund 5 Satz 2.31 Zumindest indirekt hat damit der europäische Gesetzgeber die steigende Relevanz von Unternehmenstransaktionen in der Wirtschaft erkannt, die zunehmend das Potential von datenschutzrechtlichen Verstößen birgen.
Dass die Übernahme eines Unternehmens aber nicht nur rechtliche, sondern auch operative Herausforderungen in Bezug auf Kundendaten mit sich bringen kann, verdeutlicht beispielhaft die Fusion von Telefónica und E-Plus und der erst im Jahr 2016/2017 stattgefundenen Zusammenlegung der Netze, was als die „größte Kundenmigration in der Mobilfunkgeschichte“ bezeichnet wurde.32 Telefónica, in Europa unter dem Namen O2 agierend, hatte mit zahlreichen Kundenbeschwerden zu kämpfen, nachdem Kunden Störungen bei ihrem Internet- und Telefonanschluss meldeten. Telefonische Anliegen über die Kundenhotline konnten jedoch kaum angenommen und bearbeitet werden. Als Grund hierfür gab das Unternehmen die hochkomplizierte Übertragung von mehreren Millionen Kundendaten in ein einheitliches Kundensystem an. Dies zeigt einmal mehr, dass technische Schwierigkeiten bei der Zusammenführung von Datensätzen infolge einer Unternehmenstransaktion zu einer belastenden Kundensituation führen können, bei der im schlimmsten Fall sogar ein erheblicher Verlust des Kundenstamms droht. Da mit einer solchen unternehmerischen Maßnahme meist gerade das Gegenteil – nämlich eine Vergrößerung der Kundschaft – beabsichtigt wird, ist es für Unternehmen äußerst wichtig, bereits im Vorfeld einer Transaktion eine geeignete Datenstruktur zu schaffen, die den rechtlichen und tatsächlichen Gegebenheiten standhält. Ein Unternehmen kann nur dann den optimalen Nutzen aus einer Transaktion ziehen, wenn die Abwicklung der Transaktion vom ersten Schritt des Prozesses bis zur Integration strukturiert und ordnungsgemäß funktioniert.33
1 So auch u.a. Wilhelmi, in: Gsell/Krüger/Lorenz/Reymann, BGB, § 453, Rn. 263. Nach zwei Studien des Institute for Mergers, Acquisitions and Alliances (IMAA) haben allein in Deutschland im Jahr 2019 über 2.000 Unternehmenstransaktionen mit einem Transaktionsvolumen von 134 Mrd. Euro stattgefunden, vgl. Institute for Mergers, Acquisitions and Alliances (IMAA) (2020), zitiert nach Statista (2020): „Anzahl der M&A Deals in Deutschland von 1991 bis 2020“, abrufbar unter https://de-1statista-1com-1ny53hpd27013.han.sub.uni-goettingen.de/statistik/daten/studie/233975/umfrage/anzahl-der-munda-deals-in-deutschland-nach-quartalen/ (zuletzt abgerufen am 01.08.2020) sowie „Volumen der M&A Deals in Deutschland von 1991 bis 2020 (in Milliarden Euro)“ abrufbar unter https://de-1statista-1com-1ny53hpd27013.han.sub.uni-goettingen.de/statistik/daten/studie/233970/umfrage/volumen-der-munda-deals-in-deutschland/ (zuletzt abgerufen am 01.08.2020). 2 Duisberg, RDV 2004, 104 (105). 3 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, 26. Tätigkeitsbericht Datenschutz 2016/2017, S. 86. 4 Dies trifft insbesondere auf Unternehmen zu, die Online-Portale (wie etwa soziale Netzwerke) betreiben bzw. Apps entwickeln, vgl. Baranowski/Glaßl, BB 2017, 199 (199). 5 Vgl. Moos, K&R Beihefter 3/2015, 12 (12); daneben ist der eigene wirtschaftliche Wert von Daten in der heutigen Informationsgesellschaft nicht zu verkennen, denn Daten dienen immer häufiger als Instrument zur Erlangung geldwerter Vorteile in der Privatwirtschaft (bspw. die Preisgabe von Daten zur Erlangung von kostenlosen Informationen), vgl. Klement, JZ 2017, 161 (168). 6 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert vom 25.1.2012, KOM (2012) 9 endgültig, Abschnitt 1., S. 2. 7 Vgl. Krohm/Müller-Peltzer, ZD 2017, 551 (551). 8 Mitteilung der Kommission an das Europäische Parlament und den Rat, Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 vom 24.1.2018, COM (2018) 43 final, S. 18; die im öffentlichen Diskurs oft zu hörende Bezeichnung der Daten als das neue „Öl“ (vgl. etwa Wandtke, MMR 2017, 6 (6); Berberich/Kanschik, NZI 2017, 1 (1)) hinkt insoweit, da Daten gerade nicht vergänglich oder exklusiv sind, vgl. m.w.N. Louven, NZKart 2018, 217 (220). 9 Vgl. Funk, KSzW 2017, 56 (56). 10 Pressemitteilung „Studie von IDC und Seagate: Weltweite Datenmenge verzehnfacht sich bis 2025 auf 163 ZB“ vom 04.04.2017 auf seagate.com, abrufbar unter: https://www.seagate.com/de/de/news/news-archive/seagate-advises-global-business-leaders-and-entrepreneurs-pr-master/ (zuletzt abgerufen am 01.08.2020). 11 Vgl. Wandtke, MMR 2017, 6 (6). 12 GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 10. 13 Vgl. Beyer/Beyer, NZI 2016, 241 (242); Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 1; Uwer/Jungkind, in: Meyer-Sparenberg/Jäckle, Beck’sches M&A-Handbuch, § 77, Rn. 1. 14 Rothkegel, in: Moos, Datennutzungs- und Datenschutzverträge, § 34, Rn. 1. 15 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4. Mai 2016, S. 1ff.), im Folgenden: DSGVO. 16 Zwar ist die DSGVO schon seit dem 24. Mai 2016 in Kraft (gem. Art. 99 Abs. 1 DSGVO 20 Tage nach ihrer Veröffentlichung am 4. Mai 2016 im ABl. L 119), jedoch erlangte die DSGVO erst ab dem Zeitpunkt ihrer Geltung (vgl. Art. 99 Abs. 2 DSGVO) Verbindlichkeit. Dieser Übergangszeitraum von zwei Jahren sollte es den Mitgliedstaaten, Verantwortlichen und Datenschutzbehörden erleichtern, die nötigen Maßnahmen zur Umsetzung der DSGVO zu treffen, vgl. Pauly, in: Paal/Pauly, DS-GVO BDSG, Art. 99 DS-GVO, Rn. 2. 17 Der Begriff der Unternehmenstransaktion ist nachfolgend im weitesten Sinne unabhängig von der konkreten Form der juristischen
