R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der Datenschutz-Grundverordnung (2021), S. VII 
Inhaltsverzeichnis 
Carmen Födisch 

VII Inhaltsverzeichnis

  1. Vorwort
  2. Abkürzungsverzeichnis
  3. Kapitel Eins. Einführung in die Problematik
    1. A. Einleitung und Forschungsfrage
      1. I. Der rasante Anstieg von Datenmengen bei Unternehmenstransaktionen und dessen Auswirkungen
      2. II. Die Rolle des Datenschutzes und der Einfluss der DSGVO auf Unternehmenstransaktionen
      3. III. Das Paradoxon der bestehenden Rechtsunsicherheit und dem hohen Wert von Kundendaten bei Unternehmenstransaktionen
    2. B. Ziel der Untersuchung und Gang der Darstellung
    3. C. Nicht behandelte Aspekte
  4. Kapitel Zwei. Der datenschutzrechtliche Rechtsrahmen
    1. A. Entwicklung des deutschen Datenschutzrechts
    2. B. Ziele der DSGVO und ihre Auslegungsbedürftigkeit
    3. C. Das Verhältnis des BDSG n.F. zur DSGVO
      1. I. Potenzieller Verstoß gegen das Normwiederholungsverbot durch das BDSG n.F.
      2. II. Europarechtskonforme Auslegung des BDSG n.F. und der Anwendungsvorrang der DSGVO
      3. III. Anwendung der Grundrechte – welcher Maßstab gilt?
  5. Kapitel Drei. Grundlagen einer Unternehmenstransaktion in datenschutzrechtlicher und ökonomischer Hinsicht
    1. A. Begrifflichkeiten einer Unternehmenstransaktion im datenschutzrechtlichen Kontext
      1. I. Der Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO
      2. II. Personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO im Rahmen von Unternehmenstransaktionen
        1. 1. Auslegung des Begriffs des personenbezogenen Datums
        2. 2. Der Begriff der Kundendaten im weitesten Sinne
          1. a. Geschäftskundendaten
          2. b. Privatkundendaten
          3. c. Besondere Kategorien personenbezogener Kundendaten
        3. 3. Beschäftigtendaten
        4. 4. Nicht personenbezogene Unternehmensdaten
      3. III. Das Verbotsprinzip mit Erlaubnisvorbehalt gem. Art. 6 DSGVO
        1. 1. Die Gleichrangigkeit und das Konkretisierungsbedürfnis der Zulässigkeitsvarianten
        2. 2. Art. 6 Abs. 1 lit. f DSGVO als zentrale Rechtsgrundlage bei Unternehmenstransaktionen
          1. a. Berechtigtes Interesse
          2. b. Erforderlichkeit
          3. c. Abwägung
          4. d. Zwischenergebnis
      4. IV. Der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure
        1. 1. Das datenschutzrechtlich verantwortliche (Ziel-)Unternehmen
          1. a. Der Begriff des Unternehmens im Allgemeinen
          2. b. Der datenschutzrechtliche Unternehmensbegriff
          3. c. Der Verantwortliche
          4. d. Zwischenergebnis: Der Begriff des Zielunternehmens
        2. 2. Abgrenzung zu datenschutzrelevanten Übermittlungen innerhalb oder zwischen Unternehmen
          1. a. Fehlendes Konzernprivileg
          2. b. Auftragsdatenverarbeitung i.S.v. Art. 28 DSGVO
          3. c. Gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO
    2. B. Beteiligte Akteure und ihre Interessenspositionen
      1. I. Das Zielunternehmen und seine geschützten Interessen
      2. II. Potenzielle Unternehmenserwerber
      3. III. Der Kunde des Zielunternehmens
      4. IV. Zwischenergebnis: Die der DSGVO immanenten gegenüberstehenden Interessenspositionen
    3. C. Ökonomische Betrachtung einer Unternehmenstransaktion
      1. I. Motive für die Durchführung einer Unternehmenstransaktion
      2. II. Überblick über die Phasen einer Unternehmenstransaktion und ihre Zweckmäßigkeit
      3. III. Gestaltungsformen einer Unternehmenstransaktion
        1. 1. Share Deal
        2. 2. Asset Deal
        3. 3. Umwandlungsrechtliche Maßnahmen nach § 1 UmwG
          1. a. Verschmelzung
          2. b. Spaltung (Aufspaltung, Abspaltung, Ausgliederung)
          3. c. Vermögensübertragung
          4. d. Formenwechsel
        4. 4. Zwischenergebnis: Der verwendete Begriff der Unternehmenstransaktion
  6. Kapitel Vier. Transaktionsspezifische Datensicherheits- und datenschutzrechtliche Risiken
    1. A. Maßnahmen in technischer und organisatorischer Hinsicht im Zusammenhang mit einer Unternehmenstransaktion
      1. I. Gesetzliche Anforderungen des Art. 24 Abs. 1 DSGVO und des Art. 32 Abs. 1 DSGVO
        1. 1. Allgemeine technische und organisatorische Maßnahmen
        2. 2. Technische und organisatorische Sicherheitsmaßnahmen
        3. 3. Begrenzung durch den risikobasierten Ansatz der DSGVO
          1. a. Sinn und Zweck des risikobasierten Ansatzes der DSGVO
          2. b. Allgemeine Vorgehensweise zur Risikobeurteilung
          3. c. Risikobeurteilung einer Unternehmenstransaktion
      2. II. Praktische Umsetzungsbeispiele technischer und organisatorischer Maßnahmen
        1. 1. Dokumentation in einem Verzeichnis von Verarbeitungstätigkeiten
        2. 2. Zuständigkeitsregelungen
        3. 3. Datenselektion
        4. 4. Pseudonymisierung und Verschlüsselung von Kundendaten
        5. 5. Weitere Maßnahmen der Informationssicherheit
        6. 6. Prozesse zur Erfüllung der Transparenzpflichten
        7. 7. Keine Notwendigkeit einer vorherigen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
        8. 8. Einbindung des Datenschutzbeauftragten
    2. B. Rechenschaftspflicht
      1. I. Gesetzliche Anforderungen
      2. II. Praktische Umsetzungsmöglichkeit in einem Datenschutz-Management-System
    3. C. Zwischenergebnis
  7. Kapitel Fünf. Datenschutzrechtliche Untersuchung der Vorbereitungsphase
    1. A. Datenaufbereitung durch das Zielunternehmen
      1. I. Rechtmäßigkeit der ursprünglichen Datenerhebung
      2. II. Strukturierung und Systematisierung der Kundendatensätze
    2. B. Informationsmemorandum vs. Letter of Intent bzw. Memorandum of Understanding
    3. C. Zusammenfassung
  8. Kapitel Sechs. Datenschutzrechtliche Untersuchung der Due Diligence
    1. A. Die Due Diligence im Allgemeinen
      1. I. Ablauf einer Due Diligence: Die sukzessive Zurverfügungstellung von Daten
      2. II. Funktionen einer Due Diligence
        1. 1. Risikoermittlungsfunktion
        2. 2. Wertermittlungsfunktion
        3. 3. Gewährleistungsfunktion
          1. a. Notwendige Grundlage zur Gestaltung des Gewährleistungs- und Haftungsregimes
          2. b. Keine rechtliche Verpflichtung zur Durchführung einer Due Diligence
        4. 4. Dokumentations- und Beweissicherungsfunktion
      3. III. Der Datenraum
        1. 1. Arten von Datenräumen
        2. 2. Technische und organisatorische Anforderungen an den Datenraum
          1. a. Datenraumregeln
          2. b. Vertraulichkeitsvereinbarungen
      4. IV. Arten einer Due Diligence mit besonderem Blick auf die Einhaltung der datenschutzrechtlichen Anforderungen
      5. V. Zwischenfazit: Wirtschaftlicher und rechtlicher Spagat zwischen Datenpreisgabe und -zurückhaltung
    2. B. Zulässigkeitsanforderungen an eine datenschutzkonforme Offenlegung der Kundendatensätze gegenüber potenziellen Erwerbern
      1. I. Auslegung des Verarbeitungsbegriffs in der Due Diligence
        1. 1. Abgrenzung zum Begriff der zweckändernden Verarbeitung
          1. a. Unklare Reichweite des Art. 6 Abs. 4 DSGVO und sein Verhältnis zu Art. 6 Abs. 1 DSGVO
          2. b. E.A.: Kompatible Zweckänderung i.S.v. Art. 6 Abs. 4 DSGVO im Rahmen der Due Diligence
          3. c. A.A.: neue, nach Art. 6 Abs. 1 DSGVO zu rechtfertigende Verarbeitungssituation
          4. d. Eigene Stellungnahme und Zwischenergebnis
            1. i. Negatives Ergebnis des Kompatibilitätstest
              1. (1) Eigenständige Bedeutung des Zwecks der Datenverarbeitung in der Due Diligence
              2. (2) Unbestimmtheit des Zwecks der Fortführung des Geschäftsbetriebes
              3. (3) Entgegenstehende Erwartungen der betroffenen Personen
            2. ii. Weitere Wertungsgesichtspunkte
              1. (1) Rechtssichere Verarbeitung ausschließlich auf der Grundlage der Erlaubnistatbestände mangels systematischer Normenklarheit
              2. (2) Erhöhtes Verarbeitungsrisiko während der Due Diligence
              3. (3) Keine bloße Fortsetzung ursprünglicher Verarbeitungsvorgänge in der Due Diligence
        2. 2. Einheitlicher Verarbeitungsbegriff in der Due Diligence
      2. II. Keine Rechtfertigung der Datenverarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO
      3. III. Der gesetzliche Erlaubnistatbestand der Einwilligung in der Due Diligence
        1. 1. Gefahren einer ausufernden Zweckerweiterung der ursprünglichen Einwilligungserklärung
          1. a. Grundsätzliche Fortgeltung alter Einwilligungserklärungen
          2. b. Fehlende Freiwilligkeit
          3. c. Begrenzende Vorgaben der Informiertheit und Transparenz im Hinblick auf die Reichweite einer Einwilligungserklärung
          4. d. Praktisches Umsetzungsdefizit
          5. e. Zwischenergebnis: Entgegenstehende Wertungen der Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO
        2. 2. Impraktikable Neuerteilung einer Einwilligungserklärung
        3. 3. Zwischenergebnis: Untauglichkeit der Rechtsgrundlage der Einwilligung
      4. IV. Anforderungen und Auswirkungen der Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO in der Due Diligence
        1. 1. Die berechtigten Interessenspositionen in der Due Diligence
          1. a. Klarstellung der Interessenspositionen beim Share Deal und der Umwandlung
          2. b. Das Offenlegungsinteresse des Veräußerers und das Informationsinteresse der potenziellen Erwerber
        2. 2. Erforderlichkeit der Datenverarbeitung in der Due Diligence
          1. a. Grundsatz: Ergreifen von Pseudonymisierungsmaßnahmen
            1. i. Rechtsfolgen der Anwendung der Pseudonymisierung in der Due Diligence für das Zielunternehmen und die Erwerber
            2. ii. Pseudonymisierte Kundendaten als Basis der Due Diligence Prüfung
          2. b. Erforderlichkeit des Personenbezugs in Ausnahmefällen
            1. i. Unzumutbarkeit der Pseudonymisierung
            2. ii. Wesentlichkeit des Personenbezugs
            3. iii. Keine Hinzuziehung eines Treuhänders
          3. c. Zwischenergebnis
        3. 3. Interessenabwägung in der Due Diligence
        4. 4. Ergebnisse zur Rechtsgrundlage der Interessenabwägung
      5. V. Kollision mit den erweiterten Informationspflichten nach der DSGVO
        1. 1. Informationspflicht des Zielunternehmens vor Übermittlung der Kundendaten in den Datenraum
          1. a. Auslegung des Zeitpunkts der Informationspflicht nach Art. 13 Abs. 1 und 2 DSGVO
          2. b. Auslegung des Anwendungsbereichs der Informationspflicht gem. Art. 14 Abs. 3 lit. c DSGVO
          3. c. Eigene Stellungnahme zum Bestehen von Informationspflichten
        2. 2. Keine Informationspflicht der potenziellen Erwerber gegenüber den Kunden
        3. 3. Die Problematik zwischen Informationspflicht und Geheimhaltungsinteresse
      6. VI. Lösungsansatz für eine effektive und datenschutzkonforme Verarbeitung von Kundendaten in der Due Diligence
        1. 1. Hinreichende Anonymisierung von Kundendaten und ihre Risiken
        2. 2. Unzureichende Pseudonymisierungsmaßnahmen
        3. 3. Bewertung – Umgehung der Informationspflichten im Wege der Anonymisierung
        4. 4. Zwischenergebnis
      7. VII. Sonderfall: Besondere Kategorien personenbezogener Daten
    3. C. Ergebnis der datenschutzrechtlichen Untersuchung der Due Diligence
  9. Kapitel Sieben. Datenschutzrechtliche Untersuchung der Vollzugsphase einer Unternehmenstransaktion
    1. A. Umwandlung
      1. I. Keine datenschutzrechtliche Relevanz des Formenwechsels
      2. II. Weitere Umwandlungsarten der Verschmelzung, Spaltung und Vermögensübertragung
        1. 1. Mangelnde Rechtssicherheit unter Geltung des BDSG a.F.
        2. 2. Fehlende Verarbeitungsqualität der Gesamtrechtsnachfolge im Sinne der DSGVO
          1. a. Keine hinreichende Öffnungsklausel
          2. b. Auslegung des Verarbeitungsbegriffs unter Bezugnahme des Vollzugs einer Umwandlung
            1. i. Elemente einer Verarbeitung im Vergleich zu den Wirkungen der Gesamtrechtsnachfolge
            2. ii. Fehlende zweiseitige Offenlegungssituation
            3. iii. Keine besondere Gefährdungslage des Umwandlungsvorgangs
      3. III. Ergebnis und Bewertung des Vollzugs einer Umwandlung
    2. B. Share Deal
      1. I. Das Fehlen eines datenschutzrechtlich relevanten Vorgangs
      2. II. Bewertung des Share Deals unter Zugrundelegung des veränderten Verarbeitungsbegriffs in der DSGVO
        1. 1. Kein tatbestandliches Offenlegen von Daten
        2. 2. Fehlende gesellschaftsrechtliche Auswirkung auf den Fortbestand der datenschutzrechtlichen Verantwortlichkeit
      3. III. Ergebnis und Bewertung des Vollzugs eines Share Deals
    3. C. Asset Deal
      1. I. Der datenschutzrechtliche Verarbeitungstatbestand in Abgrenzung zur zweckändernden Verarbeitung
      2. II. Rechtfertigung der Datenübertragung aufgrund einer Kundeneinwilligung gem. Art. 6 Abs. 1 lit. a DSGVO
        1. 1. Wiederkehrende Problematik der Praxisuntauglichkeit
        2. 2. Gefahren der Freiwilligkeit und Unterscheidungskraft
        3. 3. Ergebnis und Bewertung
      3. III. Rechtfertigung der Datenübertragung gem. Art. 6 Abs. 1 lit. b DSGVO
        1. 1. Anwendbarkeit der Rechtsgrundlage im Rahmen des Vollzugs einer Unternehmenstransaktion
        2. 2. Vertragsabhängige Möglichkeit der Datenübermittlung
      4. IV. Rechtfertigung der Datenübertragung auf der Grundlage einer Interessenabwägung
        1. 1. Die Kollision der berechtigten Interessenspositionen des Zielunternehmens und des Erwerbers mit den schutzwürdigen Interessen der Kunden
        2. 2. Die Erforderlichkeit der Kundendatenübertragung
        3. 3. Anknüpfungspunkte im konkreten Abwägungsprozess: (Un)gleiche Interessenspositionen?
          1. a. Differenzierung nach Daten aus übernommenen Schuldverhältnissen und sonstigen Daten
          2. b. Abgrenzung der Datenübermittlung zum bloßen Datenhandel
          3. c. Die hohe Aussagekraft der Kundendaten für die Fortführung des Geschäftsbetriebs
          4. d. Das Kriterium der zweckgebundenen Fortsetzung der Datenverarbeitung
          5. e. Geringere Risiken der Datenverarbeitung im Gegensatz zur Due Diligence
          6. f. Erwartungshaltung des Kunden
          7. g. Vergleich zum Share Deal und zur Umwandlung
          8. h. Zwischenergebnis und Bewertung
        4. 4. Bußgeldentscheidung des Bayerischen Landesamt für Datenschutzaufsicht vom 30.07.2015
          1. a. Kernaussagen des BayLDA nach dem BDSG a.F.
          2. b. Bewertung der Bußgeldentscheidung und Übertragbarkeit auf die aktuelle Rechtslage
            1. i. Kritikwürdige Auslegung der alten Rechtslage
            2. ii. (Scheinbare) Aufhebung der Differenzierung von Datenarten und Verarbeitungszwecken in der DSGVO
            3. iii. Verankerung der Widerspruchslösung in der DSGVO
        5. 5. Zwischenergebnis: ausreichender Schutz der Kunden durch Ausübung ihrer Betroffenenrechte
      5. V. Sonderfall: Besondere Kategorien personenbezogener Daten
      6. VI. Ergebnis und Bewertung des Vollzugs eines Asset Deals
    4. D. Informationspflichten
    5. E. Ergebnis und Bewertung der Vollzugsphasen einer Unternehmenstransaktion
  10. Kapitel Acht. Anschließende datenschutzkonforme Integration der Daten (Post-Merger-Integration) und die Rechtsfolgen einer Unternehmenstransaktion
    1. A. Fortbestehende Risiken
      1. I. Grenzen der zweckgebundenen Kundendatenverarbeitung durch den Erwerber
      2. II. Übertragbarkeit der datenschutzrechtlichen Einwilligungserklärung auf den Erwerber
        1. 1. Absenderbezogene Einwilligungserklärung
        2. 2. Geschäftsbezogene Einwilligungserklärung
        3. 3. Bewertung
    2. B. Das Institut der Gemeinsamen Verantwortlichkeit als temporärer Lösungsansatz im Anschluss an den Vollzug eines Asset Deals
    3. C. Rechtsfolgen datenschutzrechtlicher Verstöße während der Unternehmenstransaktion
      1. I. Keine Nichtigkeit des Unternehmenskaufvertrages infolge von Datenschutzverstößen
      2. II. Erhöhtes Risiko von finanziellen und sanktionsrechtlichen Belastungen
    4. D. Wahrung der Löschpflicht gem. Art. 17 DSGVO
  11. Kapitel Neun. Schlussbetrachtungen
    1. A. Zusammenfassung der Untersuchungsergebnisse
    2. B. Bewertung und Ausblick auf Gestaltungsmöglichkeiten
  12. Literaturverzeichnis
 
stats