Kundendaten beim Unternehmenskauf – ein Datenschutzproblem?

Bayerisches Landesamt für Datenschutzaufsicht verhängt Bußgelder wegen Datenschutzverstößen bei einem Asset Deal.

Kundendaten haben für Unternehmen oftmals einen beträchtlichen wirtschaftlichen Wert. Das zeigt sich insbesondere auch dann, wenn Kundendaten im Rahmen von Unternehmenskäufen übertragen werden. Vor allem bei Asset Deals gehören sie zu den wichtigen werthaltigen Vermögensgegenständen. Doch stehen einer Übertragung von Kundendaten bei Unternehmenskäufen nicht datenschutzrechtliche Vorschriften entgegen? Hiermit hat sich jüngst das Bayerische Landesamt für Datenschutzaufsicht befasst und prompt Bußgelder wegen Datenschutzverstößen bei einem Asset Deal verhängt. Was war passiert und wie lässt sich das vermeiden?

In einer Pressemitteilung vom 30.07.2015 teilte das Bayerische Landesamt für Datenschutzaufsicht – also die bayerische Datenschutzaufsichtsbehörde – mit, kürzlich gegen zwei bayerische Unternehmen mittlerweile unanfechtbare Bußgelder in jeweils fünfstelliger Höhe verhängt zu haben. Die beiden Unternehmen waren der Verkäufer und der Käufer bei einem Asset Deal, in dessen Rahmen ein Online-Shop einschließlich E-Mail-Adressen der Kunden übertragen wurde. Für diese Übertragung der Kunden-E-Mail-Adressen hatten die Parteien des Asset Deals keine vorherige Einwilligung der Kunden eingeholt.

Ist die Übertragung von Kundendaten bei einem Unternehmenskauf datenschutzrechtlich also immer nur mit Einwilligungserklärung der Kunden zulässig? Wie immer kommt es auf die konkrete Sachverhaltskonstellation an:

Keine datenschutzrechtlichen Hindernisse beim Share Deal

Bei der „Mitveräußerung“ von Kundendaten im Rahmen eines Share Deals gibt es die wenigsten datenschutzrechtlichen Probleme, da datenschutzrechtlich gesehen keine personenbezogenen Daten von einer verantwortlichen Stelle an eine andere übermittelt werden. Die Kundendaten verbleiben beim gleichen Unternehmen und werden auch nach der Transaktion von diesem verarbeitet. Lediglich die Geschäftsanteile an dem Unternehmen wechseln den Inhaber. Hier bedarf es also weder einer Einwilligung der Kunden noch eines anderen datenschutzrechtlichen Erlaubnistatbestands.

Interessenabwägung beim Asset Deal

Anders ist die Situation beim Asset Deal, weil die Kundendaten hier an einen Dritten, den Käufer, übermittelt werden. Hierfür ist eine datenschutzrechtliche Legitimation erforderlich, entweder in Form einer vorherigen Einwilligung der Kunden oder in Form eines sog. gesetzlichen Erlaubnistatbestands, d.h. einer datenschutzrechtlichen Vorschrift, die die Datenübermittlung erlaubt. In Betracht kommt insoweit der gesetzliche Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 Bundesdatenschutzgesetz (BDSG), nach dem eine Übermittlung von personenbezogenen Daten zulässig ist, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der Kunden überwiegen. In den meisten der in der Praxis relevanten Fälle geht diese Interessenabwägung zugunsten des die Kundendaten übermittelnden Verkäufers aus.

Datenschutzrechtliche Gestaltung bei der Übertragung von Kundenverträgen

Das gilt zunächst für den Fall, dass nicht nur die Kundendaten, sondern auch die Kundenverträge veräußert werden. Zur Übertragung von Kundenverträgen ist bereits vertragsrechtlich im Rahmen der erforderlichen Vertragsübernahmen durch den Käufer jeweils eine Zustimmungserklärung der Kunden notwendig. Diese Zustimmungserklärungen der Kunden können so ausgestaltet werden, dass sie gleichzeitig eine datenschutzrechtliche Einwilligungserklärung in die Übertragung der zu den Kundenverträgen gehörenden Kundendaten beinhalten. Selbst wenn das nicht geschieht, werden die berechtigten Interessen des Verkäufers an der Mitübertragung der zu den Verträgen gehörenden Kundendaten die schutzwürdigen Interessen der Kunden überwiegen.

Widerspruchslösung

Die berechtigten Interessen des Verkäufers an der Übertragung der Kundendaten bei einem Asset Deal überwiegen grundsätzlich auch im Fall der sog. Widerspruchslösung. Sollen Kundendaten, aber keine Kundenverträge übertragen werden, kann es genügen, die Kunden auf die bevorstehende Übertragung ihrer personenbezogenen Daten hinzuweisen und ihnen eine ange-messen Widerspruchsfrist einzuräumen. Widersprechen die Kunden der Übertragung ihrer Daten innerhalb der Frist nicht, kann bei der vorzunehmenden datenschutzrechtlichen Abwägung prinzipiell davon ausgegangen werden, dass ihre schutzwürdigen Interessen gewahrt sind.

Einwilligung bei der Übertragung von E-Mail-Adressen und Telefonnummern sowie sensiblen Daten

Datenschutzrechtliche bzw. wettbewerbsrechtliche Einwilli-gungserklärungen der Kunden sind jedoch u.a. dann erforderlich, wenn E-Mail-Adressen oder Telefonnummern der Kunden vom Käufer anschließend für Zwecke der E-Mail- bzw. Telefon-Werbung eingesetzt werden. Das gilt selbst dann, wenn der Kunde bereits gegenüber dem Verkäufer in solche Werbung eingewilligt hatte. Denn derartige Opt-ins gelten grundsätzlich nur für den Werbetreibenden, der sie eingeholt hat, und sind nicht ohne weiteres auf einen Dritten übertragbar. Auch wenn sensible Kundendaten, z.B. Gesundheitsdaten, übertragen werden sollen, können vorherige datenschutzrechtliche Einwilligungserklärungen notwendig sein.

Fazit

Bei der Übertragung von Kundendaten im Rahmen von Unternehmenskäufen ist Vorsicht geboten. Die Datenschutzaufsichtsbehörden werden die Einhaltung der datenschutzrechtlichen Vorschriften in diesem Bereich künftig strenger überwachen. Durch eine rechtzeitige Berücksichtigung der datenschutzrechtlichen Vorgaben und entsprechende Gestaltungen lassen sich jedoch Datenschutzverstöße und hieran geknüpfte Bußgelder vermeiden.