Im Zusammenhang mit Unternehmenstransaktionen werden häufig personenbezogene Daten von Lieferanten, Kunden und gegebenenfalls auch von Beschäftigten von einem Unternehmen auf ein anderes Unternehmen übertragen. Im vorliegenden Beitrag wollen wir das Augenmerk auf die Übertragung von Kundendaten legen. Was ist aus Sicht des Datenschutzrechts zu beachten?
Der Inhalt im Überblick
Der Unternehmenskauf: Grundformen
Bei Unternehmensveräußerungen muss grundsätzlich zwischen zwei Formen unterschieden werden: Share Deal und Asset Deal. Diese beiden Praxisfälle sind datenschutzrechtlich unterschiedlich zu bewerten.
Im Falle eines sogenannten Share Deals stellen die Geschäftsanteile der Gesellschaft den Kaufgegenstand der Transaktion dar: hier wird der Erwerber von Geschäftsanteilen einer GmbH durch den notariell zu beurkundenden Geschäftsanteilskauf- und Abtretungsvertrag mit Eintragung ins Handelsregister neuer Gesellschafter. Die Gesellschafterstruktur der Gesellschaft hat sich somit aufgrund der Geschäftsanteilsübertragung verändert, aber ein Wechsel in der Person des Verantwortlichen findet durch die Transaktion nicht statt. Der Verantwortliche bleibt davon unberührt und eine Übermittlung von Daten an einen Dritten erfolgt nicht. Aus diesem Grund spielt das Datenschutzrecht bei einer Geschäftsanteilsübertragung generell eine geringe Rolle.
Asset Deal
Die Lage ist bei einem Asset Deal anders. Der Unternehmenskauf erfolgt in diesem Fall durch Übertragung sämtlicher Vermögenswerte der Gesellschaft auf einen Dritten. Aus datenschutzrechtlicher Sicht ist die Übertragung der personenbezogenen Daten von Lieferanten, Kunden und gegebenenfalls auch von Beschäftigten in diesem Zusammenhang relevant. Kundendaten stellen für Unternehmen einen beträchtlichen ökonomischen Wert dar, da diese Daten ihnen unter anderem die Möglichkeiten geben, Werbung zu machen. In der Regel werden die Stammdaten der Kunden veräußert: Kundenname, Telefonnummer, Geburtsdaten, postalische Adresse, Kaufhistorien, gegebenenfalls Bankdaten, usw. Folglich handelt es sich hierbei um eine Übermittlung von personenbezogenen Daten im Sinne von Art. 4 Abs. 2 DSGVO und damit um eine Datenverarbeitung, sodass der Anwendungsbereich der DSGVO eröffnet ist.
Die Übermittlung der Kundendaten bedarf einer Rechtsgrundlage!
Nach dem Rechtsmäßigkeitsprinzip des Art. 5 Abs. 1 lit. a DSGVO ist jede Verarbeitung von personenbezogenen Daten rechtfertigungsbedürftig: die Datenverarbeitung ist verboten, es sei denn, einer der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO ist erfüllt. Im Zusammenhang mit der Übermittlung von einer Kundendatenbank sind mehrere Datenverarbeitungsvorgänge zu unterscheiden: einerseits die ursprüngliche Datenverarbeitung durch das veräußernde Unternehmen, für die bereits eine Rechtsgrundlage besteht, und andererseits die Übertragung der Daten auf den Erwerber und die darauffolgende Weiterverarbeitung der Daten.
Insofern ist bei der Übermittlung von personenbezogenen Daten im Rahmen eines Asset Deals immer zu prüfen, ob die Datenübermittlung auf eine Rechtsgrundlage gestützt werden kann. In Betracht kommen drei unterschiedliche Rechtsgrundlagen:
- die Verarbeitung erfolgt zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten nach Art. 6 Abs. 1 lit. f DSGVO,
- die Verarbeitung ist für die Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich oder
- die Verarbeitung ist aufgrund einer Einwilligung der Betroffenen gemäß Art. 6 Abs. 1 lit. a DSGVO zulässig.
Im Folgenden wird auf die einzelnen Rechtsgrundlagen näher eingegangen. Besondere Regeln gelten im Falle der Übermittlung von sensiblen Daten sowie bei der Datenverarbeitung zu Werbezwecken.
Wahrung eines berechtigten Interesses
Gemäß dem Beschluss der Datenschutzkonferenz (DSK) vom 24.05.2019 kann die Übermittlung von Kundendaten im Rahmen eines Asset Deals auf das Vorliegen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Danach ist die Verarbeitung rechtmäßig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Somit müssen die Interessen des Verantwortlichen einerseits und die Interessen des Betroffenen andererseits im Einzelfall gegeneinander abgewogen werden. Dabei lassen sich verschiedene Fallgruppen identifizieren, die aus datenschutzrechtlicher Sicht unterschiedlich zu behandeln sind.
Offene Forderungen
Bei der Abtretung von offenen Forderungen gegen Kunden nach § 398 BGB darf die Übermittlung der personenbezogenen Daten der betroffenen Personen auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.
Kundendaten bzgl. bestehender Verträge
Hier liegt eine Schuldübernahme im Sinne von § 415 BGB vor, bei der der Gläubiger (die betroffene Person) für deren Wirksamkeit ihre Genehmigung erteilen muss. Nach Ansicht der Datenschutzkonferenz ist in der Genehmigung nach § 415 BGB auch die datenschutzrechtliche Zustimmung zur Datenübermittlung enthalten, sodass die Bezugnahme auf Art. 6 Abs. 1 lit. f DSGVO für die Datenverarbeitung hier legitim ist. Liegt eine solche Genehmigung nicht vor, so ist die Übermittlung der Daten unzulässig.
Bestandskundendaten bei alten Verträgen
Gemäß Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (sogenannter Grundsatz der Speicherbegrenzung). Wenn die Verarbeitung von personenbezogenen Daten also zur Erreichung der festgelegten Zwecke nicht mehr erforderlich ist, dann sind diese zu löschen. Es besteht eine Pflicht zur Löschung der Daten. Zahlreiche Gesetze sehen Aufbewahrungspflichten von personenbezogenen Daten für Unternehmen vor. Ist eine solche Aufbewahrungspflicht vorgeschrieben, dann ist die Verarbeitung gemäß Art. 6 Abs. 1 lit. c DSGVO zulässig.
Die Übertragung von personenbezogenen Daten von Bestandskunden, bei denen die letzte Vertragsbeziehung älter als drei Jahre ist, darf gemäß dem Beschluss der Datenschutzkonferenz nur dann erfolgen, wenn die Verarbeitung lediglich der Einhaltung der gesetzlichen Aufbewahrungsfristen dient, die noch nicht abgelaufen sind. Eine Datenverarbeitung zu anderen Zwecken ist nicht zulässig. Für eine weitergehende Verarbeitung müsste die Einwilligung des Betroffenen somit vorab eingeholt werden.
Bestandskundendaten bei rezenten Verträgen
Handelt es sich um personenbezogene Daten von Bestandskunden, bei denen keine laufenden Verträge existieren aber mit denen in den letzten drei Jahren eine Vertragsbeziehung bestand, dann kann die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Dies gilt auch für Kundendaten bei bereits vertieften Vertragsanbahnungen. Die Einholung einer Einwilligung wäre in diesen Fällen realitätsfern, da hier ein Interesse des Kunden an der Fortsetzung der bisherigen Geschäftsbeziehungen anzunehmen ist. Allerdings muss der Verantwortliche den Kunden über die beabsichtigte Datenübermittlung im Voraus informieren und ihm die Möglichkeit einräumen, der Datenverarbeitung zu widersprechen. Die Widerspruchsfrist soll mindestens 6 Wochen betragen. Hat der Kunde innerhalb der Frist seinen Widerspruch geäußert, dann muss der Verantwortliche von der Übermittlung der Daten absehen.
Einwilligung des Betroffenen
Als Rechtsgrundlage für die Übermittlung der Kundendaten kommt auch die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO in Betracht. Auch wenn der Betroffene in die bisherige Verarbeitung durch den Veräußerer eingewilligt hat, muss eine neue Einwilligung eingeholt werden, die sich auf die Datenübertragung und auf die Datenverarbeitung durch das Unternehmen, das die Kundendaten erwirbt, bezieht.
Bei der Einwilligung handelt es sich um eine im Voraus unmissverständlich abgegebene Willensbekundung des Betroffenen, durch die er sein Einverständnis mit der Datenverarbeitung erteilt. Die Einwilligung muss freiwillig, in informierter Weise und in Form einer Erklärung oder einer sonstigen bestätigenden Handlung erfolgen. Weitere Informationen über die Einwilligung finden Sie in unserem Beitrag: Einwilligung im Datenschutz – Das ist zu beachten.
Eine pauschal erteilte Einwilligung, die dem Verantwortlichen die Möglichkeit gibt, die verarbeiteten personenbezogenen Daten in der Zukunft im Rahmen eines noch nicht konkretisierten Assets Deals an den Erwerber zu übermitteln, erfüllt die Anforderungen des Art. 7 DSGVO nicht. Die betroffene Person muss vielmehr im Einzelfall über den Zweck der Übermittlung und der Weiterverarbeitung informiert werden.
Das Problem mit der Einwilligung ist, dass die meisten Kunden, die kontaktiert werden, sich wahrscheinlich nicht melden werden, sodass nur in sehr wenigen Fällen eine Übermittlung von Kundendaten an das neue Unternehmen auf dieser Rechtsgrundlage erfolgen kann. Logischer ist, die Übermittlung der Daten auf ein berechtigtes Interesse zu stützen.
Erfüllung eines Vertrags
Schließlich stellt sich die Frage, ob die Übermittlung der Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, nach Art. 6 Abs. 1 lit. b DSGVO erfolgen darf. Die Veräußerungsverträge über die Vermögenswerte des Verantwortlichen werden allerdings zwischen dem alten und dem erwerbenden Unternehmen abgeschlossen. Die betroffene Person ist nicht Vertragspartei. Aus diesem Grund scheidet eine Datenübermittlung nach Art. 6 Abs. 1 lit. b DSGVO aus.
Wie sollen Unternehmen vorgehen?
Bei Unternehmenstransaktionen sind der Veräußerer und der Erwerber gut beraten, ein waches Auge für die mit der Transaktion einhergehenden datenschutzrechtlichen Risiken zu haben und den Datenschutzbeauftragten frühzeitig einzuschalten. Eine sichere Lösung stellt die Einholung der Einwilligung der Betroffenen dar, aber dies ist bei der Übertragung von großen Kundendatenbanken wenig erfolgsversprechend. Der Datenschutzbeauftragte kann bei der Ausgestaltung der Transaktion im Hinblick auf das Datenschutzrecht behilflich sein.
Interessanter Beitrag, vielen Dank! Gibt es in diesem Kontext auch Überlegungen zum Umgang mit den Daten der Mitarbeitenden? Das erwerbende Unternehmen möchte sicherlich zumindest ab einem bestimmten Punkt der Übernahme-Verhandlungen konkretere Aussagen zur Belegschaft oder mindestens zur Führungs-Riege.
Vielen Dank für die netten Worte und Ihre Frage. Damit der Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist, müssen personenbezogene Daten verarbeitet werden. Nach Art. 4 Nr. 1 DSGVO fallen unter diesen Begriff alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Insofern kann man grundsätzlich verhindern, dass die DSGVO bei der Übermittlung von Beschäftigtendaten zur Anwendung kommt, indem man den Personenbezug durch Anonymisierung entfernt. Wenn aber nicht anonymisierte Beschäftigtendaten an den Erwerber übermittelt werden, dann muss die Datenübermittlung auf eine Rechtsgrundlage gestützt werden und die Beschäftigten sind gemäß Art. 13 und 14 DSGVO hierüber zu informieren. Hier ist ferner zu beachten, dass zu den Beschäftigtendaten in der Regel sensible personenbezogene Daten gehören (Religionszugehörigkeit, Gewerkschaftszugehörigkeit, ethnische Herkunft, usw.), sodass häufig nur eine Einwilligung gemäß Art. 9 Abs. 2 DSGVO als Rechtsgrundlage in Betracht kommt.
Wie ist denn das Recht beim Thema E-Mail-Marketing? Wenn das Veräußernde Unternehmen gültige Werbeeinwilligungen per Double-Opt-In hat, die keine aktiven Kunden der letzten 3 Jahre sind – dürfen diese per erneutem Opt-In angeschrieben werden?
Bitte beachten Sie, dass wir im Rahmen des Blogs keine einzelfallbezogene Rechtsberatung vornehmen dürfen. Bitte wenden Sie sich hierzu an einen spezialisierten Rechtsanwalt.