Erst vor kurzem hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen das Datenschutzrecht ein erhebliches Bußgeld auferlegt. Der Umgang mit den Kundendaten des eingekauften Unternehmens erfolgte nicht datenschutzkonform. Die Nutzung der bestehenden Kundendaten ist für den Käufer nur unter bestimmten Voraussetzungen möglich, die vorliegend nicht eingehalten worden.
Der Inhalt im Überblick
Daten sind Vermögenswerte
Schon lange werden Daten, vor allem personenbezogene, als die neue Währung des 21. Jahrhunderts gehandelt. So sind auch Kundendaten für Unternehmen nicht zu unterschätzende Vermögenswerte („Assets“) und stellen eine gewichtige Komponente bei sog. asset deals (Unternehmensverkauf mit Übertragung aller Sachwerte) dar. Die bayrische Datenschutzbehörde hat nun in einer Pressemitteilung dargestellt, welche Folgen ein unsachgemäßer Umgang mit solchen „eingekauften“ Daten haben kann: ein Bußgeld in fünfstelliger Höhe. Die betroffenen Parteien des Unternehmenskaufs hatten die datenschutzrechtlichen Vorschriften nach Ansicht der Aufsichtsbehörde mißachtet.
Thomas Kranig, Präsident des BayLDA, teilte mit:
„Bei Asset Deals werden personenbezogene Kundendaten bisweilen unter Verstoß gegen das Datenschutzrecht veräußert. Um die Sensibilität der Unternehmen zu erhöhen, werden wir in auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden.“
Unternehmensverkauf und Datenschutzrecht
Bei Unternehmenstransaktionen wird den Interessenten üblicherweise schon im Vorfeld eine Vielzahl von Informationen zur Verfügung gestellt. Dadurch wird es überhaupt erst möglich das Kaufobjekt wirtschaftlich und rechtlich zu beurteilen. Selbstverständlich spielen dabei auch eine Menge personenbezogener Daten wie etwa Mitarbeiter-, Lieferanten- und Kundendaten eine gewichtige Rolle.
Die Weitergabe von Mitarbeiterdaten an potentielle Käufer etwa, ist eine Übermittlung von personenbezogenen Daten an Dritte gemäß § 3 Abs. 4 Nr. 3a oder b BDSG, die gemäß § 4 Abs. 1 BDSG in jedem Fall erlaubnispflichtig ist. Somit ist schon in dieser frühen Phase des Verkaufs zu prüfen, wie eine Übermittlung der Daten rechtskonform umgesetzt werden kann.
Oft sind gerade die vorhandenen Kundendaten in dem zum Verkauf stehenden Unternehmen für den Käufer von großem Interesse und bietet ihm die Möglichkeit den wertvollen Kundenstamm später nutzen zu können. Hierfür fordert der Verkäufer dann häufig auch einen entsprechenden Kaufpreis. Datenschutzrechtlich ist aber die Übertragung und Nutzung der erhaltenen Daten nicht per se zulässig, es muss hier im Einzelfall untersucht werden, welche Daten zu welchem Zweck übertragen und weitergenutzt werden können. Dies gilt zumindest dann, wenn ein Unternehmen durch Übertragung der Sachwerte verkauft wird (asset deal) und nicht nur ein Teil eines Unternehmens bzw. eine bloße Umwandlung oder Verschmelzung des entsprechenden Unternehmensteils vorgesehen ist oder der Verkauf durch Übertragung der Anteile vollzogen wird (share deal) und die Rechtspersönlichkeit des Unternehmens als solche bestehen bleibt.
Datenschutzbehörde statuiert Exempel
Die Datenschutzaufsichtsbehörde aus dem Freistaat Bayern hat nunmehr das erste prominente Exempel statuiert, in einem Fall, in dem die im Zuge eines Unternehmenskaufs erlangten E-Mail Adressen der Kunden rechtswidrig für Werbezwecke genutzt worden sind.
Die Behörde stellt in ihrer Erklärung klar, dass die Übermittlung von Namen und Postanschriften von Kunden (die sog. Listendaten) grundsätzlich auch ohne vorherige Einwilligung des Betroffenen übermittelt (und genutzt werden dürfen), wenn das veräußernde Unternehmen die Übermittlung dokumentiert hat.
Bei den übrigen Daten wie Telefonnummern, E-Mail-Adressen, Konto- und/oder Kreditkartendaten aber, ist eine Übertragung nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten eingewilligt haben oder zumindest auf die geplante Übermittlung hingewiesen worden sind, ihnen ein Widerspruchsrecht eingeräumt wurde und sie nicht widersprochen haben.
„Unternehmen (…) müssen sich bewusst machen, dass personenbezogene Kundendaten nicht wie eine beliebige Ware veräußert werden dürfen. Vielmehr ist dies nur unter Beachtung der datenschutzrechtlichen Voraussetzungen erlaubt.“
Regelmäßig gingen – wie im beurteilten Fall – bei der Behörde Beschwerden Betroffener ein, die E-Mail-Werbung von ihnen unbekannten Unternehmen erhalten. Wie sich später herausstellt ist dies oft auf asset deals zurückzuführen, so die Behörde.
Des Weiteren weist das BayLDA darauf hin, dass E-Mail-Adressen und Telefonnummern auch gemäß § 7 Abs. 2 Nr. 2 und Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht ohne ausdrückliche Werbeeinwilligung des jeweiligen Kunden genutzt werden dürfen. Selbst wenn den Betroffenen ein Widerspruchsrechts vor der Datenübermittlung eingeräumt wurde.
Es ist daher notwendig, dass die betroffenen Kunden bereits bei Vertragsabschluss in einen Weiterverkauf ihrer Daten freiwillig einwilligen, was die spätere Weitergabe und Nutzung deutlich vereinfacht. Wenn dies nicht geschieht bleibt nur die Widerspruchslösung, so dass alle Kunden beim Verkauf informiert werden müssen und Ihnen eine angemessene Frist zum Widersprechen gegeben werden muss.
Fazit: Due Diligence inkl. Datenschutzrecht
Bei Unternehmenskäufen ist stets auch eine genaue datenschutzrechtliche Analyse vorzunehmen, um explizit zu klären, wie der Umgang mit den betroffenen Daten in jedem Abschnitt des Kaufs rechtskonform umgesetzt werden kann. Zu unterscheiden ist somit die Zulässigkeit der Übermittlung der Daten im Vorfeld eines Kaufs, die Integration der Daten aus dem erworbenen Unternehmen und dessen Nutzungsmöglichkeit im weiteren Geschäftsbetrieb des Erwerbers. Zudem ist eine solche Untersuchung entscheidend für eine sorgfältige Wertpfindung des Kaufobjekts, welches den Kern jeder Due Diligence Prüfung ausmacht.
Die Transaktion eines Unternehmens, ohne vorherige gründliche Prüfung der datenschutzrechtlichen Vorgaben, muss heutzutage als grob fahrlässig bezeichnet werden und kann durch die Aufsichtsbehörden ggf. auch empfindlich bestraft werden (Bußgelder in Höhe von bis zu 300.000 Euro).
Die Einbeziehung eines Datenschutzexperten bzw. des betrieblichen Datenschutzbeauftragten erscheint daher bei anstehenden Unternehmensverkäufen mehr als sinnvoll.
Meiner Meinung nach wurde der Share- und Asset Deal hier nicht richtig beschrieben. Der Asset Deal ist die Veräußerung einzelner Unternehmensteile, so z.B. Grundstücke, Gebäude, Maschinen oder eben Kundendaten etc. Beim Share Deal werden dagegen die Anteile eines Unternehmens verkauft, d.h. das Unternehmen bleibt beim Share Deal als Ganzes bestehen. Unter diesem Gesichtspunkt macht die Entscheidung des BayLDA dann schon eher Sinn, da beim Share Deal das veräußerte Unternehmen die Daten nach wie vor selber nutzt.
Vielen Dank für Ihren Hinweis. Der asset deal ist, wie im Text beschrieben ein Unternehmensverkauf, der durch Übertragung der Sachwerte vollzogen wird, also auch den Ankauf Kauf von Kundendaten beinhalten kann. Beim share deal wird der Unternehmensverkauf durch Verkauf der Anteile vollzogen, wobei die Rechtspersönlichkeit bestehen bleibt. Wir haben die Textpassage angepasst, die diese vermeintliche Unklarheit beseitigt.
Ich würde sehr gerne wissen, was man jetzt wirklich machen muss?
Im Text wird einmal davon gesprochen, dass eine Widerspruchslösung ausreicht bei Übernahme der Assets und danach wird wieder davon gesprochen das eine Einwilligung notwenidg ist. Ich habe einen Kunden der gerade vor einem Unternehmensverkauf steht und genaue diese Absicherung zu 100% wissen sollte. Freue mich auf eine Antwort!
Wenn Daten im Rahmen eines asset deals übertragen werden sollen, ist dies grundsätzlich nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten (vorher) eingewilligt haben ODER zumindest – bereits im Vorfeld – auf die geplante Übermittlung hingewiesen worden sind, ihnen ein Widerspruchsrecht eingeräumt wurde (mit angemessener Frist) und sie nicht widersprochen haben. Die Einwilligungs- und Widerspruchslösung stehen daher in einem Alternativverhältnis. Beachten Sie aber, dass die werbliche Nutzung der „erworbenen“ E-Mail Adressen und Telefonnummern immer eine Einwilligung der betreffenden Kunden voraussetzt. Ich empfehle Ihnen, bei dem Unternehmensverkauf zusätzlich den zuständigen Datenschutzbeauftragten mit einzubinden.
Haben Sie umfassende Informationen über den Umgang mit personenbezogenen Daten (Mitarbeiter-, Kunden-, Lieferantendaten …) beim Share Deal und Asset Deal oder wissen Sie wo ich diese finden kann?
Gerne beraten wir Sie bei einem anstehenden Unternehmenskauf (Share- oder Asset Deal) hinsichtlich des datenschutzkonformen Umgangs mit den betroffenen Daten. „Umfassende Informationen“ können wir hier im Rahmen eines Kommentars jedoch nicht zu Verfügung stellen, wir bitten um Ihr Verständnis.
Sofern Sie eine eingehende Beratung durch unsere Consultants zu diesem Thema wünschen, wenden Sie sich bitte einfach an uns, telefonisch oder über unser Kontaktformular!
Wenn eine Einzelfirma in eine GmbH eingebracht, bzw. umgewandelt wird – wie ist da dann die Rechtslage – es ist ja eine neue Rechtspersönlichkeit, die die Daten dann nutzt. Also auch hier die Einwilligungs- bzw. Widerspruchslösung?
Wie mit Kundendaten im Falle eines Betriebsübergangs umzugehen ist, können Sie hier nachlesen: Datenschutz bei Betriebsübergang
Wenn nun eine österreichische Gesellschaft von einem deutschen Ein-Mann Vertriebshändler bloß den Kundenstock kauft, der Vertriebshändler aber in Pension geht und somit sein Unternehmen nicht weiter besteht, ist dies a) als asset deal zu qualifizieren b) als zustimmungspflichtig anzusehen, wenn ja gibt es dazu eine Rechtsgrundlage oder Judikatur?
Mir besten Dank!
Die Rechte und Pflichten beim Kauf eines Handelsgeschäftes von einem in Deutschland ansässigen Kaufmann dürften sich aus §§ 23 ff. HGB ergeben, wenn diese in Ihrem Fall zur Anwendung kommen, was anhand der mitgeteilten Information nicht abschließend beurteilt werden kann. Hierbei dürfte es sich jedenfalls um einen sog. „Asset Deal“ handeln. Ob in diesem Zusammenhang die erteilten Werbeeinwilligungen weiter durch den Erwerber bei Nicht-Fortführung der Firma genutzt werden dürfen, hängt von ihrer Ausgestaltung im Einzelfall ab. Häufig ist dies nicht so einfach möglich, da die Einwilligung auf die nicht fortgeführte Firma eingeholt wurde. Eine Weiterveräußerung ist hiervon regelmäßig nicht gedeckt. Insofern sollte vor einem Erwerb der dem Unternehmen beigemessene Wert regelmäßig einer entsprechenden Due Diligence Prüfung unterzogen werden.
Was ich in diesem Zusammenhang nicht verstehe: in Deutschland gilt ja bekanntlich das Verbot mit Erlaubnisvorbehalt. Eine Datenverarbeitung ist demnach nur dann zulässig, wenn eine Einwilligung des Betroffenen vorliegt oder eine andere Rechtsvorschrift die Verarbeitung erlaubt. Wie passt die Widerspruchslösung des BayLDA in dieses Konzept? Wird hier eine (mutmaßliche) Einwilligung fingiert oder gibt es eine Rechtsvorschrift, die eine solche Widerspruchslösung erlaubt? Ich kenne keine.
Die Widerspruchslösung ist nur in den Fällen zulässig, wo der Betroffene vor dem Unternehmenskauf in die Datenübermittlung eingewilligt hat. In den anderen Fällen, wo der Betroffene nicht eingewilligt hat, muss er auch nicht widersprechen, da die Übermittlung dann datenschutzrechtlich per se unzulässig ist.
Diese Interpretation ergibt sich aber nicht aus der Pressemitteilung, die insoweit ausdrücklich von „oder“ spricht: „Dies ist jedoch nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten eingewilligt haben oder zumindest – bereits im Vorfeld – auf die geplante Übermittlung hingewiesen, ihnen ein Widerspruchsrecht eingeräumt wurde und sie nicht widersprochen haben.“ Damit stellt nach Ansicht des BayLDA Hinweis + Widerspruchsrecht eine Alternative zur Einwilligung dar. Und eben das passt m.E. nicht in die deutsche Datenschutzkonzeption.
Eine Übermittlung von Kundendaten kann gemäß § 28 Abs. 1 Nr. 2 BDSG auch dann in Betracht kommen, wenn sie zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist und keine überwiegenden Interessen des Betroffenen entgegenstehen.
Vorliegend könnten daher die Interessen des Verkäufers an der Übertragung der Kundendaten überwiegen. Zur Ermittlung möglicher einer Übermittlung entgegenstehender Interessen des Kunden kann es genügen, ihn auf die bevorstehende Übertragung seiner personenbezogenen Daten hinzuweisen und ihm eine angemessene Widerspruchsfrist einzuräumen. Widerspricht der Kunde nicht, ist vom Überwiegen der berechtigten Interessen des Unternehmens auszugehen.
Haben Sie ein Musteranschreiben für Kunden über die Datenübermttlung? Formulierung genauer Inhalt etc.? Vielen Dank
Wir möchten eine Geschäftsauflösung machen. Gut zu wissen, dass man mit allen Daten sehr sensible umgehen sollte aufgrund des Datenschutzes. Diesen Tipp werden wir berücksichtigen.