R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
SRNL 2021, 21
von Laer 

Datenschutz im Unternehmenskauf: Übertragung von Kundendaten im Asset Deal

von Anna von Laer, Bielefeld

Abbildung 24

persönliche Daten = Verschlusssache

Der Begriff Asset Deal bezeichnet eine bestimmte Form des Unternehmenskaufs. Hierbei werden einzelne Wirtschaftsgüter (Assets) wie Grundstücke, Gebäude, Anlagen, Maschinen, Nutzungsechte, Patente oder auch web-Domains, einzeln erworben und auf den Käufer übertragen. Ein wirtschaftlich wichtiger Aspekt dabei ist die Übertragung von Kundendaten. Denn durch die Übertragung der einzelnen Vermögenswerte, zu denen die Kundendaten zählen, kommt es zu einer Änderung der datenschutzrechtlichen Verantwortlichkeit i.S. d Art. 4 Nr. 7 Datenschutzgrundverordnung (DSGVO). Deshalb muss für die Übertragung der Kundendaten, bei denen es sich um personenbezogene Daten handelt, in Übereinstimmung mit der DSGVO ein Rechtsfertigungsgrund vorliegen.

Anders sieht es hingegen bei einem Share Deal aus. Hier werden Geschäftsanteile veräußert aber der ursprüngliche Unternehmensträger bleibt bestehen. Durch diesen Prozess ändert sich nichts an der datenschutzrechtlichen Verantwortlichkeit. Ohne diesen Wechsel der Verantwortlichkeit liegt in Bezug auf die Kundendaten auch kein Verarbeitungsvorgang vor, weshalb es bei einem Share Deal keiner Rechtfertigung nach der DSGVO bedarf.

Roadmap für die Übertragung von Kundendaten im Asset Deal

Kundendaten stellen im digitalen Zeitalter einen immer größer werdenden eigenständigen Wert dar. Die Analyse von Kundendaten und die damit verbundene Erstellung von Profilen und Kaufhistorien erleichtert es Unternehmen zunehmend, zielgruppenspezifische Werbung zu gestalten und über entsprechende Kanäle zu verbreiten (Targeting). Ein sensibler Umgang mit den persönlichen Daten der Kunden ist aus datenschutzrechtlicher Sicht unerlässlich. Das bedeutet auch, dass für einen erfolgreichen Asset Deal der Übergang von Kundendaten frühzeitig mitbedacht und organisiert werden muss. Es gilt, Datenschutzkonzepte zu entwerfen und deren Durchführung bis zum endgültigen Verantwortungsübergang zu begleiten und passende Rechtfertigungsgrundlagen für die Datenübertragung zu finden.

Meistens wird in diesem Zusammenhang zuerst an die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) als Rechtfertigung zur Übertragung aller Kundendaten gedacht. Doch dieser vermeintlich datenschutzrechtlich sichere Weg hat seine Nachteile: Zum einen erscheint es wenig praktikabel, Einwilligungen von sämtlichen Kunden einzuholen – am besten noch über eine Double Opt-In Lösung – und zum anderen ist die Einwilligung jederzeit widerruflich, welches den Übertragungsprozess sehr unruhig und ungewiss gestalten kann. Denn dies kann im Übergang dazu führen, dass Kunden ihre Einwilligung nicht erneuern, sie zurückziehen oder es schlichtweg vergessen, was wiederum den Wert der Daten mindert.

Besser und langfristiger abgesichert gelingt eine Datenübertragung auf Grundlage einer vertraglichen Legitimierung (Art. 6 Abs. 1 lit b DSGVO) oder auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit f DSGVO). Dieses Vorgehen wird auch von den meisten Datenschutzbehörden sowie von der Datenschutzkonferenz (DSK) empfohlen. Hierzu ist es im ersten Schritt sinnvoll die Kundendaten in verschiedene Fallgruppen zu unterteilen.

  • Übernahme von Kundendaten aus laufenden Verträgen:

    Bei Kundendaten aus laufenden Vertragsverhältnissen gehen die Verträge, zum Beispiel über einen dreiseitigen Vertrag (§ 415 BGB, Schuldübernahme), auf den Erwerber über. Durch die Genehmigung der Schuldübernahme erfolgt gleichzeitig die datenschutzrechtliche Legitimierung über Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Datenübermittlung ist dann zur Erfüllung eines Vertrages erforderlich.

  • Daten von Bestandskundinnen und -kunden (letzte aktive Vertragsbeziehung liegt mehr als drei Jahre zurück):

    Daten von Bestandskunden, bei denen die letzte vertragliche SRNL 2021 S. 21 (22)Interaktion mehr als drei Jahre zurück liegt, können vom Erwerber nicht ohne weiteres genutzt werden. Hier ist es schwierig ein berechtigtes Interesse an der (werblichen) Nutzung darzulegen, sodass eine Übertragung nur unter dem Gesichtspunkt der gesetzlicher Aufbewahrungsfristen erfolgen darf. Zur Wahrung der gesetzlichen Aufbewahrungspflichten ist es jedoch auch möglich, dass entsprechende Kundendaten nicht übertragen werden, sondern beim Verkäufer oder einem Dienstleister verbleiben, der die Kundendaten für den gesetzlich bestimmten Zeitraum aufbewahrt.

  • Kundendaten aus fortgeschrittener Vertragsanbahnung bzw. Bestandskundinnen und -kunden ohne laufende Verträge (letzte aktive Vertragsbeziehung liegt weniger als 3 Jahre zurück): Kundendaten ohne aktuelle Vertragsbeziehungen können nur nach erfolgreicher Interessensabwägung gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO an den Erwerber übergehen. Der Erwerber müsste also ein berechtigtes Interesse an der Übermittlung dieser Kundendaten haben und es dürfen diesem keine überwiegenden Interessen der Kunden entgegenstehen. Hierbei ist es wichtig zu klären, für welchen Zweck diese Kundendaten an den Erwerber übermittelt werden sollen. Wenn der Erwerber den Betrieb oder das Geschäftsmodell im Wesentlichen fortführen möchte oder ausschließlich ein Wechsel der Verantwortung vorliegt, hat der Kunde keine großen Änderungen seitens des neuen Erwerbers zu erwarten. In diesem Fall kann also auch davon ausgegangen werden, dass die Kunden ebenfalls erwarten, dass zur Fortführung des Geschäftes, für die zukünftige Vertragsbeziehungen oder für die Klärung offener Fragen aus alten Vertragsbeziehungen die Daten an den Erwerber übermittelt werden. Schutzwürdige Interessen der Kunden stehen in diesen Fällen einer Datenübermittlung nicht entgegen. Die Kunden müssen jedoch frühzeitig über den geplanten Verkauf informiert werden und ihnen muss die Möglichkeit eingeräumt werden, einer Datenübertragung in angemessener Frist zu widersprechen (Opt-out-Modell). Die Information muss den datenschutzrechtlichen Vorgaben der DSGVO entsprechen.

  • Übernahme von Kundendaten für den Newsletter Versand:

    Ein Newsletter Versand ist in der Regel nur dann datenschutz- und wettbewerbsrechtlich möglich, wenn von den Kunden eine Einwilligung eingeholt wurde. Hier müsste die Einwilligung, die die Kunden dem Alteigentümer gegeben haben, auch gegenüber dem Erwerber wirksam sein. Aber an einer expliziten Einwilligung wird es regelmäßig fehlen, denn in den seltensten Fällen wird es bei der Einholung der Einwilligung möglich sein bereits einen zukünftigen Erwerber zu berücksichtigen. Daher muss hier eine einzelfallbezogene Auslegung der Einwilligung vorgenommen werden. Wenn folgende Aspekte eingehalten werden, kann der Übergang der Daten auf den Erwerber vertreten werden: Zum einen muss die Einwilligung zum Newsletter Versand geschäfts- bzw. produktbezogen sein. Zusätzlich ist erforderlich, dass der Geschäftszweck unter dem Erwerber derselbe bleibt. Für den Newsletter Abonnenten muss somit ganz klar das Interesse an den Produkten und Aktionen im Vordergrund sein und nicht der dahinterstehende Inhaber. Ein datenschutzrechtliches Risiko bleibt bei dieser Vorgehensweise jedoch bestehen, da damit gerechnet werden kann, dass Aufsichtsbehörden eine Auslegung bevorzugen.

Zeitliche und rechtliche Planung der Datenübertragung

Es ist wichtig, dass sich Unternehmen für die Planung der Übertragung von Kundendaten im Asset Deal genug Zeit lassen. Die Parteien müssen bereits in Vorbereitung der Due Diligence prüfen, welche Daten aus datenschutzrechtlicher Sicht dem Erwerber überhaupt zugänglich gemacht werden können. Des Weiteren müssen alle Daten dahingehend überprüft werden, ob sie zum Beispiel rechtmäßig erhoben wurden, ob die Zweckbindung der Daten eingehalten wurde und ob die Daten überhaupt aktuell und richtig sind. Damit der Übermittlungsprozess möglichst sicher gestaltet wird, muss darauf geachtet werden, dass die Daten nur verschlüsselt an den Erwerber übertragen werden. Beim zeitlichen Ablauf sollte auch die Einräumung ausreichender Widerspruchsfristen für die Kunden mit einberechnet werden. Den Kunden sollten Fristen von bis zu sechs Wochen eingeräumt werden, in denen sie der Übertragung der Daten widersprechen können. Der Prozess der Datenübergabe muss vom Veräußerer angestoßen werden, da der Erwerber zu diesem Zeitpunkt noch keine Berechtigung hat, die Kunden entsprechend anzuschreiben. Aufgrund der Komplexität und des hohen Risikos sollte jeder Unternehmenskauf durch datenschutzrechtliche Experten begleitet werden. Wie ein Unternehmen mit seinen Kundendaten umgeht, ist häufig nach außen sichtbar und kann bei datenschutzrechtlichen Verstößen schnell zu Nachteilen für das Unternehmen führen, sei es durch schlechte Darstellung in der Presse als auch durch die Verhängung von Bußgeldern.

Abbildung 25

Anna von Laer betreut seit dem Frühjahr 2020 als Rechtsanwältin für die MÖNIG Wirtschaftskanzlei Mandate im IT-Recht, Datenschutz- und Gesellschaftsrecht. Sie ist zudem TÜV-zertifizierte Datenschutzbeauftragte. Davor hat sie mehrere Jahre als Justiziarin für eine große Deutsche Stiftung gearbeitet und war dort für die rechtliche Beratung in komplexen IT-Projekten und für die datenschutzrechtliche Umsetzung innovativer Digitalformate zuständig.

 
stats