Übertragung von Kundendaten bei Unternehmenstransaktionen

Hinweise zur datenschutzrechtlichen Zulässigkeit der Übertragung von Daten im Rahmen eines Unternehmenskaufs

Mit dem Verkauf von Unternehmen gehen bekanntlich zahlreiche juristische Fragestellungen einher. Dabei stehen meist börsen-, handels- und steuerrechtliche oder auch insolvenzrechtliche Probleme im Vordergrund. Datenschutzrechtliche Aspekte werden hingegen oftmals außer Acht gelassen. Versäumnisse im Hinblick auf das Datenschutzrecht können jedoch gravierende Konsequenzen haben und verdienen daher bei jedem Unternehmenskauf besondere Beachtung.

Die Anzahl an Unternehmen, deren Wert hauptsächlich aus einem „Datenschatz“ besteht, nimmt immer weiter zu. Das Geschäftsmodell vieler Unternehmen wie Facebook, Twitter etc. besteht größtenteils aus der Verwertung von Daten. Aber nicht nur in diesen offensichtlichen Fällen kann der Schutz von Daten bei Unternehmenstransaktionen eine Rolle spielen. Viele Unternehmen besitzen einen großen Kundenstamm, welchen sie bei einem Verkauf ebenfalls veräußern möchten. Diese Kundendaten machen oftmals einen wesentlichen Anteil des Unternehmenswertes aus und können daher im Falle einer Unternehmensveräußerung maßgeblich für den Kaufpreis sein. Dies gilt beispielsweise hinsichtlich Patientendaten bei Veräußerung Arztpraxen oder Apotheken, Mandantendaten bei Veräußerung von Rechtsanwalts- und Steuerberaterkanzleien oder sonstige Adressdaten bei Veräußerung von Unternehmen aller Art.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Herausforderung

Findet eine Unternehmensübernahme bzw. ein Unternehmensverkauf statt, so wechseln damit auch die Daten den Eigentümer. Rein technische oder komplett anonymisierte sind vom Datenschutzrecht nicht erfasst. Problematisch ist die Veräußerung von Daten immer dann, wenn diese personenbezogen sind. Das ist der Fall, wenn sich aus den Daten Rückschlüsse auf einzelne Menschen ziehen lassen. Der Umgang mit solchen Daten und dementsprechend auch deren Weitergabe in Form einer Veräußerung wird durch verschiedene datenschutzrechtliche Regelungen beschränkt.

Grundsätzlich gilt, dass Daten nur innerhalb der jeweiligen verantwortlichen Stelle (= Unternehmen) verarbeitet und insbesondere nicht an Dritte (= andere Unternehmen) weitergegeben werden dürfen. Die Weitergabe erfordert entweder eine ausdrückliche Erlaubnis im Gesetz oder die Zustimmung der betroffenen Kunden. Sofern vor einer Unternehmenstransaktion eine Due Dilligence zur Unternehmensbewertung stattfindet, muss genau geprüft werden, welche Daten dabei offen gelegt werden dürfen.

Dieses Verbot der Datenweitergabe gilt übrigens auch innerhalb von Verbundunternehmen (kein Konzernprivileg).

Share Deal oder Asset Deal

Aus datenschutzrechtlicher Sicht ist zunächst danach zu unterscheiden, ob das gesamte Unternehmen oder nur Teile eines Unternehmens auf den Erwerber übergehen soll.

Bei dem ersten Fall handelt es sich um einen sogenannten Share Deal, bei dem der Käufer vom Verkäufer Anteile an der Gesellschaft (etwa an einer GmbH als juristische Person) erwirbt. Die Rechtspersönlichkeit des Unternehmens bleibt hierbei identisch, so dass aus rechtlicher Sicht keine Übertragung der Daten stattfindet, da der Käufer durch die Gesamtrechtsnachfolge in die Position und in die Verträge des Verkäufers eintritt. Beim Share Deal ist die Übertragung der personenbezogenen Daten daher aus datenschutzrechtlicher Sicht zulässig, da der Erwerber nicht als Dritter i. S. d. Datenschutzrechts anzusehen ist.

Problematisch ist die Übertragung hingegen beim Asset Deal. Hierbei werden einzelne Rechtsgüter (z. B. eine Kundenliste mit Kontaktinformationen) auf eine andere Rechtspersönlichkeit übertragen. Da die Daten damit also auf eine andere verantwortliche Stelle übergehen, handelt es sich um eine Übermittlung i. S. d. Datenschutzrechts, die einer besonderen Rechtfertigung bedarf, d. h. einer Einwilligung der Betroffenen oder einer gesetzlichen Erlaubnisnorm.

Es ist dabei in der Praxis höchst umstritten und stets im Einzelfall zu prüfen, ob die Übermittlung von Kundendaten zur Erfüllung eines Geschäftszwecks erforderlich ist (§ 28 Abs. 1 BDSG). Bei sogenannten Listendaten (Name und Postanschrift) ist dies nach Auffassung der Datenschutzbehörden regelmäßig der Fall und daher ohne Einwilligung möglich, sofern das veräußernde Unternehmen die Übermittlung dokumentiert. Bei sonstigen ergänzenden Daten wie Geburtsjahr, E-Mailadressen, Telefonnummern, Zahlungsdaten oder Kaufhistorien ist der Verkauf dagegen nur dann zulässig, wenn der Betroffene darin eingewilligt hat.

Im Zweifel sollte daher eine Einwilligung aller betroffenen Kunden eingeholt werden. Dies kann auch dadurch geschehen, dass die Kunden vor dem Verkauf auf die Datenweitergabe hingewiesen werden und ihnen eine Widerspruchsfrist eingeräumt wird. Wenn diese Frist ohne Reaktion verstrichen ist, darf die Übertragung erfolgen. Sofern der betroffene Kunde einer Weitergabe widerspricht, müssen die Daten jedoch gelöscht werden und dürfen nicht an den Erwerber weitergegeben werden. Dies ist umso mehr geboten, wenn es sich bei den Daten auch um besonders sensible Informationen handelt, wie etwa Patientendaten beim Verkauf einer Arztpraxis oder Mandantendaten beim Verkauf von Anwalts- oder Steuerkanzleien, weil hier auch besondere Berufsgeheimnispflichten zu beachten sind.

Drohende Bußgelder

Auch wenn diese Probleme eigentlich seit Langem bekannt sind, versäumen es immer noch viele Unternehmen, sich datenschutzgerecht zu verhalten und riskieren damit hohe Bußgelder. Dass die Aufsichtsbehörden Verstöße sehr ernst nehmen, zeigt auch ein aktueller Fall. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Juli 2015 Bußgelder in fünfstelliger Höhe gegen das veräußernde und das erwerbende Unternehmen bei einem Asset Deal verhängt, weil die Vertragspartner die Übertragung von E-Mailadressen von Kunden eines Online-Shops in datenschutzrechtlich unzulässiger Weise durchgeführt hatten.

Hinweise zur Umsetzung in der Praxis

  • Die Datenübertragung bei Share Deals ist aus datenschutzrechtlicher Sicht unproblematisch
  • Bei Asset Deals erfordert die Weitergabe entweder das Vorliegen einer gesetzlichen Regelung oder die Einholung einer Einwilligung des Betroffenen vor dem Verkauf
  • Der Betroffene sollte vor dem Verkauf auf die Datenübertragung hingewiesen worden sein, damit er wiedersprechen kann, bevor es zum einem Datenschutzverstoß kommt

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.