Kundendaten beim Asset Deal: Datenschutz- & Informations­pflichten

Unterschied zwischen Share Deal und Asset Deal

Bei einem Share Deal tritt der Erwerber durch Übertragung von Anteilen (engl.: Shares) in die Rechtsposition des Veräußerers ein, das heißt, der Erwerber übernimmt dabei die Rechte und Pflichten des anderen Unternehmens. Dadurch wird das Unternehmen grundsätzlich unverändert fortgeführt. Deshalb bleibt die datenschutzrechtliche Verantwortlichkeit bestehen und es handelt sich nicht um eine Datenweitergabe. Eine gesonderte Rechtsgrundlage ist nicht nötig. Gleichwohl muss jedoch der Zweckbindungsgrundsatz der DSGVO weiter beachtet werden.

Demgegenüber werden beim Asset Deal nur einzelne Wirtschaftsgüter / Vermögenswerte (engl.: Assets) auf den Erwerber übertragen, wie bspw. ein Grundstück, Maschinen, Kundenstamm, Rechte oder auch eine Domain. In diesem Rahmen kann auch eine Übertragung von personenbezogenen Daten - wie etwa Mitarbeiter- und Kundendaten - erfolgen. In solchen Fällen handelt es sich um eine Datenübertragung, die eine Rechtsgrundlage erfordert. Auch ändert sich die Verantwortlichkeit nach der DSGVO.

Rahmenbedingungen beim Unternehmenskauf

Datenschutzrechtliche Beziehung

Schon vor der Due Diligence müssen sich die Parteien Gedanken über ihre datenschutzrechtliche Beziehung machen. Im Rahmen des Unternehmenskaufes handelt es sich hinsichtlich des Austausches personenbezogener Daten meist um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen den Unternehmen. Die wesentlichen Regelungen sollten in Geheimhaltungsvereinbarungen (NDA) und Letter of Intent / Memorandum of Understanding integriert werden.

Datenschutzstandards und Rechtsgrundlage

Die im Rahmen der Due Diligence eingesetzten Dienste, wie etwa Datenraumanbieter (z. B. Merrill Datasite), müssen angemessene Datenschutzstandards erfüllen, insbesondere hinsichtlich der IT-Sicherheit. Außerdem sollte während der Due Diligence eine sogenannte datenschutzrechtliche Due Diligence erfolgen, eine Prüfung der Datenschutzkonformität des Zielunternehmens, um Risiken abzuschätzen und späteren Problemen und sogar möglichen Bußgeldern vorzubeugen.

Vor Abschluss des Asset Deals ist die Übermittlung von personenbezogenen Daten (z. B. Daten von Kunden, Lieferanten, Beschäftigten) grundsätzlich unzulässig. Eine Übermittlung an den potenziellen Erwerber kann im Einzelfall aufgrund einer freiwillig erteilten Einwilligung der von der Übermittlung betroffenen Person jedoch zulässig sein.

Regelmäßig wird Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Datenübertragung im Rahmen der Due Diligence dienen. Dafür muss eine umfassende und dokumentierte Interessenabwägung vorgenommen werden. Bei der Datenübertragung müssen zudem die allgemeinen Grundsätze aus der DSGVO, wie bspw. Datenminimierung beachtet werden. So dürfen nur die personenbezogenen Daten übermittelt werden, die für die jeweilige Phase des Unternehmenskaufs auch wirklich erforderlich sind.

Wie wird im späteren Kaufvertrag mit Datenschutzthemen umgegangen?

In den Kaufverträgen sollten Garantien aufgenommen werden, welche die Einhaltung der Datenschutzstandards der DSGVO betreffen. Auch sollten Freistellungsklauseln bedacht werden, um sich von Risiken freistellen zu lassen. Der Kaufvertrag sollte auch im Allgemeinen beinhalten, wie der Datenschutz im Unternehmen behandelt wurde und wie die Grundsätze der DSGVO eingehalten wurden.

Informationspflichten vs. Geheimhaltungsinteressen

Sowohl Veräußerer als auch Erwerbsinteressent unterliegen nach Art. 13, 14 DSGVO Informationspflichten. Der Veräußerer muss nach Art. 13 Abs. 3 DSGVO über die Zweckänderung informieren (Weitergabe der Daten im Rahmen der Due Diligence) und weitere maßgebliche Informationen mitteilen. Wird die Datenübertragung im Rahmen der Due Diligence auf berechtigte Interessen, Art. 6 Abs. 1 lit. f DSGVO, gestützt, so muss grundsätzlich auch ein Widerspruchsrecht eingeräumt und darüber informieret werden. Doch auch den Interessenten treffen Informationspflichten durch den Erwerb der Daten gemäß Art. 14 DSGVO.

Die Informationspflichten widersprechen den Vertraulichkeitsinteressen und Geheimhaltungspflichten der Parteien, die über die mögliche Anbahnung eines Unternehmenskaufes die Kunden, Mitarbeiter und die Öffentlichkeit gerade nicht vorab informieren wollen. Konkret dafür angedachte Ausnahmen aus dem BDSG-alt in §§ 33 Abs. 2 S. 1 Nr. 3, Nr. 7 b wurden allerdings weder in der DSGVO noch im BDSG-neu übernommen. Deshalb ist hier eine genaue Auseinandersetzung mit den rechtlichen Möglichkeiten für Ausnahmen notwendig.

Ausnahmen von den Informationspflichten des Erwerbsinteressenten

Der Erwerbsinteressent kann sich auf eine Ausnahme in Art. 14 Abs. 5 lit. b DSGVO berufen. Danach ist die Erteilung der Informationen nicht erforderlich, wenn sie sich als unmöglich erweist oder mit einem unverhältnismäßig hohen Aufwand verbunden wäre. Dies kommt in Betracht, weil die Ermittlung aller potentiell Betroffenen in der Regel außerordentlich aufwendig wäre und auch Widersprüche oder Auskunftsbegehren die Durchführung der Due Diligence blockieren oder verzögern könnte.

Darüber hinaus können sich Erwerbsinteressenten auch auf § 29 Abs. 1 S. 1 BDSG stützen, wonach Informationspflichten nach Art. 14 DSGVO nicht bestehen, sofern Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen. In beiden Fällen ist jedoch eine sorgfältig begründete Dokumentation zwischen dem Interesse an Geheimhaltung und den Interessen der Betroffenen erforderlich.

Ausnahmen von den Informationspflichten des Veräußerers

Für den Veräußerer erweist sich das Suchen nach einer Ausnahme von den sonst geltenden Informationspflichten als schwierig.

Zwar existiert mit Art. 13 Abs. 4 DSGVO grundsätzlich eine Ausnahme von der Informationspflicht. Diese ist jedoch im Rahmen der Due Diligence bzw. im Asset Deal nicht anwendbar. Denn die Ausnahme greift nur ein, wenn die betroffene Person bereits über nach Art. 13 Abs. 1 bis 3 DSGVO erforderlichen Informationen verfügt.

Eine diskutierte - wenn auch stark umstrittene - Möglichkeit wäre, Art. 14 Abs. 5 lit. b DSGVO analog auf Art. 13 DSGVO anzuwenden. Dagegen wird eingewandt, dass Art. 13 und 14 DSGVO unterschiedliche Zielrichtungen und nicht vergleichbare Sachverhalte hätten. Grundsätzlich spricht dafür hingegen, dass es wertungswidersprüchlich wäre, nur dem Erwerbsinteressenten eine Ausnahme einzuräumen. Darüber hinaus empfiehlt auch der Erwägungsgrund 62 der DSGVO eine Ausnahme von der Informationspflicht bei unverhältnismäßig hohem Aufwand (und beschränkt sich dabei nicht auf Art. 14 DSGVO).

Eine analoge Anwendung des Art. 14 Abs. 5 lit. b DSGVO scheitert jedoch jedenfalls daran, dass es keine Notwendigkeit für eine Analogie gibt. Damit eine Norm analog angewandt werden kann, bedarf es neben der zuvor erwähnten Vergleichbarkeit von Sachverhalten bzw. Interessen auch einer sog. planwidrigen Regelungslücke. Das bedeutet, dass der Gesetzgeber versehentlich einen Sachverhalt nicht geregelt hat.

Davon ist hier nicht auszugehen. Denn mit Art. 13 Abs. 4 DSGVO hat der europäische Gesetzgeber Bewusstsein dafür gezeigt, dass es auch eine Ausnahme von der Informationspflicht nach Art. 13 DSGVO geben kann. Es dürfte daher eine bewusste Entscheidung gewesen sein, unterschiedliche Ausnahmen für die Informationspflichten nach Art. 13 und Art. 14 DSGVO aufzustellen.

Als weitere Ausnahme wird § 32 Abs. 1 Nr. 4 BDSG angeführt, wonach keine Informationspflicht bei einer Zweckänderung bestünde, wenn sie die Geltendmachung rechtlicher Ansprüche beeinträchtigen würde. Es ist jedoch fraglich, ob überhaupt ein Anspruch auf Durchführung einer Due Diligence besteht, weshalb diese Ausnahme unsicher ist.

Daneben wird eine grundrechtlich gebotene Reduzierung des Anwendungsbereichs des Art. 13 DSGVO oder weite Auslegung des Art. 13 Abs. 3 DSGVO vorgeschlagen. Es wird dann empfohlen, die potenzielle Übermittlung personenbezogener Daten an Erwerbsinteressenten in jede Datenschutzerklärung und -information vorab aufnehmen. In diesem Fall wäre eine erneute Information nach Art. 13 Abs. 4 DSGVO entbehrlich. Diese Lösung wird bereits von einigen großen Unternehmen eingesetzt.

Der Veräußerer sollte die gewählte Variante begründen und vorab dokumentieren. Er sollte die Interessenabwägung umfangreich durchführen und die sich gegenüberstehenden Interessen benennen und ausformulieren.

Datenschutzkonforme Übertragung von Kundendaten und Beschäftigtendaten im Rahmen eines Asset Deals

Die Datenschutzkonferenz (DSK) hat im September 2024 die Leitlinien zur Datenübertragung beim Asset Deal überarbeitet. Der Beschluss legt den Fokus dabei auf zwei Datenkategorien, die regelmäßig beim Asset Deal eine besondere Rolle einnehmen, und zwar die Übertragung von Kundendaten, Beschäftigtendaten sowie von Daten von Lieferanten.

Übertragung von Kundendaten

Die Übermittlung von Kundendaten im Rahmen eines Asset Deals ist abhängig von dem jeweiligen Stadium, in welchem sich der Asset Deal befindet. So ist zwischen der Vertragsanbahnung, einer laufenden Vertragsbeziehung des Veräußerers mit den Kunden und einer vollständig erfüllten oder beendeten Vertragsbeziehung zwischen Veräußerer und Kunden zu unterscheiden.

Hier eine Zusammenfassung der wichtigsten Fallgruppen:

1. Übertragung von Kundendaten bei Vertragsanbahnung: Hier ist zu unterscheiden: wenn die Kunden von sich aus rügelos die Verhandlung mit dem Erwerber fortführen, ist die Verarbeitung durch Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt. Sofern der Erwerber jedoch die Vertragsverhandlung führt, ist die Übermittlung aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) gerechtfertigt. Den Kunden steht dann jedoch ein Widerspruchsrecht mit einer angemessenen Frist (etwa 6 Wochen) zu.
2. Übertragung bei laufenden vertraglichen Beziehungen: bei laufenden vertraglichen Beziehungen zwischen dem Veräußerer und seinen Kunden und der Übertragung und Übernahme dieser Verträge auf den Erwerber findet Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage Anwendung. Dasselbe gilt auch bei einer Schuldübernahme nach § 415 Abs. 1 BGB.  Handelt es sich dagegen lediglich um eine Erfüllungsübernahme, etwa eine Freistellung des Veräußerers von einer Schuld gegenüber den Kunden, muss das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO geprüft werden.
3. Beendete vertragliche Beziehung: Für Zwecke gesetzlicher Aufbewahrungspflichten ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Eine Übermittlung der Daten ist zulässig, die Daten dürfen jedoch nur zum Zwecke gesetzlicher Aufbewahrungsfristen genutzt werden. Eine Nutzung zu eigenen Zwecken ist dem Erwerber nur mit einer wirksamen Einwilligung der Kunden möglich. Der Erwerber hat die Daten getrennt von anderen Kundendaten zu lagern (z. B. durch eine „Zwei-Schrank-Lösung“). Alternativ können sie beim Veräußerer verbleiben.

Neben diesen Fallgruppen befasst sich der Beschluss der DSK auch mit der Übertragung bestimmter Datenkategorien von Kundendaten und zu welchen Zwecken die Übermittlung erfolgt.

1. Verwendung zu Werbezwecken durch den Erwerber: Der Erwerber kann die Daten regelmäßig nach Art. 6 Abs. 1 lit. f DSGVO zu Werbezwecken nutzen, wie es auch durch den Veräußerer zulässig war, soweit die Daten rechtskonform nach den zuvor dargestellten Grundsätzen bei der Vertragsanbahnung oder bei laufender Vertragsbeziehung übertragen wurden. Eine Hürde stellt hierbei jedoch das Wettbewerbsrecht dar, da bei der Interessenabwägung die Vorgaben des UWG, insbesondere des § 7 UWG, zu beachten sind. Nach dieser Norm ist insbesondere bei Werbung per Telefon oder E-Mail eine Einwilligung erforderlich. Die Ausnahmevorschrift des § 7 Abs. 3 Nr. 1 UWG findet in der Regel keine Anwendung, da es dem Erwerber an einem Vertragsverhältnis mit den Kunden fehlt.
2. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Diese Daten (wie Gesundheitsdaten) dürfen nur mit ausdrücklicher Einwilligung des Kunden übermittelt werden.
3. Bankdaten außerhalb von Vertragsanbahnung oder Vertragsbeziehung: Bankdaten dürfen im Rahmen einer Vertragsanbahnung oder bei laufender Vertragsbeziehung nach Art. 6 Abs. 1 lit. b DSGVO übermittelt werden. Im Übrigen jedoch nur mit ausdrücklicher Einwilligung.
4. Kundendaten bei offenen Forderungen: Diese Datenübertragung ist im Rahmen des berechtigten Interesses zulässig, sofern keine vertraglichen Einschränkungen bestehen.

Übertragung von Kundendaten als einziges Asset

Ein Sonderfall bei der Übertragung von Kundendaten stellt der Verkauf von Kundendaten als losgelöstes Asset dar - etwa bei einem Verkauf von Kundendatenbanken. Die Übermittlung der Daten in einem solchen Fall kann regelmäßig nur mit einer Einwilligung der betroffenen Kunden erfolgen. Dies gilt insbesondere dann, wenn die Datenbanken zu Werbezwecken genutzt werden sollen, die in keinem Zusammenhang mit dem ursprünglichen Unternehmen stehen.

Lediglich für Kleinst- und Kleinunternehmen kann eine Ausnahme gemacht werden. Wenn ein solches Unternehmen aufgrund einer Beendigung des Betriebs seinen Kundenstamm an ein anderes Kleinst- oder Kleinunternehmen in demselben Wirtschaftszweig übertragen möchte, können einmalig die Postadressen nach Art. 6 Abs. 1 lit. f DSGVO übermittelt werden. Den Kunden ist jedoch ein Widerspruchsrecht mit einer Frist von etwa 6 Wochen einzuräumen.

Übertragung von Beschäftigtendaten

Grundsätzlich kann die Übermittlung von Beschäftigtendaten bei einem Betriebsübergang (§ 613a BGB) regelmäßig auf Art. 6 Abs. 1 lit. b DSGVO und, soweit auch besonderen Kategorien personenbezogener Daten betroffen sind, auf § 26 Abs. 3 BDSG gestützt werden.

Der Veräußerer verarbeitet die Beschäftigtendaten zur Erfüllung des Vertrages mit den Beschäftigten und zwar für die Beendigung bzw. Abwicklung des Arbeitsverhältnisses. Spiegelbildlich dazu verarbeitet der Erwerber die Daten ebenfalls nach Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 3 BDSG zur Erfüllung des Arbeitsvertrags.

Allerdings gibt es auch bei der Übermittlung von Beschäftigtendaten Fallgruppen, in denen sich die rechtliche Bewertung und Zulässigkeit anders gestaltet.

1. Vertragsverhandlungen: Vor Abschluss eines Vertrages über den Betriebsübergang ist eine Übermittlung von Beschäftigtendaten grundsätzlich unzulässig. Nur mit einer Einwilligung der Beschäftigten kann dies zulässig sein.
2. Information der Beschäftigten durch den Erwerber vor dem Betriebsübergang: Die Beschäftigten müssen nach § 613a Abs. 5 BGB in Textform (bspw. E-Mail) über den Betriebsübergang informiert werden. Die Informationspflicht kann sowohl vom Veräußerer als auch vom Erwerber erfüllt werden. Sofern jedoch der Erwerber die Unterrichtung vornimmt, dürfen dem Erwerber bis zum Betriebsübergang nur die erforderlichen Daten zur Abwicklung des Beschäftigungsverhältnisses nach Art. 6 Abs. 1 lit. b DSGVO übermittelt werden.
3. Widerspruch der Beschäftigten vor Betriebsübergang: Die Beschäftigten können nach § 613a Abs. 6 BGB dem Übergang des Arbeitsverhältnisses auf den Erwerber widersprechen. Sofern die Beschäftigten über den Betriebsübergang von dem Veräußerer informiert wurden und üben die Beschäftigten vor dem Betriebsübergang auf den Erwerber ihr Widerspruchsrecht aus, so dürfen die Daten der widersprechenden Beschäftigten nicht übertragen werden.
4. Kein Betriebsübergang nach § 613a BGB: sofern die Voraussetzungen für einen Betriebsübergang nach § 613a BGB nicht vorliegen, bedarf es individueller Vereinbarungen zwischen Veräußerer, Erwerber und Beschäftigten. Regelmäßig dürfte eine Übermittlung nur mit einer Einwilligung der Beschäftigten möglich sein.

Übertragung von Daten der Lieferanten

Von den drei Datenkategorien gestaltet sich die Übertragung der Lieferantendaten als am wenigsten kompliziert. Der Veräußerer kann aktuelle Daten von Lieferanten und deren Beschäftigten nach Art. 6 Abs. 1 lit. f DSGVO an den Erwerber übermitteln. Regelmäßig werden hierbei keine überwiegenden Interessen entgegenstehen - insbesondere dann nicht, wenn es sich um geschäftliche Kontaktdaten handelt. Es dürfte sogar meist dem Interesse der Lieferanten entsprechen, die bestehende geschäftliche Beziehung mit dem Erwerber fortzuführen.

Fazit zu Übertragung von Daten beim Asset Deal

Im M&A-Bereich sind Datenschutzthemen bisher noch nicht richtig angekommen und wurden bisher eher wenig beachtet oder gar nicht behandelt. Die Verträge und Prozesse im Rahmen eines Unternehmenskaufes müssen jedoch unbedingt die Einhaltung aller wesentlichen datenschutzrechtlichen Aspekte beinhalten.

Auch muss im Rahmen der Due Diligence zwingend geprüft werden, ob das Zielunternehmen (Veräußerer) datenschutzrechtliche Vorgaben einhält und umgesetzt hat und auch die notwendige IT-Sicherheit besteht. Es ist daher empfehlenswert, datenschutzrechtliche Expertise im Rahmen eines Unternehmenskaufs oder auch -verkaufs frühzeitig einzubeziehen und den gesamten Prozess datenschutzrechtlich zu begleiten.

Wir unterstützen Sie gerne bei der Vorbereitung und der Durchführung eines Unternehmenskaufs aus datenschutzrechtlicher Sicht und unterstützen Sie dabei, dass der Prozess datenschutzkonform durchgeführt wird, um Ihr Risiko zu minimieren.