Kundendaten beim Asset Deal: Datenschutz- & Informations­pflichten

Beim Unternehmenskauf gibt es im Rahmen der Due Diligence und auch bspw. hinsichtlich des Umgangs mit Kundendaten aus Datenschutzsicht eine Menge zu beachten: Welche Kundendaten dürfen beim Asset Deal übertragen werden? Welche Rechtsgrundlagen kommen in Betracht? Welche Informationspflichten bestehen beim Asset Deal und gibt es Ausnahmen? Unter welchen Voraussetzungen darf Werbung an die Kontaktdaten der Kunden geschickt werden? Und welche Datenschutz- und IT-Sicherheits-Aspekte sind noch relevant? Dies wollen wir in diesem Blogbeitrag klären!

Unterschied zwischen Share Deal und Asset Deal

Bei einem Share Deal tritt der Erwerber in die Rechtsposition des Veräußerers ein. Der Erwerber übernimmt dabei die Rechte und Pflichten des anderen Unternehmens. Deshalb bleibt die datenschutzrechtliche Verantwortlichkeit bestehen und es handelt sich nicht um eine Datenweitergabe. Eine gesonderte Rechtsgrundlage ist nicht nötig. Gleichwohl muss jedoch der Zweckbindungsgrundsatz der DSGVO weiter beachtet werden.

Beim Asset Deal werden nur einzelne Wirtschaftsgüter (engl. Assets) auf den Erwerber übertragen, wie bspw. ein Grundstück, Maschinen oder auch eine Domain. Dabei können auch Mitarbeiter- und Kundendaten übertragen werden. In solchen Fällen handelt es sich um eine Datenübertragung, die eine Rechtsgrundlage erfordert. Auch ändert sich die Verantwortlichkeit nach der DSGVO.

Rahmenbedingungen beim Unternehmenskauf

Datenschutzrechtliche Beziehung

Schon vor der Due Diligence müssen sich die Parteien Gedanken über ihre datenschutzrechtliche Beziehung machen. Im Rahmen des Unternehmenskaufes handelt es sich hinsichtlich des Austausches personenbezogener Daten um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen den Unternehmen. Sie sollten die dazu wesentlichen Regelungsinhalte in Geheimhaltungsvereinbarungen (NDA) und Letter of Intent/Memorandum of Understanding integrieren.

Datenschutzstandards und Rechtsgrundlage

Die im Rahmen der Due Diligence eingesetzten Dienste, wie etwa Datenraumanbieter (z. B. Merrill Datasite), müssen angemessene Datenschutzstandards erfüllen, insbesondere hinsichtlich der IT-Sicherheit. Außerdem sollte während der Due Diligence eine sogenannte datenschutzrechtliche Due Diligence erfolgen, eine Prüfung der Datenschutzkonformität des Zielunternehmens, um Risiken abzuschätzen und späteren Problemen und sogar möglichen Bußgeldern vorzubeugen.

Rechtsgrundlage für die Datenübertragung im Rahmen der Due Diligence ist meist Art. 6 Abs. 1 lit. f DSGVO. Dafür muss eine umfassende und dokumentierte Interessenabwägung vorgenommen werden. Bei der Datenübertragung sollten zudem die allgemeinen Grundsätze aus der DSGVO, wie bspw. Datenminimierung beachtet werden und einzelfallabhängig nach der Art der Daten entschieden werden, inwieweit deren Übertragung für die Due Diligence auch wirklich notwendig ist. Es dürfen nur die personenbezogenen Daten übermittelt werden, die für die jeweilige Phase des Unternehmenskaufs auch wirklich erforderlich sind.

Wie wird im späteren Kaufvertrag mit Datenschutzthemen umgegangen?

Bei den Kaufverträgen sollten Garantien aufgenommen werden, welche die Einhaltung der Datenschutzstandards der DSGVO betreffen. Auch sollten Freistellungsklauseln bedacht werden, um sich von Risiken freistellen zu lassen. Der Kaufvertrag sollte auch im Allgemeinen beinhalten, wie der Datenschutz im Unternehmen behandelt wurde und wie die Grundsätze der DSGVO eingehalten wurden.

Informationspflichten vs. Geheimhaltungsinteressen

Sowohl Veräußerer als auch Erwerbsinteressent haben nach Art. 13, 14 DSGVO Informationspflichten. Der Veräußerer muss nach Art. 13 Abs. 3 DSGVO über die Zweckänderung informieren (Weitergabe der Daten im Rahmen der Due Diligence) und weitere maßgebliche Informationen mitteilen. Wird sich bei der Datenübertragung im Rahmen der Due Diligence auf berechtigte Interessen, Art. 6 Abs. 1 lit. f DSGVO gestützt, so muss grundsätzlich auch ein Widerspruchsrecht eingeräumt und darüber informieret werden. Doch auch den Interessenten treffen Informationspflichten durch den Erwerb der Daten gemäß Art. 14 DSGVO.

Die Informationspflichten widersprechen den Vertraulichkeitsinteressen und Geheimhaltungspflichten der Parteien, die über die mögliche Anbahnung eines Unternehmenskaufes die Kunden, Mitarbeiter und die Öffentlichkeit gerade nicht vorab informieren wollen. Konkret dafür angedachte Ausnahmen aus dem BDSG-alt in §§ 33 Abs. 2 S. 1 Nr. 3, Nr. 7 b wurden allerdings weder in der DSGVO noch im BDSG-neu übernommen. Deshalb ist hier eine genaue Auseinandersetzung mit den rechtlichen Möglichkeiten für Ausnahmen notwendig.

Ausnahmen von den Informationspflichten des Erwerbsinteressenten

Der Erwerbsinteressent kann sich auf eine Ausnahme in Art. 14 Abs. 5 lit. b DSGVO berufen. Danach ist die Erteilung der Informationen nicht erforderlich, wenn sie sich als unmöglich erweist oder mit einem unverhältnismäßig hohen Aufwand verbunden wäre. Dies kommt in Betracht, weil die Ermittlung aller potentiell Betroffenen in der Regel außerordentlich aufwendig wäre und auch Widersprüche oder Auskunftsbegehren die Durchführung der Due Diligence blockieren oder verzögern könnte. Darüber hinaus können sich Erwerbsinteressenten auch auf § 29 Abs. 1 S. 1 BDSG stützen, wonach Informationspflichten nach Art. 14 DSGVO nicht bestehen, sofern Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen. In beiden Fällen ist jedoch eine sorgfältig begründete Dokumentation zwischen dem Interesse an Geheimhaltung und den Interessen der Betroffenen erforderlich.

Ausnahmen von den Informationspflichten des Veräußerers

Für den Veräußerer gibt es keine direkten Ausnahmen von der Informationspflicht aus Art. 13 DSGVO.

Eine (umstrittene) Möglichkeit wäre, Art. 14 Abs. 5 lit. b DSGVO analog auf Art. 13 DSGVO anzuwenden. Dagegen wird eingewandt, dass Art. 13 und 14 DSGVO unterschiedliche Zielrichtungen und nicht vergleichbare Sachverhalte hätten. Dafür spricht hingegen, dass es wertungswidersprüchlich wäre, nur dem Erwerbsinteressenten eine Ausnahme einzuräumen. Darüber hinaus empfiehlt auch der Erwägungsgrund 62 der DSGVO eine Ausnahme von der Informationspflicht bei unverhältnismäßig hohem Aufwand (und beschränkt sich dabei nicht auf Art. 14 DSGVO). Mit guter Begründung kann man sich also auf eine analoge Anwendung des Art. 14 Abs. 5 lit. b DSGVO stützen. Es bleibt jedoch ein nicht unerhebliches Risiko.

Andere führen § 32 Abs. 1 Nr. 4 BDSG an, wonach keine Informationspflicht bei einer Zweckänderung bestünde, wenn sie die Geltendmachung rechtlicher Ansprüche beeinträchtigen würde. Es ist jedoch fraglich, ob überhaupt ein Anspruch auf Durchführung einer Due Diligence besteht, weshalb diese Ausnahme unsicher ist.

Daneben überlegen andere eine grundrechtlich gebotene Reduzierung des Anwendungsbereichs des Art. 13 DSGVO oder schlagen eine weite Auslegung des Art. 13 Abs. 3 DSGVO vor. Bei letzterem wird dann empfohlen, die potentielle Übermittlung personenbezogener Daten an Erwerbsinteressenten in jede Datenschutzerklärung und -information vorab aufnehmen. Diese Lösung wird bereits von einigen großen Unternehmen eingesetzt.

Der Veräußerer sollte die gewählte Variante begründen und vorab dokumentieren. Er sollte die Interessenabwägung umfangreich durchführen und die sich gegenüberstehenden Interessen benennen und ausformulieren.

Übertragung der Kundendaten beim Asset Deal

Die Datenschutzkonferenz (DSK) veröffentliche Fallgruppen für die Übertragung von Kundendaten beim Asset Deal. Dieses DSK-Papier haben jedoch die Berliner und die Sächsische Datenschutzbehörde abgelehnt. Die übrigen Aufsichtsbehörden beschlossen jedoch für die folgenden Fallgruppen die benannten Rechtsgrundlagen:

  • Kunden mit laufenden Vertragsbeziehungen: Genehmigung für Vertragsübergang nach § 415 BGB erforderlich (Schuldübernahme) – Art. 6 Abs. 1 lit. b DSGVO
  • Kunden, ggü. denen offene Forderungen bestehen: Forderungsabtretung nach §§ 398 ff. BGB grundsätzlich ohne Zustimmung des Kunden – Art. 6 Abs. 1 lit. f DSGVO
  • Kunde in fortgeschrittener Vertragsanbahnung bzw. Bestandskunden ohne laufende Verträge (letzte Vertragsbeziehung / Interaktion jünger als 3 Jahre): dokumentierte Interessenabwägung und Einräumung der Möglichkeit des Widerspruchs mit angemessener Frist (z. B. 6 Wochen) – Art. 6 Abs. 1 lit. f DSGVO
  • Bestandskunden ohne laufende Verträge (letzte Vertragsbeziehung / Interaktion älter als 3 Jahre): Übermittlung der Kundendaten nur für Zwecke der gesetzlichen Aufbewahrungspflichten (anders die Berliner Behörde: Übermittlung unzulässig, da Aufbewahrungspflichten beim Veräußerer verblieben)
  • Zahlungsdaten (z. B. IBAN, Paypal, Kreditkarte) und besondere Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten, biometrische Daten): nur mit Einwilligung des Kunden – Art. 6 Abs. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO

Werbung mit übermittelten Kundendaten

Für die Werbung mit den übermittelten Kundendaten gelten die Vorgaben der DSGVO und des UWG. Es ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich: eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), ggf. in Verbindung mit dem § 7 Abs. 3 UWG bei Bestandskundenwerbung.

Einwilligung: Newsletter

Problematisch ist die Frage, inwiefern Einwilligungen, beispielsweise für Newsletter, weiterhin verwendet werden dürfen. Hat der Veräußerer diese bereits sowohl für sich als auch für den Erwerbsinteressenten eingeholt, ist die Situation unproblematisch. Wurden die Einwilligungen – wie in den meisten Fällen – nur vom Veräußerer (für ihn selbst) eingeholt, ist die Frage umstritten: Manche Stimmen in der Literatur halten eine solche Einwilligung auch für den Erwerber weiterhin für gültig. Der Erwerber muss die Einwilligungen allerdings prüfen sowie eine Auslegung und dokumentierte Abwägung vornehmen:

  • Wurden die Einwilligungen vorrangig geschäftsbezogen (also für bestimmte geschäftliche Zwecke) oder personenbezogen (also bezogen auf den Veräußerer) abgeschlossen?
  • Passt der neue Geschäftszweck zum vorherigen und ist der konkrete Anbieter der Leistung nicht relevant?
  • Gab es eine besondere Beziehung zwischen dem Kunden und dem Unternehmen (z. B. bei bestimmten Markenprodukten)?

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Berechtigtes Interesse: postalische Werbung und Bestandskunden

Auf Grundlage des berechtigten Interesses kann postalische Werbung versandt werden, sofern dem nicht widersprochen wurde. Hierfür ist es wichtig, dass in der Kundendatenbank des Veräußerers auch eingegangene Widersprüche erfasst und diese auch an den Erwerber übermittelt wurden.

Fraglich ist bei der Bestandskundenwerbung, ob es ausreicht, dass die Kunden nur beim Veräußerer bereits Bestellungen getätigt haben, oder der Kunde zunächst eine erste Bestellung beim Erwerber getätigt haben muss. Auf Basis der berechtigten Interessen könnte man mitunter argumentieren, dass es mehr um die Produkte geht und weniger um den Inhaber der Daten. In jedem Fall ist hier jedoch eine genaue Interessenabwägung erforderlich, um den hohen Anforderungen des § 7 Abs. 3 UWG gerecht zu werden.

Weitere Datenschutz- und IT-Sicherheits-Aspekte

Werden Kundendaten an den Erwerber übermittelt, sollte zudem sichergestellt werden, dass diese:

  • Rechtmäßig erhoben wurden (Art. 5 Abs. 1 lit. a DSGVO),
  • Für einen bestimmten Zweck erhoben und die Anforderungen für Zweckänderungen eingehalten wurden (Art. 5 Abs. 1 lit. b, Art. 6 Abs. 4 DSGVO),
  • Sachlich richtig (nicht veraltet) sind (Art. 5 Abs. 1 lit. d DSGVO),
  • Sicher (verschlüsselt) übertragen werden (Art. 5 Abs. 1 lit. f DSGVO);
  • Etwaige Einwilligungen zu Rechenschaftszwecken vorliegen (Art. 5 Abs. 2 DSGVO);
  • Passwörter nicht im Klartext übermittelt werden (Art. 5 Abs. 1 lit. f DSGVO) – dies würde auf eine Sicherheitslücke hinweisen.

Welchen Stellenwert die Überprüfung des Datenschutzes und auch der IT-Sicherheit hat, insbesondere hinsichtlich Software, Datenbanken und Systemumgebung, zeigte ein hohes Bußgeld gegen Marriott in Großbritannien wegen mangelnder Überprüfung der IT-Sicherheit beim Unternehmenskauf.

Fazit

Im M&A-Bereich sind Datenschutzthemen bisher noch nicht richtig angekommen und wurden bisher eher wenig beachtet oder gar nicht behandelt. Die Verträge und Prozesse im Rahmen eines Unternehmenskaufes müssen jedoch unbedingt die Einhaltung aller wesentlichen datenschutzrechtlichen Aspekte beinhalten. Auch muss im Rahmen der Due Diligence zwingend geprüft werden, ob das Zielunternehmen (Veräußerer) datenschutzrechtliche Vorgaben einhält und umgesetzt hat und auch die notwendige IT-Sicherheit besteht. Es ist daher empfehlenswert, datenschutzrechtliche Expertise im Rahmen eines Unternehmenskaufs oder auch -verkaufs frühzeitig einzubeziehen und den gesamten Prozess datenschutzrechtlich zu begleiten.

Wir unterstützen Sie gerne bei der Vorbereitung und der Durchführung eines Unternehmenskaufs aus datenschutzrechtlicher Sicht und unterstützen Sie dabei, dass der Prozess datenschutzkonform durchgeführt wird, um Ihr Risiko zu minimieren.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.