Datenschutz und der Kauf von Unternehmensteilen sind schon länger ein diskutiertes Thema. Da einigen sich Verkäufer und Käufer in schwierigen Verhandlungen auf den Kaufgegenstand und Preis und dann sagt der Datenschutzrechtler, dass die Transaktion praktisch nur eingeschränkt durchführbar ist. Ein sehr unbefriedigender Zustand. Über das Spannungsverhältnis zwischen der Erforderlichkeit einer ausdrücklichen Einwilligung des Kunden und einer durchzuführenden Interessenabwägung hatten wir bereits berichtet.
Sehr zu begrüßen ist daher, dass die Datenschutzaufsichtsbehörden in einem gemeinsamen Beschluss erstmals Fallgruppen von Kundendaten gebildet haben, um die Lage für die Unternehmen etwas zu erhellen. Der erste Wermutstropfen: Die Aufsichtsbehörden aus Berlin und Sachsen haben nicht „unterschrieben“. Zweiter Wermutstropfen: Nach Durchsicht des Papers ist man auch nicht wirklich schlauer.
Aber zunächst die gute Nachricht: Die Behörden erkennen als Rechtsgrundlage für alle Konstellationen die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO an und scheinen sich damit nicht auf die Einwilligungslösung zu versteifen. Dieser Weg ist sehr zu begrüßen, da somit Argumentationsspielraum für eine ausgewogene Lösung besteht.
Die Behörden differenzieren bei der Bewertung danach, ob z.B. mit dem Kunden noch ein laufender Vertrag besteht oder ob bei abgeschlossenen Verträgen, diese mehr als drei Jahre zurückliegen. Insgesamt bildet die Aufsichtsbehörden fünf Kategorien:
- Laufende Verträge: Es liegt eine Schuldübernahme vor. Jeder Kunde muss einzeln aufgefordert werden, die Genehmigung zu erteilen. (Wie Herr Dr. Pilz richtig darstellt, ist damit nicht eine datenschutzrechtliche Einwilligung gemeint).
- Alte Verträge/ letzte aktive Vertragsbeziehung älter als drei Jahre: Kundendaten dürfen übermittelt werden, „aber eben nur wegen der gesetzlichen Aufbewahrungsfristen.“ Sprich für neue Werbung darf der Käufer diese Daten nicht einsetzen.
- Junge Verträge/ Verträge in Verhandlung oder bis drei Jahre alt: Information des Kunden und großzügige Widerspruchsmöglichkeit, z.B. 6 Wochen (Opt-out-Modell). Bankdaten sind nur mit ausdrücklicher Einwilligung übertragbar (damit alles nicht mehr so praktikabel).
- Offene Forderungen: Sofern eine zulässige Abtretung nach § 398 ff. BGB vorliegt, dürfen Daten übermittelt werden (wenig überraschend).
- Besondere Daten (z.B. Gesundheitsdaten): Immer Einwilligung erforderlich.
Besonders spannend sind die drei ersten Fälle. Leider führt die Behörde bei der obigen Differenzierung selbst keine Interessenabwägung durch, so dass Argumente und Motive etwas im Dunkeln bleiben. Wie die Behörde auf drei Jahre als Kriterium kommt, wird daher auch nur in der Fußnote kurz angerissen:
„Die 3-Jahresfrist berücksichtigt die regelmäßige Anspruchsverjährung. Zudem haben erfahrungsgemäß nichtaktive Kundendaten älter als 3 Jahre für die erwerbende Stelle keine Bedeutung mehr und sind veraltet.“
Obgleich unklar ist, woraus die Aufsichtsbehörden ihre Erfahrung stützen, wird zumindest deutlich, dass je nach Geschäftsfeld und angenommener Anspruchsgrundlage die Argumentation so nicht durchdringt (z.B. keine Regelverjährungsfrist). Vielmehr zeigen die angenommenen Fälle, dass die Behörden hier nur eine Richtschnur vorzugeben scheinen, um am jeweilen Asset Deal eine individuelle Abwägung vornehmen zu können.
Dennoch fällt es schwer, die angegeben Fälle gedanklich in eine nachvollziehbare Prüfmatrix zu packen:
- Was sind „laufende Verträge“? Ist ein Konto bei einem Online-Händler eine solche Vertragsbeziehung, insbesondere wenn im Konto die Zahlungsdaten für zukünftige Bestellungen hinterlegt oder individuelle Funktionen aktiv sind (z.B. Erinnerungen an Geburtstage).
- Warum hat der Kunde ein anscheinend schwächeres entgegenstehendes berechtigtes Interesse an der Übermittlung von Daten bei Verträgen die nicht mehr „laufen“. In diesem Fall soll eine Datenübertragung mit einer opt-out-Möglichkeit beim Kunden möglich sein. Je älter ein Vertrag ist, je leichter ist es die Daten datenschutzrechtlich zwischen den Unternehmen zu übermitteln. Das erschließt sich so nicht unbedingt, da den Unternehmen gerade bei aktuellen Verträgen ein hohes berechtigtes, wirtschaftliches Interesse zur Seite steht. Das Interesse des Kunden, dass Daten nicht an ein anderes Unternehmen gehen, scheint aber unabhängig vom Alter des Vertrages gleich zu bleiben.
- Bank- und Gesundheitsdaten sollen gar nicht mittels opt-out-Mechanismus übermittelt werden können.
Im Ergebnis ist zwar zu begrüßen, dass Daten auch auf der Grundlage eines berechtigten Interesses übermittelt werden können. Fraglich ist aber, wie praktikabel die gefundenen Fallgruppen sind, wenn dies so (aufgrund des Schuldrechts nach § 415 BGB) für laufende Verträge nicht möglich ist und Bank- und Gesundheitsdaten pauschal ausgeschlossen sind. Im Ergebnis dürfte man daher wahrscheinlich wieder bei der Einwilligungslösung landen. Vielleicht sollten Unternehmen daher die vorhandenen Ressourcen nicht in eine Interessenabwägung, sondern in ein praktikables Einwilligungsverfahren investieren. Der neue Vertragspartner könnte die Kundendatenbank zunächst im Rahmen einer Auftragsverarbeitung mit dem alten Vertragspartner verwaltet und die Kunden Schritt für Schritt übernehmen. Eine dafür notwendige Zustimmung der Kunden könnte in einer E-Mail oder beim nächsten Kundenlogin nutzerfreundlich gestaltet und ggf. mit einem Rabatt flankiert werden. Damit hätte man jedenfalls die Anforderungen aus dem BGB und der DSGVO erfüllt.