Übermittlungen personenbezogener Daten an den Erwerber eines Unternehmens im Rahmen eines Asset-Deals

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat sich in Ihrem Beschluss vom 11.09.2024  mit der Rechtmäßigkeit von Übermittlungen personenbezogener Daten im Rahmen eines Asset- Deals beschäftigt.

Die Veräußerung eines Unternehmens kann grundsätzlich auf zwei Wegen erfolgen, nämlich durch Übertragung von Anteilen an einer Gesellschaft als „Share Deal“ oder durch die Übertragung von Vermögenswerten und/oder Wirtschaftsgütern als „Asset Deal“.

Datenschutzrechtliche Implikationen bei Unternehmensübertragungen

Während die Verarbeitung von personenbezogenen Daten im Rahmen eines „Share-Deals“ grundsätzlich möglich ist, da nur die Anteile an einer Gesellschaft übertragen werden und diese ansonsten unverändert fortgeführt wird und mangels Änderung in der Person des Verantwortlichen grundsätzlich keine Übermittlung personenbezogener Daten erfolgt, ist bei der Übermittlung personenbezogener Daten i. R. e. „Asset Deals“ in datenschutzrechtlicher Hinsicht eine differenzierte Betrachtung erforderlich.

Unter dem Begriff eines Asset Deals ist dabei ein Unternehmenskauf zu verstehen, bei dem Wirtschaftsgüter oder Vermögenswerte (z. B. Grundstücke, Maschinen, Kundenstamm etc.) auf einen Erwerber übertragen werden. Eine solche Transaktion liegt z. B. vor, wenn ein Einzelunternehmer (Veräußerer) seinen Betrieb an eine andere Person (Erwerber) übergibt und dieser dann die erworbenen Wirtschaftsgüter/Vermögenswerte übernimmt und den Betrieb damit fortführt.

Daraus folgt, dass vor allem Einzelkaufleute, Handwerker oder Personengesellschaften bei einem Betriebsübergang mit zusätzlichen datenschutzrechtlichen Herausforderungen konfrontiert sind.

Folgendes ist laut DSK zu beachten:

• Die datenschutzrechtliche Verantwortung für die Datenübermittlung an den Veräußerer trifft den Erwerber. Dieser muss dafür ein angemessenes Datenschutzniveau gemäß Art. 32 DSGVO gewährleisten.
  Für die weitere Verarbeitung der erhaltenen personenbezogenen Daten ist der Erwerber verantwortlich. Dieser muss, neben der Gewährleistung eines angemessenen Datenschutzniveaus, auch die Erfüllung der Betroffenenrechte sicherstellen. Zudem muss der Erwerber die sich aus Art. 14 DSGVO ergebenden datenschutzrechtlichen Informationspflichten, sofern keine Ausnahme nach Art. 14 Abs. 5 DSGVO vorliegt, ggü. den Betroffenen (z. B. Kunden, Lieferanten, Beschäftigte) erfüllen. Dies muss innerhalb eines Monats nach Erhalt der Datensätze erfolgen.

• Vor Abschluss des Asset Deals (z. B. zum Zeitpunkt der Verhandlungen zwischen dem Veräußerer und dem potentiellen Erwerber) ist die Übermittlung von personenbezogenen Daten (z. B. von Kunden, Beschäftigten und Lieferanten) grundsätzlich unzulässig. Ausnahmsweise ist die Datenübermittlung zulässig, wenn die Betroffenen zuvor eine Einwilligung vor der Datenübermittlung erteilt haben, oder – im Rahmen der fortgeschrittenen Übernahmehandlungen – ein berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO an der Übermittlung personenbezogener Daten der Hauptvertragspartner oder von Führungskräften besteht.

• In datenschutzrechtlicher Hinsicht ist es unproblematisch, wenn der Kunde die Vertragsverhandlungen mit dem Erbwerber rügelos fortführt. Die damit einhergehenden Datenverarbeitungen können auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden. Davon abgesehen ist eine Übermittlung der Kundendaten nur dann zulässig, wenn der Veräußerer nach einer entsprechenden Prüfung zu dem Ergebnis gelangt, dass seinen eigenen Interessen keine überwiegenden Interessen der betroffenen Kunden entgegenstehen (vgl. Art. 6 Abs. 1 S. 1 lit. f DSGVO). Hierbei kann den Interessen der Kunden durch eine Widerspruchslösung Rechnung getragen werden. Diesen wird dazu seitens des Veräußerers die Datenübermittlung an den Erwerber mit einer angemessenen Frist (etwa 6 Wochen) angekündigt.

• Bei einer laufenden Geschäftsbeziehung (z. B. es bestehen noch vertragliche Verpflichtungen wie die Kaufpreiszahlung, Mängelgewährleistungspflichten etc.) zwischen dem Veräußerer und dem Kunden kann die Datenübermittlung an den Erwerber zum Zweck der Vertragserfüllung auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden, wenn der Erwerber den Vertrag übernommen hat. Hierfür ist eine zivilrechtliche Genehmigung durch den Kunden erforderlich.
  Wenn der Erwerber den Veräußerer nur von der sich aus dem geschlossenen Vertrag ergebenden Schuld freistellen soll (sog. Erfüllungsübernahme), kann eine Datenübermittlung auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden, sofern diese zur Vertragserfüllung erforderlich ist.

• Die personenbezogenen Daten ehemaliger Kunden (beendete vertragliche Beziehungen) darf der Veräußerer an den Erwerber nur bei Vorliegen bestimmter Gründe übermitteln: Denkbar wäre hier eine Datenübermittlung seitens des Veräußerers an den Erwerber zum Zweck der Erfüllung gesetzlicher (z. B. steuerrechtlicher) Aufbewahrungsfristen. In diesem Fall ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO erforderlich. Darüber hinaus muss sichergestellt sein, dass der Erwerber die vorgenannten Daten nur zum Zweck der Erfüllung der gesetzlichen Aufbewahrungsfristen nutzt und diese Daten von Kundendaten mit einer laufenden Geschäftsbeziehung getrennt aufbewahrt werden („Zwei-Schrank-Lösung“). Der Erwerber darf die vorgenannten Daten allerdings nur dann zu eigenen Zwecken nutzen, wenn die Kunden zuvor eine entsprechende Einwilligung erteilt haben.

• Sowohl im Rahmen der Vertragsanbahnung als auch in laufenden Geschäftsbeziehungen dürfen die Kontaktdaten der Kunden gemäß Art. 6 Abs. 1 S. 1lit. f DSGVO in demselben Umfang zu werblichen Zwecken verarbeitet werden, wie dies auch für den Veräußerer zulässig gewesen wäre (z. B. bei postalischer Werbung).
  Jedoch gilt dies nicht hinsichtlich telefonischer oder elektronischer Werbung (z. B. per E-Mail). Hier sind insbesondere die Vorgaben nach § 7 UWG zu beachten. Beide Werbearten sind nur dann in datenschutzrechtlicher Hinsicht zulässig, wenn die Kunden zuvor eine Einwilligung erteilt haben. Auch dürfte i. d. R. kein Rückgriff auf das Bestandskundenprivileg nach § 7 Abs. 3 UWG (elektronische Werbung ohne Einwilligung) für den Erwerber möglich sein, da dieser die elektronische Postadresse des Kunden i. d. R. nicht direkt bei diesem erhoben hat. Im Übrigen wird bzgl. dieser Thematik auf die Orientierungshilfe der DSK zur „Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der DS-GVO“ verwiesen.

• Generell sollte beachtet werden, dass besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) nur aufgrund einer zuvor erteilten Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO i. V. m. Art. 7 DSGVO an den Erbwerber übermittelt werden dürfen.

• Eine Übermittlung von Bankdaten der Kunden an den Erwerber darf im Zuge der Vertragsanbahnung und in laufenden Geschäftsbeziehungen nur dann gemäß Art. 6 Abs. 1 S. 1 lit. b) DSGVO erfolgen, wenn dies zur Vertragsabwicklung erforderlich ist. Im Übrigen darf die vorgenannte Datenübermittlung nur bei Vorliegen einer Einwilligung der betroffenen Kunden erfolgen.

• Eine Übermittlung von Kundendaten an den Erwerber aufgrund offener Forderungen darf dann nach Art. 6 Abs. 1 S. 1 lit. f DSGVO erfolgen, wenn diese Forderungen vom Veräußerer an den Erwerber wirksam abgetreten wurden (vgl. § 398ff BGB).

• Die Übermittlung der personenbezogenen Daten von Lieferanten und deren Beschäftigten an den Erwerber kann grundsätzlich gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO erfolgen. Denn i. d. R. dürften der Datenübermittlung keine überwiegenden Interessen entgegenstehen. Vielmehr dürften die Lieferanten ein Interesse daran haben, die bestehende Geschäftsbeziehung mit dem Erwerber fortzusetzen.

• Die Übermittlung von Beschäftigtendaten vom Veräußerer an den Erwerber zur Vertragsdurchführung im Rahmen von „Asset Deals“ kann auf Art. 6 Abs. 1 S. 1 lit. b DSGVO, bzw. bei Gesundheitsdaten auf § 26 Abs. 3 BDSG gestützt werden, wenn es sich um einen Betriebsübergang nach § 613a BGB handelt. Diese Datenverarbeitung dient i. d. R. der Abwicklung des Beschäftigungsverhältnisses zwischen dem Veräußerer und seinem Beschäftigten.
  Allerdings gilt das Vorgenannte nicht ausnahmslos: Zum Zeitpunkt bloßer Vertragsverhandlungen (d. h. vor Abschluss des Vertrages über den Betriebsübergang) dürfen noch keine Beschäftigtendaten übermittelt werden. (Davon ausgenommen sind die Fälle, in denen die Beschäftigten diesbezüglich eine wirksame Einwilligung erteilt haben.). Bis zum Vollzug des Betriebsüberganges (d. h. innerhalb der Monatsfrist nach § 613a Abs. 6 BGB) darf der Veräußerer nur diejenigen Beschäftigtendaten übermitteln, welche für die Abwicklung des Beschäftigungsverhältnisses erforderlich sind (z. B. wäre die Übermittlung von AU-Bescheinigungen als Personaldaten noch nicht erforderlich). Sofern Beschäftigte dem Betriebsübergang widersprochen haben, dürfen deren personenbezogene Daten nicht an den Erwerber übermittelt werden.

• Sofern die Datenübermittlung vom Veräußerer an den Erwerber im Rahmen eines Verkaufs von Kundendaten als losgelöstes „Asset“ (Verkauf von Kundendatenbanken) erfolgt, ist diese nur mit vorheriger Einwilligung der betroffenen Kunden möglich.
  Eine Ausnahme besteht für Kleinstunternehmen (weniger als 10 Beschäftigte) und Kleinunternehmen (weniger als 50 Beschäftigte und ein Jahresumsatz von max. 10 Mio. Euro) hinsichtlich der Übermittlung von Postadressen der Kunden an ein anderes Kleinst- oder Kleinunternehmen desselben Wirtschaftszweiges, wenn die Datenübermittlung aufgrund der Beendigung der wirtschaftlichen Tätigkeit erfolgt. Aber auch hier müssen die betroffenen Kunden von der Datenübermittlung unterrichtet werden und diesen muss die Möglichkeit gegeben werden, der o. g. Datenübermittlung innerhalb einer angemessenen Frist (i. d. R. 4 – 6 Wochen) zu widersprechen.

Fazit

Angesichts der datenschutzrechtlichen Problemfelder (und zur Vermeidung von Datenschutzverstößen und damit einhergehender Bußgelder sowie möglicher Schadensersatzansprüche) sollten sich Veräußerer und Erwerber im Rahmen eines „Asset Deals“ auch in datenschutzrechtlicher Hinsicht beraten lassen.