Es zählt zu den universellen Tagesgeschäften der globalen Wirtschaft – Einheiten eines Unternehmens oder gar ganze Unternehmen werden veräußert. Sehr häufig sind von dieser Übertragung auch Kundendaten betroffen.

Aus der Perspektive der beteiligten Unternehmen stellt sich dabei oftmals die Frage: Geht das Übertragen so einfach oder muss ich dabei diesen Datenschutz beachten? Und auch aus Kundensicht wird häufig gefragt: Muss ich das einfach so hinnehmen?

Die Antworten sind simpel: Ohne Beachtung des Datenschutzes geht es sowieso nicht. Und es kommt darauf an.

Share Deal oder Asset Deal

Bei der datenschutzrechtlichen Bewertung eines Unternehmenskaufs kommt es zunächst auf die konkrete Ausgestaltung des Kaufes an: Handelt es sich dabei um einen Share Deal, bei dem das erwerbende Unternehmen in die Rechtsposition des Erwerbers eintritt, bleibt die Rechtspersönlichkeit des Unternehmens bestehen. Da der Rechtsträger der Gleiche bleibt, ändert sich mithin auch nicht der für die Verarbeitung Verantwortliche.

Rechtsfolge ist, dass somit beim Übergang des Kundenstamms auf den Erwerber keine Verarbeitung nach Art. 4 Nr. 2 Datenschutzgrundverordnung (DSGVO) (und ebenfalls keine „Weitergabe“ der Daten an das erwerbende Unternehmen nach § 3 Abs. 4 Nr. 3 Bundesdatenschutzgesetz (BDSG)) vorliegt. Bei einem als Share Deal ausgestalteten Unternehmenskauf können die Daten also weitergenutzt werden, da keine Weitergabe im datenschutzrechtlichen Kontext vorliegt. Dabei müssen selbstredend die Grenzen der Zweckbindung eingehalten werden. Das erwerbende Unternehmen darf die Kundendaten nur im Rahmen dessen verarbeiten, was auch dem veräußernden Unternehmen rechtlich zulässig möglich war. Über die ursprünglichen Datenverarbeitungen hinausgehende Ziele stellen eine Zweckänderung dar und müssen sich an Art. 6 Abs. 1 lit. f und Abs. 4 DSGVO messen lassen.

Anders hingegen gestaltet sich dies bei einem Unternehmenskauf in Form eines Asset Deals; bei diesem werden einzelne Rechtsgüter auf den Erwerber übertragen. Wenn hierbei auch der Kundenstamm mit übertragen wird, ändert sich in der Folge auch der für die Verarbeitung der Kundendaten Verantwortliche; bei diesem Übertragungsvorgang handelt es sich daher tatsächlich um eine Verarbeitung nach Art. 4 Nr. 2 DSGVO (bzw. eine „Weitergabe von personenbezogenen Daten an Dritte“ nach § 3 Abs. 4 Nr. 3 BDSG), welche jedoch nach Art. 6 Abs. 1 DSGVO (bzw. § 4 Abs. 1 BDSG) erlaubnispflichtig ist.

Um diese Weitergabe des Kundenstamms im Rahmen eines Asset Deals rechtlich zulässig zu gestalten, kommen als Erlaubnisnormen zum einen gesetzliche Erlaubnistatbestände, zum anderen dahingehende Einwilligungen der Betroffenen in Betracht.

Voraussetzungen der Datenweitergabe aufgrund von Art. 6 Abs. 1 lit. f DSGVO

Gesetzlicher Erlaubnistatbestand für eine derartige Datenübermittlung kann hierbei Art. 6 Abs. 1 lit. f DSGVO (bzw. § 28 Abs. 1 S. 1 Nr. 2 BDSG) darstellen.

Zuerst ist immer ein konkreter Zweck für die Übertragung des Kundenstammes festzulegen. Dazu bedarf es der Darlegung eines konkreten berechtigten Interesses des Verantwortlichen für die Datenweitergabe zu jenem Zweck. Zuletzt ist zu prüfen, ob und inwiefern schutzwürdige Interessen der Betroffenen der Datenübertragung nach Art. 6 Abs. 1 lit. f DSGVO (bzw. § 28 Abs. 1 Nr. 2 BDSG) entgegenstehen.

Die datenschutzrechtliche Zulässigkeit eines Verarbeitungsvorganges ist hierbei also immer anhand des konkreten Zwecks der Übertragung des Unternehmensteils zu bewerten::

So kann etwa eine Weitergabe von Kundendaten zum Zwecke der Fortführung bestehender Verträge nach Art. 6 Abs. 1 lit. f DSGVO grundsätzlich gerechtfertigt werden (vgl. etwa hier). Dabei ist jedoch immer der konkrete Einzelfall zu untersuchen, ob die Übertragung auch mit dem Zweck der ursprünglichen Erhebung der Daten vereinbar ist. Besteht keine Vereinbarkeit, so ist eine Weitergabe nur auf Grundlage einer informierten Einwilligung der Kunden möglich.

Zweck der Weitergabe von Kundendaten im Rahmen eines Unternehmenskaufs kann ferner etwa die Auslagerung des Vertriebs darstellen, um einen verbesserten Zugang zu Beschaffungs- und Absatzmärkten zu erwirken. Dafür kann das übertragende Unternehmen als der für die Verarbeitung Verantwortliche ein berechtigtes Interesse wirtschaftlicher Natur an der Weitergabe geltend machen. Dies geht jedoch wiederum nur insoweit, als schutzwürdige Interessen der Betroffenen der Verarbeitung nicht entgegenstehen. Ist also anzunehmen, dass Kunden eine derartige Auslagerung etwa aufgrund der Sensitivität der verarbeiteten Daten nicht billigen würden, ist die Weitergabe dieser Kundendaten nur mittels Einwilligung zulässig. Auch hier bedarf es folglich einer konkreten Einzelfallprüfung.

Eine zulässige Weitergabe zu Werbezwecken kann jedenfalls bisher unter Geltung des BDSG bei sogenannten „Listendaten“ angenommen werden: Diese Daten erfahren durch den Gesetzgeber eine Privilegierung bei der Nutzung für Zwecke der Werbung in § 28 Abs. 3 BDSG. Nach dem Willen des Gesetzgebers dürfen diese Daten entgegen des allgemeinen Grundsatzes ohne Einwilligung für Werbung an die Betroffenen verwendet werden, wenn sie etwa im Rahmen eines Vertrages mit den Betroffenen oder aus öffentlichen Verzeichnissen erlangt wurden. Bei diesen Listendaten handelt es sich um zusammengefasste Daten über Angehörige einer Personengruppe (etwa die die Personengruppe „Kunden des Unternehmens“), die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr.

Die DSGVO kennt zwar den Begriff der Listendaten nicht – diese Wertung kann unter Geltung der DSGVO voraussichtlich aufgegriffen werden (natürlich ohne § 28 Abs. 3 BDSG direkt anzuwenden). Grundsätzlich kann die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden (siehe Erwägungsgrund 47). Die vorstehend genannten Listendaten sind aufgrund ihres vergleichsweise offenkundigen Charakters im Werbekontext vom konkreten Schutzbedarf als nicht außerordentlich hoch anzusiedeln; insbesondere, wenn diese wie bislang auch aus bisherigen Vertragsverhältnissen bzw. öffentlichen Verzeichnissen stammen. Das heißt also, bei der Weitergabe dieser Daten wird in diesem Kontext auch voraussichtlich weiterhin nicht anzunehmen sein, dass schutzwürdige Interessen der Betroffenen der Weitergabe zu Zwecken der Werbung entgegenstehen.

Nicht umfasst ist hierbei jedoch die Weitergabe der E-Mail- Adresse bzw. der Telefonnummer – hier verhängte etwa das Bayerische Landesamt für Datenschutzaufsicht im Jahr 2015 Geldbußen in fünfstelliger Höhe für beide beteiligten Unternehmen bei einem Fall, in dem E-Mail-Adressen unzulässigerweise im Rahmen eines Unternehmenskaufes zum Zweck der Werbung weitergeben wurden (siehe hierzu: https://www.lda.bayern.de/media/pm2015_10.pdf).

Das bedeutet, dass hinsichtlich sämtlicher anderer personenbezogenen Daten, bei denen im Hinblick auf den Zweck der Weitergabe anzunehmen ist, dass Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, für einen rechtskonformen Übergang die Einholung einer datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (bzw. § 4a Abs. 1 BDSG) von Nöten sein wird.

Lösungsansätze mit Einwilligung aufgrund der Anforderungen der DSGVO

Die angesprochene datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO der Betroffenen muss dabei sämtliche gesetzliche Vorgaben einhalten und die Betroffenen insbesondere abschließend und transparent über Art, Umfang und Zweck der Verarbeitung informieren.

Folgende Lösungsansätze zur Einholung der Einwilligung von Betroffenen sind denkbar:

  • „Widerspruchslösung“

Ein denkbarer Lösungsansatz wäre die sogenannte Widerspruchslösung. Hier sind sämtliche Kunden vorab über den Eigentümerwechsel zu informieren und ihnen ist eine Widerspruchsfrist zu setzen. Soweit der Kunde die gesetzte Widerspruchsfrist verstreichen lässt, erklärt er sich hierbei mit der Weitergabe seiner Daten an den Erwerber einverstanden. Bei erfolgtem Widerspruch durch den betroffenen Kunden darf der Veräußerer dem Erwerber die Daten dieses Kunden nicht weitergeben.

Diese Lösung ist jedoch datenschutzrechtlich kritisch zu sehen, da hierbei die Einwilligung nicht “ausdrücklich” durch einen eigenen aktiven Akt erklärt wird. Dies wird jedoch von verschiedenen Ansichten gefordert, da es sich hierbei um eine “Erklärung” handelt, welche aus ihrer Natur heraus bereits ein aktives Tun erfordert. Das Risiko, dass eine Aufsichtsbehörde diese Widerspruchslösung für nicht zulässig erachtet und damit das Risiko, dass die Aufsichtsbehörde hierfür ein Bußgeld verhängt, besteht.

Bei Nichteinhaltung drohen hierbei Verstöße gegen Datenschutzvorgaben, die u.U. ab dem 25. Mai 2018 mit Bußgeldern bis zu 20 Millionen € geahndet werden können. Ob hierbei die grundsätzlich präferierte Lösung mit Widerspruchsoption eine sachgerechte Lösung darstellt, bedarf einer internen unternehmerischen Risikoentscheidung.

  • „Ausdrückliche Einwilligung“

Mit Geltung der DSGVO ab Mai 2018 ist maßgeblich, dass eine Einwilligung durch “eine eindeutige bestätigende Handlung erfolgen sollte” (Erwägungsgrund 32). Das bedeutet, dass mit der Abgabe ein aktives Tun der Betroffenen gefordert ist, so dass ab diesem Zeitpunkt die geschilderte Widerspruchsoption nur noch schwer zu rechtfertigen ist.

Daher empfiehlt es sich unter Blick auf die DSGVO hierbei von jedem einzelnen Kunden im Hinblick auf die angesprochenen Kundendaten eine informierte Einwilligung einzuholen, welche als eine „eindeutige bestätigende Handlung“ erfolgen sollte.

Und wie sieht das alles aus Kundensicht aus?

Eingangs stellt sich die Frage – muss ich das als Kunde eines Unternehmens einfach so hinnehmen? Wie dargestellt – in vielen Fällen bedarf es für eine rechtskonforme Übertragung der Kundendaten voraussichtlich einer Einwilligung seitens des betroffenen Kunden. Sollte ein Unternehmen dennoch die Kunden bei der Übertragung übergehen und trotz Notwendigkeit keine Einwilligungen für die Übertragung einholen, so stehen dem Kunden grundsätzlich auch Schadensersatzansprüche zu. Dies setzt natürlich zunächst die Darlegung eines konkreten Schadens voraus.

Bisher war das datenschutzrechtliche Schadensersatzrecht in § 7 BDSG geregelt – dieses ist jedoch relativ beschränkt, da sich das handelnde Unternehmen schon bei Beachtung der nach den Umständen des Falles gebotene Sorgfalt exkulpieren kann. Art. 82 DSGVO ist hierbei schärfer: Die Exkulpation gelingt nur bei Nachweis, dass das handelnde Unternehmen in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Zudem regelt die DSGVO weiter, dass „[D]der Begriff des Schadens …  im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht.“ (Erwägungsgrund 146). Weiter sollten „[D]die betroffenen Personen [sollten] einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.“ (ebenfalls Erwägungsgrund 146).

Art. 82 DSGVO wird zudem die Haftung auf Schadensersatz erweitern: die Verordnung sieht nämlich vor, dass auch immaterielle Schäden von der Haftung mit umfasst sind. Ein Betroffener kann sich daher entgegen der aktuellen BDSG-Regelung ggf. auch Schmerzensgeld einklagen.

Es ist also davon auszugehen, dass Betroffene weit wirksamer ihnen entstandene Schäden geltend machen können – und mitunter auch auf diese Weise gegen eine pflichtwidrige Nichteinholung einer Einwilligung im Rahmen eines Unternehmenskaufes vorgehen könnten.

Fazit

Für einen rechtskonformen Übergang des Kundenstamms bei einem Unternehmenskauf sollten also im Vorfeld bereits saubere Strukturen und eine saubere Mandantentrennung geschaffen werden, damit in der Folge die Übertragung des Kundenstamms in datenschutzrechtlich zulässiger Weise durchgeführt werden kann. Zudem kann damit zugleich effektiv zivilrechtlichen Haftungsansprüchen sowie drohenden Bußgeldern vorgebeugt werden.