Kundendaten: Datenschutzrecht beim Unternehmenskauf

adresshandel 02
Fachbeitrag

Erst vor kurzem hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen das Datenschutzrecht ein erhebliches Bußgeld auferlegt. Der Umgang mit den Kundendaten des eingekauften Unternehmens erfolgte nicht datenschutzkonform. Die Nutzung der bestehenden Kundendaten ist für den Käufer nur unter bestimmten Voraussetzungen möglich, die vorliegend nicht eingehalten worden.

Daten sind Vermögenswerte

Schon lange werden Daten, vor allem personenbezogene, als die neue Währung des 21. Jahrhunderts gehandelt. So sind auch Kundendaten für Unternehmen nicht zu unterschätzende Vermögenswerte („Assets“) und stellen eine gewichtige Komponente bei sog. asset deals (Unternehmensverkauf mit Übertragung aller Sachwerte) dar. Die bayrische Datenschutzbehörde hat nun in einer Pressemitteilung dargestellt, welche Folgen ein unsachgemäßer Umgang mit solchen „eingekauften“ Daten haben kann: ein Bußgeld in fünfstelliger Höhe. Die betroffenen Parteien des Unternehmenskaufs hatten die datenschutzrechtlichen Vorschriften nach Ansicht der Aufsichtsbehörde mißachtet.

Thomas Kranig, Präsident des BayLDA, teilte mit:

„Bei Asset Deals werden personenbezogene Kundendaten bisweilen unter Verstoß gegen das Datenschutzrecht veräußert. Um die Sensibilität der Unternehmen zu erhöhen, werden wir in auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden.“

Unternehmensverkauf und Datenschutzrecht

Bei Unternehmenstransaktionen wird den Interessenten üblicherweise schon im Vorfeld eine Vielzahl von Informationen zur Verfügung gestellt. Dadurch wird es überhaupt erst möglich das Kaufobjekt wirtschaftlich und rechtlich zu beurteilen. Selbstverständlich spielen dabei auch eine Menge personenbezogener Daten wie etwa Mitarbeiter-, Lieferanten- und Kundendaten eine gewichtige Rolle.

Die Weitergabe von Mitarbeiterdaten an potentielle Käufer etwa, ist eine Übermittlung von personenbezogenen Daten an Dritte gemäß § 3 Abs. 4 Nr. 3a oder b BDSG, die gemäß § 4 Abs. 1 BDSG in jedem Fall erlaubnispflichtig ist. Somit ist schon in dieser frühen Phase des Verkaufs zu prüfen, wie eine Übermittlung der Daten rechtskonform umgesetzt werden kann.

Oft sind gerade die vorhandenen Kundendaten in dem zum Verkauf stehenden Unternehmen für den Käufer von großem Interesse und bietet ihm die Möglichkeit den wertvollen Kundenstamm später nutzen zu können. Hierfür fordert der Verkäufer dann häufig auch einen entsprechenden Kaufpreis. Datenschutzrechtlich ist aber die Übertragung und Nutzung der erhaltenen Daten nicht per se zulässig, es muss hier im Einzelfall untersucht werden, welche Daten zu welchem Zweck übertragen und weitergenutzt werden können. Dies gilt zumindest dann, wenn ein Unternehmen durch Übertragung der Sachwerte verkauft wird (asset deal) und nicht nur ein Teil eines Unternehmens bzw. eine bloße Umwandlung oder Verschmelzung des entsprechenden Unternehmensteils vorgesehen ist oder der Verkauf durch Übertragung der Anteile vollzogen wird (share deal) und die Rechtspersönlichkeit des Unternehmens als solche bestehen bleibt.

Datenschutzbehörde statuiert Exempel

Die Datenschutzaufsichtsbehörde aus dem Freistaat Bayern hat nunmehr das erste prominente Exempel statuiert, in einem Fall, in dem die im Zuge eines Unternehmenskaufs erlangten E-Mail Adressen der Kunden rechtswidrig für Werbezwecke genutzt worden sind.

Die Behörde stellt in ihrer Erklärung klar, dass die Übermittlung von Namen und Postanschriften von Kunden (die sog. Listendaten) grundsätzlich auch ohne vorherige Einwilligung des Betroffenen übermittelt (und genutzt werden dürfen), wenn das veräußernde Unternehmen die Übermittlung dokumentiert hat.

Bei den übrigen Daten wie Telefonnummern, E-Mail-Adressen, Konto- und/oder Kreditkartendaten aber, ist eine Übertragung nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten eingewilligt haben oder zumindest auf die geplante Übermittlung hingewiesen worden sind, ihnen ein Widerspruchsrecht eingeräumt wurde und sie nicht widersprochen haben.

„Unternehmen (…) müssen sich bewusst machen, dass personenbezogene Kundendaten nicht wie eine beliebige Ware veräußert werden dürfen. Vielmehr ist dies nur unter Beachtung der datenschutzrechtlichen Voraussetzungen erlaubt.“

Regelmäßig gingen – wie im beurteilten Fall – bei der Behörde Beschwerden Betroffener ein, die E-Mail-Werbung von ihnen unbekannten Unternehmen erhalten. Wie sich später herausstellt ist dies oft auf asset deals zurückzuführen, so die Behörde.

Des Weiteren weist das BayLDA darauf hin, dass E-Mail-Adressen und Telefonnummern auch gemäß § 7 Abs. 2 Nr. 2 und Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht ohne ausdrückliche Werbeeinwilligung des jeweiligen Kunden genutzt werden dürfen. Selbst wenn den Betroffenen ein Widerspruchsrechts vor der Datenübermittlung eingeräumt wurde.

Es ist daher notwendig, dass die betroffenen Kunden bereits bei Vertragsabschluss in einen Weiterverkauf ihrer Daten freiwillig einwilligen, was die spätere Weitergabe und Nutzung deutlich vereinfacht. Wenn dies nicht geschieht bleibt nur die Widerspruchslösung, so dass alle Kunden beim Verkauf informiert werden müssen und Ihnen eine angemessene Frist zum Widersprechen gegeben werden muss.

Fazit: Due Diligence inkl. Datenschutzrecht

Bei Unternehmenskäufen ist stets auch eine genaue datenschutzrechtliche Analyse vorzunehmen, um explizit zu klären, wie der Umgang mit den betroffenen Daten in jedem Abschnitt des Kaufs rechtskonform umgesetzt werden kann. Zu unterscheiden ist somit die Zulässigkeit der Übermittlung der Daten im Vorfeld eines Kaufs, die Integration der Daten aus dem erworbenen Unternehmen und dessen Nutzungsmöglichkeit im weiteren Geschäftsbetrieb des Erwerbers. Zudem ist eine solche Untersuchung entscheidend für eine sorgfältige Wertpfindung des Kaufobjekts, welches den Kern jeder Due Diligence Prüfung ausmacht.

Die Transaktion eines Unternehmens, ohne vorherige gründliche Prüfung der datenschutzrechtlichen Vorgaben, muss heutzutage als grob fahrlässig bezeichnet werden und kann durch die Aufsichtsbehörden ggf. auch empfindlich bestraft werden (Bußgelder in Höhe von bis zu 300.000 Euro).

Die Einbeziehung eines Datenschutzexperten bzw. des betrieblichen Datenschutzbeauftragten erscheint daher bei anstehenden Unternehmensverkäufen mehr als sinnvoll.

6 Kommentare zu diesem Beitrag

  1. Meiner Meinung nach wurde der Share- und Asset Deal hier nicht richtig beschrieben. Der Asset Deal ist die Veräußerung einzelner Unternehmensteile, so z.B. Grundstücke, Gebäude, Maschinen oder eben Kundendaten etc. Beim Share Deal werden dagegen die Anteile eines Unternehmens verkauft, d.h. das Unternehmen bleibt beim Share Deal als Ganzes bestehen. Unter diesem Gesichtspunkt macht die Entscheidung des BayLDA dann schon eher Sinn, da beim Share Deal das veräußerte Unternehmen die Daten nach wie vor selber nutzt.

    • Vielen Dank für Ihren Hinweis. Der asset deal ist, wie im Text beschrieben ein Unternehmensverkauf, der durch Übertragung der Sachwerte vollzogen wird, also auch den Ankauf Kauf von Kundendaten beinhalten kann. Beim share deal wird der Unternehmensverkauf durch Verkauf der Anteile vollzogen, wobei die Rechtspersönlichkeit bestehen bleibt. Wir haben die Textpassage angepasst, die diese vermeintliche Unklarheit beseitigt.

  2. Ich würde sehr gerne wissen, was man jetzt wirklich machen muss?
    Im Text wird einmal davon gesprochen, dass eine Widerspruchslösung ausreicht bei Übernahme der Assets und danach wird wieder davon gesprochen das eine Einwilligung notwenidg ist. Ich habe einen Kunden der gerade vor einem Unternehmensverkauf steht und genaue diese Absicherung zu 100% wissen sollte. Freue mich auf eine Antwort!

    • Wenn Daten im Rahmen eines asset deals übertragen werden sollen, ist dies grundsätzlich nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten (vorher) eingewilligt haben ODER zumindest – bereits im Vorfeld – auf die geplante Übermittlung hingewiesen worden sind, ihnen ein Widerspruchsrecht eingeräumt wurde (mit angemessener Frist) und sie nicht widersprochen haben. Die Einwilligungs- und Widerspruchslösung stehen daher in einem Alternativverhältnis. Beachten Sie aber, dass die werbliche Nutzung der „erworbenen“ E-Mail Adressen und Telefonnummern immer eine Einwilligung der betreffenden Kunden voraussetzt. Ich empfehle Ihnen, bei dem Unternehmensverkauf zusätzlich den zuständigen Datenschutzbeauftragten mit einzubinden.

  3. Haben Sie umfassende Informationen über den Umgang mit personenbezogenen Daten (Mitarbeiter-, Kunden-, Lieferantendaten …) beim Share Deal und Asset Deal oder wissen Sie wo ich diese finden kann?

    • Gerne beraten wir Sie bei einem anstehenden Unternehmenskauf (Share- oder Asset Deal) hinsichtlich des datenschutzkonformen Umgangs mit den betroffenen Daten. „Umfassende Informationen“ können wir hier im Rahmen eines Kommentars jedoch nicht zu Verfügung stellen, wir bitten um Ihr Verständnis.
      Sofern Sie eine eingehende Beratung durch unsere Consultants zu diesem Thema wünschen, wenden Sie sich bitte einfach an uns, telefonisch oder über unser Kontaktformular!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.