Bei einem Unternehmensverkauf (Asset Deal) gehören die Kundendaten häufig zu den wertvollsten Vermögensgegenständen eines Unternehmens. Werden bei deren Übertragung jedoch Fehler gemacht, können sie sich für den Erwerber als wertlos herausstellen. Außerdem kann eine fehlerhafte Übertragung zu hohen Bußgeldern oder Schadensersatzforderungen der Betroffenen führen.
Insbesondere aus dem Datenschutzrecht ergeben sich relevante Anforderungen an die Übertragung und anschließende gesetzeskonforme Verwendung der Kundendaten. Nach Maßgabe der Datenschutzgrundverordnung (DSGVO) drohen bei Datenschutzverstößen Bußgelder in Höhe von bis zu 20 Millionen Euro, die bei Unternehmen sogar noch höher liegen können.
Nicht nur für Käufer besteht daher die Anforderung, sich bei einem Asset Deal mit den Übertragungs- und Nutzungsmöglichkeiten von Kundendaten auseinanderzusetzen. Um die Weitergabe der Kundendaten rechtlich zulässig zu gestalten, muss entweder ein gesetzlicher Erlaubnistatbestand oder eine dahingehende Einwilligung des Betroffenen vorliegen.
Ein gesetzlicher Erlaubnistatbestand für die Übertragung der Daten kann sich aus Art. 6 Abs 1 lit. f DSGVO ergeben. Dazu ist die Darlegung eines konkreten berechtigten Interesses des Verantwortlichen für die Datenweitergabe zu einem bestimmten Zweck erforderlich. Des Weiteren ist zu prüfen, ob und inwiefern schutzwürdige Interessen der Betroffenen der Datenübertragung entgegenstehen könnten.
Ein Zweck der Datenübertragung kann die Fortführung bestehender Verträge sein, wenn die Übertragung mit dem Zweck der ursprünglichen Erhebung der Daten vereinbar ist. Auch das wirtschaftliche Interesse des übertragenden Unternehmens kann als berechtigtes Interesse geltend gemacht werden. Auch hier ist jedoch gegenüber den schutzwürdigen Interessen der Betroffenen abzuwägen.
Kommt man zu dem Ergebnis, dass die Übertragung aufgrund der Sensitivität der verarbeiteten Daten nicht mit dem berechtigten Interesse des Unternehmens zu rechtfertigen ist, da die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen überwiegen, ist eine Weitergabe nur auf Grundlage einer Einwilligung durch die Betroffenen möglich. Dazu ist eine datenschutzrechtliche Einwilligung nach Art. 6 Abs 1 lit a DSGVO erforderlich, die sämtliche gesetzlichen Vorgaben einhält und die Betroffenen abschließend und transparent über Art, Umfang und Zweck der Verarbeitung informiert.
Zur Einholung der Einwilligung kommt die sogenannte Widerspruchslösung infrage. Dabei werden die Betroffenen vor der Datenübertragung über den Eigentümerwechsel informiert und dabei über die Möglichkeit zum Widerspruch innerhalb einer bestimmten Frist aufgeklärt. Lässt der Betroffene die gesetzte Frist verstreichen, erklärt er sich dadurch mit der Weitergabe seiner Daten einverstanden. Daten von Betroffenen, die der Übertragung widersprechen, dürfen dann nicht weitergegeben werden.
Nach der DSGVO muss eine Einwilligung allerdings durch eine eindeutige, bestätigende Handlung erfolgen. Es ist also ein aktives Tun der Betroffenen erforderlich. Unter diesem Gesichtspunkt erscheint die Widerspruchslösung inzwischen als riskant. Wenn ein solches Risiko ausgeschlossen werden soll, bleibt nur noch die Möglichkeit von jedem einzelnen Kunden eine informierte Einwilligung einzuholen und diese als eindeutige bestätigende Handlung zu gestalten und zu dokumentieren.
Insgesamt ist die Übertragung von Kundendaten beim Unternehmens(ver-)kauf also mit einigen datenschutzrechtlichen Hürden verbunden. Die DSGVO hebt dabei die Anforderungen sogar noch einmal etwas an. In jedem Fall ist die Einbeziehung eines Datenschutzexperten bzw. des betrieblichen Datenschutzbeauftragten zur datenschutzrechtlichen Analyse des Umgangs mit den betroffenen Daten in jedem Abschnitt des Prozesses zu empfehlen.
– Felix Prömel (Berater)
junokai