Das Datenschutzrecht hat – nicht erst seit Inkrafttreten der DSGVO – mittlerweile einen festen Platz in unserem Alltag und allen geschäftlichen Bereichen gefunden.
Seine nicht zu unterschätzende Bedeutung zeigt das Datenschutzrecht nunmehr auch bei Unternehmenstransaktionen, bei denen mit dem Datenschutz in Zukunft ein weiterer wichtiger Aspekt bei der Due Diligence und der Ausgestaltung der Verträge berücksichtigt werden muss.
I. Daten im Asset Deal
Bei Unternehmenstransaktionen spielt das Datenschutzrecht eine besonders große Rolle, wenn Daten im Rahmen der Transaktionsvorbereitung, Due Diligence, Verhandlung oder bei der Durchführung der Transaktion übermittelt werden. Daten können aufgrund ihrer wirtschaftlichen Bedeutung dabei auch ein wesentlicher und entscheidender Teil eines Asset Deals sein, wenn Daten an sich oder als Teil von Verträgen erworben werden. Dies betrifft insbesondere die Kundendaten natürlicher Personen.
II. Rechtfertigung der Übermittlung personenbezogener Daten
Bei der Übertragung von Daten im Rahmen eines Asset Deals kommt es zu einer Offenlegung durch Übermittlung an eine andere juristische Person. Wie jede Offenlegung durch Übermittlung stellt auch die Übermittlung der Daten im Rahmen eines Asset Deals eine Verarbeitung dar. Wenn hiervon auch personenbezogene Daten betroffen sind, ist eine Verarbeitung nur zulässig, wenn sie nach Art. 6 Abs. 1 DSGVO gerechtfertigt ist.
Der häufigste Fall der Übermittlung personenbezogener Daten im Rahmen eines Asset Deals sind Kundendaten, die von einem Unternehmen auf ein anderes Unternehmen übertragen werden sollen. Die Übertragung der Daten geschieht dabei hauptsächlich, weil die Verträge übertragen werden sollen. In eine solche Übertragung hat der Kunde jedoch regelmäßig nicht eingewilligt und es könnte gegebenenfalls angezweifelt werden, ob die Übermittlung erforderlich ist, um den Vertrag mit dem Kunden zu erfüllen.
Die Übermittlung wird daher vor allem auf das berechtigte Interesse des Erwerbers und des Verkäufers gestützt. Die Rechtfertigung durch das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO ist jedoch eine Abwägungsentscheidung zu den Interessen der betroffenen Personen. Bei dieser Abwägungsentscheidung sollten neben den bisher (ggf. unter Geltung der Datenschutzrichtlinie) ergangenen Gerichtsentscheidungen insbesondere die Veröffentlichungen und Stellungnahmen der Datenschutzbehörden berücksichtigt werden.
III. Empfehlung der Datenschutzkonferenz
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich nunmehr mit dieser Abwägung beschäftigt und eine Empfehlung für den Umgang mit personenbezogenen Daten im Rahmen einer solchen Transaktion veröffentlicht.
Die DSK bildet dabei folgende Fallgruppen, die im Rahmen der Interessenabwägung des Art. 6 Abs. 1 Satz 1 lit. f) i.V.m. Art. 6 Abs. 4 DSGVO bei der Offenlegung im Rahmen eines Asset Deals berücksichtigt werden können:
1. Kundendaten bei laufenden Verträgen
Zunächst differenziert die DSK danach, ob zu dem jeweiligen Kunden ein (aktives) Vertragsverhältnis besteht. Bei der Übermittlung von Kundendaten bei laufenden Verträgen wird dabei an die zivilrechtliche Übertragungsmöglichkeit angeknüpft.
Hierbei muss jedoch berücksichtigt werden, dass ein Vertrag auch im Rahmen eines Asset Deals nicht einseitig auf einen Erwerber übertragen werden kann. Vielmehr bedarf es zivilrechtlich der Zustimmung des Kunden. Wenn eine solche Zustimmung zur Übertragung des Vertrages gegeben wird, soll laut DSK darin gleichzeitig auch eine datenschutzrechtliche Zustimmung zur Übertragung der dazugehörigen Daten liegen.
2. Kunden ohne laufende Verträge
Wenn die letzte aktive Vertragsbeziehung mit einem Kunden mehr als 3 Jahre zurückliegt, dürfen die Daten zwar übermittelt, aber nur für die Zwecke der gesetzlichen Aufbewahrungspflichten innerhalb der gesetzlichen Aufbewahrungsfristen genutzt werden.
Wenn die letzte aktive Vertragsbeziehung mit einem Kunden weniger als 3 Jahre zurückliegt, können die Kundendaten auch so an den Erwerber übermittelt werden, allerdings muss dem Kunden dann eine Widerspruchsmöglichkeit gegeben werden (Opt-Out-Lösung). Gleiches gilt auch für Kundendaten, bei denen noch keine Vertragsbeziehung besteht, bei denen die Vertragsanbahnung aber bereits fortgeschritten ist. Auch hier soll eine Widerspruchsmöglichkeit ausreichen. Denklogisch setzt eine solche Widerspruchsmöglichkeit aber die vorherige Information über die Übermittlung voraus, da das Widerspruchsrecht ansonsten leerläuft. Für die Widerspruchsmöglichkeit hält die DSK eine Widerspruchsfrist von 6 Wochen für angemessen und empfiehlt die Bereitstellung eines Online-Verfahrens, damit der Widerspruch möglichst einfach möglich ist und möglichst einfach umgesetzt werden kann.
Bei Kunden ohne laufende Verträge soll allerdings gleichzeitig auch differenziert werden, ob es sich um besonders schutzwürdige Daten der Kunden handelt, beispielsweise bei Bankdaten der Kunden. Diese Bankdaten sollen nur nach ausdrücklicher Einwilligung des Kunden übertragen werden dürfen.
3. Kundendaten im Falle offener Forderungen
Auch bei offenen Forderungen gegen (bestehende oder ehemalige) Kunden orientiert sich die DSK an der zivilrechtlichen Übertragbarkeit.
Offene Forderungen gegen Kunden können zivilrechtlich gemäß §§ 398 ff. BGB abgetreten werden. Mit diesem Recht soll auch die Möglichkeit einhergehen, die hierfür notwendigen Daten an den Zessionar (den neuen Gläubiger) zu übermitteln. Überwiegende Gegeninteressen bestehen nur dann, wenn die Abtretung vertraglich ausgeschlossen ist (§ 399, 2. Alt. BGB, § 354a HGB).
4. Besonders schutzwürdige Kundendaten nach Art. 9 Abs. 1 DSGVO
Zu guter Letzt stellt die DSK hohe Anforderungen, wenn besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO übertragen werden sollen. Diese sollen nur mit der ausdrücklichen Zustimmung des Kunden übertragen werden dürfen.
IV. Zusammenfassung
Zusammenfassend zeigt sich, dass sich die DSK bei der Abwägung an zivilrechtlichen Grundsätzen orientiert. Bei Kundendaten differenziert die DSK dabei zwischen einem bestehenden (aktiven) Vertragsverhältnis, einem ehemaligen Vertragsverhältnis und potentiellen Kunden. Die Stellungnahme der DSK bietet daher eine erste Orientierung für kommende Unternehmenstransaktionen. Gleichwohl ist sie weder bindend für die Gerichte, noch für die Behördenpraxis.
Bei genauer Betrachtung der Stellungnahme kann sie zudem auch erweitert verstanden werden. Wenn daran angeknüpft wird, dass ein bestehender Kunde einem Vertragsübergang zugestimmt hat, ist es hierfür denklogisch notwendig, dass der Erwerber ein entsprechendes Angebot zur Vertragsübernahme unterbreitet hat, da die Vertragsübernahme eine dreiseitige Vereinbarung voraussetzt, da der Erwerber nicht nur die Rechte, sondern auch die Pflichten des Vertrages übernehmen soll.
Wird diese Überlegung auf die Stellungnahme der DSK übertragen, so muss es zulässig sein, die Daten aus bestehenden Kundenbeziehungen bereits vor der Zustimmung zur Übertragung des Vertrages zu übermitteln, damit der Erwerber die Vertragsbeziehung prüfen und dem Kunden eine Vertragsübernahme anbieten kann.
Mehr Informationen und eine ausführliche Darstellung der Zulässigkeit der Übermittlung personenbezogener Kundenstammdaten im Rahmen eines Asset Deals finden Sie auch in dem lesenswerten Aufsatz von Jens Nebel in der Zeitschrift Computer und Recht (CR), Heft 7/2016, Seite 417.