Die Weitergabe von Kundendaten ist bei Unternehmensverkäufen regelmäßig von zentraler Bedeutung. Oftmals wird dabei aber vergessen, dass dies gerade beim Asset Deal datenschutzrechtlich schwierig sein kann. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat Ende 2024 einen neuen Beschluss zum Umgang mit personenbezogenen Daten bei Asset Deals veröffentlicht, um der Praxis bei der Umsetzung zu helfen.
Was ist das Problem?
Neben Betriebsmitteln, Betriebsstätten, Mitarbeitern und Know-how mach der Kundenstamm oftmals den maßgeblichen Wert eines Unternehmens aus. Wird ein Unternehmen verkauft, ist es für den Erwerber daher in der Regel entscheidend, die Kundendaten zu erhalten, um die Kundenbeziehungen fortsetzen zu können. Bei den Kundendaten handelt es sich jedoch regelmäßig um personenbezogene Daten. Deren Verarbeitung setzt eine Einwilligung der betroffenen Personen oder einen gesetzlichen Erlaubnistatbestand voraus. Gleiches gilt natürlich für Mitarbeiterdaten oder sonstige personenbezogene Daten, die hier aber ausgeklammert werden sollen.
Share Deal oder Asset Deal? – Die Erwerbsart ist entscheidend
Der Kauf eines Unternehmens kann grundsätzlich auf zwei Wegen erfolgen: Entweder durch die Übertragung von Anteilen an der Zielgesellschaft (Share Deal) oder durch die Einzelübertragung von Vermögenswerten und Wirtschaftsgütern der Gesellschaft (Asset Deal).
Bei einem Share Deal ändert sich die Identität des datenschutzrechtlich Verantwortlichen nicht, da lediglich die Anteile an der Gesellschaft übertragen werden. Die Gesellschaft bleibt also die datenschutzrechtlich Verantwortliche. Hier stellen sich grundsätzlich keine datenschutzrechtlichen Probleme – ggf. abgesehen von Prüfungshandlungen im Rahmen der Due Dilligence.
Anders liegt dies beim Asset Deal. Da hier nur einzelne Vermögensgegenstände übertragen werden, stellt die Weitergabe der Kundendaten eine datenschutzrechtliche Übermittlung an einen Dritten dar und bedarf eines Rechtfertigungsrunds. Dieser Problematik widmet sich die DSK in ihrem Beschluss.
Datenübermittlung vor dem Asset Deal, sog. Due Dilligence
Laut der DSK ist eine Weitergabe der Kundendaten während der Due Dilligence (also vor dem Abschluss des Asset Deals) unzulässig, wenn keine Einwilligung der Betroffenen vorliegt. Allerdings räumt die DSK ein, dass bei fortgeschrittenen Übernahmeverhandlungen eine Weitergabe von Hauptvertragspartnern durch ein berechtigtes Interesse gerechtfertigt sein kann (Art. 6 Abs. 1 lit. f DSGVO), eine Einwilligung also nicht erforderlich ist.
Datenübermittlung im Rahmen des Asset Deals
Bei der Übermittlung von Kundendaten im Rahmen eines Asset Deals unterscheidet die DSK nach der Art der Kundenbeziehung – Vertragsanbahnung, laufende vertragliche Beziehungen, beendete vertragliche Beziehungen. (Für Bankdaten und Besondere Kategorien personenbezogener Daten gelten strengere Anforderungen!)
Vertragsanbahnung
Eine Vertragsanbahnung liegt laut der DSK vor, wenn der Veräußerer mit dem potentiellen Kunden Vertragsverhandlungen führt. Führt der Kunde die Verhandlungen mit dem Erwerber rügelos fort, ist eine Weitergabe der Daten, die für die Fortsetzung der Verhandlungen erforderlich sind, gerechtfertigt (Art. 6 Abs. 1 lit. b DSGVO). Andernfalls soll die Lösung in der sog. Widerspruchslösung liegen. In diesem Fall wird den betroffenen Kunden die beabsichtigte Datenübermittlung mit einer angemessenen Frist für einen möglichen Widerspruch angekündigt. Erfolgt kein Widerspruch, ist die Datenweitergabe grundsätzlich zulässig.
Laufende Vertragsbeziehungen
Bei laufenden Vertragsbeziehungen differenziert die DSK danach, ob der Kunde beim „Vertragsübergang“ mitwirkt. Übernimmt der Erwerber den Vertrag mit den Kunden (Vertragsübernahme) setzt dies (vertragsrechtlich) die Zustimmung des Kunden voraus. Gleiches gilt im Falle der Schuldübernahme nach § 415 BGB. Dann ist auch die Weitergabe der Kundendaten datenschutzrechtlich zulässig (Art. 6 Abs. 1 lit. b DSGVO).
Soll der Erwerber den Veräußerer nur von dessen Schuld freistellen (Erfüllungsübernahme) ist vertragsrechtlich keine Zustimmung des Kunden als Gläubiger erforderlich. Es handelt sich um eine Vereinbarung zwischen Erwerber und Veräußerer. In diesem Fall ist laut DSK eine Datenübermittlung aber regelmäßig nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt. Denn der Kunde ist an einer Erfüllung interessiert, die oft vom Erwerber besser gewährleistet werden kann. Sollten in Einzelfall überwiegende Interessen des Kunden dagegensprechen, ist hingegen eine Einwilligung erforderlich.
Beendete Vertragsbeziehungen
Möchte der Erwerber die Daten von Altkunden nutzen, ist nach Ansicht der DSK eine Auftragsverarbeitungsvereinbarung (AVV) erforderlich. Sofern der Erwerber die Daten zu anderen Zwecken als der Aufbewahrung verwenden möchte, sei zudem eine Einwilligung erforderlich.
Fazit
Inwieweit der Beschluss der DSK den Umgang mit personenbezogenen Daten im Rahmen des Transaktionsgeschäfts erleichtert oder erschwert bleibt abzuwarten. Es empfiehlt sich, diese Problematik bereits bei Transaktionsbeginn im Blick zu haben.