Unternehmenskäufe bringen regelmäßig eine Vielzahl datenschutzrechtlicher Fragen mit sich. Eine zentrale Frage ist dabei, ob und wann die Übermittlung personenbezogener Daten im Rahmen des Asset Deals zulässig ist. Die Datenschutzkonferenz hat sich in einem Beschluss vom 11.09.2024 erneut damit beschäftigt und ihren Standpunkt aus Mai 2019 überarbeitet und differenziert. Aus dem neuen Beschluss ergeben sich wichtige Leitlinien für die Praxis.
Beim Asset Deal als Form des Unternehmenskaufs werden – anders, als im Fall eines Share Deals – (einzelne oder alle) Vermögenswerte eines Unternehmens auf ein anderes übertragen. Zu diesen Vermögenswerten zählen in aller Regel auch Daten über Kunden, Lieferanten und Beschäftigte. Damit werden auch personenbezogene Daten übertragen, die erlaubnispflichtig ist.
Wann diese Übertragung datenschutzrechtlich zulässig ist, thematisierte die Datenschutzkonferenz (DSK) bereits in einem Beschluss aus 2019. Dieser Beschluss aus dem Jahr 2019 differenzierte in erster Linie zwischen laufenden Verträgen und Bestandskunden ohne laufende Verträge. Bei Letzteren sollte es darauf ankommen, ob die letzte Vertragsbeziehung länger als drei Jahre zurückliegt, die Übertragung der Daten „aktiver Kunden“ war regelmäßig zur Vertragsfortführung erlaubt.
Nunmehr gibt es einen neuen Beschluss der DSK, der am 11.09.2024 veröffentlicht wurde. Dieser neue Beschluss unterscheidet nun zudem nach dem Status des Asset Deals und erst darauf aufbauend der jeweiligen Kundenkategorie, ausgerichtet am Stadium der Vertragsbeziehung mit dem Kunden.
Übermittlung vor Abschluss des Asset Deals (Due Diligence)
Vor Abschluss des Asset Deals ist die Übermittlung nach Position der DSK grundsätzlich unzulässig und lediglich ausnahmsweise zulässig im Falle einer freiwilligen Einwilligung der betroffenen Personen oder – im Zuge bereits fortgeschrittener Übernahmeverhandlungen – aufgrund eines berechtigten Interesses gem. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Ein berechtigtes Interesse ist jeweils im Einzelfall zu begründen und kann z.B. für Informationen über Hauptvertragspartnerinnen und -partner, Personal mit Führungsverantwortung und / oder für das Geschäft zentralen Kompetenzen bestehen. Dies betrifft nicht die Übermittlung sensitiver Daten nach Art. 9 DSGVO.
Übermittlung von Kundendaten im Rahmen des Asset Deals
Unter welchen Voraussetzungen sodann Kundendaten beim abgeschlossenen Asset Deal übertragen werden dürfen, ist differenziert zu betrachten und Richtet sich nach dem Stadium des jeweiligen Vertrags mit dem Kunden:
- Vertragsanbahnung: Führt der Kunde die Verhandlungen mit dem Erwerber von sich aus rügelos fort, greift Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Im Übrigen ist die Übermittlung nur zulässig, wenn den berechtigten Interessen des Veräußerers an der Übermittlung keine überwiegenden Interessen der Kunden entgegenstehen, Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Den berechtigten Interessen der Kunden kann nach dem Beschluss aber durch eine Widerspruchslösung Rechnung getragen werden. Den Kundinnen und Kunden wird dazu die Datenübermittlung an den Erwerber mit einer angemessenen Frist (etwa 6 Wochen) für einen möglichen Widerspruch angekündigt. Hier bleibt die DSK also bei ihrer schon 2019 präferierten Lösung der Ankündigung mit 6-wöchiger-Widerspruchsfrist. Dies umfasst erneut keine sensitiven Daten.
- Laufende vertragliche Beziehungen: Hierunter fallen alle Vertragsverhältnisse, aus denen der Veräußerer noch Verpflichtungen hat bzw. deren Verjährungs- oder Garantiefristen noch nicht abgelaufen sind. Im Falle der Vertragsübernahme sowie der Schuldübernahme (§ 415 Abs. 1 BGB) bedarf es ohnehin der zivilrechtlichen Zustimmung durch den Kunden. Wird diese erteilt, ist die Übermittlung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO zulässig. Im Fall der bloßen Erfüllungsübernahme kommt es auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO an. Überwiegende Interessen der Kunden werden aber nach Auffassung der DSK hinsichtlich der für die Erfüllung erforderlichen Daten regelmäßig nicht entgegenstehen, da die Kunden vor allem an der Erfüllung interessiert seien und diese durch den Erwerber besser gewährleistet werden könne, als durch den Veräußerer.
- Beendete vertragliche Beziehung: Altdaten dürfen dem Erwerber zur Erfüllung der gesetzlichen Aufbewahrungs-fristen übermittelt werden, aber nur zu diesem Zweck genutzt werden. Dafür ist dann der Abschluss eines Auftragsverarbeitungsvertrags erforderlich und der Erwerber hat die Daten zwingend von den Daten der Kunden mit laufender Vertragsbeziehung zu trennen („Zwei-Schrank-Lösung“). Für jede darüberhinausgehende Verwendung benötigt der Erwerber die Einwilligung.
- Werbung: Soweit Kontaktdaten der Kundinnen und Kunden nach den vorstehenden Kriterien vom Erwerber verarbeitet werden durften, können diese regelmäßig gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO in dem Umfang für Werbezwecke genutzt werden, wie dies auch durch den Veräußerer zulässig gewesen wäre.
- Sonderfälle: Der Beschluss geht auch auf einzelne Kategorien personenbezogener Daten ein. So dürfen Kundendaten besonderer Kategorien (insb. Gesundheitsdaten) nur mit entsprechender Einwilligung übertragen werden.
Übermittlung von Kundendaten als einziges „Asset“
Im Fall des Verkaufs von Kundendatenbanken als losgelöstes „Asset“ ist die Datenübermittlung nach Ansicht der DSK grundsätzlich nur nach wirksamer Einwilligung zulässig. Eine eng umgrenzte Ausnahme macht der Beschluss für den Fall, dass Klein- oder Kleinstunternehmen aufgrund der Beendigung ihrer wirtschaftlichen Tätigkeit, ihre Kunden an ein Klein- oder Kleinstunternehmen desselben Wirtschaftszweigs übergeben. Hier könne die einmalige Übermittlung ausschließlich der Postadressen im Wege der Widerspruchslösung realisiert werden. Die Position der DSK ist hier überaus eng.
Übermittlung von Lieferantendaten
Weniger eng sieht die DSK die Übermittlung der Daten von Lieferanten und deren Beschäftigten. Die Übermittlung wird hier regelmäßig nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig sein. Die DSK weist darauf hin, dass die Lieferanten in der Regel sogar ein Interesse an der Fortführung der Geschäftsbeziehung haben werden.
Bedeutung für die Praxis
Für die Praxis ist der Beschluss ein wichtiger Richtungsweiser, wir die Datenschutzaufsichtsbehörden sich positionieren. Er ist differenzierter, dadurch in einigen Punkten aber auch weniger klar anwendbar im Vergleich zum bisherigen Beschluss aus 2019. Wesentlich ist zudem: Der Beschluss der DSK spiegelt die Rechtsauffassung der Behörden im Sinne einer Mehrheitsmeinung. Er ist kein geltendes Recht und nicht abschließend. Im Einzelfall können auch andere Übermittlungen erlaubt, kürzere Widerspruchsfristen gerechtfertigt und Abweichungen datenschutzrechtskonform möglich sein.