Immer wieder werden in Unternehmenstransaktionen auch personenbezogene Daten übertragen. Gerade Kundendaten haben dabei oft sogar einen relevanten Wert. Wie die Übertragung datenschutzkonform erfolgen kann, beschäftigt die Praxis immer wieder. Die deutschen Datenschutzaufsichtsbehörden haben sich dazu ebenso positioniert, wie jetzt auch der oberste Gerichtshof in Österreich (OGH). Wir fassen die in den verschiedenen Transaktionsphasen wichtigsten Eckpunkte zusammen.
Der datenschutzkonforme Umgang mit Kundendaten in Transaktionen ist essentiell: Nur so wird das Asset gesichert und können Kundendaten auch entsprechend gewinnbringend weiter genutzt werden, nur so können Schadensersatzansprüche und Bußgeldrisiken verhindert werden. In den verschiedenen Transaktionsphasen und -arten sind die folgenden Aspekte datenschutzrechtlich zu bedenken:
Due Diligence
Eine umfassende Due Diligence ist im Vorfeld eines Unternehmenskaufs regelmäßig unerlässlich. Bereits bei diesem Schritt der Unternehmenstransaktion wird oftmals die Offenlegung auch personenbezogener Daten von Kaufinteressenten verlangt, um entsprechend aussagekräftige Prüfungen durchführen zu können. Darunter fallen u.U. auch Kundendaten.
Für die datenschutzkonforme Offenlegung personenbezogener Daten im Rahmen der Due Diligence sind insbesondere folgende Eckpunkte entscheidend:
- Anonymisierung: Soweit möglich, müssen personenbezogene Daten derart geschwärzt und verkürzt werden, dass sie für Kaufinteressenten anonym werden. Die Kaufinteressenten können dann nicht nachvollziehen, zu welcher natürlichen Person bestimmte Informationen gehören.
- Erlaubnisgrundlage: Ohne Anonymisierung dürfen personenbezogene Daten nur dann offengelegt werden, wenn eine Erlaubnisgrundlage dies trägt. In der Praxis kommt hier regelmäßig nur das berechtigte Interesse nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO in Betracht. Die Offenlegung muss dann zunächst überhaupt erforderlich sein, um die berechtigten Interessen an der Unternehmenstransaktion zu befriedigen. Die Erforderlichkeit kann nur in besonderen Konstellationen und fortgeschrittenen Due Diligence Phasen bejaht werden, wenn es tatsächlich auf die Kenntnis einzelner Kunden ankommt. Und auch dann ist des Weiteren noch eine Abwägung der Interessen erforderlich – die Betroffeneninteressen gegen eine Offenlegung dürfen nicht überwiegen. In der Praxis ist das selten erfüllt.
- Betroffeneninformation: Hinzu kommt rein pragmatisch, dass oftmals in dieser Phase weder Verkäufer noch potentieller Käufer die Kunden, deren Daten offengelegt werden, über die Due Diligence informieren möchte. Mit Offenlegung ist eine solche Information aber i.d.R. geboten nach Art. 13, 14 DSGVO, da die personenbezogenen Daten zu einem neuen Zweck („Verkauf“ und nicht mehr Abwicklung der Kundenbeziehung) verarbeitet werden. In Ausnahmefällen kann darauf verzichtet werden; in der Praxis sind die Voraussetzungen dafür aber meist nicht erfüllt.
Festzuhalten bleibt danach: In der Due Diligence sind Kundendaten i.d.R. nicht personenbezogen, sondern nur anonymisiert offenzulegen. Eine personenbezogene Offenlegung kommt nur in Ausnahmefällen in Betracht und erfordert dann die Einhaltung einer Reihe datenschutzrechtlicher Sicherungsmaßnahmen, u.a. der Betroffeneninformation.
Share Deal
Bei dieser Variante einer Unternehmenstransaktion werden lediglich die Gesellschaftsanteile an den Erwerber veräußert. Das Unternehmen, die juristische Person, bleibt identisch. Die datenschutzrechtliche Verantwortlichkeit bleibt damit bei ein und demselben Unternehmen, so dass keine datenschutzrechtlich relevante Datenübermittlung stattfindet. Es fehlt an einer Datenübertragung an einen Dritten. Datenschutzrechtlich gibt es für diese Konstellation im Vollzug mithin regelmäßig keine weiteren Herausforderungen.
Datenschutzrechtliche Herausforderungen können sich jedoch dann ergeben, wenn nach einer Transaktion eine Konzernintegration erfolgt und dann auch Mitarbeiter- oder Kundendaten im Konzern bereitgestellt werden sollen. Die DSGVO sieht bekanntlich kein Konzernprivileg vor, so dass für eine gemeinsame Datennutzung oder eine Datenübermittlung im Konzern eine Erlaubnisgrundlage nebst Betroffeneninformation erforderlich ist. In der Praxis ist oftmals eine frühzeitige Betroffeneninformation essentiell, um eine „Erwartungshaltung“ i.S.d. Erwägungsgrundes 47 DSGVO zu begründen, dass aufgrund der neuen Strukturen personenbezogene Daten nun auch im Konzern verarbeitet werden. Empfehlenswert sind zudem meist konzerninterne Datenschutzvereinbarungen, Data Processing Agreements, die diesen Datenverbund abbilden, sei es über Auftragsverarbeitungsverhältnisse, eine gemeinsame Verantwortlichkeit oder auch trennscharfe Abgrenzungen der Verantwortungsbereiche.
Asset Deal
Werden im Rahmen eines Asset Deals lediglich einzelne Vermögensgegenstände eines Unternehmens veräußert, kommt das Käuferunternehmen als neuer Rechtsträger ins Spiel. Ein solches Asset können auch die Kundendaten sein.
Sollen Kundendaten auf einen neuen Rechtsträger übertragen werden, wechselt der datenschutzrechtlich Verantwortliche. Die personenbezogenen Daten werden an einen Dritten übertragen.
Eine solche Datenübertragung ist erlaubnispflichtig: Als Rechtsgrundlage für die Übertragung kommt zunächst eine Einwilligung eines jeden einzelnen Kunden in die Datenübermittlung in Betracht. Die Einwilligung von aktiven Bestandskunden mit laufenden Verträgen in den Übergang ihrer Daten auf den Erwerber kann auch in der zivilrechtlichen Zustimmung zum Vertragsübergang (§ 415 BGB) gesehen werden. Wie der OGH Österreich kürzlich in einem Beschluss festhielt, ist von einer wirksamen Einwilligung zudem schon dann auszugehen, wenn Kunden beim Bezug eines Newsletters zustimmen, dass im Falle des Verkaufs des Unternehmens ihre Daten an den Käufer übertragen werden. Das gilt aber nur, wenn die Kundendaten auch für dieselben Zwecke weiterverwendet werden, für die sie erhoben wurden. Nutzt der Erwerber also die Daten, um weiterhin Werbung und Newsletter an die Kunden zu verschicken, sei es entbehrlich, eine neue Einwilligung einzuholen. Auch bestehe keine zusätzliche Informationspflicht gem. Art. 14 DSGVO gegenüber den betroffenen Personen. Die Daten wurden von der erworbenen Gesellschaft bei den Kunden und nicht bei einer anderen Person (dem Verkäufer) erhoben.
In der Praxis ist eine Einwilligung allerdings trotz der weiten Auslegung durch den OGH Österreich oft nicht der bevorzugte Weg: Zum Transaktionszeitpunkt ist dann oft nicht sicher, welcher Kunde zustimmt. Der Wert des Assets ist nicht bestimmbar; es besteht ein erhebliches Risiko, dass nur wenige Kunden einwilligen. Die Einwilligung ist in vielen Fällen auch nicht interessensgerecht, wenn der Erwerber etwa bestehende Verträge weiterhin erfüllen will. Anstelle einer Einwilligung können denn auch berechtigte Interessen von Verkäufer und Erwerber eine Rechtsgrundlage zur Übertragung der Kundendaten bieten. Entscheidend ist, dass die gegenläufigen Interessen der Kunden nicht überwiegen. In der Praxis orientiert sich die Bewertung der berechtigten Interessen nach wie vor an den von der Datenschutzkonferenz (DSK) in einem Papier aus 2019 entwickelten Fallgruppen:
- Bestandskunden mit aktiven Verträgen oder letzter Vertragsbeziehung vor weniger als drei Jahren: Daten dürfen aus berechtigten Interessen übermittelt werden, wobei den Kunden eine Widerspruchsmöglichkeit vor der Übermittlung eingeräumt werden muss (i.d.R. mit 6 Wochen Frist).
- Bestandskunden ohne aktiven Vertrag mit letzter Vertragsbeziehung vor mehr als drei Jahren: Daten dürfen übermittelt werden, aber nur, wenn dies zur Erfüllung gesetzlicher Aufbewahrungsfristen erforderlich ist, wobei auch hier ein Widerspruch ermöglicht werden muss.
- Die vorstehenden Kriterien gelten nur für nicht sensible Daten, also u.a. nicht für Gesundheitsdaten. Für diese ist stets eine Einwilligung erforderlich.
In der Praxis empfiehlt sich danach eine frühzeitige Information der Kunden über den bevorstehenden Asset Deal mit Einräumung einer Widerspruchsfrist. Wann noch von aktiven Kunden ausgegangen werden kann und wie lange eine Frist zu gewähren ist, ist eine Frage des Einzelfalls. Die Kriterien der DSK können mit Blick auf das jeweils betroffene Geschäft auch kürzer oder länger gewählt werden, je nach den üblichen Abläufen: Wenn häufig Kunden nach 5 oder 6 Jahren erneute Vertragsbeziehungen aufnehmen, können auch diese noch als aktive Kunden qualifiziert werden. Maßgeblich ist, dass – im Rahmen der ohnehin zu dokumentierenden Interessensabwägung unter Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO – die gewählten Zeiträume begründet werden.