Unternehmensverkauf: Beim Asset Deal den Datenschutz nicht vergessen
Ein wertvolles Asset in einem Unternehmen sind die Kundendaten. Bei einem Kauf bzw. Verkauf dieser personenbezogenen Daten sind jedoch datenschutzrechtliche Vorgaben zu beachten, auch wenn im Rahmen einer Transaktion häufig andere Aspekte mehr im Fokus stehen. Was Sie bei der Übertragung von Kundendaten beachten sollten und in welchen Fällen keine weitere Einwilligung der Kunden nötig ist, fassen wir im Folgenden zusammen.
Kundendaten – Was Sie beim Kauf beachten sollten
Im Mai 2019 hat die Datenschutzkonferenz (kurz DSK; Konferenz aller deutschen Datenschutzaufsichtsbehörden) zu diesem wichtigen Thema eine behördliche Einschätzung veröffentlicht:
1. Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO
Die Daten der besonderen Kategorien (z.B. Gesundheitsdaten, Angaben zu Religion) dürfen, unabhängig von den nachfolgenden Übertragungsmöglichkeiten, nur mit Einwilligung der Kunden übermittelt werden.
2. Kundendaten bei laufenden Verträgen
Bei laufenden Verträgen bedarf der Vertragsübergang bereits zivilrechtlich der Genehmigung des Kunden. In dieser Zustimmung zum Übergang des Vertrags ist auch datenschutzrechtlich die Zustimmung zum Übergang der Daten zu sehen.
3. Kundendaten im Falle offener Forderungen
Besteht kein laufendes Vertragsverhältnis, sondern nur eine offene Forderung gegenüber dem Kunden, kann die Forderung zivilrechtlich auch ohne Zustimmung des Kunden abgetreten werden. Datenschutzrechtlich ist daher eine Interessenabwägung – im Sinne des Art. 6 Abs.1 f) DSGVO – durchzuführen. Damit der neue Gläubiger seine Forderung gegenüber dem Schuldner geltend machen kann, benötigt er die dafür erforderlichen Kontakt- und Kundendaten. In der Regel wird damit das Interesse des neuen Schuldners an der Übertragung der Daten überwiegen. Etwas anderes gilt, wenn die Abtretung der Forderung durch eine Vereinbarung ausgeschlossen wurde.
4. Bestandskunden ohne laufende Verträge und letzte Vertragsbeziehung älter als drei Jahre
„Alte“ Kundendaten dürfen nur zur Wahrung der gesetzlichen Aufbewahrungsfristen verarbeitet werden. Sie sollten daher in der Regel nicht gekauft werden. Im Falle der Insolvenz kann der eingeschaltete Insolvenzverwalter sie an einen aus der Insolvenzmasse zu finanzierenden Dienstleister übermitteln, der diese „alten“ Kundendaten fristgemäß aufbewahrt und anschließend vernichtet.
5. Daten von Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskunden ohne laufende Verträge und letzte Vertragsbeziehung jünger als drei Jahre
Daten von Bestandskunden stellen in der Regel einen großen Anteil an der Kundendatenbank dar und daher besteht besonderes Interesse an ihnen. Es ist grundsätzlich möglich diese Daten zu übertragen, doch ist neben einer Interessenabwägung auch die Einräumung einer Widerspruchsfrist für den Kunden erforderlich. Die DSK nennt als Beispiel für eine angemessene Widerspruchsfrist sechs Wochen. Erst nach Ablauf der Frist dürfen die Daten der Kunden übertragen werden, die nicht widersprochen haben. Die DSK fordert zudem ein einfaches Verfahren für den Widerspruch, z.B. in einem Online-Verfahren. Eine Einschränkung macht die DSK jedoch noch. Über dieses Verfahren dürfen keine Bankdaten übermittelt werden. Für die Übermittlung der Daten wird die Einwilligung des Kunden benötigt.
E-Mail-Adressen von Newsletter-Empfängern – gesonderte Einwilligung notwendig
Nicht ausdrücklich im Beschluss der DSK erwähnt sind die Daten, die das „alte“ Unternehmen nur aufgrund der Einwilligung der Kunden hat, also beispielsweise die E-Mail-Adressen der Newsletter-Empfänger. Diese Daten dürfen nicht ohne Einwilligung der Kunden übermittelt werden, da die alte Einwilligung in den Erhalt des Newsletters nur für das alte Unternehmen gilt und sie nicht übertragbar ist.
Fazit: Übertragung von Kundendaten ist auch ohne Einwilligung möglich – mit Ausnahmen
Zusammenfassend lässt sich also sagen, dass es grundsätzlich eine Möglichkeit gibt, auch ohne Einwilligung der Kunden deren Daten zu übermitteln, wenn es sich bei den Daten nicht um Daten der besonderen Kategorien des Art. 9 DSGVO, Bankdaten oder „Altdaten“ (letzte vertragliche Beziehung vor mehr als drei Jahren) handelt. Beim Share Deal stellt sich diese Problematik gar nicht, da die Daten beim Rechtsträger verbleiben und sich nur der Gesellschafter ändert.