· Fachbeitrag · Datenschutz beim Betriebsübergang
So können Kundendaten datenschutzrechtlich sauber übergeben werden
von Dr. Guido Mareck, stellv. Direktor des AG Dortmund
| Die Situation der zu übertragenden Kundendaten bei einem echten Betriebsübergang nach § 613a BGB ist noch übersichtlich. Doch wenn Daten von Kunden, Lieferanten oder Mitarbeitern bei einem Verkauf oder einer Weitergabe einzelner Wirtschaftsgüter übertragen werden sollen, geht es für den Verkäufer und den Erwerber ans Eingemachte. Das gilt insbesondere dann, wenn nur die Daten selbst übertragen werden. PU gibt eine Übersicht über die wichtigsten Regeln, an die sich der Steuerberater halten sollte. |
1. Situation beim „echten“ Betriebsübergang (Share Deal)
Nach deutschem Recht tritt der Erwerber gemäß § 613a Abs. 1 S. 1 BGB beim rechtsgeschäftlichen Erwerb eines Betriebs oder Unternehmens vollständig in die Rechte und Pflichten des Veräußerers ein. Diese Pflichten beziehen sich auch auf die sich aus der DSGVO und dem BDSG ergebenden datenschutzrechtlichen Verantwortlichkeiten. Die Übernahme der Daten ist damit keine Datenweitergabe i. S. d. DSGVO. Selbstverständlich ist der Erwerber auch in diesem Fall weiterhin an die Grundsätze der DSGVO bei der Verarbeitung von personenbezogenen Daten gebunden.
PRAXISTIPP | Es ist trotz der klaren Gesetzeslage dringend zu empfehlen, bereits in den Kaufvertrag oder in sonstige Übertragungsverträge Garantieklauseln hinsichtlich des Betriebs oder Unternehmens aufzunehmen. Diese sollen einerseits die Datenschutzstandards der DSGVO und deren Einhaltung durch den Erwerber garantieren, andererseits den Veräußerer von Haftungsrisiken bei Verstößen oder der Inanspruchnahme Betroffener (z. B. aus Art. 15, 82 DSGVO) freistellen.
Auch die bisherigen Datenschutzstandards und Maßnahmen im Unternehmen, wie z. B. das Führen des Verzeichnisses der Verarbeitungstätigkeiten, die technischen und organisatorischen Maßnahmen und ggf. die Durchführung und die Zeiträume der Datenschutz-Folgenabschätzung sollten in das Vertragswerk aufgenommen werden, um Rechtssicherheit für Veräußerer und Erwerber zu schaffen. In der sogenannten Due-Diligence-Prüfung, die nicht nur bei der identitätswahrenden Übertragung des Betriebs, sondern bei jeder Form des Kaufs von Unternehmensbeteiligungen durchzuführen ist, ist es deshalb empfehlenswert, eine entsprechende datenschutzrechtliche Expertise einzuholen. |
2. Situation beim Verkauf einzelner Wirtschaftsgüter
Datenschutzrechtlich differenzierter stellt sich die Situation dar, wenn lediglich einzelne Wirtschaftsgüter vom Veräußerer auf den Erwerber übertragen werden (sogenannter Asset Deal). In der Praxis immer bedeutsamer wird die reine Übertragung von Mitarbeiter-/Kundendaten auf den Erwerber. In diesen Fällen erfordert die Übertragung von personenbezogenen Daten eine Rechtsgrundlage i. S. d. DSGVO und es ändert sich die Verantwortlichkeit für die Verarbeitung personenbezogener Daten, die zumindest nach Abschluss der Übertragung beim Erwerber als neuem Verantwortlichen liegt. Der Austausch der personenbezogenen Daten als solcher wird von Veräußerer und Erwerber als gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO durchgeführt und bedarf daher der in dieser Norm ausdrücklich geforderten Vereinbarung zur Wahrnehmung der Betroffenenrechte und der Informationspflichten gemäß Art. 13, 14 DSGVO. Diese muss nach Art. 26 Abs. 2 DSGVO die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen transparent widerspiegeln.
MERKE | Gegenüber den betroffenen Dritten ‒ meist wird es sich beim Asset Deal um Daten von Kunden und/oder Lieferanten handeln ‒ haben der Veräußerer und der Erwerber die Pflicht zur Information. So muss der Veräußerer die jeweils Betroffenen nach Art. 13 Abs. 3 DSGVO über die Zweckänderung der Verarbeitung personenbezogener Daten (Weitergabe an den Erwerber im Rahmen des Asset Deal) benachrichtigen. Auch den Erwerber treffen, da die von ihm erworbenen personenbezogenen Daten gerade nicht von ihm selbst bei den Betroffenen erhoben worden sind, umfangreiche Informationspflichten (Art. 14 Abs. 1 und 2 DSGVO). |
Rechtsgrundlage für eine solche Datenübertragung ist in den meisten Fällen Art. 6 Abs. 1 lit. f DSGVO. Diese Norm sieht eine Verarbeitung von personenbezogenen Daten als gerechtfertigt an, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Hierbei ist zu beachten, dass keine Grundrechte und -freiheiten des oder der Betroffenen, die solche Interessen überwiegen, entgegenstehen dürfen. Außerdem ist den Betroffenen grundsätzlich ein Widerspruchsrecht einzuräumen, das in die Information gemäß Art. 13, 14 DSGVO einzubeziehen ist.
PRAXISTIPP | Es sollte bereits im Vorfeld einer solchen Datenübertragung ‒ am besten schon bei der Due-Diligence-Prüfung ‒ eine umfassende und zu dokumentierende Interessenabwägung vorgenommen werden. Diese bietet den Vorteil, dass man im Fall von Nachfragen der Aufsichtsbehörden oder Betroffener die Einhaltung der sich aus der DSGVO ergebenden Pflichten beweisen kann. Im Rahmen dieser Abwägung sind die von der DSGVO aufgestellten Grundsätze, z. B. zur Datenminimierung, Transparenz, Speicherbegrenzung, Integrität und Vertraulichkeit, selbstverständlich zu beachten. |
3. Kollision: Informationspflicht und Vertraulichkeitsinteresse
Die Informationspflichten gegenüber den Betroffenen können aber auch berechtigten Interessen widersprechen, denn meist sind weder der Erwerber noch der Veräußerer im Vorfeld bereit, Kunden, Mitarbeitern und/oder der Öffentlichkeit eine solche Transaktion mitzuteilen ‒ insbesondere nicht in einer frühen Phase des beabsichtigten Geschäfts. Dabei kann sich der potenzielle Bewerber möglicherweise auf die in Art. 14 Abs. 5 lit. b DSGVO geregelte Ausnahme berufen. Diese Vorschrift ist dann einschlägig, wenn sich die grundsätzliche Informationserteilung als unmöglich erweist oder nur mit unverhältnismäßig hohem Aufwand möglich wäre.
4. Kundendaten sicher übertragen: fünf Fallgruppen
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im Mai 2019 Fallgruppen aufgestellt, die bei einem Asset Deal zu berücksichtigen sind.
Übersicht / Übertragung der Kundendaten beim Asset Deal nach DSK | |
| Bei laufenden Verträgen bedarf der Vertragsübergang bereits zivilrechtlich der Genehmigung des Kunden. Hier ist in der Zustimmung zum Übergang des Vertrags auch datenschutzrechtlich die Zustimmung zum Übergang der Daten zu sehen. |
| Besteht kein laufendes Vertragsverhältnis, sondern nur eine offene Forderung gegenüber dem Kunden, kann die Forderung zivilrechtlich auch ohne Zustimmung des Kunden abgetreten werden. Hier ist dann eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO vorzunehmen. Um die Forderung gegenüber dem Schuldner geltend machen zu können, benötigt der (neue) Gläubiger die notwendigen Kontakt- und Kundendaten. Somit überwiegen i. d. R. die Interessen des Gläubigers. Etwas anderes kann nur gelten, wenn die Abtretung der Forderung ausgeschlossen wurde. |
| Daten der besonderen Kategorien ‒ wie Gesundheitsdaten, Angaben zur Religion etc. ‒ dürfen, unabhängig von den nachfolgenden Übertragungsmöglichkeiten, nur mit Einwilligung der Kunden übermittelt werden. |
| Hier ist nur eine eingeschränkte Verarbeitung möglich. Daten von Bestandskunden, bei denen die letzte aktive Vertragsbeziehung mehr als drei Jahre zurückliegt, dürfen zwar übermittelt, aber nur wegen gesetzlicher Aufbewahrungspflichten genutzt werden. Sie sollten daher i. d. R. nicht verkauft werden. Bei einer Insolvenz sollten sie an einen finanzierenden Dienstleister übermittelt werden, der die Daten fristgemäß aufbewahrt und anschließend vernichtet. |
| Diese Daten können übermittelt werden, aber es müssen eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO durchgeführt und eine Widerspruchsfrist von sechs Wochen für den Kunden eingeräumt werden. Erst danach dürfen die Daten der Kunden übertragen werden, die nicht widersprochen haben. Zudem muss es ein einfaches Verfahren für den Widerspruch geben, z. B. in einem Online-Verfahren. Aber: Die Bankdaten (IBAN) sind vom Übergang per Widerspruchslösung ausgenommen und dürfen nur nach ausdrücklicher Einwilligung des Kunden übermittelt werden. |
Beachten Sie | Zur Übermittlung von E-Mail-Adressen von Newsletter-Empfängern äußerte sich die DSK nicht. Diese E-Mail-Adressen sind ausgenommen. Sie dürfen nur mit einer neuen Einwilligung des Kunden übermittelt werden, da die alte Einwilligung in den Erhalt des Newsletters nur für das alte Unternehmen gilt.
