Datenschutzrecht

Datenschutzrechtliche Probleme beim Unternehmensverkauf

Die Beachtung des Datenschutzes beim Unternehmensverkauf

von Dipl.-Iur Niklas Mühleis

Die seit dem 25. Mai 2018 gültige Datenschutzgrundverordnung (DSGVO) sorgt für ein einheitliches Datenschutzniveau innerhalb der gesamten europäischen Union. Darüber hinaus legt sie Unternehmen eine Vielzahl von neuen Pflichten auf. Verbunden mit den immens hohen Bußgeldern für Verstöße gegen die DSGVO sorgt dies bei vielen Unternehmen für enorme Unsicherheiten.

Eine neue Problematik die sich für Unternehmer mit dem Wirksamwerden der DSGVO ergibt, ist die Abwicklung von Unternehmenskäufen in Form von Asset-Deals. Während bei einem Unternehmensverkauf in Form des sog. Share-Deals nur die Eigentümerschaft für ein Unternehmen wechselt, werden bei den sogenannten Asset-Deals wirtschaftlich wertvolle Teile einer Gesellschaft „einzeln“ an den Käufer übertragen. Die Gestaltung des Unternehmensverkaufes hat dabei konkrete Folgen für die Anwendung des Datenschutzes.

Weitergabe von Kundendaten beim Unternehmenskauf

In beiden Fällen werden neben zahlreichen anderen Bestandteilen zumeist auch die vorhandenen Kundendaten mitverkauft. Gerade der bereits akquirierte Kundenstamm macht bei vielen Unternehmen einen großen Teil des Werts aus.

Die Weitergabe von personenbezogenen Daten von einer Stelle an die andere wird im Rahmen der DSGVO unter den Sammelbegriff der ‘Verarbeitung‘ zusammengefasst. Im Datenschutzrecht gilt der Grundsatz, dass für jede Datenverarbeitung eine Rechtsgrundlage bestehen muss.

Der Unternehmensverkauf in Form des Share-Deals (sog. Globalzession) gestaltet sich hinsichtlich der Weitergabe von Daten rechtlich unproblematisch, da rechtlich gesehen keine Weitergabe von Daten vorliegt. Bei Asset-Deals (sog. Singularzession) hingegen wird eine Rechtsgrundlage benötigt, denn hier werden die Daten von Kunden von einem Unternehmen an ein anderes weitergegeben. In der Vergangenheit machte bereits einmal das Bayerische Landesamt für Datenschutzaufsicht auf sich aufmerksam, indem es die Weitergabe von Kundendaten im Rahmen eines Unternehmensverkauf in Form des Asset-Deals mit einem Bußgeld belegte.

Die Notwendigkeit einer Rechtsgrundlage

Die DSGVO selbst hält für Unternehmenskäufe und Asset-Deals keine expliziten Vorschriften bereit. Für die Weitergabe der personenbezogenen Daten von Kunden wird jedoch eine Rechtsgrundlage benötigt. Würde man der Ansicht der bayerischen Datenschutzbehörde folgen, müssten sich die Käufer noch vor Abschluss des Kaufes die explizite Einwilligung jedes einzelnen Kunden einholen, bevor sie diesen in die neue Kundendatei einfügen dürfte. Jedoch neigen gerade Verbraucher dazu E-Mails mit Hinweisen bezüglich des Datenschutzes zu ignorieren. Ein solches Vorgehen würde somit in vielen Fällen dem Nutzen eines Unternehmenskaufes zuwiderlaufen.

Durchführung von Vertragsverhältnissen

Für Kunden mit denen Vertragsverhältnisse bestehen kommt als weitere Rechtsgrundlage für die Datenweitergabe zudem Art. 6 Abs. 1 S. 1 Buchstabe b DSGVO in Betracht. Dies rechtfertigt die Weitergabe von Daten, wenn diese notwendig ist, um bestehende Verpflichtungen aus bestehenden Verträgen erfüllen zu können. Solange die personenbezogenen Kunden lediglich im Rahmen der Erfüllung von Vertragsverpflichtungen weitergegeben werden, liegt kein Verstoß gegen Zweckbindungsgrundsatz vor.

Mit einem solchen Vorgehen könnte zwar ein Teil der Kundendaten von einem Unternehmen an das andere weitergegeben werden, sehr wahrscheinlich jedoch nicht alle. Gerade Online-Versandhändlern verfügen über einen sehr großen Kundenstamm von denen immer nur ein kleiner Teil aktuelle Bestellungen aufgibt. Der Großteil der Kundendaten dürfte demnach nicht übergeben werden. Im Übrigen würde die Rechtsgrundlage nur bei Dauerschuldverhältnissen greifen.

Hinzu kommt, dass zur Erfüllung von Vertragspflichten oftmals nur der Name und die Anschrift des Kunden benötigt werden. Daten wie zum Beispiel, die E-Mail-Adressen, das Kundenprofil und Bestellhistorien sind nicht notwendig zu Erfüllung von Vertragspflichten. Diese dürften somit nicht mit übergeben werden, selbst wenn der Kunde aktuell eine Bestellung getätigt hätte.

Vorliegen eines berechtigten Interesses

Glücklicherweise ermöglicht die DSGVO es Unternehmen Daten ihrer Kunden bei Vorliegen eines berechtigten Interesses gem. Art. 6 Abs. 1 S. 1 Buchst. f DSGVO weiterzugeben. Nach dem derzeitigen Stand der juristischen Diskussion liegt ein solches berechtigtes Interesse bei einem Asset-Deal in der Regel zumindest dann vor, wenn die Daten von dem erwerbenden Unternehmen zu denselben Zwecken verarbeitet werden wie zuvor durch das veräußernde Unternehmen. Die Kunden haben dabei jederzeit die Möglichkeit der Verarbeitung ihrer Daten nach Art. 21 DSGVO zu widersprechen oder ihre bisherige Einwilligung zu widerrufen und so ihre Rechte zu wahren.

Wer bei dem Abschluss eines Unternehmenskaufs im Hinblick auf die Sicherung des Datenschutzes seiner Kunden auf der sicheren Seite sein möchte, dem ist zu empfehlen, vor dem Verkauf die Bestandskunden über den Verkauf und deren Rechte schriftlich hinzuweisen.

Für weitere Fragen zum Thema DSGVO können Sie sich gerne an die Kanzlei Heidrich Rechtsanwälte wenden: 0511 374 98 150.

Nick Akinci

Recent Posts

EuGH: Arzneimittelverkauf über Amazon Marketplace nur mit ausdrücklicher Datenschutzeinwilligung

Der Europäische Gerichtshof (EuGH) hat am 4. Oktober 2024 eine wegweisende Entscheidung zum Verkauf von…

2 Wochen ago

Data Act: Datenkontrolle im Wandel

Der Data Act der Europäischen Union (EU) ist bereits am 11. Januar 2024 in Kraft…

2 Monaten ago

Rechtspflichten für Cannabis Social-Clubs: Welche Vorschriften es für Anbauvereinigungen nach dem Cannabisgesetz zu beachten gilt

Bild: Generiert mit Midjourney von Joerg Heidrich Seit der Legalisierung des Cannabiskonsums durch Inkrafttreten des…

7 Monaten ago

Erste Entscheidung in Deutschland zur unternehmensinternen Nutzung von ChatGPT

Bild: Generiert mit Midjourney von Joerg Heidrich Das Arbeitsgericht Hamburg hat in einem Fall, bei…

9 Monaten ago

Das EU-US Data Privacy Framework – ein neuer sicherer Hafen?

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU…

1 Jahr ago

Bedeutung von KI-Richtlinien für Unternehmen

Bild: Generiert mit Midjourney von Joerg Heidrich Die Existenz der zahlreichen und sogar kostenlos nutzbaren…

1 Jahr ago