Rechtsanwalt Alexander Tribess

Rechtsanwalt Alexander Tribess

Datenschutzfragen stellen sich für Unternehmer immer dann, wenn personenbezogene Daten Gegenstand ihres Handelns sind. Dies gilt auch und insbesondere für die Situation der Übernahme eines anderen Unternehmens. Kundendaten sind oft genug von zentralem Interesse für den Käufer. Die datenschutzrechtlichen Anforderungen an eine solche Übernahme sollten daher Bestandteil jeder Due Diligence-Prüfung sein. Werden die Voraussetzungen sorgfältig geprüft und die rechtlichen Vorgaben eingehalten, sind sowohl nach geltender Rechtslage als auch unter der DS-GVO ab dem 25.05.2018 Unternehmens-Übernahmen in rechtskonformer Art und Weise möglich.

Share Deal

Unter dem Aspekt des Datenschutzes unproblematisch sind dabei sogenannte Share Deals, also die Übernahme von Gesellschaftsanteilen eines anderen Unternehmens. Denn in einer solchen Situation bleibt das andere Unternehmen rechtlich unverändert bestehen – lediglich die Gesellschafterstruktur wird verändert. Eine Weitergabe personenbezogener Daten findet nicht statt. Es liegt danach kein datenschutzrechtlich relevanter Vorgang vor. Dies gilt sowohl nach den Vorschriften des heutigen BDSG als auch nach der DS-GVO.

Etwas anderes gälte selbstverständlich dann, wenn beispielsweise Kundendaten des übernommenen Unternehmens mit bestehenden Datenbeständen des übernehmenden Unternehmens zusammengeführt werden sollten, also doch eine Übermittlung von einem Unternehmen auf das andere stattfände. Die bloße Durchführung eines Share Deals aber bleibt datenschutzrechtlich neutral.

Asset Deal

Anders stellt sich die Situation bei einem sogenannten Asset Deal dar, wenn also einzelne oder auch alle Vermögenswerte des übernommenen Unternehmens auf das übernehmende Unternehmen überführt werden sollen. Wenn und soweit dies auch die Kundendatenbestände betrifft, liegt unzweifelhaft ein datenschutzrechtlich relevanter Übermittlungsvorgang vor. Die rechtlichen Anforderungen an dessen Zulässigkeit hängen von der Art der betroffenen Daten ab. Hier ist deswegen unbedingt vorab eine sorgfältige Analyse der betroffenen Datenbestände notwendig.

Weitgehend unproblematisch dürften dabei wiederum die Fälle sein, in denen das übernehmende Unternehmen laufende Vertragsverhältnisse weiterführen will. Zivilrechtlich handelt es sich dabei um Vertragsübernahmen, die eine Beteiligung nicht nur der beiden beteiligten Unternehmen, sondern auch des Kunden selbst erfordern. Datenschutzrechtlich ergibt sich die Zulässigkeit der Datenweitergabe danach bereits aus § 28 Abs. 1 Nr. 1 BDSG bzw. künftig aus Art. 6 Abs. 1 lit. b DS-GVO. Beide Vorschriften erlauben (mit Unterschieden lediglich im Detail) die Datenverarbeitung dann, wenn sie notwendig ist, um Verträge mit dem Betroffenen zu begründen, durchzuführen oder zu beenden. In der Sache wird sich an dieser Konstellation auch unter dem neuen Datenschutzrecht nichts ändern.

Datenschutzrechtlich problematischer ist die Weitergabe sonstiger Kundendaten, die häufig ein besonders wertvolles „Asset“ sein dürften. Hier geht es um Daten zur Vertragshistorie bis hin zu ausgefeilten Kundenprofilen. Für das übernehmende Unternehmen sind diese Kenntnisse über das Verhalten und die Vorlieben früherer Vertragspartner essentiell wichtig, um z.B. passgenaue Werbung gestalten und versenden zu können. Eine Rechtfertigung der Datenweitergabe kann sich hier nur aus berechtigten Interessen der beteiligten Unternehmen ergeben. Hierbei ist allerdings insbesondere nach der DS-GVO darauf zu achten, dass besondere Kategorien personenbezogener Daten keinesfalls aufgrund berechtigter Interessen übermittelt werden dürfen!

Nach heutigem Recht ist eine Datenübermittlung im Rahmen eines Asset Deals zulässig, wenn dies den berechtigten Interessen des übernommenen Unternehmens entspricht und kein Grund zu der Annahme besteht, dass die Interessen des Betroffenen diese überwiegen (§ 28 Abs. 2 Nr. 1 BDSG i.V.m. § 28 Abs. 1 Nr. 2 BDSG). Ferner können auch die berechtigten Interessen des übernehmenden Unternehmens zu berücksichtigen sein, wenn kein schutzwürdiges Interesse des Betroffenen eine Übermittlung ausschließt (§ 28 Abs. 2 Nr. 2 lit. a BDSG). Die berechtigten Interessen der beteiligten Unternehmen liegen auf der Hand: Verkäufer und Käufer werden Kundendaten regelmäßig als besonders wertvolles „Asset“ betrachten, dessen Übertragung für den Verkäufer einen höheren Verkaufserlös ermöglicht und dem Käufer die weitere gewinnbringende Nutzung der Kundendaten gestattet. Aus Sicht der Betroffenen ist zu berücksichtigen, dass diese – gerade bei umfangreichen Kundenprofilen – sehr wohl ein Interesse daran haben, dass diese Daten nicht ungehindert verbreitet werden. Bei einem Asset Deal aber ändert sich de facto für den Kunden wenig: Statt des bisherigen Datenverarbeiters verarbeitet ein neuer Vertragspartner dieselben Daten zu denselben Zwecken weiter. Wiederum unter der Voraussetzung, dass Datenbestände nicht zweckändernd verwendet werden sollen oder durch Kombination mit vorhandenen Datenbeständen überhaupt erst Kundenprofile gebildet werden können, sind daher keine entgegenstehenden, zumal überwiegenden Interessen des Betroffenen auszumachen, die eine Übermittlung ausschließen würden.

Unter dem neuen Recht wird sich auch an dieser Konstellation im Ergebnis nichts ändern. Die DS-GVO erlaubt in Art. 6 Abs. 1 lit. f ebenfalls die Datenverarbeitung, wenn diese zur Wahrung der berechtigten Interessen des Verarbeiters oder eines Dritten (also Verkäufer und Käufer) erforderlich ist und nicht die entgegenstehenden Interessen des Betroffenen der Verarbeitung entgegenstehen. Hier werden die beteiligten Unternehmen sorgfältig abzuwägen haben und dieses Abwägungsprozedere dokumentieren müssen. Dies schon deswegen, weil nach Artt. 13, 14 DS-GVO Informationspflichten gegenüber dem Betroffenen bestehen. Dieser ist im Rahmen der Information auch auf sein Widerspruchsrecht aus Art. 21 DS-GVO hinzuweisen. Dieses Widerspruchsrecht sowie die Möglichkeit, etwa erteilte Einwilligungen jederzeit zu widerrufen (Art. 7 Abs. 4 DS-GVO) führen im Ergebnis erst recht dazu, die Datenweitergabe grundsätzlich als zulässig zu betrachten. Denn der Betroffene ist durch diese Rechte hinreichend geschützt.

Essentiell wichtig ist allerdings, dass die Vorschrift des Art. 6 Abs. 1 lit. f DS-GVO nicht für besondere Kategorien personenbezogener Daten gilt. Zu diesen gehören insbesondere Gesundheitsdaten. Insoweit ist die Zulässigkeit an Art. 9 DS-GVO zu messen, der eine Verarbeitung aufgrund berechtigter Interessen gerade nicht gestattet. Sollen also im Rahmen eines Asset Deals solche besonderen Kategorien personenbezogener Daten weitergegeben werden, die nicht für die Durchführung bestehender Kundenverträge erforderlich sind, bedarf es zwingend der Einholung ausdrücklicher Einwilligungen der betroffenen Personen. Aus diesem Grunde sind Kundendatenbanken unbedingt sehr sorgfältig darauf zu untersuchen, ob solche besonderen Datenkategorien enthalten sind und ob diese im Rahmen des Asset Deals mitübertragen werden sollen.

Ich berate Sie gern zu diesem Thema –

kontaktieren Sie mich unter alexander.tribess@anwaltskanzlei-online.de!