2. Oktober 2024
Gute fünf Jahre nach ihrem letzten Beschluss zum Datenschutz bei Asset Deals hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ihre Einschätzung aktualisiert und am 11. September 2024 ihren Beschluss zu „Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals“ veröffentlicht. In erster Linie adressiert die DSK Einzelunternehmer beim Verkauf ihres Unternehmens. Die aufgestellten Grundsätze gelten jedoch auch für entsprechende Asset-Deals bei Kapitalgesellschaften.
Der neue Beschluss ist inhaltlich deutlich erweitert worden und deckt nun weitere Fallgruppen ab, die im Beschluss von 2019 noch nicht erfasst waren. Neben Kunden-, Lieferanten- und Beschäftigtendaten stellt die DSK allgemeine Regeln für die Übermittlung und das Zugänglichmachen von personenbezogenen Daten beim Asset-Deal auf – einschließlich der Phase der Due Diligence:
Grundsätzlich ist für die Übermittlung von personenbezogenen Daten im Rahmen der Due Diligence nach Ansicht der DSK eine Einwilligung der betroffenen Personen erforderlich. Nur in Ausnahmefällen sollen Erwerber und Veräußerer die Offenlegung von personenbezogenen Daten auf ihr berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen können.
Je wichtiger die betroffenen Personen für die Transaktion sind (etwa Führungspersonal oder Hauptvertragspartner) und je weiter fortgeschritten die Vertragsverhandlungen zum Zeitpunkt der Offenlegung sind, desto eher soll eine Datenverarbeitung ohne Einwilligung der betroffenen Personen zulässig sein.
In Bezug auf Kundendaten unterscheidet die DSK die verschiedenen Stadien der Vertragsbeziehung zwischen Kunden und Veräußerer. Grundsätzlich folgt die datenschutzrechtliche Zulässigkeit der Datenübermittlung der zivilrechtlichen Zulässigkeit der Übernahme eines bzw. des Eintritts in ein Schuldverhältnis.
Tritt der Erwerber zivilrechtlich an die Stelle des Veräußerers, ist die damit einhergehende Datenübermittlung in der Regel entweder über die Rechtsgrundlage der Erfüllung eines Vertrages mit der betroffenen Person (einschließlich des Stadiums der Vertragsanbahnung) gerechtfertigt, Art. 6 Abs. 1 lit. b DSGVO oder, bei reiner Erfüllungsübernahme, über die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).
Übernimmt der Erwerber zugleich offene Forderungen des Veräußerers gegen Kunden, kann der Erwerber die für die Abtretung oder den Forderungseinzug erforderlichen Daten im Rahmen seines berechtigten Interesses erhalten, ohne dass es hierfür einer Einwilligung der betroffenen Kunden bedarf. Vorsicht ist geboten, wenn hierfür besondere Kategorien personenbezogener Daten betroffen sind, etwa bei Forderungen von Ärzten, Steuerberatern oder Rechtsanwälten (siehe unten).
Der Verkauf von Kundendaten als einzigem Asset soll – außer bei Kleinstunternehmen, dazu sogleich - nur nach einer Einwilligung möglich sein (Art. 6 Abs. 1 lit. a DSGVO).
In Bezug auf die Übermittlung von personenbezogenen Daten zum Zweck der Aufbewahrung bevorzugt die DSK ihre sog. „Zwei-Schrank-Lösung“, d.h. die Trennung von Daten zur Aufbewahrung und Daten aktiver Kunden. Während für die zweite Gruppe die Grundsätze wie zuvor gelten, wird der Erwerber Daten zur Erfüllung von Aufbewahrungspflichten des Veräußerers nur im Wege der Auftragsverarbeitung (Art. 28 Abs. 3 DSGVO) verarbeiten dürfen.
Bei der Bewerbung von im Rahmen des Asset-Deals übernommenen Kunden muss der Erwerber vor allem die Grenzen der Direktwerbung (§ 7 UWG) beachten. Der Erwerber kann etwa die dem gegenüber dem Veräußerer möglicherweise erteilten Werbeeinwilligungen nicht einfach übernehmen, sondern muss selbst die notwendigen Voraussetzungen schaffen, Kunden direkt per E-Mail, Telefon oder Kurznachricht anzusprechen.
Sowohl bei den sogenannten besonderen Kategorien personenbezogener Daten, also etwa Gesundheitsdaten, Daten über Religionszugehörigkeit oder biometrischen Daten als auch bei Bankdaten sieht die DSK keinen Raum für eine Übermittlung zwischen Veräußerer und Erwerber ohne Einwilligung der Betroffenen. In der Regel spielen zumindest Bankdaten keine größere Rolle, da erteilte Einzugsermächtigungen bzw. SEPA-Lastschriften ohnehin neu erteilt werden müssen. Bei besonderen Kategorien personenbezogener Daten muss hingegen sorgfältig geprüft werden, ob bzw. welche Daten notwendig sein könnten und ob der Erwerber die Zuordnung dieser Datenkategorien in der Vergangenheit korrekt vorgenommen hat.
In Bezug auf Lieferanten und andere Vertragspartner wird in der Regel ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) vorliegen, die personenbezogenen Daten, soweit diese denn überhaupt vorliegen, im Rahmen des Asset-Deals zu übermitteln. Jedoch gilt auch in diesem Zusammenhang der Grundsatz der Erforderlichkeit.
Werden Beschäftigtendaten aufgrund eines Betriebsübergangs bzw. Betriebsteilübergangs im Zuge des Asset-Deals übermittelt, ist dies grundsätzlich zulässig, sofern die betroffenen Mitarbeiter dem Betriebsübergang nicht widersprochen haben. Jedoch gilt dies nicht für den Zeitraum der Vertragsverhandlungen – hier gelten die Grundsätze der Due Diligence (s.o.).
Ohne Betriebsübergang bedarf es einer gesonderten Vereinbarung, die DSK geht zudem davon aus, dass die Mitarbeiterdaten in diesen Fällen nur mit Einwilligung übermittelt werden dürfen. In der Regel wird aber auch hier eine vertragliche Regelung möglich sein, die eine gesonderte Einwilligung obsolet werden lassen.
Eine besondere Regelung hat die DSK für Kleinstunternehmen ersonnen: Hier soll ausnahmsweise der Verkauf einer Kundendatenbank ohne weitere Assets oder laufende Vertragsbeziehungen allein auf Basis des berechtigten Interesses von Veräußerer und Erwerber zulässig sein. Allerdings soll dies nur bei Geschäftsaufgabe bei Unternehmen im selben Wirtschaftszweig möglich und auf Postadressen beschränkt sein. Es genüge in diesen Fällen, den betroffenen Personen eine Widerspruchslösung mit einer Frist von sechs Wochen einzuräumen, um der Datenübermittlung zwischen Veräußerer und Erwerber zu widersprechen. In allen anderen Fällen ist dann eine Einwilligung erforderlich.
Im Übrigen gelten folgende allgemeine Regeln:
Verantwortlich für die Übermittlung der personenbezogenen Daten im Rahmen des Asset Deals ist vorrangig der Veräußerer – und damit auch die erste Adresse für Aufsichtsbehörde und Betroffene, wenn die datenschutzrechtlichen Vorgaben nicht eingehalten werden. Sind die Daten einmal beim Erwerber angekommen, muss dieser natürlich seinerseits sicherstellen, seine eigenen Pflichten als Verantwortlicher zu erfüllen.
Der Beschluss der DSK ermöglicht es Unternehmen, Asset-Deals datenschutzkonform durchzuführen, sofern sie sich an die Rechtsauffassung der DSK halten. In der Praxis sind jedoch einige Herausforderungen nicht ausreichend adressiert:
Es ist wichtig zu beachten, dass die Beschlüsse der DSK rechtlich nicht bindend sind. Sie stellen vielmehr Empfehlungen oder Leitlinien dar, die von den Datenschutzbehörden des Bundes und der Länder entwickelt wurden, um eine einheitliche Auslegung und Anwendung der Datenschutzvorschriften zu gewährleisten. Unternehmen, die diese Beschlüsse umsetzen, können sich jedoch darauf verlassen, dass sie im Einklang mit den Erwartungen der Datenschutzbehörden handeln. Letztlich sind es jedoch die Gerichte, die verbindlich über die Auslegung und Anwendung der DSGVO und anderer Datenschutzgesetze entscheiden.
Unternehmen sind bei Asset-Deals, insbesondere im Hinblick auf den Datenschutz und die weitreichenden Betroffenenrechte, verstärkt gefordert, mögliche Risiken frühzeitig zu identifizieren. Durch eine sorgfältige Planung der Transaktion können viele der datenschutzrechtlichen Fallstricke umgangen werden.
von Dr. Daniel Tietjen und Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E
Zusammenfassung der wesentlichen Regelungen