Gute fünf Jahre nach ihrem letzten Beschluss zum Datenschutz bei Asset Deals hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ihre Einschätzung aktualisiert und am 11. September 2024 ihren Beschluss zu „Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals“ veröffentlicht. In erster Linie adressiert die DSK Einzelunternehmer beim Verkauf ihres Unternehmens. Die aufgestellten Grundsätze gelten jedoch auch für entsprechende Asset-Deals bei Kapitalgesellschaften.
1. Mehr Umfang, mehr Inhalt – der Beschluss im Detail
Der neue Beschluss ist inhaltlich deutlich erweitert worden und deckt nun weitere Fallgruppen ab, die im Beschluss von 2019 noch nicht erfasst waren. Neben Kunden-, Lieferanten- und Beschäftigtendaten stellt die DSK allgemeine Regeln für die Übermittlung und das Zugänglichmachen von personenbezogenen Daten beim Asset-Deal auf – einschließlich der Phase der Due Diligence:
1.1 Due Diligence-Phase
Grundsätzlich ist für die Übermittlung von personenbezogenen Daten im Rahmen der Due Diligence nach Ansicht der DSK eine Einwilligung der betroffenen Personen erforderlich. Nur in Ausnahmefällen sollen Erwerber und Veräußerer die Offenlegung von personenbezogenen Daten auf ihr berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen können.
Je wichtiger die betroffenen Personen für die Transaktion sind (etwa Führungspersonal oder Hauptvertragspartner) und je weiter fortgeschritten die Vertragsverhandlungen zum Zeitpunkt der Offenlegung sind, desto eher soll eine Datenverarbeitung ohne Einwilligung der betroffenen Personen zulässig sein.
1.2 Kundendaten
In Bezug auf Kundendaten unterscheidet die DSK die verschiedenen Stadien der Vertragsbeziehung zwischen Kunden und Veräußerer. Grundsätzlich folgt die datenschutzrechtliche Zulässigkeit der Datenübermittlung der zivilrechtlichen Zulässigkeit der Übernahme eines bzw. des Eintritts in ein Schuldverhältnis.
- Aktive Vertragsverhältnisse und vorvertragliche Situation
Tritt der Erwerber zivilrechtlich an die Stelle des Veräußerers, ist die damit einhergehende Datenübermittlung in der Regel entweder über die Rechtsgrundlage der Erfüllung eines Vertrages mit der betroffenen Person (einschließlich des Stadiums der Vertragsanbahnung) gerechtfertigt, Art. 6 Abs. 1 lit. b DSGVO oder, bei reiner Erfüllungsübernahme, über die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).
Übernimmt der Erwerber zugleich offene Forderungen des Veräußerers gegen Kunden, kann der Erwerber die für die Abtretung oder den Forderungseinzug erforderlichen Daten im Rahmen seines berechtigten Interesses erhalten, ohne dass es hierfür einer Einwilligung der betroffenen Kunden bedarf. Vorsicht ist geboten, wenn hierfür besondere Kategorien personenbezogener Daten betroffen sind, etwa bei Forderungen von Ärzten, Steuerberatern oder Rechtsanwälten (siehe unten).
- Verkauf von Kundendaten als einziges Asset
Der Verkauf von Kundendaten als einzigem Asset soll – außer bei Kleinstunternehmen, dazu sogleich - nur nach einer Einwilligung möglich sein (Art. 6 Abs. 1 lit. a DSGVO).
- Übermittlung zur Erfüllung von Aufbewahrungspflichten
In Bezug auf die Übermittlung von personenbezogenen Daten zum Zweck der Aufbewahrung bevorzugt die DSK ihre sog. „Zwei-Schrank-Lösung“, d.h. die Trennung von Daten zur Aufbewahrung und Daten aktiver Kunden. Während für die zweite Gruppe die Grundsätze wie zuvor gelten, wird der Erwerber Daten zur Erfüllung von Aufbewahrungspflichten des Veräußerers nur im Wege der Auftragsverarbeitung (Art. 28 Abs. 3 DSGVO) verarbeiten dürfen.
- Werbung
Bei der Bewerbung von im Rahmen des Asset-Deals übernommenen Kunden muss der Erwerber vor allem die Grenzen der Direktwerbung (§ 7 UWG) beachten. Der Erwerber kann etwa die dem gegenüber dem Veräußerer möglicherweise erteilten Werbeeinwilligungen nicht einfach übernehmen, sondern muss selbst die notwendigen Voraussetzungen schaffen, Kunden direkt per E-Mail, Telefon oder Kurznachricht anzusprechen.
- Besonders sensitive Daten
Sowohl bei den sogenannten besonderen Kategorien personenbezogener Daten, also etwa Gesundheitsdaten, Daten über Religionszugehörigkeit oder biometrischen Daten als auch bei Bankdaten sieht die DSK keinen Raum für eine Übermittlung zwischen Veräußerer und Erwerber ohne Einwilligung der Betroffenen. In der Regel spielen zumindest Bankdaten keine größere Rolle, da erteilte Einzugsermächtigungen bzw. SEPA-Lastschriften ohnehin neu erteilt werden müssen. Bei besonderen Kategorien personenbezogener Daten muss hingegen sorgfältig geprüft werden, ob bzw. welche Daten notwendig sein könnten und ob der Erwerber die Zuordnung dieser Datenkategorien in der Vergangenheit korrekt vorgenommen hat.
1.3 Lieferantendaten und andere Vertragspartner
In Bezug auf Lieferanten und andere Vertragspartner wird in der Regel ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) vorliegen, die personenbezogenen Daten, soweit diese denn überhaupt vorliegen, im Rahmen des Asset-Deals zu übermitteln. Jedoch gilt auch in diesem Zusammenhang der Grundsatz der Erforderlichkeit.
1.4 Beschäftigtendaten
Werden Beschäftigtendaten aufgrund eines Betriebsübergangs bzw. Betriebsteilübergangs im Zuge des Asset-Deals übermittelt, ist dies grundsätzlich zulässig, sofern die betroffenen Mitarbeiter dem Betriebsübergang nicht widersprochen haben. Jedoch gilt dies nicht für den Zeitraum der Vertragsverhandlungen – hier gelten die Grundsätze der Due Diligence (s.o.).
Ohne Betriebsübergang bedarf es einer gesonderten Vereinbarung, die DSK geht zudem davon aus, dass die Mitarbeiterdaten in diesen Fällen nur mit Einwilligung übermittelt werden dürfen. In der Regel wird aber auch hier eine vertragliche Regelung möglich sein, die eine gesonderte Einwilligung obsolet werden lassen.
1.5 Kleinstunternehmen
Eine besondere Regelung hat die DSK für Kleinstunternehmen ersonnen: Hier soll ausnahmsweise der Verkauf einer Kundendatenbank ohne weitere Assets oder laufende Vertragsbeziehungen allein auf Basis des berechtigten Interesses von Veräußerer und Erwerber zulässig sein. Allerdings soll dies nur bei Geschäftsaufgabe bei Unternehmen im selben Wirtschaftszweig möglich und auf Postadressen beschränkt sein. Es genüge in diesen Fällen, den betroffenen Personen eine Widerspruchslösung mit einer Frist von sechs Wochen einzuräumen, um der Datenübermittlung zwischen Veräußerer und Erwerber zu widersprechen. In allen anderen Fällen ist dann eine Einwilligung erforderlich.
1.6 Allgemeine Anforderungen
Im Übrigen gelten folgende allgemeine Regeln:
Verantwortlich für die Übermittlung der personenbezogenen Daten im Rahmen des Asset Deals ist vorrangig der Veräußerer – und damit auch die erste Adresse für Aufsichtsbehörde und Betroffene, wenn die datenschutzrechtlichen Vorgaben nicht eingehalten werden. Sind die Daten einmal beim Erwerber angekommen, muss dieser natürlich seinerseits sicherstellen, seine eigenen Pflichten als Verantwortlicher zu erfüllen.
2. Was nicht oder unzureichend adressiert wird
Der Beschluss der DSK ermöglicht es Unternehmen, Asset-Deals datenschutzkonform durchzuführen, sofern sie sich an die Rechtsauffassung der DSK halten. In der Praxis sind jedoch einige Herausforderungen nicht ausreichend adressiert:
- Die Information betroffener Personen über die erstmalige Erhebung ihrer Daten durch den Erwerber muss innerhalb eines Monats erfolgen. In der Praxis ist dies oft schwer umzusetzen, da die Datenbanken nicht immer so schnell in die Systemlandschaft des Erwerbers integriert werden können.
- Der Veräußerer muss die betroffenen Personen über die mit der Datenübertragung verbundene Zweckänderung informieren. Die Übermittlung ist als neuer Zweck der Datenverarbeitung zu qualifizieren, und der Erwerber ist den betroffenen Personen meist nicht als Empfänger bekannt. Dies stellt eine Herausforderung dar, insbesondere wenn die Transaktion zu diesem Zeitpunkt noch nicht publik gemacht werden soll.
- Die DSK unterscheidet nicht zwischen den verschiedenen Stadien einer Transaktion (außerhalb der Due-Diligence-Phase und dem Vollzug des Asset-Deals), obwohl in diesen Phasen unterschiedliche Anforderungen an die Übermittlung von Daten bestehen.
3. Bedeutung der DSK-Beschlüsse
Es ist wichtig zu beachten, dass die Beschlüsse der DSK rechtlich nicht bindend sind. Sie stellen vielmehr Empfehlungen oder Leitlinien dar, die von den Datenschutzbehörden des Bundes und der Länder entwickelt wurden, um eine einheitliche Auslegung und Anwendung der Datenschutzvorschriften zu gewährleisten. Unternehmen, die diese Beschlüsse umsetzen, können sich jedoch darauf verlassen, dass sie im Einklang mit den Erwartungen der Datenschutzbehörden handeln. Letztlich sind es jedoch die Gerichte, die verbindlich über die Auslegung und Anwendung der DSGVO und anderer Datenschutzgesetze entscheiden.
4. Fazit
Unternehmen sind bei Asset-Deals, insbesondere im Hinblick auf den Datenschutz und die weitreichenden Betroffenenrechte, verstärkt gefordert, mögliche Risiken frühzeitig zu identifizieren. Durch eine sorgfältige Planung der Transaktion können viele der datenschutzrechtlichen Fallstricke umgangen werden.
