Datenschutz beim Unternehmenskauf

Datenschutz verstehen – Datenschutz beim Unternehmenskauf

Unternehmenskauf Datenschutz
Zusammenfassung
  1. Personenbezogene Kundendaten dürfen bei einem Unternehmensverkauf nicht wie eine beliebige Ware veräußert werden. Die datenschutzrechtlichen Voraussetzungen sind zu beachten.
  2. Bei einem Share Deal ändert sich durch die Veräußerung von Geschäftsanteilen der Verantwortliche gemäß DSGVO nicht.
  3. Bei einem Asset Deal wird der Käufer zum Arbeitgeber und damit zum neuen Verantwortlichen gemäß DSGVO. Die Weitergabe der Beschäftigtendaten an ihn ist keine rechtfertigungsbedürftige datenschutzrechtliche Übermittlung.
  4. Bestehen entsprechende Aufbewahrungsfristen, ist der ehemalige Arbeitgeber verpflichtet, die Personaldaten weiterhin zu speichern. Liegt keine Erforderlichkeit zur Speicherung der “alten” Personaldaten vor, sind diese unverzüglich zu löschen.
  5. Der Erwerber eines Unternehmens darf personenbezogene Daten ohne eine ausdrückliche Werbeeinwilligung des Kunden nicht zu Werbezwecken nutzen. Bei einem Verstoß machen sich sowohl der Veräußerer als “Datenübermittler” als auch der Erwerber als “Datenerheber” strafbar.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

PlayPlay

Der Kauf oder Verkauf von Unternehmen in der Wirtschaft ist kein neues Thema. Ob Share Deal oder Asset Deal, Unternehmen müssen die Einhaltung der Datenschutz-Grundverordnung hierbei beachten. Die Gefahr, dass man ein Unternehmen kauft und nachher die personenbezogenen Daten gar nicht zu den gewünschten Zwecken nutzen darf, ist groß. Daher ist es umso wichtiger, die datenschutzrechtlichen Grundsätze zu verstehen und den konformen Umgang mit Kundendaten und vor allem Mitarbeiterdaten zu berücksichtigen. Denn gemäß der DSGVO sind hierbei Sanktionen in Höhe von mehreren Millionen Euro möglich. In diesem Beitrag lernen Sie die grundlegenden Anforderungen des Datenschutzes bei einem Unternehmenskauf.

 

Asset Deal und Kundendaten gemäß DSGVO

Kundendaten haben für Unternehmen einen immer stärker wachsenden wirtschaftlichen Wert, insbesondere wegen der Möglichkeit der persönlichen Werbeansprache. Benötigt ein Unternehmen eine Finanzierung oder steht es kurz vor der Insolvenz, versucht es häufig, werthaltige Wirtschaftsgüter („Assets“) entgeltlich an ein anderes Unternehmen im Wege eines sogenannten Asset Deals zu verkaufen. Zu einem erfolgreichen Unternehmensverkauf gehört dann, die möglichst vollständige und rechtssichere Übertragung der personenbezogenen Daten der Kunden an den Käufer. Unternehmen und auch Insolvenzverwalter müssen sich bewusst machen, dass personenbezogene Kundendaten nicht wie eine beliebige Ware veräußert werden dürfen. Vielmehr ist dies nur unter Beachtung der datenschutzrechtlichen Voraussetzungen erlaubt. Offensichtlich wird bei Unternehmensveräußerungen in der Form des Asset Deals in der Praxis immer wieder dagegen verstoßen. Hierbei ist, wie viele vermuten, die datenschutzkonforme Einwilligung nicht die einzige Möglichkeit für einen konformen Datenaustausch. 

Ein entscheidender Faktor eines Unternehmensverkaufes ist die Struktur des geplanten Deals. Hier wird in der Regel zwischen Share Deal und Asset Deal unterschieden. Während beim Share Deal lediglich Geschäftsanteile veräußert werden und somit der Verantwortliche gemäß DSGVO sich nicht ändert, wird beim Asset Deal der Käufer zum neuen Verantwortlichen im Sinne des Artikel 4 Nr. 7 DSGVO. Für die Übermittlung der personenbezogenen Daten beim Asset Deal benötigt der Käufer nun eine geeignete Rechtsgrundlage. Eine Einwilligung ist hier nicht sehr ratsam, da die Einwilligung in der Praxis nicht wirklich umgesetzt werden kann beim Asset Deal. Daher sind andere Erlaubnistatbestände gemäß Artikel 6 DSGVO von großer Bedeutung. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat sich hierzu ebenfalls im Mai 2019 geäußert. 

Kundendaten bei laufenden Verträgen

Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder des Kunden (§ 415 BGB / Schuldübernahme). In dieser zivilrechtlichen Genehmigung wird als Minus auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen. Damit sind die Interessen der Kundin oder des Kunden gewahrt. Wird diese Vertragsgestaltung gewählt, ist die Datenübermittlung zur Erfüllung eines Vertrags erforderlich. Insoweit die Kunden selbst Vertragspartei dieser Vereinbarung sind (dritte Vertragspartei), kann die Übertragung auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden.

Bestandskunden ohne laufende Verträge 

Daten von Bestandskunden, bei denen die letzte aktive Vertragsbeziehung mehr als 3 Jahre zurückliegt, unterliegen bei einer erwerbenden Stelle einer Einschränkung der Verarbeitung. Diese Daten dürfen zwar übermittelt, aber eben nur wegen gesetzlicher Aufbewahrungsfristen genutzt werden. Denkbare Alternative ist, dass entsprechende Kundendaten nicht übertragen werden, sondern beim Verkäufer-Unternehmen verbleiben. Ist ein Insolvenzverwalter eingeschaltet, bemüht dieser sich um einen aus der Masse zu finanzierenden Dienstleister, der die Alt-Daten für einen bestimmten Zeitraum aufbewahrt.

Der Veräußerer hat infolge eines Unternehmensübergangs eine Informationspflicht gegenüber den Betroffenen gem. Art 13 DSGVO. Die Informationspflicht ergibt sich aus dem Recht der Betroffenen auf Informationelle Selbstbestimmung. Dieses Grundrecht besagt, dass jeder Bürger wissen darf, “wer was wann bei welcher Gelegenheit über ihn weiß” (Volkszählungsurteil 1983). Aus diesem Grund wird eine unzureichende Information der Betroffenen durch hohe Bußgelder geahndet und führt überdies auch zu einem Schadensersatzanspruch des Betroffenen. 

Daten von Kunden bei fortgeschrittener Vertragsanbahnung

Daten solcher Kundinnen und Kunden werden nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (z.B. 6 Wochen) übermittelt. Diese Vorgehensweise ist für die Unternehmen aufwandsschonend und berücksichtigt durch die großzügige Widerspruchsfrist auch die Interessen der Kundinnen und Kunden. Viele Kundinnen und Kunden sind bei einer Aufforderung zu einer ausdrücklichen Einwilligung eher überrascht. Auch sollte darauf geachtet werden, den Widerspruch einfach auszugestalten – z.B. im Online-Verfahren durch Klick auf ein Kästchen. Die Bankdaten (IBAN) sind jedoch vom Übergang per Widerspruchslösung ausgenommen und nur nach ausdrücklicher Einwilligung des Kunden zu übermitteln. Darunter fällt nicht das Zahlungsverhalten.

Kundendaten im Falle offener Forderungen

Die Übertragung offener Forderungen gegen Kundinnen und Kunden richtet sich zivilrechtlich nach den §§ 398 ff. BGB (Forderungsabtretung). In diesem Zusammenhang stehende Daten darf der Zedent (Alt-Gläubiger/Alt-Unternehmen) an den Zessionar (Neu-Gläubiger/Neu-Unternehmen) – gestützt auf Art. 6 Abs. 1 Satz 1 lit. f) DSGVO – (früher § 28 Abs. 1 Satz 1 Nr. 2 oder Abs. 2 Nr. 2 lit. a BDSG a.F.) übermitteln. Überwiegende Gegeninteressen bestehen allerdings dann, wenn die Abtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB).

Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DSGVO übergeleitet werden. Hier ist keine Interessenabwägung gemäß Artikel 6 Abs. 1 Satz 1 lit. f) DSGVO möglich.  

 

Betriebsübergang und Daten von Mitarbeitern 

Maßstab für die datenschutzrechtliche Prüfung bei allen Phasen des Betriebsübergangs ist Art. 88 Abs. 1 DSGVO i.V.m. § 26 BDSG. Demgegenüber beinhaltet § 613a Abs. 1 S. 1 BGB keine gesonderte Gestattung für die Übermittlung von Daten bei der Vorbereitung und dem Vollzug des Betriebsübergangs. Beschäftigtendaten dürfen gemäß § 26 Abs. 1 Satz 1 BDSG nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach der Begründung für dessen Durchführung oder Beendigung erforderlich ist. Daneben kommt als Rechtsgrundlage der Art. 6 Abs. 1 Satz 1 lit. f) DSGVO in Betracht, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. 

 

Due Diligence DSGVO

Der Unternehmensverkauf ist grundsätzlich als berechtigtes Interesse des Arbeitgebers anerkannt. Inwieweit die Weitergabe von Beschäftigtendaten erforderlich ist, hängt jedoch stark von den Umständen des Einzelfalls ab (Riesenhuber in: Beck-OK Datenschutzrecht, Stand 01.08.2019, BDSG § 26 Rn. 186; vgl. auch Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1012 ff.).

In der ersten Phase des Betriebsübergangs (Due Diligence und Vertragsverhandlungen) ist in der Regel allerdings nur ein Erfordernis für die Übermittlung anonymisierter, pseudo-anonymisierter oder statistisch aufbereiteter Daten anzuerkennen, wobei insbesondere auf die fehlende Erforderlichkeit der Datenübermittlung nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO bei einfachen Angestellten abgestellt wird, anders bei leitenden Angestellten.

 

Datenübertragung nach Abschluss des Asset Deals

Nach Abschluss der Verhandlungen und in den Übergangsvorbereitungen (Zeitraum zwischen Signing und Closing) haben der Betriebsinhaber und der zukünftige Erwerber Vorbereitungen zur Unterrichtung der Arbeitnehmer nach § 613a Abs. 5 BGB zu treffen. Hinsichtlich der Frage, welche Arten von Personaldaten und in welchem Umfang die Datenweitergabe an den Erwerber erlaubt ist, ist zu unterscheiden zwischen der Übermittlung zur ungehinderten Fortführung der für Arbeitsverhältnisse erforderlichen Personaldaten und anderen Zwecken. Die Übermittlung dieser Daten ist grundsätzlich gem. § 26 Abs. 1 Satz 1 BDSG zulässig, sofern sie nicht der Restrukturierungsvorbereitung dient.

Eine Übermittlung von Arbeitnehmerdaten i. S. d. § 26 Abs. 3 BDSG ist allerdings auch in der Zwischenphase nicht gestattet (s. für § 3 Abs. 9 BDSG aF Grimm, a. a. O.; ebenso wohl Lensdorf/Walek, a. a. O., S. 193). Dagegen ist in der Vollzugsphase des Betriebsübergangs (Closing) die Übermittlung sämtlicher Personaldaten der vom Übergang betroffenen Arbeitnehmer entweder aufgrund von § 26 BDSG oder nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO möglich.

Im Falle eines Betriebsübergangs in Form eines Asset Deals tritt der Erwerber nach § 613a BGB i. V. m. § 26 BDSG kraft Gesetzes in das bestehende Arbeitsverhältnis ein und wird, vorbehaltlich eines wirksamen Widerspruchs, somit automatisch zum neuen Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO. Er übernimmt naturgemäß auch die Personalakten der übergehenden Arbeitnehmer. Mit dem Übergang der Arbeitsverhältnisse ist der Erwerber nicht mehr Dritter, sondern Arbeitgeber, die Weitergabe der Beschäftigtendaten an ihn ist keine rechtfertigungsbedürftige datenschutzrechtliche Übermittlung. Aber auch bereits vor dem eigentlichen Übergang ist die Übermittlung der Beschäftigtendaten im Hinblick auf einen bereits vereinbarten Unternehmenserwerb und den damit verbundenen Übergang der Arbeitsverhältnisse zu deren Durchführung erforderlich und daher nach § 26 Abs. 1 S. 1 BDSG zulässig (Riesenhuber in: Beck-OK Datenschutzrecht, Stand 01.08.2019, BDSG § 26 Rn. 185).

Unternehmenskauf durch Unternehmen aus Drittländern

Bei einem Verkauf in ein Drittland fallen zu den genannten Punkten weitere Besonderheiten an. Die europäische Datenschutz-Grundverordnung findet, wie der Name es bereits erahnen lässt, in der europäischen Union direkte Anwendung. Dies gilt jedoch nicht nur aus geografischer Sicht, sondern insbesondere auch für die EU-Bürger unabhängig davon, wo die Verarbeitung stattfindet vgl. Art. 3 DSGVO. Folglich ist ein Unternehmensverkauf von einem EU-Mitgliedstaat in ein Drittland ebenfalls der DSGVO unterlegen und die Vorgaben von allen Parteien einzuhalten. So gilt es bei der Übermittlung von personenbezogenen Daten in ein Drittland neben einer Rechtsgrundlage i.S.d. Art 6 oder Art. 9 DSGVO auch die Bestimmungen des Art. 44 DSGVO zu erfüllen. Was Sie in diesem Zusammenhang zusätzlich über den Brexit und seine Auswirkungen wissen sollten, erfahren Sie hier. 

 

Wie lange darf der Verkäufer die Personaldaten noch speichern?

Der Übergang der Personalakten bzw. die Übertragung der Personaldaten sollten entsprechend dokumentiert werden. Im Übrigen kann bei ehemaligen Arbeitgebern eine Pflicht bzw. Notwendigkeit zur weitergehenden Speicherung der Personaldaten bestehen, soweit noch entsprechende Aufbewahrungspflichten (z.B. aus HGB oder AO, etwa hinsichtlich Informationen zur Lohnbuchhaltung) bestehen; im Übrigen wird keine Erforderlichkeit zur Speicherung der „alten“ Personaldaten mehr bestehen, sodass diese zu löschen sind.

Inwieweit Aufbewahrungspflichten bestehen, die einer vollständigen Löschung entgegenstehen, kann hier nicht allgemeingültig beurteilt werden, sondern muss vom Unternehmen selbst für die konkreten Fälle geprüft werden.

 

Werbung mit gekauften Kundendaten

Für E-Mail-Adressen und Telefonnummern stellt sich das zusätzliche Problem, dass der Erwerber diese Daten zu Werbezwecken gemäß § 7 Abs. 2 Nr. 2 und Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht verwenden darf, wenn er – wie meist – keine ausdrückliche Werbeeinwilligung des jeweiligen Kunden besitzt. Über diese Hürde hilft selbst die Einräumung eines Widerspruchsrechts vor der Datenübermittlung nicht hinweg.
Verwendet der Erwerber die Telefonnummer oder E-Mail-Adresse ohne Einwilligung für Werbezwecke, verstößt er daher sowohl gegen das UWG als auch gegen das Bundesdatenschutzgesetz. Für die unzulässige Übergabe von Kundendaten tragen sowohl der Veräußerer als auch der Erwerber als sogenannte „Verantwortliche“ die datenschutzrechtliche Verantwortung. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, welche mit Bußgeldern bestraft werden.

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DSGVO übergeleitet werden. Hier ist keine Interessenabwägung gemäß Artikel 6 Abs. 1 Satz 1 lit. f) DSGVO möglich.

Menü