Datenschutz beim Unternehmenskauf

Datenschutz verstehen – Datenschutz beim Unternehmenskauf

Zusammenfassung
  1. Personenbezogene Kundendaten dürfen bei einem Unternehmensverkauf nicht wie eine beliebige Ware veräußert werden. Die datenschutzrechtlichen Voraussetzungen sind zu beachten.
  2. Bei einem Share Deal ändert sich durch die Veräußerung von Geschäftsanteilen der Verantwortliche gemäß DSGVO nicht.
  3. Bei einem Asset Deal wird der Käufer zum Arbeitgeber und damit zum neuen Verantwortlichen gemäß DSGVO. Die Weitergabe der Beschäftigtendaten an ihn ist keine rechtfertigungsbedürftige datenschutzrechtliche Übermittlung.
  4. Bestehen entsprechende Aufbewahrungsfristen, ist der ehemalige Arbeitgeber verpflichtet, die Personaldaten weiterhin zu speichern. Liegt keine Erforderlichkeit zur Speicherung der “alten” Personaldaten vor, sind diese unverzüglich zu löschen.
  5. Der Erwerber eines Unternehmens darf personenbezogene Daten ohne eine ausdrückliche Werbeeinwilligung des Kunden nicht zu Werbezwecken nutzen. Bei einem Verstoß machen sich sowohl der Veräußerer als “Datenübermittler” als auch der Erwerber als “Datenerheber” strafbar.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Der Kauf oder Verkauf von Unternehmen in der Wirtschaft ist kein neues Thema. Ob Share Deal oder Asset Deal, Unternehmen müssen die Einhaltung der Datenschutz-Grundverordnung hierbei beachten. Die Gefahr, dass man ein Unternehmen kauft und nachher die personenbezogenen Daten gar nicht zu den gewünschten Zwecken nutzen darf, ist groß. Daher ist es umso wichtiger, die datenschutzrechtlichen Grundsätze zu verstehen und den konformen Umgang mit Kundendaten und vor allem Mitarbeiterdaten zu berücksichtigen. Denn gemäß der DSGVO sind hierbei Sanktionen in Höhe von mehreren Millionen Euro möglich. In diesem Beitrag lernen Sie die grundlegenden Anforderungen des Datenschutzes bei einem Unternehmenskauf.

 

Asset Deal und Kundendaten gemäß DSGVO

Kundendaten haben für Unternehmen einen immer stärker wachsenden wirtschaftlichen Wert, insbesondere wegen der Möglichkeit der persönlichen Werbeansprache. Benötigt ein Unternehmen eine Finanzierung oder steht es kurz vor der Insolvenz, versucht es häufig, werthaltige Wirtschaftsgüter („Assets“) entgeltlich an ein anderes Unternehmen im Wege eines sogenannten Asset Deals zu verkaufen. Zu einem erfolgreichen Unternehmensverkauf gehört dann, die möglichst vollständige und rechtssichere Übertragung der personenbezogenen Daten der Kunden an den Käufer. Unternehmen und auch Insolvenzverwalter müssen sich bewusst machen, dass personenbezogene Kundendaten nicht wie eine beliebige Ware veräußert werden dürfen. Vielmehr ist dies nur unter Beachtung der datenschutzrechtlichen Voraussetzungen erlaubt. Offensichtlich wird bei Unternehmensveräußerungen in der Form des Asset Deals in der Praxis immer wieder dagegen verstoßen. Hierbei ist, wie viele vermuten, die datenschutzkonforme Einwilligung nicht die einzige Möglichkeit für einen konformen Datenaustausch. 

Ein entscheidender Faktor eines Unternehmensverkauf ist die Struktur des geplanten Deals. Hier wird in der Regel zwischen Share Deal und Asset Deal unterschieden. Während beim Share Deal lediglich Geschäftsanteile veräußert werden und somit der Verantwortliche gemäß DSGVO sich nicht ändert, wird beim Asset Deal der Käufer zum neuen Verantwortlichen im Sinne des Artikel 4 Nr. 7 DSGVO. Für die Übermittlung der personenbezogenen Daten beim Asset Deal, benötigt der Käufer nun eine geeignete Rechtsgrundlage. Eine Einwilligung ist hier nicht sehr ratsam, da die Einwilligung in der Praxis nicht wirklich umgesetzt werden kann beim Asset Deal. Daher sind andere Erlaubnistatbestände gemäß Artikel 6 DSGVO von großer Bedeutung. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat sich hierzu ebenfalls im Mai 2019 geäußert. 

Kundendaten bei laufenden Verträgen

Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder des Kunden (§ 415 BGB / Schuldübernahme). In dieser zivilrechtlichen Genehmigung wird als Minus auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen. Damit sind die Interessen der Kundin oder des Kunden gewahrt. Wird diese Vertragsgestaltung gewählt, ist die Datenübermittlung zur Erfüllung eines Vertrags erforderlich. Insoweit die Kunden selbst Vertragspartei dieser Vereinbarung sind (dritte Vertragspartei), kann die Übertragung auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden.

Bestandskunden ohne laufende Verträge 

Daten von Bestandskunden, bei denen die letzte aktive Vertragsbeziehung mehr als 3 Jahre zurückliegt, unterliegen bei einer erwerbenden Stelle einer Einschränkung der Verarbeitung. Diese Daten dürfen zwar übermittelt, aber eben nur wegen gesetzlicher Aufbewahrungsfristen genutzt werden. Denkbare Alternative ist, dass entsprechende Kundendaten nicht übertragen werden, sondern beim Verkäufer-Unternehmen verbleiben. Ist ein Insolvenzverwalter eingeschaltet, bemüht dieser sich um einen aus der Masse zu finanzierenden Dienstleister, der die Alt-Daten für einen bestimmten Zeitraum aufbewahrt.

Daten von Kunden bei fortgeschrittener Vertragsanbahnung

Daten solcher Kundinnen und Kunden werden nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (z.B. 6 Wochen) übermittelt. Diese Vorgehensweise ist für die Unternehmen aufwandsschonend und berücksichtigt durch die großzügige Widerspruchsfrist auch die Interessen der Kundinnen und Kunden. Viele Kundinnen und Kunden sind bei einer Aufforderung zu einer ausdrücklichen Einwilligung eher überrascht. Auch sollte darauf geachtet werden, den Widerspruch einfach auszugestalten – z.B. im Online-Verfahren durch Klick auf ein Kästchen. Die Bankdaten (IBAN) sind jedoch vom Übergang per Widerspruchslösung ausgenommen und nur nach ausdrücklicher Einwilligung des Kunden zu übermitteln. Darunter fällt nicht das Zahlungsverhalten.

Kundendaten im Falle offener Forderungen

Die Übertragung offener Forderungen gegen Kundinnen und Kunden richtet sich zivilrechtlich nach den §§ 398 ff. BGB (Forderungsabtretung). In diesem Zusammenhang stehende Daten darf der Zedent (Alt-Gläubiger/Alt-Unternehmen) an den Zessionar (Neu-Gläubiger/Neu-Unternehmen) – gestützt auf Art. 6 Abs. 1 Satz 1 lit. f) DSGVO – (früher § 28 Abs. 1 Satz 1 Nr. 2 oder Abs. 2 Nr. 2 lit. a BDSG a.F.) übermitteln. Überwiegende Gegeninteressen bestehen allerdings dann, wenn die Abtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB).

Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DSGVO übergeleitet werden. Hier ist keine Interessenabwägung gemäß Artikel 6 Abs. 1 Satz 1 lit. f) DSGVO möglich.  

 

Betriebsübergang und Daten von Mitarbeitern 

Maßstab für die datenschutzrechtliche Prüfung bei allen Phasen des Betriebsübergangs ist Art. 88 Abs. 1 DSGVO i.V.m. § 26 BDSG. Demgegenüber beinhaltet § 613a Abs. 1 S. 1 BGB keine gesonderte Gestattung für die Übermittlung von Daten bei der Vorbereitung und dem Vollzug des Betriebsübergangs. Beschäftigtendaten dürfen gemäß § 26 Abs. 1 Satz 1 BDSG nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach der Begründung für dessen Durchführung oder Beendigung erforderlich ist. Daneben kommt als Rechtsgrundlage der Art. 6 Abs. 1 Satz 1 lit. f) DSGVO in Betracht, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

In der Regel ist der Erwerber schon vor Vollzug des Betriebsübergangs (Closing des Asset Deals) darauf angewiesen, jedenfalls teilweise Zugriff auf persönliche Daten seiner zukünftigen Mitarbeiter zu erhalten, um einen nahtlosen Übergang der Arbeitsverhältnisse zu gewährleisten. So kann es bereits erforderlich werden, personenbezogenen Daten von Beschäftigten an den zukünftigen Betriebsinhaber zu übermitteln.

 

Due Diligence DSGVO

Der Unternehmensverkauf ist grundsätzlich als berechtigtes Interesse des Arbeitgebers anerkannt. Inwieweit die Weitergabe von Beschäftigtendaten erforderlich ist, hängt jedoch stark von den Umständen des Einzelfalls ab (Riesenhuber in: Beck-OK Datenschutzrecht, Stand 01.08.2019, BDSG § 26 Rn. 186; vgl. auch Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 1012 ff.).

In der ersten Phase des Betriebsübergangs (Due Diligence und Vertragsverhandlungen) ist in der Regel allerdings nur ein Erfordernis für die Übermittlung anonymisierter, pseudo-anonymisierter oder statistisch aufbereiteter Daten anzuerkennen, wobei insbesondere auf die fehlende Erforderlichkeit der Datenübermittlung nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO bei einfachen Angestellten abgestellt wird, anders bei leitenden Angestellten.

 

Datenübertragung nach Abschluss des Asset Deals

Nach Abschluss der Verhandlungen und in den Übergangsvorbereitungen (Zeitraum zwischen Signing und Closing) haben der Betriebsinhaber und der zukünftige Erwerber Vorbereitungen zur Unterrichtung der Arbeitnehmer nach § 613a Abs. 5 BGB zu treffen. Hinsichtlich der Frage, welche Arten von Personaldaten und in welchem Umfang die Datenweitergabe an den Erwerber erlaubt ist, ist zu unterscheiden zwischen der Übermittlung zur ungehinderten Fortführung der für Arbeitsverhältnisse erforderlichen Personaldaten und anderen Zwecken. Die Übermittlung dieser Daten ist grundsätzlich gem. § 26 Abs. 1 Satz 1 BDSG zulässig, sofern sie nicht der Restrukturierungsvorbereitung dient.

Eine Übermittlung von Arbeitnehmerdaten i. S. d. § 26 Abs. 3 BDSG ist allerdings auch in der Zwischenphase nicht gestattet (s. für § 3 Abs. 9 BDSG aF Grimm, a. a. O.; ebenso wohl Lensdorf/Walek, a. a. O., S. 193). Dagegen ist in der Vollzugsphase des Betriebsübergangs (Closing) die Übermittlung sämtlicher Personaldaten der vom Übergang betroffenen Arbeitnehmer entweder aufgrund von § 26 BDSG oder nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO möglich.

Im Falle eines Betriebsübergangs in Form eines Asset Deals tritt der Erwerber nach § 613a BGB i. V. m. § 26 BDSG kraft Gesetzes in das bestehende Arbeitsverhältnis ein und wird, vorbehaltlich eines wirksamen Widerspruchs, somit automatisch zum neuen Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO. Er übernimmt naturgemäß auch die Personalakten der übergehenden Arbeitnehmer. Mit dem Übergang der Arbeitsverhältnisse ist der Erwerber nicht mehr Dritter, sondern Arbeitgeber, die Weitergabe der Beschäftigtendaten an ihn ist keine rechtfertigungsbedürftige datenschutzrechtliche Übermittlung. Aber auch bereits vor dem eigentlichen Übergang ist die Übermittlung der Beschäftigtendaten im Hinblick auf einen bereits vereinbarten Unternehmenserwerb und den damit verbundenen Übergang der Arbeitsverhältnisse zu deren Durchführung erforderlich und daher nach § 26 Abs. 1 S. 1 BDSG zulässig (Riesenhuber in: Beck-OK Datenschutzrecht, Stand 01.08.2019, BDSG § 26 Rn. 185).

 

Wie lange darf der Verkäufer die Personaldaten noch speichern?

Der Übergang der Personalakten bzw. die Übertragung der Personaldaten sollten entsprechend dokumentiert werden. Im Übrigen kann bei ehemaligen Arbeitgebern eine Pflicht bzw. Notwendigkeit zur weitergehenden Speicherung der Personaldaten bestehen, soweit noch entsprechende Aufbewahrungspflichten (z.B. aus HGB oder AO, etwa hinsichtlich Informationen zur Lohnbuchhaltung) bestehen; im Übrigen wird keine Erforderlichkeit zur Speicherung der „alten“ Personaldaten mehr bestehen, so dass diese zu löschen sind.

Inwieweit Aufbewahrungspflichten bestehen, die einer vollständigen Löschung entgegenstehen, kann hier nicht allgemeingültig beurteilt werden, sondern muss vom Unternehmen selbst für die konkreten Fälle geprüft werden.

 

Werbung mit gekauften Kundendaten

Für E-Mail-Adressen und Telefonnummern stellt sich das zusätzliche Problem, dass der Erwerber diese Daten zu Werbezwecken gemäß § 7 Abs. 2 Nr. 2 und Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht verwenden darf, wenn er – wie meist – keine ausdrückliche Werbeeinwilligung des jeweiligen Kunden besitzt. Über diese Hürde hilft selbst die Einräumung eines Widerspruchsrechts vor der Datenübermittlung nicht hinweg. 

Verwendet der Erwerber die Telefonnummer oder E-Mail-Adresse ohne Einwilligung für Werbezwecke, verstößt er daher sowohl gegen das UWG als auch gegen das Bundesdatenschutzgesetz. Für die unzulässige Übergabe von Kundendaten tragen sowohl der Veräußerer als auch der Erwerber als sogenannte „Verantwortliche“ die datenschutzrechtliche Verantwortung. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, welche mit Bußgeldern bestraft werden.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN