Best Practice: Die Veräußerung von personenbezogenen Daten im Rahmen von Assetdeals
Von Dr. Philip Kempermann, LL.M., und Michael Kuska

Beitrag als PDF (Download)

Einleitung

Personenbezogene Daten haben heutzutage einen hohen wirtschaftlichen Wert. Neben typischen Stammdaten, wie etwa Namen, postalischen Adressen oder Telefonnummern, betrifft dies nunmehr besonders E-Mail-Adressen, Konto- und/oder Kreditkartendaten,

Interessenprofile sowie Bestellhistorien von Kunden. Solche Daten bieten Unternehmen die Möglichkeit, diese weitreichend für ihre unternehmerischen Interessen, unter anderem für persönliche Werbeansprachen, gewinnbringend zu nutzen.

Entsprechend nehmen der Erwerb und die Übertragung solcher Daten, auch im Rahmen von Unternehmenskäufen, einen immer größer werdenden Stellenwert ein. Insoweit ist allerdings je nach Transaktionsart klar zu differenzieren: Während sogenannte Sharedeals in der Regel keine datenschutzrechtlichen Probleme aufwerfen, sind sogenannte Assetdeals wegen datenschutzrechtlicher Verstöße in letzter Zeit vermehrt ins Blickfeld der Datenschutzaufsichtsbehörden gerückt. Gegenstand eines aktuellen Verfahrens des Bayrischen Landesamtes für Datenschutzaufsicht (BayLDA) war die Veräußerung von E-Mail-Adressen aus dem Onlineshop eines veräußernden Unternehmens. Da von keinem der beteiligten Unternehmen die Einwilligung der Kunden vor der Übertragung der Daten eingeholt worden war und augenscheinlich auch kein sonstiger gesetzlicher Erlaubnistatbestand in Betracht kam, bejahte die zuständige Aufsichtsbehörde einen Verstoß gegen das Bundesdatenschutzgesetz (BDSG) und verhängte jeweils Bußgelder in fünfstelliger Höhe.

Laut Pressemitteilung des BayLDA werden auch zukünftig in entsprechenden Fällen Verstöße mit Geldbußen geahndet. Nachfolgend soll deshalb auf verschiedene rechtliche Aspekte im Umgang mit personenbezogenen Daten im Rahmen von Assetdeals eingegangen und mögliche Folgen und Handlungsmöglichkeiten für Unternehmen sollen dargestellt werden.

Datenschutzrechtliche Aspekte

Assetdeals betreffen regelmäßig Transaktionen, die die Veräußerungen von einzelnen Vermögenswerten eines Unternehmens, hier oftmals die Daten von Kunden, zum Gegenstand haben. Anders als beim Sharedeal, bei dem gesellschaftsrechtliche Anteile an einem Unternehmen erworben werden und damit die Daten regelmäßig beim gleichen Rechtsträger verbleiben, erfolgt im Rahmen eines Assetdeals eine Übertragung der Daten auf einen neuen Rechtsträger, denn es handelt sich sowohl bei dem veräußernden als auch bei dem erwerbenden Unternehmen um unterschiedliche juristische Personen.

Werden demnach Kundendaten einer natürlichen Person im Rahmen einer solchen Transaktion veräußert und übertragen, stellt dies auf Seiten des Verkäufers eine „Übermittlung“ sowie auf Seiten des Erwerbs eine „Erhebung“ von „personenbezogenen Daten“ im Sinne des BDSG dar. Folge ist, dass die Übertragung der Daten sowie die nachfolgende Nutzung jeweils der Einwilligung des betroffenen Kunden bedürfen.

Liegt diese nicht vor, richtet sich die Zulässigkeit der Übertragung danach, ob ein gesetzlicher Erlaubnistatbestand greift. Insoweit bietet das BDSG verschiedene Anknüpfungspunkte. Zur Ermittlung der anwendbaren Norm ist im Rahmen eines Assetdeals der maßgebliche Zweck der Transaktion zu ermitteln. Werden etwa Kundendaten zu Werbezwecken veräußert, ist die Verarbeitung von sogenannten Listendaten – also Namen, postalischen Adressen, Telefonnummern – zulässig, wenn das veräußernde Unternehmen die Übermittlung nach den Vorgaben des BDSG dokumentiert. Die Übermittlung von anderen Daten zu Werbezwecken ist hingegen in einem solchen Fall nur eingeschränkt möglich.

Ob (daneben) weitere Erlaubnistatbestände anwendbar sind, richtet sich danach, ob die Daten außer zum Zwecke der Werbung noch in Wahrnehmung anderer Interessen der beteiligten Unternehmen übermittelt werden. Dies kann zum Beispiel der Fall sein, wenn die Transaktion schwerpunktmäßig darauf abzielt, ein Unternehmen – oder zumindest einen Unternehmensteil – fortzuführen, so dass die Veräußerung und Nutzung der Daten zu werblichen Zwecken nicht im Vordergrund stehen. Ob dies der Fall ist, ist eine Frage des Einzelfalls und erfordert eine genaue Betrachtung aller die Transaktion begleitenden Umstände.

Alternativ besteht die Möglichkeit einer sogenannten Widerspruchslösung. Danach ist die Übermittlung von (Kunden-)Daten zulässig, wenn die Betroffenen vorher über die geplante Übertragung ihrer Daten informiert wurden, ihnen ein ausreichend lange bemessenes Widerspruchsrecht eingeräumt wurde und sie keinen Gebrauch von ihrem Widerspruchsrecht innerhalb der Widerspruchsfrist gemacht haben.

Wettbewerbsrechtliche Aspekte

Neben datenschutzrechtlichen Aspekten können bei der Verwendung von personenbezogenen Daten auch wettbewerbsrechtliche Problemstellungen im Rahmen von Assetdeals eine Rolle spielen. Werden etwa E-Mail-Adressen und Telefonnummern von Kunden erworben und anschließend zu Werbezwecken genutzt, kann nicht nur das BDSG, sondern auch das Gesetz gegen den unlauteren Wettbewerb (UWG) zur Anwendung kommen. In diesem Fall ist das die Daten erwerbende Unternehmen angehalten, eine ausdrückliche Einwilligung der betroffenen Kunden hinsichtlich der Nutzung zu Werbezwecken einzuholen, da eine dem veräußernden Unternehmen erteilte Einwilligung nur diesem und nicht dem Erwerber gegenüber gilt. Ohne eine ausdrückliche Einwilligung gilt auch hier, dass sich die Zulässigkeit nach dem Vorliegen einer gesetzlichen Erlaubnisnorm richtet.

Folgen

Konsequenz von datenschutz- und wettbewerbsrechtlichen Verstößen können empfindliche Geldbußen seitens der Aufsichtsbehörde sein. Als jeweils „verantwortliche Stelle“ sind sowohl Veräußerer als auch Erwerber datenschutzrechtlich Verantwortliche und damit grundsätzlich jeweils potentieller Adressat von Bußgeldern. Daneben kommen auch Ansprüche der betroffenen Kunden auf Löschung, Unterlassung oder Schadenersatz in Betracht. Unter Umständen kann die Übertragung sogar einen Straftatbestand darstellen.

Die wirtschaftlichen sowie haftungsrechtlichen Folgen wiegen in solchen Fällen regelmäßig schwer, insbesondere wenn die Transaktion aufgrund einer angeordneten Löschung der Daten gegenstandslos geworden ist. Weitreichende Folgeauseinandersetzungen sind dann bereits programmiert.

Um solche Risiken zu vermeiden, bedarf es sowohl bei der Vorbereitung als auch der Durchführung einer Unternehmenstransaktion geeigneter Compliancemaßnahmen, um mögliche Rechtsverstöße bereits frühzeitig aufdecken und verhindern zu können.

Das BDSG stellt bereits verschiedene gesetzliche datenschutzrechtliche Complianceregelungen auf. Diese beziehen sich etwa auf die Bestellung eines Datenschutzbeauftragten, die Errichtung von technischen und organisatorischen Maßnahmen sowie verschiedene Melde-, Kontroll- und Dokumentationspflichten.

Daneben sind weitere Vorkehrungen – unabhängig davon, ob personenbezogene Daten im Rahmen einer Unternehmenstransaktion veräußert werden – zu empfehlen. Konkret betrifft dies Verfahrensweisen, die im Fall der Verarbeitung von personenbezogenen Daten die jeweiligen Rechtsgrundlagen prüfen – etwa ob die Einwilligungen der Kunden wirksam eingeholt oder entsprechende Widerrufsrechte eingeräumt wurden. Gleichzeitig bietet es sich an, Maßnahmen zu treffen, welche die Einhaltung der vorgenannten Verfahren dokumentieren.

Entscheidet sich ein Unternehmen schließlich, die Daten zu veräußern, ermöglichen geeignete Compliancemaßnahmen einen reibungslosen Ablauf, auch im Hinblick auf eine im Rahmen einer Unternehmenstransaktion durchzuführenden Due Diligence. Letztere sollte im Hinblick auf eigene Haftungsrisiken des erwerbenden Unternehmens ohnehin auch auf die Einhaltung von datenschutzrechtlichen Grundsätzen gerichtet sein, wenn im Rahmen der Transaktion personenbezogene Daten veräußert werden. 

Fazit

Werden im Rahmen eines Assetdeals personenbezogene Daten veräußert, sind nicht nur datenschutzrechtliche, sondern je nach Nutzungszweck auch wettbewerbsrechtliche Vorschriften zu beachten. Zur Einhaltung der gesetzlichen Vorschriften sind rechtzeitig geeignete Risikomaßnahmen zu treffen. Dadurch können Datenschutzverstöße sowie entsprechende Bußgelder der Datenschutzaufsichtsbehörden vermieden werden. Dies gilt auch vor dem Hintergrund, dass die Aufsichtsbehörden die Einhaltung datenschutzrechtlicher Vorschriften zukünftig strenger überwachen werden.

p.kempermann@heuking.de
m.kuska@heuking.de

 

Aktuelle Beiträge