Unternehmen investieren viel in den Aufbau und die Pflege von Kundenbeziehungen. Kommt es zu einem Verkauf des Unternehmens, sind die Kundendaten als werthaltiges „Asset“ ein für den Kaufpreis unter Umständen entscheidendes Kriterium. Zu einer erfolgreichen Unternehmenstransaktion gehört dann, die möglichst vollständige und rechtssichere Übertragung der Kundendaten an den Erwerber. Erfolgt die Übermittlung im Wege eines Asset Deals, ist eine datenschutzrechtliche Rechtfertigung nach der DSGVO notwendig. Dabei gibt es Konstellationen in denen es auch ohne die Einwilligungen sämtlicher Kunden geht.
Datenverarbeitung beim Asset Deal
Entscheidende Weiche für die datenschutzrechtliche Beurteilung ist die konkrete Deal-Struktur der Unternehmenstransaktion, wobei zwischen einem Share Deal und einem Asset Deal unterschieden wird.
Bei einem Share Deal werden Geschäftsanteile veräußert, der Unternehmensträger bleibt bestehen. Dadurch verbleiben die Kundendaten bei einem Share Deal bei dem Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO. Es kommt zu keinem datenschutzrechtlich relevanten Verarbeitungsvorgang, weshalb es keiner Rechtfertigung nach der DSGVO bedarf.
Anders beim Asset Deal: Hier gehen die einzelnen Wirtschaftsgüter im Wege der Einzelrechtsnachfolge an den Erwerber über. Werden Kundendaten bei einem Asset Deal an den Erwerber übertragen, ist darin eine erlaubnispflichtige Übermittlung im Sinne des Art. 4 Nr. 2 DSGVO zu sehen.
Übermittlung von Kundendaten auch ohne Einwilligung?
Das Einholen von Einwilligungen sämtlicher Kunden ist wenig praktikabel, weshalb Alternativen von besonderem Interesse sind.
Vertrag – Art. 6 Abs. 1 S. 1 lit. b DSGVO
Sollen laufende Vertragsverhältnisse auf den Erwerber übergehen bietet sich eine Vertragsübernahme an, bei der durch einen dreiseitigen Vertrag zwischen allen Beteiligten eine vertragliche Legitimierung für die Übernahme der Kundendaten geschaffen werden kann. Wird diese Gestaltung gewählt, ist die Übermittlung zur Erfüllung eines Vertrags erforderlich. Insoweit die Kunden selbst Vertragspartei dieser Vereinbarung sind, kann die Übertragung auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden.
Berechtigte Interessen – Art. 6 Abs. 1 S. 1 lit. f DSGVO
Wird keine Vertragsübernahme vereinbart oder lässt sich die Übertragung der Kundendatensätze nur zum Teil dadurch rechtfertigen, bleibt als weitere Möglichkeit der Legitimierung Art. 6 Abs. 1 S. 1 lit. f DSGVO. Ob eine Rechtfertigung auf Grundlage „berechtigter Interessen“ in Betracht kommt, hängt dabei von der Ausgestaltung des Deals ab und ist auch abhängig davon, welche Kategorien von Kundendaten in welchem Umfang übertragen werden sollen.
Im Rahmen der bei diesem Erlaubnistatbestand gebotenen Interessenabwägung sind die berechtigten Interessen des Verkäufers und des Erwerbers mit den schutzwürdigen Interessen der betroffenen Kunden im Einzelfall abzuwägen.
Für das Ergebnis der Interessenabwägung ist in hohem Maße relevant, zu welchen Zwecken die Kundendaten übermittelt werden. Möchte der Erwerber den Betrieb oder das Geschäftsmodell im Wesentlichen fortführen und wird vereinbart, dass der Erwerber für etwaige Verbindlichkeiten, wie Garantien oder Gewährleistungsansprüche, künftig einsteht, wird die Interessenabwägung eher zu Gunsten der Unternehmen ausgehen. Nicht zuletzt vor dem Hintergrund, dass die Kunden regelmäßig erwarten werden, dass der Erwerber zur Fortführung des Geschäfts die Kundendaten erhält, spricht wenig dafür, dass schutzwürdige Interessen der Kunden einer Übertragung entgegenstehen.
Wenn es lediglich zu einem Wechsel der Verantwortlichen kommt, ohne dass die Daten physisch übermittelt werden müssen und wenn sichergestellt werden kann, dass der Erwerber vergleichbare Maßnahmen zum Schutz der personenbezogenen Daten trifft, entsteht aus Sicht der Kunden zudem keine neue Gefährdungslage.
Schließlich ist bei der Beurteilung der schutzwürdigen Interessen der Kunden zu berücksichtigen, dass ihnen bei Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO ein jederzeitiges und unabdingbares Widerspruchsrecht nach Art. 21 DSGVO zusteht, worüber sie vor der Übermittlung ausdrücklich informiert werden sollten.
Bestätigt wird diese Ansicht auch durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das – noch zum alten Recht – jedenfalls in Fällen, in denen die Übermittlung von Kundendaten der Fortsetzung von Kundenbeziehungen und (Teil-)Fortführung des Geschäftsbetriebs dient, eine Einwilligung bei Einräumung eines Widerspruchsrechts unter Umständen für entbehrlich hält (vgl. 7. Tätigkeitsbericht 2015/2016 des BayLDA, S. 74). Da die DSGVO ein solches Widerspruchsrecht ohnehin für Datenverarbeitungen auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO vorsieht, spricht wenig dafür, dass vergleichbare Konstellationen nach der DSGVO anders zu beurteilen sind.
Anders wird die Interessenabwägung ausfallen, sofern besonders umfangreiche Kundenprofile übertragen werden, die für den Zweck der Fortführung erkennbar nicht erforderlich sind oder wenn eine isolierte Veräußerung der Kundendaten ohne jeglichen Bezug zu der ursprünglichen Kundenbeziehung vorgenommen werden soll. Eine rechtmäßige Übertragung kann dann nur mit einer entsprechenden Einwilligung der Kunden umgesetzt werden.
Sonderfall: Besondere Kategorien von Daten
Zwingend ist eine Einwilligung auch dann, wenn Gesundheitsdaten oder andere „besondere Kategorien von Daten“ des Art. 9 Abs. 1 DSGVO als Teil des Kundendatensatzes übermittelt werden sollen. Ohne dass es überhaupt auf eine Interessenabwägung ankommt, ist bei diesen Datenkategorien stets eine Einwilligung der betroffenen Kunden erforderlich, Art. 9 Abs. 2 lit. a DSGVO.
Kundeninformation vor und nach der Übermittlung
Die Kunden müssen von dem Veräußerer vor der Übermittlung der Daten informiert werden. Es empfiehlt sich diese Kundeninformation entsprechend der im Rahmen von Unternehmenstransaktionen mittlerweile etablierten „Widerspruchslösung“ auszugestalten. Dabei werden die Kunden mit genügend zeitlichem Vorlauf auf die geplante Übermittlung hingewiesen und ihnen eine angemessene Frist zum Widerspruch gegen die Übermittlung eingeräumt. Auch etwaige weitere Informationspflichten des Art. 13 Abs. 3 DSGVO können im Rahmen dieser Kundeninformation berücksichtigt werden. Der Erwerber ist verpflichtet die Kunden nach Art. 14 DSGVO zu informieren. Diese Information muss spätestens innerhalb eines Monats nach Erhalt der Daten erteilt werden.
Nicht zuletzt durch eine transparente Gestaltung dieser Kundeninformationen kann ein angemessener und interessengerechter Ausgleich der widerstreitenden Interessen gefunden werden.