03.12.2015
[Köln, ] Wenn im Rahmen eines Unternehmensverkaufs im Wege des „Asset Deals“ oder aus sonstigen Gründen von einem Unternehmen Kundendaten veräußert werden, sind die datenschutzrechtlichen Vorgaben unbedingt einzuhalten. Sonst drohen zum einen die Unverwendbarkeit der Daten für den Käufer, zum anderen aber auch ein erhebliches Bußgeld für beide Parteien (bis zu EUR 300.000).
Wenn bei einem Asset Deal einzelne werthaltige Wirtschaftsgüter eines Unternehmens, wie z.B. Grundstücke, Maschinen oder eben Kundendaten veräußert werden und nicht das Unternehmen (oder ein Unternehmensteil) als Ganzes, handelt es sich bei der Übertragung der Kundendaten um eine Datenübermittlung nach § 3 Abs. 4 Nr. 3 Bundesdatenschutzgesetz (BDSG), die nur in engen Grenzen zulässig ist.
I. Fall einer unzulässigen Übertragung von Kundendaten beim Unternehmensverkauf
Im Falle eines datenschutzrechtlich unzulässigen Verkaufs von Kundendaten im Rahmen eines Unternehmensverkaufs verhängte das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) unlängst ein Bußgeld in fünfstelliger Höhe. Es lag eine unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops vor. Das BayLDA verhängte jeweils ein Bußgeld gegen den veräußernden als auch gegen den erwerbenden Unternehmer. Beide trugen als sog. verantwortliche Stellen die Verantwortung für die Einhaltung des Datenschutzes.
Das BayLDA hierzu: „Bei Asset Deals werden personenbezogene Kundendaten bisweilen unter Verstoß gegen das Datenschutzrecht veräußert. Um die Sensibilität der Unternehmen zu erhöhen, werden wir auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden.“
II. Was ist beim Verkauf von Kundendaten zu beachten
Kundendaten stellen häufig ein sehr wertvolles Asset eines Unternehmens dar, da sie zur direkten Werbeansprache genutzt werden können. Ist der Kunde eine natürliche Person, handelt es sich bei dessen Daten aber um „personenbezogene Daten“ im Sinne des Datenschutzrechts. Diese dürfen nur unter Einhaltung der einschlägigen Bestimmungen an einen Dritten übermittelt werden.
1. Übermittlungsbefugnis
Grundsätzlich bedarf die Übermittlung von personenbezogenen Daten eines Kunden an einen Dritten der expliziten Zustimmung des Kunden, wenn keine anderweitige gesetzliche Erlaubnis besteht. Eine gesetzliche Erlaubnis besteht, 1. wenn die Daten allgemein zugänglich sind, 2. wenn die Übermittlung der Erfüllung des Vertrags gegenüber dem Kunden dient, oder 3. wenn die Übermittlung zu Wahrung von berechtigten Interessen des Übermittelnden nötig ist.
Diese Fälle werden bei der Veräußerung von Kundendaten in der Regel aber nicht greifen, so dass grundsätzlich die Zustimmung des Kunden (Opt-in) zur Übermittlung seiner Daten an den Erwerber eingeholt oder ihm jedenfalls ein Widerspruchsrecht (Opt-out) eingeräumt werden muss, von dem er dann keinen Gebrauch macht.
Dies lässt sich in der Praxis aber oft nur schwer umsetzen, zumal die Daten derjenigen Kunden, die der Übermittlung nicht zustimmen bzw. ihr widersprechen, damit nicht mehr oder nur noch in Teilen veräußerbar sind.
2. Listenprivileg
Eine mögliche Lösung stellt das sogenannte Listenprivileg dar. Listendaten dürfen nämlich auch ohne Zustimmung des Kunden an einen Dritten zu Werbezwecken übermittelt werden (§ 28 Abs. 3 BDSG). Listendaten sind: Berufs-, Branchen- oder Geschäftsbezeichnung des Betroffenen, Name, Titel, akademischer Grad, Postanschrift, Geburtsjahr und die Zugehörigkeit zu einer Personengruppe (z.B. Zahnärzte in Köln). Zu den Listendaten gehören also nicht die Email-Adresse, Telefonnummer, Zahlungsdaten oder sonstige Informationen, wie z.B. Daten über die getätigten Einkäufe des Kunden (Kaufhistorie).
3. Email-Adresse und Telefonnummer
Sollte der Käufer in datenschutzrechtlich zulässiger Weise auch Email-Adressen und Telefonnummern des Kunden erworben haben, ist jedoch zu bedenken, dass eine werbliche Ansprache per Email oder Telefon gemäß § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) ohne vorherige ausdrückliche Zustimmung des Kunden unzulässig ist. Insofern ist der Wert solcher erworbener Daten nur begrenzt.
