Neue Herausforderungen im Datenschutz bei Unternehmenstransaktionen

München und Berlin, 24.09.2024

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 11. September 2024 ihren Beschluss zu „Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals“ vorgelegt. Mit diesem Beschluss erfolgt eine Aktualisierung der von der DSK im Jahr 2019 aufgestellten Grundsätze zur Verarbeitung von personenbezogenen Daten bei entsprechenden Unternehmenstransaktionen.

Während sich bei Share-Deals in datenschutzrechtlicher Sicht keine Problemstellungen ergeben, da kein Wechsel in der datenschutzrechtlichen Verantwortlichkeit erfolgt, bieten Asset-Deals eine Reihe an Fallstricken, die es zu erkennen und zu beachten gilt. 

Positiv hervorzuheben ist, dass der neue Beschluss wesentlich detaillierter beschreibt, was in welcher Phase eines Unternehmensverkaufs zu berücksichtigen ist. Hinsichtlich der Übermittlung von Kundendaten stellt die DSK Unternehmen nun allerdings vor erhebliche Hürden.

Übermittlung von Daten im Rahmen der Due Diligence Phase

Im Rahmen der Due Diligence Phase ist eine Übermittlung von personenbezogenen Daten an den Erwerber grundsätzlich unzulässig. 

Eine Ausnahme gilt dann, wenn zuvor entweder eine Einwilligung der betroffenen Personen eingeholt wurde oder die Übermittlung auf ein berechtigtes Interesse gestützt werden kann. Problematisch bei der Einholung von Einwilligungen ist zum einen, dass diese freiwillig abgegeben werden müssen, was insbesondere im Beschäftigtenkontext kritisch ist. Zum anderen ist die Einholung von Einwilligungen bei großen Datensätzen in der Regel nicht praktikabel.

Soweit es sich bei den betroffenen Personen um Personen mit herausgehobener Stellung beim Verkäufer, etwa um Führungskräfte, handelt, kann die Übermittlung während der Due Diligence Phase jedoch in Einzelfällen auf ein berechtigtes Interesse gestützt werden. 

Übermittlung von Kundendaten bei konkreter Vertragsanbahnung oder bestehendem Vertragsverhältnis

Bei fortgeschrittenen Vertragsverhandlungen, die vom Kunden mit dem Erwerber rügelos fortgesetzt werden, kann die Datenübermittlung auf den Erlaubnistatbestand der Durchführung von vorvertraglichen Maßnahmen gestützt werden. Im Übrigen bietet die sogenannte Widerspruchslösung (vgl. dazu unten) dem Erwerber die Möglichkeit, die Kundendaten auf Grundlage eines berechtigten Interesses zu erhalten.

In bestehenden Vertragsbeziehungen – insbesondere solange Verjährungs- oder Gewährleistungsfristen noch laufen – kann nach einer Genehmigung der Vertragsübernahme durch den Kunden die Übermittlung von Daten ebenfalls auf die Notwendigkeit der Datenverarbeitung zur Vertragserfüllung gestützt werden. Soweit es um Daten von Lieferanten und ihrer Mitarbeiter geht, können diese auf Grundlage eines berechtigten Interesses übermittelt werden.

Sensible personenbezogene Daten und Bankdaten können, sofern diese nicht für die Erfüllung eines Vertrages erforderlich sind, nur mit ausdrücklicher Einwilligung übertragen werden.

Übermittlung von Beschäftigtendaten

Die Übermittlung von Beschäftigtendaten kann bei einem (Teil-) Betriebsübergang auf die Erfüllung eines Vertrages oder bei besonderen Kategorien personenbezogener Daten auf die Erlaubnisnorm des § 26 Abs. 3 BDSG gestützt werden. Dabei sind verschiedene Besonderheiten zu beachten und es gilt eine Beschränkung hinsichtlich sensibler Daten. 

Wesentliche Änderungen gegenüber dem Beschluss vom 24. Mai 2019

Soweit der Verkäufer dem Erwerber Daten von Kunden ohne laufende Verträge zur Erfüllung gesetzlicher Aufbewahrungsfristen übermittelt, weist die DSK nun ausdrücklich auf die Pflicht zum Abschluss einer Auftragsverarbeitungsvereinbarung hin. Außerdem sind diese Daten von den Daten „aktiver Kunden“ strikt zu trennen. 

Eine wesentliche Neuerung gegenüber dem Beschluss vom 24. Mai 2019 sind Grundsätze zur Übermittlung von Kundendaten als einziges Asset eines Unternehmens. In derartigen Fällen sei laut der DSK grundsätzlich eine Einwilligung der betroffenen Kunden erforderlich, insbesondere, wenn Käufer und Verkäufer nicht im selben Geschäftszweig tätig sind. 

Ohne nähere Begründung erklärt die DSK es ausschließlich für Postadressen für zulässig, wenn Kleinunternehmen (weniger als 50 Mitarbeiter und Jahresumsatz von maximal 10 Mio Euro) oder Kleinstunternehmen (weniger als 10 Mitarbeiter) aufgrund der Beendigung der eigenen wirtschaftlichen Tätigkeit die Daten ihrer Kunden einem Kleinst- oder Kleinunternehmen desselben Wirtschaftszweigs übergeben. In diesem Fall könne durch eine – auch als Opt-Out-Verfahren bezeichnete – Widerspruchslösung bei Ausbleiben eines Widerspruchs der Betroffenen die Datenübermittlung auf ein berechtigtes Interesse gestützt werden.

Anders als noch in ihrem vorangehenden Beschluss trifft die DSK keine Aussage mehr zur Zulässigkeit der Widerspruchslösung bei Kunden ohne laufende Verträge, deren Vertragsbeziehung zum Verkäuferunternehmen jünger als drei Jahre ist. In dieser Konstellation hat sich die Anwendung der Widerspruchslösung in der Praxis durchgesetzt. Ob es hier zu einer Änderung dieser Anwendungspraxis kommt, bleibt abzuwarten.

Newsletter Icon

Keine Neuigkeiten verpassen.

Zur Newsletter-Anmeldung

goep_0459_290622

Einige der von uns gesetzten Cookies dienen dazu, bestimmte Funktionen unserer Webseiten zu ermöglichen, insbesondere zur Steuerung des Cookie-Banners (damit dieses bei Ihren erneuten Besuchen nicht immer wieder angezeigt wird). Diese Cookies enthalten keine personenbezogenen Daten, insbesondere nicht Ihre IP-Adresse. Andere Cookies, die zu Analysezwecken gesetzt werden (siehe hierzu auch den Abschnitt „Web-Analyse-Tools“), helfen uns zu verstehen, wie Besucher mit unseren Webseiten interagieren. Diese Cookies dienen dazu, die Nutzung unserer Webseiten statistisch zu erfassen und zum Zwecke der Optimierung unseres Angebotes auszuwerten. Die Analyse-Cookies werden bis zu 13 Monate gespeichert.