Zum Datenschutz beim Unternehmenskauf

Werden bei einem Asset Deal personenbezogene Kundendaten unter Verstoß gegen das Datenschutzrecht veräußert, kann dies zu erheblichen Geldbußen führen.

Hintergrund

Der Betreiber eines Online-Shops verkaufte diesen im Wege eines Asset Deals. Dabei wurden insbesondere auch die E-Mail-Adressen der Bestandskunden an den Erwerber veräußert. Das Bayerische Landesamt für Datenschutzaufsicht war der Ansicht, dass der Asset Deal unter Verstoß gegen verschiedene Regelungen des Datenschutzrechts abgeschlossen und vollzogen wurde und belegte daher Veräußerer und Erwerber mit einem fünfstelligen Bußgeld.

Pressemittelung des Bayerischen Landesamts für Datenschutzaufsicht (30.7.2015)

Wenn der Kunde, dessen Daten auf Weg eines Asset Deals den „Eigentümer“ wechseln, eine natürliche Person ist, dann handelt es sich bei diesen Kundendaten um sogenannte personenbezogene Daten. Diese dürfen nur nach Maßgabe des Datenschutzrechts übermittelt werden. Erforderlich ist daher entweder die (vorherige) Einwilligung der betroffenen Kunden oder aber eine anderweitige, gesetzlich normierte Erlaubnis. Verstöße könnten mit Bußgeldern bis zu 300.000 EUR geahndet werden.

Anmerkung

Unternehmensverkäufe sind in zwei Gestaltungsformen denkbar.

a.) Bei einem „Share Deal“ werden sämtliche Anteile an dem Unternehmen an den Erwerber veräußert. Das Unternehmen an sich bleibt aber in der Regel in identischer Form bestehen. Bei einem solchen Unternehmenskauf bestehen regelmäßig auch keine datenschutzrechtlichen Probleme.

b.) Bei einem Asset Deal hingegen werden werthaltige Wirtschaftsgüter des Unternehmens an den Erwerber veräußert. Gerade bei Unternehmen, die im B2C-Bereich tätig sind, gehören zu diesen Wirtschaftsgütern insbesondere die Kundendaten.

Berufsgeheimnisträger

Besonders kritisch ist die Veräußerung von Kundendaten allerdings bei Berufsgeheimnisträgern (wie Ärzten, Anwälten oder Apothekern). Bei diesen führt eine solche Datenweitergabe nicht nur zur Strafbarkeit, sondern kann darüber hinaus auch zur Nichtigkeit des gesamten Unternehmenskaufvertrages führen. Ob der Verstoß gegen das Datenschutzrecht auch in anderen Branchen zur Nichtigkeit des Asset Deals führen kann, ist umstritten.

B2B-Bereich

Ebenfalls umstritten ist, ob die gleichen Voraussetzungen auch im B2B-Bereich für Kontaktdaten von Ansprechpartnern bei Kunden oder Lieferanten gelten. Im Ergebnis wird für die Übermittlung von solchen Daten allerdings regelmäßig eine datenschutzrechtliche Rechtfertigung bestehen, die aber im Einzelfall zu prüfen ist.

Insolvenzverwalter

Die genannten rechtlichen Erwägungen gelten im Übrigen grundsätzlich auch bei einem Verkauf von Assets durch den Insolvenzverwalter. Ob dieser dabei einzelne Privilegierungen genießt (z.B. im Rahmen der Abwägung der Interessen der Betroffenen und der Unternehmen nach § 28 Abs. 1 BDSG), ist gerichtlich bislang nicht geklärt. Jedenfalls das Bayerische Landesamt für Datenschutzaufsicht scheint indes ausweislich seiner Presseerklärung nicht der Auffassung zu sein, dass der Asset Deal in der Insolvenz in irgendeiner Art und Weise privilegiert sein sollte.

Praxistipp

Nicht zuletzt sollten Unternehmen, die Kundendaten auf diese Art und Weise erworben haben, daran denken, dass eine Kontaktaufnahme mit den so bekannt gewordenen Kunden in aller Regel auch wettbewerbswidrig ist und sie sich der Gefahr von Abmahnungen aussetzen.

Rechtsanwälte Dr. Frank Jungfleisch, Sebastian Hoegl, LL.M. (Wellington), Friedrich Graf von Westphalen & Partner, Freiburg

Vgl. zu dem Thema auch:

Bußgeld bei Verstößen gegen das IT-Sicherheitsgesetz

Weitergabe von Fluggastdaten

Schlagworte zum Thema:  Datenschutz