Besonderheiten bei Asset Deals

Schutz der Kundendaten beim Unternehmensverkauf

20.09.2019 von Michael Rath und Michael Krömker  
Bei einem Firmenverkauf spielen auch Kundendaten eine große Rolle. Wie mit diesen Daten in unterschiedlichen Verkaufsmodellen rechtskonform umgegangen werden muss, lesen sie in diesem Artikel.
Das CRM ist nur eines der Systeme, in dem sich Kundendaten befinden.
Foto: kentoh - shutterstock.com

Bei einem Unternehmenskauf muss unter anderem geklärt werden, welche Daten im Rahmen der Due Diligence und später bei der Durchführung der Transaktion genutzt werden können. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu einen Beschluss gefasst. Die Datenschutzbeauftragten von Berlin und Sachsen haben dem Beschluss der DSK nicht zugestimmt.

Lesetipp: Das Wichtigste zur Anpassung des Datenschutzrechts

Due Diligence: Achtung bei Kundendaten

Im Rahmen einer Due Diligence kommt es regelmäßig zur Offenlegung von personenbezogenen Daten. Problematisch ist hier die Zweckänderung, weil die Daten zu einem anderen Zweck verarbeitet werden, als sie ursprünglich erhoben wurden. Die Übermittlung ist unter anderem zulässig, soweit dies zur Wahrung des berechtigten Interesses des Verantwortlichen erforderlich ist.

Beschluss der Datenschutzaufsicht zu M&A Transaktionen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im Mai 2019 einen Katalog von Fallgruppen beschlossen, die bei der durch die DSGVO gebotene Interessenabwägung beim Asset Deal Berücksichtigung finden sollen. Die DSK unterscheidet in ihrem Beschluss zwischen fünf Fallgruppen.

  1. Kundendaten bei laufenden Verträgen
    Bei laufenden Verträgen kommt es beim Asset Deal zu einer Änderung der Vertragspartei, das heißt, das erwerbende Unternehmen wird der neue Vertragspartner des Kunden. Aus zivilrechtlicher Sicht bedarf der Vertragsübergang einer Genehmigung durch den Kunden. In der zivilrechtlichen Genehmigung wird die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten als "Minus" gesehen.

  2. Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
    Wenn die letzte aktive Vertragsbeziehung mindestens drei Jahre zurückliegt, ist die Übermittlung oft aufgrund von gesetzlichen Aufbewahrungsfristen zulässig. Jedoch dürfen die Daten auch nur wegen der Aufbewahrungsfristen genutzt werden. Alternativ können diese Daten jedoch auch beim ursprünglichen Unternehmen verbleiben.

  3. Daten von Kunden bei fortgeschrittener Vertragsanbahnung/Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre
    Hier ist die Übermittlung der Daten im Wege der Widerspruchlösung (Opt-Out-Model) möglich. Die Kunden können also der Weitergabe der Daten innerhalb einer bestimmten Frist widersprechen. Dieses Modell wurde gewählt, da es sowohl die Interessen des Unternehmens, als auch die Interessen der Kunden angemessen berücksichtigt.

  4. Kundendaten im Falle offener Forderungen
    Die Übertragung von offenen Forderungen stellt zivilrechtlich eine Abtretung dar. Für die Übermittlung der Daten, die im Zusammenhang mit der Abtretung stehen, besteht in der Regel ein berechtigtes Interesse des Verantwortlichen. Etwas anderes gilt nur dann, wenn bereits die Abtretung durch eine Vereinbarung ausgeschlossen ist.

  5. Kundendaten besonderer Kategorie
    Bei Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, werden besondere Anforderung an die Verarbeitung gestellt. Hier muss eine informierte Einwilligung des Kunden eingeholt werden.

Lesetipp: Wenn Systemhäuser zum Verkauf stehen