Foto: kentoh - shutterstock.com
Bei einem Unternehmenskauf muss unter anderem geklärt werden, welche Daten im Rahmen der Due Diligence und später bei der Durchführung der Transaktion genutzt werden können. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu einen Beschluss gefasst. Die Datenschutzbeauftragten von Berlin und Sachsen haben dem Beschluss der DSK nicht zugestimmt.
Lesetipp: Das Wichtigste zur Anpassung des Datenschutzrechts
Due Diligence: Achtung bei Kundendaten
Im Rahmen einer Due Diligence kommt es regelmäßig zur Offenlegung von personenbezogenen Daten. Problematisch ist hier die Zweckänderung, weil die Daten zu einem anderen Zweck verarbeitet werden, als sie ursprünglich erhoben wurden. Die Übermittlung ist unter anderem zulässig, soweit dies zur Wahrung des berechtigten Interesses des Verantwortlichen erforderlich ist.
Beim so genannten Share Deal rückt der Käufer in die Rechtsposition des Verkäufers. Daher ändert sich der Vertragspartner nicht und die Daten verbleiben beim ursprünglichen Unternehmen.
Ebenso ist der Datenschutz bei einem Unternehmenszusammenschluss im Wege der Verschmelzung unproblematisch, denn hier gehen die Kundenverträge per Gesetz auf den übernehmenden Rechtsträger über.
Beim Asset Deal sind hingegen einzelne Wirtschaftsgüter Gegenstand des Vertrages. So kommt es dazu, dass der Vertragspartner des Kunden wechselt und deshalb notwendigerweise die personenbezogenen Daten des Kunden an den Käufer übermittelt werden müssen.
Beschluss der Datenschutzaufsicht zu M&A Transaktionen
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im Mai 2019 einen Katalog von Fallgruppen beschlossen, die bei der durch die DSGVO gebotene Interessenabwägung beim Asset Deal Berücksichtigung finden sollen. Die DSK unterscheidet in ihrem Beschluss zwischen fünf Fallgruppen.
Kundendaten bei laufenden Verträgen
Bei laufenden Verträgen kommt es beim Asset Deal zu einer Änderung der Vertragspartei, das heißt, das erwerbende Unternehmen wird der neue Vertragspartner des Kunden. Aus zivilrechtlicher Sicht bedarf der Vertragsübergang einer Genehmigung durch den Kunden. In der zivilrechtlichen Genehmigung wird die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten als "Minus" gesehen.Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
Wenn die letzte aktive Vertragsbeziehung mindestens drei Jahre zurückliegt, ist die Übermittlung oft aufgrund von gesetzlichen Aufbewahrungsfristen zulässig. Jedoch dürfen die Daten auch nur wegen der Aufbewahrungsfristen genutzt werden. Alternativ können diese Daten jedoch auch beim ursprünglichen Unternehmen verbleiben.Daten von Kunden bei fortgeschrittener Vertragsanbahnung/Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre
Hier ist die Übermittlung der Daten im Wege der Widerspruchlösung (Opt-Out-Model) möglich. Die Kunden können also der Weitergabe der Daten innerhalb einer bestimmten Frist widersprechen. Dieses Modell wurde gewählt, da es sowohl die Interessen des Unternehmens, als auch die Interessen der Kunden angemessen berücksichtigt.Kundendaten im Falle offener Forderungen
Die Übertragung von offenen Forderungen stellt zivilrechtlich eine Abtretung dar. Für die Übermittlung der Daten, die im Zusammenhang mit der Abtretung stehen, besteht in der Regel ein berechtigtes Interesse des Verantwortlichen. Etwas anderes gilt nur dann, wenn bereits die Abtretung durch eine Vereinbarung ausgeschlossen ist.Kundendaten besonderer Kategorie
Bei Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, werden besondere Anforderung an die Verarbeitung gestellt. Hier muss eine informierte Einwilligung des Kunden eingeholt werden.
Lesetipp: Wenn Systemhäuser zum Verkauf stehen