Ihre
Suche

    24.09.2015

    Personendaten beim Unternehmenskauf – Datenschutz als Dealbreaker?


    Bei praktisch jeder Unternehmenstransaktion sind personenbezogene Daten betroffen, seien es Kunden- oder Arbeitnehmerdaten. Dabei wird häufig verkannt, dass auch in diesem Zusammenhang die datenschutzrechtlichen Vorgaben zu beachten sind. Dies gilt unabhängig davon, ob eine Transaktion als Share Deal, also durch Übertragung der Gesellschaftsanteile, erfolgt, oder als Asset Deal durch die Übertragung einzelner Vermögenswerte des Unternehmens umgesetzt wird.   So erließ das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) jüngst sowohl gegen den Erwerber als auch den Veräußerer eines Online-Shops einen Bußgeldbescheid in jeweils fünfstelliger Höhe wegen der datenschutzwidrigen Übermittlung von Kunden-E-Mail Adressen im Rahmen eines Asset Deals.   Dies gibt Anlass, das Problem des Datenschutzes beim Unternehmenskauf näher zu betrachten.   A. Asset Deal   Datenschutzrechtliche Gesichtspunkte werden im Rahmen von Asset Deals in der Praxis in erster Linie dann relevant, wenn ein Kundenstamm mit veräußert werden soll. In diesen Fällen werden neben Name und Anschrift der Kunden regelmäßig darüber hinausgehende Daten übermittelt, wie z. B. die Bestellhistorie, produktbezogene Präferenzen oder E-Mail-Adressen. Hierbei handelt es sich jedoch letztlich um eine Übermittlung von Daten an einen Dritten, die sich an den Vorgaben des Bundesdatenschutzgesetzes messen lassen muss.   Datenschutzrechtlich relevant sind in diesem Zusammenhang nur personenbezogene Daten, wobei die Übermittlung von Name, Postanschrift, Beruf und Geburtsjahr aufgrund des sog. „Listenprivilegs“ (vgl. § 28 Abs. 3 BDSG) in vielen Fällen überwiegend unproblematisch ist.   Auch Daten, die zur Erfüllung noch nicht abgeschlossener Verträge zwingend erforderlich sind, werden – allein zu diesem Zweck – genutzt werden dürfen.   Alle übrigen Informationen des Unternehmens über dessen Kunden, wie z. B. E-Mail-Adressen, Telefonnummern, Konto- oder Kreditkartendaten, Kaufhistorien etc., dürfen nach Auffassung der Bayerischen Datenschutzbehörde allenfalls nach einer vorherigen Belehrung der betroffenen Kunden und der Einräumung eines diesbezüglichen Widerspruchsrechts an den Asset-Käufer übermittelt werden.   Je nach Art der personenbezogenen Daten sowie deren Verwendungszweck ist sogar eine vorherige explizite Einwilligung jedes einzelnen Kunden erforderlich. So wird insbesondere die werbliche Kommunikation mit den Kunden per E-Mail, SMS oder Telefon auch aus wettbewerbsrechtlichen Gründen regelmäßig nur dann rechtskonform sein, wenn der Kunde hierin eingewilligt hat. Eine Belehrung mit Widerspruchsrecht genügt in diesem Fall nicht. Diese datenschutzrechtlichen Aspekte sind nicht nur im Rahmen der Due Diligence von Bedeutung, sondern erfordern auch eine konkrete und passgenaue Gestaltung des Asset Purchase Agreements. Nicht nur die Ermittlung des Kaufpreises ist von der Qualität der Daten beeinflusst; vielmehr wird man auch Kaufpreisanpassungen bei datengetriebenen Transaktionen in Abhängigkeit von der retention rate vorsehen müssen. Auch Gewährleistungsrechte werden so gestaltet werden müssen, dass die Nutzbarkeit der Daten abgebildet wird.   B. Share Deal   Obwohl bei einem Share Deal das Unternehmen als Gesamtheit veräußert wird und daher – anders als beim Asset Deal – keine Datenüberlassung an einen Dritten erfolgt, gibt es hier datenschutzrechtliche Fallstricke.   Häufig erhält ein potentieller Erwerber im Rahmen der Due Diligence Zugriff auf umfangreiche Kundenlisten oder Arbeitnehmerdaten. Eine Information der betroffenen Personen oder gar die Einholung von deren Zustimmung kommt in einer solchen Phase einer Unternehmenstransaktion selbstverständlich nicht in Betracht.   Zwar sieht das Gesetz die Möglichkeit einer Datenübertragung vor, soweit diese „zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist“ und die Betroffenen kein überwiegendes schutzwürdiges Interesse an dem Ausschluss der Verarbeitung oder Nutzung haben. Allerdings ist dabei schon fraglich, ob die Veräußerung als „berechtigtes Interesse“ des Unternehmens gelten kann. Das Hauptinteresse an einer solchen Transaktion wird vielmehr regelmäßig bei den Gesellschaftern liegen.   Vor diesem Hintergrund ist es bei jeder Offenlegung von personenbezogenen Daten im Rahmen einer Due Diligence empfehlenswert, solche Daten entweder unkenntlich zu machen oder jedenfalls zu anonymisieren   C. Fazit   Die vom BayLDA festgesetzten Bußgelder werden kein Einzelfall bleiben. In einer diesbezüglichen Pressemitteilung wies das BayLDA ausdrücklich darauf hin, dass es „auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden“ werde. In Anbetracht des von der Datenschutzbehörde selbst erklärten Ziels, die Sensibilität der Unternehmen in Bezug auf diese Thematik zu erhöhen, ist zu erwarten, dass diesbezüglich weiterhin empfindliche Bußgelder verhängt werden. Diese können bis zu EUR 300.000 betragen, wobei in Einzelfällen dieser Betrag sogar bis zur vollständigen Abschöpfung des durch die Übermittlung erzielten wirtschaftlichen Vorteils erhöht werden kann.   Es ist zudem davon auszugehen, dass es sich hierbei nicht um einen bayerischen „Sonderweg“ handelt, sondern die anderen Landesdatenschutzbehörden sich diesem Vorgehen anschließen werden.   Vor diesem Hintergrund sollten datenschutzrechtliche Gesichtspunkte bei jeder Transaktion bereits im Vorfeld geprüft und angemessen berücksichtigt werden. Der Due Diligence Prozess sollte daher bei Unternehmen, bei denen der Datenbestand von Bedeutung ist, immer auch diese datenschutzrechtlichen Aspekte umfassen. Gerade vor dem Hintergrund der Bedeutung von Kundenprofilen und Big Data sowie der diesbezüglich beschränkten Übertragbarkeit der Kundendaten, wird dies nicht nur Auswirkungen auf die angemessene Bestimmung des Unternehmenswertes und damit den Kaufpreis eines Unternehmens haben, sondern insbesondere auch auf die Ausgestaltung von Gewährleistungen und Garantien im Kaufvertrag.   Auch die Beurteilung der Auswirkungen auf die Verwertung eines Kundenbestandes im Rahmen von Insolvenzverfahren erfordert daher eine entsprechende, datenschutzrechtliche Expertise.   Zu diesen und weiteren Themen, wie der Umsetzung eines datenschutzkonformen Übernahmekonzeptes von Kunden- oder Arbeitnehmerdaten, stehen Ihnen die Datenschutz- und Transaktionsexperten von BEITEN BURKHARDT gerne zur Verfügung   Bei Fragen zum Thema, kontaktieren Sie bitte: Prof. Dr. Hans-Josef Vogel Mathias Zimmer-Goertz Dr. Claudio G. Chirco