In Teil I unse­rer Rei­he „Daten­über­mitt­lung beim Asset Deal“ haben wir uns ange­schaut, wor­in der Unter­schied zwi­schen Asset Deal und Share Deal liegt und wel­che Rechts­grund­la­gen spe­zi­ell beim Asset Deal für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an den Erwer­ber in Fra­ge kom­men. In Teil II soll nun ein Über­blick über die Fall­grup­pen ver­schafft wer­den, anhand derer das berech­tig­te Inter­es­se als Rechts­grund­la­ge für die Daten­über­mitt­lung her­an­ge­zo­gen wer­den kann.

Im vor­an­ge­gan­ge­nen Teil hat­ten wir uns die Rechts­grund­la­gen „Ein­wil­li­gung“ (Art. 6 Abs. 1 S. 1 lit. a DSGVO) und „Erfül­lung eines Ver­trags“ (Art. 6 Abs. 1 S. 1 lit. b DSGVO) ange­se­hen. Bei­de Rechts­grund­la­gen kön­nen her­an­ge­zo­gen wer­den, ein opti­ma­les Ergeb­nis bie­ten sie jedoch nicht. Bleibt zu prü­fen, ob die Per­so­nen­da­ten auf­grund eines „berech­tig­ten Inter­es­ses“ über­mit­telt wer­den dür­fen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Bei der Prü­fung sind die berech­tig­ten Inter­es­sen des Ver­käu­fers und die schutz­wür­di­gen Inter­es­sen der betrof­fe­nen Per­so­nen (Kun­den, Mit­ar­bei­ter, Lie­fe­ran­ten, etc.) gegen­ein­an­der abzu­wä­gen. Die Abwä­gung ist stets einzelfallbezogen.

Sind von der Daten­über­mitt­lung beson­ders sen­si­ble Kun­den­da­ten umfasst, z.B. Gesund­heits­da­ten, bio­me­tri­sche Daten, Daten zur poli­ti­schen Ein­stel­lung oder kirch­li­chen Gesin­nung, dür­fen die­se aus­schließ­lich mit Ein­wil­li­gung des Kun­den an den Erwer­ber über­tra­gen wer­den.” – Eileen Binder

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (= DSK) hat mit Beschluss vom 24.05.2019 bestä­tigt, dass die Über­mitt­lung von Kun­den­da­ten auf Grund­la­ge eines berech­tig­ten Inter­es­ses mög­lich ist. In dem Beschluss hat sich die DSK auf einen Kata­log von Fall­grup­pen ver­stän­digt, die im Rah­men der Inter­es­sen­ab­wä­gung nach Art. 6 Abs. 1 S. 1 lit. f i.V.m. Art. 4 DSGVO bei einem Asset Deal zu berück­sich­ti­gen sind.

Berech­tig­tes Inter­es­se, Art. 6 Abs. 1 S. 1 lit. f DSGVO — Fallgruppen

Sol­len Kun­den­da­ten aus lau­fen­den Ver­trä­gen auf den Erwer­ber über­ge­hen, bedarf der Ver­trags­über­gang allein aus zivil­recht­li­cher Sicht die Geneh­mi­gung der jewei­li­gen Kun­den. In die­ser Geneh­mi­gung wird auch die daten­schutz­recht­li­che Geneh­mi­gung gesehen.

Sol­len per­so­nen­be­zo­ge­ne Daten von Bestands­kun­den über­tra­gen wer­den, deren letz­te akti­ve Ver­trags­be­zie­hung mehr als 3 Jah­re zurück­liegt, ist beson­de­re Vor­sicht gebo­ten. Die Daten dür­fen laut DSK zwar über­tra­gen wer­den, aller­dings nicht zum Zwe­cke der Nut­zung, son­dern aus­schließ­lich zum Zweck der Archi­vie­rung, um gesetz­li­che Auf­be­wah­rungs­fris­ten zu wahren.

In Fäl­len, in denen mit den Kun­den kei­ne lau­fen­den Ver­trä­ge bestehen, die letz­te Ver­trags­be­zie­hung jedoch weni­ger als drei Jah­re zurück­liegt, kön­nen Kun­den­da­ten an den Erwer­ber im Rah­men des berech­tig­ten Inter­es­ses unter der Vor­aus­set­zung über­mit­telt wer­den, dass den Kun­den eine Wider­spruchs­lö­sung (Opt-Out-Modell) mit einer aus­rei­chend bemes­se­nen Wider­spruchs­frist (mind. 6 Wochen) zur Ver­fü­gung gestellt wird. Die DSK bejaht hier also aus­drück­lich das Wider­spruchs­mo­dell. Die Wider­spruchs­mög­lich­keit ist ein­fach aus­zu­ge­stal­ten, soll­te also aus­rei­chend trans­pa­rent und ver­ständ­lich an die Kun­den wei­ter­ge­reicht wer­den, das Opt-Out soll­te leicht durch­zu­füh­ren sein. Über die Wider­spruchs­mög­lich­keit ist vor der geplan­ten Trans­ak­ti­on zu infor­mie­ren. Aus­ge­nom­men hier­von sind jedoch aus­drück­lich Bank­da­ten (IBAN) der Kun­den. Die­se dür­fen auch im Rah­mend er Wider­spruchs­lö­sung nur mit Ein­wil­li­gung der Kun­den über­mit­telt werden.

Die Aus­füh­run­gen zur Wider­spruchs­lö­sung gel­ten ent­spre­chend für Fäl­le, in denen sich das Kun­den­ver­hält­nis in der fort­ge­schrit­te­nen Ver­trags­an­bah­nung bewegt.

Offe­ne For­de­run­gen gegen Kun­den gehen im Rah­men der For­de­rungs­ab­tre­tung nach zivil­recht­li­chen Grund­sät­zen an den Erwer­ber über. Auch hier wird ein berech­tig­tes Inter­es­se an der Über­mitt­lung der damit in Zusam­men­hang ste­hen­den per­so­nen­be­zo­ge­nen Daten mit der zivil­recht­li­chen Abtre­tung gesehen.

Beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Kun­den­da­ten, Art. 9 Abs. 1 DSGVO

Sind von der Daten­über­mitt­lung beson­ders sen­si­ble Kun­den­da­ten umfasst, z.B. Gesund­heits­da­ten, bio­me­tri­sche Daten, Daten zur poli­ti­schen Ein­stel­lung oder kirch­li­chen Gesin­nung, dür­fen die­se aus­schließ­lich mit Ein­wil­li­gung des Kun­den an den Erwer­ber über­tra­gen wer­den, Art. 9 Abs. 2 lit. a, Art. 7 DSGVO. An die­ser Stel­le ist daher eine genaue Ana­ly­se der betrof­fe­nen Daten­be­stän­de erforderlich.

Infor­ma­ti­ons­pflich­ten, Art. 13 DSGVO

Beim Asset Deal wer­den, unab­hän­gig in wel­chem Ver­kaufs­sta­di­um sich der Deal befin­det, Per­so­nen­da­ten ver­ar­bei­tet, die ori­gi­när zu Zwe­cken erho­ben wur­den, die nicht mit der neu­en Ver­ar­bei­tung kom­pa­ti­bel sind. Es kommt zu einer Zweck­än­de­rung. Betrof­fe­ne Per­so­nen sind über Zweck­än­de­run­gen umfas­send zu infor­mie­ren, Art. 13 Abs. 3 DSGVO. Auf­grund der oft recht streng ver­ein­bar­ten Ver­schwie­gen­heits­er­klä­run­gen zwi­schen den Par­tei­en wird die Infor­ma­ti­ons­pflicht mit recht wenig Inter­es­se wahr­ge­nom­men wer­den. Ob eine Infor­ma­ti­ons­pflicht besteht ist nicht abschlie­ßend geklärt. Wäh­rend sich der Kauf­in­ter­es­sent wohl auf die Aus­nah­me­vor­schrift des Art. 14 Abs. 5 DSGVO beru­fen kann, fin­det sich für den Ver­äu­ße­rer kei­ne Aus­nah­me­re­ge­lung. Es wird teil­wei­se ver­tre­ten, Art. 14 Abs. 5 DSGVO ana­log her­an­zu­zie­hen. Eine Argu­men­ta­ti­on über die ana­lo­ge Her­an­zie­hung ist aber äußerst risi­ko­be­haf­tet und soll­te nur mit einer guten Begrün­dung und Doku­men­ta­ti­on genutzt wer­den. Mög­li­che Lösun­gen bestehen dar­in, die Daten zu anony­mi­sie­ren oder zumin­dest zu pseud­ony­mi­sie­ren. Das macht Sinn, wenn der Zweck trotz­dem noch erreicht wer­den kann. Die Mög­lich­keit der Rei­den­ti­fi­zie­rung durch den Erwer­ber muss aus­ge­schlos­sen sein. Ein mög­li­cher Ver­kauf zu irgend­ei­nem Zeit­punkt in der Zukunft könn­te auch bereits in den AGB ange­spro­chen wer­den. Ob etwa­ige Klau­seln stand­hal­ten, ist frag­lich und muss im Ein­zel­fall beur­teilt wer­den. Alter­na­tiv könn­te ein poten­ti­el­ler Ver­kauf bereits vor­weg vor­sorg­lich mit in die Daten­schutz­in­for­ma­tio­nen auf­ge­nom­men werden.

Fazit

Die Fall­grup­pen zei­gen, dass der Aus­gang der Inter­es­sen­ab­wä­gung zwar abhän­gig von der Aktua­li­tät der Ver­trags­be­zie­hun­gen als auch von der Art der zu über­tra­gen­den Daten ist, es jedoch nicht in jedem Fall eine Ein­wil­li­gung der Kun­den bedarf, um deren per­so­nen­be­zo­ge­ne Daten an den Erwer­ber zu über­mit­teln. Anders ist der Sach­ver­halt zu bewer­ten, wenn beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten über­tra­gen wer­den. Dies ist ohne Ein­wil­li­gung der Kun­den nicht mög­lich. Eine beson­de­re Her­aus­for­de­rung dürf­te die Umset­zung der Infor­ma­ti­ons­pflicht sein, die sich nur dann als unpro­ble­ma­tisch ent­puppt, wenn im Vor­we­ge bereits über einen poten­ti­el­len Ver­kauf infor­miert wurde.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN