In Teil I unserer Reihe „Datenübermittlung beim Asset Deal“ haben wir uns angeschaut, worin der Unterschied zwischen Asset Deal und Share Deal liegt und welche Rechtsgrundlagen speziell beim Asset Deal für die Übermittlung personenbezogener Daten an den Erwerber in Frage kommen. In Teil II soll nun ein Überblick über die Fallgruppen verschafft werden, anhand derer das berechtigte Interesse als Rechtsgrundlage für die Datenübermittlung herangezogen werden kann.
Im vorangegangenen Teil hatten wir uns die Rechtsgrundlagen „Einwilligung“ (Art. 6 Abs. 1 S. 1 lit. a DSGVO) und „Erfüllung eines Vertrags“ (Art. 6 Abs. 1 S. 1 lit. b DSGVO) angesehen. Beide Rechtsgrundlagen können herangezogen werden, ein optimales Ergebnis bieten sie jedoch nicht. Bleibt zu prüfen, ob die Personendaten aufgrund eines „berechtigten Interesses“ übermittelt werden dürfen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Bei der Prüfung sind die berechtigten Interessen des Verkäufers und die schutzwürdigen Interessen der betroffenen Personen (Kunden, Mitarbeiter, Lieferanten, etc.) gegeneinander abzuwägen. Die Abwägung ist stets einzelfallbezogen.
“Sind von der Datenübermittlung besonders sensible Kundendaten umfasst, z.B. Gesundheitsdaten, biometrische Daten, Daten zur politischen Einstellung oder kirchlichen Gesinnung, dürfen diese ausschließlich mit Einwilligung des Kunden an den Erwerber übertragen werden.” – Eileen Binder
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (= DSK) hat mit Beschluss vom 24.05.2019 bestätigt, dass die Übermittlung von Kundendaten auf Grundlage eines berechtigten Interesses möglich ist. In dem Beschluss hat sich die DSK auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f i.V.m. Art. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind.
Berechtigtes Interesse, Art. 6 Abs. 1 S. 1 lit. f DSGVO — Fallgruppen
Sollen Kundendaten aus laufenden Verträgen auf den Erwerber übergehen, bedarf der Vertragsübergang allein aus zivilrechtlicher Sicht die Genehmigung der jeweiligen Kunden. In dieser Genehmigung wird auch die datenschutzrechtliche Genehmigung gesehen.
Sollen personenbezogene Daten von Bestandskunden übertragen werden, deren letzte aktive Vertragsbeziehung mehr als 3 Jahre zurückliegt, ist besondere Vorsicht geboten. Die Daten dürfen laut DSK zwar übertragen werden, allerdings nicht zum Zwecke der Nutzung, sondern ausschließlich zum Zweck der Archivierung, um gesetzliche Aufbewahrungsfristen zu wahren.
In Fällen, in denen mit den Kunden keine laufenden Verträge bestehen, die letzte Vertragsbeziehung jedoch weniger als drei Jahre zurückliegt, können Kundendaten an den Erwerber im Rahmen des berechtigten Interesses unter der Voraussetzung übermittelt werden, dass den Kunden eine Widerspruchslösung (Opt-Out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (mind. 6 Wochen) zur Verfügung gestellt wird. Die DSK bejaht hier also ausdrücklich das Widerspruchsmodell. Die Widerspruchsmöglichkeit ist einfach auszugestalten, sollte also ausreichend transparent und verständlich an die Kunden weitergereicht werden, das Opt-Out sollte leicht durchzuführen sein. Über die Widerspruchsmöglichkeit ist vor der geplanten Transaktion zu informieren. Ausgenommen hiervon sind jedoch ausdrücklich Bankdaten (IBAN) der Kunden. Diese dürfen auch im Rahmend er Widerspruchslösung nur mit Einwilligung der Kunden übermittelt werden.
Die Ausführungen zur Widerspruchslösung gelten entsprechend für Fälle, in denen sich das Kundenverhältnis in der fortgeschrittenen Vertragsanbahnung bewegt.
Offene Forderungen gegen Kunden gehen im Rahmen der Forderungsabtretung nach zivilrechtlichen Grundsätzen an den Erwerber über. Auch hier wird ein berechtigtes Interesse an der Übermittlung der damit in Zusammenhang stehenden personenbezogenen Daten mit der zivilrechtlichen Abtretung gesehen.
Besondere Kategorien personenbezogener Kundendaten, Art. 9 Abs. 1 DSGVO
Sind von der Datenübermittlung besonders sensible Kundendaten umfasst, z.B. Gesundheitsdaten, biometrische Daten, Daten zur politischen Einstellung oder kirchlichen Gesinnung, dürfen diese ausschließlich mit Einwilligung des Kunden an den Erwerber übertragen werden, Art. 9 Abs. 2 lit. a, Art. 7 DSGVO. An dieser Stelle ist daher eine genaue Analyse der betroffenen Datenbestände erforderlich.
Informationspflichten, Art. 13 DSGVO
Beim Asset Deal werden, unabhängig in welchem Verkaufsstadium sich der Deal befindet, Personendaten verarbeitet, die originär zu Zwecken erhoben wurden, die nicht mit der neuen Verarbeitung kompatibel sind. Es kommt zu einer Zweckänderung. Betroffene Personen sind über Zweckänderungen umfassend zu informieren, Art. 13 Abs. 3 DSGVO. Aufgrund der oft recht streng vereinbarten Verschwiegenheitserklärungen zwischen den Parteien wird die Informationspflicht mit recht wenig Interesse wahrgenommen werden. Ob eine Informationspflicht besteht ist nicht abschließend geklärt. Während sich der Kaufinteressent wohl auf die Ausnahmevorschrift des Art. 14 Abs. 5 DSGVO berufen kann, findet sich für den Veräußerer keine Ausnahmeregelung. Es wird teilweise vertreten, Art. 14 Abs. 5 DSGVO analog heranzuziehen. Eine Argumentation über die analoge Heranziehung ist aber äußerst risikobehaftet und sollte nur mit einer guten Begründung und Dokumentation genutzt werden. Mögliche Lösungen bestehen darin, die Daten zu anonymisieren oder zumindest zu pseudonymisieren. Das macht Sinn, wenn der Zweck trotzdem noch erreicht werden kann. Die Möglichkeit der Reidentifizierung durch den Erwerber muss ausgeschlossen sein. Ein möglicher Verkauf zu irgendeinem Zeitpunkt in der Zukunft könnte auch bereits in den AGB angesprochen werden. Ob etwaige Klauseln standhalten, ist fraglich und muss im Einzelfall beurteilt werden. Alternativ könnte ein potentieller Verkauf bereits vorweg vorsorglich mit in die Datenschutzinformationen aufgenommen werden.
Fazit
Die Fallgruppen zeigen, dass der Ausgang der Interessenabwägung zwar abhängig von der Aktualität der Vertragsbeziehungen als auch von der Art der zu übertragenden Daten ist, es jedoch nicht in jedem Fall eine Einwilligung der Kunden bedarf, um deren personenbezogene Daten an den Erwerber zu übermitteln. Anders ist der Sachverhalt zu bewerten, wenn besondere Kategorien personenbezogener Daten übertragen werden. Dies ist ohne Einwilligung der Kunden nicht möglich. Eine besondere Herausforderung dürfte die Umsetzung der Informationspflicht sein, die sich nur dann als unproblematisch entpuppt, wenn im Vorwege bereits über einen potentiellen Verkauf informiert wurde.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]