Suche
Close this search box.
Logo der activeMind AG
  • Geschätzte Lesezeit: 4 Minuten

Schutz von Kundendaten beim Verkauf von Unternehmen

Inhalt

Wird ein Unternehmen oder Teile davon verkauft, gelangen meist auch Kundendaten in die Hände des neuen Eigentümers. Doch dabei ist Vorsicht geboten, denn gesammelte Kundendaten sind personenbezogene Daten, die meist über reine Listendaten hinausgehen. Solche personenbezogenen Daten können aufgrund des geltenden Datenschutzrechts nur mit Einwilligung der Betroffenen oder auf Basis einer einschlägigen Rechtsgrundlage verarbeitet werden. Die Übermittlung der Daten an einen neuen Eigentümer stellt unter Umständen eine Verarbeitung nach DSGVO (EU-Datenschutz-Grundverordnung) dar. Wie Kundendaten rechtskonform übertragen werden können, erfahren Sie in diesem Artikel.

Datenschutzrechtliche Grundlagen beim Unternehmensverkauf

Dass dem Datenschutz beim Unternehmensverkauf ausreichend Aufmerksamkeit gewidmet werden sollte, zeigt ein Fall aus dem Jahr 2015: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte Bußgelder in fünfstelliger Höhe sowohl gegen den Verkäufer als auch gegen den Käufer eines Onlineshops. Die Behörde beanstandete, dass beim Unternehmensverkauf auch die Kundendaten im Rahmen eines Asset Deals vom Verkäufer an den Käufer des Onlineshops übermittelt wurden – und das ohne Rechtsgrundlage.

Das zentrale Problem ist, dass es beim Unternehmensverkauf zu einer Verarbeitung von Daten kommt. Bei der Kundendatenübermittlung ist stets das zugrundeliegende Rechtsgeschäft zu beachten. Aus datenschutzrechtlicher Perspektive beurteilen sich solche Übermittlungen immer nach dem abgeschlossenen Vertrag (Deal): Zu unterscheiden sind die Verschmelzung von Unternehmen nach dem Umwandlungsgesetz sowie Shared Deals und Asset Deals.

Kundendatenübermittlung bei Unternehmens-Verschmelzung

Bei der Verschmelzung mehrerer Unternehmen treten nach herrschender Rechtsmeinung die verschmolzenen Unternehmen eine Gesamtrechtsnachfolge an. Mit anderen Worten: Die verschmelzenden Unternehmen stehen jeweils für die Rechte und Pflichten des anderen ein und agieren zukünftig als ein Unternehmen. In diesem Fall wird eine Übermittlung von Kundendaten verneint, da diese nicht weitergegeben werden, sondern – so wie sie sind – der neuen Unternehmensform erhalten bleiben.

Kundendatenübermittlung beim Shared Deal

Beim Shared Deal werden Anteile des Unternehmens an einen Käufer verkauft und übereignet (meist in Form von Aktien bzw. anderen Wertpapieren). Das Unternehmen an sich ist jedoch davon in der Art der Ausübung seiner Geschäfte nicht betroffen und operiert weiter wie bisher. Daher wird auch hier nicht von einer Übermittlung von Daten an den neuen Anteilseigner des Unternehmens ausgegangen.

Kundendatenübermittlung beim Asset Deal

Anders sieht das beim Asset Deal aus. Hier werden bestimmte Assets – also Vermögenswerte – im Rahmen eines Verkaufs übertragen. Auch ein Kundendatenstamm kann einen solchen Vermögenswert darstellen. Dabei ändert sich die Eigentumslage dieser Vermögenswerte und es wird von einer Kundendatenübermittlung, also einer Verarbeitung im Sinne der DSGVO ausgegangen, für die eine Einwilligung der betroffenen Kunden oder aber eine andere Rechtsgrundlage vorliegen muss.

Wie können Kundendaten beim Asset Deal rechtskonform übertragen werden?

Sollen im Rahmen eines Asset Deals Kundendaten verkauft werden, dürfen Unternehmen nicht automatisch von einer Einwilligung der Betroffenen ausgehen. Zugleich erscheint es wenig erfolgversprechend, eine Einwilligung von jedem einzelnen Betroffenen einzuholen.

Die Suche nach einer gesetzlichen Grundlage beschränkt sich auf Art. 6 DSGVO und hier Buchstabe f). Der Ausgang der notwendigen Interessenabwägung ist grundsätzlich offen und muss anhand des konkret in Frage stehenden Datenbestands geklärt werden. Dies kann, insbesondere bei großen Datenbeständen, eine Herausforderung darstellen.

Aber auch bei einem Asset Deal über Kundendaten kann ein Bußgeld vermieden werden. So sind etwa aus Sicht des BayLDA Unternehmen nicht gezwungen, die Einwilligung der Betroffenen nachträglich einzuholen. Stattdessen akzeptiert die Datenschutzaufsichtsbehörde eine sogenannte Widerspruchslösung. Es wird also als ausreichend angesehen, wenn

  1. Betroffene vor (!) der Übermittlung ihrer Daten an ein anderes bzw. neues Unternehmen auf die bevorstehende Übermittlung hingewiesen werden,
  2. ihnen ein Widerspruchsrecht eingeräumt wird und
  3. die Kunden der Übermittlung der Daten letztendlich nicht widersprechen.

Bei Beachtung dieser Vorgaben, steht auch einer Kundendatenübermittlung im Rahmen eines Asset Deals nichts im Wege.

Vorsicht ist geboten, wenn besondere personenbezogene Daten betroffen sind. Die Voraussetzungen der in Art. 9 DSGVO vorgesehenen gesetzlichen Erlaubnistatbestände sind in Asset-Deal-Fällen nicht erfüllt. Hier bleibt allein die Einwilligung der Betroffenen.

Dieser aktualisierte Artikel wurde zuerst am 30. November 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • Aufsichtsbehörden, Beschäftigtendatenschutz, Betroffenenrechte, Datenschutz, Datentransfer, Internationaler Datenschutz, Technischer Datenschutz

Datenschutz- und Informationssicherheits-Herausforderungen 2024

Experten von activeMind wagen ihre ganz persönliche Prognose zu den wirklich wichtigen Entwicklungen beim Datenschutzrecht im Jahr 2024.
  • Datenschutz, Konzerndatenschutz

Ausschreibungen im Datenschutz

Probleme bei Ausschreibungen zum Datenschutzrecht – und wie Sie bessere Angebote von Dienstleistern bekommen, ohne in die Kostenfalle zu tappen.
  • Datenschutz

Fünf Jahre DSGVO – ein kritischer Rück- und Ausblick

Wie halten es Verantwortliche mit der Datenschutz-Grundverordnung wirklich? Was tragen Datenschutzberater dazu bei und welche Rolle spielen Aufsichtsbehörden, Gerichte und Verbraucherschützer?
  • Cookies, Datenschutz

Online-Tracking-Tools DSGVO-konform auswählen und einsetzen (Anleitung)

Worauf sollten Websitebetreiber bei Auswahl und Betrieb von Tracking-Tools achten? Ein Überblick zu den wichtigsten Datenschutz-Anforderungen von DSGVO und TTDSG.
  • Datenschutz

Datenschutz-Managementsystem im Unternehmen

So errichten, betreiben und verbessern Sie ein DSMS in Ihrem Unternehmen - Datenschutz nach dem erprobten PDCA-Modell in vier praktischen Schritten.
  • Datenschutz

Dürfen Personalausweise kopiert, gescannt oder als Pfand einbehalten werden?

Das frühere Verbot von Ausweiskopien gilt so zwar nicht mehr, aber die Vorschriften zur Ablichtung und Datenverarbeitung von Personaldokumenten machen strenge Vorgaben.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.