Über eineinhalb Jahre nach Inkrafttreten der DSGVO hat sie Auswirkungen in allen unterschiedlichen Geschäftsbereichen und -aktivitäten. Bei allen M&A-Transaktionen spielt der Datenschutz auch hinsichtlich etwaiger Bußgelder eine große Rolle. Wird beispielsweise ein Unternehmen ganz oder in einzelnen Teilen verkauft, stellt sich die Frage, ob und wie Kundendaten datenschutzkonform übertragen werden können.
Mitte letzten Jahres hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Fallgruppen zu diesem Spannungsfeld festgelegt, welche bei einer Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind. Mit Ausnahme der Aufsichtsbehörden aus Berlin und Sachsen, haben alle Bundesländer dem Beschluss zugestimmt.
Die erste Fallgruppe bilden „Kundendaten aus laufenden Verträgen“. Es besteht die Möglichkeit, dass Kunden den Vertragsübergang genehmigen. Dies wird gleichzeitig, als Minus zur Genehmigung, als Zustimmung zu dem Übergang der erforderlichen Daten angesehen, da hierdurch vermittelt wird, dass keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen.
Hinsichtlich Bestandskunden werden zwei unterschiedliche Fallgruppen gebildet. Zum Einen sind dies „Bestandskunden ohne laufende[n] Verträge und letzter Vertragsbeziehung alter als 3 Jahre“. Deren Daten dürfen zwar ohne Zustimmung übermittelt, jedoch nur eingeschränkt verarbeitet werden. Eine Nutzung darf lediglich aufgrund gesetzlicher Aufbewahrungsfristen erfolgen. Sollen die Daten aktiv genutzt werden, so bedarf dies wohl einer Einwilligung.
Zum Anderen besteht eine Fallgruppe in „Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre“. Hierbei wird eine Widerspruchslösung angewandt, nach welcher eine Übermittlung der Daten dann stattfindet, wenn nicht innerhalb einer angemessenen Frist der Widerspruch erklärt wird. Dass es zu einer Übermittlung der Daten kommen soll, wird den Betroffenen rechtzeitig mitgeteilt und über das Widerspruchsrecht informiert. Diese Widerspruchsmöglichkeit sollte einfach gestaltet werden, leicht umsetzbar sein und vor allem rechtzeitig bedacht werden.
Von dieser Lösung ausgenommen sind lediglich Bankdaten, welche erst nach ausdrücklicher Zustimmung übertragen werden dürfen.
Werden offene Forderungen gegen Kunden übertragen, erfolgt dies gemäß §§ 398 ff. BGB. Die Übermittlung der „Kundendaten im Falle offener Forderungen“ kann auf die überwiegenden Interessen des Empfängers gestützt werden (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Entgegenstehende Interessen bestehen dagegen bei einem ausdrücklichen Ausschluss der Abtretung (§ 399 2. Alt. BGB, § 354a HGB).
Die letzte Kategorie stellen „Kundendaten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO“ dar. Liegen besonders sensible Daten vor, welche in Art. 9 Abs. 1 DSGVO genannt sind, soll eine Widerspruchslösung nicht in Betracht kommen, sondern lediglich eine Einwilligung nach Art. 9 Abs. 2 lit. a, Art. 7 DSGVO.
Die Widerspruchslösung, auch Opt-Out Modell genannt, ist somit nicht nur praktikabel, sondern berücksichtigt auch die widerstreitenden Interessen des Betroffenen und des Unternehmenskäufers ausreichend. Es muss jedoch jeweils im Einzelfall eine genaue Betrachtung der Fallgruppen und der einzelnen Daten erfolgen und womöglich je nach Erfahrungen in der Praxis weitere Fallgruppen entwickelt werden, wie beispielsweise solche für Lieferanten- und Mitarbeiterdaten. Auch blieben bisher Stellungnahmen zu Datenübertragungen bei einer Due Diligence offen.
Insgesamt kann dieser Beschluss jedoch als hilfreiche Orientierung von Unternehmensverkäufern und -käufern herangezogen werden.
