Kanzlei Nickert //images.kanzleinickert.de/nickert-logo-fb.jpg KANZLEI NICKERT | Rechtsanwälte und Steuerberater, Offenburg, kompetent in Rechts-, Steuerberatung, Finanz-, Lohnbuchhaltung, spezialisiert auf Branchen Bau, Handel und Industrie. info@kanzlei-nickert.de
Rammersweierstraße 120 77654 Offenburg

kanzlei nickert logo

header-tax-blog-recht

Montag, 23 April 2018 13:15

Unternehmenskauf und Datenschutz

Datenschutzrechtliche Aspekte bei der Entscheidung über die richtige Dealstruktur

Um im Rahmen von Unternehmenskäufen die rechtlichen und wirtschaftlichen Chancen und Risiken der Transaktion einschätzen zu können, gewährt der Verkäufer regelmäßig dem Erwerber Einblick in personenbezogene Daten, die für den Geschäftsbetrieb wesentlich sind (Top-Lieferanten, Top-Kunden, Beschäftigtendaten etc.). Darüber hinaus hat der Erwerber ein wirtschaftliches Interesse daran z.B. Kundendaten künftig zu nutzen.

 Die Parteien eines Unternehmenskaufs sollten sich darüber bewusst sein, dass ihr Handeln immer dann den datenschutzrechtlichen Vorgaben standhalten muss, wenn im Rahmen der Transaktion personenbezogene Daten verarbeitet werden. Sobald also z.B. der Verkäufer dem Erwerber Informationen über eine identifizierte oder identifizierbare natürliche Person offenlegt, liegt eine relevante Datenverarbeitung vor, die einer rechtlichen Grundlage bedarf. Datensätze von Unternehmern genießen dabei den gleichen Schutz wie von Verbrauchern, maßgeblich ist, ob es sich um eine natürliche Person handelt.

Je nach rechtlicher Ausgestaltung des Unternehmenskaufs und der Datenkategorien, die Gegenstand der Datenverarbeitung sind, stellen sich unterschiedliche datenschutzrechtliche Hürden. Diese werden mit Geltung der Datenschutzgrundverordnung (DSGVO) ab dem 25.05.2018 und der Neufassung des Bundesdatenschutzgesetzes (BDSG n.F.) nicht einfacher.

Due Diligence

Wird im Vorfeld einer Unternehmenstransaktion eine Due Diligence durchgeführt ist grundsätzlich zu empfehlen, dass dem Erwerber in diesem Zuge personenbezogene Daten z.B. von Lieferanten, Kunden und Mitarbeitern in anonymisierter bzw. pseudonymisierter Form in einem Datenraum zur Verfügung gestellt werden. Dieser Vorgang ist in datenschutzrechtlicher Hinsicht mangels Individualisierung einer betroffenen Person unproblematisch. Darüber hinaus sind entsprechend dem Grundsatz der Datensparsamkeit nur notwendige Daten offen zu legen. Die Einwilligung des Betroffenen zur geplanten Datenübertragung wurde bisher in der Praxis selten eingeholt.

Werden Kunden- oder Lieferantendaten in diesem Stadium als Klardatum offengelegt, so kann dies im Einzelfall nach Art. 6 Abs. 1 lit. b, Abs. 4 DSGVO auch ohne die Einwilligung der Betroffenen ausnahmsweise zulässig sein, wenn der neue Zweck mit dem ursprünglichen vereinbar ist. Dies kann z.B. bei einer geplanten Fortführung des Unternehmens zu bejahen sein, wenn es sich um wesentliche Vermögensgegenstände der Zielgesellschaft handelt ohne deren Kenntnis eine Transaktion nicht ordnungsgemäß vorgenommen werden könnte. Das Vorliegen der Voraussetzungen müssen die Vertragsparteien allerdings nachweisen können. Darüber hinaus sind die negativen Folgen für die betroffenen Personen durch technisch-organisatorische Maßnahmen (sichere Datenübertragung etc.) sowie durch die Vereinbarung von sanktionsbewährten Geheimhaltungsvereinbarungen zu minimieren

Im Hinblick auf die eigentliche Unternehmenstransaktion ist zwischen zwei Dealstrukturen zu unterscheiden, die unterschiedlich datenschutzrechtlich zu beurteilen sind.

Share Deal

In datenschutzrechtlicher Hinsicht ist ein sogenannter Share Deal sowie Verschmelzungen nach dem Umwandlungsgesetz von Vorteil, da diese sich datenschutzrechtlich nicht auswirken. Im Falle des Share Deals werden sämtliche Anteile am Unternehmen z.B. die Geschäftsanteile an einer GmbH, an den Erwerber veräußert. Der Rechtsträger ändert sich hierdurch nicht, eine Weitergabe von personenbezogenen Daten an einen Dritten oder eine Änderung des Verarbeitungszwecks findet nicht statt. Kundendaten können damit im bisherigen Umfang von der GmbH wie bisher verarbeitet werden.

Asset Deal

Anders jedoch beim einem Unternehmenskaufvertrag, bei dem Einzelwirtschaftsgüter auf den Erwerber übertragen werden, einem sogenannten Asset Deal. Aufgrund der hier stattfindenden Datenübermittlung vom Verkäufer an den Erwerber liegt ein datenschutzrechtlich relevanter Vorgang vor, bei dem zunächst zu prüfen ist, welche Art von Daten betroffen sind.

Zu beachten ist, dass die Verarbeitung von besonderen Kategorien personenbezogener Daten (wie z.B. Gesundheitsdaten, politische Meinung) sowohl nach dem BDSG als auch der DSGVO grundsätzlich nur mit Einwilligung der betroffenen Person verarbeitet werden dürfen.

Zur Durchführung bestehender Vertragsverhältnisse notwendige Kundendaten

Werden im Rahmen des Asset Deals Schuldverhältnisse übertragen und zu diesem Zweck personenbezogenen Daten mit den jeweiligen Vertragsdaten vom Verkäufer an den Erwerber übermittelt, ist diese Verarbeitung durch den Veräußerer in der Regel nach § 28 Abs. 1 Nr. 2 i.V.m. § 28 Abs. 2 Nr. 1 BDSG und die Nutzung durch den Erwerber nach § 28 Abs. 1 Nr. 2 i.V.m. § 28 Abs. 2 Nr. 2 BDSG zulässig. Maßgeblich ist, dass die Datenverarbeitung durch den Verkäufer bzw. Erwerber zur Wahrung seiner berechtigten Interessen erforderlich ist und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat. Da der Betroffene selbst in der Regel ein Interesse an einer ordnungsgemäßen Vertragsdurchführung hat, ist eine Datenverarbeitung in diesen Fällen regelmäßig auch ohne vorherige Einwilligung möglich.

Auch nach den Vorgaben der DSGVO ist die Datenübermittlung im Rahmen eines Asset Deals an den Erwerber zur Fortführung des Unternehmens gem. Art. 6 Abs. 1 lit. b i.V.m. Ab. 4 DSGVO grundsätzlich möglich. Sinn und Zweck der Datenweitergabe an den Erwerber entspricht letztlich dem ursprünglichen Zweck der ordnungsgemäßen Durchführung des Vertrages mit dem Kunden, so dass die Zweckänderung der Datenverarbeitung aufgrund des Unternehmensverkaufs eng mit dem ursprünglichen Zweck imZusammenhang steht. Durchführung und Ergebnis dieses sogenannten Kompatibilitätstests nach Art. 6 Abs. 4 DSGVO sollten zu Nachweiszwecken dokumentiert werden. Daneben kann im Einzelfall die Datenverarbeitung auch nach Art. 6 Abs. 1 lit. f DSGVO aufgrund berechtigter Interessen des Verantwortlichen gerechtfertigt sein.

Bestandskundendaten

Handelt es sich um personenbezogene Daten, die z.B. im Zusammenhang mit einer Kundenbeziehung erhoben und gespeichert wurden (Bestandsdaten) und die für eine Vertragsdurchführung nicht notwendig sind, wie E-Mail-Adresse, Bestellhistorie, Kundeninteressen etc., werden die Voraussetzungen für eine Datenübermittlung nach der DSGVO nur teilweise vereinfacht.

Auch hier ist im Einzelfall im Rahmen einer umfassenden Interessenabwägung nach § 28 Abs. 1Nr. 2 BDSG bzw. Art. 6 Abs. 1 lit. f DSGVO zu prüfen und zu dokumentieren, ob die Datenverarbeitung zur Wahrung berechtigter Interessen des Verarbeiters erforderlich ist und ob dieser berechtigte Interessen des Betroffenen entgegenstehen. Entgegenstehende Interessen sind z.B. insbesondere dann gegeben, wenn der Erwerber die Daten nach der Übermittlung in grundlegend anderer Art und Weise als die übermittelnde Stelle verwenden oder mit anderen Daten zusammenführen möchte.

Nach Auffassung des Bayerischen Landesamt für Datenschutzaufsicht ist eine Datenverarbeitung nach heutigem Recht in diesen Fällen dann zulässig, wenn der Betroffene im Vorfeld der geplanten Übermittlung informiert und ihm eine angemessene Widerspruchsfrist eingeräumt wird und jener nicht widerspricht (vgl. BayLDA, Pressemitteilung vom 30.07.2015, https://www.lda.bayern.de/media/pm2015_10.pdf).

Im Ergebnis entspricht dies der Regelung nach der DSGVO, nach der der Veräußerer den Betroffenen über die Zweckänderung der Datenverarbeitung gem. Art. 13 Abs. 3 DSGVO sowie über das bestehende Widerspruchsrecht nach Art. 21 DSGVO vor der Datenweitergabe informieren muss. Demnach scheinen die Interessen der Betroffenen ausreichend geschützt, so dass im Ergebnis die Datenweitergabe an sich grundsätzlich als zulässig einzustufen ist.

Verwendung zu Werbezwecken, Adresshandel

Auf Verkäuferseite stellt die Vermarktung von Kontaktdaten wie Name, E-Mail-Adresse oder Telefonnummer Adresshandel im Sinne des § 28 Abs. 3 S. 1 BDSG dar. Dies gilt nach einer Entscheidung des OLG Frankfurt a.M. auch dann, wenn es sich um den einmaligen Verkauf von Daten handelt, da es um eine Vermarktung im Sinne einer Realisierung des (vermeintlichen) wirtschaftlichen Wertes der Daten geht (vgl. OLG Frankfurt a.M., Urt. v. 24.01.2018, 13 U 165716). Soweit es sich also bei den Adressdaten nicht nur um sog. Listendaten handelt, ist die Datenweitergabe nach dem noch geltenden Recht nur mit Einwilligung der Betroffenen zulässig.

Gleiches gilt auf Erwerberseite, wenn dieser vorhandenen E-Mail-Adressen oder Telefonnummern zu Werbezwecken verwenden will. Bei einem Verstoß gegen diese datenschutzrechtliche Vorschrift droht insbesondere die Nichtigkeit des Vertrages neben den Sanktionen die das Datenschutzrecht vorsieht.

Die DSGVO sieht dagegen keine spezielle Reglung zur Datenverarbeitung im Zusammenhang mit Adresshandel und Werbung vor; es gelten die allgemeinen Grundsätze und Regelungen. Eine Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO kann grundsätzlich sowohl für die Datennutzung für eigene Werbezwecke als auch für Werbezwecke Dritter erfolgen.

Will der Erwerber E-Mail-Adressen und Telefonnummern von Kunden zu werblichen Zwecken verarbeiten, so sind neben den datenschutzrechtlichen Vorgaben jedoch auch die wettbewerbsrechtlichen Vorgaben nach dem Gesetz gegen den unlauteren Wettbewerb (§ 7 UWG) zu beachten.

Benachrichtigungspflicht gegenüber den Betroffenen

Kommt man im Rahmen der Interessenabwägung zu dem Ergebnis, dass eine Datenverarbeitung durch die Vertragsparteien im Rahmen des Asset Deals zulässig ist, wird die Freude hierüber durch die umfassenden Informationspflichten für den Veräußerer nach Art. 13 Abs. 3 DSGVO getrübt. Wie bereits erwähnt muss der Veräußerer im Falle der Zweckänderung, die immer mit der Datenweitergabe im Rahmen des Asset Deals einhergeht, in zeitlicher Hinsicht vor der Datenweitergabe und damit vor Vertragsschluss den Betroffenen informieren, was nicht im Interesse der Vertragsparteien ist.

Werden Vertragsbeziehungen übertragen bedarf es außerdem zivilrechtlich für die Wirksamkeit des Vertragsübergangs der Zustimmung des Vertragspartners nach § 415 Abs. 1 BGB. Künftig wird man sinnvoller Weise die Einholung dieser Zustimmung zum Vertragsübergang mit der Information des Veräußerers nach den datenschutzrechtlichen Vorgaben verbinden.

Der Informationspflicht nach Art. 13 DSGVO korrespondiert eine entsprechende Informationspflicht des Erwerbers nach Art. 14 DSGVO gegenüber dem Betroffenen. Im Rahmen des Asset Deals wird der Erwerber regelmäßig die Kunden und Vertragspartner über die veränderten Verhältnisse informieren, so dass hier inhaltlich nur auf die Vollständigkeit der mitzuteilenden Informationen zu achten ist. Die Information muss innerhalb einer angemessenen Frist spätestens jedoch innerhalb eines Monats nach Erlangung der Daten erfolgen.

Zu beachten ist, dass nach der DSGVO Verstöße gegen diese Informationspflichten mit empfindlichen Geldbußen geahndet werden können. Daneben drohen Schadensersatzansprüche von Betroffenen.

Die Benachrichtigungspflicht nach § 33 BDSG, die beim Asset Deal im Ergebnis dem Erwerber Informationspflichten gegenüber dem Betroffenen auferlegt, knüpft dagegen auf den Zeitpunkt der erstmaligen Speicherung an.

Bei der Durchführung einer Unternehmenstransaktion sind die Parteien damit gutberaten, sich frühzeitig mit den datenschutzrechtlichen Vorgaben auseinanderzusetzen, um so bei der Entscheidungüber die „richtige“ Dealstruktur die datenschutzrechtlichen Aspekte richtig gewichten zu können.

Autoreninfo

huka testKatja Huber

Rechtsanwältin

HINWEIS

Falls Sie über den Beitrag hinausgehende Fragen haben, stehen wir Ihnen gerne zur Verfügung. Allerdings weisen wir Sie darauf hin, dass wir diese individuelle Leistung nach dem Rechtsdienstleistungsgesetz auch abrechnen.

Alle Angaben sind sorgfältig geprüft. Durch Gesetzgebung, Rechtsprechung und Verordnungen sowie Zeitablauf ergeben sich zwangsläufig Änderungen. Bitte haben Sie Verständnis dafür, dass wir für die Richtigkeit und Vollständigkeit des Inhalts keine Haftung übernehmen.

 

Die von uns verwendeten Cookies sollen sicherstellen, dass Sie unsere Website optimal genießen können.
Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung dieser Cookies einverstanden. Weitere Informationen zum Datenschutz