Die DSK hat erläutert, welche Rechte Kunden bei Datenverarbeitungen im Rahmen von Asset Deals haben sollen.
Ein gutes Jahr nach Inkrafttreten hat die DSGVO unmittelbare Auswirkungen auf nahezu jede M&A-Transaktion. Einerseits gilt es unter Compliance-Gesichtspunkten die eigene Geschäftsleitung zu schützen. Denn es drohen Bußgelder von bis zu EUR 20 Millionen oder 4 Prozent des weltweiten Jahresumsatzes. Andererseits sollen M&A-Prozesse möglichst unkompliziert und vertraulich aufgesetzt werden.
Zu diesem Spannungsfeld hat die Datenschutzkonferenz (DSK) mit Beschluss vom 24. Mai 2019 näher Stellung bezogen.
DSK unterscheidet bei Datenverarbeitungen u.a. nach Vertragslaufzeit mit Kunden
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat folgende Fallgruppen zum Umgang mit Kundendaten im Rahmen eines Asset Deals gebildet:
- Kundendaten bei laufenden Verträgen
- Die Übertragung von laufenden Verträgen bedarf zivilrechtlich der Zustimmung des Vertragspartners. Die DSK sieht hierin als Minus auch die datenschutzrechtliche Zustimmung zur Datenübertragung.
- Bestandskunden ohne laufende Verträge (älter als drei Jahre)
- Daten von Kunden, bei denen die letzte aktive Vertragsbeziehung mehr als drei Jahre zurückliegt, dürfen zwar übermittelt werden – allerdings nur wegen gesetzlicher Aufbewahrungsfristen genutzt werden.
- Bestandskunden ohne laufende Verträge (jünger als drei Jahre)
- Liegt die Vertragsbeziehung weniger als drei Jahre zurück, so können die Kundendaten im Wege der Widerspruchslösung an den Erwerber übermittelt werden (Opt-out). Die DSK nennt als angemessene Widerspruchsfrist sechs Wochen. Der Widerspruch sollte einfach ausgestaltet werden. Ein Online-Verfahren mit Klick auf ein Kästchen reicht aus.
- Eine Ausnahme gilt für Bankdaten. Diese dürfen nur nach ausdrücklicher Einwilligung des Kunden übertragen werden.
- Künftige Kunden bei fortgeschrittener Vertragsanbahnung
- Hier gilt das zu Bestandskunden ohne laufende Verträge (jünger als drei Jahre) Gesagte entsprechend.
- Kundendaten im Falle offener Forderungen
- Werden offene Forderungen übertragen, so ist die Übermittlung der damit zusammenhängenden Kundendaten regelmäßig zulässig. Dies gilt nicht, wenn die Abtretung durch eine Vereinbarung mit dem Kunden ausgeschlossen ist.
- Besonders sensitive Kundendaten
- Für die Übermittlung besonders sensitiver Kundendaten (z.B. Herkunft, politische Meinungen, Sexualleben – sog. Kundendaten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO) ist stets die informierte Einwilligung erforderlich.
Bewertung der DSK nicht bindend für Gerichte
Der Beschluss der DSK ist zu begrüßen, er ist ein erster Schritt in die richtige Richtung. Er gibt der Praxis Orientierung, ist allerdings innerhalb der DSK umstritten. Berlin und Sachsen lehnen den Beschluss ausdrücklich ab. Auch für die Gerichte ist die Auffassung der DSK nicht bindend.
Zu bedauern ist, dass keine Fallgruppen für Lieferanten- und für Mitarbeiterdaten gebildet worden sind. Allerdings dürfte für Lieferanten ähnliches wie für Kunden gelten. Mitarbeiterdaten dürfen zumindest im Rahmen der Unterrichtungspflicht nach § 613a Abs. 5 BGB bei einem Asset Deal ohnehin im Regelfall übermittelt werden. Für besonders sensitive Mitarbeiterdaten gelten Besonderheiten.
Bei einem Share Deal findet typischerweise zunächst keine Übertragung von Kunden-, Lieferanten- oder Mitarbeiterverträge und damit keine Übertragung solcher Daten statt.
Aus Sicht der Praxis sind aber Leitplanken zur Übermittlung von personenbezogenen Daten im Vorfeld eines Asset oder Share Deals besonders dringlich. Regelmäßig werden dem Erwerbsinteressenten Daten bereits im Rahmen einer Due Diligence zur Verfügung gestellt. Hierzu gibt es weiterhin keine aktuellen Maßgaben der Behörden oder Gerichte, so dass unsere bisherigen Ausführungen (vgl. hier) uneingeschränkt fortgelten.