Ein wichtiges Asset beim Unternehmenskauf sind die Kundendaten. Gerade bei der Übernahme von insolventen Firmen sind diese Daten oft das einzig Werthaltige bei dem Kaufkandidat. Doch Kundendaten sind personenbezogene Daten, eine Übernahme beim Kauf also aus Datenschutzgründen nicht ganz so einfach. Es kommt auf die Art des Kaufs an.
Maßnahmen zum Datenschutz bei der Due Diligence
Bereits bei der Kaufvorbereitung gilt es, beim Umgang mit
personenbezogenen Daten einiges zu beachten. Um als Käufer ein Unternehmen
beurteilen zu können, werden bei der Due Diligence oft die Kunden- und
Lieferantendaten ausgewertet. Damit dies problemlos möglich ist, sollten diese
Daten so anonymisiert werden, dass eine Identifikation einer Person nicht mehr
möglich ist. Dann handelt es sich nicht mehr um personenbezogene Daten, eine
Verarbeitung oder Übertragung ist unproblematisch.
Werden Kunden- oder Lieferantendaten in diesem Stadium als
Klardatum offengelegt, so kann dies im Einzelfall nach Art. 6 Abs. 1 lit. b und
Art. 6 Abs. 4 DSGVO auch ohne die Einwilligung der Betroffenen ausnahmsweise
zulässig sein, wenn der neue Zweck mit dem ursprünglichen vereinbar ist. Dies ist
z.B. bei einer geplanten Fortführung des Unternehmens der Fall, wenn es sich um
wesentliche Vermögensgegenstände der Zielgesellschaft handelt, ohne deren
Kenntnis eine Transaktion nicht ordnungsgemäß vorgenommen werden könnte. Das
Vorliegen der Voraussetzungen müssen die Vertragsparteien allerdings nachweisen
können. Darüber hinaus sind die negativen Folgen für die betroffenen Personen
durch technisch-organisatorische Maßnahmen (sichere Datenübertragung etc.)
sowie durch die Vereinbarung von Geheimhaltungsvereinbarungen zu minimieren.
Ansonsten ist eine Datenübertragung an einen potenziellen Käufer
nur mit der Einwilligung des Betroffenen möglich. Das ist zum einen sehr
aufwändig, zum anderen macht es auch eine Kaufabsicht öffentlich, die in diesem
Stadium der Verhandlungen meistens noch geheim gehalten werden soll.
Datenschutzrechtlich unbedenklich: der Share Deal
Aus Datenschutz-Sicht sind so genannte Share Deals oder Verschmelzungen nach dem Umwandlungsgesetz zu bevorzugen. Bei einem Share Deal werden sämtliche Anteile eines Unternehmens verkauft, das Unternehmen, also z.B. die GmbH, bleibt aber in seiner Rechtsform erhalten. Damit ändert sich auch der Verantwortliche im Sinne der DSGVO nicht, ebenso bleibt der Verwendungszweck erhalten. Die Kundendaten können wie bisher verarbeitet werden, eine Einwilligung ist nicht nötig.
Doch Vorsicht: Mit dem Kauf werden auch die datenschutzrechtlichen Verpflichtungen und die Haftung für begangenen Verstöße übernommen. Hat man hier vor der Übernahme den Umgang mit personenbezogenen Daten nicht ausreichend geprüft, kann das teuer werden. So geschehen im Fall des Lieferdienstes Delivery Hero. Aufgrund von Verletzungen der Lösch- und Auskunftsverpflichtungen wurde das Unternehmen im September 2019 zu einem Bußgeld von knapp 200.000 Euro belegt. Die Verstöße wurden alle vor der Übernahme des Lieferdienstes durch das niederländische Unternehmen Takeaway.com begangen, die Strafe müssen die Holländer trotzdem bezahlen.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:
Kostenloses Erstgespräch vereinbarenAbwägen und informieren: der Asset Deal
Beim Asset Deal werden nur Einzelwirtschaftsgüter auf den Käufer
übertragen. Sind dabei personenbezogene Daten betroffen, zum Beispiel eine
Kundendatenbank, handelt es sich um einen datenschutzrechtlichen Vorgang.
Handelt es sich um aktive Bestandskunden, bei denen noch Verträge
laufen oder offene Rechnungen bestehen, gibt es ein berechtigtes Interesse nach
Art 6 Abs. 1 lit. f, diese Daten auch ohne Einwilligung des betroffen weiter zu
verarbeiten.
Handelt es sich um Daten, die nicht für die Vertragsdurchführung
nötig sind, ist es etwas komplizierter. Werden die Daten weiterhin zum
ursprünglichen Zweck verwendet oder ist der neue Zweck zu dem alten sehr
ähnlich, ist auch hier keine Einwilligung nötig. Nach Auffassung des
Bayerischen Landesamt für Datenschutzaufsicht ist eine Datenverarbeitung in
diesen Fällen zulässig, wenn der Betroffene im Vorfeld der geplanten
Übermittlung informiert und ihm eine angemessene Widerspruchsfrist eingeräumt
wird und jener nicht widerspricht.
Sollen die Daten jedoch zu einem anderen Zweck genutzt werden, ist
das nur nach Einwilligung des Kunden möglich.
Da sich der Verantwortliche und unter Umständen auch der Zweck
ändert, ist der Betroffenen auf jeden Fall nach Art. 14 DSGVO zu informieren.
