Bei Unternehmenstransaktionen tritt das Datenschutzrecht häufig in den Schatten von anderen Rechtsbereichen wie Gesellschafts-, Steuer-, Arbeits- oder Kartellrecht. Dabei können gerade Verstöße gegen datenschutzrechtliche Vorschriften erhebliche Sanktionen mit sich ziehen.
So stellen die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldstrafen von bis zu 300.000 € geahndet werden können.
Unzulässige Übermittlung und Erhebung personenbezogener Daten können auch mit dem Verkauf von Unternehmen einhergehen. Bei sogenannten „Asset-Deals“ werden verschiedene Wirtschaftsgüter, die Assets, eines Unternehmens einzeln an den Käufer übertragen. Einen erheblichen wirtschaftlichen Wert stellen dabei für Unternehmen auch die Kundendaten dar, da sie insbesondere die Möglichkeit der persönlichen Werbeansprache bieten.
Im Umgang mit diesen ist jedoch Vorsicht geboten. Denn sind die Kunden natürliche Personen, so handelt es sich bei den Kundendaten um „personenbezogene Daten“, welche nur nach Maßgabe des Datenschutzrechts übermittelt werden dürfen.
Verhältnismäßig unproblematisch stellt sich die Übermittlung von sog. Listendaten, beispielsweise Name, Geburtsjahr und Anschrift, von Kunden dar. Diese Listendaten dürfen nach dem Willen des Gesetzgebers grundsätzlich auch ohne vorherige Einwilligung des Betroffenen für werbliche Zwecke übermittelt werden, sofern das veräußernde Unternehmen die Übermittlung dokumentiert.
Daneben wechseln bei Unternehmensverkäufen allerdings auch oft weitere Daten von Kunden wie etwa Telefonnummern, E-Mail-Adressen, Kontodaten oder „Kaufhistorien“ den Besitzer. Dies ist unter Berücksichtigung des Datenschutzrechts nur dann zulässig, wenn die betreffenden Kunden in die Übermittlung ihrer Daten eingewilligt haben oder zumindest vor der geplanten Übermittlung auf diese hingewiesen wurden und von dem ihnen eingeräumten Widerspruchsrecht kein Gebrauch gemacht haben.
Zudem ist bei Telefonnummern und E-Mail-Adressen zu beachten, dass der Erwerber diese Daten zu Werbezwecken nach § 7 Abs. 2 Nr. 2 und 3 UWG nur mit einer ausdrücklichen Werbeeinwilligung des jeweiligen Kunden verwenden darf. Hier reicht die Einräumung eines Widerspruchsrechts vor der Datenübermittlung nicht aus.
Halten sich Veräußerer als „Übermittler“ und Erwerber als „Erheber“ von Daten bei Verkäufen nicht an die Regeln des Datenschutzes, so sind sie beide in die datenschutzrechtliche Verantwortung zu ziehen.
Erst kürzlich verhängte das Bayerische Landesamt für Datenschutzrecht (BayLDA) im Falle einer datenschutzrechtlich unzulässigen Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Zuge eines Asset-Deals Geldbußen in fünfstelliger Höhe sowohl gegen das veräußernde als auch gegen das erwerbende Unternehmen. „Bei Asset Deals werden personenbezogene Kundendaten bisweilen unter Verstoß gegen das Datenschutzrecht veräußert. Um die Sensibilität der Unternehmen zu erhöhen, werden wir in auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden.“ so Thomas Kranig, Präsident des BayLDA.
Quelle: