DSK: Neu­er Beschluss zum Ver­kauf von Kun­den­da­ten als Asset Deal

Die deut­sche Daten­schutz­kon­fe­renz (DSK) hat in einer Zwi­schen­kon­fe­renz am 11. Sep­tem­ber 2024 Beschlüs­se u.a. zu Asset Deals, zu Pati­en­ten­ak­ten und zu For­schungs­da­ten gefasst (Medi­en­mit­tei­lung).

Beim Asset Deal ersetzt die DSK damit ihren frü­he­ren Beschluss vom 24. Mai 2019 durch eine neue Fas­sung, die dif­fe­ren­zier­ter sei:

Die DSK ersetzt ihren Beschluss vom 24. Mai 2019 zum „Asset-Deal“ durch einen neu­en dif­fe­ren­zier­te­ren Beschluss, um die Anwen­dung der DS-GVO stär­ker zu har­mo­ni­sie­ren und den betrof­fe­nen Unter­neh­men einen kla­ren Hand­lungs­rah­men zu bie­ten. […] Zu den Wirt­schafts­gü­tern kön­nen auch Daten über Kun­den, Lie­fe­ran­ten oder Beschäf­tig­te gehö­ren. […] In ihrem Beschluss hat die DSK detail­liert fest­ge­stellt, unter wel­chen Vor­aus­set­zun­gen sol­che Daten an einen Nach­fol­ger über­tra­gen wer­den dürfen.

Der neue Beschluss “Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an die Erwer­be­rin oder den Erwer­ber eines Unter­neh­mens im Rah­men eines Asset-Deals” vom 11. Sep­tem­ber 2024 hält u.a. fest, dass

  • die Über­tra­gung von Daten im Rah­men eines Share Deal unpro­ble­ma­tisch ist, unter Vor­be­halt der Due Diligence,
  • die Über­mitt­lung von Per­so­nen­da­ten (Kun­den, Mit­ar­bei­ten­de usw.) zum Zeit­punkt der Ver­trags­ver­hand­lun­gen grund­sätz­lich unzu­läs­sig ist, unter Vor­be­halt einer wirk­sa­men und ins­be­son­de­re frei­wil­li­gen Ein­wil­li­gung und eines berech­tig­ten Inter­es­ses im Ein­zel­fall. Ein sol­ches kommt ins­be­son­de­re bei Haupt­ver­trags­part­nern oder Mit­ar­bei­ten­den mit Füh­rungs­rol­len in Frage;
  • bei der Über­mitt­lung von Kun­den­da­ten ist zu unterscheiden: 
    • Befin­det sich das Kun­den­ver­hält­nis im Sta­di­um der kon­kre­ten Ver­trags­an­bah­nung, kommt eine Über­mitt­lung gestützt auf ein berech­tig­tes Inter­es­se i.d.R. in Betracht, wobei eine Wider­spruchs­lö­sung mit ange­mes­se­ner Frist erfor­der­lich sei;
    • bei einer über­tra­ge­nen lau­fen­den Ver­trags­be­zie­hung (inkl. bei lau­fen­den Gewähr­lei­stungs­fri­sten) stützt sich die Zuläs­sig­keit auf die Ver­trags­er­fül­lung (Art. 6 Abs. 1 lit. b DSGVO; sofern es nicht um beson­de­re Kate­go­rien von Daten geht). Über­nimmt der Erwer­ber dage­gen nur das Erfül­lungs­ri­si­ko, nicht den Ver­trag, müss­te man sich wie­der­um auf das berech­tig­te Inter­es­se stüt­zen. Bank­da­ten dür­fen hier nur mit Ein­wil­li­gung über­mit­telt werden.
    • im Fall einer been­de­ten Ver­trags­be­zie­hung dür­fen die Kun­den­da­ten nur zur Erfül­lung einer gesetz­li­chen Archi­vie­rungs­pflicht über­mit­telt werden.
    • Bei der For­de­rungs­zes­si­on stützt sich die Über­mitt­lung i.d.R. auf das berech­tig­te Interesse.
    • Bei der Wer­bung durch den Erwer­ber gilt das­sel­be wie für den Veräusserer.
    • Eine Über­mitt­lung beson­de­rer Daten­ka­te­go­rien ver­langt eine Einwilligung.
    • Bei der Über­mitt­lung geschäft­li­cher Kon­takt­da­ten von Lie­fe­ran­ten greift in aller Regel das berech­tig­te Interesse;
  • bei Mit­ar­bei­ter­da­ten
    • stützt sich die Über­mitt­lung im Fall einer Betriebs­über­nah­me (in der Schweiz: Art. 333 OR) auf die Ver­trags­er­fül­lung oder das berech­tig­te Inter­es­se. Bei beson­de­ren Daten­ka­te­go­rien gilt gestützt auf § 26 Abs. 3 BDSG dasselbe;
    • ist im Sta­di­um der Ver­hand­lung des Asset Deal zu beach­ten, dass eine Über­mitt­lung grund­sätz­lich unzu­läs­sig sei, vor­be­halt­lich einer aus­nahms­wei­se frei­wil­li­gen Einwilligung;
    • müs­sen Mit­ar­bei­ten­de nach einer Son­der­be­stim­mung des BGB zum Betriebs­über­gang infor­miert werden;
    • ausser­halb einer Betriebs­über­nah­me ver­langt eine Über­mitt­lung i.d.R. eine Ein­wil­li­gung;
  • Ver­äu­sser und Erwer­ber sind je für ihre Ver­ar­bei­tung ver­ant­wort­lich. Eine gemein­sa­me Ver­ant­wor­tung sieht die DSK grund­sätz­lich offen­bar nicht;
  • eine Ver­äu­sse­rung von Kun­den­da­ten als ein­zi­gem Asset – also ausser­halb einer Ver­trags- oder For­de­rungs­über­tra­gung – sei i.d.R. nur mit Ein­wil­li­gung zuläs­sig. Eine Aus­nah­me gel­te nur bei Unternehm,en mit weni­ger als 50 Mit­ar­bei­ten­den und einem Umsatz von höch­stens EUR 10M, wenn der Ver­äu­sse­rer sei­ne wirt­schaft­li­che Tätig­keit ein­stellt und das Geschäft einem Erwer­ber im glei­chen Wirt­schafts­zweig über­trägt; hier genü­ge für eine ein­ma­li­ge Über­mitt­lung der Post­adres­sen aus­nahms­wei­se eine Widerspruchslösung.

Der Beschluss mag dif­fe­ren­zier­ter sein, atmet aber gera­de dadurch den gou­ver­nan­ten­haf­ten Geist der DSGVO im deut­schen Ver­ständ­nis. In der Schweiz geht man in der Regel davon aus, dass eine Zes­si­on von For­de­run­gen grund­sätz­lich ohne Zustim­mung oder auch nur Infor­ma­ti­on des Schuld­ners zuläs­sig ist, dass die­se Wer­tung für das Daten­schutz­recht nicht fol­gen­los sein kann, dass bei einer Über­mitt­lung mit Ein­stel­lung der eige­nen Geschäfts­tä­tig­keit des Ver­äu­sse­rers im Umfang der Ver­äu­sse­rung ledig­lich ein Wech­sel des Ver­ant­wort­li­chen erfolgt, und dass des­halb kei­ne Ein­wil­li­gung für die Bekannt­ga­be erfor­der­lich ist (aber eine Infor­ma­ti­on zu gege­be­ner Zeit). In die­sem Fall ist nicht ein­mal sicher, dass es über­haupt eine Recht­fer­ti­gung braucht, zumal die Tat­sa­che all­ge­mein bekannt ist, dass Ver­trä­ge, For­de­run­gen und Daten unter gege­be­nen Vor­aus­set­zun­gen ver­äu­ssert wer­den können.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter