Die deutsche Datenschutzkonferenz (DSK) hat in einer Zwischenkonferenz am 11. September 2024 Beschlüsse u.a. zu Asset Deals, zu Patientenakten und zu Forschungsdaten gefasst (Medienmitteilung).
Beim Asset Deal ersetzt die DSK damit ihren früheren Beschluss vom 24. Mai 2019 durch eine neue Fassung, die differenzierter sei:
Die DSK ersetzt ihren Beschluss vom 24. Mai 2019 zum „Asset-Deal“ durch einen neuen differenzierteren Beschluss, um die Anwendung der DS-GVO stärker zu harmonisieren und den betroffenen Unternehmen einen klaren Handlungsrahmen zu bieten. […] Zu den Wirtschaftsgütern können auch Daten über Kunden, Lieferanten oder Beschäftigte gehören. […] In ihrem Beschluss hat die DSK detailliert festgestellt, unter welchen Voraussetzungen solche Daten an einen Nachfolger übertragen werden dürfen.
Der neue Beschluss “Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals” vom 11. September 2024 hält u.a. fest, dass
- die Übertragung von Daten im Rahmen eines Share Deal unproblematisch ist, unter Vorbehalt der Due Diligence,
- die Übermittlung von Personendaten (Kunden, Mitarbeitende usw.) zum Zeitpunkt der Vertragsverhandlungen grundsätzlich unzulässig ist, unter Vorbehalt einer wirksamen und insbesondere freiwilligen Einwilligung und eines berechtigten Interesses im Einzelfall. Ein solches kommt insbesondere bei Hauptvertragspartnern oder Mitarbeitenden mit Führungsrollen in Frage;
- bei der Übermittlung von Kundendaten ist zu unterscheiden:
- Befindet sich das Kundenverhältnis im Stadium der konkreten Vertragsanbahnung, kommt eine Übermittlung gestützt auf ein berechtigtes Interesse i.d.R. in Betracht, wobei eine Widerspruchslösung mit angemessener Frist erforderlich sei;
- bei einer übertragenen laufenden Vertragsbeziehung (inkl. bei laufenden Gewährleistungsfristen) stützt sich die Zulässigkeit auf die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO; sofern es nicht um besondere Kategorien von Daten geht). Übernimmt der Erwerber dagegen nur das Erfüllungsrisiko, nicht den Vertrag, müsste man sich wiederum auf das berechtigte Interesse stützen. Bankdaten dürfen hier nur mit Einwilligung übermittelt werden.
- im Fall einer beendeten Vertragsbeziehung dürfen die Kundendaten nur zur Erfüllung einer gesetzlichen Archivierungspflicht übermittelt werden.
- Bei der Forderungszession stützt sich die Übermittlung i.d.R. auf das berechtigte Interesse.
- Bei der Werbung durch den Erwerber gilt dasselbe wie für den Veräusserer.
- Eine Übermittlung besonderer Datenkategorien verlangt eine Einwilligung.
- Bei der Übermittlung geschäftlicher Kontaktdaten von Lieferanten greift in aller Regel das berechtigte Interesse;
- bei Mitarbeiterdaten
- stützt sich die Übermittlung im Fall einer Betriebsübernahme (in der Schweiz: Art. 333 OR) auf die Vertragserfüllung oder das berechtigte Interesse. Bei besonderen Datenkategorien gilt gestützt auf § 26 Abs. 3 BDSG dasselbe;
- ist im Stadium der Verhandlung des Asset Deal zu beachten, dass eine Übermittlung grundsätzlich unzulässig sei, vorbehaltlich einer ausnahmsweise freiwilligen Einwilligung;
- müssen Mitarbeitende nach einer Sonderbestimmung des BGB zum Betriebsübergang informiert werden;
- ausserhalb einer Betriebsübernahme verlangt eine Übermittlung i.d.R. eine Einwilligung;
- Veräusser und Erwerber sind je für ihre Verarbeitung verantwortlich. Eine gemeinsame Verantwortung sieht die DSK grundsätzlich offenbar nicht;
- eine Veräusserung von Kundendaten als einzigem Asset – also ausserhalb einer Vertrags- oder Forderungsübertragung – sei i.d.R. nur mit Einwilligung zulässig. Eine Ausnahme gelte nur bei Unternehm,en mit weniger als 50 Mitarbeitenden und einem Umsatz von höchstens EUR 10M, wenn der Veräusserer seine wirtschaftliche Tätigkeit einstellt und das Geschäft einem Erwerber im gleichen Wirtschaftszweig überträgt; hier genüge für eine einmalige Übermittlung der Postadressen ausnahmsweise eine Widerspruchslösung.
Der Beschluss mag differenzierter sein, atmet aber gerade dadurch den gouvernantenhaften Geist der DSGVO im deutschen Verständnis. In der Schweiz geht man in der Regel davon aus, dass eine Zession von Forderungen grundsätzlich ohne Zustimmung oder auch nur Information des Schuldners zulässig ist, dass diese Wertung für das Datenschutzrecht nicht folgenlos sein kann, dass bei einer Übermittlung mit Einstellung der eigenen Geschäftstätigkeit des Veräusserers im Umfang der Veräusserung lediglich ein Wechsel des Verantwortlichen erfolgt, und dass deshalb keine Einwilligung für die Bekanntgabe erforderlich ist (aber eine Information zu gegebener Zeit). In diesem Fall ist nicht einmal sicher, dass es überhaupt eine Rechtfertigung braucht, zumal die Tatsache allgemein bekannt ist, dass Verträge, Forderungen und Daten unter gegebenen Voraussetzungen veräussert werden können.