Unternehmenskauf und Datenschutz
Auch das kann teuer werden: In einer Pressemitteilung von Ende Juli teilt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mit, es habe Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen das Datenschutzrecht ein Bußgeld in fünfstelliger Höhe auferlegt. Der Umgang mit den Kundendaten des eingekauften Unternehmens erfolgte nicht datenschutzkonform. Offenbar will das Bayerische Landesamt für Datenschutzaufsicht nicht nur in Sachen Auftragsdatenverarbeitung ein Exempel statuieren, sondern auch hinsichtlich des Umgangs mit Kundendaten im Rahmen eines Unternehmenskaufs und verband die Verhängung dieses Bußgeldes gleich mit der Ankündigung, in weiteren Fällen ebenso zu verfahren.
Was war geschehen?
Kundendaten haben für Unternehmen einen erheblichen wirtschaftlichen Wert, insbesondere auch wegen der Möglichkeit, die gesammelten Daten zu Werbezwecken zu nutzen. Stellt ein Unternehmen seinen Betrieb ein, versucht es häufig, alle noch vorhandenen Unternehmenswerte an ein anderes Unternehmen zu verkaufen. Ähnlich versuchen auch Insolvenzverwalter eines insolventen Unternehmens, die Kundendaten, die oft noch den einzigen Wert darstellen, zu den höchstmöglichen Preisen zu verkaufen. In dem vom BayLDA beanstandeten Fall hatten die betroffenen Parteien des Unternehmenskaufs nach Ansicht der Aufsichtsbehörde die datenschutzrechtlichen Vorschriften für den Übergang der Kundendaten von einem Unternehmen auf das andere missachtet.
Datenschutz beim Unternehmenskauf
Bei Unternehmenstransaktionen wird den Interessenten üblicherweise schon im Vorfeld des Kaufs eine Vielzahl von Informationen über das Unternehmen zur Verfügung gestellt, um eine Einschätzung der wirtschaftlichen Lage des Unternehmens zu ermöglichen. Dabei spielen auch alle im Unternehmen vorhandenen personenbezogener Daten eine entscheidende Rolle, wie etwa Mitarbeiter-, Lieferanten- und Kundendaten. Gerade die Kunden- und Mitarbeiterdaten sind für den Wert eines Unternehmens entscheidend.
Datenschutzrechtlich betrachtet stellt die Weitergabe beispielsweise von Mitarbeiterdaten an potentielle Käufer eine Übermittlung von personenbezogenen Daten an Dritte dar, die nur auf der Grundlage der Einwilligung der Mitarbeiter zulässig ist (§ 4 Abs. 1 BDSG). Daher ist schon in der Vorphase des Verkaufs zu prüfen, wie eine Übermittlung der Daten unter Beachtung der Datenschutzgesetze umgesetzt werden kann.
In Bezug auf die Kundendaten ist deren Übertragung vom Käufer auf den Verkäufer und die Nutzung durch diesen auch nicht ohne weiteres datenschutzrechtlich erlaubt. Hier kommt es wie so oft auf den Einzelfall an: es muss genau geprüft werden, welche Daten zu welchem Zweck übertragen und weitergenutzt werden sollen und auf dieser Grundlage ist die Rechtmäßigkeit zu prüfen. Dies gilt jedenfalls in den Fällen, in denen ein ganzes Unternehmen verkauft wird und nicht nur ein Teil eines Unternehmens bzw. eine bloße Umwandlung eines Unternehmens oder Unternehmensteils stattfinden soll.
In dem in Bayern sanktionierten Fall wurden im Zuge eines Unternehmenskaufs E-Mail Adressen der Kunden vom „alten“ auf das „neue“ Unternehmen übertragen und vom „neuen“ für Werbezwecke genutzt. Die Übertragung ist allerdings nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten eingewilligt haben oder zumindest auf die geplante Übermittlung hingewiesen worden sind, ihnen ein Widerspruchsrecht eingeräumt wurde und sie nicht widersprochen haben. Anderes gilt jedoch, und auch das stellt die bayerische Behörde klar, im Fall der Übermittlung von Namen und Postanschriften von Kunden (sog. Listendaten). Diese dürfen grundsätzlich auch ohne vorherige Einwilligung des Kunden übermittelt und genutzt werden, wenn das veräußernde Unternehmen die Übermittlung dokumentiert hat.
Praxisferne Regelungen
Sicher hat die Behörde recht, wenn sie feststellt,
„Unternehmen (…) müssen sich bewusst machen, dass personenbezogene Kundendaten nicht wie eine beliebige Ware veräußert werden dürfen. Vielmehr ist dies nur unter Beachtung der datenschutzrechtlichen Voraussetzungen erlaubt.“
Leider nur sind die bestehenden Vorschriften zum Umgang mit personenbezogenen Daten zu Werbezwecken so schlecht und praxisfern geregelt, dass kaum jemand sie versteht. Hinzu kommen neben den Datenschutzvorschriften auch noch die Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG), nach dem E-Mail-Adressen und Telefonnummern von Kunden auch nicht ohne ausdrückliche Werbeeinwilligung des jeweiligen Kunden genutzt werden dürfen (§ 7 Abs. 2 Nr. 2 und Nr. 3 UWG).
Betrieblichen Datenschutzbeauftragten frühzeitig beteiligen
Was also können Unternehmen tun, um Bußgelder zu vermeiden? Wie in allen Szenarien, die datenschutzrechtlich heikel sein könnten, ist es wichtig bereits im Vorfeld den betrieblichen Datenschutzbeauftragten zu beteiligen. Ist kein betrieblicher Datenschutzbeauftragter vorhanden, sollte frühzeitig anderer Sachverstand zum Datenschutz eingeholt werden. In aller Regel lassen sich auch auf der Grundlage der schlechten Gesetze Wege finden, wie das geplante Vorhaben ohne datenschutzrechtliche Risiken verwirklicht werden kann. Ein Problem entsteht nur dann, wenn die Risiken zu spät erkannt und/oder ignoriert werden.