Steht ein Unternehmensverkauf unmittelbar bevor, geht es in der Regel auch um den Übergang von Kundendaten und anderweitig personengebundenen Daten, die das Unternehmen des Verkäufers Inne hat, die an den Käufer übergehen sollen. In vielen Unternehmen gehören die Daten Kundenkarteien zu einem der wertvollsten Wirtschaftsgüter des Unternehmens, da sie den Kernbestandteil der Marketingarbeit eines Unternehmens darstellen. Oft sind gerade die vorhandenen Kundendaten in dem zum Verkauf stehenden Unternehmen daher für den Käufer von großem Interesse und bieten ihm die Möglichkeit, den wertvollen Kundenstamm später nutzen zu können. Dies spielt bei der Findung des Kaufpreises eine zentrale Rolle.

Soll das Unternehmen in Form eines sogenannten Share Deals verkauft werden, also ein anteiliger oder vollständiger Verkauf Geschäftsanteile des Unternehmens, so ist auch der damit verbundene Verkauf der rechtmäßig gesammelten personenbezogenen Daten des Betriebs unproblematisch. Dies resultiert daraus, dass beim Share Deal die Kundendaten wie auch alle weiteren Wirtschaftsgüter dem Unternehmen gehören und dieses als Ganzes einen neuen Inhaber bekommt, die GmbH als solche jedoch als unmittelbarer Inhaber der Daten bestehen bleibt und sich somit auch an der Rechtsform und Eigentümerschaft der Daten nichts ändert.

Anders und ungleich problematischer wird es jedoch, wenn das Unternehmen als sogenannter Asset Deal verkauft werden soll. Hier werden lediglich einzelne Wirtschaftsgüter des Unternehmens an einen neuen Inhaber verkauft. Der Käufer bezieht also die Wirtschaftsgüter und damit auch die Daten von einem natürlichen Besitzer. Hierfür stellt das deutsche Datenschutzrecht, das eines der restriktivsten der Welt ist, hohe Schranken und formelle Anforderungen an den Verkaufs- und Übergangsprozess der Daten auf. Verstöße gegen das Datenschutzgesetz führen in den meisten Fällen zu erheblichen Strafen. So hat beispielsweise das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) dem Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem erheblichen Bußgeld belegt. Das BayLDA hat kürzlich im Falle einer datenschutzrechtlich unzulässigen Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Zuge eines Asset Deals Geldbußen in fünfstelliger Höhe sowohl gegen das veräußernde als auch gegen das erwerbende Unternehmen festgesetzt und angekündigt, diese Praxis in Zukunft sogar noch zu verschärfen.[1]

Rechtliche Problemkomplexe beim Verkauf von Daten

Einschlägig beim Verkauf von Kundendaten sind gesetzliche Erlaubnistatbestände im Bundesdatenschutzgesetz, insbesondere § 28 Abs. 1 S. 1 Nr. 2 und Abs. 2 Nr. 2a BDSG.

Bereits die Weitergabe von Mitarbeiterdaten an potentielle Käufer etwa im Rahmen einer Due Diligence, ist eine Übermittlung von personenbezogenen Daten an Dritte gemäß § 3 Abs. 4 Nr. 3a oder b BDSG, die gemäß § 4 Abs. 1 BDSG in jedem Fall erlaubnispflichtig ist. Somit ist schon in dieser frühen Phase des Verkaufs zu prüfen, wie eine Übermittlung der Daten rechtskonform umgesetzt werden kann.

Wie oben bereits angesprochen muss beim Verkauf von Kundendaten jedoch eine grundsätzliche Unterscheidung erfolgen: Erfolgt der Unternehmenskauf im Wege des Share Deal, werden beim Kauf rechtlich betrachtet keine Daten weitergegeben. Der Käufer tritt im Wege der Gesamtrechtsnachfolge in sämtliche Rechte des Verkäufers ein; dabei bleibt der Rechtsträger der Gleiche. Die Folge: Kunden müssen nicht zustimmen.

Gänzlich anders ist die Lage beim Asset Deal: Datenschutzrechtlich verhältnismäßig unproblematisch ist die Übermittlung von Namen und Postanschriften von Kunden. Diese sogenannten Listendaten dürfen nach dem Willen des Gesetzgebers grundsätzlich auch ohne vorherige Einwilligung des Betroffenen für werbliche Zwecke übermittelt werden, sofern das veräußernde Unternehmen die Übermittlung dokumentiert. Häufig besitzen Unternehmen jedoch wesentlich mehr Daten von ihren Kunden etwa Telefonnummern, E-Mail-Adressen, Konto- und/oder Kreditkartendaten und Informationen über die von Kunden getätigten Käufe oder andere Geschäfte. Der Verkauf dieser Daten ist nur zulässig, wenn die betreffenden Kunden der Übermittlung solcher Daten zugestimmt haben oder zumindest – bereits im Vorfeld – auf die geplante Übermittlung hingewiesen wurde, ihnen ein Widerspruchsrecht eingeräumt wurde und sie nicht widersprochen haben. „Unternehmen und auch Insolvenzverwalter müssen sich bewusst machen, dass personenbezogene Kundendaten nicht wie eine beliebige Ware veräußert werden dürfen. Vielmehr ist dies nur unter Beachtung der datenschutzrechtlichen Voraussetzungen erlaubt.“, so der Präsident des BayLDA, Thomas Kranig.[2]

Für E-Mail-Adressen und Telefonnummern stellt sich das zusätzliche Problem, dass der Erwerber diese Daten zu Werbezwecken gemäß § 7 Abs. 2 Nr. 2 und Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht verwenden darf, wenn er – wie meist – keine ausdrückliche Werbeeinwilligung des jeweiligen Kunden besitzt.[3] Über diese Hürde hilft selbst die Einräumung eines Widerspruchsrechts vor der Datenübermittlung nicht hinweg. Grundsätzlich dürfen solche Daten also nur verkauft werden, wenn eine schriftliche Einwilligung des Betroffenen zulässig ist. Nach § 4a Abs. 1 BDSG ist es zur Wirksamkeit der Einwilligung nicht erforderlich, dass der Betroffene sie gesondert erklärt, indem er eine zusätzliche Unterschrift leistet oder ein dafür vorgesehenes Kästchen zur positiven Abgabe der Einwilligungserklärung ankreuzt. Zulässig sind hier also auch die sogenannten „Opt-Out“-Erklärungen.

Verwendet der Erwerber die Telefonnummer oder E-Mail-Adresse ohne Einwilligung für Werbezwecke, verstößt er sowohl gegen das UWG als auch gegen das Bundesdatenschutzgesetz.[4] Für die unzulässige Übergabe von Kundendaten tragen sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000 EUR geahndet werden können.[1]

Vermeiden von Verstößen gegen den Datenschutz beim Unternehmensverkauf

Bei Unternehmenskäufen ist stets eine genaue datenschutzrechtliche Analyse vorzunehmen, um explizit zu klären, wie der Umgang mit den betroffenen Daten in jedem Abschnitt des Kaufs rechtskonform umgesetzt werden kann. Zu unterscheiden ist somit die Zulässigkeit der Übermittlung der Daten im Vorfeld eines Kaufs, die Integration der Daten aus dem erworbenen Unternehmen und dessen Nutzungsmöglichkeit im weiteren Geschäftsbetrieb des Erwerbers. Zudem ist eine solche Untersuchung entscheidend für eine sorgfältige Wertfindung des Kaufobjekts, welches den Kern jeder Due Diligence Prüfung ausmacht. Die Transaktion eines Unternehmens, ohne vorherige gründliche Prüfung der datenschutzrechtlichen Vorgaben, muss heutzutage als grob fahrlässig bezeichnet werden und kann durch die Aufsichtsbehörden auch in der angesprochenen Höhe empfindlich bestraft werden.

Die Einbeziehung eines erfahrenen Experten bei der Begleitung und Betreuung des Verkaufsprozesses insbesondere bei der Frage nach dem Verkauf von Daten erscheint daher bei anstehenden Unternehmensverkäufen mehr als sinnvoll.

[1] https://www.lda.bayern.de/media/pm2015_10.pdf

[2] https://www.lda.bayern.de/media/pm2015_10.pdf

[3] BGH,  Urteil vom 16.07.2008,(Az. VIII ZR 348/06).

[4] BGH, Urteil vom 10.12.2009, (Az. I ZR 201/07)

[5] Köhler/Bornkamm, UWG, 29. Aufl. 2011, § 7 UWG Rn. 187