Datenschutzfragen sind nicht erst seit dem Safe Harbor Urteil ein beachtliches Thema für Unternehmen (siehe hierzu unseren Newsletterbeitrag aus Oktober). Auch bei Unternehmenstransaktionen spielen Datenschutzfragen immer häufiger eine zentrale Rolle. 

Nicht selten sind Kundendaten für Unternehmen nicht zu unterschätzende Vermögenswerte und stellen eine gewichtige Komponente bei sog. Asset Deals dar. Zum besseren Verständnis: Unter einem Asset Deal versteht man die Veräußerung eines Unternehmens durch Übertragung der Wirtschaftsgüter des Unternehmens ohne den eigentlichen Rechtsträger.

Kundendaten gehören zu diesen Wirtschaftsgütern. Die Datenschutzaufsichtsbehörden stehen dem Umgang mit Kundendaten bei Asset Deals jedoch immer häufiger skeptisch gegenüber und haben sich in diesem Jahr durch eine verstärkte Kontroll- und Prüftätigkeit hervorgetan. So hat das Bayrische Landesamt für Datenschutzaufsicht im Sommer 2015 ein erhebliches Bußgeld wegen eines Verstoßes gegen das Datenschutzrecht bei einem Asset Deal verhängt.

Die Behörde hat Verkäufer und Käufer eines Unternehmens mit Bußgeldern in fünfstelliger Höhe belegt. Hintergrund hierfür war der Verkauf von E-Mail-Adressen der Kunden aus einem Online-Shop im Rahmen des Asset Deals. Keines der beiden beteiligten Unternehmen hatte eine gesonderte Einwilligung der Kunden eingeholt oder sie von der geplanten Übermittlung in Kenntnis gesetzt und auf bestehende Widerspruchsrechte hingewiesen. Nach Auffassung der bayerischen Datenschützer war dieses Vorgehen unzulässig. Kundendaten dürfen aus Behördensicht nicht in der gleichen Weise wie andere werthaltige Güter veräußert werden.

In der Praxis bereitet dies Probleme, da Unsicherheiten und Risiken in den Unternehmensverkauf getragen werden. Zwar ist das Risiko mit einer bislang maximalen Bußgeldhöhe von 300.000 EUR für große Unternehmen überschaubar, jedoch drohen nach der anstehenden Datenschutzreform auf EU-Ebene wesentlich härtere Sanktionen. Im Gespräch sind Bußgelder in Höhe von 1.000.000 EUR oder 2 % des weltweit erzielten Jahresumsatzes eines Unternehmens. Weitere Risiken ergeben sich aus wettbewerbsrechtlichen Regelungen zum Schutz vor E-Mail-Werbung ohne ausdrückliche Einwilligung. Insoweit drohen u.a. auch Abmahnungen und Unterlassungsklagen von Wettbewerbern.

Praxishinweis

Eine sorgfältige datenschutzrechtliche Due Diligence Prüfung kann diese Risiken beseitigen und zugleich aufzeigen, wie die im Bundesdatenschutzgesetz vorgesehenen Möglichkeiten zur Nutzung personenbezogener Daten ohne Einwilligung oder mit bloßem Hinweis auf ein Widerspruchsrecht genutzt werden können.

Dr. Stefan Drackert, Rechtsanwalt

Benjamin Schwarzfischer, Rechtsanwalt

beide Frankfurt