Kanzlei Lachenmann Onlinerecht IT-Recht

Datenschutz: Ist der Verkauf von Kundendaten beim Unternehmensverkauf zulässig?

Wer als Unternehmer sein Unternehmen verkaufen möchte, muss sich fragen, inwieweit aufgrund von Datenschutz-Normen der Verkauf von Kundendaten zulässig ist. Ein Interesse besteht durch den Verkäufer um einen höheren Kaufpreis zu erzielen und für den Käufer, um den Kundenstamm weiter nutzen zu können. Rechtlich ist dies allerdings problematisch. So verhängte die bayerische Datenschutzaufsichtsbehörde ein Bußgeld in 5-stelliger Höhe gegen zwei Unternehmen, die gegen Datenschutz bei Verkauf von Kundendaten verstoßen hatten (Pressemitteilung). Zu unterscheiden ist, ob eine komplette Rechtspersönlichkeit (GmbH, OHG usw.) verkauft werden soll, oder nur ein Teil eines Unternehmens, z.B. ein Webshop mit dessen Kundendaten.

Einschlägig beim Verkauf von Kundendaten sind gesetzliche Erlaubnistatbestände im Bundesdatenschutzgesetz, insbesondere § 28 Abs. 1 S. 1 Nr. 2 und Abs. 2 Nr. 2a BDSG. Beim share deal (Unternehmensverkauf durch Verkauf der Anteile) ist die Weitergabe zweifelsfrei möglich, da die Rechtspersönlichkeit identisch bleibt. Kein Problem ist der Verkauf von Kundendaten auch bei Umwandlungen/Verschmelzungen und während die Kundenbeziehung (z.B. ein Verkauf/Dienstleistung) noch läuft.

Dies gilt grundsätzlich auch beim asset deal (Unternehmensverkauf durch Übertragung aller Sachwerte), da das Interesse des Unternehmers zur Weitergabe überwiege. Diskutiert wird derzeit jedoch, ob dies jetzt durch den neuen § 28 Abs. 3 S. 1 BDSG erschwert wurde – dies muss im Einzelfall geprüft werden. Insbesondere, wenn die Nutzung der gekauften Kundendaten zu Zwecken der Werbung dient, ohne dass aktiv Verträge laufen. Wenn nur Teile eines Unternehmens verkauft werden (Marke, Homepage usw.) muss eine Einzelfallprüfung durchgeführt werden.

Sinnvoll ist es vor allem, die Kunden bereits bei Vertragsabschluss in einen Weiterverkauf der Kundendaten einwilligen zu lassen. Eine solche freiwillige Klausel kann den späteren Verkauf deutlich einfacher machen. Falls Unsicherheiten bestehen, muss eine Widerspruchslösung gewählt werden, d.h. alle Kunden sind anzuschreiben und über den Verkauf zu informieren. Wenn diese nicht innerhalb einer bestimmten Zeit widersprechen, ist der Verkauf derer Daten wirksam.

Sonderfälle beim Verkauf von Kunden-/Unternehmensdaten

Bei einer Einzelfallprüfung ist zu berücksichtigen, ob nur Kundendaten verkauft werden sollen, oder auch Beschäftigtendaten, was gem. § 32 BDSG gesondert zu bewerten ist. Besonderheiten ergeben sich zudem bei den sensiblen Daten nach 3 Abs. 9 (Religionszugehörigkeit usw.). Besonders aufwändig ist bei Geschäften mit Berufsgeheimnis, z.B. Arztpraxen oder Anwaltskanzleien aufgrund der Strafbarkeit gem. § 203 StGB. Hier ist beim geplanten Verkauf von Kundendaten besonders sorgfältig und auf den Einzelfall abgestimmt vorzugehen.

Wichtig ist, dass bei einer Due Diligence die Kundendaten nicht offen an den Interessenten herausgegeben dürfen, sondern unbedingt anonymisiert werden müssen. Dies ist eine klare Linie der Aufsichtsbehörden – und auch aus betriebswirtschaftlichen Gründen zu empfehlen…

Notwendigkeit einer anwaltlichen Prüfung beim Verkauf von Kundendaten:

Anwaltliche Unterstützung zum Datenschutz beim Unternehmensverkauf bzw. Verkauf von Kundendaten empfiehlt sich jedenfalls:

  • bei einer kursorischen Prüfung der Verträge (auch zum Unternehmenskauf) und
  • der genauen Prüfung der vorhandenen Daten.
  • Dann wird i.d.R. ein kurzes Gutachten erstellt, inwieweit der Verkauf von Kundendaten zulässig ist.
  • Sodann erfolgt ggf. die Aufbereitung der zu verkaufenden Daten und eventuell die Abstimmung mit den Datenschutzbehörden.

Update 19.8.2015: Das bayerische Landesamt für Datenschutzaufsicht hat eine Pressemitteilung veröffentlicht, wonach erhebliche, mittlerweile unanfechtbare, Bußgelder gegen Unternehmen verhängt worden seien, die gegen Vorschriften zum Datenschutz von Kundendaten beim Verkauf eines Unternehmens im Wege eines Asset-Deals verstoßen hatten (Pressemitteilung).

Dieser Beitrag wurde in Blog, Compliance, Datenschutzrecht, Gewerblicher Rechtschutz/IP, Vertragsrecht, Wettbewerbsrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.