Allgemein

Datenschutz beim Asset Deal

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich kürzlich gerühmt, gegen Käufer und Verkäufer eines Unternehmens wegen Verstoßes gegen datenschutzrechtliche Vorschriften im Zusammenhang mit einer Übertragung von E-Mailadressen von Kunden Geldbußen in fünfstelliger Höhe verhängt zu haben (Pressemitteilung vom 31.7.2015).

07. Dezember 2015

„

Hierdurch wolle das BayLDA dem in der Praxis nachlässigen Umgang mit datenschutzrechtlichen Vorgaben im Hinblick auf personenbezogene Daten einen Riegel vorschieben, erklärt Christian Rolf von der Kanzlei Willkie Farr & Gallagher. Das BayLDA fordert für solche Daten zumindest, dass die betroffenen Kunden in die Übermittlung eingewilligt haben oder zuvor zumindest auf die Übermittlung hingewiesen worden sind und ihnen ein Widerspruchsrecht eingeräumt wurde, auch wenn sie von diesem keinen Gebrauch gemacht haben.

Was bedeutet dies?

Dass hier erstmals Bußgelder verhängt werden, bedeutet im Hinblick auf Unternehmenskäufe eine Wende vor allem deshalb, weil die Strafe auch gegen den Käufer verhängt wurde. Personenbezogene Daten waren seit jeher fester Bestandteil jeder Due Diligence vor allem in Form der Mitarbeiter- und Kundendaten. Kaum ein Unternehmenskauf wird sich ohne Einsicht in die wichtigsten Kundendaten und Informationen zu den Schlüsselmitarbeitern durchführen lassen, will der Käufer nicht die sprichwörtliche „Black Box““ erwerben. In der Vergangenheit wurde dem Datenschutz hier meist wenig Bedeutung geschenkt. In Datenräumen fanden sich nicht selten vollständige Mitarbeiterlisten.

Was ist zu tun?

Die Entscheidung des BayLDA ist bisher ein Einzelfall, trotzdem ist Vorsicht angebracht. Mitarbeiterdaten und Daten von natürlichen Personen als Kunden dürfen als personenbezogene Daten an den potenziellen Erwerber im Rahmen einer Due Diligence nur dann übermittelt werden, wenn dafür eine Rechtsgrundlage nach dem Bundesdatenschutzgesetz (BDSG) besteht. Eine Einwilligung wird meist ausscheiden. Als Rechtsgrundlage kommt im Regelfall nur § 28 Abs. 1 Nr. 2 BDSG in Betracht, wonach die Parteien des Unternehmenskaufs ein berechtigtes Interesse für die Einsicht in die Daten benötigen. Hier gilt der Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit. Meist genügt es für die Durchführung des Unternehmenskaufs, den Großteil der Daten in anonymisierter oder pseudonymisierter Weise als Verkäufer zur Verfügung zu stellen, bzw. als Käufer abzufragen. Ein Interesse zur Offenlegung der vollständigen Datensätze lässt sich aber bei Schlüsselmitarbeitern und den wichtigsten Kunden nicht abstreiten. Allerdings sollte darauf geachtet werden, die Daten möglichst in physischen Datenräumen zur Einsicht vorzuhalten oder nur einem begrenzten Kreis elektronisch zur Verfügung zu stellen.

„