Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat gegen zwei Unternehmen Bußgelder in fünfstelliger Höhe verhängt, die personenbezogene Daten im Wege eines Asset-Deals veräußert haben. Die nach Ansicht des BayLDA erforderlichen Voraussetzungen für eine Übermittlung lagen nicht vor: Bei Asset-Deals sei ein Verkauf – sofern personenbezogene Daten hiervon betroffen sind – nur mit Einwilligung der Betroffenen möglich oder es muss zumindest die Möglichkeit bestehen, ein Opt-out geltend zu machen. Anders als bei einem Share-Deal handele es sich bei einem Asset-Deal um eine datenschutzrechtliche „Übermittlung“ personenbezogener Daten von dem Verkäufer an den Käufer. Dies bedürfe einer Rechtfertigung, die gerade nicht in der Durchführung des Asset Deal-Vertrags selbst liegt.

Zudem verhängte das BayLDA ein fünfstelliges Bußgeld gegen ein Unternehmen, das als Auftraggeber Verträge zur Auftragsdatenverarbeitung (ADV) abgeschlossen hatte, ohne konkrete technische und organisatorische Maßnahmen festzulegen. Eine reine Wiederholung des Gesetzestextes und pauschale Aussagen genügen nach Ansicht der Behörde nicht, um die gesetzlichen Anforderungen an den Auftraggeber aus § 11 BDSG i.V.m. Anlage zu § 9 Satz 1 BDSG zu seiner Verantwortlichkeit für die Sicherheit der Daten bei der Verarbeitung durch den Auftragnehmer zu erfüllen.

Praxishinweis: Sind bei einer Unternehmenstransaktion personenbezogene Daten betroffen, müssen zwingend die Vorschriften des Datenschutzrechts beachtet werden. Die Aufsichtsbehörden gehen z.B. davon aus, dass Kundendaten im Rahmen eines Asset-Deals in der Regel zu Werbezwecken übermittelt werden und deshalb die gesetzlichen Anforderungen für eine Übermittlung zu Webezwecken erfüllt sein müssen. Bei einer Datenverarbeitung im Auftrag durch Dritte müssen die ADV-Verträge konkrete Angaben zu den technischen und organisatorischen Maßnahmen beim Auftragnehmer enthalten. Diese können z.B. aus dem Sicherheitskonzept des Auftragnehmers entnommen werden.