Datenschutzbehörden machen Ernst: Die Übertragung von personenbezogenen Kundendaten im Rahmen von sog. “Asset Deal” Unternehmenskäufen kann Bußgelder bis zu EUR 300.000 nach sich ziehen.

Nach deutschem Datenschutzrecht erfordert die Übertragung von personenbezogenen Kundendaten die Einwilligung der betroffenen Kunden. Zudem muss der Erwerber personenbezogener Daten eine vorherige ausdrückliche Einwilligung einholen, wenn er beabsichtigt, Kunden mit Werbung per E-Mail oder telefonisch anzusprechen.

2015 verhängte das Bayerische Landesamt für Datenschutzaufsicht Bußgelder für Verstöße gegen den Verkäufer und den Käufer eines "Asset Deal" Unternehmenskaufs. Der Verkäufer hatte personen- bezogene Kundendaten an den Käufer übermittelt, die dieser für Werbezwecke nutzte. Weder Käufer noch Verkäufer hatten vorher Einwilligungen der betroffenen Kunden eingeholt.

Die Behörde weist darauf hin, dass die vorherige Einwilligung betroffener Kunden nicht erforderlich ist, wenn es sich um sog. “Listendaten”, d.h. von Namen und Postanschriften, handelt. Allerdings muss die Übertragung ausreichend dokumentiert werden. Dagegen muss bei der Übertragung sonstiger personenbezogener Daten wie insbesondere Telefonnummern, E-Mail Adressen, Konto- und Kredit- karteninformationen die vorherige Einwilligung eingeholt werden. In jedem Fall müssen betroffene Kunden über die beabsichtigte Übermittlung informiert werden, um ihnen Gelegenheit zum Widerspruch zu geben.

Während bei einem Anteilskauf, dem sog. “Share Deal” technisch gesehen keine Daten übertragen werden, da sie bei der (künftig dem Erwerber gehörenden) Zielgesellschaft verbleiben, ist dies bei einem Kauf der Vermögensgegenstände, dem sog. “Asset Deal” nicht der Fall. Daher kann es bei einem Asset Deal zu Verstößen gegen Datenschutzrecht kommen. Um dies zu vermeiden, sollte die Einwilligung sämtlicher Kunden zur Weitergabe personenbezogener Daten im Vorfeld der Transaktion eingeholt werden. Zumindest sollte ihnen die Möglichkeit eingeräumt werden, der Übertragung ihrer Daten zu widersprechen.

Darüber hinaus muss die Einwilligung bestimmte Anforderungen erfüllen. Unter anderem sollte in der Einwilligung der konkrete Empfänger der Daten genannt werden. Eine “Blanko-Einwilligung” hingegen widerspräche dem datenschutzrechtlichen Grundsatz der informierten Einwilligung.

Beim Thema Datenschutz sollten Unternehmen zudem ein jüngst beschlossenes Gesetz zur Ver- besserung der Durchsetzung des Datenschutzrechts beachten, mit dessen baldigem Inkrafttreten zu rechnen ist. Damit wird Verbraucherschutzverbänden ermöglicht, Verbandsklagen gegen Unternehmen zu führen. Insbesondere im Zusammenhang mit den kürzlich für unwirksam erklärten Safe Harbor Regeln ist davon auszugehen, dass Verbraucherschützer diese neuen Rechte nutzen werden. Datenschutzregeln sollten daher unverzüglich an die neue Situation "nach Safe Harbor" angepasst werden.

Das Gesetz verbietet es Unternehmen außerdem, Erklärungen von Verbrauchern an bestimmte Formerfordernisse wie die – gerade bei Kündigungserklärungen beliebte – Schriftform zu binden. Ausreichend ist künftig stets die Kommunikation in "Textform", d.h. per Email. Allgemeine Geschäftsbedingungen sind bis zum 30.9.2016 entsprechend anzupassen.