Datenschutz und Unternehmensverkauf VID-Mitgliedertagung vom 21. bis 23. April 2016 in Regensburg Thomas Kranig, Bayerisches Landesamt für Datenschutzaufsicht
Agenda 1 Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 2 Datenschutzrechtliche Anforderungen beim Asset Deal 3 4 5 6 Verantwortlichkeiten und Prüfpflichten Was sagt die Rechtsprechung? Wenn s daneben geht: Bußgeldverfahren und in Zukunft nach DS-GVO 2
Agenda 1 Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 2 Datenschutzrechtliche Anforderungen beim Asset Deal 3 4 5 6 Verantwortlichkeiten und Prüfpflichten Was sagt die Rechtsprechung? Wenn s daneben geht: Bußgeldverfahren und in Zukunft nach DS-GVO 3
1 Klärung der Begriffe: Share Deal, Asset Deal Share Deal Umwandlung Asset Deal Erwerb einer gesellschaftsrechtlichen Beteiligung an einem Unternehmen (z.b. Aktien einer AG, Anteile einer GmbH) Rechtsträger des Unternehmens (z.b. GmbH) bleibt unverändert, es ändert sich nur die Struktur der Anteilseigner personenbezogene Daten (z.b. von Kunden) verbleiben bei derselben verantwortlichen Stelle (z.b. der GmbH), daher keine Übermittlung Umwandlungen gemäß Umwandlungsgesetz / UmwG (Verschmelzungen; Spaltungen) UmwG ordnet Gesamtrechtsnachfolge an, daher keine Übermittlung personenbezogener Daten (andere Ansicht: zwar Übermittlung, diese ist aber gerechtfertigt, da UmwG gegenüber BDSG vorrangig - 1 Abs. 3 Satz 1 BSDG) Asset Deal = Veräußerung einzelner Wirtschaftsgüter (Assets), z.b. Maschinen, Gebäude, Erwerber ist ggü. Veräußerer neuer Rechtsträger werden personenbezogene Daten als Asset übertragen, gelangen sie zu einer neuen verantwortlichen Stelle Übermittlung im Sinne von 3 Abs. 4 Satz 2 Nr. 3 BDSG Häufiger Fall: Veräußerung durch Insolvenzverwalter Datenschutzrechtlich grundsätzlich unproblematisch Datenschutzrechtlich grundsätzlich unproblematisch Datenschutzrechtlich problematisch 4
Agenda 1 Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 2 Datenschutzrechtliche Anforderungen beim Asset Deal 3 4 5 6 Verantwortlichkeiten und Prüfpflichten Was sagt die Rechtsprechung? Wenn s daneben geht: Bußgeldverfahren und in Zukunft nach DS-GVO 5
2 Datenschutzrechtliche Anforderungen beim Asset Deal Übermittlung liegt vor, sobald Kundendaten an den Erwerber weitergegeben oder vom Erwerber abgerufen oder eingesehen werden Übermittlung personenbezogener Daten zulässig, wenn Betroffener vorher eingewilligt hat ( 4a Abs. 1 BDSG) oder Übermittlung aufgrund einer Rechtsvorschrift zulässig ist ( 4 Abs. 1 BDSG - sog. Verbot mit Erlaubnisvorbehalt) 6
2 Datenschutzrechtliche Anforderungen beim Asset Deal bei Asset Deals ist häufig die Übermittlung der Kundendatenbank gewollt typischerweise Stammdaten / Kontaktdaten (Name, postalische Adresse, ggf. E-Mail-Adresse, Telefonnummer, ) u.u. weitergehende Daten, z.b. Konto-/Kreditkartendaten, Bestellhistorie, Interessenprofil, besondere Wünsche (z.b. bei Stammkunden ), Historie der im Rahmen der Kundenbetreuung stattgefundenen Kontakte, 7
2 Datenschutzrechtliche Anforderungen beim Asset Deal Einwilligung der Kunden liegt meist nicht vor. Übermittlung aufgrund von Rechtsvorschrift zulässig? 8
2 Datenschutzrechtliche Anforderungen beim Asset Deal Listendaten 28 Abs. 3 Satz 2 BDSG: sog. Listendaten dürfen zu Werbezwecken auch ohne Einwilligung übermittelt werden sog. Listendaten: Name, postalische Adresse, Geburtsjahr nicht: Geburtsdatum, Telefonnummer, E-Mail-Adresse, Konto-/Kreditkartendaten, Bestellhistorie, Was ist mit den Nicht-Listendaten? 9
2 Datenschutzrechtliche Anforderungen beim Asset Deal Übermittlung auf Rechtsgrundlage (1) Veräußerer hat Interesse, Kundendaten zu verkaufen so z.b. im Insolvenzfall Allerdings keineswegs auf Insolvenzfälle beschränkt Erwerber hat oft Interesse, die Bestandskunden des Veräußerers selbst werblich anzusprechen aber: Gesetz erlaubt Übermittlung zu werblichen Zwecken (sofern keine Einwilligung der Betroffenen vorliegt) nur für sog. Listendaten (s.o.) sofern Übermittlungszweck die Werbung ist, dürfen Nicht-Listendaten somit nicht übermittelt werden 10
2 Datenschutzrechtliche Anforderungen beim Asset Deal Übermittlung auf Rechtsgrundlage (2) Lösung nur möglich, wenn die Daten außer für werbliche Zwecke noch in Wahrnehmung anderer berechtigter Interessen der beteiligten Unternehmen übermittelt werden Frage des Einzelfalls; Gesamtbetrachtung der Transaktion nötig hierbei: Fortführung des Unternehmens oder eines Unternehmensteils als (gegenüber der Werbung) eigenständiges Interesse denkbar 11
2 Datenschutzrechtliche Anforderungen beim Asset Deal Fortführung des Unternehmens setzt meist voraus, dass das gesamte Unternehmen oder zumindest ein Geschäftsbereich veräußert wird nur dann kann man in der Regel von Unternehmens(teil)veräußerung sprechen setzt wohl in der Regel die Veräußerung mehrerer signifikanter Vermögensgegenstände (Assets) voraus Veräußerung einzig der Kundendatenbank genügt jedenfalls nicht, da dabei meist Werbezweck im Vordergrund stehen wird (dazu s.o.) Frage des Einzelfalls: Maßgeblich ist, ob man bei einer Gesamtbetrachtung von einer Fortführung des Unternehmens oder zumindest eines signifikanten Geschäftsbereichs sprechen kann 12
2 Datenschutzrechtliche Anforderungen beim Asset Deal Berechtigtes Interesse Bei Unternehmens(teil)fortführung kann Übermittlung u.u. mit berechtigten Interessen von Veräußerer und Erwerber legitimiert werden allerdings nur, soweit schutzwürdige Interessen der Betroffenen (Kunden) dem nicht entgegenstehen bzw. nicht überwiegen ( 28 Abs. 2 Nr. 1 bzw. Nr. 2 a BDSG) Wann das der Fall ist, sagt das Gesetz leider nicht. Fraglich bezgl. Kontoverbindungsdaten Unzulässig jedenfalls bei besonderen Arten personenbezogener Daten, z.b. Gesundheitsdaten! 13
2 Datenschutzrechtliche Anforderungen beim Asset Deal Auffassung des BayLDA Widerspruchslösung: Übermittlung (nur) zulässig, wenn die Betroffenen vorher über die geplante Übermittlung ihrer Daten informiert wurden, ihnen dabei ein ausreichend lang bemessenes Widerspruchsrecht (Regel: ca. 3 Wochen, jedoch Frage des Einzelfalls) eingeräumt wurde und sie nicht widersprochen haben. Achtung: Andere Aufsichtsbehörden lehnen Widerspruchslösung als zu weitgehend ab und verlangen generell Einwilligung. 14
2 Datenschutzrechtliche Anforderungen beim Asset Deal Kriterien der Widerspruchslösung Korrekte Reihenfolge: erst Information mit Einräumung des Widerspruchsrechts; Übermittlung erst nach Ablauf der Widerspruchsfrist Potentieller Erwerber darf im Zeitpunkt der Information noch keine Verfügungsgewalt über die Daten haben. Nachträgliche Information der Kunden genügt nicht. 15
2 Datenschutzrechtliche Anforderungen beim Asset Deal Sonderproblem E-Mail- u. Telefonwerbung Sonderproblem: Erwerber möchte die E-Mail-Adressen und/oder Telefonnummern für eigene Werbezwecke nutzen Im Ergebnis - selbst bei Befolgung der Widerspruchslösung - nicht möglich (!) Grund: 7 Abs. 2 und Abs. 3 UWG: E-Mail-Werbung nur mit ausdrücklicher Einwilligung des Adressaten zulässig Selbst eine vom Kunden dem Veräußerer erteilte Einwilligung zur E-Mail-Werbung hilft nicht, denn sie geht nicht auf den Erwerber über. 16
2 Datenschutzrechtliche Anforderungen beim Asset Deal Sonderproblem E-Mail- u. Telefonwerbung Erworbene E-Mail-Adressen u. Telefonnummern sind damit hinsichtlich Werbung totes Material. Anders bei Kunden, die zwischenzeitlich einen Vertrag mit dem Erwerber eingegangen sind: Gegenüber solchen Eigenkunden darf der Erwerber unter den Voraussetzungen des 7 Abs. 3 UWG E-Mail-Werbung betreiben. 17
2 Datenschutzrechtliche Anforderungen beim Asset Deal Sonderfall bestehende Vertragsverhältnisse Bestehende Vertragsverhältnisse (z.b. Darlehen, Miete, Abonnements) können nur mit Zustimmung aller Vertragsparteien im Ganzen auf den Erwerber übertragen werden. Zustimmung des Kunden somit schon aus zivilrechtlichen Gründen nötig datenschutzrechtliche Problematik ist demgegenüber nur sekundär 18
2 Datenschutzrechtliche Anforderungen beim Asset Deal Sonderfall Forderungsabtretung Forderungen können zivilrechtlich auch ohne Zustimmung des Schuldners abgetreten werden Dürfen Daten des Schuldners an den Zessionar (Forderungserwerber) übermittelt werden? in der Regel ja ( 398 i.v.m. 402 BGB) u.u. aber nein, wenn Daten einem Berufsgeheimnis ( 203 StGB) unterfallen (z.b. Arzt, Rechtsanwalt) hier differenzierte Rechtsprechung, auch mit Unterschieden zwischen den einzelnen Berufsgruppen 19
Agenda 1 Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 2 Datenschutzrechtliche Anforderungen beim Asset Deal 3 4 5 6 Verantwortlichkeiten und Prüfpflichten Was sagt die Rechtsprechung? Wenn s daneben geht: Bußgeldverfahren und in Zukunft nach DS-GVO 20
3 Verantwortlichkeiten und Prüfpflichten Verantwortlichkeit Datenschutzrechtlich verantwortlich sind grundsätzlich sowohl Veräußerer (z.b. Insolvenzverwalter) als auch Erwerber (Es geht um übermitteln und erheben ). 21
Agenda 1 Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 2 Datenschutzrechtliche Anforderungen beim Asset Deal 3 4 5 6 Verantwortlichkeiten und Prüfpflichten Was sagt die Rechtsprechung? Wenn s daneben geht: Bußgeldverfahren und in Zukunft nach DS-GVO 22
4 Was sagt die Rechtsprechung? Beschäftigten -daten BAG, Urt. v. 20.05.2010, Az 8 AZR 872/08 (Asset Deal von BenQ) Nur eine ordnungsgemäße Unterrichtung setzt die Widerspruchsfrist nach 613a Abs. 6 BGB in Gang LAG München, Urt. v. 10.02.2010, Az 6 Sa 872/07 Beschäftigten -daten Ein Unterrichtungsschreiben ist fehlerhaft und unvollständig isv 613a Abs. 5 BGB beim Fehlen der Angabe der Anschrift des Betriebserwerbers, der Angabe für den Grund des Übergangs und der näheren Ausgestaltung des zugrunde liegenden Rechtsgeschäfts 23
4 Was sagt die Rechtsprechung? LG Düsseldorf, Urt. v. 06.02.2012, Az 5 O 288/06 u.a. Der Käufer einer Steuerberaterpraxis kann von dem Kaufvertrag zurücktreten, wenn der verkauften Praxis zum Zeitpunkt der Übergabe eine vereinbarte Beschaffenheit i.s.v. 434 BGB in Form der vereinbarten Ertragsfähigkeit (nachhaltiges jährliches Nettohonorar), bezogen auf den Fortbestand und den Umsatzwert der laufenden Mandate, fehlte. OLG Köln, Urt. v. 14.08.2009, Az I-6 70/09 Der Antragsgegnerin wird untersagt, im geschäftlichen Verkehr zum Zwecke des Wettbewerbs ehemalige eigene Kunden zum Zwecke der Werbung anzuschreiben, wenn sie hierbei die Information nutzt, dass diese zur Antragstellerin gewechselt sind, eine Einwilligung der Verbraucher in die Nutzung dieser Information nicht vorliegt. 24
Agenda 1 Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 2 Datenschutzrechtliche Anforderungen beim Asset Deal 3 4 5 6 Verantwortlichkeiten und Prüfpflichten Was sagt die Rechtsprechung? Wenn s daneben geht: Bußgeldverfahren und in Zukunft nach DS-GVO 25
5 Wenn s daneben geht: Bußgeldverfahren Doppelfunktion des BayLDA BayLDA als Bußgeldbehörde BayLDA als Aufsichtsbehörde Präsident Leitung Grundsatzfragen Öffentlichkeitsarbeit Geschäftsstelle Referat 1 Referat 2 Referat 3 Referat 4 Referat 5 Referat 6 Beschäftigtendatenschutz Videoüberwachung Banken Auskunfteien Werbung Auftragsdatenverarbeitung Kundenbindung Datenschutzorganisation Versicherungen Gesundheitswesen Freiberufliche Tätigkeiten Soziale Einrichtungen Internet Telemedien Geodatendienste Apps Industrie Handel Bußgeldverfahren Internationaler Datenverkehr Vereine Vermietung und Wohneigentum Technischer Datenschutz IT-Sicherheit 26
5 Wenn s daneben geht: Bußgeldverfahren Folgen bei Verstößen unzulässige Übermittlung -> Speicherung beim Erwerber ebenfalls unzulässig Erwerber muss die Kundendaten löschen (Ausnahme: Listendaten, s.o.) Datenschutzaufsichtsbehörde kann dies per Anordnung durchsetzen. zudem (häufig) Ordnungswidrigkeit Geldbuße bis zu 300.000,- möglich 27
5 Wenn s daneben geht: Bußgeldverfahren Mögliche Adressaten für Bußgeld Geldbuße ist grundsätzlich gegen beide beteiligten Unternehmen denkbar. Geldbußen auch denkbar gegen die Personen, die die entsprechende unternehmerische Entscheidung getroffen haben. 28
5 Wenn s daneben geht: Bußgeldverfahren 29
Agenda 1 Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 2 Datenschutzrechtliche Anforderungen beim Asset Deal 3 4 5 6 Verantwortlichkeiten und Prüfpflichten Was sagt die Rechtsprechung? Wenn s daneben geht: Bußgeldverfahren und in Zukunft nach DS-GVO 30
6 und in Zukunft nach DS-GVO Vorschlag EU-Kommission EU-Parlament EU-Rat Gemeinsamer Gesetzgeber: Parlament und Rat DS-GVO verabschiedet seit 14. April 2016 Im Gesetzblatt: Mai 2016 / Wirksam: Mai 2018 31
6 und in Zukunft nach DS-GVO Informationsmöglichkeit über DS-GVO unter www.lda.bayern.de 32
6 und in Zukunft nach DS-GVO 33
6 und in Zukunft nach DS-GVO 34
Vielen Dank für Ihr Interesse Thomas Kranig Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 (Schloss) 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981) 53-5300 E-Mail: poststelle@lda.bayern.de Webseite: www.lda.bayern.de