Beiträge

July 4, 2019

Kundendaten – Augen auf beim Unternehmenskauf

Werden Unternehmen verkauft, sind die Kundendaten oft besonders wertvoll. Sollen sie im Wege des Verkaufs an ein anderes Unternehmen übergehen (Asset Deal), ist beim Datenschutz Vorsicht geboten. Im Juli 2015 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mitgeteilt, sowohl gegenüber dem Verkäufer als auch gegenüber dem Erwerber im Rahmen eines Asset Deal Geldbußen in fünfstelliger Höhe wegen datenschutzwidriger Übertragung von Kundendaten verhängt zu haben. Das veräußernde Unternehmen hatte die Kundendaten dabei in datenschutzrechtlich unzulässiger Weise übermittelt, während das erwerbende Unternehmen die Daten datenschutzwidrig erhoben hatte.

Als Guideline hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) (unter Ablehnung der Berliner – und der Sächsischen Aufsichtsbehörde) im Mai 2019 Hinweise zur Durchführung datenschutzkonformer Asset Deals beschlossen. Dabei wurden die folgenden Fallgruppen gebildet, die bei einer Prüfung des berechtigten Interesses (Art. 6 Abs. 1 f DSGVO) im Rahmen der Abwägung zu berücksichtigen sind.

  • Bei der Veräußerung von Kundendaten bei laufenden Verträgen soll die zivilrechtliche Genehmigung der Kunden nach § 415 BGB (Schuldübernahme) die datenschutzrechtliche Zustimmung zum Übergang der Kundendaten mit umfassen.
  • Personenbezogene Daten von Bestandskunden, bei denen die letzte Vertragsbeziehung länger als 3 Jahre zurückliegt, sollen übermittelt werden, aber nur zum Zweck der Erfüllung der gesetzlichen Aufbewahrungspflichten genutzt werden dürfen. Die Bestimmung der Frist ergibt sich aus der regelmäßigen 3-jährigen Verjährungsfrist im Sinne von § 195 BGB.
  • Kundendaten, die aus fortgeschrittener Vertragsanbahnung stammen, sowie Bestandskundendaten ohne laufendes Vertragsverhältnis, bei denen die letzte Vertragsbeziehung jünger als 3 Jahre ist, sollen mit Hilfe einer Widerspruchslösung (Opt-out) einschließlich 6-wöchiger Widerspruchsfrist übertragen werden dürfen. Dabei ist zu beachten, dass Bankdaten im Gegensatz zum Zahlungsverhalten davon nicht erfasst werden sollen. Die Übermittlung der Bankdaten bedarf einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 a) in Verbindung mit Art. 7 DSGVO.
  • Liegt der Fall vor, dass offene Forderungen zivilrechtlich gemäß §§ 398 ff. BGB abgetreten werden, soll die Übertragung der Kundendaten auf der Rechtsgrundlage von Art. 6 Abs. 1 f) DSGVO erfolgen dürfen. Das soll jedoch nicht gelten, wenn eine Forderungsabtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB), da dann die schutzwürdigen Interessen der Betroffenen überwiegen.
  • Kundendaten, die zu besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO zählen, dürfen nach dem Willen des EU-Gesetzgebers nur mit einer ausdrücklichen Einwilligung der Betroffenen übermittelt werden.

Aus datenschutzrechtlicher Sicht ist beim Unternehmenskauf zunächst die konkrete Fallkonstellation zu bestimmen, um dann die Voraussetzungen für den Übergang von Kundendaten festzulegen. An der Klarstellung durch die Aufsichtsbehörden fällt positiv auf, dass nicht in allen Fällen eine datenschutzrechtliche Einwilligung erforderlich sein soll. Zudem bieten sich über die von der DSK genannten Lösungen hinaus noch weitere Gestaltungsmöglichkeiten an. Insbesondere ist jeweils zu überlegen, inwiefern einzelne Aufgaben im Rahmen der Überführung von Kunden auch im Wege einer Auftragsverarbeitung umgesetzt werden können.




April 5, 2019

das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Der Bundestag hat das neue Gesetz zum Schutz von Geschäftsgeheimnissen am 21.03.2019 verabschiedet. Es wird voraussichtlich noch 2019 in Kraft treten. Damit werden sich die Voraussetzungen für das Vorliegen von Geschäftsgeheimnissen und deren Schutzumfang erheblich ändern. Insbesondere werden Informationen als Geschäftsgeheimnis nur dann geschützt sein, wenn angemessene Geheimhaltungsmaßnahmen zu ihrem Schutz getroffen wurden.

Lesen Sie weiter >



April 2, 2019

Ich – einfach Datenschutzvollstrecker

Sie machen womöglich sonntags gelegentlich einen entspannten Spaziergang. Sie schlendern dabei an dem ein oder anderen Haus vorbei und sehen als datenschutzrechtlich aufgescheuchter Mitbürger Kameras, die Sie beim Promenieren filmen. Wenn Sie jetzt denken: „Na und? Ich  habe nichts zu verbergen.“, können Sie hier aufhören, zu lesen. Anderenfalls stellen Sie sich womöglich die Frage: Kann ich mich dagegen wehren?
Lesen Sie weiter >



February 20, 2019

„5.000 Euro Bußgeld für fehlende Vereinbarung zur Auftragsverarbeitung!“ oder besser: „Wer um Bußgeld bettelt, wird erhört!“

Ein Unternehmen hatte bei der Aufsichtsbehörde angefragt, wie mit einem spanischen Auftragsverarbeiter zu verfahren sei, der sich weigerte, eine AV-Vereinbarung zu unterzeichnen. Auf den richtigen Hinweis der Behörde hin, dass der Abschluss der Vereinbarung gleichermaßen Pflicht des Auftraggebers sei, teilte das Unternehmen dann mehrfach – auch per Anwalt – mit, dem nicht Folge leisten zu wollen. Daraufhin erging das Bußgeld.

Lesen Sie weiter >



February 11, 2019

Facebooks “Gefällt mir”-Buttons nicht fashionable

Vom Generalanwalt des EuGH gibt es kein Like für Facebooks „Gefällt mir“-Button. Die Verbraucherzentrale NRW hatte das Unternehmen Fashion ID verklagt, da dieses auf seiner Website die besagten „Gefällt mir“-Buttons einsetzte, ohne die zu der Zeit geltenden datenschutzrechtlichen Anforderungen der Datenschutz-Richtlinie einzuhalten.

Lesen Sie weiter >



January 30, 2019

Verträge zur gemeinsamen Verantwortlichkeit

Wer kooperativ mit anderen Unternehmen Daten mit Personenbezug verarbeitet, geht meist davon aus, es liege eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vor. Die Auftragsverarbeitung ist tatsächlich die hergebrachte Lösung für vielerlei Konstellationen, wie z. B. für die Nutzung eines SaaS-Angebotes oder einer Cloud-Leistung. Folge: Es ist eine Auftragsverarbeitungs-Vereinbarung zu schließen.
Lesen Sie weiter >



January 22, 2019

Domainregistrierung: Inhaberdaten sind genug

Die DSGVO revolutioniert auch die Welt der Domains. Die DENIC erhebt seit Geltung der DSGVO keine Daten zum administrativen und technischen Kontakt (sog. Admin-C und Tech-C) mehr. Eine entsprechende Umstellung kündigte auch der Registrar EPAG an und zog sich damit den Unmut der für das weltweite Domainnamensystem verantwortlichen ICANN zu.
Lesen Sie weiter >



October 10, 2018

Das Recht auf Abwägung im Einzelfall

Das vom EuGH entwickelte „Recht auf Vergessenwerden“ und das Recht auf Löschung aus Art. 17 DSGVO sind nicht gleichzusetzen. Darauf wies zuletzt noch einmal das OLG Frankfurt hin, als es über einen datenschutzrechlichen Löschungsanspruch gegen Google entschied. Dies wird mit unterschiedlichen Abwägungskriterien begründet.

Ob eine Löschung durch die datenverarbeitende Stelle vorzunehmen ist, ist im Rahmen von Art. 17 DSGVO im Wege ein Abwägung im Einzelfall festzustellen. Dabei sind die Interessen des Betroffenen, mit den Interessen der Öffentlichkeit abzuwägen.
Lesen Sie weiter >



August 6, 2018

DSGVO und journalistische Bildberichterstattung

Sind Fotos von Personen ohne Einwilligung noch zulässig? Eine der vielen noch ungeklärten Fragen seit der DSGVO. Unklarheiten ergeben sich insbesondere aus dem Verhältnis der DSGVO zum Kunsturhebergesetz (KUG). Jedenfalls bezüglich der Bildberichterstattung von Medienunternehmen bringt das OLG Köln Licht ins Dunkel: Das KUG gilt im journalistischen Bereich auch unter der DSGVO fort.

Lesen Sie weiter >