Dr. Johanna Schmidt-Bens LL.M.

Der Europäische Datenschutzausschuss hat kürzlich eine Handreichung zur Verarbeitung personenbezogener Daten zum Zweck der Vertragserfüllung im Rahmen des Angebots und der Nutzung von Online Diensten veröffentlicht. Diese Form der Verarbeitung ist auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b) EU-DSGVO datenschutzrechtlich zulässig, wenn sie zur Erfüllung eines Vertrags, dessen Person die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. So soll beispielsweise die Verarbeitung von Kreditkarteninformationen, von Rechnungsdaten sowie der Lieferanschrift an die Heimatadresse des Kunden im Rahmen eines regulären Online Einkaufs zulässig sein. Für den Fall, dass der Kunde beim Kauf die Lieferung an eine Abholstation ausgewählt hat, wird die Verarbeitung der Heimatanschrift zur Vertragserfüllung als nicht mehr erforderlich qualifiziert. Der Europäische Datenschutzausschuss hat zur Anwendung der Norm weitere Fallkategorien gebildet und dabei klargestellt, dass die Datenverarbeitung zum Zweck der Betrugsprävention bei Online Käufen ebenso wenig auf Art. 6 Abs. 1 lit. b) EU-DSGVO gestützt werden könnte wie Online Tracking und Profiling.

Nachdem sich die Datenschutzaufsichtsbehörden schon länger für die Verarbeitung von Nutzerdaten durch Facebook interessierten, hatte zuletzt auch das Bundeskartellamt (BKartA) die Datenverarbeitung geprüft und festgestellt, dass Facebook seine Marktmacht durch den Umfang der Sammlung, Verwertung und Zuführung von Daten aus dem Nutzerkonto missbrauche. Aus diesem Grund hat das BKartA dem Unternehmen im Februar 2019 untersagt, Nutzerdaten aus verschiedenen Quellen zusammenzuführen. Gegen diese Anordnung hat Facebook beim OLG Düsseldorf Rechtsmittel eingelegt. Der 1. Kartellsenat des OLG Düsseldorf hat daraufhin Zweifel an der Rechtmäßigkeit der kartellbehördlichen Anordnung geäußert, da ein möglicher Verstoß gegen Datenschutzbestimmungen nicht zugleich einen Verstoß gegen das Wettbewerbsrecht bedeute. Über den Bestand der Anordnung des BKartA wird nun in dem beim OLG Düsseldorf anhängigen Beschwerdeverfahren entschieden werden.

Werden Unternehmen verkauft, sind die Kundendaten oft besonders wertvoll. Sollen sie im Wege des Verkaufs an ein anderes Unternehmen übergehen (Asset Deal), ist beim Datenschutz Vorsicht geboten. Im Juli 2015 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mitgeteilt, sowohl gegenüber dem Verkäufer als auch gegenüber dem Erwerber im Rahmen eines Asset Deal Geldbußen in fünfstelliger Höhe wegen datenschutzwidriger Übertragung von Kundendaten verhängt zu haben. Das veräußernde Unternehmen hatte die Kundendaten dabei in datenschutzrechtlich unzulässiger Weise übermittelt, während das erwerbende Unternehmen die Daten datenschutzwidrig erhoben hatte.

Als Guideline hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) (unter Ablehnung der Berliner – und der Sächsischen Aufsichtsbehörde) im Mai 2019 Hinweise zur Durchführung datenschutzkonformer Asset Deals beschlossen. Dabei wurden die folgenden Fallgruppen gebildet, die bei einer Prüfung des berechtigten Interesses (Art. 6 Abs. 1 f DSGVO) im Rahmen der Abwägung zu berücksichtigen sind.

• Bei der Veräußerung von Kundendaten bei laufenden Verträgen soll die zivilrechtliche Genehmigung der Kunden nach § 415 BGB (Schuldübernahme) die datenschutzrechtliche Zustimmung zum Übergang der Kundendaten mit umfassen.
• Personenbezogene Daten von Bestandskunden, bei denen die letzte Vertragsbeziehung länger als 3 Jahre zurückliegt, sollen übermittelt werden, aber nur zum Zweck der Erfüllung der gesetzlichen Aufbewahrungspflichten genutzt werden dürfen. Die Bestimmung der Frist ergibt sich aus der regelmäßigen 3-jährigen Verjährungsfrist im Sinne von § 195 BGB.
• Kundendaten, die aus fortgeschrittener Vertragsanbahnung stammen, sowie Bestandskundendaten ohne laufendes Vertragsverhältnis, bei denen die letzte Vertragsbeziehung jünger als 3 Jahre ist, sollen mit Hilfe einer Widerspruchslösung (Opt-out) einschließlich 6-wöchiger Widerspruchsfrist übertragen werden dürfen. Dabei ist zu beachten, dass Bankdaten im Gegensatz zum Zahlungsverhalten davon nicht erfasst werden sollen. Die Übermittlung der Bankdaten bedarf einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 a) in Verbindung mit Art. 7 DSGVO.
• Liegt der Fall vor, dass offene Forderungen zivilrechtlich gemäß §§ 398 ff. BGB abgetreten werden, soll die Übertragung der Kundendaten auf der Rechtsgrundlage von Art. 6 Abs. 1 f) DSGVO erfolgen dürfen. Das soll jedoch nicht gelten, wenn eine Forderungsabtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB), da dann die schutzwürdigen Interessen der Betroffenen überwiegen.
• Kundendaten, die zu besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO zählen, dürfen nach dem Willen des EU-Gesetzgebers nur mit einer ausdrücklichen Einwilligung der Betroffenen übermittelt werden.

Aus datenschutzrechtlicher Sicht ist beim Unternehmenskauf zunächst die konkrete Fallkonstellation zu bestimmen, um dann die Voraussetzungen für den Übergang von Kundendaten festzulegen. An der Klarstellung durch die Aufsichtsbehörden fällt positiv auf, dass nicht in allen Fällen eine datenschutzrechtliche Einwilligung erforderlich sein soll. Zudem bieten sich über die von der DSK genannten Lösungen hinaus noch weitere Gestaltungsmöglichkeiten an. Insbesondere ist jeweils zu überlegen, inwiefern einzelne Aufgaben im Rahmen der Überführung von Kunden auch im Wege einer Auftragsverarbeitung umgesetzt werden können.