Sensible Daten

sensible daten

Was beim Unternehmensverkauf zu beachten ist

Die regelmäßige Kolumne von Rechtsanwalt Dr. Hans Geisler und Wirtschaftsprüfer & Steuerberater Dennis Woltsche

Dr. Hans Geisler
Rechtsanwalt und Fachanwalt für Handels- und Gesellschaftsrecht / Gewerblichen Rechtsschutz / Bau- und Architektenrecht

Dipl.-Ökonom Dennis Woltsche
Wirtschaftsprüfer und
Steuerberater

Jeder Verkauf eines Unternehmens wirft eine Vielzahl von juristischen Fragestellungen auf, wobei bis zur Geltung der DSGVO Schwerpunkte der juristischen Prüfungen zivil- sowie handelsrechtliche und steuerliche Sachverhalte waren. Seit der Einführung der DSGVO haben in diesem Zusammenhang auch die datenschutzrechtlichen Aspekte eine deutlich höhere Relevanz bekommen. Bei einem Unternehmensverkauf wechseln die Daten vom Verkäufer auf den Käufer. Fehler im Hinblick auf das Datenschutzrecht können gravierende Konsequenzen haben. Deshalb ist die Beachtung dieser Thematik extrem wichtig.

Unternehmen in der Fitness- und Gesundheitsbranche besitzen in der Regel einen großen Kundenstamm, welcher bei einem Verkauf veräußert werden soll. Oftmals machen die Kundendaten sogar den wesentlichen Anteil des Unternehmens-wertes aus und sind der entscheidende Faktor für die Kaufpreisbildung. Es sind die Mitglieder bzw. die Kunden, die den Umsatz generieren. Anonymisierte Daten werden vom Datenschutzrecht nicht erfasst. Problematisch ist die Veräußerung von Daten stets dann, wenn diese personenbezogen sind.

Personenbezogene Daten liegen vor, wenn sich aus den Daten Rückschlüsse auf einzelne Menschen ziehen lassen. Dies ist bei Mitgliederdaten immer der Fall. Die Weitergabe solcher Daten – auch bei Unternehmensveräußerungen – ist durch verschiedene datenschutzrechtliche Regelungen beschränkt. Auch bezüglich der Kundendaten gilt der datenschutzrechtliche Grundsatz, dass stets von einem Verbot der Weitergabe auszugehen ist, es sei denn, es ist erlaubt. Die Weitergabe der Kundendaten auf den Käufer erfordert entweder eine ausdrückliche Erlaubnis im Gesetz oder die Zustimmung der betroffenen Kunden, die sogenannte Einwilligung. Das grundsätzliche Verbot der Datenweitergabe gilt auch innerhalb von Verbundunternehmen. Bei Unternehmensveräußerungen kommen als wesentliche Konstellationen die Verschmelzung von Unternehmen, der Verkauf des ganzen Unternehmens oder Teilen davon in Betracht.

Bei der Verschmelzung mehrerer Unternehmen kommt es zu einer sogenannten Gesamtrechtsnachfolge. Die verschmelzenden Unternehmen stehen jeweils für die Rechte und Pflichten des anderen ein und agieren zukünftig als ein Unternehmen. Diese Konstellationen sind datenschutzrechtlich unproblematisch, weil darin keine Übermittlung von Kundendaten gesehen wird. Die Kundendaten gelten nicht als weitergegeben; sondern bleiben in der neuen (verschmolzenen) Unternehmensform erhalten.

Unproblematisch ist auch die Konstellation, wenn zum Beispiel die gesamten Anteile einer GmbH vom Verkäufer an den Käufer veräußert (sog. Share Deal)werden. Die Rechtspersönlichkeit des Unternehmens bleibt auch in dieser Konstellation identisch. Es findet lediglich ein Wechsel auf Gesellschafterebene statt.

Aus rechtlicher Sicht findet keine Übertragung der Daten statt. Der Käufer tritt vielmehr durch den Anteilserwerb in die Position des Käufers ein. Die Gesellschaft (GmbH) bleibt als juristische Person gleich. Auch für das Mitglied ändert sich nichts. Aus datenschutzrechtlicher Sicht ist diese Konstellation unproblematisch, da der Erwerber der Geschäftsanteile nicht als Dritter im Sinne des Datenschutzrechts angesehen wird. Wie bei einer Umwandlung ist der Share Deal kein neuer Datenverarbeitungsvorgang und bedarf daher keiner neuen Rechtsgrundlage.

Davon zu unterscheiden sind die sogenannten Asset Deals. In diesen Konstellationen werden einzelne Rechtsgüter, z. B. nur die Trainingsgeräte und der Kundenstamm aus einem Unternehmen herausgekauft und auf den Käufer übertragen. Die Mitglieder gehen damit auf eine andere verantwortliche Stelle über. Weil sich die Eigentumslage dieser Vermögenswerte ändert, wird von einer Kundendatenübermittlung, also einer Verarbeitung im Sinne der DSGVO ausgegangen.

Unternehmen dürfen in dieser Konstellation nicht automatisch von einer Einwilligung der Betroffenen ausgehen. Es handelt sich um eine Übermittlung im Sinne des Datenschutzrechts, für die es einer besonderen Rechtfertigung bedarf. Es wird also eine Einwilligung der Betroffenen Kunden (Mitglieder) oder eine gesetzliche Erlaubnisnorm benötigt, damit die Weitergabe der Kundendaten rechtmäßig erfolgen darf.

Der sicherste Weg ist es, eine Einwilligung aller betroffenen Kunden einzuholen. Haben die Kunden nicht ihre Einwilligung erteilt, ist zwischen zwei Fällen zu unterscheiden. Hat der Veräußerer, mithin der bisherige Verantwortliche, die Kundendaten verkauft, so erfolgt die Übermittlung der Daten zur Erfüllung seines Vertrages mit dem Erwerber. Der Erwerber hingegen hat seinerseits nur das Interesse, diese Daten wirtschaftlich zu verwerten. Diese beabsichtigte Wertschöpfung begründet aber für sich genommen kein ausreichendes Interesse bzw. selbstständiges Verarbeitungsrecht. Im Ergebnis ist daher in solchen Konstellationen die Einwilligung der betroffenen Personen erforderlich. Lediglich in den Fällen, in denen im Rahmen der zweiten Fallgruppe nicht nur die Kundendaten, sondern faktisch der Betrieb in seiner Gesamtheit oder zusammenhängende Betriebsteile veräußert werden, kann auf eine vorherige Einwilligung verzichtet werden.

Insoweit liegt ein sogenanntes funktionales Äquivalent zum Share Deal vor. Begründet wird diese abweichende Rechtsauffassung damit, dass andernfalls die Veräußerung von Unternehmen faktisch unmöglich wäre, wenn stets zuvor Einwilligungen eingeholt werden müssten. Das Datenschutzrecht hat nicht das Ziel, entsprechende wirtschaftliche Beschränkungen zu begründen.

In der Praxis hat sich in diesem Zusammenhang zusätzlich auch die sogenannte Widerspruchslösung etabliert. Diese geht zunächst davon aus, dass die betroffenen Kunden regelmäßig erwarten, dass beim Verkauf des Unternehmens, unabhängig von dessen zivilrechtlicher Gestaltung, die Verarbeitung der personenbezogenen Daten entsprechend der bisherigen Zwecke weiter durch den Erwerber erfolgt. Da hierdurch aber natürlich auch die Interessen der Kunden betroffen sind, kann diesem Umstand dadurch genügt werden, dass den Kunden ein zeitlich befristetes, voraussetzungsloses Widerspruchsrecht eingeräumt wird (vgl. BayLDA, 7 TB 2015/2016, 74 f.). Konkret werden in diesem Falle vor dem Verkauf und der Weitergabe der Daten die davon zukünftig betroffenen Kunden informiert, auf die beabsichtigte, bevorstehende Datenweitergabe hingewiesen und gleichzeitig ein Widerrufsrecht eingeräumt. Kommt es zu keinem Widerspruch, können die Kundendaten übermittelt werden. Der Vorteil ist mithin der, dass in diesem Falle keine Rückmeldung der Kunden erforderlich ist. Falls der betroffene Kunde einer Weitergabe widerspricht, müssen die Daten gelöscht werden bzw. dürfen nicht an den Erwerber weitergegeben werden. Werden die vorgenannten datenschutzrechtlichen Vorgaben nicht beachtet, drohen (erhebliche) Bußgelder.

FAZIT

Aus datenschutzrechtlicher Sicht ist die Datenübertragung bei Verschmelzungen und Unternehmensverkäufen von juristischen Personen im Ganzen, also bei sog. Share Deals unproblematisch. Handelt es sich um einen sog. Asset Deal, erfordert die Weitergabe entweder das Vorliegen einer dafür bei dem Betroffenen eingeholten Einwilligung oder das Vorliegen einer gesetzlichen Regelung, welche die Weitergabe erlaubt. In den Fällen, in denen zwar kein Share Deal vorliegt, im Ergebnis aber die beabsichtigte Übertragung diesem gleichkommt, sollte zusätzlich eine Widerspruchsmöglichkeit in Bezug auf die beabsichtigte Datenweitergabe eingeräumt werden. Sind bei einem Asset Deal besondere personenbezogene Daten (vgl. Art. 9 DSGVO) betroffen, muss zwingend eine Einwilligung der Betroffenen vorliegen, damit die Daten weitergegeben werden dürfen. In jedem Fall empfiehlt es sich aus den dargestellten Gründen, unabhängig davon, ob Sie verkaufen oder kaufen wollen, in jedem Fall sich auch datenschutzrechtlich beraten und begleiten zu lassen. Losgelöst von der datenschutzrechtlichen Thematik ist die Frage, ob die Mitgliedschaftsverträge zivilrechtlich übertragen werden können bzw. was dafür notwendig ist.

MACH DAS JETZT

Mitglieder zu Mitarbeitenden machen

Container for the scroll indicator

sensible daten

Container for the dynamic page