Es braucht zwei Schränke - datenschutzrechtlich zulässige Übertragung von Kundendaten beim Kauf oder Verkauf von Geschäftsbetrieben als Asset Deal
Der Asset Deal wird gerne anstelle des Erwerbs von Anteilen an einer Gesellschaft gewählt, wenn der Käufer die Schulden und Risiken eines Unternehmens nicht übernehmen will oder sonstige Argumente (der Betrieb ist ein Einzelhandelsgeschäft oder es soll nur ein Unternehmensteil erworben werden) für einen solchen Asset Deal sprechen. Das Hauptaugenmerk liegt dann auf dem Kauf des Vermögens, von Schutzrechten, Übernahme von Mitarbeitern und insbesondere die Übernahme der Kundenbeziehungen. Besonders bei Unternehmen im Dienstleistungsbereich, Kanzleien und Arztpraxen stellen die Kunden bzw. Patienten häufig den Hauptwert des Betriebes dar.
In der Transaktionspraxis müssen wir feststellen, dass beim Kauf oder Verkauf von Kunden- und Patientendaten häufig übersehen wird, dass es sich um Daten handelt, die von der Datenschutzgrundverordnung (DSGVO) geschützt sind. Deshalb muss vor Übertragung von personenbezogenen Daten - das sind immer alle Daten von natürlichen Personen in der Kunden/-Patientendatenbank - die Zustimmung des Kunden oder Patienten zur Weitergabe seiner Daten eingeholt werden.
Warum müssen Kunden / Patienten vor Weitergabe ihrer personenbezogenen Daten zustimmen?
Nach Art. 6 Abs. 1 lit. a) DSGVO ist eine Verarbeitung von personenbezogenen Daten mit vorheriger Zustimmung der betroffenen Person rechtmäßig. Umgekehrt heißt das, die Weitergabe von personenbezogenen Daten an den Käufer ohne vorherige Zustimmung der Kunden/ Patienten ist unrechtmäßig.
Zusätzlich gilt für Patientendaten gemäß Art. 9 Abs. 2 lit. a) DSGVO, dass der Patient ausdrücklich vorher seine Zustimmung zur Verarbeitung seiner Daten für einen oder mehrere festgelegte Zwecke geben muss. Patienten müssen vor Weitergabe ihrer Daten an den Käufer also vom Verkäufer angeschrieben werden unter Nennung des Zwecks - also Übertragung seiner Daten an den Käufer - und der Verkäufer braucht eine konkrete Rückmeldung des Patienten, mit der er der Weitergabe seiner Daten zustimmt.
Wieso sollte ich mich nicht über das Verbot des DSGVO hinwegsetzen und die Kunden- / Patientendaten unzulässigerweise weitergeben?
Es droht ein empfindliches Bußgeld bei Verstoß.
Bereits im Jahr 2015 verhängte etwa das Bayrische Landesamt für Datenschutz Aufsicht ein insgesamt sechsstelliges Bußgeld für unzulässige Datenübertragung im Rahmen eines Asset Deal. Dies war noch vor Inkrafttreten der DSGVO, die strengere Regeln als das davor gültige Bundesdatenschutzgesetz aufstellt und deutlich höhere Bußgelder ermöglicht, als es 2015 noch der Fall war.
Bleibe ich zwangsläufig auf Daten sitzen, wenn meine Kunden / Patienten nicht auf mein Info-Schreiben reagieren?
Nein, hierfür gibt es die „Zwei-Schrank-Lösung“.
Kunden- oder Patientendaten werden in zwei Kategorien eingeteilt, Daten von Personen, die der Übertragung nicht zugestimmt haben, und Daten von Personen, die der Übertragung zugestimmt haben.
In Schrank Nr. 1 werden alle Daten von Personen abgelegt, die der Übertragung auf den Käufer nicht ausdrücklich zugestimmt haben. Der Schrank wird „abgeschlossen“ - bzw. bei digitaler Aufbewahrung passwortgeschützt - und der Käufer darf den Schrank erst „aufschließen“ und die Daten einer Person entnehmen, wenn er die Zustimmung von dieser Person erhalten hat.
In Schrank Nr. 2 liegen alle Daten von Personen, die bereits ihre Zustimmung zur Datenübertragung erteilt haben. Daten von Personen aus Schrank Nr. 1 werden in Schrank Nr. 2 überführt, sobald die Zustimmung der betroffenen Person vorliegt.
Das geht mit Papierkarteien in einer Arztpraxis, die noch nicht digitalisiert wurde, aber auch mit modernen digitalen Datenbanken auf Servern.
Aber ich habe im Internet gelesen, ich könne die „Widerspruchslösung“ wählen…
Das ist falsch. Bei Asset Deals darf die sogenannte Widerspruchslösung laut Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) –vom 11.09.2024 nicht mehr verwendet werden (Ausnahmen gelten bei einer reinen Erfüllungsübernahme von vertraglichen Ansprüchen von Kunden im Einzelfall – hier ist eine Interessenabwägung vorzunehmen, wonach im Einzelfall eine Widerspruchslösung möglich ist), da die Widerspruchslösung in dem Beschluss nicht mehr als möglicher und zulässiger Weg beim Asset Deal dargestellt wird – anders als in den Jahren davor. In der DSK treten alle Datenschutzbehörden der Bundesrepublik Deutschland zusammen und stimmen sich ab, wie sie bestimmte rechtliche Fragen einheitlich bearbeiten. Es ist also davon auszugehen, dass die Datenschutzbehörden den bis zu dem neuen Beschluss für zulässig gehaltenen Weg der Widerspruchslösung nicht mehr als rechtmäßig anerkennen werden.
Bei Patientendaten war die Widerspruchslösung schon vor dem neueren Beschluss der DSK im Jahr 2024 unzulässig, da die von der DSK bis dahin für zulässig erachtete Widerspruchslösung sich auf Art. 6 Abs. 1 lit. f) DSGVO gestützt hat, der für Patientendaten und auch sonstige Gesundheitsdaten nicht zur Rechtfertigung herangezogen werden kann.
Bei sonstigen personenbezogenen Kundendaten durfte man vor dem 11.09.2024 die aktiven Kunden über die Datenübertragung an den Käufer informieren und ihnen innerhalb einer angemessenen Frist Gelegenheit zum Widerspruch geben. Ging kein fristgerechter Widerspruch ein, durften die Kundendaten übertragen werden. Seit 11.09.2024 ist diese Lösung für die Übertragung von personenbezogenen Kundendaten jedoch nach der klaren Handlungsempfehlung der DSK nicht mehr zulässig.
Wir sehen dennoch auch aktuell noch zahlreiche Asset Deal Verträge, in denen diese Widerspruchslösung noch umgesetzt wird. Wer eine solche Widerspruchslösung weiterhin anwendet, geht ein erhebliches Risiko ein, bei Beschwerden von Kunden mit einem nicht unerheblichen Bußgeld von den Behörden bestraft zu werden, und zwar sowohl als Verkäufer als auch als Käufer. Solche Vertragskonstruktionen sollten also dringend vermieden werden.
Gerne beraten wir Sie, wie die Zwei-Schrank-Lösung rechtskonform in einem Asset Deal umgesetzt wird.