Der überarbeitete DSK-Beschluss zum Asset Deal gibt Orientierung zum datenschutzgerechten Übergang insbesondere hinsichtlich der Kundendaten, aber auch hinsichtlich der Beschäftigtendaten
Im Vergleich zu den vergangenen Jahren erhielten wir 2024 gehäuft Eingaben, die sich auf Datenverarbeitungen im Zusammenhang mit Asset- aber auch Share Deals bezogen.
Im Rahmen des Asset Deal waren die betroffenen Personen oftmals aufgrund der Informationen, die sie durch das veräußernde Unternehmen erhielten, verunsichert und richteten Nachfragen an uns. Oder die betroffenen Personen wurden direkt von dem erwerbenden Unternehmen kontaktiert, ohne dass sie zuvor Kenntnis von der Übernahme hatten.
Wie auch der überarbeitete Beschluss der Datenschutzkonferenz „Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals“ vom 11.09.2024 festhält, ist unter dem Begriff des Asset Deals „(…)ein Unternehmenskauf zu verstehen, bei dem Wirtschaftsgüter/Vermögenswerte (engl.: Assets) eines Unternehmens wie beispielsweise Grundstücke, Gebäude, Maschinen, Kundenstamm, Rechte etc., im Rahmen der Singularsukzession auf die Erwerberin oder den Erwerber übertragen werden. Ein Asset Deal liegt zum Beispiel vor, wenn eine Einzelunternehmerin oder ein Einzelunternehmer (Veräußerer) ihren bzw. seinen Betrieb an eine Nachfolgerin oder einen Nachfolger (Erwerber) übergibt und dabei beispielsweise die Maschinen, den Kundenstamm, die Firmierung etc. übernimmt und den Betrieb fortführt.“
An dieser Stelle sei darauf hingewiesen, dass der überarbeitete Beschluss der Datenschutzkonferenz nunmehr nicht nur eine Begriffsdefinition zum Asset Deal enthält, sondern vielmehr hinsichtlich der jeweils einschlägigen Rechtsgrundlagen differenziert und die Verarbeitung zu Werbezwecken, von Beschäftigten- und Lieferantendaten, von besonderen Kategorien personenbezogener Daten, von Bankdaten und von säumigen Kunden (Kundinnen und Kunden mit offenen Forderungen) behandelt.
Werden Kundendaten im Rahmen eines Asset Deals übermittelt, so ist zunächst zu unterscheiden, um welche Vertragsphase es geht (Vertragsanbahnung, laufende oder bereits beendete vertragliche Beziehungen). In den meisten von uns bearbeiteten Vorgängen wurden personenbezogene Kundendaten aus laufenden Vertragsbeziehungen im Rahmen einer Vertragsübernahme verarbeitet. Diese Phase wird angenommen, wenn der Veräußerer Verpflichtungen gegenüber einer Kundin oder einem Kunden aus einem Vertragsverhältnis hat bzw. gesetzliche Verjährungsfristen oder vertragliche Garantiepflichten noch nicht abgelaufen sind. Wurde die zivilrechtlich erforderliche Genehmigung für eine Vertragsübernahme erteilt, so ist eine Übermittlung der personenbezogenen Kundendaten durch den Veräußerer und die nachfolgende Verarbeitung durch den Erwerber auf Grundlage des Art. 6 Abs. 1 UAbs. 1 Buchstabe b) DS-GVO zulässig.
Diese Aufteilung in die Vertragsphasen sowie die rechtliche Bewertung weicht von dem bisherigen Beschluss der DSK insbesondere insofern ab als in dem Beschluss aus dem Jahr 2019 lediglich Fallgruppen aufgelistet wurden, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 Buchstabe f) DS-GVO zu beachten waren. Hierauf möchten wir aufmerksam machen und empfehlen die Lektüre des überarbeiteten Beschlusses.
Daneben stellte sich aber auch in einigen von uns bearbeiteten Beschwerdeverfahren insbesondere im Zusammenhang mit der Geltendmachung von Betroffenenrechten heraus, dass ein Share Deal vorlag, dem zudem eine Umfirmierung folgte. Ein Share Deal liegt dann vor, wenn Geschäftsanteile verkauft werden, das Unternehmen somit unverändert fortgeführt wird (Wechsel des/eines Eigentümers). Mangels Änderung des Verantwortlichen bestehen die datenschutzrechtlichen Pflichten fort und muss sich der Verantwortliche ein datenschutzwidriges Verhalten auch aus der Zeit vor dem Share Deal (weiterhin) zurechnen lassen.
Beschwerdeauslösend war in den von uns behandelten Fällen regelmäßig, dass die Bearbeitung von Betroffenenrechten nicht (mehr) erfolgte. Zumeist wurde dabei angeführt, dass die Anträge betroffener Personen nicht „weitergegeben“ worden seien. Dies war jedoch keine Begründung dafür, vor dem Share Deal eingegangene Anträge nicht zu bearbeiten, sondern offenbarte vielmehr, dass Prozesse und interne Zuständigkeiten jedenfalls hinsichtlich der Umsetzung von Betroffenenrechten nicht etabliert waren und fortgeführt wurden.
Quelle: Bayerisches Landesamt für Datenschutzaufsicht
Sind Sie sicher, dass Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks