BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Thomas Kranig, Bayerisches Landesamt für Datenschutzaufsicht

Datenschutz und Unternehmensverkauf

VID-Mitgliedertagung

vom

21. bis 23. April 2016

in

Regensburg

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1

Datenschutzrechtliche Anforderungen beim Asset Deal 2

Verantwortlichkeiten und Prüfpflichten 3

Was sagt die Rechtsprechung? 4

Agenda

Wenn´s daneben geht: Bußgeldverfahren 5

2

… und in Zukunft nach DS-GVO 6

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1

Datenschutzrechtliche Anforderungen beim Asset Deal 2

Verantwortlichkeiten und Prüfpflichten 3

Was sagt die Rechtsprechung? 4

Agenda

Wenn´s daneben geht: Bußgeldverfahren 5

… und in Zukunft nach DS-GVO 6

3

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe:

Share Deal, Asset Deal 1

4

Share Deal Umwandlung Asset Deal

Erwerb einer gesellschafts-

rechtlichen Beteiligung an

einem Unternehmen (z.B.

Aktien einer AG, Anteile einer

GmbH)

Rechtsträger des Unter-

nehmens (z.B. GmbH) bleibt

unverändert, es ändert sich

nur die Struktur der

Anteilseigner

personenbezogene Daten

(z.B. von Kunden) verbleiben

bei derselben „verantwort-

lichen Stelle“ (z.B. der

GmbH), daher keine

„Übermittlung“

Umwandlungen gemäß

Umwandlungsgesetz / UmwG

(Verschmelzungen;

Spaltungen)

UmwG ordnet Gesamt-

rechtsnachfolge an, daher

keine „Übermittlung“

personenbezogener Daten

(andere Ansicht: zwar

Übermittlung, diese ist aber

gerechtfertigt, da UmwG

gegenüber BDSG vorrangig

- § 1 Abs. 3 Satz 1 BSDG)

Asset Deal = Veräußerung

einzelner Wirtschaftsgüter

(Assets), z.B. Maschinen,

Gebäude, …

Erwerber ist ggü. Veräußerer

neuer Rechtsträger

werden personenbezogene

Daten als Asset übertragen,

gelangen sie zu einer neuen

„verantwortlichen Stelle“

„Übermittlung“ im Sinne von

§ 3 Abs. 4 Satz 2 Nr. 3 BDSG

Häufiger Fall: Veräußerung

durch Insolvenzverwalter

Datenschutzrechtlich

grundsätzlich

unproblematisch

Datenschutzrechtlich

grundsätzlich

unproblematisch

Datenschutzrechtlich

problematisch

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1

Datenschutzrechtliche Anforderungen beim Asset Deal 2

Verantwortlichkeiten und Prüfpflichten 3

Was sagt die Rechtsprechung? 4

Agenda

Wenn´s daneben geht: Bußgeldverfahren 5

… und in Zukunft nach DS-GVO 6

5

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

„Übermittlung“ liegt vor, sobald Kundendaten

an den Erwerber weitergegeben oder

vom Erwerber abgerufen oder eingesehen werden

Übermittlung personenbezogener Daten zulässig, wenn

Betroffener vorher eingewilligt hat (§ 4a Abs. 1 BDSG) oder

Übermittlung aufgrund einer Rechtsvorschrift zulässig ist (§ 4 Abs. 1 BDSG

- sog. Verbot mit Erlaubnisvorbehalt)

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

6

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

bei Asset Deals ist häufig die Übermittlung der

„Kundendatenbank“ gewollt

typischerweise Stammdaten / Kontaktdaten (Name, postalische

Adresse, ggf. E-Mail-Adresse, Telefonnummer, …)

u.U. weitergehende Daten, z.B. Konto-/Kreditkartendaten ,

„Bestellhistorie“, Interessenprofil, besondere Wünsche (z.B. bei

„Stammkunden“), Historie der im Rahmen der Kundenbetreuung

stattgefundenen Kontakte, …

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

7

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

8

Einwilligung der Kunden liegt meist nicht vor.

Übermittlung aufgrund von Rechtsvorschrift zulässig ?

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

• § 28 Abs. 3 Satz 2 BDSG: sog. Listendaten dürfen zu Werbezwecken

auch ohne Einwilligung übermittelt werden

• sog. Listendaten: Name, postalische Adresse, Geburtsjahr

• nicht: Geburtsdatum, Telefonnummer, E-Mail-Adresse, Konto-/Kreditkartendaten,

„Bestellhistorie“, …

• Was ist mit den Nicht-Listendaten?

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

9

Listendaten

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Veräußerer hat Interesse, Kundendaten zu verkaufen

so z.B. im Insolvenzfall

Allerdings keineswegs auf Insolvenzfälle beschränkt

Erwerber hat oft Interesse, die Bestandskunden des Veräußerers selbst

werblich anzusprechen

aber: Gesetz erlaubt Übermittlung zu werblichen Zwecken (sofern keine

Einwilligung der Betroffenen vorliegt) nur für sog. Listendaten (s.o.)

sofern Übermittlungszweck die Werbung ist, dürfen Nicht-Listendaten

somit nicht übermittelt werden

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

10

Übermittlung auf Rechtsgrundlage (1)

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

„Lösung“ nur möglich, wenn die Daten außer für werbliche Zwecke noch in

Wahrnehmung anderer „berechtigter Interessen“ der beteiligten

Unternehmen übermittelt werden

Frage des Einzelfalls; Gesamtbetrachtung der Transaktion nötig

hierbei: Fortführung des Unternehmens oder eines Unternehmensteils als

(gegenüber der Werbung) eigenständiges Interesse denkbar

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

11

Übermittlung auf Rechtsgrundlage (2)

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

setzt meist voraus, dass das gesamte „Unternehmen“ oder

zumindest ein Geschäftsbereich veräußert wird

nur dann kann man in der Regel von Unternehmens(teil)veräußerung sprechen

setzt wohl in der Regel die Veräußerung mehrerer signifikanter

Vermögensgegenstände (Assets) voraus

Veräußerung einzig der Kundendatenbank genügt jedenfalls nicht, da dabei meist

Werbezweck im Vordergrund stehen wird (dazu s.o.)

Frage des Einzelfalls: Maßgeblich ist, ob man bei einer

Gesamtbetrachtung von einer Fortführung des Unternehmens oder

zumindest eines signifikanten Geschäftsbereichs sprechen kann

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

12

Fortführung des Unternehmens

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Bei „Unternehmens(teil)fortführung“ kann Übermittlung u.U. mit

berechtigten Interessen von Veräußerer und Erwerber legitimiert werden

allerdings nur, soweit schutzwürdige Interessen der Betroffenen (Kunden)

dem nicht entgegenstehen bzw. nicht überwiegen (§ 28 Abs. 2 Nr. 1 bzw. Nr.

2 a BDSG)

Wann das der Fall ist, sagt das Gesetz leider nicht.

Fraglich bezgl. Kontoverbindungsdaten

Unzulässig jedenfalls bei besonderen Arten personenbezogener Daten, z.B.

Gesundheitsdaten!

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

13

Berechtigtes Interesse

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Widerspruchslösung: Übermittlung (nur) zulässig, wenn

die Betroffenen vorher über die geplante Übermittlung ihrer Daten

informiert wurden,

ihnen dabei ein ausreichend lang bemessenes Widerspruchsrecht (Regel: ca.

3 Wochen, jedoch Frage des Einzelfalls) eingeräumt wurde

und sie nicht widersprochen haben.

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

14

Auffassung des BayLDA

Achtung: Andere Aufsichtsbehörden lehnen Widerspruchslösung als zu weitgehend ab und verlangen generell Einwilligung.

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Korrekte Reihenfolge: erst Information mit Einräumung

des Widerspruchsrechts; Übermittlung erst nach Ablauf

der Widerspruchsfrist

Potentieller Erwerber darf im Zeitpunkt der Information

noch keine Verfügungsgewalt über die Daten haben.

Nachträgliche Information der Kunden genügt nicht.

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

15

Kriterien der Widerspruchslösung

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Sonderproblem E-Mail- u. Telefonwerbung

Sonderproblem: Erwerber möchte die E-Mail-Adressen und/oder Telefonnummern für eigene

Werbezwecke nutzen

• Im Ergebnis - selbst bei Befolgung der „Widerspruchslösung“ -

nicht möglich (!)

• Grund: § 7 Abs. 2 und Abs. 3 UWG: E-Mail-Werbung nur mit

ausdrücklicher Einwilligung des Adressaten zulässig

• Selbst eine vom Kunden dem Veräußerer erteilte Einwilligung zur

E-Mail-Werbung hilft nicht, denn sie geht nicht auf den Erwerber

über.

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

16

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Sonderproblem E-Mail- u. Telefonwerbung

• Erworbene E-Mail-Adressen u. Telefonnummern sind damit

hinsichtlich Werbung „totes Material“.

• Anders bei Kunden, die zwischenzeitlich einen Vertrag mit

dem Erwerber eingegangen sind: Gegenüber solchen

Eigenkunden darf der Erwerber unter den Voraussetzungen

des § 7 Abs. 3 UWG E-Mail-Werbung betreiben.

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

17

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Sonderfall bestehende Vertragsverhältnisse

Bestehende Vertragsverhältnisse (z.B. Darlehen, Miete,

Abonnements) können nur mit Zustimmung aller

Vertragsparteien „im Ganzen“ auf den Erwerber übertragen

werden.

• Zustimmung des Kunden somit schon aus zivilrechtlichen Gründen

nötig

• datenschutzrechtliche Problematik ist demgegenüber nur sekundär

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

18

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Sonderfall Forderungsabtretung

Forderungen können zivilrechtlich auch ohne Zustimmung des

Schuldners abgetreten werden

• Dürfen Daten des Schuldners an den Zessionar (Forderungserwerber)

übermittelt werden?

• in der Regel ja (§ 398 i.V.m. § 402 BGB)

• u.U. aber nein, wenn Daten einem Berufsgeheimnis (§ 203 StGB)

unterfallen (z.B. Arzt, Rechtsanwalt)

– hier differenzierte Rechtsprechung, auch mit Unterschieden zwischen den einzelnen

Berufsgruppen

Datenschutzrechtliche

Anforderungen beim Asset Deal 2

19

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1

Datenschutzrechtliche Anforderungen beim Asset Deal 2

Verantwortlichkeiten und Prüfpflichten 3

Was sagt die Rechtsprechung? 4

Agenda

Wenn´s daneben geht: Bußgeldverfahren 5

… und in Zukunft nach DS-GVO 6

20

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Verantwortlichkeit

• Datenschutzrechtlich verantwortlich sind grundsätzlich

sowohl Veräußerer (z.B. Insolvenzverwalter) als auch

Erwerber (Es geht um „übermitteln“ und „erheben“).

Verantwortlichkeiten und

Prüfpflichten 3

21

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1

Datenschutzrechtliche Anforderungen beim Asset Deal 2

Verantwortlichkeiten und Prüfpflichten 3

Was sagt die Rechtsprechung? 4

Agenda

Wenn´s daneben geht: Bußgeldverfahren 5

… und in Zukunft nach DS-GVO 6

22

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Was sagt die Rechtsprechung? 4

• BAG, Urt. v. 20.05.2010, Az 8 AZR 872/08

(Asset Deal von BenQ)

Nur eine ordnungsgemäße Unterrichtung setzt die

Widerspruchsfrist nach § 613a Abs. 6 BGB in Gang

• LAG München, Urt. v. 10.02.2010, Az 6 Sa 872/07

Ein Unterrichtungsschreiben ist fehlerhaft und unvollständig

iSv § 613a Abs. 5 BGB beim Fehlen der Angabe der Anschrift

des Betriebserwerbers, der Angabe für den Grund des

Übergangs und der näheren Ausgestaltung des zugrunde

liegenden Rechtsgeschäfts

23

Beschäftigten

-daten

Beschäftigten

-daten

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Was sagt die Rechtsprechung? 4

• LG Düsseldorf, Urt. v. 06.02.2012, Az 5 O 288/06 u.a.

Der Käufer einer Steuerberaterpraxis kann von dem Kaufvertrag

zurücktreten, wenn der verkauften Praxis zum Zeitpunkt der

Übergabe eine vereinbarte Beschaffenheit i.S.v. § 434 BGB in

Form der vereinbarten Ertragsfähigkeit (nachhaltiges jährliches

Nettohonorar), bezogen auf den Fortbestand und den

Umsatzwert der laufenden Mandate, fehlte.

• OLG Köln, Urt. v. 14.08.2009, Az I-6 70/09

Der Antragsgegnerin wird untersagt, im geschäftlichen

Verkehr zum Zwecke des Wettbewerbs ehemalige eigene

Kunden zum Zwecke der Werbung anzuschreiben, wenn sie

hierbei die Information nutzt, dass diese zur Antragstellerin

gewechselt sind, eine Einwilligung der Verbraucher in die

Nutzung dieser Information nicht vorliegt .

24

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1

Datenschutzrechtliche Anforderungen beim Asset Deal 2

Verantwortlichkeiten und Prüfpflichten 3

Was sagt die Rechtsprechung? 4

Agenda

Wenn´s daneben geht: Bußgeldverfahren 5

… und in Zukunft nach DS-GVO 6

25

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Referat 1

• Beschäftigten-

datenschutz

• Video-

überwachung

Referat 2

• Banken

• Auskunfteien

• Werbung

• Auftragsdaten-

verarbeitung

• Kundenbindung

• Datenschutz-

organisation

Referat 3

• Versicherungen

• Gesundheits-

wesen

• Freiberufliche

Tätigkeiten

• Soziale

Einrichtungen

Referat 4

• Internet

• Telemedien

• Geodatendienste

• Apps

Referat 5

• Industrie

• Handel

• Bußgeldverfahren

• Internationaler

Datenverkehr

• Vereine

• Vermietung und

Wohneigentum

Referat 6

• Technischer

Datenschutz

• IT-Sicherheit

Präsident

• Leitung

• Grundsatzfragen

• Öffentlichkeitsarbeit

Geschäftsstelle

BayLDA als

Aufsichtsbehörde

BayLDA als

Bußgeldbehörde

Wenn´s daneben geht:

Bußgeldverfahren 5

Doppelfunktion

des BayLDA

26

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Folgen bei Verstößen

• unzulässige Übermittlung -> Speicherung beim Erwerber

ebenfalls unzulässig

– Erwerber muss die Kundendaten löschen (Ausnahme: Listendaten, s.o.)

–Datenschutzaufsichtsbehörde kann dies per Anordnung durchsetzen.

• zudem (häufig) Ordnungswidrigkeit

–Geldbuße bis zu 300.000,- € möglich

Wenn´s daneben geht:

Bußgeldverfahren 5

27

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Mögliche Adressaten für Bußgeld

Wenn´s daneben geht:

Bußgeldverfahren 5

Geldbuße ist grundsätzlich gegen beide beteiligten

Unternehmen denkbar.

Geldbußen auch denkbar gegen die Personen, die die

entsprechende unternehmerische Entscheidung

getroffen haben.

28

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Wenn´s daneben geht:

Bußgeldverfahren 5

29

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1

Datenschutzrechtliche Anforderungen beim Asset Deal 2

Verantwortlichkeiten und Prüfpflichten 3

Was sagt die Rechtsprechung? 4

Agenda

Wenn´s daneben geht: Bußgeldverfahren 5

… und in Zukunft nach DS-GVO 6

30

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

EU-Parlament

EU-Kommission

EU-Rat

Gemeinsamer Gesetzgeber: Parlament und Rat

Vorschlag

DS-GVO verabschiedet seit 14. April 2016

Im Gesetzblatt: Mai 2016 / Wirksam: Mai 2018

… und in Zukunft nach DS-GVO 6

31

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Informations-

möglichkeit über

DS-GVO

unter

www.lda.bayern.de

… und in Zukunft nach DS-GVO 6

32

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

… und in Zukunft nach DS-GVO 6

33

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

… und in Zukunft nach DS-GVO 6

34

BAYERISCHES LANDESAMT FÜR

DATENSCHUTZAUFSICHT

Thomas Kranig

Bayerisches Landesamt für Datenschutzaufsicht

Promenade 27 (Schloss)

91522 Ansbach

Telefon: (0981) 53-1300

Telefax: (0981) 53-5300

E-Mail: poststelle@lda.bayern.de

Webseite: www.lda.bayern.de

Vielen Dank für Ihr Interesse