Die Übermittlungen von Kundendaten beim Asset Deal – DSK bestätigt die Möglichkeit der Widerspruchslösung

Nicht erst seit in Kraft treten der DSGVO beschäftigen wir uns mit der Frage, wie Daten übertragen werden können, wenn das Unternehmen ganz oder in Teilen verkauft wird. Dass die Übermittlung von Kundendaten auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden kann, wenn den Kunden die Möglichkeit gegeben wird, der Übermittlung zu widersprechen hat kürzlich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) bestätigt.

Mit ihrem Beschluss haben sich die nationalen Aufsichtsbehörden auf einige Fallgruppen verständigt, die im Rahmen der Interessenabwägung bei einer Übermittlung von Kundendaten im Rahmen eines Asset Deals als Richtschnur berücksichtigt werden können. Ganz einig sind sich die Behörden allerdings nicht geworden: die Aufsichtsbehörden aus Berlin und Sachsen haben den Beschluss abgelehnt. 

Ausgang der Interessenabwägung ist abhängig von Aktualität der Vertragsbeziehung

Nach dem Beschluss kann die Übermittlung von Kundendaten bei laufenden Verträgen auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO erfolgen, wenn die entsprechende Genehmigung in den Vertragsübergang der Kundin oder des Kunden vorliegt. Haben die Kundinnen und Kunden deutlich gemacht, dass sie eine Fortführung durch die erwerbende Stelle wünschen, kann diese zivilrechtliche Genehmigung nach Ansicht der DSK dahingehend gedeutet werden, dass der Übermittlung keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen. Diese Kategorie fasst die DSK unter der ersten Fallgruppe „Kundendaten bei laufenden Verträgen“ zusammen.

Genaue Differenzierung bei Bestandskunden ohne laufende Vertragsbeziehung

Bei den sog. Bestandskunden, die oft einen großen Teil der Kundendatenbank bildet, differenziert die DSK vor allem anhand der gesetzlichen regelmäßigen Verjährungsfrist von 3 Jahren.

Personenbezogene Daten von Bestandskundinnen und -kunden, deren letzte aktive Vertragsbeziehung mehr als 3 Jahre zurückliegt, dürfen – so die DSK – zwar auch ohne Einwilligung übermittelt werden, aber sollen bei dem erwerbenden Unternehmen einer eingeschränkten Verarbeitung unterliegen (2. Fallgruppe). So sollen die Daten dieser Kundinnen und Kunden nur „wegen gesetzlichen Aufbewahrungsfristen“ genutzt werden, womit die Nutzungsmöglichkeiten für das erwerbende Unternehmen stark eingeschränkt sind. Da die DSK die sog. „Widerspruchslösung“ nur im Rahmen der 3. Fallgruppe (s.u.) ausdrücklich vorsieht, kann davon ausgegangen werden, dass sie für eine „aktive“ Nutzung dieser Daten von Kundinnen und Kunden wohl eine Einwilligung für erforderlich hält.

Die dritte Fallgruppe bezieht sich auf Daten von Bestandskundinnen und -kunden, mit denen in den letzten drei Jahren eine Vertragsbeziehung bestand, sowie auf Datenbestände zu Kundinnen und Kunden bei „fortgeschrittener Vertragsanbahnung“. Fallen Kundendaten unter diese Fallgruppe, soll die Widerspruchslösung durchgeführt werden. Bei der Widerspruchslösung werden die Betroffenen vor der geplanten Übermittlung ihrer Daten informiert und auf das bestehende Widerspruchsrecht hingewiesen. Erfolgt innerhalb einer angemessenen gesetzten Frist kein Widerspruch der jeweiligen Kundin oder des jeweiligen Kunden, dürfen die Daten zum festgelegten Stichtag übermittelt werden.

Ohne weitere Begründung nimmt die DSK jedoch an, dass Bankdaten (IBAN) von einem Übergang „per Widerspruchslösung“ ausgenommen sein sollen und nur nach ausdrücklicher Einwilligung der Kundin oder des Kunden übermittelt werden dürfen.

Bei jeder Unternehmenstransaktion sollte schon frühzeitig bedacht werden, dass die Widerspruchslösung eines gewissen zeitlichen Vorlaufs bedarf. Die von der DSK in dem Beschluss beispielhaft vorgeschlagene Widerspruchsfrist von sechs Wochen ist – insbesondere bei einer Information auf elektronischem Wege – sehr großzügig bemessen.

Eine Verkürzung dieser Frist dürfte insbesondere in Insolvenzverfahren möglich sein, wenn der schnelle Übergang des Unternehmens dazu führt, dass die Kunden auch zukünftig einen Vertragspartner haben, an den sie sich mit Mängelgewährleistungsansprüchen wenden können.

Kundendaten im Falle offener Forderungen

Eine weitere Kategorie stellen „Kundendaten im Falle offener Forderungen“ dar (4. Fallgruppe). Auch hier nimmt die DSK eine zulässige Übermittlung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO an, sofern die zivilrechtlichen Voraussetzungen der Forderungsabtretung nach den §§ 398 ff. BGB vorliegen. Überwiegende Gegeninteressen, die einer Übermittlung entgegenstehen, sollen allerdings dann bestehen, wenn die Abtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB).

Grenzen der Widerspruchslösung

Die Übermittlung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO kommt dann an ihre Grenzen, wenn besonders sensible Daten von Kundinnen und Kunden an den Erwerber übermittelt werden sollen. Sind zu der Kundin oder dem Kunden Daten gespeichert, die unter besondere Kategorien von Daten im Sinne des Art. 9 Abs. 1 DSGVO fallen, wie etwa Gesundheitsdaten, bedarf es einer datenschutzrechtlichen Einwilligung nach Art. 9 Abs. 2 lit. a, Art. 7 DSGVO. Das stellt die DSK nochmals unter der 5. Fallgruppe (Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO) ausdrücklich klar.

Fazit

Erfreulich ist an dem Beschluss die eindeutige Positionierung der Behörden dahingehend, dass es bei einer Übermittlung von Kundendaten beim Asset Deal nicht per se einer Einwilligung aller Betroffenen bedarf

, sondern auch Art. 6 Abs. 1 S. 1 lit. f i. V. m. Abs. 4 DSGVO als Rechtfertigung in Betracht kommen kann.

Positiv fällt zudem auf, dass die Behörden mit dem Beschluss die Widerspruchslösung, die sich bei Unternehmenstransaktionen als äußerst praktikabel erweist, als Mittel zur Wahrung der Interessen der Betroffenen nunmehr ausdrücklich akzeptieren.

Von Behördenseite wurde dieses Opt-Out Modell in der Vergangenheit lediglich durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gebilligt

. Mit dem neuen Beschluss kann diese Lösung nunmehr auch nach der DSGVO  und als von dem ganz überwiegenden Teil der Behörden – jedenfalls dem Grunde nach – als anerkannt gelten.

Im Einzelfall und mit Blick auf die jeweiligen Vertragsbeziehungen lassen sich die Anwendungsbereiche der Widerspruchslösung sicherlich noch etwas weiterziehen als von den Behörden in dem Beschluss vorgeschlagen. Bei den zu übermittelnden Daten gilt es genau hinzuschauen. Bei Onlineplattformen muss unseres Erachtens stärker berücksichtigt werden, dass Kunden auch in Zukunft einen ungehinderten Zugriff auf ihr Profil und ihre Shoppinghistorie haben möchten. Die gebildeten Fallgruppen lassen aber jedenfalls erkennen, welche Aspekte bei der Interessenabwägung nach Ansicht der Aufsichtsbehörden berücksichtigt werden sollten.

6. August 2019