datenschutz und unternehmensverkauf
TRANSCRIPT
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Thomas Kranig, Bayerisches Landesamt für Datenschutzaufsicht
Datenschutz und Unternehmensverkauf
VID-Mitgliedertagung
vom
21. bis 23. April 2016
in
Regensburg
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1
Datenschutzrechtliche Anforderungen beim Asset Deal 2
Verantwortlichkeiten und Prüfpflichten 3
Was sagt die Rechtsprechung? 4
Agenda
Wenn´s daneben geht: Bußgeldverfahren 5
2
… und in Zukunft nach DS-GVO 6
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1
Datenschutzrechtliche Anforderungen beim Asset Deal 2
Verantwortlichkeiten und Prüfpflichten 3
Was sagt die Rechtsprechung? 4
Agenda
Wenn´s daneben geht: Bußgeldverfahren 5
… und in Zukunft nach DS-GVO 6
3
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe:
Share Deal, Asset Deal 1
4
Share Deal Umwandlung Asset Deal
Erwerb einer gesellschafts-
rechtlichen Beteiligung an
einem Unternehmen (z.B.
Aktien einer AG, Anteile einer
GmbH)
Rechtsträger des Unter-
nehmens (z.B. GmbH) bleibt
unverändert, es ändert sich
nur die Struktur der
Anteilseigner
personenbezogene Daten
(z.B. von Kunden) verbleiben
bei derselben „verantwort-
lichen Stelle“ (z.B. der
GmbH), daher keine
„Übermittlung“
Umwandlungen gemäß
Umwandlungsgesetz / UmwG
(Verschmelzungen;
Spaltungen)
UmwG ordnet Gesamt-
rechtsnachfolge an, daher
keine „Übermittlung“
personenbezogener Daten
(andere Ansicht: zwar
Übermittlung, diese ist aber
gerechtfertigt, da UmwG
gegenüber BDSG vorrangig
- § 1 Abs. 3 Satz 1 BSDG)
Asset Deal = Veräußerung
einzelner Wirtschaftsgüter
(Assets), z.B. Maschinen,
Gebäude, …
Erwerber ist ggü. Veräußerer
neuer Rechtsträger
werden personenbezogene
Daten als Asset übertragen,
gelangen sie zu einer neuen
„verantwortlichen Stelle“
„Übermittlung“ im Sinne von
§ 3 Abs. 4 Satz 2 Nr. 3 BDSG
Häufiger Fall: Veräußerung
durch Insolvenzverwalter
Datenschutzrechtlich
grundsätzlich
unproblematisch
Datenschutzrechtlich
grundsätzlich
unproblematisch
Datenschutzrechtlich
problematisch
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1
Datenschutzrechtliche Anforderungen beim Asset Deal 2
Verantwortlichkeiten und Prüfpflichten 3
Was sagt die Rechtsprechung? 4
Agenda
Wenn´s daneben geht: Bußgeldverfahren 5
… und in Zukunft nach DS-GVO 6
5
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
„Übermittlung“ liegt vor, sobald Kundendaten
an den Erwerber weitergegeben oder
vom Erwerber abgerufen oder eingesehen werden
Übermittlung personenbezogener Daten zulässig, wenn
Betroffener vorher eingewilligt hat (§ 4a Abs. 1 BDSG) oder
Übermittlung aufgrund einer Rechtsvorschrift zulässig ist (§ 4 Abs. 1 BDSG
- sog. Verbot mit Erlaubnisvorbehalt)
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
6
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
bei Asset Deals ist häufig die Übermittlung der
„Kundendatenbank“ gewollt
typischerweise Stammdaten / Kontaktdaten (Name, postalische
Adresse, ggf. E-Mail-Adresse, Telefonnummer, …)
u.U. weitergehende Daten, z.B. Konto-/Kreditkartendaten ,
„Bestellhistorie“, Interessenprofil, besondere Wünsche (z.B. bei
„Stammkunden“), Historie der im Rahmen der Kundenbetreuung
stattgefundenen Kontakte, …
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
7
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
8
Einwilligung der Kunden liegt meist nicht vor.
Übermittlung aufgrund von Rechtsvorschrift zulässig ?
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
• § 28 Abs. 3 Satz 2 BDSG: sog. Listendaten dürfen zu Werbezwecken
auch ohne Einwilligung übermittelt werden
• sog. Listendaten: Name, postalische Adresse, Geburtsjahr
• nicht: Geburtsdatum, Telefonnummer, E-Mail-Adresse, Konto-/Kreditkartendaten,
„Bestellhistorie“, …
• Was ist mit den Nicht-Listendaten?
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
9
Listendaten
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Veräußerer hat Interesse, Kundendaten zu verkaufen
so z.B. im Insolvenzfall
Allerdings keineswegs auf Insolvenzfälle beschränkt
Erwerber hat oft Interesse, die Bestandskunden des Veräußerers selbst
werblich anzusprechen
aber: Gesetz erlaubt Übermittlung zu werblichen Zwecken (sofern keine
Einwilligung der Betroffenen vorliegt) nur für sog. Listendaten (s.o.)
sofern Übermittlungszweck die Werbung ist, dürfen Nicht-Listendaten
somit nicht übermittelt werden
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
10
Übermittlung auf Rechtsgrundlage (1)
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
„Lösung“ nur möglich, wenn die Daten außer für werbliche Zwecke noch in
Wahrnehmung anderer „berechtigter Interessen“ der beteiligten
Unternehmen übermittelt werden
Frage des Einzelfalls; Gesamtbetrachtung der Transaktion nötig
hierbei: Fortführung des Unternehmens oder eines Unternehmensteils als
(gegenüber der Werbung) eigenständiges Interesse denkbar
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
11
Übermittlung auf Rechtsgrundlage (2)
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
setzt meist voraus, dass das gesamte „Unternehmen“ oder
zumindest ein Geschäftsbereich veräußert wird
nur dann kann man in der Regel von Unternehmens(teil)veräußerung sprechen
setzt wohl in der Regel die Veräußerung mehrerer signifikanter
Vermögensgegenstände (Assets) voraus
Veräußerung einzig der Kundendatenbank genügt jedenfalls nicht, da dabei meist
Werbezweck im Vordergrund stehen wird (dazu s.o.)
Frage des Einzelfalls: Maßgeblich ist, ob man bei einer
Gesamtbetrachtung von einer Fortführung des Unternehmens oder
zumindest eines signifikanten Geschäftsbereichs sprechen kann
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
12
Fortführung des Unternehmens
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Bei „Unternehmens(teil)fortführung“ kann Übermittlung u.U. mit
berechtigten Interessen von Veräußerer und Erwerber legitimiert werden
allerdings nur, soweit schutzwürdige Interessen der Betroffenen (Kunden)
dem nicht entgegenstehen bzw. nicht überwiegen (§ 28 Abs. 2 Nr. 1 bzw. Nr.
2 a BDSG)
Wann das der Fall ist, sagt das Gesetz leider nicht.
Fraglich bezgl. Kontoverbindungsdaten
Unzulässig jedenfalls bei besonderen Arten personenbezogener Daten, z.B.
Gesundheitsdaten!
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
13
Berechtigtes Interesse
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Widerspruchslösung: Übermittlung (nur) zulässig, wenn
die Betroffenen vorher über die geplante Übermittlung ihrer Daten
informiert wurden,
ihnen dabei ein ausreichend lang bemessenes Widerspruchsrecht (Regel: ca.
3 Wochen, jedoch Frage des Einzelfalls) eingeräumt wurde
und sie nicht widersprochen haben.
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
14
Auffassung des BayLDA
Achtung: Andere Aufsichtsbehörden lehnen Widerspruchslösung als zu weitgehend ab und verlangen generell Einwilligung.
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Korrekte Reihenfolge: erst Information mit Einräumung
des Widerspruchsrechts; Übermittlung erst nach Ablauf
der Widerspruchsfrist
Potentieller Erwerber darf im Zeitpunkt der Information
noch keine Verfügungsgewalt über die Daten haben.
Nachträgliche Information der Kunden genügt nicht.
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
15
Kriterien der Widerspruchslösung
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Sonderproblem E-Mail- u. Telefonwerbung
Sonderproblem: Erwerber möchte die E-Mail-Adressen und/oder Telefonnummern für eigene
Werbezwecke nutzen
• Im Ergebnis - selbst bei Befolgung der „Widerspruchslösung“ -
nicht möglich (!)
• Grund: § 7 Abs. 2 und Abs. 3 UWG: E-Mail-Werbung nur mit
ausdrücklicher Einwilligung des Adressaten zulässig
• Selbst eine vom Kunden dem Veräußerer erteilte Einwilligung zur
E-Mail-Werbung hilft nicht, denn sie geht nicht auf den Erwerber
über.
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
16
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Sonderproblem E-Mail- u. Telefonwerbung
• Erworbene E-Mail-Adressen u. Telefonnummern sind damit
hinsichtlich Werbung „totes Material“.
• Anders bei Kunden, die zwischenzeitlich einen Vertrag mit
dem Erwerber eingegangen sind: Gegenüber solchen
Eigenkunden darf der Erwerber unter den Voraussetzungen
des § 7 Abs. 3 UWG E-Mail-Werbung betreiben.
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
17
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Sonderfall bestehende Vertragsverhältnisse
Bestehende Vertragsverhältnisse (z.B. Darlehen, Miete,
Abonnements) können nur mit Zustimmung aller
Vertragsparteien „im Ganzen“ auf den Erwerber übertragen
werden.
• Zustimmung des Kunden somit schon aus zivilrechtlichen Gründen
nötig
• datenschutzrechtliche Problematik ist demgegenüber nur sekundär
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
18
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Sonderfall Forderungsabtretung
Forderungen können zivilrechtlich auch ohne Zustimmung des
Schuldners abgetreten werden
• Dürfen Daten des Schuldners an den Zessionar (Forderungserwerber)
übermittelt werden?
• in der Regel ja (§ 398 i.V.m. § 402 BGB)
• u.U. aber nein, wenn Daten einem Berufsgeheimnis (§ 203 StGB)
unterfallen (z.B. Arzt, Rechtsanwalt)
– hier differenzierte Rechtsprechung, auch mit Unterschieden zwischen den einzelnen
Berufsgruppen
Datenschutzrechtliche
Anforderungen beim Asset Deal 2
19
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1
Datenschutzrechtliche Anforderungen beim Asset Deal 2
Verantwortlichkeiten und Prüfpflichten 3
Was sagt die Rechtsprechung? 4
Agenda
Wenn´s daneben geht: Bußgeldverfahren 5
… und in Zukunft nach DS-GVO 6
20
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Verantwortlichkeit
• Datenschutzrechtlich verantwortlich sind grundsätzlich
sowohl Veräußerer (z.B. Insolvenzverwalter) als auch
Erwerber (Es geht um „übermitteln“ und „erheben“).
Verantwortlichkeiten und
Prüfpflichten 3
21
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1
Datenschutzrechtliche Anforderungen beim Asset Deal 2
Verantwortlichkeiten und Prüfpflichten 3
Was sagt die Rechtsprechung? 4
Agenda
Wenn´s daneben geht: Bußgeldverfahren 5
… und in Zukunft nach DS-GVO 6
22
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Was sagt die Rechtsprechung? 4
• BAG, Urt. v. 20.05.2010, Az 8 AZR 872/08
(Asset Deal von BenQ)
Nur eine ordnungsgemäße Unterrichtung setzt die
Widerspruchsfrist nach § 613a Abs. 6 BGB in Gang
• LAG München, Urt. v. 10.02.2010, Az 6 Sa 872/07
Ein Unterrichtungsschreiben ist fehlerhaft und unvollständig
iSv § 613a Abs. 5 BGB beim Fehlen der Angabe der Anschrift
des Betriebserwerbers, der Angabe für den Grund des
Übergangs und der näheren Ausgestaltung des zugrunde
liegenden Rechtsgeschäfts
23
Beschäftigten
-daten
Beschäftigten
-daten
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Was sagt die Rechtsprechung? 4
• LG Düsseldorf, Urt. v. 06.02.2012, Az 5 O 288/06 u.a.
Der Käufer einer Steuerberaterpraxis kann von dem Kaufvertrag
zurücktreten, wenn der verkauften Praxis zum Zeitpunkt der
Übergabe eine vereinbarte Beschaffenheit i.S.v. § 434 BGB in
Form der vereinbarten Ertragsfähigkeit (nachhaltiges jährliches
Nettohonorar), bezogen auf den Fortbestand und den
Umsatzwert der laufenden Mandate, fehlte.
• OLG Köln, Urt. v. 14.08.2009, Az I-6 70/09
Der Antragsgegnerin wird untersagt, im geschäftlichen
Verkehr zum Zwecke des Wettbewerbs ehemalige eigene
Kunden zum Zwecke der Werbung anzuschreiben, wenn sie
hierbei die Information nutzt, dass diese zur Antragstellerin
gewechselt sind, eine Einwilligung der Verbraucher in die
Nutzung dieser Information nicht vorliegt .
24
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1
Datenschutzrechtliche Anforderungen beim Asset Deal 2
Verantwortlichkeiten und Prüfpflichten 3
Was sagt die Rechtsprechung? 4
Agenda
Wenn´s daneben geht: Bußgeldverfahren 5
… und in Zukunft nach DS-GVO 6
25
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Referat 1
• Beschäftigten-
datenschutz
• Video-
überwachung
Referat 2
• Banken
• Auskunfteien
• Werbung
• Auftragsdaten-
verarbeitung
• Kundenbindung
• Datenschutz-
organisation
Referat 3
• Versicherungen
• Gesundheits-
wesen
• Freiberufliche
Tätigkeiten
• Soziale
Einrichtungen
Referat 4
• Internet
• Telemedien
• Geodatendienste
• Apps
Referat 5
• Industrie
• Handel
• Bußgeldverfahren
• Internationaler
Datenverkehr
• Vereine
• Vermietung und
Wohneigentum
Referat 6
• Technischer
Datenschutz
• IT-Sicherheit
Präsident
• Leitung
• Grundsatzfragen
• Öffentlichkeitsarbeit
Geschäftsstelle
BayLDA als
Aufsichtsbehörde
BayLDA als
Bußgeldbehörde
Wenn´s daneben geht:
Bußgeldverfahren 5
Doppelfunktion
des BayLDA
26
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Folgen bei Verstößen
• unzulässige Übermittlung -> Speicherung beim Erwerber
ebenfalls unzulässig
– Erwerber muss die Kundendaten löschen (Ausnahme: Listendaten, s.o.)
–Datenschutzaufsichtsbehörde kann dies per Anordnung durchsetzen.
• zudem (häufig) Ordnungswidrigkeit
–Geldbuße bis zu 300.000,- € möglich
Wenn´s daneben geht:
Bußgeldverfahren 5
27
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Mögliche Adressaten für Bußgeld
Wenn´s daneben geht:
Bußgeldverfahren 5
Geldbuße ist grundsätzlich gegen beide beteiligten
Unternehmen denkbar.
Geldbußen auch denkbar gegen die Personen, die die
entsprechende unternehmerische Entscheidung
getroffen haben.
28
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Wenn´s daneben geht:
Bußgeldverfahren 5
29
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Klärung der Begriffe: Umwandlung, Share Deal, Asset Deal 1
Datenschutzrechtliche Anforderungen beim Asset Deal 2
Verantwortlichkeiten und Prüfpflichten 3
Was sagt die Rechtsprechung? 4
Agenda
Wenn´s daneben geht: Bußgeldverfahren 5
… und in Zukunft nach DS-GVO 6
30
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
EU-Parlament
EU-Kommission
EU-Rat
Gemeinsamer Gesetzgeber: Parlament und Rat
Vorschlag
DS-GVO verabschiedet seit 14. April 2016
Im Gesetzblatt: Mai 2016 / Wirksam: Mai 2018
… und in Zukunft nach DS-GVO 6
31
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Informations-
möglichkeit über
DS-GVO
unter
www.lda.bayern.de
… und in Zukunft nach DS-GVO 6
32
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
… und in Zukunft nach DS-GVO 6
33
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
… und in Zukunft nach DS-GVO 6
34
BAYERISCHES LANDESAMT FÜR
DATENSCHUTZAUFSICHT
Thomas Kranig
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 27 (Schloss)
91522 Ansbach
Telefon: (0981) 53-1300
Telefax: (0981) 53-5300
E-Mail: [email protected]
Webseite: www.lda.bayern.de
Vielen Dank für Ihr Interesse