Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO. Carmen Födisch
oder eine Verarbeitung von Daten lediglich die Grundlage für die Ausgestaltung des Leistungsangebotes darstellt.5 Dabei bezieht sich eine wesentliche Unternehmenstätigkeit auf das Erfassen, Zusammenstellen und Analysieren von Daten bereits bestehender als auch potenzieller (Neu-)Kunden.6 Personalisierte Produkte und Dienstleistungen, die mithilfe von Datenanalysen erbracht werden, ermöglichen nicht nur, dass Unternehmen besser auf die Wünsche der Kunden eingehen können, sondern führen häufig auch zu einer gewaltigen Umsatzsteigerung und Kosteneinsparung. Für Unternehmen stellen Daten also zweifelsohne einen relevanten Vermögenswert dar, den sie wirtschaftlich zu verwerten versuchen.7 Zutreffend geht daher die Europäische Kommission davon aus, dass Daten „die wertvollste Ressource der heutigen Wirtschaft“ sind.8 Fest steht, dass in Zukunft nahezu kein Unternehmenskonzept mehr ohne Daten überleben wird.9 Bis zum Jahr 2025 ist zu erwarten, dass die heutige Datenmenge um ein Zehnfaches ansteigt.10 Es ist eine datengetriebene Wirtschaft herangewachsen, deren Herausforderungen sich das Recht stellen muss.
Entsprechend steigt auch der Bestand an Datenmengen, die bei Unternehmenstransaktionen zu transferieren sind. Der wirtschaftlichen Bedeutung von Daten muss in der heutigen digitalen Welt, die vom Handel mit und der Ökonomisierung von Daten lebt, Rechnung getragen werden.11 Der globalisierte Markt hat dazu geführt, dass der Umgang sowie der Handel mit Daten mittlerweile zum alltäglichen Unternehmensgeschäft gehören und infolgedessen Datenflüsse länderübergreifend stattfinden.12 Dies berührt vornehmlich auch solche Unternehmenstransaktionen, bei denen Daten nicht nur als untrennbarer Bestandteil von Verträgen auf den Unternehmenserwerber übergehen, sondern als selbstständiger wertvoller Vermögensbestandteil eines Unternehmens den Gegenstand der Transaktion bilden, was vor allem Kundendaten betrifft.13 Kundendaten haben in ihrem Wertgehalt den klassischen Vermögensgütern eines Unternehmens längst den Rang abgelaufen und bilden die wesentliche Grundlage für die Fortführung des Unternehmens. Immer häufiger sind deshalb Unternehmenstransaktionen beinahe ausschließlich darauf ausgelegt, Datenbestände zu akquirieren.14
II. Die Rolle des Datenschutzes und der Einfluss der DSGVO auf Unternehmenstransaktionen
Neben dieser wirtschaftlichen Bedeutung der Datenübertragungen im Zuge von Unternehmenstransaktionen treten umfangreiche rechtliche Erfordernisse, die es zu bewältigen gilt. Da die Notwendigkeit einer Datenübertragung die rechtliche Komplexität von Unternehmenstransaktionen erhöht, rückt der Datenschutz immer häufiger in den Fokus der beteiligten Unternehmen, aber auch der Öffentlichkeit. Die Aktualität der Datenschutz-Grundverordnung,15 die erst seit dem 25. Mai 2018 gilt,16 und der dringende Bedarf ihrer Konkretisierung bedingen in entscheidender Weise die vorliegende Untersuchung zum Thema „Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der Datenschutz-Grundverordnung“, bei der eine praxisorientierte Bewertung aus der Perspektive von datenverarbeitenden Unternehmen vorgenommen werden soll.17 Dem wirtschaftlichen Streben muss das (sich noch in einer Umbruchsphase befindende) Datenschutzrecht gerecht werden, um den grundrechtlich garantierten Rechten der betroffenen Personen ausreichend Schutz zu gewähren.
Die Relevanz und Reichweite des Datenschutzes zeigt sich auch daran, dass die Vorschriften der DSGVO nicht nur für Großkonzerne Anwendung finden können. Selbst bei einem Verkauf eines kleinen oder mittelständischen Handwerksbetriebs verfügt der Veräußerer häufig über Daten seiner Kunden, die datenschutzrechtlichen Vorschriften unterliegen. Da Unternehmenstransaktionen aber unter hohem Zeitdruck stehen, werden immer wieder datenschutzrechtliche Vorgaben um des Transaktionserfolges willen vernachlässigt. Abgesehen von den Gefahren, die sich für die Rechte und Freiheiten der betroffenen Personen dabei ergeben, können Verstöße gegen die DSGVO hohe Geldbußen in Millionenhöhe für den Veräußerer eines Unternehmens und den Erwerber nach sich ziehen, die die wirtschaftliche Existenz des Unternehmens gefährden können. Zugleich kann die Missachtung des Datenschutzes gravierende negative Auswirkungen auf das Image eines Unternehmens haben. Seit der Geltung der DSGVO ist es verstärkt Gegenstand öffentlichen Diskurses, inwieweit sich die Privatwirtschaft mit der Einhaltung des Datenschutzes befasst. Das Unrechtsempfinden der Kunden und ihre Erwartungen an den Schutz ihrer Privatsphäre haben sich verändert.18 Während zwar einige betroffene Personen sorglos mit ihren Daten umgehen und diese oft aus freiem Entschluss in den öffentlichen Wirtschaftsverkehr hineingeben,19 steigt gleichzeitig aber die Angst davor, dass sie die Kontrolle über ihre Daten verlieren. Diesen Umstand müssen Unternehmen während einer Transaktion berücksichtigen, denn der Datenschutz birgt nicht mehr bloß rechtliche Probleme, sondern ist längst von gesellschaftlicher Tragweite und kann schwerwiegende wirtschaftliche Konsequenzen für das Unternehmen hervorrufen.
III. Das Paradoxon der bestehenden Rechtsunsicherheit und dem hohen Wert von Kundendaten bei Unternehmenstransaktionen
Nicht nur weil die Öffentlichkeit für den Datenschutz sensibler wird und die Geldbußen in der DSGVO drastisch erhöht worden sind, ist es für die beteiligten Akteure an einer Unternehmenstransaktion längst ein eigenes wichtiges Anliegen geworden, dass der gesamte Vorgang datenschutzkonform ausgestaltet wird. Auch für den Erfolg einer Unternehmenstransaktion ist die Veräußerung von Kundendaten unabdingbar.20 Auf der einen Seite steht für den Veräußerer eines Unternehmens die zulässige Verwertung der Kundendaten im Mittelpunkt, um einen möglichst hohen Kaufpreis für das Unternehmen zu erzielen. Auf der anderen Seite besteht ebenso ein erhebliches Interesse an der Nutzungsmöglichkeit der Daten im weiteren Geschäftsbetrieb des Erwerbers. Ob aber der Erwerber im Falle der Durchführung der geplanten Transaktion überhaupt in der Lage sein wird, den Geschäftsbetrieb des übernommenen Unternehmens fortzuführen, hängt entscheidend von der Übertragung der Kundendaten ab.21 Können Kundendaten im Anschluss an eine Unternehmenstransaktion nicht weiter genutzt werden, da sie nicht datenschutzkonform veräußert wurden, verlieren sie ihren Wert. Der besondere Anreiz der Unternehmenstransaktion, der gegenüber einer Neugründung gerade darin liegt, dass Kundendaten nicht erst noch akquiriert werden müssen, geht damit verloren.
Es reicht jedoch nicht aus, wenn Unternehmen sich auf die rein reaktive Prüfung von datenschutzrechtlichen Fragestellungen beschränken. Stattdessen müssen sie bereits im Vorfeld die datenschutzrechtliche Zulässigkeit der Datenübermittlung beurteilen. Die Kontroverse entspringt insbesondere der datenschutzrechtlichen Frage, ob den Kunden eine autonome Entscheidungsfreiheit über den Umgang mit ihren personenbezogenen Daten eingeräumt werden muss oder stattdessen die DSGVO einen wirksamen Rechtsrahmen schafft, der auch ohne ein Einwilligungserfordernis einen hinreichenden Schutzumfang für die Interessen und Rechte der Kunden gewährleistet. In der Vergangenheit wurden bislang bei Unternehmenstransaktionen große Mengen an personenbezogenen Daten übertragen, ohne dass betroffene Kunden darüber informiert wurden oder deren Behandlung aus datenschutzrechtlicher Sicht geklärt war. Neuerdings ist in der datenschutzrechtlichen Debatte zu befürchten, dass sich – angesichts einer zur alten Rechtslage ergangenen behördlichen Entscheidung und der fehlenden Konkretisierung durch die DSGVO – nicht mehr mit alternativen Lösungswegen auseinandergesetzt und darauf beharrt wird, dass unter allen Umständen der Kunde in die Datenübertragung einwilligen muss.22 Neben dieser pauschalen Einschränkung der Rechtfertigungsmöglichkeiten muss zugleich hinterfragt werden, ob es aus unternehmerischer Sicht überhaupt gerechtfertigt werden kann, dass dem Kunden eine derart weitgehende Entscheidungsbefugnis lediglich aufgrund von datenschutzrechtlichen Erwägungen übertragen wird, die sich erheblich auf den wirtschaftlichen Erfolg einer Unternehmenstransaktion auswirken kann.
Umso mehr verwundert es, dass keine hinreichende Klarheit besteht, ob die Übertragung von personenbezogenen Kundendaten vom Veräußerer eines Unternehmens an einen Erwerber datenschutzrechtlich gerechtfertigt werden kann und welche datenschutzrechtlichen Anforderungen im Hinblick auf den Umgang mit Kundendaten während des gesamten Prozesses einer Unternehmenstransaktion konkret zu erfüllen sind.23 Da die Parteien bei Rechtsverstößen in der Praxis bislang häufig versucht haben, sich außergerichtlich zu einigen, um öffentliche Aufmerksamkeit zu vermeiden,24 fehlt es vor allem auch an gerichtlichen Entscheidungen zu den relevanten datenschutzrechtlichen Fragestellungen.25 Hinsichtlich der Frage des Kundendatenschutzes bei Unternehmenstransaktionen verkompliziert sich der durch die