Ein Unternehmenskauf kann vielerlei Gründe haben, beispielsweise der Erwerb von Kundendaten, die Übernahme von Schlüsselmitarbeitern des Zielunternehmens oder auch die Übernahme von Lieferbeziehungen. Nicht selten wird er als Einstieg in die Selbstständigkeit genutzt, die hierfür bekanntesten Beispiele sind wohl die häufig praktizierten Übernahmen von Arztpraxen, Apotheken oder Zahnarztpraxen. Ein Unternehmenskauf bringt in der Regel auch einen Übergang von personenbezogenen Daten mit sich. Aus diesem Grund sollten die datenschutzrechtlichen Regelungen beachtet werden, um möglichen Sanktionen entgegenzuwirken.
Personenbezogene Daten – Währung des 21. Jahrhunderts
Das Pflegen von Kundenbeziehungen war und ist das A und O für mögliche Umsatzsteigerungen im Unternehmen. Je mehr Informationen über die Verhaltensweisen des Kunden gesammelt werden können, desto einfacher ist es, gezielt die individuellen Bedürfnisse des Einzelnen zu erfassen, um diesem direkt die Produkte oder Dienstleistungen anzubieten, die er braucht oder die er nach ähnlichen Verhaltensmustern anderer Konsumenten in Betracht ziehen könnte. Wer Kundendaten sammelt und effektiv auswertet erhält folglich nicht nur einen Vorsprung im Verhältnis zu anderen Mitbewerbern, sondern kann sich Umsatzsteigerungen durch effiziente Datenauswertung und damit verbundene Vermarktung sichern. Somit stellen Kundendaten einen wesentlichen Vermögenswert dar und können ein Grund für einen Unternehmenskauf sein. Auf das oben aufgeführte Beispiel der Übernahme einer Arztpraxis bezogen, kann es sich hierbei um die unmittelbare Gewinnung von 500 und mehr Kunden handeln. Der Kunde, in diesem Fall Patient, wird dabei indirekt und vermeintlich zur Ware.
Aufgrund des Personenbezugs von Kunden-, Mitarbeiter- und Lieferantendaten sollten nicht-öffentliche Stellen den Datenschutz beim Unternehmenskauf daher nicht außer Acht lassen (§ 3 BDSG). Personenbezogene Daten bedürfen nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) eines besonderen Schutzes. So ist das Verarbeiten, Nutzen und Speichern personenbezogener Daten nur dann gestattet, wenn
- der Betroffene dem freiwillig zustimmt oder
- eine gesetzliche Vorschrift existiert, die das Verfahren erlaubt.
Neben den Kundendaten stellen auch Mitarbeiterdaten oder auch Lieferantendaten personenbezogene Daten dar, welche ebenso unter den § 4 Abs. 1 BDSG fallen und einer vorvertraglichen Prüfung, ob eine Zustimmung der Betroffenen einzuholen ist, bedürfen.
Datenschutz beim Unternehmenskauf
Vor einem Unternehmenskauf ist der Austausch von Informationen unerlässlich — sei es, um die Haftung zu beschränken, indem die Aufklärungspflicht durch den Verkäufer statuiert wird, oder um im Interesse des Käufers vollumfängliche Informationen über das Kaufobjekt zu erhalten. Dabei besteht besonders bei der Übertragung von Personendaten, welche von den Kunden, Lieferanten und Mitarbeitern des Unternehmens gesammelt wurden, eine Möglichkeit, gegen datenschutzrechtliche Reglementarien zu verstoßen.
Wie oben bereits erwähnt, stellt die Übermittlung personenbezogener Daten nach dem § 4 BDSG einen vom Betroffenen zustimmungsbedürftigen Vorgang dar, sofern keine gesetzliche Bestimmung besteht. Folglich ist es relevant, zu prüfen, ob die Übertragung eine Zustimmung des Betroffenen benötigt oder nicht.
Im Fokus eines Unternehmenskaufes steht oft der Erwerb von Kundendaten, da diese einen wichtigen Teil des Unternehmenswertes darstellen. Gerade weil der Käufer den wertvollen Kundenstamm (verbunden mit den Kundendaten) übernehmen will, wird der Käufer einen entsprechenden Betrag verlangen wollen. Ein Übergang dieser Daten ist jedoch datenschutzrechtlich gesehen nicht immer zulässig. Es muss im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen. Dies gilt vor allem, wenn es sich nicht um einen Anteilskauf (Share Deal) oder eine Verschmelzung des Unternehmens mit einem anderen handelt, sondern um einen Kauf von Vermögenswerten des Unternehmens (Asset Deal), bei dem die Rechtspersönlichkeit des Unternehmens bestehen bleibt.
Share Deal
Der Share Deal ist neben dem Asset Deal eine Möglichkeit des Unternehmenskaufes und beschreibt den Anteilskauf (z. B. Kauf von Aktien oder von GmbH-Anteilen) eines Unternehmens. Obwohl bei einem hundertprozentigen Anteilskauf die Gesamtheit des Unternehmens übergeht, bieten sich einige datenschutzrechtliche Risiken, welche beachtet werden sollten.
Wie erwähnt, wird der Käufer vor einem Unternehmenskauf Informationen über das Unternehmen verlangen. Dies geschieht mithilfe der Due Diligence (kurz DD), auch bekannt als Due-Diligence-Prüfung (im Geschäftsverkehr gebotene Sorgfaltspflicht), welche eine Risikoprüfung darstellt und i. d. R. vom Käufer angefertigt oder beauftragt wird, Aufklärung über die tatsächliche Unternehmenssituation zu schaffen. Es ist nicht selten der Fall, dass der Käufer hierbei von „Dritten“, wie Steuerberatern, Unternehmensberater, Wirtschaftsprüfern oder Rechtsanwälten, unterstützt wird. Eine Due Diligence kann somit dem Käufer und weiteren „Dritten“ Zugang zu Kundenlisten oder Arbeitnehmerdaten liefern. In einem solchen Fall ist das Informieren der Betroffenen oder die Einholung ihrer Zustimmung meist nicht notwendig.
Der § 28 Abs. 1 Nr. 2 BDSG sieht zwar vor, dass der Zugriff auf personenbezogene Daten zulässig ist, sofern dieser der „Wahrung berechtigter Interessen der verantwortlichen Stelle“ dient und „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Fraglich ist jedoch, ob die Veräußerung des Unternehmens ein „berechtigtes Interesse“ darstellt, da es sich dabei vorrangig um das Interesse der Gesellschafter handelt. Aus diesem Grund ist es empfehlenswert, bei der Vorlage einer Due Diligence personenbezogene Daten unkenntlich zu machen oder zu anonymisieren.
Asset Deal
Im Unterschied zum Share Deal werden beim Asset Deal nicht Anteilsrechte am Unternehmen erworben, sondern einzelne Wirtschaftsgüter. Dabei gehen die bestehenden Verhältnisse (z.B. Verträge) nicht mit auf den Erwerber über. Sollen diese mit übergehen, muss eine Vereinbarung des Überganges zwischen Verkäufer und Käufer vereinbart werden. Datenschutzrechtlich brisant wird das Thema, wenn ein Kundenstamm veräußert werden soll. Hierbei handelt es sich um die Übertragung personenbezogener Daten. Bei Kundendaten handelt es sich i. d. R. um Einzelangaben (wie Name, Adresse, Geburtsdatum usw.), welche unmittelbare oder mittelbare Rückschlüsse auf die Person (Betroffener) zulassen. In den meisten Fällen wird deshalb eine Zustimmung des Betroffenen notwendig sein.
In diesem Zusammenhang ist die Übermittlung von Namen, Postanschrift, Geburtsjahr und Beruf durch das im § 28 Abs. 3 BDSG enthaltene „Listenprivileg“ in den meisten Fällen unproblematisch.
Anders sieht es jedoch aus bei Kundeninformationen des Unternehmens, z.B. E-Mail-Adresse, Telefonnummer, Kaufhistorie oder auch Konto- oder Kreditkartendaten. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht ist die Übermittlung solcher personenbezogenen Daten nur zulässig, sofern eine Belehrung der betroffenen Kunden stattgefunden hat und die Widerspruchsmöglichkeit dem Kunden mitgeteilt wurde. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte, in dem von ihr entschieden Fall, wegen des Verstoßes genannter Kriterien ein Bußgeld von 3000 €.
Aus diesem Grund sollte vor Vertragsschluss immer die Einwilligung des Kunden eingeholt werden, da dies die spätere Weitergabe und Nutzung der Daten durch den Käufer erheblich erleichtert. Wird vorab beim Kunden keine Zustimmung eingeholt, besteht die Möglichkeit den Kunden über sein Widerspruchsrecht zu informieren und diesem eine Frist für den Widerspruch zu gewähren. Ein Verstoß gegen diese Vorgaben kann zu empfindlichen Sanktionen führen, welche nicht nur einen finanziellen Verlust mit sich bringen, sondern sich auch negativ auf das Image des Unternehmens auswirken können.
Fazit
Bei einem Unternehmenskauf ist immer eine genaue Analyse des Unternehmens erforderlich. Diese ist nicht nur relevant für den Käufer, indem dieser u.a. Informationen über das Zielobjekt erhält, sondern schützt den Verkäufer mitunter durch die Dokumentation der Vorverkaufsmaßnahmen (z.B. Due Diligence) vor möglichen Ansprüchen des Käufers, wegen Verletzung der Nebenpflichten aufgrund von nicht ordnungsgemäßer Aufklärung über das Objekt.
Datenschutzrechtlich relevant ist dieser Vorgang beim Unternehmenskauf besonders dann, wenn personenbezogene Daten übertragen werden. Um mögliche Haftungsrisiken zu vermeiden, sollte vorab geprüft werden, wie diese zu kategorisieren sind. Zu unterscheiden ist dabei die Zulässigkeit der Datenübermittlung und die Verwertbarkeit der Daten für den Käufer, welche ebenso erhebliche Kriterien für die Kaufpreisfindung sind und den Kernbereich einer Due Diligence bilden.
Sollte eine umfangreiche Datenschutzanalyse entfallen, ist von einer grob fahrlässigen Handlung auszugehen, da eine solche Analyse ein in der Praxis häufig angewendetes Verfahren ist. Eine daraus resultierende widerrechtliche Handlung in Sachen Datenschutz kann durch die Aufsichtsbehörde mit empfindlichen Sanktionen belegt werden und hat weitreichendere Folgen als den Verlust von Kapital, da ein Verlust des Ansehens (Image) des Unternehmens meist auch den Verlust von Kundschaft bedeutet.