A. Die Ausgangslage
Um das Problem zu verdeutlichen, gehen wir von nachfolgendem Beispiel aus:
Unternehmer X will sein großes Info-Portal an den Unternehmer Y verkaufen. Herr X hat über viele Jahre zahlreiche Adressdaten seiner Nutzer (z. B. Name und E-Mail-Adresse) und außerdem Werbe-Opt-ins (z. B. Einwilligung in den Newsletter-Empfang) erhoben.
Beide Parteien sind sich schnell über den Kaufpreis einig. Kurze Zeit, nachdem Unternehmer Y einen entsprechenden Kaufvertrag unterschrieben hat, kommen ihm erste Zweifel, ob diese Art des Erwerbs von Adressdaten und Opt-ins in Deutschland überhaupt möglich ist.
Sind die Bedenken von Y überflüssig oder hätte er sich im Vorweg doch ein wenig besser informieren sollen?
B. Das Problem
1. Daten und Opt-ins sind besondere „Waren“
Das rechtliche Problem, das im vorliegenden Fall auftritt, ist der Umstand, dass Adressdaten und Opt-ins eben keine allgemeinen Gegenstände eines Unternehmens wie z. B. Schreibtisch, Computer oder Bleistift sind. Vielmehr kommt ihnen neben dem unbestreitbaren finanziellen Wert noch eine weitere, zweite Ebene zu: nämlich, dass sie personenbezogene Informationen über eine dritte Person enthalten.
Während beim Verkauf eines Bürostuhls oder eines PC alleine die wirtschaftlichen Interessen des Eigentümers betroffen sind, enthalten personenbezogene Daten grundsätzlich Informationen über unbeteiligte Dritte, nämlich den Kunden bzw. Nutzer des Unternehmens. Der Gesetzgeber hat durch Einführung des Bundesdatenschutzgesetzes (BDSG) diese Drittinteressen umfangreich geschützt.
Adressdaten und Opt-ins sind zwar aus betriebswirtschaftlicher Sicht Vermögensgegenstände wie andere Produkte auch. Aus juristischer Sicht kommt ihnen aber aus den zuvor erläuterten Gründen eine Besonderheit zu.
2. Unproblematische Fälle
Bevor wir uns mit dem in der Ausgangslage erwähnten Beispiel näher auseinandersetzen, sollen im Nachfolgenden zunächst die unproblematischen Fälle dargestellt werden. Der Anwaltsalltag zeigt nämlich, dass in der Praxis nicht selten Probleme gesehen werden, wo überhaupt keine sind.
a. Unternehmensverschmelzung:
Datenschutzrechtlich absolut unproblematisch ist der Fall, wenn zwei juristische Personen miteinander verschmelzen.
Beispiel:
Die A GmbH und die B GmbH fusionieren. Es entsteht die C GmbH.
In einem solchen Fall kann die C GmbH bedenkenlos sämtliche Adressdaten und Opt-ins sowohl der A GmbH als auch der B GmbH benutzen. Denn bei der C GmbH handelt es sich um den gesetzlichen Rechtsnachfolger der beiden Unternehmen.
Wichtig ist dabei, dass in rechtlicher Hinsicht beide Unternehmen tatsächlich miteinander verschmelzen. Keine Verschmelzung liegt vor, wenn lediglich einzelne Vermögensgegenstände erworben werden.
Beispiel:
Die B GmbH kauft einzelne Vermögensgegenstände der A GmbH (z. B. die Domain) auf, danach wird die A GmbH liquidiert.
In einem solchen Fall ist keine Verschmelzung gegeben.
b. Umfirmierung der Firma:
Auch in Fällen der bloßen Namensänderung eines Unternehmens können die bisherigen Adressdaten und Opt-ins weiter genutzt werden.
Beispiel:
Die SEO Marketing GmbH verändert ihren Namen und nennt sich ab sofort Internet Marketing GmbH. Sonst ändert sich nichts.
Da durch die Umfirmierung keine Änderungen an der Inhaberschaft des Unternehmens erfolgen, ist auch diese Konstellation datenschutzrechtlich einwandfrei. Frei nach dem Motto: Der Inhalt bleibt gleich, nur die Verpackung ändert sich.
c. Vollständiger Unternehmensverkauf (Share Deal):
Der dritte unproblematische Fall ist der Share Deal, d. h. der vollständige Unternehmensverkauf.
Beispiel:
Gesellschafter X veräußert seine Gesellschaftsanteile an der A GmbH an Herrn Y. An der A GmbH ändert sich nichts.
Da an der juristischen Person nach außen keine Veränderung eintritt, dürfen auch hier die bisherigen Informationen weiter genutzt werden. Es ändert sich hier lediglich etwas an den Gesellschaftsanteilen. Dies ist jedoch für die datenschutzrechtliche Beurteilung unerheblich, denn die A GmbH ist eine eigenständige juristische Person und verfügt somit autonom über die entsprechenden Rechte.
Aus diesem Beispiel werden auch schnell die Grenzen dieser Konstellation ersichtlich. Diese Grundsätze gelten nur für Unternehmen mit einer eigenen Rechtspersönlichkeit. Ist der Veräußerer hingegen eine natürliche Person, können niemals die Grundsätze des Share Deals zur Anwendung kommen.
Beispiel:
Einzelunternehmer A verkauft seine Daten an den Einzelunternehmer B.
Da sämtliche Informationen in diesem Fall an den Einzelunternehmer A gebunden sind, können diese nicht losgelöst von der Person verkauft werden. Ein Share Deal ist daher nicht möglich.
3. Problematischer Fall: der Asset Deal
Das Problem am Share Deal ist in der Regel die Haftung: Der Erwerber steigt mit vollen Rechten, aber auch mit vollen Pflichten in die Gesellschaft ein. Die sprichwörtliche Leiche im Keller schlägt hier zu, d. h., der Erwerber haftet voll für sämtliche Alt-Verbindlichkeiten oder sonstigen finanziellen Risiken, die in dem Unternehmen schlummern.
In der Praxis wird daher häufiger der sogenannte Asset Deal gewählt, d. h., dass lediglich einzelne Unternehmensgegenstände erworben werden, der Rest hingegen beim verkaufenden Unternehmen bleibt.
Beispiel:
Die B GmbH kauft einzelne Vermögensgegenstände der A GmbH (z. B. die Domain) auf.
Die B GmbH kann ihre Haftung begrenzen, da sie lediglich für die zu übernehmenden Vermögensgegenstände in die Verantwortlichkeit geht. Für Alt-Verbindlichkeiten oder sonstige Haftungsrisiken wird hingegen nicht gehaftet.
Und bei eben dieser Konstellation, dem Asset Deal, treten die datenschutzrechtlichen Probleme auf. Da hier keine vollständige Unternehmensübertragung stattfindet, ist grundsätzlich auch kein Transfer der Adressdaten oder der Opt-ins möglich.
C. Lösungsansätze
Im Nachfolgenden schauen wir uns häufig praktizierte Lösungsansätze an, um die beim Asset Deal auftretenden Probleme zu meistern.
1. „Augen zu und durch“-Strategie
Eine häufig anzutreffende Vorgehensweise ist die „Augen zu und durch“-Strategie. Es ist nicht selten, dass dem Erwerber der Adressdaten erst nach Abschluss des Kaufvertrages erhebliche Bedenken kommen. Da zu diesem Zeitpunkt der Kaufpreis bereits gezahlt wurde, macht der Käufer gute Miene zum bösen Spiel und verwendet die Daten im Vertrauen, dass schon nichts passieren wird, einfach unerlaubt für eigene Zwecke.
Ein solches Verhalten ist klar datenschutzwidrig und hat massive praktische Konsequenzen.
Zwei höchstrichterliche Urteile des BGH aus den 1990ern machen dies deutlich:
Im ersten Fall1 wollte sich ein altgedienter Anwalt auf sein verdientes Ruheteil zurückziehen und die bestehende Kanzlei verkaufen. Im als „Kanzleiübernahmevertrag“ bezeichneten Vertrag war geregelt, dass der Erwerber alle Mandanten übernehmen und sämtliche noch ausstehenden Honorarforderungen erhalten sollte. Von beiden Vereinbarungen waren die Mandanten nicht informiert worden.
Der zweite Fall2 betraf den Verkauf einer Arztpraxis. Es war vereinbart, dass die Patienten des Altmediziners vom Erwerber einfach übernommen würden. Die Patienten waren über diesen Datenverkauf jedoch nicht benachrichtigt worden.
In beiden Fällen bejahten die Richter einen Verstoß gegen geltendes Datenschutzrecht, sodass die geschlossenen Kaufverträge unwirksam waren.
Nichts anderes gilt, wenn es sich bei dem Verkaufsgegenstand nicht um eine Anwaltskanzlei oder Arztpraxis, sondern um ein Web-Portal handelt. Hier greifen die gleichen Grundsätze.
Diese Erfahrung musste im Jahre 2015 auch der Verkäufer bzw. Käufer von E-Mail-Adressen eines Online-Shops machen. Der Bayerische Datenschutzbeauftragte verhängte gegen beide eine Geldbuße in fünfstelliger Höhe und sparte auch nicht mit deutlicher Kritik an der gängigen Praxis:
„Offensichtlich wird bei Unternehmensveräußerungen in der Form des Asset Deals in der Praxis immer wieder dagegen verstoßen. Dies belegen die regelmäßig beim Amt eingehenden Beschwerden Betroffener, die z. B. E-Mail-Werbung von einem ihnen bisher unbekannten Unternehmen erhalten haben. Im Beschwerdeverfahren ergibt in solchen Fällen häufig, dass das werbende Unternehmen die Kundendaten im Zuge eines Asset Deals erworben hat."3
Liebhaber der „Augen zu und durch“-Strategie sollten sich also bewusst sein, dass sie sich nicht nur zivilrechtlichen Risiken (z. B. komplette Rückabwicklung des Vertrages) aussetzen, sondern zugleich auch der Gefahr entsprechender Bußgelder.
2. Die „Opt-out“-Strategie
Eine in der Praxis häufig anzutreffende andere Verhaltensweise in diesen Fällen ist die sogenannte „Opt-out“-Strategie.
Der Verkäufer teilt seinen Kunden mit, dass er die Daten und Opt-ins dem Käufer übertragen wird, wenn der Kunde nicht innerhalb eines bestimmten Zeitraumes widerspricht.
Eine solche Handhabung ist zwar deutlich risikoärmer als die „Augen zu und durch“-Strategie, ist aber aus juristischer Sicht weiterhin nicht das Gelbe vom Ei. Denn nur mit ausdrücklicher Einwilligung des Kunden dürfen die Informationen an den Erwerber übertragen werden. Der betroffene Kunde muss aktiv mittels Opt-in zustimmen. Ein Opt-out ist hierbei nicht ausreichend.
3. Einwilligung
Die einzige rechtlich saubere Möglichkeit ist, nachträglich eine Einwilligung einzuholen und den betroffenen Kunden um eine Zustimmung zur Datenübertragung zu bitten. Fragender muss dabei der Verkäufer sein, denn dem potenziellen Käufer sind die Informationen bis dahin noch vollkommen unbekannt.
Rechtlich unbedenklich ist es, dem Kunden seine Zustimmung zu versüßen und ihm für seine Einwilligung einen finanziellen Vorteil (z. B. einen Gutschein) zu versprechen. Die Verknüpfung solcher Benefits ist datenschutzrechtlich unbedenklich.
Auch wenn es sich hierbei um den einzig legalen Weg handelt: In der Praxis wird er eher selten gewählt, denn die Bereitschaft der Nutzer, dem Wechsel ihre Zustimmung zu geben, liegt erfahrungsgemäß im niedrigen einstelligen Prozentbereich. Diese Conversion-Rate lässt sich zwar durch die Gewährung attraktiver Vorteile ein wenig erhöhen, jedoch in aller Regel nicht in solchem Umfang, dass dadurch der gesamte Transfer wirtschaftlich interessant werden würde.
Abhilfe schafft hier auch nicht eine pauschale Erlaubnis zum Weiterverkauf, die sich der Verkäufer von jedem Kunden in seinen AGB einräumen lässt. Eine solche Einwilligung scheitert bereits an der einfachen Tatsache, dass der spätere Erwerber zu diesem Zeitpunkt noch nicht bekannt ist.
D. Ergebnis
In der Praxis wird bei der Veräußerung von Online-Portalen häufig die datenschutzrechtliche Seite übersehen oder falsch eingeschätzt.
Dies hat nicht selten fatale Folgen: Neben der drohenden Verhängung von Bußgeldern durch die Datenschutzbehörden kann sich eine solche Fehleinschätzung auf die komplette Wirksamkeit des Kaufvertrages auswirken.
Da Verkäufer und Käufer gegenüber den Behörden gemeinsam haften, sollten sich beide Parteien vor Vertragsschluss genauestens überlegen, wie der Transfer von Adressdaten und Opt-ins erfolgen soll.
1 BGH, Urt. v. 17.05.1995 – Az.: VIII ZR 94/94.
2 BGH, Urt. v. 11.12.1991 – Az.: VIII ZR 4/91.
3 Pressemitteilung des Bayerischen Datenschutzbeauftragten „Kundendaten beim Unternehmensverkauf – ein Datenschutzproblem“ v. 30.07.2015.
