Seite 2: Abgestuftes Verkaufskonzept mit vielen Einschränkungen

Inhaltsverzeichnis

Für Daten von Kunden ohne laufende Abos, aber einer Vertragsbeziehung innerhalb der vergangenen drei Jahre, sieht die DSK nach Artikel 6 DSGVO eine Widerspruchslösung mit einer ausreichend bemessenen Frist – die Rede ist etwa von sechs Wochen – vor. Solche persönlichen Informationen können also veräußert beziehungsweise transferiert werden, wenn die Betroffenen sich nicht dagegen aussprechen. Diese Vorgehensweise mache Unternehmen wenig Aufwand und berücksichtige bei einem großzügig gewählten Zeitraum auch die Interessen der Kunden, schreibt die DSK. Viele Betroffene dürften aber bei einer Aufforderung zu einer ausdrücklichen Einwilligung "eher überrascht" sein. Zudem sei darauf zu achten, das Opt-out einfach zu gestalten – beispielsweise im Online-Verfahren durch Klick auf ein Kästchen.

Bankdaten wie die IBAN seien jedoch vom Übergang per Widerspruchslösung ausgenommen und nur nach ausdrücklicher Einwilligung des Kunden zu übermitteln, stellen die Kontrolleure klar. Oft liegen diese Informationen aber eh bei einem Zahlungsdienstleister und nicht etwa bei einem Shop-Betreiber selbst. Unter Bankdaten fassen die Aufsichtsbehörden indes nicht das Zahlungsverhalten. Generell richte sich Übertragung offener Forderungen gegen Kunden zivilrechtlich nach den Paragrafen 398 folgende aus dem Bürgerlichen Gesetzbuch (BGB). Die in diesem Zusammenhang stehende Daten dürfe der Alt-Gläubiger an den neuen Berechtigten gestützt auf Artikel 6 DSGVO übermitteln. Überwiegende Gegeninteressen bestünden allerdings dann, wenn die Abtretung durch eine Vereinbarung ausgeschlossen sei.

Besonders sensible Kundendaten nach Artikel 9 DSGVO können laut der DSK "nur im Wege der informierten Einwilligung veräußert werden". Das sind etwa Angaben, aus denen die ethnische Herkunft, politische Meinungen, sexuelle Orientierungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Speziellen Bedingungen unterliegen auch Gesundheits- und Gendaten sowie biometrische Merkmale.

Bayerische Aufsicht: Häufig Ärger mit der "Rechtsnachfolge"

Das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) beschäftigte sich bereits in seinem Tätigkeitsbericht 2015 mit Unternehmensverkäufen inklusive Kundendaten – in den Zeiten vor der DSGVO noch auf Basis des Bundesdatenschutzgesetzes (BDSG). Es kam dabei zu ähnlichen Auffassungen wie die DSK. Damals beschwerten sich Betroffene immer wieder darüber, dass sie von einem ihnen bis dahin unbekannten Unternehmen Werbung – meist per E-Mail – erhalten hätten. Auf Nachfrage sei ihnen mitgeteilt worden, die Firma sei "Rechtsnachfolger" eines anderen Unternehmens und habe daher dessen Kundendatei übernommen.

Die bayerischen Kontrolleure sprechen von einer "recht weitverbreiteten Problematik" im Rahmen des Verkaufs ganzer Geschäftsbereiche oder gar wesentlicher Teile des operativen Geschäfts von Betrieben. Unternehmen, die ihre Tätigkeit einstellten, versuchten oft noch, Kundendaten "als werthaltiges Gut ("Asset") zu versilbern. Auch Insolvenzverwaltern sei daran gelegen. Datenschutzrechtlich verhältnismäßig unproblematisch ist in solchen Fällen dem BayLDA zufolge die Übermittlung von Namen und Postanschriften. Diese sogenannten Listendaten dürften – jedenfalls bei Einhaltung bestimmter Dokumentationspflichten – auch ohne Einwilligung der Betroffenen für werbliche Zwecke transferiert werden.

Für E-Mail-Adressen, Telefonnummern, Bank- und Kreditkartendaten, Kaufhistorien sowie Kundenprofile gelte das nicht, führt das Ansbacher Amt aus. Hier sei eine werbliche Nutzung grundsätzlich nur mit Einwilligung der Betroffenen möglich. Werde der Geschäftsbetrieb des abgewickelten Unternehmens durch den Käufer dagegen ganz oder teilweise fortgeführt, könne der Transfer von Kundendaten unter Umständen mit einem berechtigten Interesse gerechtfertigt werden. Voraussetzung sei, den Betroffenen eine ausreichende Frist zum Widerspruch einzuräumen. Letztlich müsse der Einzelfall betrachtet werden: Ein Autohaus etwa habe bei einem "Asset Deal" mit dem insolventen Unternehmen vereinbart, für die kaufrechtlichen Gewährleistungsansprüche der Kunden einzustehen. Damit seien diese vergleichsweise gut weggekommen.

E-Mail-Werbung braucht immer eine Einwilligung

Was lässt sich nun mit persönlichen Informationen machen, die eine Firma bei einer Zwangsvollstreckung oder aus der Insolvenzmasse erstanden hat? Speichere der neue Betreiber sie etwa weiter in einem erworbenen Online-Shop, könnten sich Kunden darüber nach wie vor anmelden und müssten kein neues Konto anlegen, sagt Glocker. Die Daten für Online-Werbung zu nutzen, gehe aber nicht so einfach.

"Eine Einwilligung kann man nicht mit verkaufen", weiß der Anwalt. Diese gelte immer nur gegenüber einer bestimmten juristischen Person. Laut Paragraf 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) erfordere vor allem E-Mail-Werbung immer eine Zustimmung. Bei Telefon-Werbung komme man dagegen manchmal mit einer "abgeleiteten Einwilligung" weiter. Einen analogen Brief zuzuschicken, sei erlaubt: In Deutschland gelte dafür ein Widerspruchssystem etwa über Robinson-Liste, auch wenn dies Verbrauchern nicht einfach zu erklären sei.

Insgesamt hätten die Kontrolleure so ein gutes System aufgestellt, das die Kommerzialisierung von Kundendaten entschärfe, lobt Glocker. Einen drohenden Ausverkauf einschlägiger Register an Big-Tech-Konzerne befürchtet der Rechtsexperte nicht. Denn diese hätten Interesse daran, große, strukturierte Datensätze zu erhalten, "die sie in ihre Systeme integrieren können". Es sei nicht bekannt, dass Google, Meta & Co. gescheiterte Unternehmen aufkauften. Zudem wären sie auch bei solchen Deals daran gebunden, "dass sie eine Werbe-Einwilligung brauchen".

Zwangsvollstreckung von Daten prinzipiell zulässig

Ähnlich sieht die Sache Niko Härting von der gleichnamigen Berliner Kanzlei, auch wenn für ihn die Rechtslage weniger klar ist. "Geht ein Unternehmen in die Insolvenz, fällt auch die Kundendatenbank in die Insolvenzmasse", legt er gegenüber heise online dar. Der Insolvenzverwalter könne dann über dieses Register verfügen. Dass er die Datenbank allein versteigern lassen oder auf sonstige Weise veräußern werde, dürfte aber nur selten vorkommen. Denn isoliert habe auch ein großer Bestand an Kundendaten wenig wert, da der Erwerber mit den Daten - weil sie der DSGVO unterliegen - wenig anfangen könne.

Es komme aber natürlich vor, dass Teile eines Unternehmens vom Insolvenzverwalter verkauft werden und dazu auch Kundendaten gehörten, erörtert Härting weiter. Dann werde die Rechtslage kompliziert. Ob es in einem solchen Fall einer Einwilligung der betroffenen Kunden in die Veräußerung ihrer Daten bedürfte, sei in der Datenschutzliteratur seit Jahrzehnten streitig und zumindest gerichtlich nicht geklärt.

Der polnische, vor dem EuGH gelandete Fall betrifft dem Anwalt zufolge die leicht abgewandelte Frage, "ob man gegen einen säumigen Schuldner die Zwangsvollstreckung betreiben kann, indem man seine Kundendatenbank pfänden und versteigern lässt". So eine Konstellation sei ihm hierzulande noch nicht untergekommen. "Denn wer wird schon eine Kundendatenbank versteigern lassen, wenn kein Ersteigerer mit den Daten viel anfangen kann?", fragt Härting. "Außer Spesen, nichts gewesen", laute hier das Motto. In Deutschland wäre eine solche Zwangsvollstreckung - ebenso wie in Polen - nach der Zivilprozessordnung allerdings durchaus zulässig. Die dortigen Normen seien nämlich gesetzliche Vorschriften im Sinne von Artikel 6 DSGVO, die eine Verarbeitung oder Übermittlung auch ohne Einwilligung der Betroffenen erlaubten.

(mki)