zurück zum Artikel

Datenschützer erhalten oft Beschwerden von Bürgern, die von ihnen unbekannten Unternehmen plötzlich Werbung erhalten. Dürfen die das überhaupt trotz DSGVO?​

Vor dem Europäischen Gerichtshof (EuGH) ist ein ungewöhnlicher und komplexer Fall anhängig, in dem es um die Frage geht, ob Datenbanken von Unternehmen voll mit persönlichen Informationen über Kunden ohne deren Einwilligung veräußert werden dürfen. Die Gläubigergesellschaft I. mit Sitz in Polen hat eine durch rechtskräftige gerichtliche Entscheidung bestätigte Forderung gegen das Unternehmen NMW. Dieses betreibt eine E-Commerce-Plattform. Auf Antrag der Klägerin wurde gegen die Gesellschaft NMW ein Vollstreckungsverfahren eingeleitet, um an Geld zu kommen. Der Gerichtsvollzieher entschied sich aber zunächst dafür, nicht weiter gegen die beklagte Firma vorzugehen, da diese über keine passenden Vermögenswerte verfüge.

Die Klägerin beantragte daraufhin vor Gericht, M. W. aus dem Vorstand von NMW müsse persönlich für den Schaden aufkommen. Artikel 299 Paragraf 1 des Gesetzbuchs über Handelsgesellschaften sehe für den Fall, dass eine Forderung nicht mit den Vermögenswerten der Schuldnergesellschaft gedeckt werden kann, die finanzielle Haftung der Mitglieder des Vorstands des säumigen Unternehmens vor. M. W. forderte in Folge, diese Klage abzuweisen. Das Vorstandsmitglied begründete dies damit, dass NMW Vermögenswerte besitze, deren Wert jeweils höher sei als die Forderung der Klägerin. Dabei handle es sich um den Quellcode der Online-Shopping-Software kombiniert mit einer Dienstleistung, die mit Cashback-Systemen vergleichbar sei. Dazu kämen zwei Datenbanken mit Informationen von Nutzern dieser Plattform.

Das zuständige polnische Gericht will vom EuGH wissen, ob die Datenschutz-Grundverordnung (DSGVO [1]) es einem Gerichtsvollzieher gestattet, diese Datenbanken in einem Zwangsvollstreckungsverfahren ohne die Zustimmung der Betroffenen zu veräußern. Es weist dabei darauf hin, dass der Verkauf des E-Commerce-Portals allein ohne die Kundeninformationen auf dem Markt nicht so attraktiv wäre wie der Verkauf des gesamten Pakets. Die Richter selbst hegen Zweifel daran, dass solche Datenbanken Gegenstand einer gerichtlichen Vollstreckung sein können, da sie personenbezogene Informationen von Hunderttausenden von Nutzern der Plattform enthielten. Zugleich sei nicht erkennbar, dass die Betroffenen der Verarbeitung ihrer persönlichen Daten durch Dritte außerhalb des Portals zugestimmt hätten.

EuGH-Gutachter: Verkauf von Datenbanken kann rechtmäßig sein

EuGH-Generalanwalt Priit Pikamäe kann diesen Bedenken nicht ganz folgen. Er empfiehlt dem Gerichtshof in seinen am 22. Februar in der Rechtssache C-693/22 veröffentlichten Schlussanträgen [2] daher, die Option des Verkaufs der beiden Datenregister zu bejahen. Nach Ansicht des Gutachters fallen die von dem Gerichtsvollzieher zur Schätzung des Werts der betreffenden Datenbanken und zu ihrer Versteigerung vorgenommenen Handlungen zwar durchaus in den Anwendungsbereich der DSGVO. Dabei gehe es nämlich um das Auslesen, Abfragen und die Verwendung der in den Registern gespeicherten persönlichen Informationen und deren Bereitstellung an einen potenziellen Erwerber.

Der Gerichtsvollzieher ist Pikamäe zufolge so auch als der Verantwortliche für diese Verarbeitungen einzustufen. Letztere seien aber rechtmäßig, wenn sie für die Wahrnehmung einer dem Gerichtsvollzieher übertragenen Aufgabe, die in Ausübung öffentlicher Gewalt erfolge, erforderlich seien. Ferner stellt der Generalanwalt fest, dass mit einer Veräußerung der Datenbanken eine Zweckänderung einhergehe, da die Informationen die Nutzung der E-Commerce-Plattform ermöglichen sollten. Dies könne aber mit der DSGVO vereinbar sein, wenn es sich "um eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zur Erreichung eines der mit dieser Verordnung verfolgten Ziele im öffentlichen Interesse" handle.

Nach Auffassung des Gutachters kann die Durchsetzung zivilrechtlicher Ansprüche grundsätzlich zu solchen Zwecken gehören. Die Prüfung der Verhältnismäßigkeit obliege aber letztlich dem polnischen Gericht. Diese müsse dabei zwischen dem Eigentumsrecht der Gläubigergesellschaft und dem Anspruch der Nutzer der Plattform auf den Schutz personenbezogener Daten abwägen. Die Schlussanträge sind für den Gerichtshof nicht bindend. Mit einem Urteil der Luxemburger Richter ist in den nächsten Monaten zu rechnen.

Die Datenschutzkonferenz hat den Rahmen schon abgesteckt

Felix Glocker, Datenschutzexperte bei der Kanzlei CMS Deutschland in München, bezeichnet die Empfehlung des Generalanwalts als "konsequent" in dem Sinne, dass eine Sammlung persönlicher Informationen veräußert werden könne, "solange der Datenschutz mitgedacht wird". Bei einer Zwangsversteigerung zum Nachkommen von Forderungen oder nach einer Insolvenz könnten durchaus Kundendaten mit verkauft werden in Rahmen eines Deals, erläutert der Jurist gegenüber heise online. Bedingung dafür sei, dass "nicht isoliert nur die Datenbank an den Meistbietenden" vertickt werde. Vielmehr komme es darauf an, dass ein Unternehmen oder größere Teile davon "als wirtschaftliche Einheit" feilgeboten würden.

Glocker erinnert an einen Beschluss der Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern (DSK) vom Mai 2019. Demnach sei für einen "Asset Deal" inklusive Kundendaten im Rahmen eines Erwerbs von Wirtschaftsgütern eines Unternehmens nicht unbedingt eine Einwilligung erforderlich. Die Aufsichtsbehörden hätten dazu ein abgestuftes Verfahren ins Spiel gebracht. Eine Veräußerung im Rahmen eines laufenden Vertrags etwa für ein Abonnement braucht demnach immer eine Zustimmung.

Daten von Bestandskunden, bei denen die letzte aktive Vertragsbeziehung mehr als 3 Jahre zurückliegt, kann der Erwerber dem DSK-Papier zufolge [3] nur eingeschränkt verarbeitet werden. Sie dürfen zwar übermittelt, aber nur wegen gesetzlicher Aufbewahrungsfristen etwa nach Bestellungen für Garantiefälle genutzt werden. Für den Käufer wären sie so eher ein Ballast. Denkbare Alternative ist, dass entsprechende Kundeninformationen nicht den Besitzer wechseln, sondern beim Alt-Unternehmen verbleiben. Weiter heißt es in dem Beschluss: "Ist ein Insolvenzverwalter eingeschaltet, bemüht dieser sich um einen aus der Masse zu finanzierenden Dienstleister, der die Alt-Daten für einen bestimmten Zeitraum aufbewahrt."

Abgestuftes Verkaufskonzept mit vielen Einschränkungen

Für Daten von Kunden ohne laufende Abos, aber einer Vertragsbeziehung innerhalb der vergangenen drei Jahre, sieht die DSK nach Artikel 6 DSGVO eine Widerspruchslösung mit einer ausreichend bemessenen Frist – die Rede ist etwa von sechs Wochen – vor. Solche persönlichen Informationen können also veräußert beziehungsweise transferiert werden, wenn die Betroffenen sich nicht dagegen aussprechen. Diese Vorgehensweise mache Unternehmen wenig Aufwand und berücksichtige bei einem großzügig gewählten Zeitraum auch die Interessen der Kunden, schreibt die DSK. Viele Betroffene dürften aber bei einer Aufforderung zu einer ausdrücklichen Einwilligung "eher überrascht" sein. Zudem sei darauf zu achten, das Opt-out einfach zu gestalten – beispielsweise im Online-Verfahren durch Klick auf ein Kästchen.

Bankdaten wie die IBAN seien jedoch vom Übergang per Widerspruchslösung ausgenommen und nur nach ausdrücklicher Einwilligung des Kunden zu übermitteln, stellen die Kontrolleure klar. Oft liegen diese Informationen aber eh bei einem Zahlungsdienstleister und nicht etwa bei einem Shop-Betreiber selbst. Unter Bankdaten fassen die Aufsichtsbehörden indes nicht das Zahlungsverhalten. Generell richte sich Übertragung offener Forderungen gegen Kunden zivilrechtlich nach den Paragrafen 398 folgende aus dem Bürgerlichen Gesetzbuch (BGB). Die in diesem Zusammenhang stehende Daten dürfe der Alt-Gläubiger an den neuen Berechtigten gestützt auf Artikel 6 DSGVO übermitteln. Überwiegende Gegeninteressen bestünden allerdings dann, wenn die Abtretung durch eine Vereinbarung ausgeschlossen sei.

Besonders sensible Kundendaten nach Artikel 9 DSGVO können laut der DSK "nur im Wege der informierten Einwilligung veräußert werden". Das sind etwa Angaben, aus denen die ethnische Herkunft, politische Meinungen, sexuelle Orientierungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Speziellen Bedingungen unterliegen auch Gesundheits- und Gendaten sowie biometrische Merkmale.

Bayerische Aufsicht: Häufig Ärger mit der "Rechtsnachfolge"

Das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) beschäftigte sich bereits in seinem Tätigkeitsbericht 2015 mit Unternehmensverkäufen inklusive Kundendaten [4] – in den Zeiten vor der DSGVO noch auf Basis des Bundesdatenschutzgesetzes (BDSG). Es kam dabei zu ähnlichen Auffassungen wie die DSK. Damals beschwerten sich Betroffene immer wieder darüber, dass sie von einem ihnen bis dahin unbekannten Unternehmen Werbung – meist per E-Mail – erhalten hätten. Auf Nachfrage sei ihnen mitgeteilt worden, die Firma sei "Rechtsnachfolger" eines anderen Unternehmens und habe daher dessen Kundendatei übernommen.

Die bayerischen Kontrolleure sprechen von einer "recht weitverbreiteten Problematik" im Rahmen des Verkaufs ganzer Geschäftsbereiche oder gar wesentlicher Teile des operativen Geschäfts von Betrieben. Unternehmen, die ihre Tätigkeit einstellten, versuchten oft noch, Kundendaten "als werthaltiges Gut ("Asset") zu versilbern. Auch Insolvenzverwaltern sei daran gelegen. Datenschutzrechtlich verhältnismäßig unproblematisch ist in solchen Fällen dem BayLDA zufolge die Übermittlung von Namen und Postanschriften. Diese sogenannten Listendaten dürften – jedenfalls bei Einhaltung bestimmter Dokumentationspflichten – auch ohne Einwilligung der Betroffenen für werbliche Zwecke transferiert werden.

Für E-Mail-Adressen, Telefonnummern, Bank- und Kreditkartendaten, Kaufhistorien sowie Kundenprofile gelte das nicht, führt das Ansbacher Amt aus. Hier sei eine werbliche Nutzung grundsätzlich nur mit Einwilligung der Betroffenen möglich. Werde der Geschäftsbetrieb des abgewickelten Unternehmens durch den Käufer dagegen ganz oder teilweise fortgeführt, könne der Transfer von Kundendaten unter Umständen mit einem berechtigten Interesse gerechtfertigt werden. Voraussetzung sei, den Betroffenen eine ausreichende Frist zum Widerspruch einzuräumen. Letztlich müsse der Einzelfall betrachtet werden: Ein Autohaus etwa habe bei einem "Asset Deal" mit dem insolventen Unternehmen vereinbart, für die kaufrechtlichen Gewährleistungsansprüche der Kunden einzustehen. Damit seien diese vergleichsweise gut weggekommen.

E-Mail-Werbung braucht immer eine Einwilligung

Was lässt sich nun mit persönlichen Informationen machen, die eine Firma bei einer Zwangsvollstreckung oder aus der Insolvenzmasse erstanden hat? Speichere der neue Betreiber sie etwa weiter in einem erworbenen Online-Shop, könnten sich Kunden darüber nach wie vor anmelden und müssten kein neues Konto anlegen, sagt Glocker. Die Daten für Online-Werbung zu nutzen, gehe aber nicht so einfach.

"Eine Einwilligung kann man nicht mit verkaufen", weiß der Anwalt. Diese gelte immer nur gegenüber einer bestimmten juristischen Person. Laut Paragraf 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) erfordere vor allem E-Mail-Werbung immer eine Zustimmung. Bei Telefon-Werbung komme man dagegen manchmal mit einer "abgeleiteten Einwilligung" weiter. Einen analogen Brief zuzuschicken, sei erlaubt: In Deutschland gelte dafür ein Widerspruchssystem etwa über Robinson-Liste, auch wenn dies Verbrauchern nicht einfach zu erklären sei.

Insgesamt hätten die Kontrolleure so ein gutes System aufgestellt, das die Kommerzialisierung von Kundendaten entschärfe, lobt Glocker. Einen drohenden Ausverkauf einschlägiger Register an Big-Tech-Konzerne befürchtet der Rechtsexperte nicht. Denn diese hätten Interesse daran, große, strukturierte Datensätze zu erhalten, "die sie in ihre Systeme integrieren können". Es sei nicht bekannt, dass Google, Meta & Co. gescheiterte Unternehmen aufkauften. Zudem wären sie auch bei solchen Deals daran gebunden, "dass sie eine Werbe-Einwilligung brauchen".

Zwangsvollstreckung von Daten prinzipiell zulässig

Ähnlich sieht die Sache Niko Härting von der gleichnamigen Berliner Kanzlei, auch wenn für ihn die Rechtslage weniger klar ist. "Geht ein Unternehmen in die Insolvenz, fällt auch die Kundendatenbank in die Insolvenzmasse", legt er gegenüber heise online dar. Der Insolvenzverwalter könne dann über dieses Register verfügen. Dass er die Datenbank allein versteigern lassen oder auf sonstige Weise veräußern werde, dürfte aber nur selten vorkommen. Denn isoliert habe auch ein großer Bestand an Kundendaten wenig wert, da der Erwerber mit den Daten - weil sie der DSGVO unterliegen - wenig anfangen könne.

Es komme aber natürlich vor, dass Teile eines Unternehmens vom Insolvenzverwalter verkauft werden und dazu auch Kundendaten gehörten, erörtert Härting weiter. Dann werde die Rechtslage kompliziert. Ob es in einem solchen Fall einer Einwilligung der betroffenen Kunden in die Veräußerung ihrer Daten bedürfte, sei in der Datenschutzliteratur seit Jahrzehnten streitig und zumindest gerichtlich nicht geklärt.

Der polnische, vor dem EuGH gelandete Fall betrifft dem Anwalt zufolge die leicht abgewandelte Frage, "ob man gegen einen säumigen Schuldner die Zwangsvollstreckung betreiben kann, indem man seine Kundendatenbank pfänden und versteigern lässt". So eine Konstellation sei ihm hierzulande noch nicht untergekommen. "Denn wer wird schon eine Kundendatenbank versteigern lassen, wenn kein Ersteigerer mit den Daten viel anfangen kann?", fragt Härting. "Außer Spesen, nichts gewesen", laute hier das Motto. In Deutschland wäre eine solche Zwangsvollstreckung - ebenso wie in Polen - nach der Zivilprozessordnung allerdings durchaus zulässig. Die dortigen Normen seien nämlich gesetzliche Vorschriften im Sinne von Artikel 6 DSGVO, die eine Verarbeitung oder Übermittlung auch ohne Einwilligung der Betroffenen erlaubten.

(mki [5])

URL dieses Artikels:
https://www.heise.de/-9696399

Links in diesem Artikel:
[1] https://www.heise.de/thema/DSGVO#liste
[2] https://curia.europa.eu/juris/documents.jsf?num=C-693/22
[3] https://www.datenschutzkonferenz-online.de/media/dskb/20190524_dskb_asset_deal.pdf
[4] https://www.lda.bayern.de/media/baylda_report_07.pdf#page=75
[5] mailto:mki@heise.de

Copyright © 2024 Heise Medien