Datenschutzprobleme bei einem Assetdeal?
Des Öfteren begleite ich Startups bei sogenannten Assetdeals. So nennen sich im Grundsatz Verträge bei denen beispielsweise ein Onlineprojekt, ein Computerspiel oder sonstige Rechte und Inhalte an eine andere Partei verkauft werde, ohne dass dabei – nur – die Änderung der Gesellschafter der das Projekt betreibenden Kapitalgesellschaft geändert werde. Die ist beispielsweise häufig der Fall, wenn z.B. eine GmbH mehr als ein Projekt betreibt und daher nicht die ganze Kapitalgesellschaft verkauft werden soll.
Neben diversen gesellschaftsrechtlichen als auch steuerrechtlichen Aspekten ist dabei auch eine vollständige Beachtung von Urheberrecht und Markenrecht erforderlich. Gerne vergessen werden dabei die Probleme, die sich aus dem Datenschutzrecht ergeben. Dies ist beispielsweise der Fall, wenn auch Nutzerdaten mitgekauft werden sollen, damit der Erwerber nicht nur eine leere Hülle kauft. Wurde hier vorab die AGB nicht sorgsam gestaltet, kann dies einen Assetdeal durchaus auch unmöglich machen. Aber selbst mit guten AGB gibt es einige Vorgaben zu beachten.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der
Länder hat dabei sich auf einen Katalog von Fallgruppen verständigt, die im Rahmen der
Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Asset
Deal zu berücksichtigen sind.
Die Fallgruppen lauten:
1. Kundendaten bei laufenden Verträgen
Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder
des Kunden.
2. Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter
als 3 Jahre
Daten von Bestandskunden, bei denen die letzte aktive
Vertragsbeziehung mehr als 3 Jahre zurückliegt, unterliegen bei einer erwerbenden
Stelle einer Einschränkung der Verarbeitung. Diese Daten dürfen zwar übermittelt,
aber eben nur wegen gesetzlicher Aufbewahrungsfristen genutzt werden.
3. Daten von Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre
Daten solcher Kundinnen und Kunden sind nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist zu übermitteln. Bankdaten sind jedoch vom Übergang per Widerspruchslösung ausgenommen und nur nach ausdrücklicher Einwilligung des Kunden zu übermitteln.
4. Kundendaten im Falle offener Forderungen
Die Übertragung offener Forderungen gegen Kundinnen und Kunden richtet sich zivilrechtlich nach den §§ 398 ff. BGB und stellt eine Forderungsabtretung dar. In diesem
Zusammenhang stehende Daten darf der Zedent an den Zessionar – gestützt auf Art. 6 Abs. 1 Satz 1 lit. f) DSGVO übermitteln.
5. Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO
Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit.
a), Art. 7 DSGVO übergeleitet werden.
Auch wenn der Beschluss vom Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie des sächsischen Datenschutzbeauftragten nicht mitgetragen wurde, so ist die Auflistung sicher sinnvoll, um bereits im Vorfeld von Verhandlungen zu klären, an was alles gedacht werden muss. Die vertraglichen Details sollten grundsätzlich nur mit erfahrener Hilfe erarbeitet werden. Gerne können Spieleentwickler, Softwareanbieter oder sonstige Dienstleister unverbindlich bei mir über mein Kontaktformular anfragen, damit wir die Kosten für eine Beratung und das sinnvolle Vorgehen eruieren können.
