Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Verkäufer und Käufer eines Unternehmens (Online-Shop) wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem erheblichen Bußgeld belegt.
Kundendaten haben für Unternehmen einen erheblichen wirtschaftlichen Wert, u.a. wegen der Möglichkeit der persönlichen Werbeansprache. Stellt ein Unternehmen seinen Betrieb ein, versucht es häufig, werthaltige Wirtschaftsgüter ("Assets") an ein anderes Unternehmen im Wege eines sog. Asset Deals zu veräußern. Ähnlich versuchen auch Insolvenzverwalter eines insolventen Unternehmens, die Kundendaten, die oft noch den einzigen relevanten Wert darstellen, bestmöglich zu verkaufen.
Dass dabei jedoch Vorsicht geboten ist, mussten zwei Unternehmen aus Bayern erfahren. Das BayLDA hat kürzlich im Falle einer datenschutzrechtlich unzulässigen Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Zuge eines Asset Deals Geldbußen in fünfstelliger Höhe sowohl gegen das veräußernde als auch gegen das erwerbende Unternehmen festgesetzt.
Im Onlineshop hinterlegte Kundendaten sind geschützte personenbezogene Daten
Ist der Kunde eine natürliche Person, hat man es mit "personenbezogenen Daten" zu tun, die nur nach Maßgabe des Datenschutzrechts übermittelt werden dürfen.
Datenschutzrechtlich verhältnismäßig unproblematisch ist die Übermittlung von Namen und Postanschriften von Kunden. Diese sog. Listendaten dürfen nach dem Willen des Gesetzgebers grundsätzlich auch ohne vorherige Einwilligung des Betroffenen für werbliche Zwecke übermittelt werden, sofern das veräußernde Unternehmen die Übermittlung dokumentiert.
Weitergabe von Kundendaten nur mit Zustimmung der Kunden zulässig
Häufig besitzen Unternehmen jedoch wesentlich mehr Daten über ihre Kunden, etwa Telefonnummern, E-Mail-Adressen, Konto- und/oder Kreditkartendaten, zudem häufig "Kaufhistorien", d.h. Informationen über die von Kunden getätigten Käufe. In der Praxis ist zu beobachten, dass im Zuge von Asset Deals häufig auch solche Daten den "Inhaber" wechseln. Dies ist jedoch nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten eingewilligt haben oder zumindest - bereits im Vorfeld - auf die geplante Übermittlung hingewiesen, ihnen ein Widerspruchsrecht eingeräumt wurde und sie nicht widersprochen haben.
Für E-Mail-Adressen und Telefonnummern stellt sich das zusätzliche Problem, dass der Erwerber diese Daten zu Werbezwecken gemäß § 7 Abs. 2 Nr. 2 und Nr. 3 UWG nicht verwenden darf, wenn er - wie meist - keine ausdrückliche Werbeeinwilligung des jeweiligen Kunden besitzt.
Über diese Hürde hilft selbst die Einräumung eines Widerspruchsrechts vor der Datenübermittlung nicht hinweg. Verwendet der Erwerber die Telefonnummer oder E-Mail-Adresse ohne Einwilligung für Werbezwecke, verstößt er daher sowohl gegen das UWG als auch gegen das Bundesdatenschutzgesetz. Für die unzulässige Übergabe von Kundendaten tragen sowohl der Veräußerer als auch der Erwerber als sogenannte "verantwortliche Stellen" die datenschutzrechtliche Verantwortung. Der Veräußerer "übermittelt" die Daten, während der Erwerber diese Daten "erhebt". Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000 EUR geahndet werden können.
Quelle: PM des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vom 30.07.2015