Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.