Immer wieder liest man in Foren, dass ein Unternehmer – aus den verschiedensten Gründen – seinen Online-Shop verkaufen möchte. Oft wird auch damit geworben, dass der Shop über einen großen, treuen Kundenstamm verfügt. Mit kaufen darf man diese Daten jedoch nicht. Datenschützer haben jetzt Bußgelder gegen diese Praxis verhängt.
Das Bayerische Landesamt für Datenschutzaufsicht weist in einer Pressemitteilung darauf hin, dass es unzulässig ist, zusammen mit einem Online-Shop auch die E-Mail-Adressen der bisherigen Kunden dieses Shops zu kaufen.
“Das BayLDA hat kürzlich im Falle einer datenschutzrechtlich unzulässigen Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Zuge eines Asset Deals Geldbußen in fünfstelliger Höhe sowohl gegen das veräußernde als auch gegen das erwerbende Unternehmen festgesetzt.”
Hintergrund: personenbezogene Daten dürfen nicht einfach an ein anderes Unternehmen übermittelt werden. Hierzu muss der Kunde seine Einwilligung erklären. Und eine solche Einwilligung dürfte in aller Regel nicht vorliegen. Wer würde schon eine weitere Checkbox in den Bestellprozess einbauen, über die der Kunde seine Einwilligung zur Übertragung seiner Daten im Falle des Verkaufs des Online-Shops erteilen kann?
“Kundendaten haben für Unternehmen oft einen erheblichen wirtschaftlichen Wert, insbesondere wegen der Möglichkeit der persönlichen Werbeansprache. Stellt ein Unternehmen seinen Betrieb ein, versucht es häufig, werthaltige Wirtschaftsgüter („Assets“) entgeltlich an ein anderes Unternehmen im Wege eines sog. Asset Deals zu veräußern. Ähnlich versuchen auch Insolvenzverwalter eines insolventen Unternehmens, die Kundendaten, die oft noch den einzigen relevanten Wert darstellen, bestmöglich zu verkaufen.”
Nutzung der Daten: Unzulässig
Aber nicht nur die reine Übertragung der Daten ist unzulässig: Der Käufer darf diese Daten auch nicht nutzen, z.B. um Werbung per E-Mail zu versenden. Denn dem erwerbenden Unternehmen liegen keine Einwilligungen in E-Mail-Werbung dieses Unternehmens vor.
“Offensichtlich wird bei Unternehmensveräußerungen in der Form des Asset Deals in der Praxis immer wieder dagegen verstoßen. Dies belegen die regelmäßig beim BayLDA eingehenden Beschwerden Betroffener, die z.B. E-Mail-Werbung von einem ihnen bisher unbekannten Unternehmen erhalten haben. Im Beschwerdeverfahren ergibt in solchen Fällen häufig, dass das werbende Unternehmen die Kundendaten im Zuge eines Asset Deals erworben hat.”
Es trifft beide: Käufer und Verkäufer
Die Datenschutzbehörden können in solchen Fällen sowohl gegen den Verkäufer als auch gegen den Käufer vorgehen.
Der Verkäufer übermittelt die Daten ohne Einwilligung, der Käufer erhebt diese ohne Einwilligung des Betroffenen.
“Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.”
Ausnahme: Listendaten
Etwas einfacher ist die Übertragung von Namen und Post-Adressen, denn hier greift das sog. Listendatenprivileg.
“Datenschutzrechtlich verhältnismäßig unproblematisch ist die Übermittlung von Namen und Postanschriften von Kunden. Diese sog. Listendaten dürfen nach dem Willen des Gesetzgebers grundsätzlich auch ohne vorherige Einwilligung des Betroffenen für werbliche Zwecke übermittelt werden, sofern das veräußernde Unternehmen die Übermittlung dokumentiert.”
E-Mail-Adressen, Telefonnummern oder Kaufhistorien zählen allerdings nicht dazu.
Fazit
Der Verkauf eines Online-Shops inkl. Kundendaten soll eigentlich den Wert des Shops steigern. Tatsächlich sind diese Daten – zumindest beim (Ver-)Kauf im Rahmen eines Asset Deals – aber relativ wertlos, weil E-Mail-Adressen nicht mehr genutzt (und auch schon nicht erhoben) werden dürfen. Dazu drohen hohe Bußgelder. (mr)
Gehe ich recht in der Annahme, dass o.g. nicht für einen Share Deal gelten?
Ich finde dieses Urteil irgendwie quatsch. Der Kunde hat dann ja nicht mehr die Möglichkeit, auf seinen Kundenaccount zuzugreifen. In Deutschland ist alles kompliziert, was in anderen EU Ländern problemlos geht. Auf niederlandischen Webseiten ist mir des öffteren bei großen Firmen aufgefallen, das die anscheinend kein Impressum brauchen.
Aber wie sieht es aus, wenn gleich die ganze Firma verkauft wird inkl. Shop. Bei GmbHs und UGs ist das ja problemlos möglich?
Wichtig ist an Aussage und Urteil, dass sich das Bussgeld auf einen Asset-Deal bezieht, also auf einen Wertposten eines Unternehmen, nicht das komplette Unternehmen. Gut vergleichbar mit einer einzelnen Abteilung.
Wird aber zum Beispiel ein ganzen Unternehmen verkauft/übernommen (Share Deal), dann sieht das natürlich ganz anders aus. Hier dürfen (müssen) auch die Kundendaten inkl. E-Mail-Adressen zum übertragen werden.
Bliebe noch zu klären, was mit den Daten passiert, wenn ein Teil des Unternehmens (Asset) ausgegründet und dann verkauft wird. Aber da werden sich die “Datenschützer” schon was einfallen lassen…
Kaum vorstellbar, wie das bei einem größeren Onlineshop vonstatten gehen soll. Der Verkäufer schreibt die Kunden an, dass sie sich bald nicht mehr einloggen können, weil die E-Mail-Adressen, die Bestandteil des Shops sind, nicht übertragen werden dürfen, da das aus Datenschutz-Sicht nicht geht … ?
Wie hoch wird wohl die Quote derer sein, die dann gleich ihr Account löschen wollen? Wie viel bleibt vom Asset dann noch übrig?
Im Beitrag steht mehrfach, dass es um einen Asset-Deal ging. Die Problematik Share/Asset-Deal erübrigt sich btw., wenn der Online-Shop von einem Einzelunternehmer betrieben wird. Dann ist es immer ein Asset-Deal.
Ist es rechtlich zulässig, im Zuge des Verkaufs eines Einzelunternehmens alle Kunden per Mail über den Verkauf mit Käufernamen zu informieren und diesen Passus einzufügen:
Selbstverständlich haben Sie das Recht gem. § 415 Abs. 1 BGB & Art. 21 DSGVO der Übertragung Ihrer Daten zu widersprechen. Hierfür genügt eine kurze Antwort auf diese Mail. In diesem Fall würden wir alle Daten von unseren Servern löschen. Sollten Sie nicht widersprechen, nutzen wir Ihre Daten wie auch in Vergangenheit gem. Art. 6 Abs. lit. a DSGVO, nur zur Erfüllung und Durchführung des Vertrages.
Ich find’s klasse. Vor allem der Punkt mit den Listendaten ist besonders sinnvoll, da E-Mail-Adressen in jedem Fall wichtiger und schützenswerter sind als Name und Anschrift.
An eine E-Mail-Adresse kann man ganz viiiiel böses schreiben, was ich als Übernahmefirma mit 100%-iger Sicherheit auch so mache, um meine potentiellen Neukunden zu verschrecken, damit diese niemals bei mir kaufen.
Mit dem Namen und der Adresse hingegen kann ich ja so gut wie nichts anfangen, oooooder? 🙂
Nunja, muß man drauf achten das man als Sharedeal verkauft
Sehr guter und vor allem wichtiger Artikel über ein Thema bei Kauf und Verkauf eines Unternehmens, dass in Vergessenheit gerät! Vielen Dank!
Dann kann man nur sagen, ignorieren, im schlimmsten Fall Bußgeld zahlen. Dieser ganze Zirkus in Deutschland ist doch nicht mehr normal. Es könnte ja auch eine Regelung geben, den Kunden per email über den Betreiberwechsel zu informieren. Möchte der Kunde das nicht, dann löscht er seinen account. Aber warum einfach wenn es auch kompliziert geht. Und warum sind Daten eigentlich weniger wert wenn eine komplette GmbH den Besitzer wechselt als wenn ein Einzelunternehmer sein Gewerbe verkauft? Das ist ein Irrenhaus.
Guten Tag Hr.Rätze,
wir sind gerade dabei unseren Bier-Shop zu verkaufen! Das ganze ist eine GbR.
Wie kann ich die im Shop befindlichen Kundendaten rechtlich sicher mit verkaufen?
Vielen Dank im voraus!
Bernd Haas