Das Bayerische Landesamt für Datenschutz weist in einer Pressemitteilung auf ein bis heute häufig ignoriertes datenschutzrechtliches Problem hin: Der Umgang mit Kundendaten:
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem erheblichen – mittlerweile unanfechtbaren – Bußgeld belegt (…) Stellt ein Unternehmen seinen Betrieb ein, versucht es häufig, werthaltige Wirtschaftsgüter („Assets“) entgeltlich an ein anderes Unternehmen im Wege eines sog. Asset Deals zu veräußern. Ähnlich versuchen auch Insolvenzverwalter eines insolventen Unternehmens, die Kunden- daten, die oft noch den einzigen relevanten Wert darstellen, bestmöglich zu verkaufen. (…) Für E-Mail-Adressen und Telefonnummern stellt sich das zusätzliche Problem, dass der Erwerber diese Daten zu Werbezwecken gemäß § 7 Abs. 2 Nr. 2 und Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht verwenden darf, wenn er – wie meist – keine ausdrückliche Werbeeinwilligung des jeweiligen Kunden be- sitzt. Über diese Hürde hilft selbst die Einräumung eines Widerspruchsrechts vor der Datenübermittlung nicht hinweg. Verwendet der Erwerber die Telefonnummer oder E-Mail-Adresse ohne Einwilligung für Werbezwecke, verstößt er daher sowohl gegen das UWG als auch gegen das Bundesdatenschutzgesetz.
Für die unzulässige Übergabe von Kundendaten tragen sowohl der Veräußerer als auch der Erwerber als so- genannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“.
Das Thema ist Brisant, aber nicht erst seit Heute: Wie so viele datenschutzrechtliche Problemfelder wird hier seit Jahren ein rechtswidriger Zustand ignoriert.
Problem der Veräußerung von Kundendaten
Selbstverständlich gibt es rechtskonforme Möglichkeiten, Kundendaten nach Unternehmenskäufen zu verwenden. Zumindest in engen Grenzen können Listen mit speziell ausgewählten Daten sogar veräußert werden. Doch die einzelne Veräußerung vollständiger Kundendaten muss grundsätzlich als datenschutzrechtlich fragwürdig eingestuft werden.
Beispiel: Veräußerung einer Arztpraxis
Ein treffendes Beispiel ist die Entscheidung des BGH () zur Veräußerung einer Arztpraxis – entgegen den Gepflogenheiten wurde hier festgestellt, dass nur mit Einwilligung der Patienten die Übergabe der Patientendaten möglich ist:
Eine Bestimmung in einem Vertrag über die Veräußerung einer Arztpraxis, die den Veräußerer auch ohne Einwilligung der betroffenen Patienten verpflichtet, die Patienten- und Beratungskartei zu übergeben, verletzt das informationelle Selbstbestimmungsrecht der Patienten und die ärztliche Schweigepflicht (Art. 2 Abs. 1 GG, § 203 StGB), sie ist wegen Verstoßes gegen ein gesetzliches Verbot (§ 134 BGB) nichtig (…)
Angesichts der großen Bedeutung, die das aus Art. 2 Abs. 1 GG sich ergebende Recht des einzelnen auf informationelle Selbstbestimmung und die daraus herzuleitende besondere Schutzbedürftigkeit personenbezogener Daten seitdem besonders in der Rechtsprechung des Bundesverfassungsgerichts gewonnen haben (BVerfGE 65, 1 ff., insbesondere 41 ff. = NJW 1984, 419, 421 f. [BVerfG 15.12.1983 – 1 BvR 209/83]; zuletzt BVerfG Beschluß vom 11. Juni 1991 = NJW 1991, 2411 m.w.Nachw.), ist der Schutz der häufig über intime Einzelheiten Aufschluß gebenden ärztlichen Behandlungsunterlagen nicht mehr in ausreichendem Maße gewährleistet, wenn die Rechtfertigung ihrer Weitergabe allein aus der objektiven Interessenlage der Betroffenen hergeleitet wird und die Beurteilung dieser Interessenlage an die Stelle einer freien Entscheidung des Patienten tritt. Es obliegt grundsätzlich dem Arzt, die Zustimmung des Patienten zu einer solchen Weitergabe in eindeutiger und unmißverständlicher Weise einzuholen (BGH, Urteil vom 10. Juli 1991 aaO. unter II 2 b dd). Handelt es sich um elektronisch abgespeicherte Behandlungsunterlagen, ergibt sich sogar das Erfordernis einer schriftlichen Zustimmung des Patienten (§ 4 Abs. 2 Satz 2 BDSG), wenn die Übergabe an den Praxisnachfolger als „Übermittlung“ im Sinne des § 3 Abs. 5 BDSG anzusehen wäre (…)
Die Annahme eines stillschweigend oder schlüssig erklärten Einverständnisses des Patienten mit der Weitergabe seiner Unterlagen scheidet im Regelfall aus. (…)
Eine solche Einwilligung kann zunächst nicht damit begründet werden, daß die Weitergabe der kompletten Behandlungsunterlagen an einen Praxisübernehmer in einem solchen Maße üblich und geradezu selbstverständlich geworden wäre, daß die Inanspruchnahme einer ärztlichen Behandlung vernünftigerweise und mit Rücksicht auf die Verkehrssitte nur als Zustimmung zu einer Übergabe an den Nachfolger verstanden werden könnte, so daß sich der Patient an einer solchen, schlüssig erklärten Zustimmung festhalten lassen müßte. Daß Praxisübernahmen häufig vorkommen und ein solches Verfahren auch allgemein bekannt ist, bedeutet nicht, daß der Patient ohne weiteres davon ausgehen muß, der Arzt, den er aufsucht, werde später die Behandlungsunterlagen einem anderen Arzt ohne eine – durchaus mögliche – Rückfrage überlassen. Ein Arzt, der seine Tätigkeit einstellt, wird nicht in jedem Fall seine Praxis veräußern können oder wollen; denkbar ist auch, daß es nicht zu einer Praxisübernahme kommt oder daß ein solcher Arzt seinen Patienten lediglich empfiehlt, einen anderen Kollegen im Einzugsbereich dieser Praxis aufzusuchen. Für Praxisübernahmen gilt nichts anderes als für die Einschaltung ärztlicher Verrechnungsstellen, deren Existenz ebenfalls allgemein bekannt ist (…)
Ein stillschweigendes Einverständnis kann auch dem von Narr (aaO. Rdnr. 761) und Laufs (MedR 1989 aaO.) hervorgehobenen Umstand, daß Praxisübergaben üblicherweise durch Hinweise in den Wartezimmern und Behandlungsräumen sowie durch Anzeigen in der örtlichen Tagespresse bekanntgemacht werden, nicht entnommen werden. Obliegt es dem Arzt, die Zustimmung des Betroffenen zur Weitergabe seiner Unterlagen einzuholen, so ist es grundsätzlich nicht Sache des Patienten, dieser Weitergabe zu widersprechen, um den Eindruck eines stillschweigenden Einverständnisses zu vermeiden (Urteil vom 10. Juli 1991 aaO. unter II 2 b dd). Ohnehin bliebe ungewiß, welcher Teil der Patienten – insbesondere von denjenigen, die seit längerer Zeit nicht mehr in der Behandlung des übergebenden Arztes waren – diese Bekanntmachungen überhaupt zur Kenntnis genommen haben. Der Fall des Personalwechsels innerhalb einer Arztpraxis, der es mit sich bringt, daß neue Mitarbeiter ohne Einwilligung des Betroffenen Kenntnis vom Inhalt der Patientenkartei erhalten, liegt anders als der hier zu beurteilende Sachverhalt. Neue nichtärztliche Mitarbeiter unterliegen den Weisungen und der Aufsicht desjenigen Arztes, dem der Patient zu Beginn der Behandlung sein besonderes Vertrauen im Hinblick auf den Umgang mit seinen Behandlungsunterlagen entgegengebracht hat, während im Falle einer Praxisübernahme eine andere Person die alleinige Verfügungsgewalt über diese Unterlagen erhält. (…)
Einer ausdrücklichen Einverständniserklärung des Patienten bedarf es allein dann nicht, wenn dieser seine Zustimmung durch schlüssiges Verhalten eindeutig zum Ausdruck bringt, insbesondere wenn der Patient sich auch dem Übernehmer zur ärztlichen Behandlung anvertraut. Das gilt sowohl dann, wenn der Nachfolger eine bereits von seinem Vorgänger begonnene Behandlung fortsetzen soll, als auch bei einer neuen Behandlung. Durch sein Erscheinen in der Sprechstunde des Praxisübernehmers gibt der Patient zu verstehen, daß er dem Nachfolger den Einblick in die vom Vorgänger erstellten Behandlungsunterlagen nicht nur gestatten will, sondern daß er eine solche Kenntnisnahme sogar erwartet, die zur zweckentsprechenden Behandlung in der Regel notwendig sein wird. Mit diesem Verhalten erklärt der Patient zugleich sein Einverständnis damit, daß sich der Praxisübernehmer diese Unterlagen von seinem Vorgänger beschafft. (…)
Abgesehen von diesen Fällen ist eine ausdrücklich erklärte Zustimmung des Patienten erforderlich.
Geschäftsgeheimnisse?
Rund um Geschäftsgeheimnisse beraten und verteidigen wir: Unternehmen beim Schutz von Geheimnissen und Arbeitnehmer, wenn der Vorwurf erhoben wird, Daten entwendet zu haben.
Vorsicht bei Veräußerung von Kundendaten
Es kommt stark auf den Einzelfall an, wobei man versuchen kann, sich eine vorweggenommene Einwilligung erteilen zu lassen, die sich dann aber sowohl AGB-rechtlich messen lassen muss als auch widerrufen werden kann. Eine absolut sichere Verwertung von Kundendaten wird es in einer pauschalen Lösung jedenfalls nicht geben – und neben hohen Bussgeldern droht am Ende, dass das (teuer) erworbene Wirtschaftsgut nicht einmal verwendet werden kann.
Dazu bei uns:
- Wem gehören die Kundendaten und Kontakte?
- Wem gehören die Kundendaten, wenn der Newsletter-Dienstleister insolvent geht?
- Betriebsgeheimnis: Handelsvertreter darf Kundendaten der früheren Firma nicht verwerten
- Cloud-Computing und IT-Vertragsrecht: Dürfen Anbieter Daten der Kunden bei Zahlungsverzug löschen?
- Wenn die Kontrolle über Daten verloren geht
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.
- Einziehung im Kontext des Cannabis-Anbaus - 18. April 2024
- BGH zur korrekten Handhabung von Fristsetzungen für Beweisanträge - 18. April 2024
- EuGH zur Beweislast bei Erschöpfung von Unionsmarkenrechten in selektiven Vertriebssystemen - 17. April 2024