Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat „erhebliche“ Bußgelder in fünfstelliger Höhe gegen zwei Unternehmen verhängt. Grund: im Rahmen von sog. ‚Asset Deals‘ wurden rechtswidrig Kundendaten verkauft. Der Bußgeldbescheid ist mittlerweile unanfechtbar.
‚Asset Deals‘ müssen datenschutzkonform sein
Wenn Unternehmen ihren Betrieb einstellen, versuchen sie nicht selten wertvolle Teile des Unternehmens an andere zu verkaufen (sog. Asset Deals). Mittlerweile gehören regelmäßig auch Kundendaten zu den Teilen eines Unternehmens, die in diesem Rahmen verkauft werden.
Dass das aber datenschutzkonform erfolgen muss, ist vielen Unternehmen nicht bewusst oder wird teilweise von ihnen ignoriert. Hart traf es jetzt zwei bayerische Unternehmen: wie das BayLDA in einer Pressemitteilung bekannt gab, wurden jeweils „erhebliche“ Bußgelder in fünfstelliger Höhe verhängt. Ein Online-Shop, der seinen Betrieb einstellte, verkaufte die E-Mail-Adressen seiner Kunden an ein anderes Unternehmen.
E-Mail-Adressen sind keine Listendaten
Das Bundesdatenschutzgesetz kennt eine Erlaubnis für die Übermittlung von Namen und Postanschriften zu werblichen Zwecken (§ 28 Abs. 3 S. 2 BDSG). Diese sog. Listendaten dürfen ohne die Einwilligung der Betroffenen übermittelt werden, wenn das veräußernde Unternehmen die Übermittlung dokumentiert. E-Mail-Adressen sind von dieser Regelung aber explizit nicht erfasst. Unternehmen sollten zudem beachten, dass zu werblichen Zwecken erhaltene E-Mail-Adressen nur verwendet werden dürfen, wenn der Betroffene darin ausdrücklich einwilligt. Dies ist bei käuflich erworbenen E-Mail-Adressen aber häufig nicht der Fall. Das führt nicht nur zu einem Verstoß gegen das BDSG, sondern zugleich gegen das Gesetz gegen den unlauteren Wettbewerb (§ 7 Abs. 2 Nr. 2 und 3 UWG).
Verstöße werden auch in Zukunft entsprechend geahndet
Da derartige Verstöße im Rahmen von Asset Deals, laut Angaben des BayLDA, immer wieder vorkommen, wird die Aufsicht auch zukünftig mit entsprechenden Bußgeldern dagegen vorgehen. Die Aufsicht mahnt Unternehmen und Insolvenzverwalter an zu bedenken, dass Kundendaten nicht als Ware des Unternehmens beliebig veräußert werden dürften. Ein Verkauf und die Übermittlung seien nur unter den Voraussetzungen des Datenschutzrechts zulässig.