Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 11. September 2024 mit der Übermittlung personenbezogener Daten bei Unternehmensverkäufen befasst. Insbesondere der Asset Deal, bei dem einzelne Wirtschaftsgüter eines Unternehmens verkauft werden, stellt datenschutzrechtlich eine Herausforderung dar.
Während beim Share Deal in der Regel keine Datenschutzprobleme auftreten, da das Unternehmen als juristische Person bestehen bleibt, muss beim Asset Deal genau geprüft werden, ob die Weitergabe von Kundendaten, Lieferantendaten oder anderen personenbezogenen Informationen rechtmäßig ist.
1. Share Deal vs. Asset Deal – Datenschutz im Vergleich
Unternehmenskäufe erfolgen in der Regel über zwei Methoden:
✔ Share Deal – datenschutzrechtlich unkompliziert
- Die Gesellschaftsanteile werden übertragen, die juristische Person bleibt unverändert.
- Keine neue Datenübermittlung, da der Verantwortliche im Sinne der DSGVO derselbe bleibt.
- Einzige Datenschutzprüfung: Due-Diligence-Prüfung muss sicherstellen, dass alle Datenschutzvorgaben eingehalten werden.
✔ Asset Deal – neue datenschutzrechtliche Verantwortung
- Einzelne Wirtschaftsgüter, z. B. Kundendatenbanken oder Lieferantenlisten, werden verkauft.
- Die Verantwortung für personenbezogene Daten geht auf den Erwerber über.
- Wichtige Datenschutzpflichten:
- Prüfung der Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (z. B. Vertragserfüllung oder berechtigtes Interesse).
- Informationspflichten nach Art. 13 und 14 DSGVO – Betroffene müssen über den Eigentümerwechsel informiert werden.
2. Datenschutz-Herausforderungen beim Asset Deal
Der Asset Deal bringt einige besondere Herausforderungen mit sich:
✔ Wechsel der Verantwortlichkeit
- Der Käufer übernimmt die personenbezogenen Daten von Kunden, Lieferanten und Mitarbeitern.
- Er muss sicherstellen, dass die Übertragung rechtlich abgesichert ist.
✔ Rechtsgrundlage für die Datenübermittlung
- Eine Übermittlung ist nur zulässig, wenn eine gesetzliche Grundlage vorliegt:
- Vertragserfüllung (z. B. fortlaufende Kundenbetreuung).
- Berechtigtes Interesse des Erwerbers, wenn die Interessen der Betroffenen nicht überwiegen.
✔ Informationspflichten
- Betroffene müssen aktiv über den neuen Verantwortlichen und deren Rechte informiert werden.
- Dies muss transparent und dokumentiert erfolgen.
3. Einzelunternehmen und Personengesellschaften – besondere Datenschutzrisiken
Einzelkaufleute und kleine Unternehmen stehen bei einem Asset Deal oft vor größeren Herausforderungen:
✔ Betriebsübergaben sind komplex
- Kundendaten, Rechnungen und andere personenbezogene Daten liegen oft direkt beim Unternehmer.
- Die Trennung zwischen privaten und geschäftlichen Daten ist schwieriger.
✔ Datenschutzrechtliche Anforderungen
- Die Übertragung muss transparent dokumentiert werden.
- Kunden haben ein Widerspruchsrecht gegen die Weitergabe ihrer Daten.
Unternehmen müssen daher besonders darauf achten, sämtliche Datenschutzvorgaben einzuhalten, um Bußgelder und rechtliche Konsequenzen zu vermeiden.
4. Fazit: Datenschutzkonforme Unternehmensverkäufe sind möglich
Die DSK macht deutlich: Beim Share Deal ist die Datenschutzlage meist unproblematisch, beim Asset Deal muss jedoch genau geprüft werden.
✔ Unternehmen sollten frühzeitig sicherstellen, dass eine gültige Rechtsgrundlage für die Datenübertragung besteht.
✔ Informationspflichten müssen eingehalten werden, um Transparenz zu gewährleisten.
✔ Besonders kleine Unternehmen müssen sorgfältig dokumentieren, welche personenbezogenen Daten übergehen.
Wir stehen Ihnen gern beratend zur Seite, um Ihre Unternehmensverkäufe datenschutzkonform zu gestalten und rechtliche Risiken zu minimieren.