Der deutsche Mittelstand steht vor einer gewaltigen Nachfolgewelle. Laut aktuellen Daten der KfW Research planen bis Ende 2029 jährlich rund 109.000 Inhaber kleiner und mittlerer Unternehmen ihren Rückzug. Während strategische und finanzielle Aspekte traditionell im Vordergrund stehen, hat sich ein Thema von einer Randnotiz zu einem potenziellen „Deal-Breaker“ entwickelt: der Datenschutz.
Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat sich die Rechtslage massiv verschärft. Mit Bußgelddrohungen von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes (Art. 83 DSGVO) richten Käufer ihr Augenmerk zunehmend auf die datenschutzrechtliche Compliance des Zielunternehmens. Drawing on the sources, analysiert dieser Beitrag die kritischen Phasen eines M&A-Prozesses; aus Sicht des Datenschutzes und zeigt praxisnahe Lösungen auf.
Die Vorbereitungsphase: Herstellung der Compliance
Viele Unternehmen, insbesondere jüngere Start-ups oder gewachsene Familienbetriebe, vernachlässigen in der Aufbauphase die datenschutzrechtliche Dokumentation. Diese Versäumnisse holen den Verkäufer spätestens in der Due Diligence ein und können zu Kaufpreisabzügen, Freistellungsverpflichtungen oder gar dem Scheitern der Transaktion führen.
Typische Versäumnisse
Zu den häufigsten Mängeln zählen:
- Fehlende Datenschutzbeauftragte: Soweit gesetzlich erforderlich (Art. 37 DSGVO).
- Lückenhafte Verarbeitungsverzeichnisse: Das Fehlen der Dokumentation nach Art. 30 DSGVO ist ein unmittelbarer Compliance-Verstoß.
- Fehlende Auftragsverarbeitungsverträge (AVV): Verträge mit IT-Dienstleistern oder Cloud-Anbietern sind oft nicht DSGVO-konform (Art. 28 DSGVO).
- Mangelhafte Informationspflichten: Mitarbeiter und Kunden wurden nicht ausreichend über die Datenverarbeitung informiert (Art. 13, 14 DSGVO).
Lösung: Verkäufer sollten frühzeitig eine Vendor Due Diligence (Verkäuferprüfung) durchführen. Ein „Compliance Audit“ hilft dabei, Schwachstellen zu identifizieren und – gewichtet nach Priorität – zu heilen, bevor ein potenzieller Käufer den Datenraum betritt.
Die Due Diligence: Datenoffenlegung im Spannungsfeld
Die Kernphase jeder Transaktion ist die Due Diligence (DD). Hier möchte der Käufer „die Katze im Sack“ vermeiden und fordert tiefen Einblick in Kundenlisten, Personalakten und Verträge. Jede Offenlegung personenbezogener Daten stellt jedoch eine „Verarbeitung“ dar, die einer rechtlichen Grundlage bedarf.
Die Rechtsgrundlage: Berechtigtes Interesse vs. Einwilligung
Da die Einholung von Einwilligungen bei tausenden Kunden oder hunderten Mitarbeitern in der Praxis meist „lebensfremd“ ist und die Vertraulichkeit des Deals gefährden würde, stützt sich die Praxis meist auf Art. 6 Abs. 1 Buchst. f DSGVO (Wahrung berechtigter Interessen).
Dabei muss eine Interessenabwägung stattfinden:
- Berechtigtes Interesse: Das Durchführen einer M&A-Transaktion; ist ein wirtschaftlich berechtigtes Interesse.
- Erforderlichkeit: Ist die Offenlegung der Klardaten (z. B. volle Namen der Kunden) in diesem Stadium der Prüfung wirklich notwendig? Meist lautet die Antwort: Nein.
- Schutzwürdige Interessen der Betroffenen: Das Recht auf informationelle Selbstbestimmung der Mitarbeiter/Kunden darf nicht überwiegen.
Strategien zur Risikominimierung im Datenraum
Um den Anforderungen der DSGVO gerecht zu werden, ohne den Prozess zu lähmen, haben sich in der M&A-Praxis; verschiedene Mechanismen etabliert.
Pseudonymisierung und Schwärzung
Ein wesentliches Instrument ist die Schwärzung sensibler Daten. In der frühen Phase der Due Diligence sollte auf Klarnamen verzichtet werden. Anstatt „Max Mustermann, Gehalt X“ sollte im Datenraum nur „Mitarbeiter 001, Gehalt X“ erscheinen. Dies gilt besonders für Kundendaten: Ein Käufer muss die Werthaltigkeit des Kundenstamms prüfen können, benötigt dafür aber in der Analysephase keine Namen oder Privatanschriften.
Das Clean-Team-Verfahren
Bei hochsensiblen Daten (z. B. detaillierte Margen, Schlüsselkunden bei Wettbewerbern) kommen Clean Teams zum Einsatz. Dabei handelt es sich um Berater (Anwälte, Wirtschaftsprüfer), die zur Verschwiegenheit verpflichtet sind. Sie erhalten Einblick in die Rohdaten, bereiten diese jedoch für den Käufer so auf, dass keine Rückschlüsse auf Einzelpersonen oder wettbewerbskritische Geheimnisse möglich sind. Das Clean Team agiert als „Black Box“.
Virtuelle Datenräume (VDR)
Moderne virtuelle Datenräume bieten technische Schutzmaßnahmen wie Wasserzeichen, Zugriffsprotokollierung und Deaktivierung der Druckfunktion. Empfohlen wird zudem der Abschluss eines Auftragsverarbeitungsvertrages (AVV) mit dem Datenraum-Anbieter (Art. 28 DSGVO) und die Sicherstellung, dass die Serverstandorte innerhalb der EU/EWR liegen.
Share Deal vs. Asset Deal: Ein entscheidender Unterschied
Die rechtliche Struktur der Transaktion hat massive Auswirkungen auf das Datenschutzniveau:
- Share Deal (Anteilsverkauf): Das Unternehmen bleibt als Rechtsträger identisch; lediglich der Gesellschafter wechselt. Die Daten verbleiben in der Gesellschaft. Datenschutzrechtlich ist dieser Vorgang weitgehend neutral, da kein Datentransfer an einen Dritten stattfindet.
- Asset Deal (Einzelrechtsnachfolge): Die Übermittlung der Kundendaten vom Verkäufer an den Käufer stellt eine Übermittlung an einen „neuen Verantwortlichen“ dar. Dies ist die kritischste Konstellation.
Die Sicht der Aufsichtsbehörden (DSK-Beschluss 2024)
Die Datenschutzkonferenz (DSK) hat im September 2024 einen neuen Beschluss zum Asset Deal gefasst. Die Behörden sind hier streng: Eine Übermittlung personenbezogener Daten vor Abschluss des Kaufvertrages ist grundsätzlich unzulässig. Ausnahmen gelten nur für „besonders hervorgehobene Personen“ wie Hauptvertragspartner oder Key-Personal.
Für die Übertragung von Kundendaten im Asset Deal gilt:
- Bestandskunden: Bei laufenden Verträgen kann die Übermittlung oft über die Vertragserfüllung (Art. 6 Abs. 1 b) oder das berechtigte Interesse gerechtfertigt werden. Dem Kunden sollte ein Widerspruchsrecht (Opt-out) mit einer Frist von meist 4 bis 6 Wochen eingeräumt werden.
- Altkunden: Liegt der letzte Kontakt länger als drei Jahre zurück, ist eine Übermittlung ohne ausdrückliche Einwilligung (Opt-in) laut DSK kaum noch über das berechtigte Interesse zu rechtfertigen.
Mitarbeiterdaten und der „Human Factor“
Mitarbeiterdaten sind besonders sensibel. Ein Käufer hat ein berechtigtes Interesse, Risiken im Bereich der Arbeitsverhältnisse (Pensionslasten, Überstunden, laufende Prozesse) zu prüfen.
Besonderheit Asset Deal & § 613a BGB
Beim Asset Deal findet oft ein Betriebsübergang statt. Der Käufer tritt kraft Gesetzes in die Arbeitsverhältnisse ein. Hier hat der Käufer ein zwingendes Informationsbedürfnis, um zu wissen, welche Verträge er übernimmt. Dennoch greift auch hier das Gebot der Datensparsamkeit.
Umfassende Auszüge aus Personalakten oder Gesundheitsdaten (Art. 9 DSGVO) dürfen im Datenraum nicht ohne Einwilligung offengelegt werden. Sensible Daten nach Art. 9 DSGVO sollten nur anonymisiert übermittelt werden.
IT-Integration und Post-Merger-Integration (PMI)
Die Transaktion endet nicht mit dem Notartermin. In der Post-Merger-Integration müssen die IT-Systeme zusammengeführt werden. Entscheidend ist dabei die Trennung der
Zugriffsberechtigungen. Besonders bei Carve-out-Transaktionen muss sichergestellt werden, dass die verkaufte Einheit keinen Zugriff mehr auf die Daten des verbleibenden Konzerns hat.
Oft werden Transition Service Agreements (TSA) geschlossen, die auch datenschutzrechtliche Regelungen zur IT-Nutzung in der Übergangsphase enthalten müssen.
Fazit: Datenschutz als Werttreiber
Die DSGVO hat den M&A-Markt; nachhaltig verändert. Ein unstrukturierter Datenraum oder eine lückenhafte Datenschutz-Compliance sind heute keine Kavaliersdelikte mehr, sondern handfeste Haftungsrisiken.
Für den Verkäufer bedeutet dies: Vorbereitung ist alles. Eine Verkäufer-Due-Diligence und eine saubere Strukturierung des Datenraums schützen vor dem Vorwurf der Arglist und sichern den Kaufpreis.
Für den Käufer bedeutet dies: Die Prüfung der Datenschutz-Compliance muss integraler Bestandteil der Risk-Analysis sein. Findings in diesem Bereich sollten über Garantien, Freistellungen oder Rückstellungen im Kaufvertrag (SPA/APA) abgesichert werden.
Letztlich zeigt die Praxis: Ein Unternehmen, das seine Daten im Griff hat, ist für Investoren attraktiver und erzielt eine höhere Transaction Certainty. Datenschutz ist somit nicht nur eine lästige Pflicht, sondern ein entscheidender Faktor für den Erfolg eines Unternehmenskaufs.
Impressum
ViVERiO GmbH
Burghausener Str.2a
80634 München
Vertreten durch:
Markus Glasser und Martin van Moll als Geschäftsführer
Kontakt:
Telefon: +49(0) 89 80 99 111 30
Telefax: +49(0) 89 80 99 111 39
E-Mail: info@ma.expert
Registereintrag:
Eintragung im Handelsregister.
Registergericht: Amtsgericht München
Registernummer: HRB 209436
Umsatzsteuer:
Umsatzsteuer-Identifikationsnummer gemäß §27 a Umsatzsteuergesetz: DE292944826
Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr.
Unsere E-Mail-Adresse finden Sie im Impressum. Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.
Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.
Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar.
Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet.
Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.