Beim Unternehmenskauf stehen nicht nur finanzielle, sondern auch rechtliche und datenschutzrechtliche Aspekte im Fokus. Insbesondere die Verarbeitung und Übertragung von Kundendaten erfordert eine sorgfältige Planung, da personenbezogene Daten unter die strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) fallen. Ob ein Share Deal oder ein Asset Deal gewählt wird, welche Maßnahmen während der Due Diligence erforderlich sind und wie Haftungsrisiken minimiert werden können – all diese Fragen sind entscheidend für eine erfolgreiche und rechtssichere Transaktion. In diesem Artikel beleuchten wir die wichtigsten datenschutzrechtlichen Herausforderungen und zeigen auf, wie Unternehmen diese meistern können.
Die Bedeutung von Kundendaten beim Unternehmenskauf
Kundendaten als wertvolles Asset
Kundendaten sind oft ein zentrales Element bei Unternehmenskäufen, insbesondere bei insolventen Unternehmen, wo sie den größten Teil des verbleibenden Werts ausmachen. Ihre Nutzung und Übertragung ist jedoch durch die DSGVO streng geregelt, da es sich um personenbezogene Daten handelt.
Herausforderungen durch personenbezogene Daten
Die Verarbeitung von personenbezogenen Daten erfordert besondere Vorsicht. Anonymisierte Daten können ohne Einschränkungen verarbeitet werden, während Klardaten einer detaillierten Prüfung unterliegen. Käufer müssen sicherstellen, dass sie den Datenschutzanforderungen gerecht werden, um rechtliche Risiken zu vermeiden.
Unterschiede zwischen Share Deal und Asset Deal
Die Art des Unternehmenskaufs beeinflusst, wie mit Kundendaten umzugehen ist. Bei einem Share Deal verbleiben die Daten innerhalb der bestehenden Organisation, und es sind keine zusätzlichen Einwilligungen erforderlich. Ein Asset Deal hingegen kann weitere Maßnahmen wie die Einholung von Einwilligungen oder die Information der betroffenen Personen notwendig machen.
Share Deal vs. Asset Deal: Datenschutzrechtliche Implikationen
Die Wahl zwischen einem Share Deal und einem Asset Deal hat erhebliche Auswirkungen auf den datenschutzrechtlichen Umgang mit Kundendaten. Beide Modelle unterscheiden sich nicht nur in ihrer rechtlichen Struktur, sondern auch in den Anforderungen, die sich aus der DSGVO ergeben.
Der Share Deal: Weniger datenschutzrechtliche Hürden
Beim Share Deal werden sämtliche Anteile des Unternehmens übernommen, während dessen rechtliche Identität unverändert bleibt. Dadurch ändert sich der Verantwortliche im Sinne der DSGVO nicht, und die Verarbeitung der Kundendaten kann wie bisher erfolgen. Eine Einwilligung der betroffenen Personen ist in diesem Fall nicht erforderlich, da der Verwendungszweck der Daten unverändert bleibt. Diese Vereinfachung macht den Share Deal aus datenschutzrechtlicher Sicht besonders attraktiv.
Allerdings übernimmt der Käufer im Rahmen des Share Deals auch sämtliche datenschutzrechtlichen Verpflichtungen und potenziellen Altlasten des Unternehmens. Das kann teuer werden, wie der Fall von Delivery Hero zeigt: Verstöße gegen Lösch- und Auskunftsverpflichtungen, die vor der Übernahme begangen wurden, führten zu einem Bußgeld von knapp 200.000 Euro, das der neue Eigentümer tragen musste. Eine sorgfältige Prüfung vor der Übernahme ist daher unverzichtbar.
Der Asset Deal: Komplexere Anforderungen
Im Gegensatz dazu werden beim Asset Deal nur einzelne Wirtschaftsgüter des Unternehmens übertragen, wie beispielsweise eine Kundendatenbank. Da dies häufig einen Wechsel des Verantwortlichen und unter Umständen auch des Verwendungszwecks mit sich bringt, ist die Datenübertragung deutlich anspruchsvoller.
Wenn die Daten weiterhin für ihren ursprünglichen Zweck oder für einen ähnlichen Zweck verwendet werden, kann die Übertragung unter bestimmten Voraussetzungen auch ohne Einwilligung der betroffenen Personen erfolgen. Es muss jedoch gewährleistet sein, dass die Betroffenen vorab informiert werden und eine Widerspruchsfrist eingeräumt bekommen. Ist hingegen eine Nutzung der Daten zu einem völlig neuen Zweck geplant, ist die Einwilligung der Betroffenen zwingend erforderlich.
DSGVO-konforme Due Diligence: Maßnahmen und Herausforderungen
Die Due Diligence ist ein zentraler Schritt im Unternehmenskauf, bei dem die Käuferseite das Zielunternehmen detailliert prüft. Dabei spielen auch personenbezogene Daten, insbesondere von Kunden und Lieferanten, eine wichtige Rolle. Um dabei den Vorgaben der DSGVO zu entsprechen, sind spezielle Maßnahmen erforderlich, die sowohl den Schutz der Betroffenen als auch die Informationsbedürfnisse des Käufers berücksichtigen.
Anonymisierung und Pseudonymisierung
Um datenschutzkonform zu handeln, sollten personenbezogene Daten während der Due Diligence möglichst anonymisiert oder pseudonymisiert werden. Anonymisierte Daten erlauben es, wertvolle Erkenntnisse über Kunden- und Geschäftsdaten zu gewinnen, ohne dass eine Identifikation einzelner Personen möglich ist. So wird sichergestellt, dass die DSGVO-Vorgaben nicht verletzt werden.
Falls eine vollständige Anonymisierung nicht möglich ist und Daten in Klardatenform offengelegt werden müssen, kann dies unter bestimmten Umständen erlaubt sein. Beispielsweise können Art. 6 Abs. 1 lit. b und lit. f DSGVO eine Verarbeitung rechtfertigen, wenn die Kenntnis dieser Daten für die Transaktion unverzichtbar ist, etwa zur Fortführung des Unternehmens. Hierbei ist jedoch nachzuweisen, dass die Verarbeitung mit dem ursprünglichen Zweck der Datenerhebung vereinbar ist.
Technisch-organisatorische Maßnahmen
Datenschutzkonforme Due Diligence erfordert auch den Einsatz von technisch-organisatorischen Maßnahmen (TOM). Dazu zählen sichere Übertragungswege, Zugriffsbegrenzungen und die Einbindung von Geheimhaltungsvereinbarungen (NDAs) zwischen den Parteien. Solche Maßnahmen minimieren das Risiko eines Datenmissbrauchs und schützen die Betroffenen vor möglichen Schäden.
Einwilligung als letzte Option
Eine Datenübertragung auf Basis der Einwilligung der Betroffenen ist oft nicht praktikabel. Sie ist nicht nur aufwendig, sondern birgt auch das Risiko, die Kaufabsicht öffentlich zu machen, was die Verhandlungsposition des Käufers schwächen könnte. Daher sollte die Einwilligung nur dann in Betracht gezogen werden, wenn andere rechtliche Grundlagen nicht ausreichen.
Fazit
Ein Unternehmenskauf ist nicht nur eine wirtschaftliche, sondern auch eine datenschutzrechtliche Herausforderung. Die DSGVO stellt klare Anforderungen an die Verarbeitung und Übertragung personenbezogener Daten, die sowohl während der Due Diligence als auch bei der eigentlichen Transaktion eingehalten werden müssen. Ob Share Deal oder Asset Deal – beide Modelle haben ihre spezifischen Vor- und Nachteile aus datenschutzrechtlicher Sicht.
Mit einer sorgfältigen Planung, der Einhaltung technischer und organisatorischer Maßnahmen sowie einer klaren Abwägung der rechtlichen Risiken können Käufer und Verkäufer die DSGVO-konforme Verarbeitung sicherstellen. Dabei ist es entscheidend, die Bedeutung von Kundendaten nicht nur als wirtschaftliches Asset, sondern auch als potenziellen Risikofaktor zu erkennen.
Unternehmen, die frühzeitig Experten hinzuziehen und datenschutzrechtliche Prinzipien konsequent umsetzen, schaffen die Grundlage für eine erfolgreiche Transaktion, die langfristig sowohl wirtschaftlich als auch rechtlich Bestand hat.
Quellen:
https://www.dataguard.de/blog/unternehmenskauf-in-zeiten-der-dsgvo
https://www.datenschutz-notizen.de/unternehmenskauf-und-kundendatenschutz-1119551