Der Datenschutz spielt eine zentrale Rolle bei Unternehmenstransaktionen, insbesondere bei sogenannten Asset Deals, bei denen einzelne Vermögenswerte eines Unternehmens übertragen werden. Der neue Beschluss der Datenschutzkonferenz (DSK) vom 11. September 2024 bietet mehr Klarheit und präzisiert wesentliche Anforderungen zum Datenschutz bei Asset Deals, die seit dem ersten DSK Beschluss von 2019 offengeblieben waren. Dieser Artikel gibt einen Überblick über die Neuerungen und bietet praxisnahe Empfehlungen für Unternehmen.
Asset Deals: Warum der Datenschutz wichtig ist
Im Gegensatz zu Share Deals erfolgt die Übertragung eines Unternehmens im Wege des Asset Deals durch die Übertragung der einzelnen Vermögensgegenstände des Unternehmens. Dabei werden Vermögenswerte wie beispielsweise Grundstücke, Gebäude, Maschinen, Kundenstamm, Rechte etc., im Rahmen der Singularsukzession auf die Erwerber übertragen, während der Rechtsträger selbst nicht Teil der Transaktion ist. Das macht den Datenschutz bei Asset Deals zu einer Herausforderung – besonders bei der Übertragung von Kunden- oder Beschäftigtendaten. Der neue DSK-Beschluss gibt detailliertere Vorgaben zu verschiedenen Vertragsstadien und den damit verbundenen Datenübertragungen.
Datenübermittlung während der Due-Diligence-Prüfung (vor Abschluss des Asset Deals)
Zum Zeitpunkt der Vertragsverhandlungen zwischen Veräußerern und potenziellen Erwerbern – also vor Abschluss eines Vertrages (des Asset Deals) – ist die Übermittlung von personenbezogenen Daten grundsätzlich unzulässig. Die DSK unterscheidet zwischen gewöhnlichen Vertragsverhandlungen und fortgeschrittenen Übernahmeverhandlungen.
- In der frühen Phase dürfen personenbezogene Daten nur mit Einwilligung übermittelt werden.
- Bei fortgeschrittenen Verhandlungen (z. B. Exklusivitätsvereinbarungen) kann ein berechtigtes Interesse als Grundlage dienen, aber nur bei sorgfältiger Dokumentation der Interessenabwägung.
Übermittlung von Kundendaten im Rahmen des Asset Deals
Die DSK unterscheidet zwischen vorvertraglichen, bestehenden und beendeten Kundenbeziehungen:
Datenübermittlung im Rahmen von Vertragsanbahnungen bei einem Asset Deal:
- Die Übermittlung von Daten kann auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), wenn der Kunde die Vertragsverhandlung mit dem Erwerber rügelos fortführt.
- Alternativ lässt sich die Übermittlung auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen. Den schutzwürdigen Interessen des Interessenten kann nach Empfehlung der DSK mit fristgebundene Widerspruchslösung von 6 Wochen Rechnung getragen werden.
Datenübermittlung im Rahmen eines Asset Deals bei bestehenden Kundenbeziehungen:
- Hier kann Art. 6 Abs. 1 lit. b DSGVO angewendet werden, wenn Kunden der Vertragsübernahme (zivilrechtlich) zustimmen.
- Bei Erfüllungsübernahme durch den Erwerber wäre das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) einschlägig, da auch der Kunde an der Erfüllung möglicher übergegangene Verjährungs- oder Garantieansprüche interessiert sein sollte.
Datenübermittlung im Rahmen eines Asset Deals bei beendeten Kundenbeziehungen
- Sofern der Veräußerer beabsichtigt, Daten ehemaliger Kunden ohne laufende Verträge (Altdaten) dem Erwerber zur Erfüllung der gesetzlichen Aufbewahrungsfristen zu übermitteln, ist der Abschluss eines Vertrages über eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO erforderlich.
- Möchte der Erwerber die Daten zu eigenen Zwecken nutzen, ist eine Einwilligung erforderlich. Hier empfiehlt die DSK die „Zwei-Schrank-Lösung“, um getrennte Aufbewahrung sicherzustellen.
Weiternutzung zu Werbezwecken durch den Erwerber:
- Kontaktdaten von Kunden, die der Erwerber rechtmäßig verarbeiten darf, können in der Regel gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DS-GVO in dem gleichen Umfang für Werbezwecke genutzt werden, wie es dem Veräußerer erlaubt war
Übermittlung von Beschäftigtendaten
Die Übermittlung von Beschäftigtendaten zur Vertragsdurchführung im Rahmen eines Asset Deals kann bei Vorliegen eines Betriebsübergangs gemäß § 613a BGB in der Regel auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden. Soweit dabei besondere Kategorien personenbezogener Daten betroffen sind, dient § 26 Abs. 3 BDSG als Rechtsgrundlage. Der Veräußerer verarbeitet die Daten zur Erfüllung oder Abwicklung des Arbeitsvertrags, während der Erwerber diese im Rahmen des gesetzlich angeordneten Übergangs der Verträge gemäß § 613a BGB i.V.m. Art. 6 Abs. 1 S. 1 lit. b DSGVO entsprechend weiterverarbeiten darf. Dies schließt auch die Pflicht ein, die Beschäftigten über den Betriebsübergang zu informieren (§ 613a Abs. 5 BGB).
Übermittlung von Lieferantendaten
Sofern keine schutzwürdigen Interessen entgegenstehen, ist eine Übermittlung von Lieferantendaten durch den Veräußerer an den Erwerber gemäß Art. 6 Abs. 1 lit. f DSGVO möglich. Nach Ansicht der Datenschutzkonferenz (DSK) bestehen insbesondere bei geschäftlichen Kontaktdaten in der Regel keine überwiegenden Interessen, die gegen eine solche Übermittlung sprechen. Vielmehr dürfte bei den Lieferanten üblicherweise ein berechtigtes Interesse bestehen, eine bestehende Geschäftsbeziehung auch mit dem neuen Erwerber fortzusetzen.
Praktische Empfehlungen für Unternehmen – Datenschutz bei Asset Deals
- Datenschutz bereits vor Beginn der Due Diligence mitdenken:
Besprechen Sie mögliche Datenübertragungen frühzeitig mit Ihrem Datenschutzbeauftragten, um alle datenschutzrechtlichen Vorgaben zu berücksichtigen. - Sichere Datenübertragung planen:
Überlegen Sie, auf welchem Weg die Daten an den Interessenten übermittelt werden sollen. Ziehen Sie in Erwägung, einen geeigneten virtuellen Datenraum auszuwählen und den Anbieter nach datenschutzrechtlichen Aspekten zu prüfen. Schließen Sie klare Vereinbarungen zur Auftragsverarbeitung, wo dies erforderlich ist. - Datenminimierung sicherstellen:
Übertragen Sie nur die notwendigen Daten. Erstellen Sie anonymisierte oder pseudonymisierte Listen von Kunden, Lieferanten und Beschäftigten und schwärzen Sie nicht benötigte Informationen. - Informationspflichten einhalten:
Betroffene (Kunden, Beschäftigte, Lieferanten) müssen rechtzeitig und transparent informiert werden. Auch um die Interessen der betroffenen Personen bei Verarbeitungsvorgängen auf Grundlage der Interessensabwägung (Art. 6 Abs. 1 lit. f DSGVO) zu wahren. Die Einhaltung von Widerspruchsfristen ist obligatorisch. - Einwilligungen sorgfältig einholen:
Wo erforderlich, müssen Einwilligungen freiwillig und eindeutig sein. Dies gilt insbesondere bei sensiblen Daten. - Rechtsgrundlagen dokumentieren:
Dokumentieren Sie die zugrunde liegenden Rechtsgrundlagen, insbesondere bei der Einholung von Einwilligungen und der Durchführung der Interessensabwägung.
- Verzeichnis von Verarbeitungstätigkeiten aktualisieren:
Sowohl als Veräußerer als auch als Erwerber müssen Sie das Verzeichnis der Verarbeitungstätigkeiten aktualisieren und die Datenübermittlung sowie die weitere Verarbeitung entsprechend dokumentieren. - Pflichten im Hinblick auf den Betriebsübergang beachten
Informieren Sie die betroffenen Personen vor dem Vollzug des Betriebsübergangs, sowohl aus zivilrechtlicher als auch aus datenschutzrechtlicher Sicht, um die Interessen der Betroffenen bei der Verarbeitung auf Grundlage der Interessensabwägung (Art. 6 Abs. 1 lit. f DSGVO) zu wahren.
Warum der Datenschutz Share Deals unproblematisch ist:
Beim Share Deal erfolgt eine Veräußerung des Unternehmens durch Übertragung seines Rechtsträgers, also der Übertragung der Anteils- bzw. Beteiligungsrechte. Bei einem Erwerb von Unternehmensanteilen bleibt der Unternehmensträger (GmbH, Aktiengesellschaft) unverändert fortbestehen. Insofern kommt es bei der Übertragung der Anteile am Ziel-Unternehmen weder zu einer Übermittlung von Daten an einen „Dritten“ noch zu einer Erhebung von Daten durch eine „andere“ verantwortliche Stelle. Folglich ändert sich auch die für die Datenverarbeitung verantwortliche Stelle nicht. Bei dem Unternehmensverkauf in Form eines Share Deals ergeben sich datenschutzrechtlich gesehen keine Besonderheiten.
Fazit
Der neue DSK-Beschluss 2024 bringt mehr Klarheit in die datenschutzrechtliche Behandlung von Asset Deals, insbesondere bei der Übertragung von Kunden- und Beschäftigtendaten. Unternehmen sollten die Neuerungen sorgfältig umsetzen, um Risiken zu minimieren und die Transaktion rechtskonform durchzuführen. Eine frühzeitige Abstimmung zwischen den beteiligten Parteien und deren Datenschutzbeauftragten, die Einhaltung der DSGVO-Vorgaben und eine gründliche Dokumentation sind dabei unerlässlich.
FAQ Datenschutz bei Asset Deals
Beim Share Deal erfolgt eine Veräußerung des Unternehmens durch Übertragung seines Rechtsträgers, also der Übertragung der Anteils- bzw. Beteiligungsrechte. Der Share Deal erzeugt datenschutzrechtlich kein Problem, weil sich beim Wechsel der Anteilsinhaberschaft die rechtliche Identität der verantwortlichen Stelle nicht ändert. Insofern kommt es bei einem Share Deal zu keinem erlaubnispflichtigen Verarbeitungsvorgang.
Unter dem Begriff des Asset Deals ist dabei ein Unternehmenskauf zu verstehen, bei dem Wirtschaftsgüter/Vermögenswerte (engl.: Assets) eines Unternehmens im Rahmen der Singularsukzession, auf die den Erwerber übertragen werden. Ein Asset Deal liegt zum Beispiel vor, wenn eine Einzelunternehmer (Veräußerer) seinen Betrieb an einen Nachfolger (Erwerber) übergibt und dabei beispielsweise die Grundstücke, Gebäude, Maschinen, Kundenstamm, Rechte, die Firmierung etc. übernimmt und den Betrieb fortführt.
einem Asset Deal?
Beim Share Deal erfolgt eine Veräußerung des Unternehmens durch Übertragung seines Rechtsträgers, also der Übertragung der Anteils- bzw. Beteiligungsrechte. Die Übertragung eines Unternehmens im Wege des Asset Deals demgegenüber erfolgt durch Übertragung der einzelnen Vermögengegenstände des Unternehmens ohne seinen Rechtsträger, d.h. Abtrennung des Unternehmens von seinem bisherigen direkten Rechtsträger.
Als Due Diligence (englisch für „gebotene Sorgfalt“) wird die Analyse der rechtlichen und wirtschaftlichen Situation des Zielunternehmens bezeichnet. Der Kaufinteressent untersucht das Zielunternehmen im Hinblick auf Chancen und Risiken. Die Due Diligence umfasst verschiedene Bereiche
• Finanzielle Due Diligence
• Rechtliche Due Diligence
• Steuerliche Due Diligence
•IT-Due Diligence
Zur Erstellung eines aussagekräftigen Risikoprofils erhalten ein oder mehrere Erwerbsinteressenten eine Vielzahl Einsicht in Vertragsverhältnisse aus allen Unternehmensbereichen, Mitarbeiter-, Lieferantenlisten sowie Rechnungslegungsunterlagen, Steuererklärungen und bescheide sowie sonstige wertbeeinflussende Verhältnisse.
Eine Übermittlung im Rahmen eines Verkaufs von Kundendatenbanken als isoliertes „Asset“ ist regelmäßig nur mit vorheriger Einwilligung der betroffenen Kunden möglich. Dies gilt insbesondere dann, wenn die Datenbanken zur Werbung für Geschäftstätigkeiten genutzt werden soll, die in keinem Zusammenhang mit dem ursprünglichen Unternehmen stehen. Nur wenn Kleinstunternehmen (weniger als 10 Beschäftigte) oder Kleinunternehmen (weniger als 50 Beschäftigte und ein Jahresumsatz von höchstens 10 Mio. Euro) aufgrund der Beendigung der eigenen wirtschaftlichen Tätigkeit untereinander die Daten ihrer Kunden einem Kleinst- oder Kleinunternehmen desselben Wirtschaftszweigs übergeben, kann ausnahmsweise die einmalige Übermittlung ausschließlich der Postadressen im Wege einer Widerspruchslösung realisiert werden.
Die Übermittlung sensibler Daten, etwa aus Patientenakten bei Arztpraxen, ist nur mit Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO zulässig. Bis zur Einwilligung müssen Daten strikt getrennt verwahrt werden (z. B. durch die „Zwei-Schrank-Lösung“).
