Die Weitergabe von Kundendaten ist bei Unternehmensverkäufen von zentraler Bedeutung, wird aber besonders bei Asset Deals häufig unterschätzt. Die Datenschutzkonferenz (DSK) hat Ende 2024 neue Vorgaben veröffentlicht, um bei der datenschutzkonformen Umsetzung solcher Transaktionen zu unterstützen. Wer eine Transaktion plant, muss sich mit strengen Vorschriften und möglichen Risiken auseinandersetzen.

I. Warum Daten für M&A-Transaktionen entscheidend sind

In der heutigen Geschäftswelt stellen Daten oft einen wesentlichen Unternehmenswert dar. Besonders datengetriebene Geschäftsmodelle wie im Bereich Künstliche Intelligenz oder Gesundheitswesen sind gefragter denn je.

Unternehmen können auf zwei Arten verkauft werden:

• Beim Share Deal werden die Anteile der Zielgesellschaft übertragen, das Unternehmen geht quasi „als Ganzes“ auf den Käufer über. Die bestehenden Verträge, Verbindlichkeiten, Forderungen und sonstigen Rechte und Pflichten verbleiben bei dem Unternehmen. Die Gesellschaft bleibt datenschutzrechtlich verantwortlich; die Datenschutzprobleme sind daher in der Regel überschaubar.
• Beim Asset Deal werden Vermögenswerte einzeln übertragen – z.B. Immobilien, Patente oder Kundendaten. Bei den Kundendaten handelt es sich in der Regel um personenbezogene Daten sind, deren Übertragung strengen datenschutzrechtlichen Regeln unterliegen. Diese Datenübermittlung bedarf einer Rechtfertigung nach der DSGVO.

II. Strenge Datenschutzvorgaben

Die Datenschutz-Grundverordnung (DSGVO) setzt hohe Standards für den Umgang mit personenbezogenen Daten. Besonders in datensensitiven Branchen gelten strenge Vorgaben.

Die DSK hat in ihrem Beschluss drei relevante Phasen für die Datenübermittlung bei einem Asset Deal herausgearbeitet:

1. Datenübermittlung bei der Due Diligence

Während der Prüfung eines Unternehmens (Due Diligence) ist eine Übermittlung personenbezogener Daten an den potenziellen Käufer grundsätzlich unzulässig, sofern keine Einwilligung vorliegt. In fortgeschrittenen Übernahmeverhandlungen kann jedoch ein berechtigtes Interesse die Weitergabe von Hauptvertragspartnerdaten rechtfertigen, vgl. Art. 6 Abs.1 lit. f DSGVO.

2. Datenübermittlung beim Asset Deal

Die DSK unterscheidet hier für die Datenschutzanforderungen bei der Übermittlung der Kundendaten nach der Art der Kundenbeziehung:

• Vertragsanbahnung: Zunächst führt der Verkäufer mit dem potentiellen Kunden Vertragsverhandlungen. Wenn der Kunde seine Verhandlungen mit dem Käufer rügelos fortsetzt, ist die Weitergabe von den Daten gerechtfertigt, die für die Fortsetzung der Vertragsverhandlungen mit dem potentiellen Kunden erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO). Alternativ kann auf die sog. Widerspruchslösung zurückgegriffen werden. Dem potentiellen Kunden wird mit einer angemessen Frist für einen möglichen Widerspruch angekündigt, dass eine Datenübermittlung beabsichtigt ist. Erfolgt kein Widerspruch, ist die Datenweitergabe grundsätzlich zulässig.
• Laufende Verträge: Für die Übernahme eines laufenden Vertrages ist die Zustimmung des Kunden erforderlich. In dem Fall ist die Weitergabe der Kundendaten datenschutzrechtlich zulässig. Bei einer bloßen Erfüllungsübernahme kann eine Datenweitergabe über das berechtigte Interesse gerechtfertigt sein.
• Beendete Vertragsbeziehungen: Die DSK vertritt die Auffassung, dass der Käufer Daten von ehemaligen Kunden nur im Rahmen der Auftragsverarbeitungsvereinbarung nutzen darf, also zur Archivierung. Will der Käufer die Daten zu anderen Zwecken verwenden, ist nach der Ansicht der DSK eine Einwilligung des Altkunden erforderlich.

III. Rechtsfolgen bei Datenschutzfehlern

Ein fehlerhafter Umgang mit personenbezogenen Daten kann gravierende Folgen haben:

• Datenschutzbehörden können die Nutzung unzulässig übertragener Daten untersagen und deren Löschung anordnen.
• Verstöße gegen die DSGVO können hohe Bußgelder nach sich ziehen.
• Betroffene Personen können Schadensersatzforderungen stellen, bis hin zu möglichen Massenklagen.

Daher ist es entscheidend, die Datenschutzkonformität einer Transaktion frühzeitig zu prüfen.

IV. Risikominimierung

Wer ein Asset Deal erfolgreich gestalten will, sollte folgende Maßnahmen ergreifen:

• Umfassende Due Diligence: Eine gründliche Prüfung der betroffenen Daten und deren rechtliche Rahmenbedingungen.
• Klare Strukturierung der Datenübertragung: Welche Daten können rechtlich sicher übernommen werden? Wer informiert die Kunden?
• Vertragliche Absicherung: Einführung von Schutzmechanismen wie aufschiebende Bedingungen oder Preisanpassungen bei unzureichender Kunden-Einwilligung.

V. Fazit: Alternativen und Schutzmechanismen nutzen

Asset Deals können datenschutzrechtlich herausfordernd sein, sind aber mit der richtigen Strategie realisierbar. Unternehmen sollten frühzeitig Risiken analysieren und andere Möglichkeiten wie einen Share Deal oder eine gesellschaftsrechtliche Abspaltung in Betracht ziehen.