Unternehmenstransaktionen können aus datenschutzrechtlicher Sicht komplex sein, insbesondere wenn es um die Übermittlung personenbezogener Daten geht. Die Datenschutzkonferenz (DSK)* hat am 11.09.2024 klare Leitlinien verabschiedet, die Unternehmen dabei unterstützen, diese Prozesse rechtskonform zu gestalten: „Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals“**. In diesem Beitrag fassen wir die wichtigsten Punkte für Sie zusammen – kompakt, verständlich und praxisnah.
Hintergrund: Was ist ein Asset Deal?
Bei einem Asset Deal werden Vermögensgegenstände eines Unternehmens wie Kundenstämme, Maschinen oder Markenrechte übertragen. Im Gegensatz dazu wechseln bei einem Share Deal die Anteile eines Unternehmens den Besitzer. Aus datenschutzrechtlicher Sicht sind Share Deals weniger problematisch, da das Unternehmen als verantwortliche Stelle bestehen bleibt. Bei Asset Deals hingegen ist die Übertragung personenbezogener Daten oft unvermeidbar – und genau hier setzen die Leitlinien der DSK an.
Was bedeutet das konkret?
Die Datenschutzkonferenz unterscheidet verschiedene Szenarien für die Übermittlung personenbezogener Daten:
- Datenübermittlung vor Vertragsabschluss (Due Diligence):
- Personenbezogene Daten dürfen in der Regel nicht übermittelt werden.
- Ausnahmen:
- Einwilligung der betroffenen Personen.
- Berechtigtes Interesse bei Schlüsselpersonen (z. B. Führungskräfte).
- Kundendaten:
- Laufende Verträge: Dürfen an den Erwerber weitergegeben werden, wenn dies zur Vertragserfüllung notwendig ist (Art. 6 Abs. 1 Buchst. b DSGVO).
- Beendete Verträge: Müssen archiviert und strikt von aktiven Kundendaten getrennt werden (Art. 28 DSGVO).
- Werbung: Daten dürfen nur zu Werbezwecken genutzt werden, wenn die rechtlichen Voraussetzungen erfüllt sind, z. B. gemäß § 7 UWG (Einwilligung).
- Daten von Lieferanten:
- Relevante Daten können in der Regel übermittelt werden, sofern keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen (Art. 6 Abs. 1 Buchst. f DSGVO).
- Beschäftigtendaten:
- Eine Weitergabe ist nur bei einem Betriebsübergang nach § 613a BGB oder mit Einwilligung der Betroffenen zulässig.
- Besondere Daten (z. B. Gesundheitsdaten):
- Dürfen nur mit ausdrücklicher Einwilligung übermittelt werden.
Was sollten Unternehmen beachten?
Sowohl der Veräußerer als auch der Erwerber sind für die Einhaltung der Datenschutzbestimmungen verantwortlich. Der Veräußerer muss sicherstellen, dass nur die erforderlichen Daten übertragen werden. Der Erwerber muss die betroffenen Personen informieren und den Datenschutz sicherstellen. Betroffene Personen müssen über die Datenverarbeitung informiert werden (Art. 14 DSGVO). Dabei sind Fristen einzuhalten, z.B. innerhalb eines Monats nach der Datenübermittlung. Gegebenenfalls ist die Einwilligung der Betroffenen schriftlich oder elektronisch zu dokumentieren.
Praxistipp: So gelingt die Umsetzung
- Vorbereitung:
- Identifizieren Sie frühzeitig, welche Daten im Rahmen eines Asset Deals relevant sind.
- Prüfen Sie, ob Einwilligungen eingeholt werden müssen oder ob berechtigte Interessen bestehen.
- Dokumentation:
- Führen Sie eine detaillierte Dokumentation aller datenschutzrelevanten Prozesse durch.
- Trennung von Daten:
- Nutzen Sie die sogenannte „Zwei-Schrank-Lösung“, um aktive und archivierte Daten sauber zu trennen.
- Beratung:
- Ziehen Sie Ihren Datenschutzbeauftragten hinzu.
Fazit
Ein Asset Deal erfordert nicht nur wirtschaftliche, sondern auch datenschutzrechtliche Weitsicht. Mit den richtigen Vorkehrungen lassen sich rechtliche Risiken minimieren und Vertrauen bei Kunden, Lieferanten und Beschäftigten schaffen.
Haben Sie Fragen oder benötigen Sie Unterstützung? Wir stehen Ihnen gerne zur Verfügung: consulting@AdOrgaSolutions.de
Quelle:
** Beschluss der Datenschutzkonferenz vom 11.09.2024: https://datenschutzkonferenz-online.de/media/dskb/2024-09-11_Beschluss%20DSK_%20Asset_Deals.pdf
* Was ist die DSK? https://www.datenschutzkonferenz-online.de/dsk.html
Bild: generated by DALL E (2024-12-15).