Un­ter­neh­mens­trans­ak­tio­nen können aus da­ten­schutz­recht­li­cher Sicht komplex sein, ins­be­son­de­re wenn es um die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten geht. Die Da­ten­schutz­kon­fe­renz (DSK)* hat am 11.09.2024 klare Leit­li­ni­en ver­ab­schie­det, die Un­ter­neh­men dabei un­ter­stüt­zen, diese Pro­zes­se rechts­kon­form zu ge­stal­ten: „Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an die Er­wer­be­rin oder den Er­wer­ber eines Un­ter­neh­mens im Rahmen eines Asset-Deals“**.  In diesem Beitrag fassen wir die wich­tigs­ten Punkte für Sie zu­sam­men – kompakt, ver­ständ­lich und praxisnah.

Hin­ter­grund: Was ist ein Asset Deal?

Bei einem Asset Deal werden Ver­mö­gens­ge­gen­stän­de eines Un­ter­neh­mens wie Kun­den­stäm­me, Ma­schi­nen oder Mar­ken­rech­te über­tra­gen. Im Ge­gen­satz dazu wech­seln bei einem Share Deal die Anteile eines Un­ter­neh­mens den Be­sit­zer. Aus da­ten­schutz­recht­li­cher Sicht sind Share Deals weniger pro­ble­ma­tisch, da das Un­ter­neh­men als ver­ant­wort­li­che Stelle be­stehen bleibt. Bei Asset Deals hin­ge­gen ist die Über­tra­gung per­so­nen­be­zo­ge­ner Daten oft un­ver­meid­bar – und genau hier setzen die Leit­li­ni­en der DSK an.

Was be­deu­tet das konkret?

Die Da­ten­schutz­kon­fe­renz un­ter­schei­det ver­schie­de­ne Sze­na­ri­en für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten:

  1. Da­ten­über­mitt­lung vor Ver­trags­ab­schluss (Due Diligence):
    • Per­so­nen­be­zo­ge­ne Daten dürfen in der Regel nicht über­mit­telt werden.
    • Aus­nah­men:
      • Ein­wil­li­gung der be­trof­fe­nen Personen.
      • Be­rech­tig­tes In­ter­es­se bei Schlüs­sel­per­so­nen (z. B. Führungskräfte).
  2. Kun­den­da­ten:
    • Lau­fen­de Ver­trä­ge: Dürfen an den Er­wer­ber wei­ter­ge­ge­ben werden, wenn dies zur Ver­trags­er­fül­lung not­wen­dig ist (Art. 6 Abs. 1 Buchst. b DSGVO).
    • Be­en­de­te Ver­trä­ge: Müssen ar­chi­viert und strikt von aktiven Kun­den­da­ten ge­trennt werden (Art. 28 DSGVO).
    • Werbung: Daten dürfen nur zu Wer­be­zwe­cken genutzt werden, wenn die recht­li­chen Vor­aus­set­zun­gen erfüllt sind, z. B. gemäß § 7 UWG (Ein­wil­li­gung).
  3. Daten von Lieferanten:
    • Re­le­van­te Daten können in der Regel über­mit­telt werden, sofern keine über­wie­gen­den schutz­wür­di­gen In­ter­es­sen der Be­trof­fe­nen ent­ge­gen­ste­hen (Art. 6 Abs. 1 Buchst. f DSGVO).
  4. Be­schäf­tig­ten­da­ten:
    • Eine Wei­ter­ga­be ist nur bei einem Be­triebs­über­gang nach § 613a BGB oder mit Ein­wil­li­gung der Be­trof­fe­nen zulässig.
  5. Be­son­de­re Daten (z. B. Gesundheitsdaten):
    • Dürfen nur mit aus­drück­li­cher Ein­wil­li­gung über­mit­telt werden.
Was sollten Un­ter­neh­men beachten?

Sowohl der Ver­äu­ße­rer als auch der Er­wer­ber sind für die Ein­hal­tung der Da­ten­schutz­be­stim­mun­gen ver­ant­wort­lich. Der Ver­äu­ße­rer muss si­cher­stel­len, dass nur die er­for­der­li­chen Daten über­tra­gen werden. Der Er­wer­ber muss die be­trof­fe­nen Per­so­nen in­for­mie­ren und den Daten­schutz si­cher­stel­len. Be­trof­fe­ne Per­so­nen müssen über die Da­ten­ver­ar­bei­tung in­for­miert werden (Art. 14 DSGVO). Dabei sind Fristen ein­zu­hal­ten, z.B. in­ner­halb eines Monats nach der Da­ten­über­mitt­lung. Ge­ge­be­nen­falls ist die Ein­wil­li­gung der Be­trof­fe­nen schrift­lich oder elek­tro­nisch zu dokumentieren.

Pra­xis­tipp: So gelingt die Umsetzung
  1. Vor­be­rei­tung:
    • Iden­ti­fi­zie­ren Sie früh­zei­tig, welche Daten im Rahmen eines Asset Deals re­le­vant sind.
    • Prüfen Sie, ob Ein­wil­li­gun­gen ein­ge­holt werden müssen oder ob be­rech­tig­te In­ter­es­sen bestehen.
  2. Do­ku­men­ta­ti­on:
    • Führen Sie eine de­tail­lier­te Do­ku­men­ta­ti­on aller da­ten­schutz­re­le­van­ten Pro­zes­se durch.
  3. Tren­nung von Daten:
    • Nutzen Sie die so­ge­nann­te „Zwei-Schrank-Lösung“, um aktive und ar­chi­vier­te Daten sauber zu trennen.
  4. Be­ra­tung:
    • Ziehen Sie Ihren Da­ten­schutz­be­auf­trag­ten hinzu.
Fazit

Ein Asset Deal er­for­dert nicht nur wirt­schaft­li­che, sondern auch da­ten­schutz­recht­li­che Weit­sicht. Mit den rich­ti­gen Vor­keh­run­gen lassen sich recht­li­che Risiken mi­ni­mie­ren und Ver­trau­en bei Kunden, Lie­fe­ran­ten und Be­schäf­tig­ten schaffen.

Haben Sie Fragen oder be­nö­ti­gen Sie Un­ter­stüt­zung? Wir stehen Ihnen gerne zur Ver­fü­gung: consulting@AdOrgaSolutions.de 

 

Quelle:
** Be­schluss der Da­ten­schutz­kon­fe­renz vom 11.09.2024: https://datenschutzkonferenz-online.de/media/dskb/2024-09-11_Beschluss%20DSK_%20Asset_Deals.pdf 

* Was ist die DSK? https://www.datenschutzkonferenz-online.de/dsk.html 

Bild: ge­ne­ra­ted by DALL E (2024-12-15).

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!