Die Datenschutzkonferenz (DSK) hat am 11.09.2024 einen wegweisenden Beschluss zur Verarbeitung personenbezogener Daten bei Asset Deals verabschiedet: „Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals“*.
In diesem Beitrag soll ein Verständnis für die wesentlichen datenschutzrechtlichen Herausforderungen bei der Übertragung von Daten im Rahmen von Unternehmensveräußerungen geschaffen werden.
Asset Deals im Vergleich zu Share Deals
Ein Asset Deal umfasst die Übertragung einzelner Vermögenswerte (Assets), wie beispielsweise Kundenstämme, Maschinen oder Markenrechte. Anders als bei einem Share Deal, bei dem die Unternehmensanteile übertragen werden, erfolgt hier oft auch ein Wechsel der datenschutzrechtlichen Verantwortlichkeit. Dies führt zu spezifischen Anforderungen hinsichtlich der Datenübermittlung, die im Beschluss der DSK ausführlich dargelegt werden.
Rechtsgrundlagen und Szenarien der Datenübermittlung
Der Beschluss der DSK unterteilt die Datenübermittlung bei Asset Deals in verschiedene Szenarien:
- Vorvertragliche Phase (Due Diligence)
- Eine Übermittlung personenbezogener Daten ist grundsätzlich unzulässig, es sei denn, es liegt eine ausdrückliche Einwilligung der Betroffenen vor oder ein berechtigtes Interesse kann nach Art. 6 Abs. 1 lit. f DSGVO nachgewiesen werden.
- Dabei ist zu beachten, dass insbesondere bei Beschäftigten die Abhängigkeit das Erfordernis der Freiwilligkeit einer Einwilligung einschränkt (§ 26 Abs. 2 BDSG).
- Kundendaten
- Laufende Vertragsverhältnisse: Die Übertragung dieser Daten ist auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO möglich, wenn sie zur Erfüllung des Vertrags erforderlich ist.
- Beendete Vertragsverhältnisse: Daten, die lediglich archiviert werden, dürfen nur im Rahmen einer Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) weitergegeben werden.
- Besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) erfordern gemäß Art. 9 Abs. 2 lit. a DSGVO stets eine ausdrückliche Einwilligung.
- Beschäftigtendaten
- Bei einem Betriebsübergang ist die Übermittlung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. b DSGVO zulässig, wenn diese zur Erfüllung des Arbeitsvertrags erforderlich sind.
- Vorvertraglich ist eine Weitergabe nur bei Vorliegen einer Einwilligung möglich.
- Lieferantendaten
- Die Übertragung ist grundsätzlich zulässig, sofern keine überwiegenden schutzwürdigen Interessen der Betroffenen bestehen (Art. 6 Abs. lit. f DSGVO).
Wichtige datenschutzrechtliche Anforderungen
Sowohl der Veräußerer als auch der Erwerber sind verpflichtet, die Betroffenen rechtzeitig über die Verarbeitung ihrer Daten gemäß Art. 14 DSGVO zu informieren. Dabei ist darauf zu achten, dass die Informationen klar und verständlich formuliert sind. Die Frist zur Erfüllung dieser Pflicht beträgt in der Regel einen Monat. Archivdaten dürfen nicht mit aktiven Kundendaten vermischt werden, um Verwechslungen und Datenschutzverletzungen zu vermeiden. Dies kann z.B. durch die sog. „Zwei-Schrank-Lösung“ erreicht werden, die eine klare Trennung zwischen archivierten und aktiven Daten sicherstellt. Gleichzeitig müssen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umgesetzt werden, um die Sicherheit der Datenübertragung und -verarbeitung zu gewährleisten. Dazu gehören unter anderem der Einsatz von Verschlüsselungstechnologien, ein Zugriffsmanagement und regelmäßige Sicherheitsübungen, um potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben.
Die ausdrückliche Einwilligung ist bei der Verarbeitung sensibler Daten von zentraler Bedeutung. Sie bietet eine klare rechtliche Grundlage, um sicherzustellen, dass die betroffenen Personen ihre Zustimmung zur Verarbeitung geben. Bei anderen Datenkategorien sollten Unternehmen stets darauf achten, dass den Betroffenen eine Möglichkeit zum Widerspruch eingeräumt wird. Dies ermöglicht es den Betroffenen, die Kontrolle über ihre personenbezogenen Daten zu behalten und ihre Rechte wahrzunehmen.
Praktische Umsetzung für Datenschutzbeauftragte
Die praktische Umsetzung der datenschutzrechtlichen Anforderungen bei Asset Deals erfordert eine strukturierte Herangehensweise und enge Abstimmung zwischen den beteiligten Parteien. Datenschutzbeauftragte sollten bereits in der Planungsphase eingebunden werden, um mögliche Risiken frühzeitig zu identifizieren und zu minimieren.
Eine umfassende Risikobewertung ist ein entscheidender erster Schritt. Dabei sollten insbesondere die betroffenen Datenkategorien, die geplanten Verarbeitungsprozesse und die Einhaltung der gesetzlichen Anforderungen analysiert werden. Datenschutzbeauftragte sollten darauf achten, dass Veräußerer und Erwerber klare vertragliche Regelungen treffen, insbesondere in Form von Vereinbarungen zu Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO.
Darüber hinaus ist es essenziell, dass die Betroffenen rechtzeitig und umfassend informiert werden. Die Informationspflicht nach Art. 14 DSGVO muss nicht nur formal erfüllt werden, sondern auch so gestaltet sein, dass die Betroffenen die Verarbeitung ihrer Daten nachvollziehen können.
Ein weiterer zentraler Punkt ist die Überwachung der technischen und organisatorischen Maßnahmen (Sicherheit der Verarbeitung). Hierbei geht es nicht nur um die Sicherheit der Datenübertragung, sondern auch um die dauerhafte Gewährleistung eines angemessenen Datenschutzniveaus. Regelmäßige Audits und Kontrollen sind notwendig, um sicherzustellen, dass beide Seiten ihren Verpflichtungen nachkommen.
Schließlich sollte der gesamte Prozess dokumentiert werden. Eine lückenlose Dokumentation ist nicht nur aus rechtlicher Sicht wichtig, sondern bietet auch die Grundlage für die Optimierung künftiger Projekte. Datenschutzbeauftragte sollten sicherstellen, dass alle relevanten Schritte, Entscheidungen und Maßnahmen nachvollziehbar festgehalten werden.
Fazit
Die datenschutzkonforme Umsetzung eines Asset Deals erfordert detaillierte Planung und enge Zusammenarbeit zwischen Veräußerern, Erwerbern und Datenschutzbeauftragten. Der Beschluss der DSK bietet hierzu eine wertvolle Orientierung und unterstreicht die Bedeutung einer rechtskonformen Datenübermittlung.
Haben Sie Fragen oder benötigen Sie Unterstützung? Wir stehen Ihnen gerne zur Verfügung: consulting@AdOrgaSolutions.de
* DSK-Beschluss: https://datenschutzkonferenz-online.de/media/dskb/2024-09-11_Beschluss%20DSK_%20Asset_Deals.pdf