Die Da­ten­schutz­kon­fe­renz (DSK) hat am 11.09.2024 einen weg­wei­sen­den Be­schluss zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bei Asset Deals ver­ab­schie­det: „Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an die Er­wer­be­rin oder den Er­wer­ber eines Un­ter­neh­mens im Rahmen eines Asset-Deals“*.

In diesem Beitrag soll ein Ver­ständ­nis für die we­sent­li­chen da­ten­schutz­recht­li­chen Her­aus­for­de­run­gen bei der Über­tra­gung von Daten im Rahmen von Un­ter­neh­mens­ver­äu­ße­run­gen ge­schaf­fen werden.

Asset Deals im Ver­gleich zu Share Deals

Ein Asset Deal umfasst die Über­tra­gung ein­zel­ner Ver­mö­gens­wer­te (Assets), wie bei­spiels­wei­se Kun­den­stäm­me, Ma­schi­nen oder Mar­ken­rech­te. Anders als bei einem Share Deal, bei dem die Un­ter­neh­mens­an­tei­le über­tra­gen werden, erfolgt hier oft auch ein Wechsel der da­ten­schutz­recht­li­chen Ver­ant­wort­lich­keit. Dies führt zu spe­zi­fi­schen An­for­de­run­gen hin­sicht­lich der Da­ten­über­mitt­lung, die im Be­schluss der DSK aus­führ­lich dar­ge­legt werden.

Rechts­grund­la­gen und Sze­na­ri­en der Datenübermittlung

Der Be­schluss der DSK un­ter­teilt die Da­ten­über­mitt­lung bei Asset Deals in ver­schie­de­ne Szenarien:

  1. Vor­ver­trag­li­che Phase (Due Diligence)
    • Eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten ist grund­sätz­lich un­zu­läs­sig, es sei denn, es liegt eine aus­drück­li­che Ein­wil­li­gung der Be­trof­fe­nen vor oder ein be­rech­tig­tes In­ter­es­se kann nach Art. 6 Abs. 1 lit. f DSGVO nach­ge­wie­sen werden.
    • Dabei ist zu be­ach­ten, dass ins­be­son­de­re bei Be­schäf­tig­ten die Ab­hän­gig­keit das Er­for­der­nis der Frei­wil­lig­keit einer Ein­wil­li­gung ein­schränkt (§ 26 Abs. 2 BDSG).
  2. Kun­den­da­ten
    • Lau­fen­de Ver­trags­ver­hält­nis­se: Die Über­tra­gung dieser Daten ist auf Grund­la­ge von Art. 6 Abs. 1 lit. b DSGVO möglich, wenn sie zur Er­fül­lung des Ver­trags er­for­der­lich ist.
    • Be­en­de­te Ver­trags­ver­hält­nis­se:  Daten, die le­dig­lich ar­chi­viert werden, dürfen nur im Rahmen einer Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung (Art. 28 DSGVO) wei­ter­ge­ge­ben werden.
    • Be­son­de­re Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten (z. B. Ge­sund­heits­da­ten) er­for­dern gemäß Art. 9 Abs. 2 lit. a DSGVO stets eine aus­drück­li­che Einwilligung.
  3. Be­schäf­tig­ten­da­ten
    • Bei einem Be­triebs­über­gang ist die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten gemäß Art. 6 Abs. 1 lit. b DSGVO zu­läs­sig, wenn diese zur Er­fül­lung des Ar­beits­ver­trags er­for­der­lich sind.
    • Vor­ver­trag­lich ist eine Wei­ter­ga­be nur bei Vor­lie­gen einer Ein­wil­li­gung möglich.
  4. Lie­fe­ran­ten­da­ten
    • Die Über­tra­gung ist grund­sätz­lich zu­läs­sig, sofern keine über­wie­gen­den schutz­wür­di­gen In­ter­es­sen der Be­trof­fe­nen be­stehen (Art. 6 Abs. lit. f DSGVO).
Wich­ti­ge da­ten­schutz­recht­li­che Anforderungen

Sowohl der Ver­äu­ße­rer als auch der Er­wer­ber sind ver­pflich­tet, die Be­trof­fe­nen recht­zei­tig über die Ver­ar­bei­tung ihrer Daten gemäß Art. 14 DSGVO zu in­for­mie­ren. Dabei ist darauf zu achten, dass die In­for­ma­tio­nen klar und ver­ständ­lich for­mu­liert sind. Die Frist zur Er­fül­lung dieser Pflicht beträgt in der Regel einen Monat. Ar­chiv­da­ten dürfen nicht mit aktiven Kun­den­da­ten ver­mischt werden, um Ver­wechs­lun­gen und Da­ten­schutz­ver­let­zun­gen zu ver­mei­den. Dies kann z.B. durch die sog. „Zwei-Schrank-Lösung“ er­reicht werden, die eine klare Tren­nung zwi­schen ar­chi­vier­ten und aktiven Daten si­cher­stellt. Gleich­zei­tig müssen tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men (TOMs) gemäß Art. 32 DSGVO um­ge­setzt werden, um die Si­cher­heit der Da­ten­über­tra­gung und -ver­ar­bei­tung zu ge­währ­leis­ten. Dazu gehören unter anderem der Einsatz von Ver­schlüs­se­lungs­tech­no­lo­gien, ein Zu­griffs­ma­nage­ment und re­gel­mä­ßi­ge Si­cher­heits­übun­gen, um po­ten­zi­el­le Schwach­stel­len früh­zei­tig zu er­ken­nen und zu beheben.

Die aus­drück­li­che Ein­wil­li­gung ist bei der Ver­ar­bei­tung sen­si­bler Daten von zen­tra­ler Be­deu­tung. Sie bietet eine klare recht­li­che Grund­la­ge, um si­cher­zu­stel­len, dass die be­trof­fe­nen Per­so­nen ihre Zu­stim­mung zur Ver­ar­bei­tung geben. Bei anderen Da­ten­ka­te­go­rien sollten Un­ter­neh­men stets darauf achten, dass den Be­trof­fe­nen eine Mög­lich­keit zum Wi­der­spruch ein­ge­räumt wird. Dies er­mög­licht es den Be­trof­fe­nen, die Kon­trol­le über ihre per­so­nen­be­zo­ge­nen Daten zu be­hal­ten und ihre Rechte wahrzunehmen.

Prak­ti­sche Um­set­zung für Datenschutzbeauftragte

Die prak­ti­sche Um­set­zung der da­ten­schutz­recht­li­chen An­for­de­run­gen bei Asset Deals er­for­dert eine struk­tu­rier­te Her­an­ge­hens­wei­se und enge Ab­stim­mung zwi­schen den be­tei­lig­ten Par­tei­en. Datenschutz­beauftragte sollten bereits in der Pla­nungs­pha­se ein­ge­bun­den werden, um mög­li­che Risiken früh­zei­tig zu iden­ti­fi­zie­ren und zu minimieren.

Eine um­fas­sen­de Ri­si­ko­be­wer­tung ist ein ent­schei­den­der erster Schritt. Dabei sollten ins­be­son­de­re die be­trof­fe­nen Da­ten­ka­te­go­rien, die ge­plan­ten Ver­ar­bei­tungs­pro­zes­se und die Ein­hal­tung der ge­setz­li­chen An­for­de­run­gen ana­ly­siert werden. Datenschutz­beauftragte sollten darauf achten, dass Ver­äu­ße­rer und Er­wer­ber klare ver­trag­li­che Re­ge­lun­gen treffen, ins­be­son­de­re in Form von Ver­ein­ba­run­gen zu Auf­trags­ver­ar­bei­tung (AVV) gemäß Art. 28 DSGVO.

Darüber hinaus ist es es­sen­zi­ell, dass die Be­trof­fe­nen recht­zei­tig und um­fas­send in­for­miert werden. Die In­for­ma­ti­ons­pflicht nach Art. 14 DSGVO muss nicht nur formal erfüllt werden, sondern auch so ge­stal­tet sein, dass die Be­trof­fe­nen die Ver­ar­bei­tung ihrer Daten nach­voll­zie­hen können.

Ein wei­te­rer zen­tra­ler Punkt ist die Über­wa­chung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men (Si­cher­heit der Ver­ar­bei­tung). Hierbei geht es nicht nur um die Si­cher­heit der Da­ten­über­tra­gung, sondern auch um die dau­er­haf­te Ge­währ­leis­tung eines an­ge­mes­se­nen Da­ten­schutz­ni­veaus. Re­gel­mä­ßi­ge Audits und Kon­trol­len sind not­wen­dig, um si­cher­zu­stel­len, dass beide Seiten ihren Ver­pflich­tun­gen nachkommen.

Schließ­lich sollte der gesamte Prozess do­ku­men­tiert werden. Eine lü­cken­lo­se Do­ku­men­ta­ti­on ist nicht nur aus recht­li­cher Sicht wichtig, sondern bietet auch die Grund­la­ge für die Op­ti­mie­rung künf­ti­ger Pro­jek­te. Datenschutz­beauftragte sollten si­cher­stel­len, dass alle re­le­van­ten Schrit­te, Ent­schei­dun­gen und Maß­nah­men nach­voll­zieh­bar fest­ge­hal­ten werden.

Fazit

Die da­ten­schutz­kon­for­me Um­set­zung eines Asset Deals er­for­dert de­tail­lier­te Planung und enge Zu­sam­men­ar­beit zwi­schen Ver­äu­ße­rern, Er­wer­bern und Da­ten­schutz­be­auf­trag­ten. Der Be­schluss der DSK bietet hierzu eine wert­vol­le Ori­en­tie­rung und un­ter­streicht die Be­deu­tung einer rechts­kon­for­men Datenübermittlung.

Haben Sie Fragen oder be­nö­ti­gen Sie Un­ter­stüt­zung? Wir stehen Ihnen gerne zur Ver­fü­gung: consulting@AdOrgaSolutions.de

 

* DSK-Be­­schluss: https://datenschutzkonferenz-online.de/media/dskb/2024-09-11_Beschluss%20DSK_%20Asset_Deals.pdf

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!