Unternehmenskäufe und -verkäufe (M&A) sind komplexe Vorgänge, bei denen der Datenschutz eine immer wichtigere Rolle spielt. Der Austausch personenbezogener Daten – ob von Kunden, Lieferanten oder Beschäftigten – ist in jeder Phase einer Transaktion Realität und birgt erhebliche rechtliche und wirtschaftliche Risiken. Dieser Beitrag beleuchtet die wesentlichen datenschutzrechtlichen Anforderungen und zeigt Lösungsansätze zur datenschutzkonformen Gestaltung auf.

1. Due Diligence – Die Prüfung vor dem Kauf

Die Due Diligence (DD) dient der wirtschaftlichen und rechtlichen Prüfung des Targets durch den potenziellen Käufer. Um Risiken und Potenziale abzuschätzen, werden umfangreiche Informationen – darunter oft auch sensible Kunden-, Lieferanten- und Beschäftigtendaten – in einem Datenraum zur Verfügung gestellt.

Der Datenraum

Für DDs werden meist handelt virtuelle Datenräume (VDR) genutzt. Diese werden von spezialisierten Dienstleistern betrieben. Das Bereitstellen ist eine Auftragsverarbeitung (Art. 28 DSGVO). Der Anbieter muss daher ausreichende technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO nachweisen und der Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist zwingend erforderlich. Ob Verkäufer oder Käufer den AVV mit dem Dienstleister schließen, hängt davon ab, wer diesen beauftragt. Bei Anbietern in Drittstaaten gelten weitere Regelungen zur Rechtfertigung von Datenexporten nach Art. 44 ff. DSGVO.

Rechtfertigung der Datenverarbeitung in der DD

Sowohl Verkäufer als auch Käufer benötigen eine Rechtsgrundlage für die Bereitstellung bzw. den Zugriff auf personenbezogene Daten im Datenraum („Doppeltürprinzip“). Diese Rechtfertigungstatbestände können die Datenverarbeitung rechtfertigen:

Beschäftigtendaten:

  • Einwilligung (§ 26 Abs. 2 BDSG / Art. 6 Abs. 1 lit. a DSGVO): Möglich, aber praktisch oft schwierig wegen der hohen Anforderungen an die Freiwilligkeit und der Widerruflichkeit. Vor allem bei Führungskräften mit Eigeninteresse an der Transaktion eine denkbare Option.
  • Betriebsvereinbarung (Art. 88 DSGVO): Kann Datenverarbeitung regeln, erfordert aber Verhandlungen mit dem Betriebsrat und kann an Geheimhaltungspflichten scheitern. Eine mögliche, aber selten genutzte Rechtfertigung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Häufigste Grundlage. Das Interesse des Verkäufers am Verkauf und des Käufers an der Risikoprüfung ist grundsätzlich berechtigt. Entscheidend ist die Interessenabwägung. Dafür sollten die Datenminimierung genutzt werden und Daten anonymisiert bzw. pseudonymisiert werden.
  • Besondere Datenkategorien (Art. 9 DSGVO): Dürfen in der Regel nicht ausgetauscht werden und sollten herausgefiltert werden.

Personenbezogene Daten von Kunden- und Geschäftspartnern

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Relevant z.B. für Marketingdaten. Prüfung notwendig, ob Einwilligungen vorliegen und ob diese eine Weitergabe im Rahmen einer DD abdecken. Oft ist das nicht der Fall.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Wie bei Beschäftigtendaten muss eine Interessenabwägung erfolgen. Das Interesse an der Bewertung von Kundenstamm, Umsatzpotenzialen und Lieferketten ist berechtigt. Auch hier gilt: Datenminimierung und Pseudonymisierung/Anonymisierung wo möglich. Die Schutzinteressen der Kunden/Partner sind zu berücksichtigen.

Zweckänderung und Transparenz:

Werden Daten, die z.B. für die Vertragsdurchführung mit Kunden oder für das Beschäftigungsverhältnis erhoben wurden, im Rahmen der DD weitergegeben, liegt eine Zweckänderung vor. Diese muss nach Art. 6 Abs. 4 DSGVO zulässig (kompatibel) sein und benötigt zusätzlich eine Rechtsgrundlage (s.o.).

Gemeinsame Verantwortlichkeit:

Die Durchführung der DD kann zu einer gemeinsamen Verantwortlichkeit von Verkäufer und Käufer führen. Daraus ergeben sich weitere Rechtspflichten, die in der Regel nicht gewünscht sind. Lässt sich eine gemeinsame Verantwortlichkeit nicht vermeiden, sollte eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO abgeschlossen werden.

Transparenz:

Auch in der DD müssen alle Betroffenen (Beschäftigte, Kunden, Partner) über die Datenerhebung im Rahmen der DD informiert werden. Ausnahmen gibt es, diese sind aber beschränkt und werden restriktiv ausgelegt. Hier gilt es, sorgfältig zu prüfen, ob und wie Geheimhaltungsinteressen und Transparenzpflichten unter einen Hut gebracht werden können.

2. Datenschutz im Unternehmenskaufvertrag

Im Kaufvertrag (Share oder Asset Deal) sind Garantien und Freistellungen essenziell. Dies muss auch den Datenschutz umfassen. Der Käufer will Sicherheit über die Rechtmäßigkeit der Datenverarbeitung im Target (z.B. gültige Einwilligungen für Kundendatenbanken, Compliance der HR-Prozesse). Der Verkäufer möchte Haftungsrisiken begrenzen. Die Ergebnisse der DD sollten hier in klare Regelungen zur Risikoverteilung münden. Mängel in der Datenschutzorganisation können den Wert des Targets erheblich mindern. Das sollte entsprechend abgebildet sein.

3. Eingliederung des Targets – Die Zeit nach dem Kauf

Nach dem Vollzug des Kaufs (Closing) folgt die Integration des Targets. Die datenschutzrechtlichen Herausforderungen hängen stark von der Transaktionsform ab.

Share Deal:

Das Target bleibt als Rechtsträger bestehen, nur die Eigentumsverhältnisse ändern sich. Der datenschutzrechtlich Verantwortliche bleibt derselbe. Ein direkter Datenübermittlungsvorgang findet allein durch den Anteilswechsel nicht statt. Problematisch kann es dennoch bei der Integration des Targets in einen Konzern werden.  Sollen personenbezogene Daten (Personal-, Kunden-, Lieferantendaten) an die neue Mutter oder Schwestergesellschaften übermittelt (z.B. für zentrale IT, HR, CRM), bedarf dies einer eigenen Rechtsgrundlage, da es kein allgemeines Konzernprivileg gibt. Hier sind Auftragsverarbeitungsverträge, Joint-Control-Vereinbarungen oder andere Rechtfertigungsgründe (z.B. berechtigtes Interesse mit sorgfältiger Abwägung) erforderlich.

Asset Deal:

Hier werden einzelne Wirtschaftsgüter übertragen (Einzelrechtsnachfolge). Dies umfasst oft auch Verträge und die damit verbundenen Daten (Beschäftigte, Kunden, Lieferanten). Die Übertragung ist eine Übermittlung (Art. 4 Nr. 2 DSGVO) vom Verkäufer zum Käufer und bedarf einer Rechtfertigung für beide Seiten.

  • Beschäftigtendaten: Gehen Arbeitsverhältnisse über (§ 613a BGB), ist die Übertragung zur Fortführung des Arbeitsverhältnisses oft nach § 26 Abs. 1 BDSG / Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt. Die Übermittlung durch den Verkäufer kann auf Art. 6 Abs. 1 lit. f DSGVO (Erfüllung Kaufvertrag) gestützt werden, wobei die Rechte der Mitarbeiter zu wahren sind. Für besondere Kategorien gilt § 26 Abs. 3 BDSG / Art. 9 Abs. 2 lit. b/h DSGVO.
  • Kunden- und Geschäftspartnerdaten: Werden Kunden- oder Lieferantenverträge übernommen, ist die Datenübertragung zur weiteren Vertragserfüllung durch den Käufer meist nach Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt. Die Übermittlung durch den Verkäufer kann wieder auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Bei Daten, die nicht direkt zur Vertragserfüllung nötig sind (z.B. Marketingdaten), ist besondere Vorsicht geboten: Liegen übertragbare Einwilligungen vor (Art. 6 Abs. 1 lit. a DSGVO)? Oder kann die Übermittlung auf Art. 6 Abs. 1 lit. f (Interesse an Fortführung der Geschäftsbeziehung) gestützt werden? Hier ist eine genaue Prüfung der Rechtmäßigkeit der ursprünglichen Datenerhebung und der Einwilligungen unerlässlich.
  • Informationspflichten beim Vollzug: Auch hier müssen die Betroffenen (Mitarbeiter, Kunden, Partner) nach Art. 13/14 DSGVO informiert werden. Dies ist meist unkritischer als in der DD-Phase, da Geheimhaltungsinteressen oft entfallen. Eine gemeinsame Information von Käufer und Verkäufer kann sinnvoll sein.
  • Integration in die Konzernstruktur: Wie beim Share Deal gilt auch nach einem Asset Deal: Die Weitergabe von Daten innerhalb der neuen Konzernstruktur (z.B. an zentrale Abteilungen) ist eine Datenübermittlung an Dritte und braucht eine eigene Rechtsgrundlage (kein Konzernprivileg).

Fazit

Datenschutz ist bei M&A-Transaktionen ein zentraler Faktor für alle Arten personenbezogener Daten. Von der Due Diligence über den Kaufvertrag bis zur Integration müssen die Vorgaben der DSGVO für Beschäftigten-, Kunden- und Partnerdaten beachtet werden. Eine sorgfältige Planung, Datenminimierung, klare vertragliche Regelungen und transparente Kommunikation sind unerlässlich, um Risiken zu minimieren. Die frühzeitige Einbindung von Datenschutzexperten ist dringend zu empfehlen.

Haben Sie Fragen oder benötigen Sie Unterstützung? Sprechen Sie uns an!

planit legal dr. bernd schmidt

Dr. Bernd Schmidt

Rechtsanwalt

E-Mail: bernd.schmidt@planit.legal
Telefon: +49 (0) 40 609 44 190