Beim Verkauf eines Unternehmens oder von Teilen davon, gelangen meist auch personenbezogene Daten in die Hände des neuen Eigentümers. Je nach Vertragsart gelten unterschiedliche datenschutzrechtliche Anforderungen, die wir hier erläutern.
Arten von Unternehmensverkäufen
Aus datenschutzrechtlicher Perspektive beurteilen sich die Übermittlungen personenbezogener Daten im Rahmen von Unternehmensverkäufen immer nach dem abgeschlossenen Vertrag (Deal):
- Verschmelzung von Unternehmen nach dem Umwandlungsgesetz,
- Share Deals und
- Asset Deals.
Datenschutzrechtlich die größte Herausforderung stellen dabei letztere dar.
Verschmelzung von Unternehmen
Bei der Verschmelzung mehrerer Unternehmen treten nach herrschender Rechtsmeinung die verschmolzenen Unternehmen eine Gesamtrechtsnachfolge an. Mit anderen Worten: Die verschmelzenden Unternehmen agieren zukünftig als ein Unternehmen. In diesem Fall wird eine Übermittlung von Kundendaten verneint, da diese nicht weitergegeben werden, sondern – so wie sie sind – der neuen Unternehmensform erhalten bleiben.
Alle in den zu verschmelzenden Unternehmen bestehenden personenbezogenen Daten können also im neuen Unternehmen weiterhin (im selben Rahmen) genutzt werden.
Share Deal
Bei einem Share Deal werden Anteile des Unternehmens an einen Käufer verkauft und übereignet (meist in Form von Aktien bzw. anderen Wertpapieren). Das Unternehmen an sich ist jedoch davon in der Art der Ausübung seiner Geschäfte nicht betroffen und operiert weiter wie bisher.
Das bedeutet auch, dass sich die Identität des Verantwortlichen im datenschutzrechtlichen Sinne nicht ändert. Daher wird hier auch nicht von einer Übermittlung von Daten an den neuen Anteilseigner des Unternehmens ausgegangen. Vielmehr verarbeitet der alte Verantwortliche die Daten wie gewohnt weiter.
Sollte im Vorfeld eines Share Deals eine Due Diligence-Prüfung stattfinden, sind dieselben Anforderungen zu erfüllen, wie bei einer Due Diligence im Rahmen eines Asset Deals (s. unten).
Asset Deal
Bei einem Asset Deal wird ein Unternehmen bzw. Unternehmensteil durch die Übertragung von Vermögensgegenständen (Assets) verkauft. Dies können Grundstücke, Gebäude, Maschinen, aber auch immaterielle Güter wie Markenrechte oder der Kundenstamm sein. Anders als beim Share Deal, bei dem die Anteile an einem Unternehmen übertragen werden, erfolgt hier ein Verkauf einzelner Vermögensgegenstände.
Dieser Vorgang ist aus datenschutzrechtlicher Sicht komplex. Während bei einem Share Deal keine Übermittlung personenbezogener Daten erforderlich ist, da der rechtliche Verantwortliche unverändert bleibt und lediglich Anteile an ebendiesem veräußert werden, werden Daten bei einem Asset Deal Daten an einen neuen Verantwortlichen weitergegeben. Dabei müssen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllt werden.
Ein Asset Deal ist insbesondere bei Einzelkaufleuten, Handwerkern und Personengesellschaften relevant, da hier ein Share Deal nicht in Frage kommt.
Ein aktueller Beschluss der Datenschutzkonferenz (DSK) vom 11. September 2024 verdeutlicht, welche Aspekte bei der Übermittlung personenbezogener Daten an den Käufer im Rahmen eines Asset Deals zu beachten sind. Der Beschluss soll den DSK-Beschluss aus Mai 2019 zu demselben Thema ersetzen.
Datenübermittlung im Rahmen der Due-Diligence-Prüfung
Im Vorfeld eines Asset Deals finden häufig umfassende Prüfungen der Vermögenswerte des Unternehmens statt, die sogenannte Due-Diligence-Prüfung. Dabei kann gegebenenfalls gewünscht oder erforderlich sein, potenziellen Käufern Einblick in bestimmte Unternehmensdaten zu gewähren. Laut dem Beschluss der DSK ist die Übermittlung personenbezogener Daten in dieser Phase grundsätzlich unzulässig, es sei denn, es liegt hierfür eine Einwilligung der betroffenen Personen vor.
Nur in besonderen Fällen, etwa bei dem Führungspersonal oder bei Schlüsselpositionen im Unternehmen, kann laut der DSK im Rahmen fortgeschrittener Übernahmeverhandlungen eine Übermittlung auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Dennoch ist hier besondere Vorsicht geboten: Eine sorgfältige Interessenabwägung und die Beachtung der Rechte der betroffenen Personen sind unerlässlich.
Übermittlung von Kundendaten
Die Übertragung von Kundendaten stellt in Asset Deals eine der größten datenschutzrechtlichen Herausforderungen dar. Die DSK unterscheidet in ihrem Beschluss zwischen drei Phasen, in denen sich der Veräußerer des Unternehmens mit seinen (potenziellen) Kunden befinden kann. Diese Phasen bringen jeweils unterschiedliche rechtliche Anforderungen mit sich:
Vertragsanbahnung
Eine Vertragsanbahnung liegt vor, wenn sich der Veräußerer und sein potenzieller Kunde in konkreten Vertragsverhandlungen befinden. Führt der Kunde die Verhandlungen mit dem Erwerber des Unternehmens von sich aus rügelos fort, kann die weitere Verarbeitung durch den Erwerber auf Art. 6 Abs. 1 lit. b) DSGVO (vorvertragliche Maßnahmen) gestützt werden.
Darüber hinaus darf der Veräußerer personenbezogene Daten von Interessenten an den Erwerber übermitteln, wenn hierfür ein überwiegendes berechtigtes Interesse vorliegt. Hier empfiehlt sich die Einführung einer Widerspruchslösung, wonach Interessenten einige Wochen vor der Datenweitergabe darüber informiert werden und der Übermittlung widersprechen können.
Laufende vertragliche Beziehungen
Besteht zwischen dem Veräußerer und dem Kunden eine aktive Vertragsbeziehung, darf der Käufer die für die Vertragserfüllung notwendigen Daten ebenfalls auf Grundlage von Art. 6 Abs. 1 lit. b) DSGVO verarbeiten. Unter einer aktiven Vertragsbeziehung versteht die DSK nicht nur Verträge mit noch offenen Leistungen (d.h. Verträge, bei denen die Leistung oder die Gegenleistung noch nicht erbracht wurde), sondern auch Verträge mit noch bestehenden gesetzlichen Verjährungs- oder vertraglichen Garantiefristen.
Voraussetzung hierfür ist eine gültige Vertrags- oder Schuldübernahme durch den Erwerber entsprechend den Regelungen des Bürgerlichen Gesetzbuches. Bei einer Erfüllungsübernahme ist in jedem konkreten Fall zu prüfen, ob die Datenübertragung auf ein berechtigtes Interesse gestützt werden kann oder doch eine Einwilligung des Vertragspartners einzuholen ist.
Beendete vertragliche Beziehungen
Die Daten ehemaliger Kunden, zu denen keine aktiven Verträge mehr bestehen, die aber im Rahmen der gesetzlichen Aufbewahrungsfristen noch relevant sind, dürfen an den Erwerber zum Zwecke der Erfüllung ebendiesen Pflichten nur übermittelt werden, wenn hierfür ein Auftragsverarbeitungs-Vertrag abgeschlossen wurde. Der Erwerber darf diese Daten ausschließlich zur Einhaltung der Aufbewahrungspflichten nutzen. Eine Nutzung für andere Zwecke, wie etwa Werbung, ist nur mit ausdrücklicher Einwilligung der betroffenen Personen möglich.
Sensible Daten der Kunden
Sensible personenbezogene Daten von Kunden dürfen nur im Wege der informierten und ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a) in Verbindung mit 9 Abs. 2 lit. a) DSGVO vom Veräußerer auf den Erwerber übermittelt werden.
Werbung bei Kunden
Die übermittelten Daten von Interessenten (Vertragsanbahnung) und aktiven Kunden (laufende Verträge) darf der Erwerber in der Regel im selben Umfang für Werbezwecke nutzen, wie der Veräußerer dies könnte. Dabei sind auch die Regelungen von § 7 UWG zu beachten, wonach oft eine Einwilligung vonnöten ist.
Dagegen wird sich der Erwerber regelmäßig nicht auf die Bestandskundenausnahme für E-Mail-Werbung nach § 7 Abs. 3 UWG stützen können, da er E-Mail-Adressen nicht bei Kunden, sondern bei dem Veräußerer erhalten hat.
Daten von Lieferanten und Beschäftigten
Auch die Daten von Lieferanten und deren Beschäftigten können im Rahmen eines Asset Deals betroffen sein. Die Übermittlung, insbesondere wenn lediglich geschäftliche Kontaktdaten betroffen sind, ist in der Regel zulässig und kann auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.
Bei einem Betriebs- oder Betriebsteilübergang nach § 613a BGB können personenbezogene Daten von Beschäftigten regelmäßig zum Zeitpunkt des Betriebs- oder Betriebsteilübergangs auf Grundlage von Art. 6 Abs. 1 Abs. 1 lit. b) DSGVO an den Erwerber übermittelt werden. Die Übermittlung sensibler Daten kann in einem solchen Fall auf § 26 Abs. 3 BDSG gestützt werden.
Etwas anderes gilt nur, wenn der jeweilige Beschäftigte dem Übergang des Arbeitsverhältnisses auf den Erwerber widerspricht, denn in einem solchen Fall ist die Datenübermittlung schlichtweg nicht notwendig und damit unzulässig.
Sollten die Daten schon vor dem Zeitpunkt des Betriebs- oder Betriebsteilübergangs übermittelt werden oder handelt es sich nicht um einen Betriebs- oder Betriebsteilübergang nach § 613a BGB, ist in aller Regel eine Einwilligung des jeweiligen Beschäftigten notwendig.
Rechtliche Verantwortung und Informationspflichten
Der Veräußerer trägt die datenschutzrechtliche Verantwortlichkeit für die Übermittlung der Daten an den Erwerber und muss in diesem Kontext insbesondere sicherstellen, dass die Daten dabei ausreichend und im Einklang mit Art. 32 DSGVO geschützt werden.
Der Erwerber fungiert als Verantwortlicher für seine darauffolgende Verarbeitung. Etwas anderes gilt nur dann, wenn er als Auftragsverarbeiter tätig wird. Als Verantwortlicher muss er insbesondere die Erfüllung von Informationspflichten nach Art. 14 DSGVO sicherstellen. Dies muss in der Regel innerhalb eines Monats nach Erhalt von Daten geschehen. Dabei sind Betroffene auch auf ihr Widerspruchsrecht hinzuweisen.
Übermittlung von Kundendaten als einziges Asset
Sollen an den Erwerber die Daten der Kunden als einziges Asset übertragen werden (Verkauf von Kundendatenbanken), ist hierfür in der Regel eine vorherige Einwilligung der jeweiligen Kunden notwendig.
Etwas anderes gilt nur bei der Beendigung der eigenen wirtschaftlichen Tätigkeit von Kleinst- oder Kleinunternehmen, wenn die Daten an ein Unternehmen desselben Wirtschaftszweigs übergeben werden. In einem solchen Fall können laut dem DSK-Beschluss Postadressen der Kunden an den Erwerber übermittelt werden, wenn Kunden darüber vorab durch den Veräußerer informiert werden und ein Widerspruchsrecht erhalten.
Fazit: Datenschutz-Compliance bei Unternehmenskäufen
Während Share Deals und Verschmelzungen aus datenschutzrechtlicher Sicht relativ einfach durchgeführt werden können, stellen Asset Deals hohe Anforderungen an die datenschutzrechtliche Compliance. Unternehmen müssen sowohl bei der Due Diligence als auch bei der Übertragung von Kunden-, Lieferanten- und Beschäftigtendaten sicherstellen, dass die Vorgaben der DSGVO eingehalten werden. Der aktuelle Beschluss der DSK bietet dabei eine wertvolle Orientierung.
Um rechtliche Risiken zu minimieren, sollten Unternehmen frühzeitig entsprechende Maßnahmen ergreifen. Dies gilt umso mehr, wenn eine Einwilligung der betroffenen Personen einzuholen ist. Ein klarer Kommunikationsprozess, der die Betroffenen über die Datenübertragung informiert und ihnen ihre Rechte aufzeigt, ist hierbei unerlässlich.
