DSGVO und Asset Deal: Datenschutz beim Unternehmensverkauf

Während einige die DSGVO meiden wie der Teufel das Weihwasser und glauben, ihre Existenz durch Ignoranz vermeiden zu können, begreifen andere die Verordnung als allgegenwärtigen Fallstrick. Besonders deutlich wird das beim Asset Deal, wenn Unternehmen in wirtschaftliche Not geraten und ihre letzten werthaltigen Vermögenswerte – allen voran: Kundendaten – veräußern wollen. Im Rahmen solcher Unternehmensverkäufe zeigt sich, wie komplex und risikobehaftet der Umgang mit personenbezogenen Daten sein kann – insbesondere unter dem Blickwinkel der DSGVO beim Asset Deal. Der Datenschutz beim Unternehmensverkauf spielt daher eine wichtige Rolle.

Der Asset Deal als datenschutzrechtliches Risiko

Ein Asset Deal unterscheidet sich beim Unternehmensverkauf vom Share Deal wesentlich: Hier werden nicht Gesellschaftsanteile, sondern einzelne Vermögenswerte wie Verträge, Maschinen, Marken oder Kundenlisten übertragen. Das datenschutzrechtliche Problem beim Asset Deal: Es erfolgt ein Wechsel der datenschutzrechtlichen Verantwortlichkeit, denn der Erwerber übernimmt nicht einfach die rechtliche Stellung des bisherigen Unternehmens, sondern wird selbst Verantwortlicher im Sinne der DSGVO.

Die Übertragung personenbezogener Daten im Rahmen eines Asset Deals ist jedoch nur dann zulässig, wenn dafür eine Rechtsgrundlage nach der DSGVO besteht. Andernfalls drohen Bußgelder nach DSGVO, Nutzungsverbote oder sogar Löschungsverfügungen durch die zuständigen Datenschutzaufsichtsbehörden.

DSK-Beschlüsse als Maßstab für die Datenübertragung gemäß der DSGVO beim Asset Deal

Die Datenschutzkonferenz (DSK) hat mit ihren Beschlüssen – insbesondere dem vom 11. September 2024 – die Anforderungen an Datenübertragungen im Rahmen von Asset Deals deutlich verschärft. Der Fokus liegt dabei auf sogenannten „distressed Situationen“, etwa bei drohender Insolvenz, in denen Kundendaten oft das letzte wirtschaftlich verwertbare Gut darstellen. Obwohl die DSK die wirtschaftliche Bedeutung solcher Daten anerkennt, schränkt sie deren Übertragbarkeit beim Asset Deal deutlich ein.

Vor allem bei einem reinen Datenverkauf, bei dem Kundendaten ohne betriebliche Assets übertragen werden sollen, fordert die DSK grundsätzlich die Einwilligung gemäß der DSGVO der betroffenen Personen. Ausnahmen gelten nur für Kleinst- und Kleinunternehmen – und auch nur dann, wenn die Daten innerhalb desselben Wirtschaftszweigs übertragen werden und ein Widerspruchsrecht beim Asset Deal eingeräumt wird.

Auch wenn DSK-Beschlüsse rechtlich nicht bindend sind, haben sie in der Praxis eine quasi-normative Wirkung. Aufsichtsbehörden orientieren sich regelmäßig an diesen Vorgaben – bei Prüfungen ebenso wie bei Bußgeldverfahren. Für Unternehmen bedeutet das: Wer datenschutzkonform handeln möchte, sollte sich an den Leitlinien der DSK orientieren – insbesondere im Spannungsfeld von DSGVO und Unternehmensverkauf.

Due Diligence und DSGVO beim Asset Deal

Bereits in der Due-Diligence-Phase eines Unternehmensverkaufs – also bei der Bewertung von Unternehmenswerten durch potenzielle Käufer – treten datenschutzrechtliche Fragestellungen auf. Denn jede Offenlegung personenbezogener Daten stellt eine Verarbeitung im Sinne der DSGVO dar.

Zulässig ist diese Offenlegung nur in Ausnahmefällen: Entweder liegt eine ausdrückliche Einwilligung der Betroffenen vor oder es besteht ein überwiegendes berechtigtes Interesse – etwa bei Schlüsselpersonen oder bedeutenden Geschäftspartnern. Eine generelle Offenlegung ganzer Kundendatenbanken hingegen ist unzulässig. Insofern zählt eine datenschutzkonforme Due Diligence zu den kritischen Phasen eines Asset Deals.

Widerspruchslösung gemäß der DSGVO beim Asset Deal

Zur Rechtfertigung der Datenübertragung beim Asset Deal greifen viele Unternehmen auf die sogenannte Widerspruchslösung zurück: Betroffene werden informiert und können innerhalb einer Frist widersprechen. Die DSK empfiehlt sechs Wochen, während die Praxis meist kürzere Fristen wählt, um Transaktionen nicht zu gefährden und den Unternehmensverkauf schnell zu vollziehen.

Doch nicht alle Datenarten sind von dieser Lösung gedeckt. Sensible Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten, Gewerkschaftszugehörigkeit) sowie Bankdaten dürfen nur mit ausdrücklicher Einwilligung beim Asset Deal übermittelt werden. Dies reduziert die verwertbaren Datenbestände und erhöht das Rechtsrisiko beim Asset Deal.

Vertragsarten und ihre DSGVO-Relevanz beim Asset Deal

Die rechtliche Gestaltung des Asset Deals ist entscheidend für die Auswahl der richtigen DSGVO-Rechtsgrundlage:

• Laufende Verträge: Art. 6 Abs. 1 lit. b DSGVO greift, wenn der Kunde dem Vertragsübergang zustimmt.
• Erfüllungsübernahme: Ohne direkte Vertragsbeziehung wird häufig auf Art. 6 Abs. 1 lit. f DSGVO abgestellt – also auf berechtigte Interessen.
• Beendete Vertragsverhältnisse: Die Übertragung von Alt- oder Altkundendaten ist rechtlich besonders kritisch und meist nur im Rahmen gesetzlicher Aufbewahrungspflichten zulässig.

Asset Deal: Beschäftigtendaten & Transitional Services Agreements

Bei der Übertragung von Beschäftigtendaten gilt § 613a BGB bei einem Betriebsübergang. Die Daten dürfen beim Unternehmensverkauf dann übergehen, soweit dies zur Fortführung des Arbeitsverhältnisses erforderlich ist. In allen anderen Fällen ist eine freiwillige Einwilligung erforderlich – was datenschutzrechtlich anspruchsvoll ist.

Im Rahmen sogenannter Transitional Services Agreements (TSA) – etwa wenn der Verkäufer noch temporär IT-Dienstleistungen für den Käufer erbringt – muss die Zusammenarbeit gemäß Art. 28 DSGVO (Auftragsverarbeitung) oder bei gemeinsamer Zielsetzung gemäß Art. 26 DSGVO (gemeinsame Verantwortlichkeit) vertraglich geregelt werden.

„Nur-Daten-Verkauf“ in der Insolvenz – ein datenschutzrechtlicher Stolperstein beim Asset Deal

Besonders problematisch wird es, wenn Kundendaten das einzige noch verwertbare Asset eines insolventen Unternehmens beim Unternehmensverkauf darstellen. Die DSK sieht hier grundsätzlich nur eine datenrechtlich zulässige Übertragung bei Einwilligung der Betroffenen gemäß der DSGVO vor. Ein Unternehmensverkauf ohne Fortführung des Geschäftsbetriebs wird mit Adresshandel gleichgesetzt – und ist damit beim Asset Deal faktisch ausgeschlossen.

Ausnahmen gelten nur für Kleinst- und Kleinunternehmen, wenn die Daten im Rahmen des Asset Deals an ein Unternehmen im gleichen Wirtschaftszweig übertragen werden und eine Widerspruchsmöglichkeit für die Betroffenen gegeben ist. Doch diese Ausnahmeregelung hilft den meisten Insolvenzverwaltern kaum weiter. Die Folge: Kundendaten verlieren in der Insolvenz oft jeglichen wirtschaftlichen Wert.

Asset Deal unter der DSGVO: To-dos für Unternehmen

Ein Asset Deal unter der DSGVO erfordert von Unternehmen eine frühzeitige und strukturierte Auseinandersetzung mit den datenschutzrechtlichen Anforderungen, da personenbezogene Daten – etwa von Kunden, Beschäftigten oder Lieferanten – auf einen neuen Verantwortlichen übergehen. Für jede Transaktionsphase des Asset Deals (Due Diligence, Signing, Closing) muss eine belastbare Rechtsgrundlage vorliegen. Häufig kommen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder lit. b (Vertragserfüllung) in Betracht, bei sensiblen Daten nach Art. 9 DSGVO ist regelmäßig eine ausdrückliche Einwilligung erforderlich. Unternehmen sollten beim Asset Deal zudem Informationspflichten aus Art. 13 und 14 DSGVO proaktiv umsetzen – etwa durch vorbereitete Datenschutzhinweise oder abgestimmte Kommunikationsmaßnahmen.

Ein echter Mehrwert entsteht, wenn Datenschutzfragen nicht isoliert, sondern als Teil der Transaktionsstruktur beim Unternehmensverkauf verstanden werden: Datenschutzklauseln im Asset Purchase Agreement (APA sollten Verantwortlichkeiten, Haftung und technische Maßnahmen eindeutig regeln. Bei Übergangsdienstleistungen (z. B. IT, HR) sind klare vertragliche Regelungen nach Art. 28 oder 26 DSGVO unerlässlich. Wer Datenschutz frühzeitig in die Transaktionsplanung integriert, reduziert Risiken, schafft Verhandlungssicherheit und erhöht die Verwertbarkeit der Daten als Wirtschaftsgut beim Asset Deal.

Fazit: DSGVO als Bremsklotz beim Unternehmensverkauf?

Der DSK-Beschluss von 2024 verschärft die Anforderungen an den Umgang mit personenbezogenen Daten bzw. der DSGVO im Asset Deal deutlich. Wo früher noch pragmatische Lösungen möglich waren, stößt die Transaktionspraxis nun vermehrt an regulatorische Grenzen.

Gerade in Sanierungs- oder Insolvenzsituationen, in denen Kundendaten oft den letzten verwertbaren Unternehmenswert darstellen, erschweren die datenschutzrechtlichen Vorgaben eine wirtschaftlich sinnvolle Verwertung. Die DSGVO schützt zurecht die Rechte der Betroffenen – doch fehlt es in vielen Fällen an umsetzbaren Wegen, diesen Schutz mit den Interessen der Beteiligten in Einklang zu bringen.

So wird Datenschutz nicht selten zum Stolperstein für Sanierungschancen, obwohl er es bei frühzeitiger Planung und rechtssicherer Gestaltung nicht sein müsste.

Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht unterstützen Sie dabei, Asset Deals und Unternehmensverkäufe DSGVO-konform zu gestalten und rechtliche Risiken bei der Datenübertragung zu vermeiden. Jetzt Beratung anfordern oder an unserer DSGVO-Sprechstunde teilnehmen!