Kommt es zu einer Unternehmensübernahme, wechseln auch Daten den Eigentümer. Die damit einhergehende Übermittlung personenbezogener Informationen kann die Parteien vor datenschutzrechtliche Herausforderungen stellen.

Grundsätzlich ist zwischen zwei Arten von Unternehmenskäufen zu unterscheiden: dem Share Deal und dem Asset Deal. Bei einem Share Deal geht das Unternehmen (oder ein Anteil) „als Ganzes“ auf den Erwerber über. Die wirtschaftliche Identität des Verantwortlichen ändert sich nicht. „In diesem Fall sind keine datenschutzrechtlichen Besonderheiten zu beachten“, weiß Ecovis-Rechtsanwalt Maurice Kettern in Düsseldorf.

Wann der Datenschutz eine Rolle spielt

Datenschutzrechtliche Probleme treten bei Asset Deals auf. Hier werden einzelne Wirtschaftsgüter (Assets), beispielsweise Grundstücke, Gebäude oder Rechte, verkauft – was der wesentliche Unterschied zum Share Deal ist. Besonders die Übertragung der personenbezogenen Daten von Lieferanten, Kunden und gegebenenfalls von Beschäftigten stellt in diesen Fällen die Parteien nicht selten vor (datenschutz-)rechtliche Schwierigkeiten.

„Gerade der Verkauf von Kundenstammdaten ist für Unternehmen aus ökonomischer Sicht sehr attraktiv. Damit sie die Daten allerdings verarbeiten – also übertragen – dürfen, bedarf es einer datenschutzrechtlichen Legitimation. Das ist in der Datenschutz-Grundverordnung, kurz DSGVO, geregelt“, weiß Kettern. So ist die Übermittlung von Kundendaten dann möglich, wenn diese zur Wahrung eines berechtigten Interesses des Verkäufers erforderlich ist. Allerdings dürften die Grundrechte und Grundfreiheiten der betroffenen Kunden, Lieferanten oder Beschäftigten die Interessen oftmals überwiegen, sodass eine derartige Rechtfertigung regelmäßig ausscheidet.

Auch eine Datenübertragung zur Erfüllung eines Vertrags scheidet bereits im Vorfeld aus, da die von der Datenübertragung betroffene Person im Normalfall keine Partei des Asset Deals ist.

Datenschutzrechtliche Besonderheiten bei Asset Deals

Sollen Daten übertragen werden, müssen die Parteien einige Aspekte beachten. „Alle Details zur Übertragung sind in der Datenschutz-Grundverordnung, geregelt“, erklärt Kettern. Die wichtigsten Punkte, die Käufer und Verkäufer datenschutzrechtlich beachten müssen:

• Die Verantwortung für die Datenübermittlung an den Käufer liegt beim Verkäufer. Er muss ein angemessenes Datenschutzniveau sicherstellen. Zudem trägt er die Verantwortung für die weitere Verarbeitung der personenbezogenen Daten, die Erfüllung der Betroffenenrechte und die Informationspflichten innerhalb eines Monats nach Datenerhalt.
• Vor einem Asset Deal verbietet sich die Übertragung personenbezogener Daten grundsätzlich. Ausnahmsweise ist die Datenübertragung zulässig, wenn die Kunden in die Übertragung eingewilligt haben. Dabei ist eine Abwägung der jeweiligen Interessen zwischen Verkäufer und Kunden seitens des Verkäufers durchzuführen. Ein überwiegendes Interesse des Verkäufers an der Datenübertragung kann er nur dann sicherstellen, wenn er dem Kunden die Datenübermittlung an den Käufer mit einer angemessenen Frist von rund sechs Wochen angekündigt hat und der Kunde von seinem Widerspruchsrecht keinen Gebrauch gemacht hat.
• In laufenden Geschäftsbeziehungen dürfen die Parteien die Kundendaten zur Vertragserfüllung oder Erfüllungsübernahme übermitteln, etwa bei offenen Forderungen oder vertraglichen Verpflichtungen. Grundlage dafür ist jedoch die zivilrechtliche Genehmigung des Kunden. Ehemalige Kundendaten dürfen die Parteien hingegen nur zur Erfüllung gesetzlicher Pflichten übermitteln, beispielsweise mit einem Auftragsverarbeitungsvertrag.
• Die Übermittlung von Lieferantendaten kann nach der DSGVO erfolgen, da dies dem Fortbestand der Geschäftsbeziehung dient. Auch Beschäftigtendaten lassen sich bei einem Betriebsübergang übermitteln, jedoch nicht vor Vertragsabschluss oder bei Widerspruch der Beschäftigten.
• Beim Verkauf einer Kundendatenbank müssen die Kunden einwilligen. Ausnahmen gelten für Kleinst- und Kleinunternehmen desselben Wirtschaftszweigs, wenn sie die Daten aufgrund der Beendigung der wirtschaftlichen Tätigkeit übermitteln, die Kunden darüber informiert wurden und sie die Möglichkeit hatten, der Datenübermittlung zu widersprechen.

„Angesichts der Komplexität und ausgeprägten Problemfelder bei der Übermittlung von Kundendaten im Rahmen eines Asset Deals, ist eine sorgfältige und gründliche Prüfung unerlässlich, um datenschutzrechtliche Vorgaben einzuhalten“, sagt Ecovis-Rechtsanwalt Kettern.