DS-GVO – Datenschutzrecht beim Unternehmenskauf

Datenschutzrecht beim Unternehmenskauf

Der Erwerb eines Unternehmens, der zahlreiche Gründe, wie zum Beispiel die Übernahme von Lieferbeziehungen und Schlüsselmitarbeitern haben kann, ist ein komplexer Vorgang. Daher sollten beim Unternehmenskauf betriebswirtschaftliche und rechtliche Aspekte berücksichtigt werden. Vor dem Hintergrund, dass in der Regel auch personenbezogene Daten an den Käufer übertragen bzw. diesem zur Verfügung gestellt werden sollen, spielt das Datenschutzrecht beim Unternehmenskauf eine große Rolle.

Ihr externer Datenschutzbeauftragter informiert zum Datenschutzrecht beim Unternehmenskauf und erklärt, ob und welche Änderungen sich durch die Datenschutz-Grundverordnung (DS-GVO) ergeben haben.

Datenschutzrecht beim Unternehmenskauf

Wie bereits in dem Beitrag „Übertragung von Personaldaten und Kundendaten – Datenschutz beim Unternehmenskauf (Asset Deal vs. Share Deal)“ erläutert, dürfte beim einem Unternehmenskauf der Austausch von Informationen, insbesondere auch personenbezogenen Daten, unerlässlich sein.

Personenbezogene Daten

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“. Dies sind zum Beispiel Namen, Telefonnummern, postalische sowie E-Mail-Adressen sowie auch Angaben zur Gesundheit. Letztere fallen sogar unter die besonderen Kategorien personenbezogener Daten, die einem besonderen Schutz unterliegen.

Verbot mit Erlaubnisvorbehalt

Im Datenschutzrecht gilt, dass Verbot mit Erlaubnisvorbehalt, wodurch jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage bedarf. Als Rechtsgrundlage kommen die Tatbestände des Art. 6 DS-GVO in Betracht und bei der Verarbeitung besonderer Kategorien personenbezogener Daten sind die besonderen Anforderungen nach Art. 9 DS-GVO zu berücksichtigen.

Sofern eine Ermächtigung durch Rechtsvorschrift fehlt, müssen Einwilligungen eingeholt werden, dabei sollten die Anforderungen gemäß Art. 7 DS-GVO sowie ggf. Art. 8 DS-GVO (bei Kindern) berücksichtigt werden. Einwilligungen sollten insbesondere aktiv, informiert, freiwillig, vorherig, separat und widerruflich erteilt werden.

Im Fokus eines Unternehmenskaufes steht– wie bereits erläutert – oft der Erwerb/die Weitergabe personenbezogener Daten (z. B. der Erwerb von Kundendaten). Ein Übergang dieser Daten ist jedoch datenschutzrechtlich gesehen nicht immer zulässig. Es muss im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen.

Datenweitergabe bei einer Unternehmenstransaktion

Bei einem Unternehmenskauf sollte bei der detaillierten Prüfung zwischen den einzelnen Formen sowie den Phasen unterschieden werden.

Datenschutzrecht beim Unternehmenskauf – Deal-Strukturen

Es ist zwischen Share Deal und Asset Deal zu unterscheiden:

  • Der Share Deal beschreibt den Anteilskauf (z. B. Kauf von Aktien oder von GmbH-Anteilen) eines Unternehmens. Vor dem Hintergrund, dass der Unternehmensträger bestehen bleibt (Unternehmen geht mittelbar mit Beteiligungsrechten auf Erwerber über), dürfte keine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DS-GVO erfolgen, wodurch keine Ermächtigung durch eine Rechtsvorschrift erforderlich sein dürfte.
  • Im Unterschied zum Share Deal werden beim Asset Deal nicht Anteilsrechte am Unternehmen erworben, sondern einzelne Wirtschaftsgüter (Vermögenswerte). Dabei gehen die bestehenden Verhältnisse (z.B. Verträge) nicht mit auf den Erwerber über. Sollen diese mit übergehen, muss eine Vereinbarung des Überganges zwischen Verkäufer und Käufer vereinbart werden. Datenschutzrechtlich brisant wird das Thema, wenn zum Beispiel ein Kundenstamm veräußert werden soll. Hierbei handelt es sich um die Übertragung personenbezogener Daten, für die es einer Rechtsgrundlage bedarf.

Als Rechtsgrundlage für die Verarbeitung dürften die Tatbestände des Art. 6 Abs. 1 DS-GVO in Betracht kommen (außer bei besonderen Kategorien personenbezogener Daten), insbesondere Buchstabe a (Einwilligung) sowie f (Interessensabwägung). Es muss jedoch im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen.

Hinweis: Bei besonderen Kategorien personenbezogener Daten dürfte i. d. R. das Einholen von Einwilligungen erforderlich sein. Die Verarbeitung von E-Mail-Adressen durch den Erwerber zu Werbezwecken dürfte unzulässig sein, da E-Mail-Werbung nur mit ausdrücklicher Einwilligung des Adressaten zulässig ist und eine vom Kunden dem Veräußerer erteilte Einwilligung nicht auf den Erwerber übergehen dürfte.

Datenschutzrecht beim Unternehmenskauf – Phasen der Unternehmenstransaktion

Es sollte zwischen folgenden Phasen unterschieden werden:

  • Datenverarbeitung vor dem Kauf (Due Diligence): I. d. R. wird der Käufer vor einem Unternehmenskauf Informationen über das Unternehmen verlangen. Dies geschieht mithilfe der Due Diligence Prüfung, welche eine Risikoprüfung darstellt, um Aufklärung über die tatsächliche Unternehmenssituation zu schaffen. Es ist nicht selten der Fall, dass der Käufer hierbei von „Dritten“, wie Steuerberatern, Unternehmensberater, Wirtschaftsprüfern oder Rechtsanwälten, unterstützt wird.

Solange für die Risikobewertung lediglich Informationen über das Unternehmen herangezogen werden und keine Weitergabe personenbezogener Daten erfolgt bzw. personenbezogene Daten anonymisiert an den Erwerber und weiteren „Dritten“ weitergegeben werden, so greift das Datenschutzrecht nicht. Eine Due Diligence kann  dem Käufer und weiteren „Dritten“ aber auch Zugang zu Kundenlisten oder Arbeitnehmerdaten liefern. Es sollte jedoch auch hier vorab geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden dürfen sowie ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. Daneben sollten Informationspflichten gemäß Art. 13 DS-GVO gegenüber Betroffenen berücksichtigt werden.

Auch vor dem Kauf sind zahlreiche Prüfungen und Maßnahmen erforderlich, daher sollte Ihr Datenschutzbeauftragter oder Datenschutzberater frühzeitig bei einer geplanten Unternehmenstransaktion eingebunden werden.

  • Abschluss des Unternehmenskaufvertrags und Integration der personenbezogenen Daten sowie Nutzung der personenbezogenen Daten:

Auch in den beiden letzteren Phasen

  1. Abschluss des Unternehmenskaufvertrags und Integration der personenbezogenen Daten aus dem erworbenen Unternehmen
  2. Nutzung der personenbezogenen Daten

sollte detailliert geprüft werden, ob und im welchen Umfang die Verarbeitung zulässig ist. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten dürften – wie bereits erläutert – i. d. R. die Tatbestände des Art. 6 Abs. 1 DS-GVO in Betracht kommen.

Fazit

Der Unternehmensverkauf ist ein komplexer Vorgang, der in jeder Phase einer gründlichen Einzelprüfung bedarf. Bei einer unzulässigen Datenverarbeitung und/oder nicht oder unzureichend erfüllter Informationspflichten drohen hohe Bußgelder. Nähere Informationen zu den Bußgeldern erhalten Sie in unserem Beitrag „Bußgelder, Geld- und Freiheitsstrafen – Zu erwartende Sanktionen im Datenschutz“.

Sie sollten daher den Datenschutz beim Unternehmenskauf nicht außer Acht lassen und den Rat eines Datenschutzberaters oder eines Datenschutzbeauftragten einholen.

Sollten Sie noch Fragen zum Datenschutzrecht beim Unternehmenskauf haben oder sich im Bereich Datenschutz besser positionieren wollen, dann steht Brands Consulting Ihnen gerne zur Seite. Wir bieten Ihnen kompetente und fachkundige Unterstützung rund um den Bereich Datenschutz. Kontaktieren Sie uns und holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen