Unternehmenskauf in Zeiten der DSGVO
Ein wichtiges Asset beim Unternehmenskauf sind die Kundendaten. Gerade bei der Übernahme von insolventen Firmen sind diese Daten oft das einzig Werthaltige bei dem Kaufkandidat. Doch Kundendaten sind personenbezogene Daten, eine Übernahme beim Kauf also aus Datenschutzgründen nicht ganz so einfach. Es kommt auf die Art des Kaufs an.
Maßnahmen zum Datenschutz bei der Due Diligence
Bereits bei der Kaufvorbereitung gilt es, beim Umgang mit personenbezogenen Daten einiges zu beachten. Um als Käufer ein Unternehmen beurteilen zu können, werden bei der Due Diligence oft die Kunden- und Lieferantendaten ausgewertet. Damit dies problemlos möglich ist, sollten diese Daten so anonymisiert werden, dass eine Identifikation einer Person nicht mehr möglich ist. Dann handelt es sich nicht mehr um personenbezogene Daten, eine Verarbeitung oder Übertragung ist unproblematisch.
Werden Kunden- oder Lieferantendaten in diesem Stadium als Klardatum offengelegt, so kann dies im Einzelfall nach Art. 6 Abs. 1 lit. b und Art. 6 Abs. 4 DSGVO auch ohne die Einwilligung der Betroffenen ausnahmsweise zulässig sein, wenn der neue Zweck mit dem ursprünglichen vereinbar ist. Dies ist z.B. bei einer geplanten Fortführung des Unternehmens der Fall, wenn es sich um wesentliche Vermögensgegenstände der Zielgesellschaft handelt, ohne deren Kenntnis eine Transaktion nicht ordnungsgemäß vorgenommen werden könnte. Das Vorliegen der Voraussetzungen müssen die Vertragsparteien allerdings nachweisen können. Darüber hinaus sind die negativen Folgen für die betroffenen Personen durch technisch-organisatorische Maßnahmen (sichere Datenübertragung etc.) sowie durch die Vereinbarung von Geheimhaltungsvereinbarungen zu minimieren.
Ansonsten ist eine Datenübertragung an einen potenziellen Käufer nur mit der Einwilligung des Betroffenen möglich. Das ist zum einen sehr aufwändig, zum anderen macht es auch eine Kaufabsicht öffentlich, die in diesem Stadium der Verhandlungen meistens noch geheim gehalten werden soll.
Datenschutzrechtlich unbedenklich: der Share Deal
Aus Datenschutz-Sicht sind so genannte Share Deals oder Verschmelzungen nach dem Umwandlungsgesetz zu bevorzugen. Bei einem Share Deal werden sämtliche Anteile eines Unternehmens verkauft, das Unternehmen, also z.B. die GmbH, bleibt aber in seiner Rechtsform erhalten. Damit ändert sich auch der Verantwortliche im Sinne der DSGVO nicht, ebenso bleibt der Verwendungszweck erhalten. Die Kundendaten können wie bisher verarbeitet werden, eine Einwilligung ist nicht nötig.
Doch Vorsicht: Mit dem Kauf werden auch die datenschutzrechtlichen Verpflichtungen und die Haftung für begangenen Verstöße übernommen. Hat man hier vor der Übernahme den Umgang mit personenbezogenen Daten nicht ausreichend geprüft, kann das teuer werden. So geschehen im Fall des Lieferdienstes Delivery Hero. Aufgrund von Verletzungen der Lösch- und Auskunftsverpflichtungen wurde das Unternehmen im September 2019 zu einem Bußgeld von knapp 200.000 Euro belegt. Die Verstöße wurden alle vor der Übernahme des Lieferdienstes durch das niederländische Unternehmen Takeaway.com begangen, die Strafe müssen die Holländer trotzdem bezahlen.
Abwägen und informieren: der Asset Deal
Beim Asset Deal werden nur Einzelwirtschaftsgüter auf den Käufer übertragen. Sind dabei personenbezogene Daten betroffen, zum Beispiel eine Kundendatenbank, handelt es sich um einen datenschutzrechtlichen Vorgang.
Handelt es sich um aktive Bestandskunden, bei denen noch Verträge laufen oder offene Rechnungen bestehen, gibt es ein berechtigtes Interesse nach Art 6 Abs. 1 lit. f, diese Daten auch ohne Einwilligung des betroffen weiter zu verarbeiten.
Handelt es sich um Daten, die nicht für die Vertragsdurchführung nötig sind, ist es etwas komplizierter. Werden die Daten weiterhin zum ursprünglichen Zweck verwendet oder ist der neue Zweck zu dem alten sehr ähnlich, ist auch hier keine Einwilligung nötig. Nach Auffassung des Bayerischen Landesamt für Datenschutzaufsicht ist eine Datenverarbeitung in diesen Fällen zulässig, wenn der Betroffene im Vorfeld der geplanten Übermittlung informiert und ihm eine angemessene Widerspruchsfrist eingeräumt wird und jener nicht widerspricht.
Sollen die Daten jedoch zu einem anderen Zweck genutzt werden, ist das nur nach Einwilligung des Kunden möglich.
Da sich der Verantwortliche und unter Umständen auch der Zweck ändert, ist der Betroffenen auf jeden Fall nach Art. 14 DSGVO zu informieren.
Was ist Ihre Reaktion?
