Bei Unternehmensübernahmen stehen Käufern grundsätzlich zwei Optionen zur Verfügung: der Asset Deal und der Share Deal. Diese Unterscheidung ist insbesondere für den Erwerb digitaler Unternehmen wie Amazon-Shops oder SaaS-Dienste von erheblicher Bedeutung. Beim Asset Deal werden einzelne Vermögenswerte und Verpflichtungen des Unternehmens erworben, während beim Share Deal die Unternehmensanteile selbst den Besitzer wechseln. Diese Differenzierung hat weitreichende datenschutzrechtliche Konsequenzen, die sowohl Gründer als auch potenzielle Investoren berücksichtigen müssen. Der Asset Deal erfordert eine sorgfältige Prüfung und Handhabung personenbezogener Daten, da diese einzeln übertragen werden müssen. Beim Share Deal hingegen bleibt die rechtliche Entität unverändert, was die datenschutzrechtliche Situation vereinfacht.
Neuer DSK-Beschluss: Datenschutzrechtliche Leitlinien für Asset Deals
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 11. September 2024 einen richtungsweisenden Beschluss zur Übermittlung personenbezogener Daten im Rahmen von Asset Deals gefasst. Dieser Beschluss bietet eine detaillierte Orientierung für die datenschutzkonforme Durchführung von Unternehmensübernahmen und ersetzt die vorherige Fassung vom 24. Mai 2019. Der neue Beschluss reagiert auf die zunehmende Bedeutung digitaler Geschäftsmodelle und die damit einhergehenden datenschutzrechtlichen Herausforderungen. Er berücksichtigt insbesondere die Besonderheiten von Online-Diensten, E-Commerce-Plattformen und SaaS-Angeboten. Für Gründer und Investoren in diesen Bereichen ist ein tiefgreifendes Verständnis dieser Regelungen unerlässlich, um rechtliche Risiken zu minimieren und das Vertrauen der Nutzer zu wahren.
Kernaspekte des Beschlusses:
1. Due Diligence Phase: Die Übermittlung personenbezogener Daten vor Vertragsabschluss ist grundsätzlich unzulässig. Diese Regelung soll den Schutz sensibler Informationen in einer frühen Phase des Verkaufsprozesses gewährleisten. Ausnahmen bestehen nur bei freiwilliger Einwilligung oder bei berechtigtem Interesse für Daten besonders hervorgehobener Personen. Für digitale Unternehmen bedeutet dies, dass sie besonders vorsichtig mit Kundendaten umgehen müssen, wenn sie potenzielle Käufer prüfen.
2. Kundendaten: Bei laufenden Verträgen ist die Datenübermittlung in der Regel zulässig. Dies ist besonders relevant für SaaS-Anbieter oder Betreiber von Online-Shops, die oft langfristige Kundenbeziehungen pflegen. Für beendete Verträge ist ein Auftragsverarbeitungsvertrag erforderlich. Die Nutzung für Werbezwecke unterliegt strengen Regelungen, insbesondere bei elektronischer Kommunikation. Diese Bestimmungen sollen sicherstellen, dass Kundendaten nicht missbräuchlich verwendet werden und die Privatsphäre der Nutzer geschützt bleibt.
3. Beschäftigtendaten: Bei Betriebsübergängen nach § 613a BGB ist die Übermittlung grundsätzlich zulässig. Diese Regelung ist besonders wichtig für wachsende Start-ups, die möglicherweise ihr gesamtes Team im Rahmen eines Exits übertragen möchten. In anderen Fällen sind individuelle Vereinbarungen oder Einwilligungen notwendig. Der Schutz der Arbeitnehmerrechte und ihrer persönlichen Daten steht hier im Vordergrund.
4. Besondere Datenkategorien: Für sensible Daten wie Gesundheitsinformationen ist stets eine ausdrückliche Einwilligung erforderlich. Diese Bestimmung ist besonders relevant für E-Health-Startups oder andere digitale Unternehmen, die mit sensiblen Gesundheitsdaten arbeiten. Der Schutz dieser besonders sensiblen Informationen genießt höchste Priorität.
5. Verantwortlichkeiten: Der Veräußerer trägt die Verantwortung für die Datenübermittlung, der Erwerber für die anschließende Verarbeitung. Diese klare Zuordnung der Verantwortlichkeiten soll Rechtssicherheit schaffen und mögliche Konflikte vermeiden. Für digitale Unternehmen bedeutet dies, dass sie sowohl beim Verkauf als auch beim Kauf klare Prozesse und Verantwortlichkeiten definieren müssen.
Praxisrelevante Neuerungen:
Der neue DSK-Beschluss bringt einige wichtige Änderungen gegenüber früheren Auffassungen mit sich. Eine wesentliche Neuerung ist die detailliertere Regelung verschiedener Szenarien, die Unternehmen mehr Klarheit und Handlungssicherheit bietet. Bei der Übermittlung von Daten ehemaliger Kunden zur Erfüllung gesetzlicher Aufbewahrungsfristen wird nun explizit eine strikte Trennung von aktiven Kundendaten gefordert, was als “Zwei-Schrank-Lösung” bezeichnet wird. Diese Regelung ist besonders relevant für digitale Unternehmen, die oft große Mengen historischer Kundendaten verwalten. Für Kleinstunternehmen mit weniger als 10 Beschäftigten und Kleinunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz von maximal 10 Millionen Euro wurden spezielle Regelungen eingeführt, die unter bestimmten Umständen eine Übermittlung von Kundendaten als einziges Asset erlauben. Dies kann insbesondere für kleine Online-Shops oder digitale Dienstleister von Bedeutung sein. Die Nutzung übermittelter Daten für Werbezwecke wurde präzisiert, insbesondere im Hinblick auf elektronische Kommunikation und die Beachtung des UWG. Dies ist besonders wichtig für E-Commerce-Unternehmen und digitale Marketingagenturen. Zudem wurden spezifische Regelungen für die Übermittlung von Bankdaten eingeführt, die nun in bestimmten Fällen ohne explizite Einwilligung möglich ist. Der Beschluss enthält nun auch Regelungen zur Übermittlung von Daten von Lieferanten und deren Beschäftigten, was in früheren Fassungen nicht explizit behandelt wurde.
Rechtliche Implikationen für Unternehmensgründer und Investoren:
Für Gründer und potenzielle Käufer von digitalen Unternehmen wie Amazon-Shops oder SaaS-Diensten ergeben sich aus dem DSK-Beschluss erhebliche rechtliche Konsequenzen. Es ist zwingend erforderlich, den Datenschutz von Beginn an in den Akquisitionsprozess zu integrieren. Dies bedeutet, dass bereits in der Planungsphase eines Exits oder einer Übernahme datenschutzrechtliche Aspekte berücksichtigt werden müssen. Insbesondere bei digitalen Geschäftsmodellen, deren Wert oft maßgeblich auf Kundendaten und -beziehungen basiert, ist die strikte Einhaltung dieser Vorgaben unerlässlich. Eine frühzeitige Einbindung von Datenschutzexperten und spezialisierten Rechtsanwälten ist dringend zu empfehlen, um potenzielle Risiken zu minimieren und einen rechtskonformen Übergang zu gewährleisten. Gründer sollten bereits bei der Entwicklung ihrer Geschäftsmodelle die Möglichkeit eines zukünftigen Exits berücksichtigen und ihre Datenschutzpraktiken entsprechend gestalten. Investoren müssen bei der Due Diligence besonderes Augenmerk auf die Datenschutzpraktiken des Zielunternehmens legen, um mögliche Risiken und Haftungen zu identifizieren.
Fazit:
Der neue DSK-Beschluss schafft mehr Klarheit für Unternehmen bei Asset Deals, stellt aber auch höhere Anforderungen an den Datenschutz. Für Gründer und Investoren im digitalen Sektor ist es unerlässlich, diese neuen Regelungen sorgfältig zu prüfen und ihre Prozesse entsprechend anzupassen. Nur so können sie compliant agieren und potenzielle Sanktionen vermeiden. Die Umsetzung der neuen Vorgaben mag zunächst aufwendig erscheinen, bietet aber langfristig mehr Rechtssicherheit und kann das Vertrauen von Kunden und Geschäftspartnern stärken – ein nicht zu unterschätzender Wettbewerbsvorteil in der digitalen Ökonomie. Unternehmen sollten die Implementierung dieser Regelungen als Chance begreifen, ihre Datenschutzpraktiken zu optimieren und sich als vertrauenswürdige Akteure im digitalen Markt zu positionieren. Letztendlich kann ein proaktiver Umgang mit Datenschutz nicht nur rechtliche Risiken minimieren, sondern auch zur Wertschöpfung beitragen, indem er das Vertrauen der Nutzer stärkt und die Attraktivität des Unternehmens für potenzielle Investoren oder Käufer erhöht.
