Das Wichtigste in Kürze
- Der DSK-Beschluss vom 11. September 2024 präzisiert datenschutzrechtliche Anforderungen bei Asset Deals, besonders für digitale Geschäftsmodelle.
- Die Datenübermittlung in der Due Diligence ist restriktiv; Ausnahmen erfordern Einwilligung oder berechtigtes Interesse.
- Spezielle Regelungen gelten für Kundendaten (laufende vs. beendete Verträge), Beschäftigtendaten und besondere Datenkategorien.
- Wichtige Neuerungen umfassen die Zwei-Schrank-Lösung, Spezialregelungen für KMU und präzisierte Werbenutzung.
- Gründer und Investoren müssen Datenschutz frühzeitig in den Akquisitionsprozess integrieren, um Risiken zu minimieren und Vertrauen zu sichern.
Bei Unternehmensübernahmen stehen Käufern grundsätzlich zwei Optionen zur Verfügung: der Asset Deal und der Share Deal. Diese Unterscheidung ist insbesondere für den Erwerb digitaler Unternehmen wie Amazon-Shops oder SaaS-Dienste von erheblicher Bedeutung.
Beim Asset Deal werden einzelne Vermögenswerte und Verpflichtungen des Unternehmens erworben. Beim Share Deal hingegen wechseln die Unternehmensanteile selbst den Besitzer. Diese Differenzierung hat weitreichende datenschutzrechtliche Konsequenzen, die sowohl Gründer als auch potenzielle Investoren berücksichtigen müssen. Der Asset Deal erfordert eine sorgfältige Prüfung und Handhabung personenbezogener Daten, da diese einzeln übertragen werden müssen. Beim Share Deal bleibt die rechtliche Entität unverändert, was die datenschutzrechtliche Situation vereinfacht.
Neuer DSK-Beschluss: Datenschutzrechtliche Leitlinien für Asset Deals
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 11. September 2024 einen richtungsweisenden Beschluss zur Übermittlung personenbezogener Daten im Rahmen von Asset Deals gefasst. Dieser Beschluss bietet eine detaillierte Orientierung für die datenschutzkonforme Durchführung von Unternehmensübernahmen.
Er ersetzt die vorherige Fassung vom 24. Mai 2019 und reagiert auf die zunehmende Bedeutung digitaler Geschäftsmodelle. Die damit einhergehenden datenschutzrechtlichen Herausforderungen, insbesondere bei Online-Diensten, E-Commerce-Plattformen und SaaS-Angeboten, werden berücksichtigt. Für Gründer und Investoren in diesen Bereichen ist ein tiefgreifendes Verständnis dieser Regelungen unerlässlich. Nur so lassen sich rechtliche Risiken minimieren und das Vertrauen der Nutzer wahren.
Kernaspekte des DSK-Beschlusses
1. Due Diligence Phase
Die Übermittlung personenbezogener Daten vor Vertragsabschluss ist grundsätzlich unzulässig. Diese Regelung soll sensible Informationen in einer frühen Phase des Verkaufsprozesses schützen. Ausnahmen bestehen nur bei freiwilliger Einwilligung oder bei berechtigtem Interesse für Daten besonders hervorgehobener Personen.
Für digitale Unternehmen bedeutet dies, dass sie besonders vorsichtig mit Kundendaten umgehen müssen, wenn sie potenzielle Käufer prüfen.
2. Kundendaten
Bei laufenden Verträgen ist die Datenübermittlung in der Regel zulässig. Dies ist besonders relevant für SaaS-Anbieter oder Betreiber von Online-Shops, die oft langfristige Kundenbeziehungen pflegen. Für beendete Verträge ist ein Auftragsverarbeitungsvertrag erforderlich.
Die Nutzung für Werbezwecke unterliegt strengen Regelungen, insbesondere bei elektronischer Kommunikation. Diese Bestimmungen sollen sicherstellen, dass Kundendaten nicht missbräuchlich verwendet werden und die Privatsphäre der Nutzer geschützt bleibt.
3. Beschäftigtendaten
Bei Betriebsübergängen nach § 613a BGB ist die Übermittlung grundsätzlich zulässig. Diese Regelung ist besonders wichtig für wachsende Start-ups, die ihr gesamtes Team im Rahmen eines Exits übertragen möchten. In anderen Fällen sind individuelle Vereinbarungen oder Einwilligungen notwendig.
Der Schutz der Arbeitnehmerrechte und ihrer persönlichen Daten steht hier im Vordergrund.
4. Besondere Datenkategorien
Für sensible Daten wie Gesundheitsinformationen ist stets eine ausdrückliche Einwilligung erforderlich. Diese Bestimmung ist besonders relevant für E-Health-Startups oder andere digitale Unternehmen, die mit sensiblen Gesundheitsdaten arbeiten.
Der Schutz dieser besonders sensiblen Informationen genießt höchste Priorität.
5. Verantwortlichkeiten
Der Veräußerer trägt die Verantwortung für die Datenübermittlung, der Erwerber für die anschließende Verarbeitung. Diese klare Zuordnung der Verantwortlichkeiten soll Rechtssicherheit schaffen und mögliche Konflikte vermeiden.
Für digitale Unternehmen bedeutet dies, dass sie sowohl beim Verkauf als auch beim Kauf klare Prozesse und Verantwortlichkeiten definieren müssen.
Praxisrelevante Neuerungen im Datenschutz bei Asset Deals
- Zwei-Schrank-Lösung: Strikte Trennung von aktiven und ehemaligen Kundendaten zur Erfüllung gesetzlicher Aufbewahrungsfristen.
- Spezialregelungen für Kleinst- und Kleinunternehmen: Unter bestimmten Umständen ist die Übermittlung von Kundendaten als einziges Asset erlaubt.
- Präzisierung der Werbenutzung: Detailliertere Regelungen für die Nutzung übermittelter Daten zu Werbezwecken, insbesondere bei elektronischer Kommunikation und UWG-Beachtung.
- Übermittlung von Bankdaten: Spezifische Regelungen, die in bestimmten Fällen eine Übermittlung ohne explizite Einwilligung ermöglichen.
- Einbeziehung von Lieferantendaten: Der Beschluss regelt nun auch die Übermittlung von Daten von Lieferanten und deren Beschäftigten.
Im Detail umfasst dies:
- Zwei-Schrank-Lösung: Bei der Übermittlung von Daten ehemaliger Kunden zur Erfüllung gesetzlicher Aufbewahrungsfristen wird nun explizit eine strikte Trennung von aktiven Kundendaten gefordert. Diese Regelung ist besonders relevant für digitale Unternehmen, die oft große Mengen historischer Kundendaten verwalten.
- Spezialregelungen für Kleinst- und Kleinunternehmen: Für Kleinstunternehmen (weniger als 10 Beschäftigte) und Kleinunternehmen (weniger als 50 Beschäftigte und maximal 10 Millionen Euro Jahresumsatz) wurden spezielle Regelungen eingeführt. Unter bestimmten Umständen ist eine Übermittlung von Kundendaten als einziges Asset erlaubt. Dies kann insbesondere für kleine Online-Shops oder digitale Dienstleister von Bedeutung sein.
- Präzisierung der Werbenutzung: Die Nutzung übermittelter Daten für Werbezwecke wurde präzisiert, insbesondere im Hinblick auf elektronische Kommunikation und die Beachtung des UWG. Dies ist besonders wichtig für E-Commerce-Unternehmen und digitale Marketingagenturen.
- Übermittlung von Bankdaten: Spezifische Regelungen für die Übermittlung von Bankdaten wurden eingeführt. Diese ist nun in bestimmten Fällen ohne explizite Einwilligung möglich.
- Einbeziehung von Lieferantendaten: Der Beschluss enthält nun auch Regelungen zur Übermittlung von Daten von Lieferanten und deren Beschäftigten. Diese Aspekte wurden in früheren Fassungen nicht explizit behandelt.
Datenschutzrechtliche Implikationen für Gründer und Investoren
Für Gründer und potenzielle Käufer von digitalen Unternehmen wie Amazon-Shops oder SaaS-Diensten ergeben sich aus dem DSK-Beschluss erhebliche rechtliche Konsequenzen. Es ist zwingend erforderlich, den Datenschutz von Beginn an in den Akquisitionsprozess zu integrieren. Bereits in der Planungsphase eines Exits oder einer Übernahme müssen datenschutzrechtliche Aspekte berücksichtigt werden.
Insbesondere bei digitalen Geschäftsmodellen, deren Wert maßgeblich auf Kundendaten und -beziehungen basiert, ist die strikte Einhaltung dieser Vorgaben unerlässlich. Eine frühzeitige Einbindung von Datenschutzexperten und spezialisierten Rechtsanwälten ist dringend zu empfehlen. So lassen sich potenzielle Risiken minimieren und ein rechtskonformer Übergang gewährleisten.
Gründer sollten bereits bei der Entwicklung ihrer Geschäftsmodelle die Möglichkeit eines zukünftigen Exits berücksichtigen und ihre Datenschutzpraktiken entsprechend gestalten. Investoren müssen bei der Due Diligence besonderes Augenmerk auf die Datenschutzpraktiken des Zielunternehmens legen, um mögliche Risiken und Haftungen zu identifizieren.
Fazit
Der neue DSK-Beschluss schafft mehr Klarheit für Unternehmen bei Asset Deals, stellt aber auch höhere Anforderungen an den Datenschutz. Für Gründer und Investoren im digitalen Sektor ist es unerlässlich, diese neuen Regelungen sorgfältig zu prüfen und ihre Prozesse entsprechend anzupassen. Nur so können sie compliant agieren und potenzielle Sanktionen vermeiden.
Die Umsetzung der neuen Vorgaben mag zunächst aufwendig erscheinen. Langfristig bietet sie jedoch mehr Rechtssicherheit und kann das Vertrauen von Kunden und Geschäftspartnern stärken – ein nicht zu unterschätzender Wettbewerbsvorteil in der digitalen Ökonomie. Unternehmen sollten die Implementierung dieser Regelungen als Chance begreifen. So können sie ihre Datenschutzpraktiken optimieren und sich als vertrauenswürdige Akteure im digitalen Markt positionieren.
Ein proaktiver Umgang mit Datenschutz minimiert nicht nur rechtliche Risiken. Er trägt auch zur Wertschöpfung bei, indem er das Vertrauen der Nutzer stärkt und die Attraktivität des Unternehmens für potenzielle Investoren oder Käufer erhöht.
Häufig gestellte Fragen
Was ist der wesentliche datenschutzrechtliche Unterschied zwischen einem Asset Deal und einem Share Deal?
Welche Bedeutung hat der neue DSK-Beschluss für Asset Deals?
Ist die Übermittlung personenbezogener Daten während der Due Diligence-Phase eines Asset Deals erlaubt?
Was passiert mit Kundendaten aus beendeten Verträgen bei einem Asset Deal?
Wer trägt die datenschutzrechtliche Verantwortung bei einem Asset Deal?
| Merkmal | Asset Deal | Share Deal |
|---|---|---|
| Gegenstand des Erwerbs | Einzelne Vermögenswerte und Verpflichtungen | Unternehmensanteile |
| Datenschutzrechtliche Datenübertragung | Einzelne Übertragung personenbezogener Daten; erfordert sorgfältige Prüfung und Handhabung | Rechtliche Entität bleibt unverändert; datenschutzrechtliche Situation vereinfacht, da Daten innerhalb derselben juristischen Person verbleiben |
| Rechtliche Entität | Ändert sich (Käufer erwirbt Assets, nicht das Unternehmen selbst) | Bleibt unverändert (Käufer erwirbt Anteile am bestehenden Unternehmen) |