Bei Unternehmensverkäufen spielt der Datenschutz eine entscheidende Rolle, insbesondere wenn es sich um Asset-Deals handelt. Anders als bei Share-Deals, bei denen die Verantwortung für den Datenschutz meist unverändert bleibt, führt ein Asset-Deal zu einem Wechsel der verantwortlichen Stelle. Infolgedessen gibt es besondere Herausforderungen im Hinblick auf die Datenübermittlung.
Datenschutzrechtliche Herausforderungen
In den frühen Phasen von Vertragsverhandlungen ist die Übermittlung personenbezogener Daten ohne Einwilligung in der Regel unzulässig. Dies betrifft hauptsächlich Daten von Kunden, Lieferanten und Beschäftigten, deren Schutz gewahrt werden muss, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Der jüngste DSK-Beschluss klärt allerdings, dass in fortgeschrittenen Verhandlungen differenzierte Ansätze möglich sind, um den rechtlichen Anforderungen zu entsprechen.
Unterscheidung der Datenkategorien
Die DSK gibt differenzierte Empfehlungen, was den Umgang mit verschiedenen Datenkategorien betrifft. Beispielsweise können Kundendaten in Abhängigkeit vom Stadium der Vertragsbeziehung unterschiedlich behandelt werden. Dies kann die Übertragung im Rahmen von Vertragsverhandlungen nach Art. 6 Abs. 1 S. 1 lit. b DSGVO rechtlich absichern. Bei bestehenden Verträgen wird zudem die Zustimmung des Kunden angestrebt, während für abgelaufene Kundenbeziehungen ein Auftragsverarbeitungsvertrag erforderlich ist, um gesetzliche Aufbewahrungsfristen einzuhalten.
Zulieferer- und Beschäftigtendaten
Auch für die Übermittlung von Lieferantendaten bietet die DSK Orientierung. Häufig überwiegen hier die geschäftlichen Interessen, was eine Übertragung unter bestimmten Bedingungen erlaubt. Beschäftigtendaten hingegen können im Rahmen des Betriebsübergangs weitergegeben werden, gemäß den Bestimmungen des § 613a BGB und der DSGVO.
Praktische Umsetzung der Richtlinien
In der Praxis stellen die Leitlinien der DSK eine wertvolle Orientierung für Unternehmen dar, die einen Asset-Deal durchführen. Die Expertise in der Verknüpfung von Art. 6 Abs. 1 S. 1 lit. b und f DSGVO bietet Flexibilität, um die Datenübermittlung rechtlich sicher zu ermöglichen. Wichtig ist hierbei für Compliance-Verantwortliche, jeden Fall individuell zu prüfen und die gesetzlichen Rahmenbedingungen stets im Blick zu behalten. Die valide Umsetzung dieser Vorgaben kann maßgeblich zum Erfolg eines Deals beitragen, ohne den Datenschutz zu vernachlässigen.