1. Home
  2. Datenschutz-Fallstricke beim...
DataAgenda

Datenschutz-Fallstricke beim Asset-Deal

Asset Deal und Datenschutz

Eines der Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 11. September 2024 befasst sich mit der Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals.

Bei der Veräußerung eines Unternehmens stehen zwei Methoden zur Verfügung, die unterschiedliche Auswirkungen auf den Umgang mit personenbezogenen Daten haben: der Share Deal und der Asset Deal. Während der Share Deal datenschutzrechtlich meist unkompliziert ist, erfordert der Asset Deal eine differenzierte Betrachtung.
Das Beschlusspapier der DSK geht auf die wesentliche Eckpunkte beider Varianten detailliert ein und wirft auch einen Blick auf die datenschutzrechtlichen Fallstricke. Diese Hinweise sollen sicherstellen, dass Datenschutzverstöße bei Unternehmenskäufen vermieden werden und der Übergang reibungslos erfolgt:

1. Share Deal: Übertragung von Gesellschaftsanteilen

  • Wesensmerkmal: Beim Share Deal werden die Gesellschaftsanteile übertragen, während die rechtliche Identität des Unternehmens unverändert bleibt.
  • Datenschutzaspekte:
    • Es findet keine Änderung in der Verantwortlichkeit statt, da der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO dieselbe juristische Person bleibt.
    • Personenbezogene Daten verbleiben unverändert im Unternehmen, und es erfolgt keine Übermittlung im Sinne der DS-GVO.
    • Die Ausnahme bilden Prüfungshandlungen während einer Due-Diligence-Prüfung, die sicherstellen müssen, dass Datenschutzvorgaben eingehalten werden.

2. Asset Deal: Übertragung von Wirtschaftsgütern

  • Wesensmerkmal: Beim Asset Deal werden spezifische Vermögenswerte, wie z. B. Grundstücke, Maschinen, oder der Kundenstamm, auf den Erwerber übertragen.
  • Datenschutzaspekte:
    • Wechsel der Verantwortlichkeit: Die Verantwortlichkeit für personenbezogene Daten geht von der Veräußerin auf den Erwerber über.
    • Prüfung der Rechtsgrundlage:
      • Die Übermittlung personenbezogener Daten muss durch eine rechtliche Grundlage gemäß Art. 6 Abs. 1 DS-GVO gedeckt sein.
      • Relevante Rechtsgrundlagen könnten die Erfüllung eines Vertrages oder ein berechtigtes Interesse des Erwerbers sein, sofern dies sorgfältig abgewogen wird.
    • Informationspflichten: Betroffene müssen gemäß Art. 13 und 14 DS-GVO über den Übergang informiert werden.

3. Besondere Herausforderungen für Einzelunternehmen und Personengesellschaften

  • Einzelkaufleute und Handwerksbetriebe: Bei Betriebsübergaben ist die Einhaltung der DS-GVO oft komplexer, da personenbezogene Daten wie Kundendaten oder Lieferantendaten direkt vom Unternehmer verwaltet werden.
  • Rechtliche Anforderungen:
    • Die Übermittlung muss transparent und dokumentiert erfolgen.
    • Bei Kundendaten sind die Rechte der betroffenen Personen, etwa auf Widerspruch, zu wahren.

(Foto: Thares2020 – stock.adobe.com)

Letztes Update:30.11.24

Verwandte Produkte

Das könnte Sie auch interessieren

  • MS bietet Datenschutz-Hilfen für MS 365

    Neue Datenschutz‑Hilfen von Microsoft für M365 und Copilot

    Microsoft hat im November 2025 ein Paket neuer Dokumentations‑ und Compliance‑Hilfen vorgestellt, das Unternehmen bei der datenschutzkonformen Nutzung von Cloud- und KI‑Diensten unterstützen soll. Inhalte der neuen Hilfsmittel Ziel und Selbstverständnis Microsoft gibt an, mit diesen Hilfen den Nachweis der DSGVO‑Konformität und Erfüllung von Rechenschaftspflichten zu erleichtern – gerade im Kontext von KI‑gestützten Anwendungen und

    Mehr erfahren
  • HBDI sagt: MS 365 ist zulässig

    HBDI gibt grünes Licht für Microsoft 365 – unter Bedingungen

    Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat mit seinem am 15. November 2025 veröffentlichten Bericht bestätigt, dass Microsoft 365 unter bestimmten Bedingungen datenschutzkonform genutzt werden kann. Hintergrund der Einschätzung Nach früherer Kritik der Datenschutzkonferenz (DSK), wonach das Vertragswerk (Data Protection Addendum, DPA) von Microsoft im Jahr 2022 nicht den Anforderungen des Art. 28 DS-GVO genügen

    Mehr erfahren
  • BSI: IT-Sicherheit 2025 Deutschland

    BSI: IT‑Sicherheitslage bleibt angespannt

    Das BSI hat am 11. November 2025 den neuen Jahresbericht „Die Lage der IT-Sicherheit in Deutschland 2025“ veröffentlicht. Die Bewertung der Behörde fällt klar aus: Deutschland bleibt trotz Verbesserungen bei der Cyberresilienz weiterhin eine angreifbare Zielstruktur für Cyberkriminelle und staatlich organisierte Angreifer. Wachsende Schwachstellen und vergrößerte Angriffsflächen Cyberbedrohungen in Vielfalt und Professionalisierung Fortschritte – aber

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner