1. Home
  2. Datenschutz-Fallstricke beim...
DataAgenda

Datenschutz-Fallstricke beim Asset-Deal

Asset Deal und Datenschutz

Eines der Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 11. September 2024 befasst sich mit der Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals.

Bei der Veräußerung eines Unternehmens stehen zwei Methoden zur Verfügung, die unterschiedliche Auswirkungen auf den Umgang mit personenbezogenen Daten haben: der Share Deal und der Asset Deal. Während der Share Deal datenschutzrechtlich meist unkompliziert ist, erfordert der Asset Deal eine differenzierte Betrachtung.
Das Beschlusspapier der DSK geht auf die wesentliche Eckpunkte beider Varianten detailliert ein und wirft auch einen Blick auf die datenschutzrechtlichen Fallstricke. Diese Hinweise sollen sicherstellen, dass Datenschutzverstöße bei Unternehmenskäufen vermieden werden und der Übergang reibungslos erfolgt:

1. Share Deal: Übertragung von Gesellschaftsanteilen

  • Wesensmerkmal: Beim Share Deal werden die Gesellschaftsanteile übertragen, während die rechtliche Identität des Unternehmens unverändert bleibt.
  • Datenschutzaspekte:
    • Es findet keine Änderung in der Verantwortlichkeit statt, da der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO dieselbe juristische Person bleibt.
    • Personenbezogene Daten verbleiben unverändert im Unternehmen, und es erfolgt keine Übermittlung im Sinne der DS-GVO.
    • Die Ausnahme bilden Prüfungshandlungen während einer Due-Diligence-Prüfung, die sicherstellen müssen, dass Datenschutzvorgaben eingehalten werden.

2. Asset Deal: Übertragung von Wirtschaftsgütern

  • Wesensmerkmal: Beim Asset Deal werden spezifische Vermögenswerte, wie z. B. Grundstücke, Maschinen, oder der Kundenstamm, auf den Erwerber übertragen.
  • Datenschutzaspekte:
    • Wechsel der Verantwortlichkeit: Die Verantwortlichkeit für personenbezogene Daten geht von der Veräußerin auf den Erwerber über.
    • Prüfung der Rechtsgrundlage:
      • Die Übermittlung personenbezogener Daten muss durch eine rechtliche Grundlage gemäß Art. 6 Abs. 1 DS-GVO gedeckt sein.
      • Relevante Rechtsgrundlagen könnten die Erfüllung eines Vertrages oder ein berechtigtes Interesse des Erwerbers sein, sofern dies sorgfältig abgewogen wird.
    • Informationspflichten: Betroffene müssen gemäß Art. 13 und 14 DS-GVO über den Übergang informiert werden.

3. Besondere Herausforderungen für Einzelunternehmen und Personengesellschaften

  • Einzelkaufleute und Handwerksbetriebe: Bei Betriebsübergaben ist die Einhaltung der DS-GVO oft komplexer, da personenbezogene Daten wie Kundendaten oder Lieferantendaten direkt vom Unternehmer verwaltet werden.
  • Rechtliche Anforderungen:
    • Die Übermittlung muss transparent und dokumentiert erfolgen.
    • Bei Kundendaten sind die Rechte der betroffenen Personen, etwa auf Widerspruch, zu wahren.

(Foto: Thares2020 – stock.adobe.com)

Letztes Update:30.11.24

Verwandte Produkte

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner