1. Home
  2. Datenschutz-Fallstricke beim...
DataAgenda

Datenschutz-Fallstricke beim Asset-Deal

Asset Deal und Datenschutz

Eines der Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 11. September 2024 befasst sich mit der Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals.

Bei der Veräußerung eines Unternehmens stehen zwei Methoden zur Verfügung, die unterschiedliche Auswirkungen auf den Umgang mit personenbezogenen Daten haben: der Share Deal und der Asset Deal. Während der Share Deal datenschutzrechtlich meist unkompliziert ist, erfordert der Asset Deal eine differenzierte Betrachtung.
Das Beschlusspapier der DSK geht auf die wesentliche Eckpunkte beider Varianten detailliert ein und wirft auch einen Blick auf die datenschutzrechtlichen Fallstricke. Diese Hinweise sollen sicherstellen, dass Datenschutzverstöße bei Unternehmenskäufen vermieden werden und der Übergang reibungslos erfolgt:

1. Share Deal: Übertragung von Gesellschaftsanteilen

  • Wesensmerkmal: Beim Share Deal werden die Gesellschaftsanteile übertragen, während die rechtliche Identität des Unternehmens unverändert bleibt.
  • Datenschutzaspekte:
    • Es findet keine Änderung in der Verantwortlichkeit statt, da der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO dieselbe juristische Person bleibt.
    • Personenbezogene Daten verbleiben unverändert im Unternehmen, und es erfolgt keine Übermittlung im Sinne der DS-GVO.
    • Die Ausnahme bilden Prüfungshandlungen während einer Due-Diligence-Prüfung, die sicherstellen müssen, dass Datenschutzvorgaben eingehalten werden.

2. Asset Deal: Übertragung von Wirtschaftsgütern

  • Wesensmerkmal: Beim Asset Deal werden spezifische Vermögenswerte, wie z. B. Grundstücke, Maschinen, oder der Kundenstamm, auf den Erwerber übertragen.
  • Datenschutzaspekte:
    • Wechsel der Verantwortlichkeit: Die Verantwortlichkeit für personenbezogene Daten geht von der Veräußerin auf den Erwerber über.
    • Prüfung der Rechtsgrundlage:
      • Die Übermittlung personenbezogener Daten muss durch eine rechtliche Grundlage gemäß Art. 6 Abs. 1 DS-GVO gedeckt sein.
      • Relevante Rechtsgrundlagen könnten die Erfüllung eines Vertrages oder ein berechtigtes Interesse des Erwerbers sein, sofern dies sorgfältig abgewogen wird.
    • Informationspflichten: Betroffene müssen gemäß Art. 13 und 14 DS-GVO über den Übergang informiert werden.

3. Besondere Herausforderungen für Einzelunternehmen und Personengesellschaften

  • Einzelkaufleute und Handwerksbetriebe: Bei Betriebsübergaben ist die Einhaltung der DS-GVO oft komplexer, da personenbezogene Daten wie Kundendaten oder Lieferantendaten direkt vom Unternehmer verwaltet werden.
  • Rechtliche Anforderungen:
    • Die Übermittlung muss transparent und dokumentiert erfolgen.
    • Bei Kundendaten sind die Rechte der betroffenen Personen, etwa auf Widerspruch, zu wahren.

(Foto: Thares2020 – stock.adobe.com)

Letztes Update:30.11.24

Verwandte Produkte

Das könnte Sie auch interessieren

  • DataAgenda Podcast Cover Folge 83 mit Stephan Grünewald

    Folge 83: Psychologie im Spiegel der KI

    Die Haltung der Menschen zu KI wandelt sich nach dem Befund des Psychologen Stephan Grünewald. Aus dem Zauberstab des „Allmachts-Boosters“ sei eine Bedrohung geworden. KI sei zwischen „persönlichem Heinzelmann und gefügigem Traumpartner“ gestartet: „Was kann ich noch selbst? Und wer bin ich überhaupt noch?“. Diese Fragen stellen sich für den Menschen. Wie hätte man vor

    Mehr erfahren

  • Folge 86: KI-Daten-Wirtschaft – Der Parlamentarische Abend der GDD im Rückblick

    Im Dezember 2025 hat die GDD zum Parlamentarischen Abend in der Deutschen Parlamentarischen Gesellschaft in Berlin eingeladen. Unter der Schirmherrschaft von MdB Günter Krings haben Thomas Jarzombek, Parlamentarischer Staatssekretär im BMDS, Dr. Daniela Brönstrup, Vizepräsidentin der BNetzA, und DSK-Chef Tobias Keber, VAUNET-Chef Claus Grewenig, der Neuropathologe Felix Sahm und Kristin Benedikt diskutiert, moderiert von Rolf

    Mehr erfahren
  • Compliance-Verstöße: Keine Vorfeststellung natürlicher Personen mehr erforderlich

    EuGH: Banken haften auch ohne Verurteilung ihrer Organmitglieder

    Der Europäische Gerichtshof hat mit Urteil vom 29. Januar 2026 (C-291/24) entschieden, dass die EU-Geldwäscherichtlinie einer nationalen Regelung entgegensteht, die Sanktionen gegen juristische Personen von der förmlichen Feststellung der Schuld natürlicher Personen abhängig macht. Das Urteil stärkt die Durchsetzbarkeit von Compliance-Anforderungen im Finanzsektor. Ausgangssachverhalt aus Österreich Die österreichische Finanzmarktaufsicht (FMA) hatte gegen die Steiermärkische Bank

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner