1. Home
  2. Datenschutz-Fallstricke beim...
DataAgenda

Datenschutz-Fallstricke beim Asset-Deal

Asset Deal und Datenschutz

Eines der Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 11. September 2024 befasst sich mit der Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals.

Bei der Veräußerung eines Unternehmens stehen zwei Methoden zur Verfügung, die unterschiedliche Auswirkungen auf den Umgang mit personenbezogenen Daten haben: der Share Deal und der Asset Deal. Während der Share Deal datenschutzrechtlich meist unkompliziert ist, erfordert der Asset Deal eine differenzierte Betrachtung.
Das Beschlusspapier der DSK geht auf die wesentliche Eckpunkte beider Varianten detailliert ein und wirft auch einen Blick auf die datenschutzrechtlichen Fallstricke. Diese Hinweise sollen sicherstellen, dass Datenschutzverstöße bei Unternehmenskäufen vermieden werden und der Übergang reibungslos erfolgt:

1. Share Deal: Übertragung von Gesellschaftsanteilen

  • Wesensmerkmal: Beim Share Deal werden die Gesellschaftsanteile übertragen, während die rechtliche Identität des Unternehmens unverändert bleibt.
  • Datenschutzaspekte:
    • Es findet keine Änderung in der Verantwortlichkeit statt, da der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO dieselbe juristische Person bleibt.
    • Personenbezogene Daten verbleiben unverändert im Unternehmen, und es erfolgt keine Übermittlung im Sinne der DS-GVO.
    • Die Ausnahme bilden Prüfungshandlungen während einer Due-Diligence-Prüfung, die sicherstellen müssen, dass Datenschutzvorgaben eingehalten werden.

2. Asset Deal: Übertragung von Wirtschaftsgütern

  • Wesensmerkmal: Beim Asset Deal werden spezifische Vermögenswerte, wie z. B. Grundstücke, Maschinen, oder der Kundenstamm, auf den Erwerber übertragen.
  • Datenschutzaspekte:
    • Wechsel der Verantwortlichkeit: Die Verantwortlichkeit für personenbezogene Daten geht von der Veräußerin auf den Erwerber über.
    • Prüfung der Rechtsgrundlage:
      • Die Übermittlung personenbezogener Daten muss durch eine rechtliche Grundlage gemäß Art. 6 Abs. 1 DS-GVO gedeckt sein.
      • Relevante Rechtsgrundlagen könnten die Erfüllung eines Vertrages oder ein berechtigtes Interesse des Erwerbers sein, sofern dies sorgfältig abgewogen wird.
    • Informationspflichten: Betroffene müssen gemäß Art. 13 und 14 DS-GVO über den Übergang informiert werden.

3. Besondere Herausforderungen für Einzelunternehmen und Personengesellschaften

  • Einzelkaufleute und Handwerksbetriebe: Bei Betriebsübergaben ist die Einhaltung der DS-GVO oft komplexer, da personenbezogene Daten wie Kundendaten oder Lieferantendaten direkt vom Unternehmer verwaltet werden.
  • Rechtliche Anforderungen:
    • Die Übermittlung muss transparent und dokumentiert erfolgen.
    • Bei Kundendaten sind die Rechte der betroffenen Personen, etwa auf Widerspruch, zu wahren.

(Foto: Thares2020 – stock.adobe.com)

Letztes Update:30.11.24

Verwandte Produkte

Das könnte Sie auch interessieren

  • Haftung für KI

    KI haftet nicht? – Zurechnung von KI-Falschaussagen

    Ob Chatbot, KI-Übersicht oder halluzinierter Suchalgorithmus – drei Gerichtsentscheidungen in Deutschland ziehen eine klare Linie: Wer KI-Systeme im geschäftlichen Umfeld einsetzt, trägt die volle rechtliche Verantwortung für deren Ausgaben. Mit Urteil vom 12. Mai 2026 hat der 4. Zivilsenat des OLG Hamm entschieden, dass ein Unternehmen für irreführende Qualifikationsangaben seines KI-Chatbots wettbewerbsrechtlich haftet. Im konkreten

    Mehr erfahren
  • Tätigkeitsbericht des DSB

    Tätigkeitsbericht als Steuerungsinstrument für Datenschutzbeauftragte

    Die französische Datenschutzbehörde CNIL jüngst eine Empfehlung samt Mustervorlage für den Tätigkeitsbericht des Datenschutzbeauftragten veröffentlicht. Die Empfehlungen decken sich weitgehend mit der deutschen Praxis – mit einer bemerkenswerten Ausnahme. Obwohl weder DS-GVO noch BDSG einen Tätigkeitsbericht für betriebliche Datenschutzbeauftragte vorschreiben, empfiehlt die CNIL diesen als zentrale Best Practice. Das entspricht der gelebten Praxis auch im

    Mehr erfahren
  • Data Breach Management

    Praxisnahe Handreichung zum Datenpannenmanagement

    Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner