Due Diligence beim Unternehmensverkauf: Datenschutzrechtliche Anforderungen
Die liechtensteinische Datenschutzstelle hat Leitlinien zur datenschutzkonformen Durchführung von Due Diligence-Prüfungen bei Unternehmensverkäufen veröffentlicht. Im Spannungsfeld zwischen dem Transparenzinteresse von Käufer und Verkäufer sowie den Schutzinteressen betroffener Personen bedarf es einer sorgfältigen Abwägung.
Datenminimierung als Leitmaxime
Zentrale Anforderung ist die Beachtung des Grundsatzes der Datenminimierung und Verhältnismäßigkeit nach Art. 5 Abs. 1 lit. c DS-GVO. Die Offenlegung personenbezogener Daten darf nur erfolgen, soweit sie für die Due Diligence-Zwecke unerlässlich und verhältnismäßig ist. Die Datenschutzstelle formuliert eine klare Faustregel: Reduzieren, Aggregieren, Anonymisieren. Wo immer möglich, sollten Daten anonymisiert oder zumindest aggregiert werden. Statistische Durchschnittswerte – etwa zum Durchschnittsalter, zur Betriebszugehörigkeit oder Lohnstruktur – genügen häufig zur Unternehmensbewertung. Detaillierte Einzelangaben zu Mitarbeitenden sind regelmäßig nur für das oberste Management erforderlich.
Rechtsgrundlage und Interessenabwägung
Als Rechtsgrundlage kommt typischerweise das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Zwingend erforderlich ist jedoch eine sorgfältige Interessenabwägung im konkreten Einzelfall. Nur wenn die Datenverarbeitung zur Wahrung des berechtigten Interesses erforderlich ist und die schutzwürdigen Interessen der Betroffenen nicht überwiegen, darf diese Rechtsgrundlage herangezogen werden. Fällt die Abwägung negativ aus, müssen Daten anonymisiert, pseudonymisiert oder eine Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO eingeholt werden. Pseudonymisierung kann Risiken reduzieren und die Interessenabwägung erleichtern, wobei pseudonymisierte Daten weiterhin personenbezogen bleiben und der DS-GVO vollumfänglich unterliegen.
Share Deal vs. Asset Deal
Datenschutzrechtlich entscheidend ist die Transaktionsstruktur: Bei einem Share Deal bleibt der Verantwortliche unverändert, sodass zunächst keine Anpassung der Datenschutzdokumentation erforderlich ist. Bei einem Asset Deal hingegen wechselt die Verantwortlichkeit. Hier müssen Rechtsgrundlagen und Transparenzpflichten sorgfältig geprüft werden. Besonders beim Kundenstammtransfer ist vorab eine Information und Zustimmung der Betroffenen oder zumindest ein aktives Opt-out-Recht erforderlich. Der neue Verantwortliche muss anschließend gemäß Art. 13 und 14 DS-GVO informieren.
Bei grenzüberschreitenden Sachverhalten sind zusätzlich die Regelungen zum internationalen Datentransfer nach Kapitel V DS-GVO zu beachten.
(Foto: nabila – stock.adobe.com)
Letztes Update:08.02.26
Das könnte Sie auch interessieren
-
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren

