Das Thema Datenschutz wurde bei M&A-Transaktionen bisher eher als Randthematik behandelt. Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 änderte sich die Rechtslage gänzlich. Heute drohen ganz erhebliche Bußgelder bei Verstößen gegen das Datenschutzrecht. Hinzu kommt, dass immer häufiger die im Zielunternehmen vorhandenen (Kunden-)Daten echte Werttreiber darstellen. Dabei lassen sich diese personenbezogenen Daten nur unter bestimmten Voraussetzungen für den Käufer nutzbar machen.

Bereits zu Beginn einer Transaktion ist auf ihre Strukturierung aus datenschutzrechtlicher Sicht zu achten – vor allem dann, wenn die Nutzung der personenbezogenen Daten im Zielunternehmen für den Käufer von besonderer Bedeutung ist. Regelmäßig wird der Share Deal datenschutzrechtlich vorzugswürdig sein. Hier erwirbt der Käufer die Anteile des Zielunternehmens und somit das Unternehmen als Ganzes. Es findet „lediglich“ ein Wechsel auf Gesellschafterebene, jedoch keine Datenübermittlung auf der Ebene der Zielgesellschaft statt. Diese bleibt vielmehr Verantwortlicher im datenschutzrechtlichen Sinne.

Anders stellt sich dies beim Asset Deal dar. Hier übernimmt der Käufer einen Geschäftsbereich des Verkäufers im Wege der Einzelrechtsnachfolge. Jeder zu übertragende Vermögenswert muss gesondert im Kaufvertrag erfasst und übertragen werden. Besteht dieser Wert in personenbezogenen Daten, stellt dies eine rechtfertigungsbedürftige Datenverarbeitung dar. Sie muss also gesetzlich erlaubt sein. Allgemein ist die Übertragung von Kundendaten aus laufenden Vertragsbeziehungen einfacher darzustellen als die Übertragung solcher Daten aus bereits beendeten Verträgen (Kundenstamm). Bei letzterer ist eine Datenübertragung nur dann erlaubt, wenn ein hinreichend berechtigtes Interesse des Käufers gegeben ist oder die Betroffenen dieser zugestimmt haben. In der Transaktionspraxis gilt es, die Übertragung der Daten zur Absicherung ihrer Nutzbarkeit durch den Käufer und zur Vermeidung von Bußgeldern rechtssicher zu gestalten.

Bei der Due Diligence kommt dem Datenschutz eine Doppelrolle zu. Zum einen ist sicherzustellen, auf welcher Rechtsgrundlage und in welchem Umfang Mitarbeiter- und Kundendaten ‒ im Datenraum ‒ gegenüber dem Kaufinteressenten offengelegt werden dürfen. Bereits das Bereitstellen von personenbezogenen Daten stellt eine Datenverarbeitung im Sinne der DSGVO dar und bedarf einer gesetzlichen Rechtsgrundlage. Zum anderen ist der Käufer gut beraten, im Rahmen der Due Diligence auch datenschutzrechtlich relevante Sachverhalte verstärkt zu prüfen. Denn von diesen geht aufgrund der strengen Regeln der DSGVO ein erhöhtes Risiko aus. In der Praxis wird eine umfassende datenschutzrechtliche Überprüfung der Zielgesellschaft oftmals nicht gewünscht sein. Jedoch sollten für eine Beurteilung der individuellen Risiken die wesentlichen Dokumente unbedingt angefordert und überprüft werden. Dies gilt umso mehr, wenn die Kundendaten aus Sicht des Käufers einen erheblichen wertbildenden Faktor darstellen.