Der Datenschutz und seine rechtlichen Risiken machen auch bei höchst komplexen Themen im Bereich M&A nicht halt. Je nach Art der Transaktion werden die sonst sicher verwahrten, vertraulichen Daten eines Unternehmens mit Dritten geteilt und schaffen dabei große Risikoherde für deren Sicherheit und Rechtskonformität.

Im Rahmen der Due Diligence teilt der Veräußerer vertrauliche Informationen der eigenen Kunden in einem sogenannten „data room“ mit potenziellen Erwerbern. Wenn es sich hierbei um solche Daten handelt, die zu einer Identifizierung der betroffenen Person führen oder ebendiese ermöglichen, so greift der umfassende Schutz der europäischen Datenschutz-Grundverordnung ein. Diese sieht vor, dass jedwede Verarbeitung von Daten wie diese Offenlegung unter das grundsätzliche Verarbeitungsverbot fällt.  Die DSGVO kennt jedoch einen Erlaubnisvorbehalt im Art. 6, durch den ausnahmsweise eine Verarbeitung legitimiert werden kann. Die naheliegendste Rechtsgrundlage stellt die Einwilligung der betroffenen Person dar. Bei großen Kundenstämmen kann dies jedoch schnell zu unverhältnismäßigem Aufwand führen. Dieses Problem kann eine Anonymisierung der Daten lösen, denn diese schließt den Datenschutz aus. Beispielsweise können statistische Erhebungen von Nutzerverhalten ohne Personenbezug keine Identifikation hervorrufen und sind somit vom Datenschutz frei. Dieser Schritt ist bei allen Formen von Transaktionen gleich und führt zu keinen Unterschieden.

Während beim Share Deal lediglich die einzelnen Geschäftsanteile veräußert werden, bleibt der Unternehmensträger ohne Veränderung erhalten und etwaige vetrauliche Kunden- oder Unternehmensdaten bleiben ebendiesem zugeordnet. Der nach Art. 4 Nr.7 DSGVO Verantwortliche ist nach dem Deal weiterhin die identische (juristische) Person, weshalb hier kein gesteigertes datenschutzrechtliches Verfahren erforderlich ist als das oben genannte.

Beim Asset Deal wiederum stellen sich spannendere Probleme. Hierbei wird jedes einzelne Wirtschaftsgut des Unternehmens im Rahmen einer Einzelrechtsnachfolge an den Erwerber übereignet und stellt damit eine rechtfertigungspflichtige Verarbeitung dar. Auch hier ist eine Einwilligung jedes Betroffenen unter der Berücksichtigung der zeitlichen und wirtschaftlichen Umstände nicht lohnenswert. Abhilfe kann hierbei durch dreiseitigen Vertrag zwischen Veräußerer, Erwerber und Kunden geschaffen werden, welcher nach Art. 6 I 1 lit. b DSGVO eine Verarbeitung rechtfertigt. Eine weitere mögliche und zweifelsohne praktikablere Hintertüre stellt die Interessenabwägung aus Art. 6 I 1 lit. f der Verordnung dar. Im Rahmen dieser Abwägung ist zu berücksichtigen, dass der Dritte auf einem ebenso vertraulichem Niveau die Daten bewahrt und den Geschäftsbetrieb fortführt wie bisher. Dies dürfte auch im Interesse des Betroffenen liegen, der aber im Zweifelsfalle immer ein unabdingbares und schützendes Widerspruchsrecht nach Art. 21 DSGVO inne hat.