I. Allgemeine datenschutzrechtliche Vorgaben nach der DSGVO

Ganz überwiegend enthält die DSGVO (Datenschutzgrundverordnung) als in Deutschland unmittelbar geltendes EU-Recht die relevanten datenschutzrechtlichen Vorgaben. Teilweise bestehen dabei aber nationale Öffnungsklauseln, wie etwa in Art. 88 DSGVO für spezielle Vorschriften im Zusammenhang mit den personenbezogenen Daten von Beschäftigten, beispielsweise § 26 BDSG.
Gemäß Art. 6 Abs. 1 DSGVO muss jeder Verarbeitung personenbezogener Daten ein Erlaubnistatbestand zugrunde liegen, um rechtmäßig zu sein. Dabei ist der Begriff der personenbezogenen Daten weit zu verstehen und umfasst nach Art. 4 Nr. 1 DSGVO grundsätzlich alle Informationen, die sich auf eine – zumindest identifizierbare – natürliche Person beziehen. Insofern kommen die Vorschriften der DSGVO nicht zur Anwendung, wenn der Personenbezug durch eine Anonymisierung aufgehoben wird. Dies kann etwa durch das Schwärzen der betroffenen Dokumente erfolgen. Dabei ist zu berücksichtigen, dass das bloße Pseudonymisieren der Daten nicht ausreichend ist. Um ein bloßes Pseudonymisieren handelt es sich, wenn der Personenbezug durch die Zuhilfenahme weiterer Unterlagen wieder hergestellt werden kann.
Eine Verarbeitung gemäß Art. 4 Nr. 2 DSGVO liegt grundsätzlich immer bei einem Vorgang vor, der im Zusammenhang mit personenbezogenen Daten steht – wie etwa das Erheben, Erfassen oder Speichern von solchen Daten. Insofern fällt es leicht, sich vorzustellen, dass eine Datenverarbeitung im Sinne der DSGVO in vielen Situationen gegeben ist. Als Korrektiv sieht die DSGVO in Art. 6 Abs. 1 relativ weitgehende Erlaubnistatbestände vor. Typischer Erlaubnistatbestand ist die Einwilligung (das Akzeptieren der Cookies im obigen Beispiel).
Eine solche Art der Rechtfertigung dürfte im Rahmen eines Asset Deals oder der Due Diligence in Bezug auf personenbezogene Daten (z.B. von Arbeitnehmern) regelmäßig ausscheiden. Sei es, weil über die geplante Transaktion noch Stillschweigen zu bewahren ist und die (umfassende) Einholung von Einwilligungen dem entgegenstünde oder weil pauschale Einwilligungen in AGB oder Arbeitsverträgen nicht mit den Voraussetzungen an eine Einwilligung nach der DSGVO kompatibel und damit unwirksam sein dürften, sodass grundsätzlich andere Rechtfertigungsgründe vorliegen müssen.
Die eben angesprochene Verarbeitung erfolgt dabei stets durch einen oder mehrere Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Verantwortlicher ist regelmäßig diejenige juristische oder natürliche Person die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Diese ist Adressat der zu beachtenden Vorschriften.

II. Möglichkeiten und Rechtfertigung bei der Due Diligence

Bei einer Due Diligence müssen Käufer und Verkäufer zunächst prüfen, in welcher (datenschutzrechtlichen) Beziehung sie stehen. Oftmals wird es sich bei beiden um sog. gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO handeln. Dies ist immer dann der Fall, wenn mindestens zwei datenschutzrechtlich Verantwortliche gemeinsam über Zweck und Mittel einer Datenverarbeitung entscheiden. Dabei stellt bereits die Übermittlung der Daten im Rahmen der Due Diligence einen datenschutzrechtlichen Verarbeitungsvorgang dar. Folge einer solchen Gemeinsamkeit ist einerseits, dass die gemeinsamen Verantwortlichen hierüber eine schriftliche Vereinbarung treffen müssen, in der insbesondere die Transparenz der Verarbeitung gegenüber den betroffenen Personen zu regeln ist. Eine solche Vereinbarung dürfte zusammen mit dem der Due Diligence regelmäßig vorangehenden Letter of Intent abgeschlossen werden können. Anderseits haften gemeinsame Verantwortliche als Gesamtschuldner für Schäden, die aus einer rechtswidrigen Datenverarbeitung resultieren.
Rechtfertigungstatbestand für die Verarbeitung personenbezogener Daten bei einer Due Diligence dürfte oftmals die Wahrung der berechtigten Interessen der Verantwortlichen (Art. 6 Abs. 1 UA 1 lit. f DSGVO) sein. Allerdings ist hier im Einzelfall zu analysieren, welche Daten tatsächlich erforderlich sind und welche Daten nur in anonymisierter Form zur Verfügung gestellt werden dürfen. Dabei darf der Aufwand, den eine solche Anonymisierung erfordert, nicht unterschätzt werden.
Ob die von der Datenverarbeitung betroffenen Personen im Rahmen einer Due Diligence über die Datenverarbeitung und die gemeinsame Verantwortlichkeit zu informieren sind, so wie es die DSGVO grundsätzlich vorsieht, ist nicht geklärt; teilweise wird aber vertreten, dass hierauf verzichtet werden könne.

III. Der Umgang mit personenbezogenen Daten nach Vollzug des Asset Deals

Regelmäßig erfolgt die Veräußerung eines Unternehmens entweder im Wege des Asset Deals (Veräußerung sämtlicher Vermögenswerte und Wirtschaftsgüter) oder des Share Deals (Veräußerung der Anteile eines Unternehmens). Die nachfolgend angesprochenen Themen betreffen in dieser Form lediglich den Asset Deal, da bei einem Share Deal der datenschutzrechtlich Verantwortliche derselbe bleibt.
Im Hinblick auf den Umgang mit personenbezogenen Daten nach dem Vollzug eines Asset Deals ist insbesondere zwischen zwei typischerweise betroffenen Personenkreisen zu unterscheiden.
Betroffene eines Asset Deals sind zunächst die Beschäftigten des veräußerten Unternehmens. Der Asset Deal stellt meist einen Betriebsübergang im Sinne des § 613a BGB dar, bei dem der Erwerber grundsätzlich in die Pflichten des Veräußerers als Arbeitgeber eintritt. In diesem Zusammenhang dürfte eine Übernahme der Beschäftigtendaten erforderlich sein. Der Betriebsübergang als solcher stellt aber noch keine datenschutzrechtliche Rechtfertigung für die Übernahme der personenbezogenen Daten dar. Vielmehr kann sich ein Erlaubnistatbestand entweder aus einer Einwilligung oder einer Betriebsvereinbarung nach § 26 Abs. 2 BDSG ergeben. Sollte weder eine Einwilligung noch eine Betriebsvereinbarung vorliegen, kann die Weitergabe der personenbezogenen Daten auch gemäß § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 UA 1 lit. f DSGVO gerechtfertigt sein, weil die Datenverarbeitung erforderlich ist. Um zu prüfen, ob die Datenverarbeitung erforderlich ist, sind stets die Belange der betroffenen Personen mit denen der verarbeitenden Person abzuwägen.
Neben den Arbeitnehmerdaten geht es regelmäßig auch um die Kundendaten des Veräußerers – nicht selten dürften diese einer der Hauptanreize für die Transaktion sein.
Bei Kundendaten wird datenschutzrechtlich gemeinhin zwischen den Daten von Kunden mit laufenden Verträgen und Daten von Alt- oder Bestandskunden unterschieden. Dabei dürfte die Weitergabe von Kundendaten grundsätzlich gem. Art. 6 Abs. 1 UA 1 lit. b DSGVO zur Vertragserfüllung gerechtfertigt sein, wenn es sich um Kunden handelt, mit denen nicht beendete Dauerschuldverhältnisse bestehen.
Im Übrigen fällt eine Rechtfertigung schwerer. Daten von Altkunden – also solchen, bei denen die letzte „aktive“ Vertragsbeziehung 3 oder mehr Jahre zurückliegt, sollen grundsätzlich nur zur Einhaltung gesetzlicher Aufbewahrungsfristen weitergegeben werden dürfen. Bei Bestandskunden, deren letzte Vertragsbeziehung weniger als 3 Jahre zurückliegt, solle die Weitergabe gemäß Art. 6 Abs. 1 UA 1 lit. f DSGVO zulässig sein, wenn vorab an die jeweiligen Kunden eine Mitteilung erfolgt und diesen die Möglichkeit zum Widerspruch innerhalb einer angemessenen Zeit – dabei dürften 6 Wochen grundsätzlich angemessen sein – eingeräumt wird.
Zum Teil wird auch vertreten, dass, wenn das „gesamte“ Geschäft verkauft werde, eine solche Widerspruchsmöglichkeit nicht erforderlich sei.
Welche Marschrichtung allerdings die Gerichte im Hinblick auf die datenschutzrechtlichen Regelungen bei einem Asset Deal einschlagen werden, ist derzeit noch offen, sodass im Zweifel besser eine Einwilligung oder Widerspruchsmöglichkeit zu viel, als eine zu wenig angeboten werden sollte.

IV. Konsequenzen bei Verstößen

Die erfolgreiche Geltendmachung eines Schadensersatzanspruches von betroffenen Personen, deren Daten rechtswidrig verarbeitet worden sind, dürfte oftmals nur schwer gelingen, da der grundsätzlich dem Geschädigten obliegende Nachweis eines Schadens nur sehr schwer zu erbringen sein dürfte. Dass es sich bei den datenschutzrechtlichen Bestimmungen im Rahmen von Transaktionsgeschäften dennoch nicht um stumpfe Schwerter handelt, zeigt sich daran, dass die jeweiligen Aufsichtsbehörden von den Möglichkeiten Bußgelder bei Verstößen zu verhängen, durchaus Gebrauch machen. Deutlich zeigt sich dies an dem Beispiel des bayrischen Landesdatenschutzamtes, das im Zusammenhang mit einem Asset Deal – allerdings noch vor Geltung der DSGVO – ein Bußgeld in 5-stelliger Höhe sowohl gegen den Veräußerer als auch den Erwerber verhängte, weil bei der Veräußerung eines Online-Shops E-Mail-Adressen von Kunden nicht datenschutzrechtkonform übertragen wurden.

V. Fazit

Das Thema Datenschutz ist auch im Transaktionsgeschäft präsent und wie die verhängten Bußgelder zeigen, auch höchst relevant und brisant.
Dabei fehlt es allerdings hinsichtlich des Umgangs mit diesen Regelungen bei Unternehmenstransaktionen noch an klaren Leitlinien. Insofern dürfte es stets auf den Einzelfall ankommen und genau zu untersuchen sein, welche personenbezogenen Daten in welchem Umfang und auf welche Art und Weise verarbeitet werden dürfen, um keinem übermäßigen Haftungsrisiko ausgesetzt zu sein.