Die Rolle des Datenschutzes beim Unternehmenskauf (Due Diligence)

2019 wurde gegen die Hotelkette Marriott ein Bußgeld von fast 100 Mio. Pfund verhängt, da sich herausstellte, dass es erhebliche Sicherheitslücken in den IT-Systemen der 2016 aufgekauften Starwood-Hotels gab. Denn bei einem Unternehmenskauf werden auch die datenschutzrechtlichen Pflichten sowie die Haftung für begangene Verstöße (egal, ob in der Vergangenheit oder aktuell) übernommen. Das kann, wie dieses Beispiel zeigt, teuer werden, wenn der Datenschutz bei der Due Diligence, der sorgfältigen Prüfung des Übernahme- bzw. Investitionskandidaten vor Unternehmenstransaktionenzu wenig Beachtung gefunden hat. Gemäß Schiller heißt es daher beim Unternehmenskauf: Drum prüfe, wer sich ewig bindet! Was es im Einzelnen zu beachten gibt, erfahren Sie hier.

Wie wirkt sich geltendes Datenschutz-Recht auf die Due Diligence aus?

Der gesammelte Datenbestand aber auch das Datenschutz-Niveau spielen heute in der Bewertung eines Unternehmens eine immer größere Rolle. Der Kauf- oder Investitionspreis für Unternehmen ist inzwischen also auch von datenschutzrechtlichen Aspekten abhängig.

Bei Mergers & Acquisitions (M&A) kommt es fast immer zur Weitergabe von personenbezogen Daten, darum muss beachtet werden, was dieser Umstand für die jeweilige Form der Transaktion rechtlich bedeutet.  

• Bei einem Share Deal (Anteilsbeteiligung an einem Unternehmen) ist zwar die Rechtsgrundlage der weiteren Verarbeitung der Kund:innendaten weniger problematisch, der / die Erwerber:in muss aber für mögliche Datenschutzlücken des Target-Unternehmens einstehen. Bei Verschmelzungen von Unternehmen handelt es sich um eine Umstrukturierung nach dem Umwandlungsgesetz (UmwG) und die Übertragung der Rechte zur Datenverarbeitung erfolgt durch die sog. „Gesamtrechtsnachfolge“. Da sich der / die Verantwortliche im datenschutzrechtlichen Sinne ändert, sind die Betroffenen hierüber zu informieren.
• In sog. Asset Deals werden einzelne Vermögenswerte eines Unternehmens erworben und das können auch personenbezogene Daten (i.d.R. vor allem Kundendaten) sein. Wenn personenbezogene Kundendaten veräußert werden und es sich dabei nicht lediglich um Daten handelt, die zur Vertragsdurchführung oder zur werblichen Ansprache notwendig sind, so ist der Inhaberwechsel nur unter vorheriger Einwilligung des Kunden / der Kundin nach Information über die geplante Übermittlung unter Hinweis auf das Widerspruchsrecht möglich. Wird beim Deal nicht DSGVO-konform vorgegangen, kann das sogar zur Nichtigkeit des Kaufvertrags führen.
 

In gewisser Weise kann sich die DSGVOeinschränkend auf die Due Diligence auswirken, da personenbezogene Daten, die den potentielle:n Käufer oder den Investor interessieren könnten, natürlich auch dem Datenschutz unterliegen. Grundsätzlich ist die Weitergabe statistischer Daten der Weitergabe konkreter personenbezogener Daten vorzuziehen. Da das Schutzinteresse der Mitarbeiter:innen mit dem Käufer:inneninteresse an der Beurteilung des Unternehmenswertes abzuwägen ist, kann je nach Ergebnis nur eine Einwilligung der Mitarbeiter:innen die Datenweitergabe legitimieren. Da diese jedoch an hohen Kriterien gemessen werden und ebenso widerrufbar sind, stellen Einwilligungserklärungen nicht die sicherste Rechtsgrundlage dar.

Worauf sollte datenschutzrechtlich bei der Due Diligence geachtet werden?

Datenschutz-Aspekte sind Teil der Legal Due Diligence, aber auch in anderen Bereichen des Prüfungsprozesses gibt es – abhängig vom Schwerpunkt der jeweiligen Unternehmenstätigkeit – Anknüpfpunkte zum Datenschutz. Im Rahmen der Tech Due Diligence wird z.B. die Datensicherheit geprüft. Bei einem Target-Unternehmen aus dem E-Commerce sollte der Blick auf die Vollständigkeit der Datenschutzerklärung und notwendige Einwilligungserklärungen gelegt werden.

Um ein „eingekauftes“ Bußgeld zu vermeiden, ist einer der wichtigsten DSGVO-Faktoren der Due Diligence ein vollständiges Data Mapping, d.h. es muss dargestellt werden, welche personenbezogenen Daten wo, wie und mit welchem Verwendungszweck auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden. Dabei spielt das Verzeichnis von Verarbeitungstätigkeiten (VVT) des Target-Unternehmens eine wichtige Rolle.

Insbesondere folgende Fragen zum Datenschutz sollten im Rahmen der Due Diligence geklärt werden:

• Wurde mit dem Target-Unternehmen eine Vertraulichkeitsvereinbarung geschlossen?
• Verarbeitet das Target-Unternehmen personenbezogene Daten und handelt es sich dabei um keine besonders sensiblen personenbezogenen Daten nach Art. 9 DSGVO? (Denn für sog. besondere Kategorien von personenbezogenen Daten gilt ein noch höheres Schutzniveau.)
• Hält das Unternehmen die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO ein? (z.B. Transparenz, Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit)
• Liegt eine DSGVO-konforme Rechtsgrundlage für alle Datenverarbeitungen im Unternehmen vor? (Personenbezogene Daten, auf die dies nicht zutrifft, werden rechtswidrig verarbeitet und können auch nicht nachträglich legalisiert werden.)
• Kommt das Unternehmen allen Pflichten der DSGVO nach? (z.B. Führung eines Verarbeitungsverzeichnisses (VVT), Implementierung von technischen und organisatorischen Maßnahmen (TOM) zum Schutz von personenbezogen Daten, Abschluss von Auftragsverarbeitungsverträgen (AVV) mit allen Dienstleistern, die auf Weisung des Unternehmens personenbezogene Daten verarbeiten)

Da es sich bei Unternehmenstransaktionen um ein sehr komplexes Rechtsgebiet handelt, kommt der Datenschutz in der Due Diligence oft noch zu kurz. Ein gründlicher Prüfungsprozess bedarf ausreichend Zeit und durch das gestiegene Haftungsrisiko sollte auch das Bewusstsein dafür wachsen, dass Datenschutzaspekte hier nicht übergangen werden dürfen und sogar eine ausschlaggebende Rolle spielen können.

Phasen der Due Diligence und deren Datenschutz-Relevanz

Im Rahmen eines Unternehmenskaufs gliedert sich die Due Diligence typischerweise in mehrere Phasen. Jede bringt spezifische Herausforderungen im Hinblick auf den Datenschutz mit sich:

1. Vorbereitungsphase
   In dieser Phase werden relevante Unternehmensdaten gesammelt und aufbereitet. Bereits hier ist eine sorgfältige Auswahl erforderlich: Welche personenbezogenen Daten dürfen dem potenziellen Käufer überhaupt zugänglich gemacht werden? Es gilt der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 DSGVO.
   
   
2. Informationsbereitstellung / Dokumentenprüfung
   Der Zugriff auf vertrauliche Daten erfolgt häufig über virtuelle Datenräume. Der datenschutzkonforme Zugriff, etwa durch Zugangsbeschränkungen, Protokollierung und sichere Datenübertragung, ist hier essenziell. Auch Fragen zur Rechtsgrundlage der Datenverarbeitung müssen in dieser Phase geklärt sein – häufig basiert die Offenlegung auf dem berechtigten Interesse gemäß Art. 6 Abs. 1 DSGVO.
   
   
3. Analyse und Bewertung durch den Käufer
   Bei der Auswertung der bereitgestellten Informationen sollte geprüft werden, ob Risiken für die Rechte betroffener Personen bestehen. In bestimmten Fällen kann sogar eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein (Art. 35 DSGVO).
   
   
4. Post-Deal-Integration
   Nach dem Kauf sind neue Verantwortlichkeiten für personenbezogene Daten zu klären. Auch muss geprüft werden, ob bestehende Prozesse und Verzeichnisse von Verarbeitungstätigkeiten angepasst werden müssen.

Unternehmen, die diese Phasen strukturiert und DSGVO-konform durchlaufen, schaffen Rechtssicherheit und stärken das Vertrauen potenzieller Käufer. Umso wichtiger ist es in der Due Diligence, den Datenschutz als integralen Bestandteil des gesamten M&A-Prozesses zu verstehen. Im nächsten Schritt kommt es darauf an, Maßnahmen zu ergreifen und diese Anforderungen rechtssicher umzusetzen.

‍

Konkrete Maßnahmen für die datenschutzkonforme Durchführung einer Due Diligence

Wie lässt sich der Datenschutz in einer Due Diligence praktisch umsetzen? Gerade in der sensiblen Prüfphase eines Unternehmenskaufs besteht die Gefahr, personenbezogene Daten unzulässig offenzulegen oder zu verarbeiten. Um datenschutzrechtlichen Risiken wirksam zu begegnen, sind klare organisatorische und technische Maßnahmen erforderlich:

• Datenminimierung & Auswahl relevanter Dokumente: Nur solche Daten einbeziehen, die für die Transaktion unbedingt erforderlich sind.
• Anonymisierung oder Pseudonymisierung: Sensible personenbezogene Daten sollten – wo möglich – unkenntlich gemacht werden.
• Vertraulichkeitsvereinbarungen (NDAs): Mit allen Beteiligten (Berater, potenzielle Käufer etc.) sollten klare Vereinbarungen über die Vertraulichkeit der Daten getroffen werden.
• Einsatz sicherer virtueller Datenräume: Zugriff sollte beschränkt, verschlüsselt und protokolliert werden. Besonders sensible Daten können mit Wasserzeichen versehen werden.
• Dokumentation & Rechenschaftspflicht: Alle Entscheidungen zur Offenlegung personenbezogener Daten sollten dokumentiert werden – Stichwort Art. 5 Abs. 2 DSGVO.
• Datenschutz-Folgenabschätzung (DSFA): Bei umfangreichen Offenlegungen oder hohem Risiko für Betroffene sollte eine DSFA durchgeführt werden.

Die DSGVO-konforme Durchführung einer Due Diligence erfordert sorgfältige Vorbereitung, technische Sicherheitsvorkehrungen und eine klare Dokumentation. Unternehmen, die diese Maßnahmen frühzeitig einleiten, vermeiden nicht nur potenzielle Bußgelder, sondern präsentieren sich gegenüber Käufern als professionell und verantwortungsbewusst. So wird der Datenschutz von einem möglichen Risikofaktor zu einem echten Vertrauensvorteil in der Transaktion.

Praxis-Tipp: Data Mapping und VVT nicht vergessen

Viele Unternehmen unterschätzen, wie wichtig ein vollständiges und aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT) für den Datenschutz beim Unternehmenskauf ist. Es verschafft potenziellen Käufern einen strukturierten Überblick über die im Unternehmen durchgeführten Datenverarbeitungen und deren rechtliche Grundlagen.

Das VVT sollte unter anderem folgende Angaben enthalten:

• Kategorien betroffener Personen (z. B. Kunden, Beschäftigte, Lieferanten),
• Kategorien verarbeiteter personenbezogener Daten,
• Zwecke der Verarbeitung,
• Rechtsgrundlagen (z. B. Art. 6 Abs. 1 lit. b oder f DSGVO),
• Empfänger der Daten,
• Übermittlungen in Drittländer (sofern vorhanden),
• implementierte technische und organisatorische Maßnahmen (TOMs).

Als ergänzendes Instrument bietet sich ein sogenanntes Data Mapping an. Dabei handelt es sich um eine visuelle Darstellung der Datenflüsse innerhalb des Unternehmens. Data Mapping kann helfen, komplexe Verarbeitungsprozesse verständlich darzustellen, etwa im Hinblick auf Datenerhebungsquellen, Speicherorte, Schnittstellen zwischen Systemen und Abteilungen sowie externen Dienstleistern und Datenweitergaben.

Für die Käuferseite schafft ein gut gepflegtes VVT in Verbindung mit Data Mapping Transparenz und reduziert das Risiko datenschutzrechtlicher Überraschungen nach dem Deal. Gerade Käufer achten verstärkt auf Transparenz bei der Datenverarbeitung. Für Verkäufer ist es eine Chance, ihre Compliance und Organisationsqualität überzeugend darzustellen.

‍

Datenschutz-Verantwortlichkeiten bei der Due Diligence

Wer trägt eigentlich die Verantwortung dafür, dass personenbezogene Daten im Rahmen einer Due Diligence DSGVO-konform verarbeitet werden? Diese Frage stellt sich nicht nur in der Vorbereitung, sondern auch während der Prüfung und nach dem Unternehmensübergang. In der Praxis ist oft unklar, welche Rolle Käufer, Verkäufer und Datenschutzbeauftragte genau einnehmen. Eine saubere Abgrenzung der Verantwortlichkeiten ist entscheidend, um rechtliche Unsicherheiten und Haftungsrisiken zu vermeiden.

• Verkäufer: Bleibt in der Regel weiterhin Verantwortlicher im Sinne der DSGVO, solange das Unternehmen noch nicht übergegangen ist. Er muss sicherstellen, dass nur notwendige und zulässige Daten offengelegt werden.
  
  
• Käufer: Tritt zunächst als (potenzieller) Dritter auf. Eine eigenständige Verarbeitung ist nur erlaubt, wenn sie auf eine gesetzliche Grundlage gestützt werden kann – meist das berechtigte Interesse. Sobald der Unternehmenskauf vollzogen ist, wird der Käufer ggf. selbst zum Verantwortlichen.
  
  
• Datenschutzbeauftragte: Sollten frühzeitig in die Prüfung einbezogen werden, sowohl auf Käufer- als auch Verkäuferseite. Sie können bewerten, ob die Offenlegung rechtmäßig erfolgt und ob zusätzliche Schutzmaßnahmen notwendig sind.

Die Datenschutz-Verantwortung im Rahmen einer Due Diligence ist eine geteilte Aufgabe: Während der Verkäufer die rechtmäßige Bereitstellung der Daten sicherstellen muss, trägt der Käufer Verantwortung für den sorgfältigen Umgang mit erhaltenen Informationen. Die frühzeitige Einbindung des Datenschutzbeauftragten auf beiden Seiten hilft, Risiken zu erkennen, Verantwortlichkeiten sauber zu trennen und unnötige Verstöße zu vermeiden. Wer seine Rolle kennt und aktiv handelt, schafft Klarheit und schützt alle Beteiligten.

‍

Sonderfall im Datenschutz: Beschäftigtendaten beim Unternehmenskauf

Mitarbeiterdaten nehmen während der Due Diligence, in Verbindung mit Datenschutz, eine besondere Stellung ein. Sie enthalten besonders sensible Informationen und liegen in großer Zahl vor. Gerade bei geplanten Personalübernahmen oder Betriebsübergängen stellt sich die Frage, ob und in welchem Umfang diese Daten weitergegeben werden dürfen. Hier gelten besonders strenge Maßstäbe:

• Beschäftigtendaten sind besonders schützenswert: Diese dürfen nur offengelegt werden, wenn dies für die Beurteilung des Unternehmens zwingend notwendig ist. Eine pauschale Offenlegung ist unzulässig.
  
  
• Rechtsgrundlagen prüfen: Art. 6 Abs. 1 DSGVO (Berechtigtes Interesse) kann in bestimmten Fällen als Grundlage dienen oder alternativ Art. 88 DSGVO in Verbindung mit § 26 BDSG (Datenverarbeitung im Beschäftigungskontext).
  
  
• Pseudonymisierung dringend empfohlen: Wenn möglich, sollten Namen, Kontaktdaten oder Sozialdaten pseudonymisiert werden (z. B. durch Personalnummern).
  
  
• Beteiligung des Betriebsrats: Bei der Weitergabe von Daten im Rahmen einer Betriebsveräußerung ist ggf. der Betriebsrat einzubeziehen, insbesondere bei der Übermittlung von Mitarbeiterdaten.
  
  
• Informationspflichten: Die betroffenen Mitarbeitenden müssen in der Regel nach Art. 13 DSGVO über die Datenverarbeitung informiert werden, das gilt während der Due Diligence.

Der Umgang mit Beschäftigtendaten während eines Unternehmenskaufes und im Rahmen des Datenschutzes verlangt besondere Sorgfalt. Unternehmen müssen klare Grenzen kennen und einhalten – insbesondere was die Weitergabe, Pseudonymisierung und Information der Betroffenen betrifft. Wer hier vorschnell oder pauschal handelt, riskiert rechtliche Konsequenzen und interne Unruhe.

‍

Fazit: Datenschutz als Strategiefaktor in der Due Diligence 

Die Einhaltung der DSGVO wird zum zentralen Erfolgsfaktor bei Merger & Acquisitions Transaktionen. Wer personenbezogene Daten im Rahmen einer Due Diligence Datenschutz-konform verarbeitet, schützt nicht nur sich selbst vor Haftungsrisiken, sondern erhöht auch den Wert und die Attraktivität des eigenen Unternehmens.

Datenschutz verlangt Weitsicht, Präzision und Verantwortung – auf beiden Seiten der Transaktion. Käufer, die auf die DSGVO achten, treffen fundierte Entscheidungen. Datenschutzkonform vorbereitete Verkäufer überzeugen durch Professionalität. Wer den Datenschutz als integralen Bestandteil von Due Diligence begreift, schafft Vertrauen, vermeidet Risiken und handelt im Sinne einer nachhaltigen Unternehmensführung.