Due Diligence und Unternehmenskäufe stellen sich für die betroffenen Unternehmen als äußert komplex dar. Dies gilt bei näherer Betrachtung auch für das Thema Datenschutz und insbesondere für die Frage, in welchem Umfang hierbei Personal- und Kundendaten zwischen Veräußerer und Interessent bzw. Käufer übermittelt werden dürfen.

1.  Datenübermittlung während der Due Diligence Phase

Während der Due Diligence Phase hat der Interessent zwar das Interesse, möglichst viel von dem zu erwerbenden Unternehmen zu erfahren, um den Kaufpreis und die mit einem Kauf verbundenen Risiken einschätzen zu können. Ob dieses Interesse des potentiellen Käufers auch das berechtigte Interesse des Veräußerers gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO legitimiert, personenbezogene Daten an den Interessenten zu übermitteln, ist jedoch eher kritisch zu bewerten. Zum einen stehen zumindest der Übermittlung von Personaldaten nicht unerhebliche Persönlichkeitsrechte der betroffenen Mitarbeiter entgegen, zum anderen scheint die Übermittlung von Personaldaten bei näherer Betrachtung noch nicht einmal in pseudonymisierter Form erforderlich zu sein.

Da sich das Interesse des potentiellen Käufers in aller Regel darauf beschränkt, auf Abteilungs- oder Teamebene die jeweiligen Personalkosten, die Altersstruktur sowie die durchschnittliche Betriebszugehörigkeit zu erfahren, ist es aus datenschutzrechtlicher Sicht ausreichend, wenn das Gehalt, das Alter oder die Betriebszugehörigkeit nicht personenbezogen oder pseudonymisiert übermittelt werden, sondern nur in aggregierter Form. Die Gruppe, deren Daten aggregiert übermittelt werden, sollte aus mindestens 5 Personen bestehen. Abteilungen oder Teams, die aus weniger als Personen bestehen, sollten zu Gruppen mit mindestens 5 Mitarbeitern zusammengefasst werden.

Eine Ausnahme können im begründeten Einzelfall die Personaldaten von Geschäftsführern, Prokuristen und leitenden Angestellten bilden, sofern deren Kenntnis bereits in der Due Diligence Phase von entscheidender Bedeutung und damit erforderlich ist. Berechtigte Interesse des Veräußerers überwiegen in diesem Fall die Persönlichkeitsrechte der betroffenen Geschäftsführer, Prokuristen und leitenden Angestellten.

Wie sieht es für Kundendaten aus? Sofern es sich um Business-Kunden handelt, dürfen die mit Kunden getätigten Umsätze und andere verkaufsrelevante Daten auch ohne entsprechende Aggregierung übermittelt werden, da es sich im Wesentlichen um Daten von juristischen Personen handelt. Handelt es sich dagegen um Kleinstunternehmen, die hauptsächlich nur aus einer Person bestehen, oder um Endverbraucher, so dürfen die Kundendaten nur aggregiert übermittelt werden, da die Persönlichkeitsrechte der Kleinstunternehmer bzw. Endverbraucher höher einzustufen sind als die berechtigten Interessen des Veräußerers an der Datenübermittlung.

2.  Datenübermittlung nach Kaufentscheidung

Ist nach Abschluss der Due Diligence Phase die Kaufentscheidung gefallen, dürfen sowohl Personaldaten als auch Kundendaten grundsätzlich auch in nicht aggregierter Form − d.h. personenbezogen – an den Käufer übermittelt werden, um den Unternehmenskauf konkret abzuwickeln. Dies gilt insbesondere bei einer vollständigen Veräußerung von Gesellschaftsanteilen (Share Deal), da der neue Eigentümer als Rechtsnachfolger des Alteigentümers in alle Rechte und Pflichten des bisherigen Besitzers eintritt und es sich somit um keine Datenübermittlung handelt.

Werden lediglich einzelne Wirtschaftsgüter wie Grundstücke, Maschinen oder Patente veräußert (Asset Deal), muss allerdings im Einzelfall entschieden werden, ob im Rahmen eines Asset Deals Personal- oder Kundendaten übermittelt werden dürfen. Entscheidendes Kriterium ist hierbei wiederum die Erforderlichkeit und Verhältnismäßigkeit.

Erfolgt im Rahmen des Kaufs einzelner Wirtschaftsgüter ein Betriebsübergang und werden hierbei Mitarbeiter des Altunternehmens übernommen, dürfen deren Personaldaten selbstverständlich übermittelt werden. Die betroffenen Mitarbeiter müssen gemäß § 613a BGB über den Betriebsübergang rechtzeitig informiert werden und können bzgl. ihrer Weiterbeschäftigung ein Widerspruchsrecht wahrnehmen.

Ähnliches gilt für die Übermittlung von vollständigen Kundendaten bei einem Asset Deal: Zwar findet formell ein Wechsel der Vertragsparteien statt, zu dem der Kunde seine zivilrechtliche Zustimmung erteilen muss. Allerdings ergeben sich datenschutzrechtliche Einschränkungen wiederum nur für Kleinstunternehmer oder Endverbraucherkunden. Aber auch für Endverbraucher und Kleinstunternehmer ist nach Auffassung der Datenschutz-Aufsichtsbehörden eine Widerspruchslösung ausreichend, sofern ein laufendes Vertragsverhältnis besteht bzw. dieses nicht länger als drei Jahre zurückliegt (vgl. Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24.5.2019: Asset Deal – Katalog von Fallgruppen.).