Kundendaten bei M&A-Transaktionen – Datenschutz als Dealbreaker?

Unternehmenstransaktionen – sei es ein klassischer Firmenverkauf oder eine Umstrukturierung – gehen nahezu immer mit der Übertragung großer Datenmengen einher. Besonders im Technologiesektor sind Kundendaten oft ein wesentlicher Bestandteil des Unternehmenswerts. Doch genau diese Daten sind datenschutzrechtlich hochsensibel und werfen viele Fragen auf: Wann ist eine Übertragung rechtlich zulässig? Welche Unterschiede gibt es je nach Transaktionsstruktur? Und wie lassen sich Risiken minimieren?

Datenschutz bei Unternehmenstransaktionen – Rechtlicher Rahmen und DSGVO-Vorgaben

Nach der DSGVO gilt das Prinzip: Verarbeitung personenbezogener Daten ist grundsätzlich verboten – es sei denn, es gibt eine ausdrückliche Erlaubnis (Art. 6 Abs. 1 DSGVO). Das betrifft insbesondere die Übertragung von Kundendaten bei M&A-Transaktionen.

Wie streng die Anforderungen sind, hängt maßgeblich von der Struktur der Transaktion ab – insbesondere davon, ob es sich um einen Share Deal oder einen Asset Deal handelt.

Share Deal oder Asset Deal: Zwei Transaktionstypen – zwei Datenschutzwelten

1. Share Deal und Datenschutz: Darf man bei einem Share Deal Kundendaten weiterverwenden?

   Bei einem Share Deal bleibt das Zielunternehmen als juristische Person bestehen. Die Anteile wechseln den Eigentümer, aber die Gesellschaft selbst – und damit der datenschutzrechtlich Verantwortliche – bleibt gleich. Eine Datenübertragung liegt rechtlich nicht vor.

   Kritisch wird es allerdings, wenn die Integration in den Konzern der Käuferin erfolgt. Denn ein “Konzernprivileg” kennt die DSGVO nicht – jede konzerninterne Datenweitergabe bedarf einer gesonderten Rechtsgrundlage.

2. Asset Deal – der datenschutzrechtliche Sonderfall

   Hier wird es komplex: Beim Asset Deal werden einzelne Vermögenswerte, darunter Kundendaten, isoliert übertragen. Das bedeutet: Die Daten wechseln den Verantwortlichen – eine klassische Datenübermittlung, die einer Rechtsgrundlage bedarf.

Kundendaten im Asset Deal – was ist erlaubt?

Da beim Asset Deal eine Übertragung an ein neues Unternehmen erfolgt, stellt sich die Frage: Wann ist diese Übertragung rechtlich zulässig?

1. Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO)

   In der Theorie wäre die Einholung einer Einwilligung die sauberste Lösung – in der Praxis aber kaum umsetzbar. Bei großen Kundendatenbanken ist mit geringen Rücklaufquoten zu rechnen. Zudem reicht eine alte Einwilligung meist nicht aus, weil sie sich auf den ursprünglichen Vertragspartner bezog – nicht auf den Käufer.

   Ein Versuch, die Einwilligung bereits bei Vertragsschluss in der Datenschutzerklärung einzuholen, scheitert oft an der fehlenden Bestimmtheit: Zukünftige Transaktionen lassen sich nur schwer präzise und verständlich genug im Vorhinein beschreiben.

2. Alternativen zur Einwilligung: DSGVO-konforme Wege zur Datenübertragung

   1. Laufende Verträge:
      Bei aktiven Geschäftsbeziehungen ist die Zustimmung des Kunden erforderlich. Die DSGVO-konforme Übertragung wird hier als Teil der Vertragsübernahme gewertet. Keine Zustimmung – keine Datenübertragung.
   2. Forderungsabtretung:
      Offene Forderungen dürfen übertragen werden, wenn die Daten zur Geltendmachung erforderlich sind. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
   3. Altverträge (älter als 3 Jahre):
      Diese dürfen ausschließlich zur Erfüllung gesetzlicher Aufbewahrungspflichten verarbeitet und übertragen werden – z. B. für steuerliche Nachweise (Art. 6 Abs. 1 lit. c DSGVO).
   4. Bestandskunden – die „Widerspruchslösung“:
      Für Kundenbeziehungen der letzten drei Jahre ist eine pragmatische Lösung möglich:
   • Kunden werden über die geplante Übertragung informiert.
   • Sie erhalten eine Widerspruchsfrist (z. B. 3–6 Wochen).
   • Wer nicht widerspricht, gilt als einverstanden.

   Diese Lösung ist praktikabel – aber mit Risiken behaftet. Transaktionen müssen ggf. zeitlich verschoben werden, bis die Frist abgelaufen ist. Zudem bleibt unklar, wie hoch die Widerspruchsquote sein wird – ein Unsicherheitsfaktor für den Käufer.

Praxis-Tipps für datenschutzkonforme M&A-Transaktionen

• Transaktion frühzeitig datenschutzrechtlich begleiten lassen: Datenschutzfragen können Deal-Strukturen entscheidend beeinflussen.
• Share Deal bevorzugen, wenn sensible Daten übertragen werden sollen – rechtlich einfacher und risikoärmer.
• Bei Asset Deals: Kundenstruktur analysieren. Besonders bei aktiven Verträgen ist eine Einwilligung oder Zustimmung notwendig.
• Widerspruchslösung richtig umsetzen: Informationspflichten einhalten, Fristen sauber dokumentieren, Reaktionen systematisch erfassen.
• Vertraglich absichern: Wettbewerbsverbote, Löschpflichten und Informationspflichten klar regeln.

Fazit: Datenschutz als Dealbreaker bei Unternehmensverkäufen vermeiden

Der Umgang mit Kundendaten bei Unternehmenstransaktionen ist kein Nebenthema – sondern ein zentraler Deal-Faktor. Besonders bei Asset Deals müssen datenschutzrechtliche Hürden sorgfältig geprüft und in der Transaktionsstruktur berücksichtigt werden. Ohne valide Rechtsgrundlage drohen nicht nur Bußgelder, sondern auch massive Risiken für den wirtschaftlichen Erfolg des Deals. Wer frühzeitig auf saubere Strukturen und rechtliche Begleitung setzt, kann diese Hürden sicher meistern.

Hinweis: Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Für komplexe M&A-Vorhaben empfiehlt sich eine datenschutzrechtliche Prüfung im Einzelfall.

Sie planen eine M&A-Transaktion und wollen datenschutzrechtlich auf der sicheren Seite sein? Sprechen Sie uns an – wir begleiten Sie mit fundierter Expertise durch alle rechtlichen Fallstricke.