Die Übertragung von Unternehmen oder Unternehmensteilen bedarf auf Seiten des Verkäufers (wie wir auch in unseren News bereits erörtert haben) eine Prüfung inwieweit eine Übertragung von personenbezogene Daten und anderen Daten datenschutzrechtlich möglich ist. Innerhalb eines Sharedeals ist eine Übertragung nicht so aufwendig und in der Regel problemloser möglich, anders bei einem Asset Deal.

Aber auch der Übernehmer bzw. Käufer sollte sich hinsichtlich der Übertragung der Daten absichern. Es empfiehlt sich im Rahmen einer i.d.R. durchzuführenden Due Diligence in einen M&A Prozess auch die Betrachtung der vorliegenden und zu übertragenden Daten mit einzubeziehen. Ähnlich wie bei den steuerrechtlichen Gegebenheiten könnte eine Haftung für die Verarbeitung von personenbezogenen Daten, sofern diese in der Vergangenheit nicht datenschutzkonform erfolgte, bei einem Sharedeal auf den Übernehmer übergehen.

Daher ist zu empfehlen, dass der Übernehmer im Rahmen der Prüfung vor einer Übernahme sich durch den Verkäufer nachweisen lässt, dass die bisherige Verarbeitung datenschutzkonform erfolgte. Dazu gehört unter anderem auch, dass entsprechende Informationspflichten gemäß Art. 12 ff. DSGVO erbracht, Löschungspflichten eingehalten wurden und auch Betroffenenrechte gemäß der Art. 15 ff. DSGVO in der Vergangenheit Beachtung gefunden haben. Auch sollte der Übernehmer die Dokumentation der sogenannten Datenpanne prüfen und inwieweit hier entsprechende Meldungen gegenüber den Datenschutzbehörden vorgenommen wurden bzw. wenn dies nicht erfolgt ist, sich die Argumentationskette dahingehend anschauen. Schließlich wird es auch unabdingbar sein sich vom Verkäufer das Verzeichnis der Verarbeitungstätigkeiten vorlegen zu lassen, um die entsprechenden Verarbeitungstätigkeiten innerhalb des zu übernehmenden Unternehmens besser kennen zu lernen und gegebenenfalls zugleich potentielle Gefahrenquellen zu identifizieren.

Etwaige laufende Beschwerdeverfahren hinsichtlich eines potentiellen Datenschutzverstoßes könnten nach der Übertragung auf den Übernehmer zurückfallen. Um diese und weitere Gefahren hinsichtlich eines Einschreitens einer Datenschutzbehörde begegnen bzw. diese Gefahren auch bei der Kaufpreisfindung berücksichtigen zu können, sollten die datenschutzrechtlichen Gegebenheiten genauestens geprüft werden.

Unabhängig von der Betrachtung inwieweit eine Übertragung von personenbezogene Daten möglich ist, ist bei einem Asset Deal, also wenn der Rechtsträger wechselt und somit ein neuer Verantwortlicher in die Verarbeitung eintritt zugleich zu bedenken, dass der Wechsel der Verantwortlichkeit den jeweiligen Betroffenen mitzuteilen ist. Hier sollte nach Abschluss des M&A Prozesses und Aufnahme der Verarbeitung ein neuer Informationhinweis gemäß Art. 14 DSGVO (da im Rahmen des Verkaufsprozesses die zu verarbeitenden Daten aus einer dritten Quelle stammen, nämlich vom Verkäufer und nicht direkt beim Betroffenen erhoben wurden) erfolgen und auf den neuen Verantwortlichen verweisen. Dazu auch eine Aufsatz zur Übertragung von Kundendaten.

Etwaige Freistellungsklauseln in Bezug auf die Haftung für Datenschutzverstöße sollten ebenso in die Überlegungen mit einbezogen werden.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH