
Neue Herausforderungen durch den Beschluss der Datenschutzkonferenz 2024
Insbesondere im Bereich Mergers & Acquisitions (M&A) stellen die zunehmende Bedeutung des Datenschutzes und die damit verbundenen Anforderungen Unternehmen und Berater vor neue Herausforderungen. Die Datenschutzkonferenz (DSK), bestehend aus den Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 11. September 2024 einen neuen Beschluss gefasst, der erhebliche Auswirkungen auf Asset Deals und den M&A-Markt im Mittelstand hat. Der Beschluss bringt wesentliche Änderungen gegenüber dem Beschluss von 2019 mit sich und erfordert von Unternehmen eine geänderte Herangehensweise bei Transaktionen. Dieser Artikel beleuchtet die wichtigsten Unterschiede zwischen den Beschlüssen von 2019 und 2024 sowie die daraus resultierenden Auswirkungen auf den M&A-Prozess.
Zunächst ist festzuhalten, dass der Beschluss der DSK ein Handlungsinstrument von besonderer Bedeutung darstellt. Derartige Instrumente dienen dem Zweck, einen einheitlichen Vollzug zu gewährleisten, wodurch letztlich eine bundeseinheitliche Rechtsanwendung in datenschutzrechtlichen Angelegenheiten sichergestellt werden soll. Inhaltlich geht es lediglich um die Auslegung und die daraus resultierenden Handlungsempfehlungen der jeweiligen datenschutzrechtlichen Normen. Aus diesem Grund entfaltet der Beschluss der Datenschutzkonferenz vom 11. September 2024 nach einer gutachterlichen Stellungnahme keine rechtliche Bindungswirkung. Weder der Bundesdatenschutzbeauftragte noch die Landesdatenschutzbeauftragten sind verpflichtet, diese Beschlüsse umzusetzen, sodass sie in gerichtlichen Verfahren nicht als Rechtsgrundlage für Betroffene und Verantwortliche dienen können.[1]
Vergleich der Beschlüsse von 2019 und 2024
Der wesentliche Unterschied zwischen den Beschlüssen von 2019 und 2024 liegt in der detaillierteren Betrachtung und der Einführung strengerer Vorgaben, die für Unternehmen von besonderer Bedeutung sind. Eine zentrale Neuerung ist die zeitliche Differenzierung zwischen der Situation vor und nach einem Asset Deal. Während der Beschluss von 2019 pauschale Regelungen vorsah, geht der Beschluss von 2024 auf unterschiedliche Szenarien und Vertragskonstellationen ein.[2]
Ein weiteres wichtiges Merkmal des neuen Beschlusses ist die teilweise Abschaffung der Widerspruchslösung bei der Übermittlung von Kundendaten vom Verkäufer an den Käufer. Während der Beschluss von 2019 noch eine generelle Widerspruchslösung (Opt-out-Modell) bei Bestandskunden vorsah, verlangt der neue Beschluss in vielen Fällen eine ausdrückliche Einwilligung der Betroffenen. Lediglich bei der Vertragsanbahnung bleibt es bei der Widerspruchslösung. Dies hat unmittelbare Auswirkungen auf die Datenübermittlung von Kundendaten bei M&A-Transaktionen.[3]
Bei laufenden Verträgen ist die Datenübermittlung weiterhin möglich, sofern der Erwerber den Vertrag vollständig übernimmt. Konkret bedeutet dies, dass der Kunde einer solchen Vertragsübernahme zwischen Verkäufer und Käufer zivilrechtlich (konkludent) zugestimmt hat. Anders verhält es sich bei beendeten Verträgen, bei denen eine Übertragung nur mit expliziter Zustimmung der Betroffenen zulässig ist.[4]
Besondere Regelungen gelten für Gesundheitsdaten, für deren Übertragung ausnahmslos eine Einwilligung erforderlich ist. Dies betrifft vor allem Unternehmen, die in sensiblen Bereichen wie dem Gesundheitswesen tätig sind.[5]
Auswirkungen auf den M&A-Prozess
Der neue Beschluss der DSK bringt für Unternehmen erhebliche Veränderungen mit sich, insbesondere hinsichtlich der erhöhten Komplexität und der Kosten. Unternehmen müssen zukünftig intensivere Maßnahmen ergreifen, um die neuen Anforderungen zu erfüllen. Die Einholung von Einwilligungen der Kunden sowie erweiterte Informationspflichten führen zu einer Verlängerung des gesamten Transaktionsprozesses. Dies erhöht nicht nur die Komplexität, sondern auch die Kosten von M&A-Transaktionen.[6]
In einem Worst-Case-Szenario kann dies sogar zum Scheitern von Transaktionen führen, wenn die erforderlichen Zustimmungen nicht rechtzeitig oder gar nicht eingeholt werden können.[7] Insbesondere bei Unternehmen, deren Wert stark von den Kundendaten abhängt, besteht das Risiko einer potenziellen Wertminderung der Transaktionen. Werden nicht alle Einwilligungen eingeholt, kann dies zu einer Verringerung des Transaktionsvolumens und des Unternehmenswerts führen. [8]
Fazit
Der Beschluss der Datenschutzkonferenz 2024 bringt wesentliche Änderungen für Asset Deals mit sich, vor allem hinsichtlich der strengeren Anforderungen an die Datenübermittlung bei Transaktionen. Im Vergleich zum Beschluss von 2019 erfordert der neue Beschluss eine explizite Einwilligung der Betroffenen in vielen Fällen, was den M&A-Prozess deutlich komplizierter und teurer macht. Besonders betroffen sind Unternehmen, die stark auf Kundendaten angewiesen sind, da eine fehlende Zustimmung zu einer Wertminderung oder sogar zum Scheitern von Transaktionen führen kann.
Da aber momentan die rechtliche Bindung an diesen Beschluss fehlt, kann dieser Sachverhalt in gerichtlichen Verfahren nicht bei Betroffenen und Verantwortlichen durchgesetzt werden.