Doch solche Asset Deals bringen nicht nur wirtschaftliche, sondern auch datenschutzrechtliche Herausforderungen mit sich. Der Beschluss der Datenschutzkonferenz (DSK) vom 11. September 2024 betrifft grundsätzlich alle Unternehmen, unabhängig von der Branche. In diesem Artikel werden die Anforderungen praxisnah dargestellt, mit einem Fokus auf die spezifischen Bedürfnisse von Unternehmen im Baugewerbe, um die gesetzlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen.

Was bedeutet ein Asset Deal?

Ein Asset Deal umfasst die Übertragung einzelner Vermögenswerte (Assets) eines Unternehmens, wie Maschinen, Kundendaten oder Bauprojekte. Anders als beim Share Deal, bei dem Unternehmensanteile verkauft werden, erfolgt beim Asset Deal häufig auch eine Übertragung personenbezogener Daten – zum Beispiel von Kunden, Lieferanten oder Mitarbeitenden. Diese Datenübertragung erfordert eine sorgfältige datenschutzrechtliche Prüfung.

Relevante Daten im Baugewerbe

Besonders im Baugewerbe sind unterschiedliche Datenkategorien betroffen:

• Kundendaten: Z. B. Kontaktdaten von Bauträgern, Auftraggebern oder privaten Bauherren.
• Beschäftigtendaten: Informationen zu Arbeitnehmenden, insbesondere bei Übernahmen von Bauprojekten oder ganzen Teams.
• Lieferantendaten: Daten von Zulieferern und Subunternehmen, die in die laufenden Projekte eingebunden sind.

Diese Daten sind nicht nur für den Geschäftsbetrieb relevant, sondern unterliegen auch den Anforderungen des Datenschutzrechts.

Rechtliche Grundlagen für die Datenübertragung

Die Datenschutzkonferenz (DSK) hat in ihrem Beschluss vom 11. September.2024 klare Leitlinien zur Datenübermittlung bei Asset Deals formuliert. Hier sind die wichtigsten Punkte:

1. Vorvertragliche Phase:

• Eine Übermittlung personenbezogener Daten (z. B. zur Due-Diligence-Prüfung) ist nur zulässig, wenn entweder eine ausdrückliche Einwilligung der Betroffenen vorliegt oder ein berechtigtes Interesse (Art. 6 Abs. 1 Buchst. f DSGVO) nachgewiesen werden kann.
• Besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) erfordern immer eine ausdrückliche Einwilligung nach Art. 9 DSGVO.

2. Datenübertragung im Rahmen von Verträgen:

• Laufende Verträge: Die Übermittlung ist zulässig, wenn sie zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 Buchst. b DSGVO).
• Beendete Verträge: Daten dürfen nur archiviert und nicht für andere Zwecke genutzt werden. Eine Auftragsverarbeitung nach Art. 28 DSGVO ist hier erforderlich.

3. Beschäftigtendaten:

• Bei einem Betriebsübergang nach § 613a BGB ist die Übermittlung von Beschäftigtendaten zulässig, soweit sie zur Erfüllung der Arbeitsverträge erforderlich ist.

Praktische Tipps für Bauunternehmen

Eine frühzeitige Planung ist essenziell, um datenschutzrechtliche Risiken zu minimieren. Bereits in der Planungsphase sollten Unternehmen prüfen, welche personenbezogenen Daten übertragen werden sollen und ob alle rechtlichen Voraussetzungen erfüllt sind.

Dabei sollte der Datenschutzbeauftragte frühzeitig eingebunden werden, um die Einhaltung der gesetzlichen Vorgaben sicherzustellen und potenzielle Risiken frühzeitig zu identifizieren. Betroffene Personen müssen über die Datenverarbeitung rechtzeitig und klar informiert werden. Diese Informationspflicht muss innerhalb der gesetzlichen Frist von einem Monat erfüllt werden und sollte alle relevanten Details enthalten (Art. 14 DSGVO).

Wo erforderlich, müssen Unternehmen Einwilligungen einholen. Dies gilt insbesondere bei sensiblen Daten, wie Personal- und Gesundheitsdaten. Auch die technischen und organisatorischen Maßnahmen zur Sicherheit der Datenübertragung ist ein zentraler Punkt. Verschlüsselungstechnologien, ein striktes Zugriffsmanagement und regelmäßige Audits können dazu beitragen, die Datenschutzanforderungen zu erfüllen.

Darüber hinaus sollten datenschutzrechtliche Verpflichtungen zwischen Veräußerer und Erwerber vertraglich klar geregelt werden. Vereinbarungen zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO sind hier das Instrument, um Verantwortlichkeiten und Pflichten eindeutig festzulegen. Regelmäßige Überprüfungen stellen sicher, dass diese Maßnahmen effektiv umgesetzt werden.
Quelle: Beschluss der Datenschutzkonferenz vom 11. September 2024 (https://www.datenschutzkonferenz-online.de/media/dskb/dskb_20240911_assetdeals.pdf)

Autorin

Regina Mühlich ist Wirtschaftsjuristin und Geschäftsführerin der AdOrga Solutions GmbH mit den Schwerpunkten Datenschutz und Compliance. Sie unterstützt nationale und internationale Unternehmen unterschiedlicher Branchen vor allem als externe Datenschutzbeauftragte und KI Beraterin. Sie ist Vorständin des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V. Website: http://www.adorgsolutions.de, Kontakt: [email protected]

Einen Auszug dieses Rechtstipps lasen Sie bereits in Ausgabe 01-02_2025.