SITTIG LAW
+49 40 808 125 550
SITTIG LAW Kanzlei Blog

Datenschutz bei Software M&A Deals: Der Schlüssel zur rechtssicheren Datennutzung

Bei Software M&A Deals ist Datenschutz erfolgsentscheidend, da Datenbestände den eigentlichen Transaktionswert bilden. Käufer benötigen Gewissheit über die DSGVO-konforme Nutzbarkeit der Daten nach dem Closing. Verkäufer müssen rechtssichere Datenverarbeitung nachweisen und Haftungsrisiken minimieren. SITTIG LAW bietet spezialisierte Data Due Diligence für Share Deals und Asset Deals, entwickelt datenschutzkonforme Übertragungskonzepte und sichert die wirtschaftliche Nutzbarkeit wertvoller Datenbestände.
Weiter lesen
Weiter lesen
Jetzt Kontakt aufnehmen
Inhalt

Das Wichtigste im Überblick

  • Bei Software M&A Transaktionen bilden Datenbestände und deren rechtssichere Nutzung oft den eigentlichen Wert des Deals – eine umfassende Data Due Diligence ist daher erfolgsentscheidend
  • Datenschutzrechtliche Anforderungen unterscheiden sich grundlegend zwischen Share Deals und Asset Deals, wobei letztere besondere Herausforderungen für die rechtskonforme Datenübertragung mit sich bringen
  • Eine professionelle Begleitung sichert nicht nur die Compliance mit der DSGVO, sondern ermöglicht auch die volle wirtschaftliche Nutzung der wertvollen Datenbestände nach dem Closing

Daten als zentraler Wertfaktor bei Software M&A Deals

Bei Unternehmenskäufen und -verkäufen im Softwarebereich bilden Datenbestände häufig den eigentlichen Wert der Transaktion. Software M&A Deals unterscheiden sich grundlegend von klassischen Transaktionen, da hier neben dem Quellcode und IP-Rechten insbesondere die gesammelten Daten und deren Nutzungsmöglichkeiten im Mittelpunkt stehen. Die Bewertung und rechtssichere Übertragung dieser digitalen Assets erfordert eine spezialisierte Expertise, die weit über standardisierte M&A-Verfahren hinausgeht und die Unterstützung durch einen Anwalt für Datenschutz unerlässlich macht.

Für Käufer steht dabei die Absicherung gegen datenschutzrechtliche Risiken im Vordergrund: Können die wertvollen Kundendaten und anderen Datenbestände nach dem Closing überhaupt rechtmäßig genutzt werden? Wurden alle datenschutzrechtlichen Anforderungen eingehalten? Und welche Maßnahmen sind erforderlich, um die Datennutzung DSGVO-konform fortzuführen?

Verkäufer hingegen möchten ihr oft über Jahre aufgebautes Unternehmen optimal positionieren und maximalen Wert erzielen, wozu insbesondere der Nachweis einer rechtssicheren Datenverarbeitung gehört. Gleichzeitig fürchten sie datenschutzrechtliche Haftungsrisiken nach dem erfolgreichen Exit.

Data Due Diligence: Mehr als nur eine Pflichtübung

Eine sorgfältige Data Due Diligence ist der Schlüsselfaktor für den Erfolg jeder Software M&A Transaktion. Im Gegensatz zu einer standardisierten Überprüfung betrachtet eine spezialisierte Data Due Diligence alle datenschutzrelevanten Aspekte in der notwendigen Tiefe und liefert damit die Grundlage für fundierte Entscheidungen und eine erfolgreiche Transaktion.

Rechtmäßigkeit der Datenverarbeitung

Die Analyse der Rechtsgrundlagen für die Datenverarbeitung bildet den Kern der Data Due Diligence. Dabei muss sorgfältig geprüft werden, auf welcher rechtlichen Basis personenbezogene Daten erhoben, verarbeitet und gespeichert werden. Bei Software-Unternehmen, insbesondere im B2C-Bereich, stützt sich die Datenverarbeitung häufig auf Einwilligungen der Nutzer oder auf die Erfüllung vertraglicher Pflichten.

Die Qualität und Dokumentation dieser Rechtsgrundlagen entscheidet maßgeblich darüber, ob und wie die Daten nach der Übernahme weiter genutzt werden können. Mangelhafte Einwilligungsprozesse, fehlende Datenschutzhinweise oder unzureichende Dokumentation können den wirtschaftlichen Wert des Unternehmens erheblich mindern, da die rechtssichere Nutzung der Daten nach dem Closing möglicherweise eingeschränkt oder sogar unmöglich ist.

Share Deal vs. Asset Deal: Unterschiedliche datenschutzrechtliche Implikationen

Bei der datenschutzrechtlichen Bewertung von Software M&A Deals ist die Unterscheidung zwischen Share Deal und Asset Deal von zentraler Bedeutung. Bei einem Share Deal bleibt das Unternehmen als rechtliche Einheit bestehen, sodass bestehende datenschutzrechtliche Vereinbarungen und Rechtsgrundlagen in der Regel weiter gelten und keine spezifischen Maßnahmen zur Datenübertragung erforderlich sind.

Anders verhält es sich bei einem Asset Deal: Hier werden einzelne Vermögensgegenstände, darunter auch wertvolle Datenbestände, auf einen neuen Rechtsträger übertragen. Dies kann zu erheblichen datenschutzrechtlichen Herausforderungen führen, insbesondere wenn sich der Verarbeitungszweck oder die Verantwortlichkeiten ändern. Bei einem Asset Deal ist die Datenübertragung rechtlich als Weitergabe an einen Dritten zu qualifizieren, die einer eigenen Rechtsgrundlage bedarf.

Je nach Art der Kundendaten und der Beziehung zum Kunden sind unterschiedliche Maßnahmen erforderlich:

  1. Bei laufenden Verträgen kann die zivilrechtliche Genehmigung des Vertragsübergangs durch den Kunden auch die Zustimmung zur Datenübertragung beinhalten.
  2. Bei Bestandskunden ohne laufende Verträge, deren letzter Kontakt älter als drei Jahre ist, dürfen die Daten nur aufgrund gesetzlicher Aufbewahrungsfristen verarbeitet werden.
  3. Bei Kunden mit Vertragsanbahnung oder einem letzten Kontakt innerhalb der letzten drei Jahre kann die Datenübertragung mittels eines Opt-out-Verfahrens erfolgen, wobei Bankdaten nur mit ausdrücklicher Zustimmung übermittelt werden dürfen.
  4. Bei offenen Forderungen ist die Datenübertragung in der Regel zulässig, sofern keine vertraglichen Einschränkungen bestehen.
  5. Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO können nur mit ausdrücklicher Einwilligung der betroffenen Personen übermittelt werden.

Transparenzpflichten und Informationsmanagement

Ein weiterer zentraler Aspekt der Data Due Diligence ist die Prüfung der Einhaltung der Transparenzpflichten. Wurden die betroffenen Personen ordnungsgemäß über die Datenverarbeitung informiert? Sind die Datenschutzhinweise vollständig und aktuell? Und wie werden die Betroffenenrechte gewährleistet?

Im Kontext von M&A-Transaktionen besteht eine besondere Informationspflicht: Die betroffenen Personen müssen über den Übergang der Daten an ein anderes Unternehmen informiert werden. Diese Information kann bei einem Share Deal häufig im Rahmen der allgemeinen Kundenkommunikation erfolgen, während bei einem Asset Deal spezifischere Informationen, insbesondere über mögliche Widerspruchsrechte, erforderlich sein können.

Datenübertragung in Drittländer

Bei internationalen Software M&A Deals spielt die Übermittlung personenbezogener Daten in Drittländer eine besondere Rolle. Nach den Entscheidungen des EuGH wurden die Anforderungen an internationale Datentransfers erheblich verschärft, insbesondere in die USA.

Im Rahmen der Data Due Diligence muss daher sorgfältig geprüft werden, ob und unter welchen Bedingungen Daten in Drittländer übermittelt werden, welche Transfermechanismen (Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, etc.) verwendet werden und ob angemessene zusätzliche Schutzmaßnahmen implementiert wurden. Bei Software-Unternehmen, die Cloud-Dienste oder internationale Hosting-Lösungen nutzen, ist dieser Aspekt besonders relevant.

Datenschutzstrategien für Käufer und Verkäufer

Strategien für Käufer

Als Käufer eines Software-Unternehmens sollten Sie bei der Data Due Diligence besonders auf folgende Aspekte achten, um den vollen wirtschaftlichen Wert der Datenbestände zu sichern. Die Entwicklung eines maßgeschneiderten datenschutzrechtlichen Prüfkatalogs bildet die Basis für eine erfolgreiche Übernahme und hilft, relevante Risiken frühzeitig zu identifizieren. Eine umfassende Analyse der Datenverarbeitungsprozesse, einschließlich Datenflussdiagrammen, Verzeichnissen von Verarbeitungstätigkeiten und implementierten technischen und organisatorischen Maßnahmen gibt Aufschluss über den Reifegrad des Datenschutzmanagements. Potenzielle datenschutzrechtliche Risiken sollten durch entsprechende Gewährleistungen und Freistellungsklauseln im Kaufvertrag abgesichert werden, wobei auch die Implementierung von Treuhänderlösungen für Teile des Kaufpreises in Betracht gezogen werden kann. Nicht zuletzt sollte bereits vor dem Abschluss ein Integrationskonzept für die Datenbestände entwickelt werden, das die rechtssichere Übertragung und Nutzung der Daten nach dem Closing sicherstellt.

Strategien für Verkäufer

Als Verkäufer eines Software-Unternehmens können Sie durch gezielte datenschutzrechtliche Vorbereitungsmaßnahmen den Transaktionsprozess beschleunigen und einen höheren Verkaufspreis erzielen. Eine präventive Vendor Due Diligence im Bereich Datenschutz ermöglicht es, potenzielle Compliance-Lücken vorab zu identifizieren und zu beheben, bevor sie in Verhandlungen zu Preisabschlägen führen. Die Erstellung und Aktualisierung einer vollständigen Datenschutzdokumentation, einschließlich Verzeichnis von Verarbeitungstätigkeiten, Datenschutzhinweisen und Auftragsverarbeitungsverträgen, stärkt das Vertrauen potenzieller Käufer und minimiert das Risiko von Verzögerungen. Die Implementierung und Dokumentation angemessener technischer und organisatorischer Maßnahmen zeigt, dass das Unternehmen datenschutzrechtliche Risiken professionell managt. Die Entwicklung eines Konzepts für die rechtskonforme Übertragung von Kundendaten im Rahmen eines Asset Deals, einschließlich Informationsschreiben und Widerspruchsmanagement, kann potenziellen Käufern die Sicherheit geben, dass die wertvollen Datenbestände nach dem Closing rechtssicher genutzt werden können.

Unsere spezialisierten Leistungen im Bereich Datenschutz bei Software M&A Deals

Bei SITTIG LAW verbinden wir tiefgreifendes Verständnis für digitale Geschäftsmodelle mit fundierter datenschutzrechtlicher Expertise. Unser Team aus IT-Rechtsexperten und Datenschutzspezialisten begleitet Sie durch den gesamten M&A-Prozess – von der ersten Planung bis zur erfolgreichen Integration der Datenbestände.

Spezialisierte Data Due Diligence

Unsere Data Due Diligence geht weit über standardisierte Verfahren hinaus und analysiert:

  • Rechtsgrundlagen der Datenverarbeitung und deren Dokumentation
  • Transparenzpflichten und Informationsmanagement
  • Internationale Datentransfers und deren Absicherung
  • Technische und organisatorische Maßnahmen zum Datenschutz
  • Risikobewertung und Compliance-Status mit der DSGVO

Datenschutzkonforme Vertragsgestaltung

Auf Basis der Due-Diligence-Ergebnisse entwickeln wir maßgeschneiderte Vertragsklauseln, die Ihre Interessen im Bereich Datenschutz optimal absichern:

  • Präzise Gewährleistungen bezüglich der Einhaltung datenschutzrechtlicher Vorschriften
  • Angemessene Garantien und Freistellungsvereinbarungen für datenschutzrechtliche Risiken
  • Übergangsregelungen für die rechtssichere Datenübertragung
  • Escrow-Lösungen für kritische Datenbestände
  • Regelungen zur Post-Merger-Compliance im Datenschutzbereich

Rechtssichere Datenintegration nach dem Closing

Die erfolgreiche Integration der Datenbestände nach dem Closing ist entscheidend für den langfristigen Erfolg der Transaktion. Wir unterstützen bei:

  • Entwicklung und Umsetzung von Informationskonzepten für betroffene Personen
  • Implementierung von Opt-in- oder Opt-out-Verfahren bei Asset Deals
  • Anpassung von Datenschutzhinweisen und Verzeichnissen von Verarbeitungstätigkeiten
  • Harmonisierung unterschiedlicher Datenschutzstandards
  • Entwicklung eines konzernweiten, einheitlichen Datenschutzmanagements
Häufig gestellte Fragen
Bei Software M&A Deals bilden Datenbestände oft den eigentlichen Wert der Transaktion, weshalb ihre rechtskonforme Übertragung und Nutzung erfolgsentscheidend ist. Die DSGVO stellt hohe Anforderungen an die Übertragung personenbezogener Daten, insbesondere bei Asset Deals, sodass ohne angemessene Datenschutzmaßnahmen der wirtschaftliche Wert der Akquisition erheblich gemindert werden kann.
Bei einem Share Deal bleibt das Unternehmen als Rechtsträger bestehen, wodurch bestehende Rechtsgrundlagen für die Datenverarbeitung in der Regel weiter gelten. Bei einem Asset Deal hingegen werden Daten an einen neuen Rechtsträger übertragen, was als Weitergabe an Dritte zu qualifizieren ist und einer eigenen Rechtsgrundlage bedarf.
Primär kommen berechtigte Interessen oder die Einwilligung der betroffenen Personen in Betracht. Unterschieden wird je nach Kundenbeziehung zwischen Opt-in- und Opt-out-Verfahren.
Betroffene Personen müssen über den neuen Verantwortlichen, die Rechtsgrundlage der Übertragung und etwaige Änderungen der Zwecke informiert werden. Bei Asset Deals muss die Information vor der Datenübertragung erfolgen und bei bestimmten Fallgruppen ein Widerspruchsrecht eingeräumt werden.
Besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten, können im Rahmen eines Asset Deals nur mit ausdrücklicher Einwilligung der betroffenen Personen übertragen werden. Alternative Strategien umfassen Pseudonymisierung oder die Implementierung technisch getrennter Verarbeitungssysteme.
Nach den EuGH-Entscheidungen müssen internationale Datentransfers, insbesondere in die USA, besonders abgesichert werden. Bei Software-Unternehmen mit Cloud-Lösungen oder internationalen Hostinganbietern ist zu prüfen, ob angemessene Transfermechanismen und zusätzliche Schutzmaßnahmen implementiert wurden.
Ein Data Room sollte so gestaltet sein, dass nur die für die Due Diligence erforderlichen personenbezogenen Daten zugänglich gemacht werden, vorzugsweise in anonymisierter oder pseudonymisierter Form. Klare Zugriffsrechte, Vertraulichkeitsvereinbarungen und ein dokumentiertes Löschkonzept nach Abschluss der Transaktion sind unverzichtbar.
Der Kaufvertrag sollte präzise Gewährleistungen zur DSGVO-Compliance, zu bestehenden Rechtsgrundlagen und zur Vollständigkeit der Datenschutzdokumentation enthalten. Zudem sind Freistellungsklauseln für datenschutzrechtliche Verstöße vor dem Closing und Regelungen zur Verteilung der Verantwortlichkeiten für die Datenübertragung wesentlich
Die Integration erfordert ein detailliertes Konzept, das die rechtskonforme Zusammenführung der Datenbestände sicherstellt. Wesentliche Elemente sind die Harmonisierung der Verarbeitungszwecke, die Anpassung von Datenschutzhinweisen und die Implementierung einheitlicher technischer und organisatorischer Maßnahmen.
Bei Cloud-basierten Softwareunternehmen sind Mehrschichtverträge, Subunternehmer-Ketten und internationale Datentransfers besonders kritisch zu prüfen. Oft bestehen komplexe Abhängigkeiten von Drittanbietern, deren Wechsel nach dem Closing technisch schwierig oder kostspielig sein kann.

Weitere Beiträge

Ihre Anfrage

Kontakt

[email protected]

Mobil bitte nur im Notfall unter:

+49 (0) 151 506 360 13

SITTIG LAW
Rechtsanwalt
Fachanwalt für Strafrecht
Fachanwalt für IT-Recht

[email protected]
Standort Hamburg
Hauptsitz
Martinistr. 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​
Standort Kassel
Zweigstelle
Motzstraße 1
34117 Kassel
Tel.: +49 (0) 561 510 053 80
Fax: +49 (0) 561 510 053 99
Standort Frankfurt
Zweigstelle
Oeder Weg 11
60318 Frankfurt am Main
Tel.: +49 (0) 69 710 471 070
Fax: +49 (0) 69 710 471 079
SITTIG LAW
Standort Hamburg
Hauptsitz
Martinistraße 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​
Standort Kassel
Zweigstelle
Motzstraße 1
34117 Kassel
Tel.: +49 (0) 561 510 053 80
Fax: +49 (0) 561 510 053 99
Standort Frankfurt
Zweigstelle
Oeder Weg 11
60318 Frankfurt am Main
Tel.: +49 (0) 69 710 471 070
Fax: +49 (0) 69 710 471 079
Kanzlei
Strafverteidigung
Weitere Kompetenzen
SITTIG LAW
Rechtsanwalt.
Fachanwalt für Strafrecht.
Fachanwalt für IT-Recht.

[email protected]
Standort Hamburg
Hauptsitz
Martinistr. 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​

Kontaktformular