Leitfaden zur Übertragung von Kundendaten beim Asset Deal

Dr. Thomas Helbing

Freitag, 6. Juni 2025 - 10:44

Ein Unternehmenskauf ist ein komplexer Prozess. Eines der wertvollsten, aber auch heikelsten Güter, das den Besitzer wechselt, ist der Kundenstamm. Insbesondere beim Asset Deal, bei dem Vermögenswerte einzeln vom Verkäufer auf den Käufer übertragen werden, birgt die Übertragung von Kundendaten erhebliche datenschutzrechtliche Fallstricke. Ein Fehler kann nicht nur zu empfindlichen Bußgeldern nach der Datenschutz-Grundverordnung (DS-GVO) führen, sondern auch das Vertrauen der frisch übernommenen Kunden nachhaltig schädigen.

Dieser Leitfaden, basierend auf den rechtlichen Rahmenbedingungen und der gängigen Vertragspraxis, zeigt Ihnen, wie Sie die Datenübertragung sicher und rechtskonform gestalten.

1. Die Ausgangslage: Warum der Asset Deal datenschutzrechtlich heikel ist

Im Gegensatz zum Share Deal, bei dem nur die Anteile am Unternehmen den Eigentümer wechseln und die juristische Person (und damit der "Datenverantwortliche") dieselbe bleibt, findet beim Asset Deal eine echte Datenübermittlung statt.

Der Verkäufer übermittelt personenbezogene Daten an einen Dritten.
Der Käufer erhebt diese Daten von einem Dritten.

Beides sind "Verarbeitungsvorgänge" im Sinne der DS-GVO (Art. 4 Nr. 2). Nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt (Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 DS-GVO) ist eine solche Übertragung nur zulässig, wenn es dafür eine klare Rechtsgrundlage gibt.

Die zentralen Rechtsgrundlagen sind: a) Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DS-GVO). b) Erforderlichkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DS-GVO). c) Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DS-GVO).

2. Die zwei entscheidenden Szenarien der Datenübertragung

In der Praxis gibt es zwei Hauptkategorien von Kundendaten, deren Übertragung unterschiedlich zu bewerten ist.

Hierbei geht es um Kundendaten, die zwingend erforderlich sind, damit der Käufer die Rechte und Pflichten aus noch laufenden Verträgen (z.B. Wartungsverträge, offene Bestellungen, Gewährleistungsansprüche) übernehmen und erfüllen kann.

Rechtsgrundlage: In diesem Fall ist die Übertragung in der Regel durch Art. 6 Abs. 1 lit. b DS-GVO gedeckt. Die Datenverarbeitung ist für die Erfüllung des Vertrags, den der Kunde ursprünglich mit dem Verkäufer geschlossen hat und der nun vom Käufer fortgeführt wird, "erforderlich". Dies ist die herrschende Meinung in der Rechtsliteratur. Der Käufer tritt zivilrechtlich in den Vertrag ein und benötigt zur Erfüllung die dazugehörigen Daten.
Praxis-Tipp: Die zivilrechtliche Vertragsübernahme erfordert ohnehin die Zustimmung des Kunden. Es ist höchst empfehlenswert, diese Kommunikation zu nutzen, um den Kunden transparent über den Inhaberwechsel und die damit verbundene Datenweitergabe zu informieren.

Oftmals ist der gesamte Kundenstamm – inklusive der Daten von Altkunden, ehemaligen Interessenten und Kontakten für Marketingzwecke – ein wesentlicher Wertfaktor des Unternehmens. Diese Daten sind nicht unmittelbar zur Erfüllung eines laufenden Vertrags notwendig.

Rechtsgrundlage: Hier greift Art. 6 Abs. 1 lit. b DS-GVO nicht. Die Übertragung muss daher auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DS-GVO gestützt werden. Dies erfordert eine sorgfältige Interessenabwägung.

Die Interessenabwägung im Detail:

Interessen der Transaktionsparteien (Käufer & Verkäufer)	Interessen der betroffenen Kunden	Ergebnis der Abwägung
Wirtschaftliches Interesse: Der Verkäufer möchte den Wert seines Kundenstamms realisieren. Der Käufer möchte den Geschäftsbetrieb nahtlos fortführen und die Kundenbeziehungen pflegen, um den Unternehmenserfolg zu sichern.	Recht auf informationelle Selbstbestimmung: Der Kunde hat ein grundsätzliches Interesse daran, die Kontrolle über seine Daten zu behalten und zu verhindern, dass sie wie eine beliebige Ware verkauft werden.	Die Interessen der Unternehmen überwiegen in der Regel, WENN bestimmte Voraussetzungen erfüllt sind:
	Interesse an Kontinuität: Oft hat auch der Kunde ein Interesse an einer reibungslosen Fortführung der Geschäftsbeziehung, insbesondere wenn der Käufer ähnliche Produkte/Dienstleistungen anbietet.	1. Transparenz: Der Kunde wird klar und rechtzeitig über den Verkauf und die Datenübertragung informiert.
		2. Keine Zweckänderung: Der Käufer nutzt die Daten für denselben oder einen sehr ähnlichen Zweck wie zuvor der Verkäufer.
		3. Widerspruchsrecht: Der Kunde wird explizit auf sein Widerspruchsrecht nach Art. 21 DS-GVO hingewiesen und kann diesem einfach nachkommen.
		4. Schutzniveau bleibt: Der Käufer unterliegt ebenfalls der DS-GVO und muss die Daten schützen. Die Gefährdungslage für den Kunden erhöht sich durch den reinen Inhaberwechsel nicht per se.

Wichtiger Hinweis (Rechenschaftspflicht): Gemäß Art. 5 Abs. 2 DS-GVO müssen Sie nachweisen können, dass die Datenverarbeitung rechtmäßig ist. Dokumentieren Sie diese Interessenabwägung daher unbedingt schriftlich!

3. Der Königsweg: Die Einwilligung einholen

Die rechtlich sicherste, aber oft aufwendigste Methode ist die Einholung einer expliziten Einwilligung jedes einzelnen Kunden.

Wann ist sie Pflicht? Bei der Übertragung von besonderen Kategorien personenbezogener Daten (Art. 9 DS-GVO), wie z.B. Gesundheitsdaten, ist eine Einwilligung fast immer zwingend erforderlich. Auch bei der Veräußerung von Praxen von Berufsgeheimnisträgern (Ärzte, Anwälte) ist die Zustimmung der Mandanten/Patienten unerlässlich, da sonst der Kaufvertrag wegen Verstoßes gegen die Schweigepflicht nichtig sein kann.
Wie holt man sie ein? In der Praxis hat sich die Strategie des "Good Bye / Willkommensbrief" bewährt:
1. Good Bye-Letter (vom Verkäufer): Der Verkäufer informiert seine Kunden über den Verkauf des Geschäftsbetriebs, stellt den Käufer vor und kündigt an, dass die Kundendaten zur Fortführung der Geschäftsbeziehung an diesen übergeben werden. Hier wird um die Zustimmung zur Datenübertragung gebeten und auf das Widerspruchsrecht hingewiesen.
2. Willkommensbrief (vom Käufer): Der Käufer begrüßt die Kunden, bestätigt die Übernahme und informiert seinerseits nach Art. 14 DS-GVO über die Datenverarbeitung (wer ist der neue Verantwortliche, welche Rechte hat der Kunde etc.).

4. Checklisten für eine erfolgreiche Datenübertragung

Als Käufer sollten Sie diese Punkte prüfen, um Risiken zu identifizieren:

Daten-Mapping: Welche Kundendaten werden wo gespeichert (CRM, ERP, E-Mail-Listen, Akten)?
Datenkategorien: Handelt es sich nur um Kontaktdaten oder auch um Bestelhistorien, Zahlungsinformationen, Marketingprofile?
Sonderkategorien (Art. 9): Gibt es sensible Daten (z.B. Gesundheitsdaten in einem Sanitätshaus)? -> Hohes Risiko, Einwilligung zwingend!
Rechtsgrundlagen: Auf welcher Grundlage hat der Verkäufer die Daten ursprünglich erhoben (Vertrag, Einwilligung)?
Einwilligungen: Liegen dokumentierte Einwilligungen vor (z.B. für Newsletter)? Sind diese übertragbar? (Meist nicht!)
Datenschutz-Dokumentation: Existiert ein Verzeichnis von Verarbeitungstätigkeiten (VVT) beim Verkäufer?

Präzise Definition: Definieren Sie die zu übertragenden Kundendaten exakt in einer Anlage zum Kaufvertrag.
Klare Trennung: Nutzen Sie separate Klauseln für Daten zur Vertragserfüllung (wie § 10) und für den restlichen Kundenstamm (wie § 11).
Dokumentation der Interessenabwägung: Fügen Sie die schriftlich dokumentierte Interessenabwägung (für Daten nach Art. 6 Abs. 1 lit. f) als Anlage bei oder verweisen Sie darauf.
Garantien & Freistellungen: Der Verkäufer sollte garantieren, dass die Daten rechtmäßig erhoben wurden. Vereinbaren Sie Freistellungsklauseln für den Fall von Datenschutzverstößen, die ihren Ursprung beim Verkäufer haben.
Mitwirkungspflichten: Verpflichten Sie den Verkäufer vertraglich, bei der Information der Kunden (z.B. Versand des "Good Bye-Letters") mitzuwirken.

Kommunikationsplan: Erstellen Sie einen detaillierten Plan für die Kundenkommunikation ("Good Bye / Hello-Letter").
Fristen setzen: Geben Sie den Kunden eine angemessene Frist (z.B. 4 Wochen), um der Datenübertragung zu widersprechen.
Einfacher Widerspruch: Machen Sie den Widerspruch so einfach wie möglich (z.B. per Klick auf einen Link oder Antwort-E-Mail).
Technische Sicherheit: Stellen Sie sicher, dass die technische Übertragung der Daten verschlüsselt und sicher erfolgt.
Stichtag (Übergangsstichtag): Definieren Sie einen klaren Stichtag, ab dem der Käufer der neue Datenverantwortliche ist.
Datenlöschung beim Verkäufer: Stellen Sie sicher, dass der Verkäufer die Daten nach der Übertragung und nach Ablauf gesetzlicher Aufbewahrungsfristen löscht (sofern er sie nicht mehr benötigt).

Informationspflichten erfüllen: Informieren Sie als Käufer die Kunden gemäß Art. 14 DS-GVO über die Datenverarbeitung (sofern nicht schon im "Willkommensbrief" geschehen).
Datenschutzerklärung aktualisieren: Passen Sie Ihre eigene Datenschutzerklärung an und nennen Sie die Herkunft der Daten (Übernahme vom Verkäufer).
Rechte der Betroffenen wahren: Seien Sie darauf vorbereitet, Auskunfts-, Lösch- und Widerspruchsanfragen der übernommenen Kunden zu bearbeiten.
Marketing beachten (§ 7 UWG): Achtung! Die DS-GVO-konforme Übertragung der Daten bedeutet nicht automatisch, dass Sie die Kunden per E-Mail oder Telefon werblich ansprechen dürfen. Hierfür benötigen Sie eine separate, explizite Einwilligung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG).

Fazit

Die Übertragung von Kundendaten bei einem Asset Deal ist eine Gratwanderung zwischen wirtschaftlicher Notwendigkeit und strengen datenschutzrechtlichen Anforderungen. Eine sorgfältige Planung, eine klare vertragliche Regelung und eine transparente Kommunikation mit den Kunden sind die entscheidenden Erfolgsfaktoren. Indem Sie die vorgestellten Szenarien, Tipps und Checklisten berücksichtigen, minimieren Sie nicht nur das Risiko empfindlicher Bußgelder, sondern legen auch den Grundstein für eine vertrauensvolle und erfolgreiche Beziehung mit Ihrem neuen Kundenstamm.

Fachinformationen

Ratgeber, Muster und Checklisten

Leitfaden zur Übertragung von Kundendaten beim Asset Deal

1. Die Ausgangslage: Warum der Asset Deal datenschutzrechtlich heikel ist

2. Die zwei entscheidenden Szenarien der Datenübertragung

3. Der Königsweg: Die Einwilligung einholen

4. Checklisten für eine erfolgreiche Datenübertragung

Fazit

Fachinformationen

DSGVO Checkliste Software

DSGVO Sinfonie: Muster Datenschutz-Richtlinie zur Umsetzung der DSGVO im Unternehmen (Arbeitsanweisung)

DSGVO für IT-Dienstleister. Die Datenschutzgrundverordnung umsetzen als Auftragsverarbeiter.

DSGVO Praxisleitfaden: Direktwerbung datenschutzkonform umsetzen (E-Mail-, Post-, Telefon-Marketing)

Haftung und Gewährleistung für Software - Mit diesen Tipps reduzieren Sie ihr Risiko als IT-Anbieter

Formular/Checkliste zu Erfassung von Webseiteninhalten für Datenschutzerklärungen (Datenschutzhinweise, Privacy Policy)

Datenschutz bei Compliance Programmen - Checkliste mit Erläuterungen und Best Practices

Datenschutzrecht beachten bei Big Data und Business Analytics - Buchkapitel zum kostenlosen Download

Binding Corporate Rules als Mittel zur Datenschutz Compliance - Leitfaden für die Praxis

KONTAKT

ÜBER MICH

SOZIALE NETZWERKE