Die Übertragungen von Unternehmen aus der Insolvenz haben enorme praktische und volkswirtschaftliche Bedeutung: Sie versprechen nicht nur gute Verwertungserlöse zugunsten der Insolvenzmasse und der Befriedigung der Forderungen der Gläubiger. Vielmehr sichern sie auch die Fortführung von Unternehmen und damit den Erhalt zahlreicher Arbeitsplätze und wirtschaftlicher Werte; angesichts steigender Insolvenzzahlen haben sie daher auch volkswirtschaftlich zunehmende Relevanz.

Diesen Chancen scheint der Datenschutz entgegenzustehen. In einem Beschluss der Datenschutzkonferenz aus dem Herbst 2024 haben die Landesdatenschutzbehörden grundlegende Vorgaben gemacht, unter welchen Bedingungen bei einem Unternehmensverkauf im Wege eines Asset Deals Daten von Kunden und Beschäftigten gegenüber dem Erwerber offengelegt und auf ihn übertragen werden dürfen. Das Ergebnis ist ernüchternd und lässt Erwerbern kaum Raum für sinnvolle Entscheidungsfindungen und die Übernahme von Daten. Ginge es ausschließlich nach diesem Beschluss, würde fast jeder Unternehmenserwerb am Datenschutz scheitern. Die Datenschutzkonferenz macht auch für Verkäufe aus der Insolvenz keine Ausnahme.

Aus Erwerbersicht sind die Kundendaten für die Fortführung des Unternehmens von großer Bedeutung. Der Erwerber rechnet in seinem Business Plan mit zukünftigen Aufträgen aus diesem Kundenstamm, der daher auch Bestandteil des Goodwill des Unternehmens und im Fall insolventer Unternehmen ein wesentlicher Vermögenswert ist. Die Fortführung und Übernahme von Kundenbeziehungen bei Webshops und anderen B2C-Geschäftsbereichen sind für die Übernahme und den Neustart eines Unternehmens unter „neuer Flagge“ oft ein, wenn nicht sogar das Kernargument für den Unternehmenserwerb – gerade auch aus der Insolvenz.

Mit ihrem Beschluss der Datenschutzkonferenz schließen die Landesdatenschutzbehörden den Erwerb eines Kundenstamms durch einen Unternehmenskauf jedoch nahezu vollständig aus. Lediglich laufende Kundenverträge sollen übernommen werden können – und das auch nur, wenn der Kunde einwilligt. Diese laufenden Verträge aber wird zumeist der Insolvenzverwalter noch abwickeln, um die Vergütungen zur Insolvenzmasse zu ziehen. Fällt die Möglichkeit, den Kundenstamm zu Werbezwecken zu übernehmen, aus datenschutzrechtlichen Gründen weg, kann der Erwerber nur ohne diesen kalkulieren. Im Umkehrschluss bedeutet das, dass er eher einen Neustart ohne Kundenstamm vornimmt als das Unternehmen fortzuführen.

Die Daten der Beschäftigten sind für den Erwerber eines Betriebs schon bei der Entscheidungsfindung im Vorfeld des Unternehmenserwerbs von Interesse. Ebenso wie ein neuer Arbeitgeber über die Bewerbungsunterlagen Informationen über einen Bewerber erhält, möchte der Unternehmenskäufer die Belegschaft kennen und bewerten, bevor er sie übernimmt. Dazu benötigt er den Einblick in Daten der Belegschaft. Ist ihm dies aber vor Übernahme des Unternehmens aus datenschutzrechtlichen Gründen verwehrt, so belastet dies seine Entscheidung zur Übernahme. Tatsächlich ist eine vorvertragliche Einsicht in die Belegschaftsdaten nach dem Beschluss der Datenschutzkonferenz faktisch nahezu ausgeschlossen.

Je nach Unternehmen und Erwerberziel sind personenbezogene Daten daher schon in den Phasen vor dem Kaufvertragsabschluss, also etwa den Verhandlungen oder der Due Diligence, von großem Interesse. Spätestens aber beim und nach dem Vertragsabschluss muss für den Erwerber feststehen, dass und welche personenbezogenen Daten er erhält und ob er diese zu seinen eigenen Zwecken überhaupt nutzen darf. Neben den wettbewerbsrechtlichen Risiken, die es in diesem Zusammenhang zweifelsohne gibt, besteht beim Datenschutz zusätzlich das Risiko aus einer aufsichtsrechtlichen Prüfung der Datenschutzbehörde.

Und dieses Risiko nimmt auch faktisch zu. Immerhin haben die Landesdatenschutzbehörden den Unternehmensverkauf durch Asset Deal nun zum wiederholten Male zum Inhalt eines Beschlusses gemacht. Der Beschluss der Datenschutzkonferenz bindet zwar nicht die Gerichte, wohl aber haben sich die Landesdatenschutzbehörden im Wege einer Selbstbindung zur Einhaltung verpflichtet. Für Verkäufer und Erwerber hängt damit zunehmend über jeder M&A-Transaktion aus der Insolvenz das Damoklesschwert einer Überprüfung durch die Datenschutzbehörde. Es ist daher auf jeden Fall zu empfehlen, die Anordnungen aus dem Beschluss der Datenschutzkonferenz zu beherzigen.

Natürlich liegt es im Interesse aller Parteien, die an einem M&A-Prozess beteiligt sind, die Datenschutzvorgaben einzuhalten: So werden Geheimhaltungspflichten vereinbart und personenbezogene Daten, soweit überhaupt zulässig, nur stufenweise offengelegt, zumeist aber nur statistische Erfassungen. Aber am Ende – gerade, wenn es mitunter sehr schnell gehen muss – besteht das Risiko, dass der pragmatische Weg mit wirtschaftlich vertretbarem Erfolg eingeschlagen wird, die Datenschutzbestimmungen aber vernachlässigt werden.

Und dieser Weg kann im Fall einer datenschutzrechtlichen Aufsichtsmaßnahme durch die Landesdatenschutzbehörden fatale Auswirkungen haben. Es drohen Verwarnungen, Verbote und Bußgelder, bei denen es nach den Regelungen der DSGVO schnell um hohe Beträge gehen kann. Auch der zeitliche Aufwand für das datenschutzrechtliche Ermittlungsverfahren ist nicht zu unterschätzen.

Das Risiko einer Überprüfung durch die Datenschutzaufsicht lässt sich kaum ausschließen. Denn das Aufsichtsverfahren beginnt mit einer Anzeige eines Betroffenen oder aber die Landesdatenschutzbehörde wird aus eigenem Antrieb tätig. Gerade in Insolvenzfällen kann die Enttäuschung von Betroffenen, etwa nicht-übernommene Beschäftigte oder Kunden und Lieferanten, die im Insolvenzverfahren Forderungen verlieren, Anlass zu Auskunftsersuchen und Anzeigen sein. Daher kommt es darauf an, die Datenschutzbestimmungen einzuhalten, die Risiken einer Sanktionierung zu vermeiden und generell Vorsorge für den Fall eines Aufsichtsverfahrens zu treffen.

Dies erfordert eine große Sorgfalt bei der Vorbereitung des M&A-Prozesses und der Beachtung der Datenschutzbestimmungen, gerade auch mit den Anforderungen, die die Landesdatenschutzbehörden in ihrem Beschluss aufgestellt haben. Zu beachten bleibt, dass sich gerade auch der Erwerber schon von Beginn an im eigenen Interesse um die Einhaltung des Datenschutzes zu bemühen hat.

Dazu sollten die Offenlegung und Übertragung beziehungsweise Übernahme von personenbezogenen Daten zunächst anhand der verschiedenen Phasen des M&A-Prozesses bewertet werden. Maßgebend ist hierbei, ob und inwieweit die jeweilige Maßnahme in Bezug auf den Inhalt der personenbezogenen Daten als Datenverarbeitung nach einem der Erlaubnistatbestände aus den Artikeln 6 und 9 der DSGVO gestattet ist. Zumeist kommt es dabei auf eine Abwägung von betroffenen Interessen an.

Flankierend sind in der Phase vor Vertragsabschluss die Möglichkeiten der Pseudonymisierung und Anonymisierung zu ergreifen. Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) vom 4. September 2025 präzisiert die Bedeutung und Handhabung dieser Maßnahmen. Auch die Reformbemühungen der EU-Kommission zur DSGVO im Digital Omnibus soll hierzu Präzisierungen liefern.

Auch wenn dies mit weiterem Aufwand verbunden ist, sollten die Maßnahmen im M&A-Prozess und ihre jeweilige datenschutzrechtliche Rechtfertigung dokumentiert werden. Dies setzt mitunter eine auskömmliche datenschutzrechtliche Beratung und Bewertung voraus. Denn der Vorteil hieraus ist nicht zu unterschätzen, da im Falle einer datenschutzrechtlichen Überprüfung die Einhaltung der Datenschutzvorschriften zeitnah nachgewiesen werden kann.

Für die Übernahme von Kundendaten kommen darüber hinaus strukturelle Maßnahmen aus dem Gesellschafts- und Insolvenzrecht in Betracht, die dem Beschluss der Datenschutzkonferenz und seinen Restriktionen für den Asset Deal standhalten und eine Überlassung von Kundendaten an die Erwerberseite ermöglichen.