Kundendaten sind wertvoll, können aber beim Unternehmensverkauf zum Risiko werden!

Herr Richter, Sie erleben, dass heutzutage in kaum einem Bereich so viele Risiken für Transaktionen bestehen wie beim Thema Datenschutz. Warum?

Norbert Richter: Vielen Verkäufern und auch unkundigen Beratern ist nicht bewusst, dass bei einer Transaktion Kundendaten nicht einfach mitverkauft werden dürfen. Mittlerweile führen fehlende Dokumentation oder unklare Einwilligungen in der Due Diligence regelmäßig zu Kaufpreisabschlägen, Garantierestriktionen oder Rückstellungen im Kaufvertrag. Fakt ist: Nach der Datenschutzgrundverordnung DSGVO darf kein personenbezogener Datensatz ohne Rechtsgrundlage weitergegeben oder verarbeitet werden. Bei einem Asset Deal wird aber der Käufer neuer Verantwortlicher. Selbst beim Share Deal verlangen Unternehmenskäufer heute einen Nachweis, dass Einwilligungen Informationspflichten und Löschkonzepte DSGVO-konform umgesetzt sind.

Haben Sie ein Beispiel aus der Praxis?

Ja. Ein Online-Händler mit rund 120.000 Kundendatensätzen hat im Rahmen einer Prüfung durch den potenziellen Käufer rund 40 Prozent seiner Datenbasis verloren, weil er Einwilligungen nicht nachweisen konnte. Ergebnis: Der Kaufpreis für das Unternehmen wurde um rund 800.000 Euro reduziert.

Wo hakt es bei kleinen und mittelständischen Unternehmen (KMU) besonders?

In verschiedenen Bereichen. Sind zum Beispiel Einwilligungen veraltet oder fehlen sie gänzlich, ist die Nutzung der Daten rechtswidrig, und der Käufer kann die Datensätze nicht übernehmen. Das vermeintliche „Gold“ des Verkäufers löst sich in Wohlgefallen auf. Ist die Zweckbindung nicht eindeutig, ist eine neue Nutzung unzulässig, der Geschäftswert der Daten ist eingeschränkt. Aber auch im Verkaufsprozess selbst stecken schon Risiken. Werden die Daten im Rahmen der Due Diligence unzulässig übertragen, ist das ein schadensersatzpflichtiger Verstoß gegen den Datenschutz.

Käufer scheinen auf das Thema gut vorbereitet zu sein. Was verlangen sie heute?

Das ist auch nachvollziehbar, denn sie sehen in diesem Thema das Risikopotenzial für Ihr Investment und wollen es minimieren. Sie fordern daher vor allem Nachweise, dass alle Daten DSGVO-konform erhoben und aktuell sind. Außerdem legen sie Wert auf eine klare Trennung von Kundendaten, Mitarbeiterdaten, Lieferantendaten, auf schriftliche Einwilligungen oder dokumentierte Erlaubnistatbestände, auf definierte Prozesse für Auskunft, Löschung und Widerspruch sowie auf technische und organisatorische Maßnahmen – so genannte TOMs – gegen Datenverlust. Hier geht es um bares Geld, bewerten Käufer DSGVO-Risiken doch mit Preisabschlägen zwischen drei und acht Prozent des Gesamtwertes eines Unternehmens oder verlangen zusätzliche Sicherheiten.

Wie sollten sich Verkäufer und deren Berater darauf vorbereiten?

Gerade im Mittelstand fehlt oft die Sensibilität für die Tragweite des Themas. Fehlende DSGVO-Konformität ist kein „Formalfehler“, sondern ein Bewertungsrisiko! Deshalb legen wir con|cess M+A Partner einen besonderen Fokus darauf. Wir beginnen mit einer frühzeitigen Risikoanalyse und prüfen, ob Kundendaten, Newsletter-Abonnenten oder CRM-Systeme DSGVO-konform übertragbar sind. Bei der Deal-Strukturierung beraten wir, ob Share Deal oder Asset Deal aus Datenschutzsicht sinnvoller ist. Zur Absicherung der Due Diligence bereiten wir Datenräume so auf, dass Käufer Einsicht erhalten, ohne gegen Datenschutzrecht zu verstoßen. Für die Kaufverträge entwickeln wir gemeinsam mit spezialisierten Juristen präzise Garantieklauseln, um Haftungsrisiken zu minimieren. Außerdem kommunizieren wir im Verkaufsprozess den sauberen Datenbestand als Werttreiber und eben nicht als Risiko. Wer diesen vorweisen kann, verkauft das Unternehmen zu besseren Konditionen. So bleibt, was Unternehmer über Jahre aufgebaut haben, nämlich Kundendaten und Beziehungen, ein Asset und wird nicht zum Problem.