Kauf
Due Diligence

Datenschutz in der Due Diligence: personenbezogene Daten und DSGVO beim Unternehmenskauf

Datenschutz in Due Diligence und Closing: Rechtsgrundlage für den Datenraum, Datenminimierung, Clean Team, Übermittlung und DSGVO-Compliance.

BRANDAUER Rechtsanwälte
Ihre Kanzlei

BRANDAUER Rechtsanwälte

Salzburger Kanzlei für Unternehmens-, Gesellschafts- und Transaktionsrecht

Hinter jeder Transaktion steht ein eingespieltes Team aus Rechtsanwälten, Juristen und Spezialisten. Fragen rund um den Unternehmenskauf prüfen wir mit Blick auf Struktur, Vertrag, Steuern und Haftung.

26. Juni 2026 · Mag. Bernhard Brandauer, Rechtsanwalt

Beim Kauf eines Unternehmens werden zahlreiche personenbezogene Daten sichtbar: Personalakten, Gehälter, Kundenlisten und Verträge mit Privatpersonen. Sobald diese Daten in den Datenraum gelangen oder beim Vollzug an den Erwerber übergehen, greift die Datenschutz-Grundverordnung. Datenschutz ist damit kein Randthema der Transaktion, sondern ein eigener Prüfungsgegenstand.

Dieser Beitrag zeigt, worauf es beim Datenschutz in der Due Diligence und beim Closing ankommt. Im Mittelpunkt stehen die Rechtsgrundlage für die Offenlegung im Datenraum, die Datenminimierung durch Schwärzung und Clean Team, die Übermittlung der Daten beim Asset-Deal-Closing sowie die Datenschutz-Compliance des Zielunternehmens selbst.

Aus anwaltlicher Sicht verlangt der Datenschutz eine doppelte Betrachtung: Die Transaktion selbst muss datenschutzkonform ablaufen und zugleich ist die Datenschutz-Reife des Zielunternehmens zu prüfen. Beides fließt in die Bewertung und in die Garantien des Kaufvertrags ein.

Ihren Datenschutz in der Prüfung einordnen

Ist die Offenlegung der Daten datenschutzkonform?

Beantworten Sie ein bis zwei Fragen zu Rechtsgrundlage und Schutzmaßnahmen. Sie erhalten eine erste Einordnung der wichtigsten datenschutzrechtlichen Prüfpunkte.

Sie wissen schon, dass Sie eine Anfrage stellen wollen? Direkt zum Anfrageformular.

01 Frage 1

Gibt es eine Rechtsgrundlage für die Offenlegung personenbezogener Daten im Datenraum?

Mitarbeiter- und Kundendaten im Datenraum sind personenbezogene Daten. Ihre Offenlegung braucht eine Grundlage nach der DSGVO, meist das berechtigte Interesse.

Alle Pfade im Überblick

Übersicht aller Antworten.

01

Ohne Rechtsgrundlage ist die Offenlegung der Daten im Datenraum unzulässig.

Wer Mitarbeiter- oder Kundendaten ohne Rechtsgrundlage in den Datenraum stellt, riskiert einen Verstoß gegen die DSGVO. Klären Sie vor der Öffnung des Datenraums die Grundlage der Offenlegung, in der Regel das berechtigte Interesse nach Art 6 DSGVO. Dokumentieren Sie die dazu nötige Interessenabwägung. Erst danach gehören die Daten in den Datenraum. Wie sich die Prüfung insgesamt aufbaut, zeigt der Beitrag zur Due-Diligence-Checkliste.

Erst mit einer sauberen Rechtsgrundlage lässt sich die Prüfung der Daten ohne datenschutzrechtliches Risiko beginnen.

02

Grundlage und Schutzmaßnahmen stehen, jetzt zählt die saubere Umsetzung.

Sind Rechtsgrundlage und Schutzmaßnahmen vorhanden, ist die datenschutzrechtliche Seite gut aufgesetzt. Achten Sie zusätzlich auf die Übermittlung der Daten beim Closing, auf etwaige Auftragsverarbeitungen und auf die Informationspflichten gegenüber Mitarbeitern und Kunden. Wie sich der Datenschutz in die Garantien einfügt, zeigt der Beitrag zum Garantiekatalog.

Eine kurze anwaltliche Durchsicht stellt sicher, dass die Offenlegung und die spätere Übermittlung der Daten datenschutzkonform abgewickelt werden.

03

Die Schutzmaßnahmen sind unvollständig, eine Nachschärfung ist ratsam.

Solange die Daten im Datenraum nicht durch Schwärzung, Pseudonymisierung und Need-to-know geschützt sind, droht eine übermäßige Offenlegung personenbezogener Daten. Begrenzen Sie die Offenlegung auf das für die Prüfung Nötige, vereinbaren Sie ein Clean Team für besonders sensible Daten und legen Sie den Kreis der Zugriffsberechtigten fest. Wie die Datenschutz-Compliance des Zielunternehmens darüber hinaus zu prüfen ist, behandelt der Beitrag zu IP und IT in der Due Diligence.

Lassen Sie die Schutzmaßnahmen vor der Öffnung des Datenraums vervollständigen. Einmal offengelegte Daten lassen sich nicht zurückholen.

Rechtsgrundlage für die Offenlegung im Datenraum

Die Daten, die ein Verkäufer im Datenraum offenlegt, enthalten regelmäßig personenbezogene Informationen: Namen von Mitarbeitern und Kunden, Gehälter, Verträge und manchmal Gesundheits- oder andere sensible Daten. Jede Verarbeitung solcher Daten braucht nach der DSGVO eine Rechtsgrundlage. Für die Offenlegung im Rahmen einer Transaktion stützt sich die Praxis meist auf das berechtigte Interesse nach Art 6 DSGVO.

Das berechtigte Interesse verlangt eine Abwägung zwischen dem Interesse der Parteien an der Prüfung und den Interessen der betroffenen Personen. Diese Abwägung sollte dokumentiert werden, damit sie im Streitfall belegbar ist. Bei besonders sensiblen Daten reicht das berechtigte Interesse oft nicht aus; hier ist eine zusätzliche Absicherung nötig.

Wichtig ist, die Rechtsgrundlage vor der Öffnung des Datenraums zu klären. Wer Daten zuerst offenlegt und die Grundlage erst später sucht, hat die Verarbeitung bereits vorgenommen. Wie sich diese Frage in die Gesamtprüfung einordnet, zeigt der Beitrag zur Due-Diligence-Checkliste.

Datenminimierung, Need-to-know und Clean Team

Auch mit einer Rechtsgrundlage gilt der Grundsatz der Datenminimierung. Offengelegt werden soll nur, was die Prüfung tatsächlich erfordert. In der Praxis bedeutet das Schwärzung und Pseudonymisierung: Namen werden entfernt, Gehälter aggregiert, einzelne Personen nicht mehr unmittelbar erkennbar gemacht. So lässt sich der wirtschaftliche Gehalt der Information prüfen, ohne die betroffenen Personen unnötig offenzulegen.

Ergänzend gilt das Need-to-know-Prinzip: Zugriff erhält nur, wer die Daten für seine Aufgabe braucht. Für besonders sensible Informationen, etwa Wettbewerbsdaten oder einzelne Gehälter, hat sich das Clean Team bewährt. Dabei sieht ein eng begrenzter, oft externer Kreis die Rohdaten und gibt nur aggregierte Ergebnisse an die Parteien weiter.

Diese Maßnahmen schützen nicht nur die betroffenen Personen, sondern auch die Parteien selbst, etwa vor kartellrechtlichen Bedenken bei einem Austausch sensibler Wettbewerbsdaten. Den Begriff der Due Diligence vertiefen wir auf unserer Schwerpunktseite zur Due Diligence.

Übermittlung der Daten beim Closing

Beim Vollzug der Transaktion stellt sich die Datenschutzfrage erneut. Im Asset Deal gehen die Daten mit dem Betrieb auf den Erwerber über; dieser Übergang ist eine eigene Verarbeitung mit eigener Rechtsgrundlage und eigenen Informationspflichten. Mitarbeiter und Kunden sind über den neuen Verantwortlichen zu informieren, sobald der Betrieb übergeht.

Im Share Deal bleiben die Daten dagegen bei der Gesellschaft, weil sich nur der Inhaber der Anteile ändert. Eine Übermittlung an einen neuen Verantwortlichen findet nicht statt; die Informationspflichten richten sich nach der konkreten Lage. Diese Unterscheidung folgt der allgemeinen Struktur, die der Beitrag zum Garantiekatalog für die vertragliche Absicherung aufgreift.

Zu beachten sind ferner bestehende Auftragsverarbeitungen. Setzt das Unternehmen Dienstleister ein, etwa für Lohnverrechnung oder Cloud, müssen die entsprechenden Verträge fortgeführt oder neu geschlossen werden. Wo IT und Cloud personenbezogene Daten verarbeiten, greift der Datenschutz mit den IT-Verträgen ineinander, wie der Beitrag zu IP und IT in der Due Diligence zeigt.

Die wichtigsten Prüfpunkte

Worauf es beim Datenschutz in der Transaktion ankommt

Diese Punkte entscheiden über die datenschutzkonforme Abwicklung. Prüfen Sie jeden einzeln.

Datenschutzrechtliche Prüfpunkte in der Due Diligence und beim Closing mit empfehlenswerter Gestaltung und möglichem Risiko
Prüfpunkt Empfehlenswert Mögliches Risiko
Rechtsgrundlage Berechtigtes Interesse dokumentiert Abwägung vor der Öffnung des Datenraums Offenlegung ohne tragfähige Grundlage
Datenminimierung Schwärzung und Pseudonymisierung Nur das für die Prüfung Nötige offengelegt Alle Daten offen einsehbar
Clean Team Sensible Daten abgeschottet Nur aggregierte Ergebnisse an die Parteien Wettbewerbsdaten ungefiltert ausgetauscht
Übermittlung Eigene Grundlage beim Closing Informationspflichten gegenüber Betroffenen erfüllt Datenübergang ohne Information der Betroffenen
Compliance Reife des Zielunternehmens geprüft Verarbeitungsverzeichnis und TOMs vorhanden Offene Datenpannen und fehlende Maßnahmen

Die konkrete Ausgestaltung der Maßnahmen hängt von der Sensibilität der Daten ab. Besondere Kategorien personenbezogener Daten verlangen einen strengeren Schutz als allgemeine Geschäftskontakte.

Achtung bei ungeschützter Offenlegung: Wer personenbezogene Daten ohne Rechtsgrundlage in den Datenraum stellt oder die Daten beim Closing ohne Information der Betroffenen übermittelt, riskiert einen Verstoß gegen die DSGVO und empfindliche Folgen. Lassen Sie den Datenschutz der Transaktion vor der Öffnung des Datenraums prüfen. Ein Erstgespräch vereinbaren (72 Euro) kann hier rasch Klarheit schaffen.

Datenschutz-Compliance des Zielunternehmens

Neben der Transaktion selbst ist die Datenschutz-Reife des Zielunternehmens ein eigener Prüfungsgegenstand. Geprüft werden das Verzeichnis der Verarbeitungstätigkeiten, die technischen und organisatorischen Maßnahmen, der Umgang mit Datenpannen und die Erfüllung der Betroffenenrechte wie Auskunft und Löschung. Ein Unternehmen mit lückenhafter Compliance bringt ein latentes Risiko mit.

Solche Befunde wirken sich auf die Bewertung und auf die Garantien aus. Üblich sind Garantien zur Einhaltung der DSGVO, zum Vorliegen der Verarbeitungsverzeichnisse und zum Fehlen offener Datenschutzverfahren. Erkannte Risiken, etwa eine laufende behördliche Prüfung, lassen sich durch eine gezielte Freistellung absichern.

In der Praxis lohnt es sich, den Datenschutz früh in die Prüfung einzubeziehen, weil er die Offenlegung, das Closing und die Bewertung zugleich berührt. Eine erste Einschätzung der Gesamtrisiken liefert unser M&A-Transaktions-Risikoprofil.

FAQ

Datenschutz in der Due Diligence beim Unternehmenskauf.

Brauche ich für den Datenraum eine datenschutzrechtliche Grundlage? +

Ja, sobald der Datenraum personenbezogene Daten enthält, braucht die Offenlegung eine Rechtsgrundlage nach der DSGVO. In der Praxis stützt sich die Offenlegung meist auf das berechtigte Interesse nach Art 6 DSGVO, verbunden mit einer dokumentierten Interessenabwägung. Diese Grundlage sollte vor der Öffnung des Datenraums geklärt sein.

Was ist ein Clean Team in der Due Diligence? +

Ein Clean Team ist ein eng begrenzter, oft externer Kreis von Personen, der besonders sensible Daten einsehen darf und nur aggregierte Ergebnisse an die Parteien weitergibt. Es dient der Datenminimierung und schützt zugleich vor kartellrechtlichen Bedenken beim Austausch sensibler Wettbewerbsdaten, etwa einzelner Preise oder Gehälter.

Ist die Datenübermittlung beim Closing datenschutzrelevant? +

Im Asset Deal gehen die Daten mit dem Betrieb auf den Erwerber über; dieser Übergang ist eine eigene Verarbeitung mit eigener Grundlage und Informationspflichten gegenüber Mitarbeitern und Kunden. Im Share Deal bleiben die Daten dagegen bei der Gesellschaft, weil sich nur der Inhaber der Anteile ändert. Die Informationspflichten richten sich dann nach der konkreten Lage.

Themen
DatenschutzDSGVODatenraumClean TeamDue Diligence

Transaktion strukturieren, Vertrag prüfen, Risiken absichern?

Beim Unternehmenskauf entscheiden Struktur, Prüfung und Vertrag. Rufen Sie direkt an oder schreiben Sie uns, Rückruf innerhalb eines Werktags.

Kontakt

Direkter Draht in die Kanzlei.

Anschrift

BRANDAUER Rechtsanwälte GmbH Giselakai 51 5020 Salzburg