Due Diligence und Datenschutz – worauf Unternehmen bei Prüfungen achten müssen

Im Rahmen einer Due Diligence können verschiedene Datenarten betroffen sein, zum Beispiel:

• Mitarbeiterdaten
• Daten der Geschäftsführung
• Kunden- und Lieferantendaten

Diese Informationen enthalten oft sensible Inhalte wie:

• Kontaktdaten
• Gehaltsinformationen
• Vertragsdaten

Damit ist klar: Es handelt sich um personenbezogene Daten, die geschützt werden müssen.

Bei einer Due Diligence treffen zwei Interessen aufeinander:

• das Interesse der Käufer an möglichst vielen Informationen
• das Interesse der Betroffenen am Schutz ihrer Daten

Unternehmen müssen daher sorgfältig prüfen:

Welche Daten sind wirklich notwendig – und welche nicht?

Diese Abwägung ist entscheidend für eine datenschutzkonforme Prüfung.

Ein zentraler Grundsatz lautet:
So viele Daten wie nötig – so wenige wie möglich.

Das bedeutet:

• nur erforderliche Daten weitergeben
• unnötige Informationen vermeiden
• Daten möglichst anonymisieren oder zusammenfassen

Oft reichen bereits allgemeine oder statistische Angaben aus, um ein Unternehmen zu bewerten.

Auch bei einer Due Diligence braucht jede Datenverarbeitung eine rechtliche Grundlage.

In vielen Fällen kommt das berechtigte Interesse zum Einsatz.

Dabei gilt:

• die Verarbeitung muss notwendig sein
• die Interessen der betroffenen Personen dürfen nicht überwiegen

Diese Abwägung sollte immer dokumentiert werden.

Wenn personenbezogene Daten verarbeitet werden, müssen geeignete Schutzmaßnahmen umgesetzt werden, zum Beispiel:

• Anonymisierung oder Pseudonymisierung
• eingeschränkter Zugriff auf Datenräume
• klare Nutzungsregeln für die Daten

Auch pseudonymisierte Daten bleiben geschützt und müssen entsprechend behandelt werden.

Datenschutzrechtlich ist es wichtig, zwischen zwei Formen zu unterscheiden:

• Es werden Anteile am Unternehmen übertragen
• die Verantwortlichkeit bleibt gleich
• weniger Änderungen beim Datenschutz

• Einzelne Vermögenswerte werden übertragen
• die Verantwortlichkeit kann sich ändern
• zusätzliche Informationspflichten entstehen

In diesem Fall müssen betroffene Personen darüber informiert werden, wer künftig ihre Daten verarbeitet.

In der Praxis treten häufig Probleme auf:

• zu viele Daten werden offengelegt
• fehlende oder unklare Rechtsgrundlage
• unzureichende Schutzmaßnahmen
• fehlende Dokumentation

Diese Fehler können zu Datenschutzverstößen führen.

Für eine datenschutzkonforme Due Diligence sind folgende Punkte wichtig:

• nur notwendige Daten verwenden
• möglichst anonymisierte Daten einsetzen
• klare Zugriffsregelungen festlegen
• Interessenabwägung dokumentieren
• Betroffene informieren, wenn erforderlich

Eine gute Vorbereitung hilft, Risiken zu vermeiden.

Die Due Diligence ist ein wichtiger Bestandteil von Unternehmensentscheidungen – aber kein datenschutzfreier Raum.

Wichtig ist:

• personenbezogene Daten nur im notwendigen Umfang nutzen
• Interessen sorgfältig abwägen
• Schutzmaßnahmen konsequent umsetzen

Datenschutz ist auch bei Unternehmensprüfungen unverzichtbar – und ein Zeichen für verantwortungsvolles Handeln.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz