← Blog/Compliance

DSGVO-Risiken bei grenzüberschreitenden Übernahmen

Januar 2026·7 min read·JuristVault Research

Warum die DSGVO-Haftung nach dem Closing das am meisten unterschätzte Risiko bei europäischen M&A-Transaktionen ist — und die 5 Klauseln, die in den meisten SPAs fehlen.

Warum die DSGVO-Haftung das am meisten unterschätzte M&A-Risiko ist

Wenn M&A-Praktiker das Risiko eines Deals bewerten, konzentrieren sie sich typischerweise auf finanzielle, operative und rechtliche Risiken. Die DSGVO-Compliance erscheint meist als Checkbox-Übung in den letzten Phasen der Due Diligence.

Dies ist ein strukturelles Versäumnis mit zunehmend schwerwiegenden finanziellen Folgen. Nach der DSGVO können Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes betragen. Nach einer Akquisition erbt der Erwerber die DSGVO-Haftung des Zielunternehmens vollständig.

Der Europäische Datenschutzausschuss hat klargestellt, dass ein Kontrollwechsel die laufende Haftung eines Verantwortlichen nicht berührt. Hat das Zielunternehmen vor dem Closing personenbezogene Daten rechtswidrig verarbeitet, übernimmt der Erwerber die Verantwortung dafür ab dem ersten Eigentumstag.

Was nach dem Closing mit den Daten passiert

Das Closing löst eine Reihe datenbezogener Ereignisse aus, für die die meisten SPA-Rahmenwerke nicht ausgelegt sind:

→ Übertragung des Verantwortlichenstatus. Der Erwerber wird zum Verantwortlichen für alle personenbezogenen Daten des Zielunternehmens. Haben die Datenschutzhinweise keinen Kontrollwechsel vorgesehen, kann die weitere Verarbeitung ohne gültige Rechtsgrundlage erfolgen.

→ Grenzüberschreitende Übermittlungsauslöser. Bei grenzüberschreitenden Akquisitionen können in einer Rechtsordnung rechtmäßig gehaltene Daten nun für Einheiten in einer anderen zugänglich sein. Ohne angemessene Garantien (SCCs, BCRs oder Angemessenheitsbeschlüsse) stellt dies eine rechtswidrige Übermittlung dar.

→ Vererbung von Auftragsverarbeitungsverträgen. Die Datenverarbeitungsverträge des Zielunternehmens gehen auf den Erwerber über. Genügen diese den Anforderungen des Art. 28 DSGVO nicht, ist der Erwerber sofort nicht konform.

Die 5 DSGVO-Klauseln, die in den meisten SPAs fehlen

01

Gewährleistung des Verarbeitungsverzeichnisses

Die meisten SPAs gewährleisten, dass das Zielunternehmen «das anwendbare Datenschutzrecht einhält» — eine so allgemeine Gewährleistung, dass sie praktisch nicht durchsetzbar ist. Ein korrekt formuliertes SPA sollte eine spezifische Gewährleistung enthalten, dass das Zielunternehmen ein genaues Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 führt, das zum Zeitpunkt der Unterzeichnung aktuell war.

02

Erklärung zur Rechtsgrundlage der Verarbeitung

Das Zielunternehmen sollte für jede Kategorie verarbeiteter personenbezogener Daten die spezifische Rechtsgrundlage nach Art. 6 (und Art. 9 für besondere Kategorien) angeben. Ohne diese Erklärung kann der Erwerber nicht beurteilen, ob die weitere Verarbeitung nach dem Closing rechtmäßig ist.

03

Meldungshistorie bei Datenschutzverletzungen

Die DSGVO verlangt die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden. Zielunternehmen haben häufig nicht gemeldete Vorfälle, die intern als nicht meldepflichtig eingestuft wurden. Eine spezifische Freistellungsvereinbarung, die Meldepflichtverstöße vor dem Closing abdeckt, ist unerlässlich.

04

Freistellung für die Einhaltung der Betroffenenrechte

Zielunternehmen mit großen Verbraucherdatensätzen haben oft einen Rückstau offener Betroffenenanfragen — Auskunfts-, Löschungs- und Portabilitätsanfragen, die nicht innerhalb der gesetzlichen Frist bearbeitet wurden. Jede nicht erfüllte Anfrage ist ein eigenständiger Verstoß.

05

Zertifizierung des grenzüberschreitenden Übermittlungsmechanismus

Übermittelt das Zielunternehmen personenbezogene Daten in Drittländer, sollte das SPA eine Erklärung enthalten, dass für jede Übermittlung gültige Übermittlungsmechanismen bestehen, sowie eine Freistellung für SCCs, die durch Schrems II für ungültig erklärt wurden.

Reale Exposition: Unternehmen nach Akquisitionen sanktioniert

Die Aufsichtsbehörden gewähren nach Akquisitionen keine Schonfristen.

Marriott / Starwood

Bußgeld der ICO in Höhe von 99 Mio. £ für einen Datenschutzvorfall, der vor der Akquisition aufgetreten und nach dem Closing vererbt wurde. Marriott hatte keine angemessene DSGVO-Due-Diligence durchgeführt.

British Airways

Bußgeld von 20 Mio. £ für einen Vorfall, der Systeme und Praktiken betraf, die vor dem DSGVO-Geltungsdatum entstanden waren — ein Beleg dafür, dass Behörden Praktiken ganzheitlich bewerten.

Nachträgliche Benachrichtigungsfehler

Mehrere Durchsetzungsmaßnahmen in Frankreich, Deutschland und den Niederlanden richteten sich gegen Erwerber, die Betroffenen nach einem Kontrollwechsel keine neuen Datenschutzhinweise erteilt hatten.

Due-Diligence-Checkliste zur DSGVO-Konformität

Eine Mindest-DSGVO-Due-Diligence-Checkliste für grenzüberschreitende Akquisitionen mit EU-Personendaten:

1
VVT (Verzeichnis der Verarbeitungstätigkeiten) des Zielunternehmens anfordern und prüfen
2
Alle Kategorien personenbezogener Daten erfassen und Rechtsgrundlage für jede bestätigen
3
Alle Auftragsverarbeitungsverträge mit Drittauftragsverarbeitern prüfen
4
Grenzüberschreitende Übermittlungsmechanismen und Post-Schrems-II-Remediierungsstatus bestätigen
5
Datenpannenregister und DPA-Korrespondenz der letzten 3 Jahre prüfen
6
Rückstand offener Betroffenenanfragen und unbearbeiteter Anfragen bestätigen
7
Datenschutzhinweise auf Offenlegungspflichten bei Kontrollwechsel prüfen
8
Spezifische DSGVO-Freistellung für Nichtkonformität vor dem Closing einholen
9
DSGVO-Closing-Bedingung einschließen: Übergabe aktualisierter AVVs zum Closing-Datum
10
Nachträgliche Benachrichtigung der Betroffenen innerhalb von 30 Tagen nach dem Closing planen

Integrierte DSGVO-Analyse

JuristVault erkennt DSGVO-Risiken automatisch.

Jede SPA-Analyse umfasst DSGVO-Compliance-Hinweise, fehlende Klauseln und eine Risikoabschätzung für grenzüberschreitende Datentransfers.

Kostenlos starten