Die meisten denken bei Datenschutz an Bußgelder und Bürokratie. Spätestens bei Firmenverkäufen zeigt sich jedoch sehr schnell, dass Datenschutz ein echter Wertfaktor ist. In jeder Due Diligence stellt die Käuferseite dieselbe Kernfrage: Sind personenbezogene Daten sauber dokumentiert, rechtssicher verarbeitet und technisch beherrschbar. Wenn nicht, sinkt der Unternehmenswert, und zwar nicht aus Prinzip, sondern aus kalkulierbaren Risikoüberlegungen.

Oft scheitert es in der Praxis nicht am Willen, sondern an der technischen Umsetzung von Löschkonzepten in gewachsenen Systemen. Genau hier entsteht ein operatives Risiko, das Käufer sehr konkret bewerten. Denn die Käufer übernehmen nach Closing nicht nur ein Geschäftsmodell, sondern auch die Verantwortung für den zukünftigen Betrieb, für Betroffenenanfragen, für mögliche Prüfungen und Beschwerden sowie für die Fähigkeit, rechtliche Anforderungen tatsächlich umzusetzen. Papier ist dabei wenig wert, wenn die Systemlandschaft faktisch keine selektive, nachvollziehbare Löschung zulässt.

Warum Käufer dieses Risiko so ernst nehmen

Datenhistorie kann strategisch wertvoll sein, etwa für Vertrieb, Produktentwicklung, Analysen oder Kundenbindung. Gleichzeitig kann sie rechtlich belastet sein, wenn Rechtsgrundlagen unklar sind, Zwecke über die Jahre verwischen, Speicherfristen nicht umgesetzt werden oder Daten in Alt Systemen, Archiven, Data Lakes oder Schatten IT liegen, die keine sauberen Löschläufe ermöglichen. Aus Käufersicht ist das kein theoretisches Datenschutzproblem, sondern ein Integrations- und Haftungsrisiko.

Der entscheidende Punkt lautet: Datenschutzpflichten müssen nicht nur organisatorisch beschrieben, sondern technisch und organisatorisch wirksam umgesetzt werden. Die Grundsätze der Datenminimierung und Speicherbegrenzung sowie die Rechenschaftspflicht und die Pflicht zu geeigneten technischen und organisatorischen Maßnahmen sind keine Absichtserklärungen, sondern Prüfmaßstäbe. Wenn ein Unternehmen im Kern nicht zeigen kann, dass Löschung, Zweckbindung und Zugriffskontrolle tatsächlich funktionieren, wird die Datenhistorie vom Asset zur Liability (Verordnung (EU) 2016/679, Art. 5 Abs. 1 lit. c und e, Art. 5 Abs. 2, Art. 24, Art. 25, Art. 32, Art. 17).

Wie Käufer das operative Löschrisiko bewerten

In der Praxis wird das Risiko entlang von vier Dimensionen bewertet.

Erstens Löschbarkeit und Nachweisfähigkeit. Käufer prüfen, ob Löschroutinen pro System und Datendomäne existieren, ob Löschläufe dokumentiert sind und ob sich die Umsetzung auditieren lässt. Kritisch sind dabei nicht nur Kernsysteme, sondern auch Backups, Archive, Ticket Systeme, E Mail Postfächer, Fileshares, Analyseplattformen und Kopien für Tests oder Auswertungen.

Zweitens „Cost to Comply“. Käufer rechnen sehr nüchtern, was es kostet, die Landschaft in einen Zustand zu bringen, in dem Löschung und Betroffenenrechte verlässlich erfüllt werden können. Dazu zählen Dateninventar, Datenklassifikation, Berechtigungskonzepte, Schnittstellenbereinigung, Legacy Ablösung, technische Löschmechanismen, Protokollierung und ein Testregime.

Drittens „Value at Risk“. Käufer fragen, welche Umsätze, Prozesse oder Produkte von genau den Daten abhängen, die rechtlich belastet sind. Wenn die Daten später nicht nutzbar sind oder nur eingeschränkt verwendet werden dürfen, sinkt der Wert des Deal Rationales.

Viertens Zeit und Integrationsfähigkeit. Selbst wenn eine Wiederherstellung möglich ist, zählt die Dauer. Passt die Umsetzung in die geplante „Post Merger Integration“ oder blockiert sie wesentliche Synergien.

Typische Konsequenzen im Deal

Wenn die Datenhistorie strategisch wertvoll, aber rechtlich belastet ist, reagieren Käufer typischerweise auf drei Arten.

Erstens Kaufpreiswirkung. Das Risiko wird eingepreist, entweder weil Daten nicht nutzbar sind oder weil hohe Sanierungskosten zu erwarten sind.

Zweitens Deal Struktur. Käufer verlangen spezifische Garantien, Freistellungen oder Einbehalte, etwa Escrow oder Holdbacks*. Häufig werden Wiederherstellungspflichten als Bedingungen oder als Post Closing Verpflichtungen formuliert, inklusive Fristen und Nachweisen.

Drittens Scope Steuerung. Bestimmte Datensätze werden aus dem Transfer ausgeschlossen, nur pseudonymisiert übertragen, isoliert verarbeitet oder ihre Nutzung wird bis zur Sanierung vertraglich eingeschränkt.

Die Logik dahinter ist immer dieselbe: Der Käufer will vermeiden, ein latentes Haftungs- und Kostenpaket zu übernehmen, das später teuer und operativ schmerzhaft wird.

Was Unternehmen tun können, bevor es teuer wird

Die gute Nachricht ist: Auch in gewachsenen Umgebungen lässt sich das Risiko beherrschbar machen, wenn man realistisch priorisiert und nachweisfähig arbeitet. Entscheidend ist ein belastbares Zielbild, das nicht mit Hochglanzrichtlinien beginnt, sondern mit Umsetzbarkeit.

Dazu gehören ein aktuelles Dateninventar und nachvollziehbare Datenflüsse, klare Rechtsgrundlagen und Speicherfristen pro Datendomäne, eine technische Löschfähigkeitsanalyse je System, dokumentierte Ausnahmen wie Legal Holds sowie ein realistischer Maßnahmenplan mit Verantwortlichkeiten, Budget und Testnachweisen. Besonders überzeugend sind harte Nachweise, etwa Protokolle über Löschläufe, Kennzahlen zu Betroffenenanfragen und dokumentierte Wiederherstellungs und Löschtests. Rechenschaft ist im M A Kontext kein Formalismus, sondern ein Werttreiber (Verordnung (EU) 2016/679, Art. 5 Abs. 2, Art. 24).

Fazit: Datenschutz ist Bewertungsgrundlage, weil er Nutzbarkeit schafft

Käufer bewerten nicht, ob Datenschutz gemeint ist, sondern ob er operativ funktioniert. Wenn Löschkonzepte in Legacy Systemen nur auf dem Papier existieren, wird Datenhistorie zur Deal Belastung, mit unmittelbarer Wirkung auf Kaufpreis, Deal Struktur und Integrationsaufwand. Gut organisierter Datenschutz dagegen erhöht den Unternehmenswert, weil er Daten rechtssicher nutzbar macht, Risiken quantifizierbar reduziert und die Post Merger Integration beschleunigt.

Wenn Sie Ihr Unternehmen perspektivisch verkaufen wollen, lohnt sich ein früher Realitätscheck: Nicht das Vorhandensein eines Löschkonzepts ist entscheidend, sondern die nachweisbare technische Umsetzung in der gelebten Systemlandschaft.

* Exkurs: Damit ist gemeint, dass die Käuferseite im Unternehmenskaufvertrag zusätzliche Sicherungsmechanismen verlangt, um sich gegen konkrete Risiken abzusichern, hier insbesondere gegen Datenschutz und IT Altlasten, die nach dem Kauf teuer werden können.

Garantien sind vertragliche Zusicherungen des Verkäufers, dass bestimmte Aussagen zum Unternehmen stimmen, zum Beispiel dass die Verarbeitung personenbezogener Daten rechtskonform erfolgt, dass es ein Löschkonzept gibt, dass keine behördlichen Verfahren laufen oder dass es keine wesentlichen Datenschutzverstöße gab. Stellt sich nach dem Closing heraus, dass eine Garantie falsch war, hat der Käufer je nach Vertragsmechanik Anspruch auf Schadensersatz, Kaufpreisminderung oder andere Rechtsfolgen.

Freistellungen sind Zusagen des Verkäufers, bestimmte Schäden oder Ansprüche vollständig zu übernehmen, wenn ein konkret beschriebenes Risiko eintritt. Das ist typischerweise enger und risikobezogener als eine allgemeine Garantie. Beispiel: Es wird eine Freistellung vereinbart für Bußgelder, Verteidigungskosten oder Schadensersatzforderungen, die aus einem bereits bekannten Datenschutzvorfall oder aus einem konkret benannten Systemproblem resultieren.

Einbehalte sind Kaufpreisbestandteile, die nicht sofort ausgezahlt werden, sondern zunächst zurückbehalten werden, um mögliche Ansprüche des Käufers abzusichern. Zwei häufige Formen sind Escrow und Holdback.

Escrow bedeutet, dass ein Teil des Kaufpreises auf ein Treuhandkonto bei einem neutralen Dritten, meist einer Bank oder einem Treuhänder, eingezahlt wird. Aus diesem Topf werden später Ansprüche des Käufers bedient, wenn die vertraglich definierten Voraussetzungen eintreten. Wenn nichts passiert, wird das Geld nach Ablauf einer Frist an den Verkäufer ausgekehrt.

Holdback bedeutet, dass der Käufer einen Teil des Kaufpreises selbst einbehält und erst später auszahlt, wenn bestimmte Fristen abgelaufen sind oder definierte Bedingungen erfüllt wurden, zum Beispiel die erfolgreiche Umsetzung eines Maßnahmenplans, der Nachweis technisch funktionierender Löschprozesse oder das Ausbleiben von Behördenverfahren.

Kurz gesagt: Käufer nutzen Garantien, Freistellungen und Einbehalte, um Datenschutzrisiken in Geld, Haftung und Verantwortlichkeit zu übersetzen, bevor sie kaufen. Das wirkt sich oft direkt auf Kaufpreis, Zahlungszeitpunkt und Verhandlungsmacht aus.

Fragen zum Thema oder zu Löschkonzepten?

Vereinbaren Sie einen Termin. Klicken Sie auf den Button