Personen an Schreibtisch

Die Rolle der DSGVO beim Unternehmenskauf (Due Diligence)

Auch bei Unternehmenstransaktionen (Mergers & Acquisitions) gewinnt der Datenschutz an Bedeutung, da sich das Haftungsrisiko für Investoren seit der DSGVO stark erhöht hat. Wir erklären, welche datenschutzrechtlichen Aspekte deshalb in der Due Diligence zu beachten sind.

2020-08-03

Logo

2019 wurde gegen die Hotelkette Marriott ein Bußgeld von fast 100 Mio. Pfund verhängt, da sich herausstellte, dass es erhebliche Sicherheitslücken in den IT-Systemen der 2016 aufgekauften Starwood-Hotels gab. Denn bei einem Unternehmenskauf werden auch die datenschutzrechtlichen Pflichten sowie die Haftung für begangene Verstöße (egal, ob in der Vergangenheit oder aktuell) übernommen. Das kann, wie dieses Beispiel zeigt, teuer werden, wenn der Datenschutz bei der sorgfältigen Prüfung des Übernahme- bzw. Investitionskandidaten vor Unternehmenstransaktionen (Due Diligence) zu wenig Beachtung gefunden hat. Gemäß Schiller heißt es daher beim Unternehmenskauf: Drum prüfe, wer sich ewig bindet! Was es im Einzelnen zu beachten gibt, erfahren Sie hier.

 

Wie wirkt sich geltendes Datenschutzrecht auf Unternehmenstransaktionen aus?

  • Der gesammelte Datenbestand aber auch das Datenschutz-Niveau spielen heute in der Bewertung eines Unternehmens eine immer größere Rolle. Der Kauf- oder Investitionspreis für Unternehmen ist inzwischen also auch von datenschutzrechtlichen Aspekten abhängig.

  • Bei Mergers & Acquisitions kommt es fast immer zur Weitergabe von personenbezogen Daten, darum muss beachtet werden, was dieser Umstand für die jeweilige Form der Transaktion rechtlich bedeutet.
    • Bei einem Share Deal (Anteilsbeteiligung an einem Unternehmen) ist zwar die Rechtsgrundlage der weiteren Verarbeitung der Kund:innendaten weniger problematisch, der / die Erwerber:in muss aber für mögliche Datenschutzlücken des Target-Unternehmens einstehen. Bei Verschmelzungen von Unternehmen handelt es sich um eine Umstrukturierung nach dem Umwandlungsgesetz (UmwG) und die Übertragung der Rechte zur Datenverarbeitung erfolgt durch die sog. „Gesamtrechtsnachfolge“. Da sich der / die Verantwortliche im datenschutzrechtlichen Sinne ändert, sind die Betroffenen hierüber zu informieren.
    • In sog. Asset Deals werden einzelne Vermögenswerte eines Unternehmens erworben und das können auch personenbezogene Daten (i.d.R. vor allem Kundendaten) sein. Wenn personenbezogene Kundendaten veräußert werden und es sich dabei nicht lediglich um Daten handelt, die zur Vertragsdurchführung oder zur werblichen Ansprache notwendig sind, so ist der Inhaberwechsel nur unter vorheriger Einwilligung des Kunden / der Kundin nach Information über die geplante Übermittlung unter Hinweis auf das Widerspruchsrecht möglich. Wird beim Deal nicht DSGVO-konform vorgegangen, kann das sogar zur Nichtigkeit des Kaufvertrags führen.
  • In gewisser Weise kann sich der Datenschutz auch einschränkend auf die Due Diligence auswirken, da personenbezogene Daten, die den / die potentielle:n Käufer:in oder den / die Investor*in interessieren könnten, natürlich auch dem Datenschutz unterliegen. Grundsätzlich ist die Weitergabe statistischer Daten der Weitergabe konkreter personenbezogener Daten vorzuziehen. Da das Schutzinteresse der Mitarbeiter:innen mit dem Käufer:inneninteresse an der Beurteilung des Unternehmenswertes abzuwägen ist, kann je nach Ergebnis nur eine Einwilligung der Mitarbeiter:innen die Datenweitergabe legitimieren. Da diese jedoch an hohen Kriterien gemessen werden und ebenso wiederrufbar sind, stellen Einwilligungserklärungen nicht die sicherste Rechtsgrundlage dar.

 

Worauf sollte datenschutzrechtlich bei der Due Diligence geachtet werden?

Datenschutzrechtliche Aspekte sind Teil der Legal Due Diligence, aber auch in anderen Bereichen des Prüfungsprozesses gibt es – abhängig vom Schwerpunkt der jeweiligen Unternehmenstätigkeit – Anknüpfpunkte zum Datenschutz. Im Rahmen der Tech Due Diligence wird z.B. die Datensicherheit geprüft. Bei einem Target-Unternehmen aus dem E-Commerce sollte der Blick auf die Vollständigkeit der Datenschutzerklärung und notwendige Einwilligungserklärungen gelegt werden.

Um ein „eingekauftes“ Bußgeld zu vermeiden, ist einer der wichtigsten Punkte in der Datenschutz-Due-Diligence ein vollständiges Data Mapping, d.h. es muss dargestellt werden, welche personenbezogenen Daten wo, wie und mit welchem Verwendungszweck auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden. Dabei spielt das Verzeichnis von Verarbeitungstätigkeiten (VVT) des Target-Unternehmens eine wichtige Rolle.

Insbesondere folgende Fragen zum Datenschutz sollten im Rahmen der Due Diligence geklärt werden:

  • Wurde mit dem Target-Unternehmen eine Vertraulichkeitsvereinbarung geschlossen?

  • Verarbeitet das Target-Unternehmen personenbezogene Daten und handelt es sich dabei um keine besonders sensiblen personenbezogenen Daten nach Art. 9 DSGVO? (Denn für sog. besondere Kategorien von personenbezogenen Daten gilt ein noch höheres Schutzniveau.)

  • Hält das Unternehmen die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO ein? (z.B. Transparenz, Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit)

  • Liegt eine DSGVO-konforme Rechtsgrundlage für alle Datenverarbeitungen im Unternehmen vor? (Personenbezogene Daten, auf die dies nicht zutrifft, werden rechtswidrig verarbeitet und können auch nicht nachträglich legalisiert werden.)

  • Kommt das Unternehmen allen Pflichten der DSGVO nach? (z.B. Führung eines Verarbeitungsverzeichnisses (VVT), Implementierung von technischen und organisatorischen Maßnahmen (TOM) zum Schutz von personenbezogen Daten, Abschluss von Auftragsverarbeitungsverträgen (AVV) mit allen Dienstleistern, die auf Weisung des Unternehmens personenbezogene Daten verarbeiten)

 

Da es sich bei Unternehmenstransaktionen um ein sehr komplexes Rechtsgebiet handelt, kommt der Datenschutz in der Due Diligence oft noch zu kurz. Ein gründlicher Prüfungsprozess bedarf ausreichend Zeit und durch das gestiegene Haftungsrisiko sollte auch das Bewusstsein dafür wachsen, dass Datenschutzaspekte hier nicht übergangen werden dürfen und sogar eine ausschlaggebende Rolle spielen können.

Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 03.08.2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr