Datenschutz bei M&A-Transaktionen

Datenschutzrechtliche Beratung beim Unternehmenskauf

Durch die Vielzahl an Daten, die während einer M&A-Transaktion verarbeitet werden, stellt sich vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) die Frage, wie ein Transaktionsprozess datenschutzkonform ausgestaltet werden kann.

Alle Themen im Datenschutzrecht

Beschäftigtendatenschutz Binding Corporate Rules Blockchain und Datenschutz Datenpanne Datenschutzbeauftragter

Datenschutz-Compliance Datenschutz im Finanzsektor Datenschutz in der Cloud Datenschutz: M&A-Transaktionen Datenschutz: Softwarehersteller

Datenschutzschulung eGovernment Gesundheitsdatenschutz Kirchlicher Datenschutz Konzerndatenschutz

Löschkonzept Streit mit Aufsichtsbehörden Technische Maßnahmen (TOM) Verteidigung im Datenschutz

Wann sind die Regelungen der DSGVO beim Unternehmenskauf zu beachten?

Da die DSGVO keine speziellen Vorschriften für M&A-Transaktionen enthält, gelten hier die allgemeinen Regelungen, die ebenso für jede andere Datenverarbeitung beachtet werden müssen. So ist die DSGVO schon anwendbar, wenn das kaufende oder das verkaufende Unternehmen seinen Sitz in der Europäischen Union hat.

Auf Grund ihrer exterritorialen Wirkung, ist die DSGVO auch bei Unternehmenstransaktionen zu berücksichtigen, bei denen die beteiligten Unternehmen ihren Sitz außerhalb der EU haben. Dies ist in der Regel der Fall, wenn das zu kaufende Zielunternehmen seine Waren oder Dienstleistungen innerhalb der Europäischen Union anbietet und im Rahmen dessen personenbezogene Daten verarbeitet werden.

Personenbezogene Daten werden von Beginn an verarbeitet

Bereits beim ersten Kennenlernen der potenziellen Vertragsparteien werden personenbezogene Daten bei der Erstellung eines sogenannten Term Sheet verarbeitet. Im Zuge dessen vertiefen sich die Gespräche, in denen die Bedingungen und verwendeten Hilfsmittel für die Transaktion vereinbart werden. Allein durch die Aufnahme solcher Verhandlungen entsteht zwischen den Beteiligten bereits eine gemeinsame Verantwortlichkeit, welche die Pflichten aus Art. 26 DSGVO nach sich zieht.

Sofern einer oder beide Beteiligten einen Datenschutzbeauftragten bestellt haben, empfiehlt es sich, diesen bereits zu diesem frühen Zeitpunkt des Transaktionsprozesses einzubinden.

Haftungsverteilung bei M&A-Datenpanne vorab klären

Bevor ein interessiertes Unternehmen mit der Due Diligence beginnt, sollten sich die Parteien über die Haftungsverteilung im Fall einer Datenpanne einigen. Denn obwohl die Verkäuferseite den Großteil der Daten offenlegt, haften beide zunächst gesamtschuldnerisch. Zudem muss eine unrechtmäßige Übermittlung von Daten an Dritte verhindert werden.

Hierzu sollten die Voraussetzungen für die Einbindung externer Dienstleister von Anfang an geklärt werden, beispielsweise in Bezug auf die Errichtung von virtuellen Datenräumen zur Durchführung der Due Diligence.

Unsere Referenzen im Datenschutzrecht (Auszug)

VOK DAMS Events GmbH

PRO ASYL e.V.

Mein Grundeinkommen e.V.

Bitwala GmbH

Technische Hochschule Lübeck

Deutsche Herzstiftung e.V.

Auch das Käuferunternehmen ist zur Transparenz verpflichtet

Das kaufende Unternehmen hat in der Regel zu Beginn des Transaktionsprozesses die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten nach Maßgabe von Art. 14 DSGVO zu informieren, wobei dies oftmals im Konflikt mit den Interessen der Transaktionsbeteiligten steht, den Unternehmenskauf vertraulich durchzuführen. Problematisch wird es vor allem dann, wenn gesetzliche Vorgaben die Parteien zur Geheimhaltung der Verhandlungen verpflichten (z.B. durch das Wertpapierhandelsgesetz).

Ergebnis der Due Diligence bewerten

Nach einer abgeschlossenen Due Diligence stellt sich häufig die Frage, wie mit aufgedeckten Lücken in der Umsetzung der DSGVO beim Transaktionsobjekt und dem damit einhergehenden Haftungsrisiko umzugehen ist. Neben einer Minderung des Kaufpreises, sollte hier vor allem über einen Haftungsausschluss des Käufers für daraus entstandene Schäden nachgedacht werden.

Datenschutz bei Asset Deal und Share Deal

Welches datenschutzrechtliche Vorgehen des Käufers nach dem Signing sinnvoll ist, wird durch die Art der vereinbarten Transaktion bedingt. Bei einem Share Deal muss der Käufer die Betroffenen nur nochmals über eine Datenverarbeitung informieren, sofern diese im Rahmen einer Unternehmenseingliederung erneut offengelegt werden. Dem gegenüber ist bei einem Asset Deal eine Information der Betroffenen verpflichtend, da die Datenverarbeitung von einem rechtlich gesehen anderen Unternehmen durchgeführt wird.

Sie benötigen Unterstützung?

Sie haben Fragen zu unseren Leistungen oder möchten einen persönlichen Beratungstermin vereinbaren? Wir freuen uns auf Ihre Kontaktaufnahme! Häufig gestellte Fragen beantworten wir in unseren FAQs.

Oder rufen Sie uns an: +49 (0)69 76 75 77 80