Datenschutz bei M&A-Transaktionen

Durch die Vielzahl an Daten, die während einer M&A-Transaktion verarbeitet werden, stellt sich vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) die Frage, wie ein Transaktionsprozess datenschutzkonform ausgestaltet werden kann.

Bereits beim ersten Kennenlernen der potenziellen Vertragsparteien werden personenbezogene Daten bei der Erstellung eines sogenannten Term Sheet verarbeitet. Im Zuge dessen vertiefen sich die Gespräche, in denen die Bedingungen und verwendeten Hilfsmittel für die Transaktion vereinbart werden. Allein durch die Aufnahme solcher Verhandlungen entsteht zwischen den Beteiligten bereits eine gemeinsame Verantwortlichkeit, welche die Pflichten aus Art. 26 DSGVO nach sich zieht.

Sofern einer oder beide Beteiligten einen Datenschutzbeauftragten bestellt haben, empfiehlt es sich, diesen bereits zu diesem frühen Zeitpunkt des Transaktionsprozesses einzubinden.

Bevor ein interessiertes Unternehmen mit der Due Diligence beginnt, sollten sich die Parteien über die Haftungsverteilung im Fall einer Datenpanne einigen. Denn obwohl die Verkäuferseite den Großteil der Daten offenlegt, haften beide zunächst gesamtschuldnerisch. Zudem muss eine unrechtmäßige Übermittlung von Daten an Dritte verhindert werden. Hierzu sollten die Voraussetzungen für die Einbindung externer Dienstleister von Anfang an geklärt werden, beispielsweise in Bezug auf die Errichtung von virtuellen Datenräumen zur Durchführung der Due Diligence.

Das kaufende Unternehmen hat in der Regel zu Beginn des Transaktionsprozesses die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten nach Maßgabe von Art. 14 DSGVO zu informieren, wobei dies oftmals im Konflikt mit den Interessen der Transaktionsbeteiligten steht, den Unternehmenskauf vertraulich durchzuführen. Problematisch wird es vor allem dann, wenn gesetzliche Vorgaben die Parteien zur Geheimhaltung der Verhandlungen verpflichten (z.B. durch das Wertpapierhandelsgesetz).

Nach einer abgeschlossenen Due Diligence stellt sich häufig die Frage, wie mit aufgedeckten Lücken in der Umsetzung der DSGVO beim Transaktionsobjekt und dem damit einhergehenden Haftungsrisiko umzugehen ist. Neben einer Minderung des Kaufpreises, sollte hier vor allem über einen Haftungsausschluss des Käufers für daraus entstandene Schäden nachgedacht werden.

Welches datenschutzrechtliche Vorgehen des Käufers nach dem Signing sinnvoll ist, wird durch die Art der vereinbarten Transaktion bedingt. Bei einem Share Deal muss der Käufer die Betroffenen nur nochmals über eine Datenverarbeitung informieren, sofern diese im Rahmen einer Unternehmenseingliederung erneut offengelegt werden. Dem gegenüber ist bei einem Asset Deal eine Information der Betroffenen verpflichtend, da die Datenverarbeitung von einem rechtlich gesehen anderen Unternehmen durchgeführt wird.