Datenschutz bei M&A-Transaktionen

Datenschutzrechtliche Beratung beim Unternehmenskauf/-verkauf

Durch die Vielzahl an Daten, die während einer M&A-Transaktion verarbeitet werden, stellt sich vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) die Frage nach einer datenschutzkonformen Ausgestaltung des Transaktionsprozesses.

Welche Datenschutzpflichten gelten für beteiligte Unternehmen?

Datenschutz beim Unternehmenskauf

Ohne spezielle Regelungen in der DSGVO für M&A-Transaktionen treffen hier, sobald für eines der beteiligten Unternehmen die DSGVO gilt, dieselben Grundsätze zu wie für jede andere Datenverarbeitung. Dies ist insbesondere der Fall, wenn eines der Unternehmen seinen Sitz in der Europäischen Union hat bzw. Waren oder Dienstleistungen in der Europäischen Union anbietet.

Personenbezogene Daten werden von Beginn an verarbeitet

Bereits beim ersten Kennenlernen der potenziellen Vertragsparteien erstellen diese oftmals einen sogenannten Term Sheet. Dabei werden schon zum ersten Mal personenbezogene Daten verarbeitet. Daher empfiehlt es sich noch vor Verhandlungsbeginn eine Verschwiegenheitsverpflichtung zu vereinbaren.

Meist beginnen Käufer und Verkäufer mit Gesprächen, in denen die Bedingungen und die verwendeten Hilfsmittel für die Transaktion vereinbart werden. Durch die Aufnahme solcher Verhandlungen entsteht zwischen den Beteiligten eine bereits gemeinsame Verantwortung für die verarbeiteten Daten nach Art. 26 DSGVO.

Sofern die Beteiligten einen Datenschutzbeauftragten bestellt haben, so ist dieser bereits zu Beginn in die datenschutzrelevanten Sachverhalte einzubinden.

Virtuelle Datenräume müssen hohen DSGVO-Anforderungen entsprechen

Haben sich die Parteien auf die zu verarbeitenden Daten geeinigt, stellt sich die Frage, wie diese dem potenziellen Käufer für die Durchführung einer Due Diligence zur Verfügung gestellt werden. Üblicherweise werden dafür virtuelle Datenräume verwendet. Dadurch ergeben sich zwei datenschutzrechtliche Herausforderungen:

  • Zum einen wird automatisch ein externer Dienstleister eingebunden, der den virtuellen Datenraum zur Verfügung stellt. Mit diesem Dienstleister sollte ein Auftragsverarbeitungsvertrag geschlossen werden, in dem u.a. geregelt wird, dass es sich um einen Auftragsverarbeiter i.S.d. Art. 28 DSGVO handelt. Ohne einen solchen Vertrag droht eine unrechtmäßige Datenübermittlung.
  • Zum anderen müssen Unternehmenskäufer und -verkäufer darauf achten, welche Personen in welchem Umfang in dem Datenraum auf die Daten zugreifen können. Die DSGVO stellt hierfür einige Grundprinzipien auf. Beispielsweise sollte den Interessenten nur die Einsicht in Daten, nicht aber ihre Speicherung ermöglicht werden. Nach dem Need-to-Know-Prinzip ist zudem zu empfehlen, den Zugriff auf die Daten nur einigen zuvor ausgewählten Personen zu ermöglichen.

Haftungsverteilung bei M&A-Datenpanne vorab klären

Bevor ein interessiertes Unternehmen mit der Due Diligence beginnt, sollten sich die Parteien über die Haftungsverteilung im Fall einer Datenpanne einigen. Denn obwohl die Verkäuferseite den Großteil der Daten offenlegt, haften beide zunächst gesamtschuldnerisch. Zudem muss eine unrechtmäßige Übermittlung von Daten an Dritte verhindert werden, indem die Voraussetzungen für die Einbindung externer Dienstleister von Anfang an geklärt werden. 

Notwendige Daten für die Due Diligence

In der Regel haben Unternehmen bei der Durchführung einer M&A-Transaktion kein Interesse daran, die Betroffenen, z.B. Arbeitnehmer oder Kunden, über die bevorstehende Transaktion zu informieren. Der daraus resultierende Interessenkonflikt wird nur zugunsten der Unternehmen gelöst, wenn bei der Transaktion ausschließlich die notwendigsten Daten größtmöglich anonymisiert verarbeitet werden (z.B. nur als Statistik). Um möglichen Auseinandersetzungen mit der anderen Partei oder Betroffenen vorzubeugen, empfiehlt es sich den gesamten Prozess detailliert zu dokumentieren.

Interessant für die Käuferpartei: Bei der Due Diligence sollte auch die DSGVO-Konformität des Zielunternehmens geprüft werden. Denn mögliche Lücken im Datenschutz können die Preisbildung beeinflussen.

Unternehmen sind zur Transparenz verpflichtet

Sowohl Käufer als auch Verkäufer haben gegenüber den Betroffenen Transparenzpflichten. Diese treffen das Zielunternehmen wegen der Zweckänderung (Verarbeitung zur Durchführung der Transaktion) sowie das Käuferunternehmen wegen der indirekten Datenerhebung. Problematisch wird es vor allem dann, wenn gesetzliche Vorgaben die Parteien zur Geheimhaltung der Verhandlungen verpflichten (z.B. durch das Wertpapierhandelsgesetz).

Ergebnis der Due Diligence bewerten

Nach einer abgeschlossenen Due Diligence stellt sich häufig die Frage, wie mit aufgedeckten Lücken in der Umsetzung der DSGVO bei dem Transaktionsobjekt und dem damit einhergehenden Haftungsrisiko umzugehen ist. Neben einer Minderung des Kaufpreises sollte hier vor allem über einen Haftungsausschluss des Käufers für daraus entstandene Schäden nachgedacht werden. 

Datenschutz bei Asset Deal und Share Deal

Welches datenschutzrechtliche Vorgehen des Käufer nach dem Signing sinnvoll ist, ist von der Art der vereinbarten Transaktion abhängig. Bei einem Share Deal muss der Käufer Betroffene nur nochmals über eine Datenverarbeitung informieren, wenn diese im Rahmen einer Unternehmenseingliederung erneut offengelegt werden. Dem gegenüber ist bei einem Asset Deal eine Information der Betroffenen nach Art. 14 DSGVO verpflichtend, da die Datenverarbeitung von einem rechtlich gesehen anderen Unternehmen durchgeführt wird.

Ihr Anwalt für den Datenschutz bei M&A-Transaktionen

Anwalt für Datenschutz bei M&A-Transaktionen

Wir unterstützen Sie beim Kauf oder Verkauf Ihres Unternehmens! Unsere Ansprechpartner für sämtliche Fragen zu Ihrer Transaktion sind Rechtsanwältin Olga Stepanova und Rechtsanwalt Phillipp von Raven. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).

Aktuelles

1582166361 > 1587765600

Olga Stepanova im Podcast Blockchain im Zivilprozess – „War stories“ und Ideen für die Zukunft

Mehr

1582166361 > 1585177200

Rechtsanwältin Olga Stepanova steuert erneut ein Kapitel zum deutschen Datenschutzrecht bei.

Mehr

Veranstaltungen

Kontakt

Kontakt

Auszeichnungen

Juve Award Legal 500 Deutschland 2019 – Top 2 im Nonprofit-Sektor
azur100: Top-Arbeitgeber für Juristen 2018