Datenschutz bei M&A-Transaktionen

Datenschutzrechtliche Beratung beim Unternehmenskauf

Durch die Vielzahl an Daten, die während einer M&A-Transaktion verarbeitet werden, stellt sich vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) die Frage, wie ein Transaktionsprozess datenschutzkonform ausgestaltet werden kann.

Wann sind die Regelungen der DSGVO beim Unternehmenskauf zu beachten?

Da die DSGVO keine speziellen Vorschriften für M&A-Transaktionen enthält, gelten hier die allgemeinen Regelungen, die ebenso für jede andere Datenverarbeitung beachtet werden müssen. So ist die DSGVO schon anwendbar, wenn das kaufende oder das verkaufende Unternehmen seinen Sitz in der Europäischen Union hat.

Auf Grund ihrer exterritorialen Wirkung, ist die DSGVO auch bei Unternehmenstransaktionen zu berücksichtigen, bei denen die beteiligten Unternehmen ihren Sitz außerhalb der EU haben. Dies ist in der Regel der Fall, wenn das zu kaufende Zielunternehmen seine Waren oder Dienstleistungen innerhalb der Europäischen Union anbietet und im Rahmen dessen personenbezogene Daten verarbeitet werden.

Personenbezogene Daten werden von Beginn an verarbeitet

Bereits beim ersten Kennenlernen der potenziellen Vertragsparteien werden personenbezogene Daten bei der Erstellung eines sogenannten Term Sheet verarbeitet. Im Zuge dessen vertiefen sich die Gespräche, in denen die Bedingungen und verwendeten Hilfsmittel für die Transaktion vereinbart werden. Allein durch die Aufnahme solcher Verhandlungen entsteht zwischen den Beteiligten bereits eine gemeinsame Verantwortlichkeit, welche die Pflichten aus Art. 26 DSGVO nach sich zieht.

Sofern einer oder beide Beteiligten einen Datenschutzbeauftragten bestellt haben, empfiehlt es sich, diesen bereits zu diesem frühen Zeitpunkt des Transaktionsprozesses einzubinden.

Haftungsverteilung bei M&A-Datenpanne vorab klären

Bevor ein interessiertes Unternehmen mit der Due Diligence beginnt, sollten sich die Parteien über die Haftungsverteilung im Fall einer Datenpanne einigen. Denn obwohl die Verkäuferseite den Großteil der Daten offenlegt, haften beide zunächst gesamtschuldnerisch. Zudem muss eine unrechtmäßige Übermittlung von Daten an Dritte verhindert werden. Hierzu sollten die Voraussetzungen für die Einbindung externer Dienstleister von Anfang an geklärt werden, beispielsweise in Bezug auf die Errichtung von virtuellen Datenräumen zur Durchführung der Due Diligence.

Auch das Käuferunternehmen ist zur Transparenz verpflichtet

Das kaufende Unternehmen hat in der Regel zu Beginn des Transaktionsprozesses die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten nach Maßgabe von Art. 14 DSGVO zu informieren, wobei dies oftmals im Konflikt mit den Interessen der Transaktionsbeteiligten steht, den Unternehmenskauf vertraulich durchzuführen. Problematisch wird es vor allem dann, wenn gesetzliche Vorgaben die Parteien zur Geheimhaltung der Verhandlungen verpflichten (z.B. durch das Wertpapierhandelsgesetz).

Ergebnis der Due Diligence bewerten

Nach einer abgeschlossenen Due Diligence stellt sich häufig die Frage, wie mit aufgedeckten Lücken in der Umsetzung der DSGVO beim Transaktionsobjekt und dem damit einhergehenden Haftungsrisiko umzugehen ist. Neben einer Minderung des Kaufpreises, sollte hier vor allem über einen Haftungsausschluss des Käufers für daraus entstandene Schäden nachgedacht werden.

Datenschutz bei Asset Deal und Share Deal

Welches datenschutzrechtliche Vorgehen des Käufers nach dem Signing sinnvoll ist, wird durch die Art der vereinbarten Transaktion bedingt. Bei einem Share Deal muss der Käufer die Betroffenen nur nochmals über eine Datenverarbeitung informieren, sofern diese im Rahmen einer Unternehmenseingliederung erneut offengelegt werden. Dem gegenüber ist bei einem Asset Deal eine Information der Betroffenen verpflichtend, da die Datenverarbeitung von einem rechtlich gesehen anderen Unternehmen durchgeführt wird.

Ihr Anwalt für den Datenschutz bei M&A-Transaktionen

Wir unterstützen Sie beim Kauf oder Verkauf Ihres Unternehmens! Unsere Ansprechpartner für sämtliche Fragen zu Ihrer Transaktion sind Rechtsanwältin Olga Stepanova und Rechtsanwalt Phillipp von Raven. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).

"Datenschutz": Die neusten Beiträge in unserem Blog

Geschäftsgeheimnisschutz: Das gilt es im Unternehmen zu regeln

- Olga Stepanova

Geschäftsgeheimnisschutz: Das gilt es im Unternehmen zu regeln

Haftung droht! Versicherungen müssen IT professionell organisieren

- Benjamin Kirschbaum

Haftung droht! Versicherungen müssen IT professionell organisieren

IT-Sicherheit und Datenschutz in Krankenhäusern: Vier Milliarden Euro Fördergelder

- Olga Stepanova

IT-Sicherheit und Datenschutz in Krankenhäusern: Vier Milliarden Euro Fördergelder

Kontakt

Kontakt

Auszeichnungen

Juve AwardLegal 500 Deutschland 2019 – Top 2 im Nonprofit-Sektor
azur100: Top-Arbeitgeber für Juristen 2018