info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung
Bleiben Sie up to date mit unserem vierteljährlichen German Business Law Newsletter.
Durch die Vielzahl an Daten, die während einer M&A-Transaktion verarbeitet werden, stellt sich vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) die Frage, wie ein Transaktionsprozess datenschutzkonform ausgestaltet werden kann.
Da die DSGVO keine speziellen Vorschriften für M&A-Transaktionen enthält, gelten hier die allgemeinen Regelungen, die ebenso für jede andere Datenverarbeitung beachtet werden müssen. So ist die DSGVO schon anwendbar, wenn das kaufende oder das verkaufende Unternehmen seinen Sitz in der Europäischen Union hat.
Auf Grund ihrer exterritorialen Wirkung, ist die DSGVO auch bei Unternehmenstransaktionen zu berücksichtigen, bei denen die beteiligten Unternehmen ihren Sitz außerhalb der EU haben. Dies ist in der Regel der Fall, wenn das zu kaufende Zielunternehmen seine Waren oder Dienstleistungen innerhalb der Europäischen Union anbietet und im Rahmen dessen personenbezogene Daten verarbeitet werden.
Bereits beim ersten Kennenlernen der potenziellen Vertragsparteien werden personenbezogene Daten bei der Erstellung eines sogenannten Term Sheet verarbeitet. Im Zuge dessen vertiefen sich die Gespräche, in denen die Bedingungen und verwendeten Hilfsmittel für die Transaktion vereinbart werden. Allein durch die Aufnahme solcher Verhandlungen entsteht zwischen den Beteiligten bereits eine gemeinsame Verantwortlichkeit, welche die Pflichten aus Art. 26 DSGVO nach sich zieht.
Sofern einer oder beide Beteiligten einen Datenschutzbeauftragten bestellt haben, empfiehlt es sich, diesen bereits zu diesem frühen Zeitpunkt des Transaktionsprozesses einzubinden.
Bevor ein interessiertes Unternehmen mit der Due Diligence beginnt, sollten sich die Parteien über die Haftungsverteilung im Fall einer Datenpanne einigen. Denn obwohl die Verkäuferseite den Großteil der Daten offenlegt, haften beide zunächst gesamtschuldnerisch. Zudem muss eine unrechtmäßige Übermittlung von Daten an Dritte verhindert werden. Hierzu sollten die Voraussetzungen für die Einbindung externer Dienstleister von Anfang an geklärt werden, beispielsweise in Bezug auf die Errichtung von virtuellen Datenräumen zur Durchführung der Due Diligence.
VOK DAMS Events GmbH
PRO ASYL e.V.
Mein Grundeinkommen e.V.
Bitwala GmbH
Technische Hochschule Lübeck
Deutsche Herzstiftung e.V.
Das kaufende Unternehmen hat in der Regel zu Beginn des Transaktionsprozesses die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten nach Maßgabe von Art. 14 DSGVO zu informieren, wobei dies oftmals im Konflikt mit den Interessen der Transaktionsbeteiligten steht, den Unternehmenskauf vertraulich durchzuführen. Problematisch wird es vor allem dann, wenn gesetzliche Vorgaben die Parteien zur Geheimhaltung der Verhandlungen verpflichten (z.B. durch das Wertpapierhandelsgesetz).
Nach einer abgeschlossenen Due Diligence stellt sich häufig die Frage, wie mit aufgedeckten Lücken in der Umsetzung der DSGVO beim Transaktionsobjekt und dem damit einhergehenden Haftungsrisiko umzugehen ist. Neben einer Minderung des Kaufpreises, sollte hier vor allem über einen Haftungsausschluss des Käufers für daraus entstandene Schäden nachgedacht werden.
Welches datenschutzrechtliche Vorgehen des Käufers nach dem Signing sinnvoll ist, wird durch die Art der vereinbarten Transaktion bedingt. Bei einem Share Deal muss der Käufer die Betroffenen nur nochmals über eine Datenverarbeitung informieren, sofern diese im Rahmen einer Unternehmenseingliederung erneut offengelegt werden. Dem gegenüber ist bei einem Asset Deal eine Information der Betroffenen verpflichtend, da die Datenverarbeitung von einem rechtlich gesehen anderen Unternehmen durchgeführt wird.
Wir unterstützen Sie beim Kauf oder Verkauf Ihres Unternehmens! Unsere Ansprechpartner für sämtliche Fragen zu Ihrer Transaktion sind Rechtsanwältin Olga Stepanova und Rechtsanwalt Phillipp von Raven. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).
09.01.2023 - Patricia Jechel
Persönliche Haftung bei DSGVO-Verstößen – Das sollten Geschäftsführer wissen