Datenschutz bei M&A-Transaktionen

Durch die Vielzahl an Daten, die während einer M&A-Transaktion verarbeitet werden, stellt sich vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) die Frage nach einer datenschutzkonformen Ausgestaltung des Transaktionsprozesses.

Bereits beim ersten Kennenlernen der potenziellen Vertragsparteien erstellen diese oftmals einen sogenannten Term Sheet. Dabei werden schon zum ersten Mal personenbezogene Daten verarbeitet. Daher empfiehlt es sich noch vor Verhandlungsbeginn eine Verschwiegenheitsverpflichtung zu vereinbaren.

Meist beginnen Käufer und Verkäufer mit Gesprächen, in denen die Bedingungen und die verwendeten Hilfsmittel für die Transaktion vereinbart werden. Durch die Aufnahme solcher Verhandlungen entsteht zwischen den Beteiligten eine bereits gemeinsame Verantwortung für die verarbeiteten Daten nach Art. 26 DSGVO.

Sofern die Beteiligten einen Datenschutzbeauftragten bestellt haben, so ist dieser bereits zu Beginn in die datenschutzrelevanten Sachverhalte einzubinden.

Haben sich die Parteien auf die zu verarbeitenden Daten geeinigt, stellt sich die Frage, wie diese dem potenziellen Käufer für die Durchführung einer Due Diligence zur Verfügung gestellt werden. Üblicherweise werden dafür virtuelle Datenräume verwendet. Dadurch ergeben sich zwei datenschutzrechtliche Herausforderungen:

• Zum einen wird automatisch ein externer Dienstleister eingebunden, der den virtuellen Datenraum zur Verfügung stellt. Mit diesem Dienstleister sollte ein Auftragsverarbeitungsvertrag geschlossen werden, in dem u.a. geregelt wird, dass es sich um einen Auftragsverarbeiter i.S.d. Art. 28 DSGVO handelt. Ohne einen solchen Vertrag droht eine unrechtmäßige Datenübermittlung.
• Zum anderen müssen Unternehmenskäufer und -verkäufer darauf achten, welche Personen in welchem Umfang in dem Datenraum auf die Daten zugreifen können. Die DSGVO stellt hierfür einige Grundprinzipien auf. Beispielsweise sollte den Interessenten nur die Einsicht in Daten, nicht aber ihre Speicherung ermöglicht werden. Nach dem Need-to-Know-Prinzip ist zudem zu empfehlen, den Zugriff auf die Daten nur einigen zuvor ausgewählten Personen zu ermöglichen.

Bevor ein interessiertes Unternehmen mit der Due Diligence beginnt, sollten sich die Parteien über die Haftungsverteilung im Fall einer Datenpanne einigen. Denn obwohl die Verkäuferseite den Großteil der Daten offenlegt, haften beide zunächst gesamtschuldnerisch. Zudem muss eine unrechtmäßige Übermittlung von Daten an Dritte verhindert werden, indem die Voraussetzungen für die Einbindung externer Dienstleister von Anfang an geklärt werden. 

In der Regel haben Unternehmen bei der Durchführung einer M&A-Transaktion kein Interesse daran, die Betroffenen, z.B. Arbeitnehmer oder Kunden, über die bevorstehende Transaktion zu informieren. Der daraus resultierende Interessenkonflikt wird nur zugunsten der Unternehmen gelöst, wenn bei der Transaktion ausschließlich die notwendigsten Daten größtmöglich anonymisiert verarbeitet werden (z.B. nur als Statistik). Um möglichen Auseinandersetzungen mit der anderen Partei oder Betroffenen vorzubeugen, empfiehlt es sich den gesamten Prozess detailliert zu dokumentieren.

Interessant für die Käuferpartei: Bei der Due Diligence sollte auch die DSGVO-Konformität des Zielunternehmens geprüft werden. Denn mögliche Lücken im Datenschutz können die Preisbildung beeinflussen.

Sowohl Käufer als auch Verkäufer haben gegenüber den Betroffenen Transparenzpflichten. Diese treffen das Zielunternehmen wegen der Zweckänderung (Verarbeitung zur Durchführung der Transaktion) sowie das Käuferunternehmen wegen der indirekten Datenerhebung. Problematisch wird es vor allem dann, wenn gesetzliche Vorgaben die Parteien zur Geheimhaltung der Verhandlungen verpflichten (z.B. durch das Wertpapierhandelsgesetz).

Nach einer abgeschlossenen Due Diligence stellt sich häufig die Frage, wie mit aufgedeckten Lücken in der Umsetzung der DSGVO bei dem Transaktionsobjekt und dem damit einhergehenden Haftungsrisiko umzugehen ist. Neben einer Minderung des Kaufpreises sollte hier vor allem über einen Haftungsausschluss des Käufers für daraus entstandene Schäden nachgedacht werden. 

Welches datenschutzrechtliche Vorgehen des Käufer nach dem Signing sinnvoll ist, ist von der Art der vereinbarten Transaktion abhängig. Bei einem Share Deal muss der Käufer Betroffene nur nochmals über eine Datenverarbeitung informieren, wenn diese im Rahmen einer Unternehmenseingliederung erneut offengelegt werden. Dem gegenüber ist bei einem Asset Deal eine Information der Betroffenen nach Art. 14 DSGVO verpflichtend, da die Datenverarbeitung von einem rechtlich gesehen anderen Unternehmen durchgeführt wird.