Die Rolle der DSGVO beim Unternehmenskauf (Due Diligence)

Letztes Update:
01
.
02
.
2021
Lesezeit:
0
Min
Auch bei Unternehmenstransaktionen (Mergers & Acquisitions) gewinnt der Datenschutz an Bedeutung, da sich das Haftungsrisiko für Investoren seit der DSGVO stark erhöht hat. Wir erklären, welche datenschutzrechtlichen Aspekte deshalb in der Due Diligence zu beachten sind.
Die Rolle der DSGVO beim Unternehmenskauf (Due Diligence)
Die wichtigsten Erkenntnisse
  • Haftungsrisiko für Investoren bei Unternehmenskauf durch DSGVO erhöht.
  • Datenschutzrechtliche Pflichten und Haftung werden bei Übernahmen übernommen.
  • Due Diligence muss Datenschutzlücken identifizieren, um Bußgelder zu vermeiden.
  • Verschiedene Transaktionsarten (Share Deal, Asset Deal) haben spezifische Datenschutzanforderungen.
  • Data Mapping und Verzeichnis von Verarbeitungstätigkeiten (VVT) sind zentral in der Prüfung.

2019 wurde gegen die Hotelkette Marriott ein Bußgeld von fast 100 Mio. Pfund verhängt, da sich herausstellte, dass es erhebliche Sicherheitslücken in den IT-Systemen der 2016 aufgekauften Starwood-Hotels gab. Denn bei einem Unternehmenskauf werden auch die datenschutzrechtlichen Pflichten sowie die Haftung für begangene Verstöße (egal, ob in der Vergangenheit oder aktuell) übernommen. Das kann, wie dieses Beispiel zeigt, teuer werden, wenn der Datenschutz bei der sorgfältigen Prüfung des Übernahme- bzw. Investitionskandidaten vor Unternehmenstransaktionen (Due Diligence) zu wenig Beachtung gefunden hat. Gemäß Schiller heißt es daher beim Unternehmenskauf: Drum prüfe, wer sich ewig bindet! Was es im Einzelnen zu beachten gibt, erfahren Sie hier.

Wie wirkt sich geltendes Datenschutzrecht auf Unternehmenstransaktionen aus?

  • Der gesammelte Datenbestand aber auch das Datenschutz-Niveau spielen heute in der Bewertung eines Unternehmens eine immer größere Rolle. Der Kauf- oder Investitionspreis für Unternehmen ist inzwischen also auch von datenschutzrechtlichen Aspekten abhängig.
  • Bei Mergers & Acquisitions kommt es fast immer zur Weitergabe von personenbezogen Daten, darum muss beachtet werden, was dieser Umstand für die jeweilige Form der Transaktion rechtlich bedeutet.
    • Bei einem Share Deal (Anteilsbeteiligung an einem Unternehmen) ist zwar die Rechtsgrundlage der weiteren Verarbeitung der Kund:innendaten weniger problematisch, der / die Erwerber:in muss aber für mögliche Datenschutzlücken des Target-Unternehmens einstehen. Bei Verschmelzungen von Unternehmen handelt es sich um eine Umstrukturierung nach dem Umwandlungsgesetz (UmwG) und die Übertragung der Rechte zur Datenverarbeitung erfolgt durch die sog. „Gesamtrechtsnachfolge“. Da sich der / die Verantwortliche im datenschutzrechtlichen Sinne ändert, sind die Betroffenen hierüber zu informieren.
    • In sog. Asset Deals werden einzelne Vermögenswerte eines Unternehmens erworben und das können auch personenbezogene Daten (i.d.R. vor allem Kundendaten) sein. Wenn personenbezogene Kundendaten veräußert werden und es sich dabei nicht lediglich um Daten handelt, die zur Vertragsdurchführung oder zur werblichen Ansprache notwendig sind, so ist der Inhaberwechsel nur unter vorheriger Einwilligung des Kunden / der Kundin nach Information über die geplante Übermittlung unter Hinweis auf das Widerspruchsrecht möglich. Wird beim Deal nicht DSGVO-konform vorgegangen, kann das sogar zur Nichtigkeit des Kaufvertrags führen.
  • In gewisser Weise kann sich der Datenschutz auch einschränkend auf die Due Diligence auswirken, da personenbezogene Daten, die den / die potentielle:n Käufer:in oder den / die Investor*in interessieren könnten, natürlich auch dem Datenschutz unterliegen. Grundsätzlich ist die Weitergabe statistischer Daten der Weitergabe konkreter personenbezogener Daten vorzuziehen. Da das Schutzinteresse der Mitarbeiter:innen mit dem Käufer:inneninteresse an der Beurteilung des Unternehmenswertes abzuwägen ist, kann je nach Ergebnis nur eine Einwilligung der Mitarbeiter:innen die Datenweitergabe legitimieren. Da diese jedoch an hohen Kriterien gemessen werden und ebenso wiederrufbar sind, stellen Einwilligungserklärungen nicht die sicherste Rechtsgrundlage dar.

Worauf sollte datenschutzrechtlich bei der Due Diligence geachtet werden?

Datenschutzrechtliche Aspekte sind Teil der Legal Due Diligence, aber auch in anderen Bereichen des Prüfungsprozesses gibt es – abhängig vom Schwerpunkt der jeweiligen Unternehmenstätigkeit – Anknüpfpunkte zum Datenschutz. Im Rahmen der Tech Due Diligence wird z.B. die Datensicherheit geprüft. Bei einem Target-Unternehmen aus dem E-Commerce sollte der Blick auf die Vollständigkeit der Datenschutzerklärung und notwendige Einwilligungserklärungen gelegt werden.

Um ein „eingekauftes“ Bußgeld zu vermeiden, ist einer der wichtigsten Punkte in der Datenschutz-Due-Diligence ein vollständiges Data Mapping, d.h. es muss dargestellt werden, welche personenbezogenen Daten wo, wie und mit welchem Verwendungszweck auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden. Dabei spielt das Verzeichnis von Verarbeitungstätigkeiten (VVT) des Target-Unternehmens eine wichtige Rolle.

Insbesondere folgende Fragen zum Datenschutz sollten im Rahmen der Due Diligence geklärt werden:

  • Wurde mit dem Target-Unternehmen eine Vertraulichkeitsvereinbarung geschlossen?
  • Verarbeitet das Target-Unternehmen personenbezogene Daten und handelt es sich dabei um keine besonders sensiblen personenbezogenen Daten nach Art. 9 DSGVO? (Denn für sog. besondere Kategorien von personenbezogenen Daten gilt ein noch höheres Schutzniveau.)
  • Hält das Unternehmen die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO ein? (z.B. Transparenz, Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit)
  • Liegt eine DSGVO-konforme Rechtsgrundlage für alle Datenverarbeitungen im Unternehmen vor? (Personenbezogene Daten, auf die dies nicht zutrifft, werden rechtswidrig verarbeitet und können auch nicht nachträglich legalisiert werden.)
  • Kommt das Unternehmen allen Pflichten der DSGVO nach? (z.B. Führung eines Verarbeitungsverzeichnisses (VVT), Implementierung von technischen und organisatorischen Maßnahmen (TOM) zum Schutz von personenbezogen Daten, Abschluss von Auftragsverarbeitungsverträgen (AVV) mit allen Dienstleistern, die auf Weisung des Unternehmens personenbezogene Daten verarbeiten)

Da es sich bei Unternehmenstransaktionen um ein sehr komplexes Rechtsgebiet handelt, kommt der Datenschutz in der Due Diligence oft noch zu kurz. Ein gründlicher Prüfungsprozess bedarf ausreichend Zeit und durch das gestiegene Haftungsrisiko sollte auch das Bewusstsein dafür wachsen, dass Datenschutzaspekte hier nicht übergangen werden dürfen und sogar eine ausschlaggebende Rolle spielen können.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!