Die Rolle der DSGVO beim Unternehmenskauf (Due Diligence)

2019 wurde gegen die Hotelkette Marriott ein Bußgeld von fast 100 Mio. Pfund verhängt, da sich herausstellte, dass es erhebliche Sicherheitslücken in den IT-Systemen der 2016 aufgekauften Starwood-Hotels gab. Denn bei einem Unternehmenskauf werden auch die datenschutzrechtlichen Pflichten sowie die Haftung für begangene Verstöße (egal, ob in der Vergangenheit oder aktuell) übernommen. Das kann, wie dieses Beispiel zeigt, teuer werden, wenn der Datenschutz bei der sorgfältigen Prüfung des Übernahme- bzw. Investitionskandidaten vor Unternehmenstransaktionen (Due Diligence) zu wenig Beachtung gefunden hat. Gemäß Schiller heißt es daher beim Unternehmenskauf: Drum prüfe, wer sich ewig bindet! Was es im Einzelnen zu beachten gibt, erfahren Sie hier.

Wie wirkt sich geltendes Datenschutzrecht auf Unternehmenstransaktionen aus?

• Der gesammelte Datenbestand aber auch das Datenschutz-Niveau spielen heute in der Bewertung eines Unternehmens eine immer größere Rolle. Der Kauf- oder Investitionspreis für Unternehmen ist inzwischen also auch von datenschutzrechtlichen Aspekten abhängig.
• Bei Mergers & Acquisitions kommt es fast immer zur Weitergabe von personenbezogen Daten, darum muss beachtet werden, was dieser Umstand für die jeweilige Form der Transaktion rechtlich bedeutet.
  • Bei einem Share Deal (Anteilsbeteiligung an einem Unternehmen) ist zwar die Rechtsgrundlage der weiteren Verarbeitung der Kund:innendaten weniger problematisch, der / die Erwerber:in muss aber für mögliche Datenschutzlücken des Target-Unternehmens einstehen. Bei Verschmelzungen von Unternehmen handelt es sich um eine Umstrukturierung nach dem Umwandlungsgesetz (UmwG) und die Übertragung der Rechte zur Datenverarbeitung erfolgt durch die sog. „Gesamtrechtsnachfolge“. Da sich der / die Verantwortliche im datenschutzrechtlichen Sinne ändert, sind die Betroffenen hierüber zu informieren.
  • In sog. Asset Deals werden einzelne Vermögenswerte eines Unternehmens erworben und das können auch personenbezogene Daten (i.d.R. vor allem Kundendaten) sein. Wenn personenbezogene Kundendaten veräußert werden und es sich dabei nicht lediglich um Daten handelt, die zur Vertragsdurchführung oder zur werblichen Ansprache notwendig sind, so ist der Inhaberwechsel nur unter vorheriger Einwilligung des Kunden / der Kundin nach Information über die geplante Übermittlung unter Hinweis auf das Widerspruchsrecht möglich. Wird beim Deal nicht DSGVO-konform vorgegangen, kann das sogar zur Nichtigkeit des Kaufvertrags führen.
• In gewisser Weise kann sich der Datenschutz auch einschränkend auf die Due Diligence auswirken, da personenbezogene Daten, die den / die potentielle:n Käufer:in oder den / die Investor*in interessieren könnten, natürlich auch dem Datenschutz unterliegen. Grundsätzlich ist die Weitergabe statistischer Daten der Weitergabe konkreter personenbezogener Daten vorzuziehen. Da das Schutzinteresse der Mitarbeiter:innen mit dem Käufer:inneninteresse an der Beurteilung des Unternehmenswertes abzuwägen ist, kann je nach Ergebnis nur eine Einwilligung der Mitarbeiter:innen die Datenweitergabe legitimieren. Da diese jedoch an hohen Kriterien gemessen werden und ebenso wiederrufbar sind, stellen Einwilligungserklärungen nicht die sicherste Rechtsgrundlage dar.

Worauf sollte datenschutzrechtlich bei der Due Diligence geachtet werden?

Datenschutzrechtliche Aspekte sind Teil der Legal Due Diligence, aber auch in anderen Bereichen des Prüfungsprozesses gibt es – abhängig vom Schwerpunkt der jeweiligen Unternehmenstätigkeit – Anknüpfpunkte zum Datenschutz. Im Rahmen der Tech Due Diligence wird z.B. die Datensicherheit geprüft. Bei einem Target-Unternehmen aus dem E-Commerce sollte der Blick auf die Vollständigkeit der Datenschutzerklärung und notwendige Einwilligungserklärungen gelegt werden.

Um ein „eingekauftes“ Bußgeld zu vermeiden, ist einer der wichtigsten Punkte in der Datenschutz-Due-Diligence ein vollständiges Data Mapping, d.h. es muss dargestellt werden, welche personenbezogenen Daten wo, wie und mit welchem Verwendungszweck auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden. Dabei spielt das Verzeichnis von Verarbeitungstätigkeiten (VVT) des Target-Unternehmens eine wichtige Rolle.

Insbesondere folgende Fragen zum Datenschutz sollten im Rahmen der Due Diligence geklärt werden:

• Wurde mit dem Target-Unternehmen eine Vertraulichkeitsvereinbarung geschlossen?
• Verarbeitet das Target-Unternehmen personenbezogene Daten und handelt es sich dabei um keine besonders sensiblen personenbezogenen Daten nach Art. 9 DSGVO? (Denn für sog. besondere Kategorien von personenbezogenen Daten gilt ein noch höheres Schutzniveau.)
• Hält das Unternehmen die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO ein? (z.B. Transparenz, Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit)
• Liegt eine DSGVO-konforme Rechtsgrundlage für alle Datenverarbeitungen im Unternehmen vor? (Personenbezogene Daten, auf die dies nicht zutrifft, werden rechtswidrig verarbeitet und können auch nicht nachträglich legalisiert werden.)
• Kommt das Unternehmen allen Pflichten der DSGVO nach? (z.B. Führung eines Verarbeitungsverzeichnisses (VVT), Implementierung von technischen und organisatorischen Maßnahmen (TOM) zum Schutz von personenbezogen Daten, Abschluss von Auftragsverarbeitungsverträgen (AVV) mit allen Dienstleistern, die auf Weisung des Unternehmens personenbezogene Daten verarbeiten)

Da es sich bei Unternehmenstransaktionen um ein sehr komplexes Rechtsgebiet handelt, kommt der Datenschutz in der Due Diligence oft noch zu kurz. Ein gründlicher Prüfungsprozess bedarf ausreichend Zeit und durch das gestiegene Haftungsrisiko sollte auch das Bewusstsein dafür wachsen, dass Datenschutzaspekte hier nicht übergangen werden dürfen und sogar eine ausschlaggebende Rolle spielen können.