Datenschutz bei Unternehmensverkäufen
Ist Datenschutz wichtig bei M&A-Transaktionen? Oder ist er „nice to have“ und kann vernachlässigt werden, gegenüber „harten“, betriebswirtschaftlichen Fakten? Diese Fragen sind schnell zu beantworten. Gesetzeskonformer Datenschutz stellt definitiv einen betriebswirtschaftlichen Faktor dar. Bei Verstößen gegen die Anforderungen der DSGVO drohen Geldbußen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes.
Die Hotelgruppe Marriott etwa erhielt 2019 einen Bußgeldbescheid in Höhe von 110 Millionen Euro für die Folgen eines Cyberangriffes auf eine von ihr im Jahr 2014 übernommene Hotelgruppe. Zwar wurde dieses Bußgeld später auf 20 Millionen Euro reduziert, jedoch zeigt es klar und deutlich, dass Mängel in der Datenschutzorganisation eines Zielunternehmens erhebliche Risiken für den Käufer mit sich bringen können.
Außerdem ist die Frage zu klären, auf welcher Rechtsgrundlage personenbezogene Daten vom Zielunternehmen an den potentiellen Käufer übermittelt werden können. Bedarf es hier einer Einwilligung? Oder kann man sich auf das berechtigte Interesse stützen? Auch hier lauern erhebliche Fallstricke.
Datenschutz als Teil der Due Dilligence
Unabhängig davon, welcher Transaktionstyp angestrebt wird (Share Transfer, Asset Deal oder Merger), das Thema Datenschutz sollte unbedingt Teil der Due Dilligence werden. Eine Due Dilligence ist eine ausführliche wirtschaftliche und rechtliche Analyse des Zielunternehmens. Hier gilt es, Risiken zu ermitteln, sie zu mindern und/oder zu „bepreisen“.
Der folgende Fragenkatalog kann dabei hilfreich sein:
- Welche Kategorien von personenbezogenen Daten verarbeitet das Zielunternehmen? Welche Risiken können aus diesen resultieren? Welche Gesetze sind einschlägig?
- Wie und wofür sollen die Daten des Zielunternehmens zukünftig genutzt werden? Welche Rechtsgrundlage kann hierfür herangezogen werden? Liegen beispielsweise dokumentierte Einwilligungen in Werbezwecke vor? Welche Informationspflichten bestehen gegenüber den Betroffenen?
- Wie ist der Status der Datenschutz-Organisation des Zielunternehmens? Sind Verarbeitungsverzeichnis, Datenschutzrichtlinie, notwendige Prozesse hinsichtlich Auftragsverarbeitung, Betroffenenrechte oder Datentransfers in Drittstaaten vollständig und aktuell? Wenn nicht, welche Ressourcen werden benötigt, um zu einem akzeptablen Ist-Zustand zu gelangen?
- Existieren angemessene technisch-organisatorische Maßnahmen beim Zielunternehmen und dessen Dienstleistern?
- Welche Hinweise geben Datenpannen der Vergangenheit auf weiterhin existierende Risiken beim Zielunternehmen?
Nachdem die Risiken identifiziert wurden, müssen die Auswirkungen und mögliche Gegenmaßnahmen Inhalt einer gründlichen Analyse werden, quasi eines „Merger Impact Assessments“.
Im Rahmen der Due Dilligence kann ein potentieller Käufer Zugriff auf IT-Systeme mit personenbezogenen Daten von Mitarbeitern und Kunden des Zielunternehmens erhalten. Zuvor sind unbedingt Geheimhaltungserklärungen und Verschwiegenheitsverpflichtungen einzuholen. Zudem muss die Rechtsgrundlage für einen Datentransfer vom Zielunternehmen an den potentiellen Käufer geklärt werden. Dies könnte bei nur wenigen Personen die Einwilligung sein, bei sehr vielen das berechtigte Interesse, aber nur nach erfolgtem Interessenausgleich, wobei in jedem Fall nach Art. 13 oder 14 DSGVO informiert werden und auf das Widerspruchsrecht hingewiesen werden muss. Auch sollte geprüft werden, ob die gleichen Zwecke nicht mit aggregierten oder pseudonymisierten Daten erreicht werden können. Die Grundsätze der Datensparsamkeit und Datenminimierung gelten auch hier.
Wenn irgend möglich, sollten keine besonderen Kategorien personenbezogener Daten im „Data Room“ hinterlegt werden. Sollte diese doch notwendig werden, dann nur mit vorheriger informierter Einwilligung der Betroffenen. Zudem sollten die Dokumente mit einem Kopierschutz und einer Druckersperre versehen werden, sowie ein Vertrag zur Auftragsverarbeitung mit dem Anbieter des Data Rooms geschlossen werden.
Nach Vollzug der Transaktion
Nach Abschluss einer M&A-Transaktion muss in der Regel eine neue Datenschutz-Organisation aufgebaut werden, die ggf. den rechtlichen Anforderungen mehrerer Länder entsprechen muss: Von Rechenschafts-, Informations- und Meldepflichten bis hin zu Betroffenenrechten. Ggf. müssen auch bestehende Rechtsgrundlagen überprüft werden, beispielsweise bei der Nutzung von Kundendaten des übernommenen Unternehmens für Werbezwecke des Käufers.
Auch bei der Zusammenführung unterschiedlicher IT-Systeme müssen die Anforderungen der DSGVO beachtet werden. Zudem sind die technisch-organisatorischen Maßnahmen der Dienstleister zu prüfen und Auftragsverarbeitungsverträge oder Standardvertragsklauseln zu schließen. Auch müssen, ggf. auch bei einer (Teil-)Schließung des übernommenen Unternehmens, Lösch- und weitergehende Aufbewahrungspflichten überprüft werden.
Plant ihr Unternehmen eine Übernahme? Oder soll es übernommen werden? 2B Advice berät Sie gerne und kompetent, wie mögliche Datenschutzrisiken bei einer M&A-Transaktion erkannt, reduziert und beherrscht werden können.
Sprechen Sie uns noch heute an! Wir freuen uns auf eine spannende Herausforderung gemeinsam mit Ihnen: 0228 / 926165 -100.