Datenschutzrechtliche Herausforderungen bei M&A-Deals

PrintMailRate-it

zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten


Kleine und mittlere Unternehmen (KMU) in Deutschland sind gefragte Ziele bei Unternehmens­trans­aktionen. Gleichwohl oftmals in der Öffentlichkeit M&A-Deals von Großunternehmen mediale Aufmerksamkeit erhalten, darf nicht verkannt werden, dass 99 Prozent des deutschen Unter­nehmensbestandes KMU sind. Eine besondere Dyna­mik im M&A-Markt wird in den nächsten Jahren insbesondere durch den demo­gra­phischen Faktor sowie durch den Generationenwechsel an der Spitze der KMU (ca. 500.000 Unternehmen bis 2022) entstehen. [1]

Für die Aufsichtsbehörden dürfte der M&A-Markt prüferisch vermehrt in den Fokus geraten. Deshalb ist eine datenschutzrechtliche Beratung bei allen Unternehmens­transaktionen notwendig.



   

Problemstellung

Wesentlicher Bestandteil einer Unternehmenstransaktion ist eine ausführliche wirtschaftliche und recht­liche Analyse des Zielunternehmens, die sog. Due Diligence. Das Datenschutzrecht ist dabei in mehrfacher Weise relevant:
  • Zum einen bei der Risikobewertung durch den Käufer. Verstöße des Zielunternehmens gegen das geltende Datenschutzrecht stellen Risiken dar, die entweder bei der Kaufpreisfindung oder den Verkäufergarantien zu berücksichtigen sind.
  • Zum anderen sind im Rahmen der Due Diligence (und auch bei dem späteren Vollzug des Kaufvertrages) regelmäßig eine Vielzahl personenbezogener Daten betroffen. Hierzu zählen u.a. auch die Auswertungen personenbezogener Daten der Beschäftigten, Kunden sowie Partnern. Für die Vertragsparteien ist daten­schutzrechtlich abzuklären, inwieweit der potenzielle Käufer Einsicht in personenbezogene Daten erhalten darf.

  
Vor diesem Hintergrund ist das Risiko bei jedem Verstoß gegen die DSGVO gemäß Art. 83 Abs. 1 u. 5 DSGVO in Höhe bis zu 20 Mio. Euro oder 4 Prozent seines weltweit erzielten Jahresumsatzes des vorangegangenen Ge­schäftsjahres zu bewerten.

 

Formen der Unternehmensveräußerung

Bei den Unternehmenstransaktion wird zwischen dem Share Deal (Erwerb von Anteilen) einerseits und dem Asset Deal (die einzelnen Wirtschaftsgüter werden übertragen) andererseits unterschieden (siehe hierzu Artikel „Unternehmenskauf: Share Deal versus Asset Deal”). Die Vertragsparteien haben sich zunächst über die Form der Unternehmensveräußerung zu verständigen. Erst wenn der Rahmen der Unternehmens­transaktionen fest­gelegt ist, kann eine datenschutzrechtliche Vorgehensweise abgestimmt werden.


Rechtsgrundlagen

Die Vertragsparteien haben in jeder Phase der Unternehmenstransaktion sicherzustellen, dass die Verarbeitung personenbezogener Daten stets auf eine Rechtsgrundlage gestützt werden kann. Hierfür kommen insbesondere Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht.


Die tägliche Praxis zeigt, dass eine wirksame Einwilligung in die Offenlegung sowie Übermittlung von perso­nen­bezogenen Daten der Beschäftigten, Kunden sowie Partnern zum Zwecke der Unternehmens­transaktion regel­mäßig nicht vorliegt. Vielmehr wird es vor Vertragsschluss daher u.a. auf die Interessensabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO ankommen. In den Fokus der rechtlichen Bewertung kommt dabei Art. 6 Abs. 4 DSGVO, wonach stets eine sog. „Zweckkompatibilität” bei der Verarbeitung personenbezogener Daten notwendig ist.

   

Phasen der Unternehmenstransaktion

Unternehmenstransaktionen lassen sich i.d.R. in die folgenden Phasen unterteilen:   

  1. Due Diligence (sorgfältige Prüfung und Analyse des Zielunternehmens)
  2. Vertragsverhandlungen
  3. Signing (Vertragsunterzeichnung)
  4. Closing (Vertragserfüllung)
     

In jeder Phase haben die Vertragsparteien für die Verarbeitung (insbesondere Offenlegung, Übermittlung, Speicherung) zu dokumentieren, dass sie die personenbezogenen Daten rechtskonform verarbeiten. Neben einer einschlägigen Rechtsgrundlage sind im Übrigen Art. 24 und 32 DSGVO zu beachten. Demnach haben die Verantwortlichen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbei­tung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Frei­heiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzu­stellen, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Die Pflichten treffen sowohl die Verkäufer- als auch Käuferseite.

Die Vorgehensweise sollte dem in der Verordnung verankerten Prinzip des risikobasierten Ansatzes folgen. D.h., dass stets vorab eine Prüfung der Kategorie der personenbezogenen Daten vorgenommen werden muss. Zudem haben die Vertragsparteien insbesondere bei der Due Diligence ihre Informationspflichten gemäß Art. 13,14 DSGVO zu erfüllen. Dies steht allerdings oftmals den Interessen der Vertragsparteien entgegen. Schließlich soll die Belegschaft, der Wettbewerb oder sonstige Dritte keine Kenntnis von den Vertragsverhandlungen erhalten. Inwieweit die Informationspflichten durch Anonymisierung umgangen werden können, ist jeweils im Einzelfall zu betrachten.

Besonders relevant sind die Fragestellungen zu den sog. „key employees”. Der Käufer möchte selbst­verständ­lich erfahren, welche Kündigungsfristen, Abfindungsvereinbarungen oder Wettbewerbsklauseln bestehen, um spätestens nach dem Closing nicht das operative Geschäft zu gefährden.

  

Praxischeck

Das Spannungsfeld zwischen den Informationspflichten der Betroffenen, dem berechtigten Interesse der Vertragsparteien zur Offenlegung und den Zielvorstellungen des Verordnungsgebers kann nur aufgelöst werden, indem vorab ein entsprechendes Datenschutz-Managementsystem zur Gewährleistung des Schutzes perso­nen­bezogener Daten für die Unternehmenstransaktion bei der Due Diligence festgelegt wird. Das umfasst insbe­sondere:
  • ein Berechtigungskonzept,
  • Abstimmung über Verantwortlichkeiten (u.a. Gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, Informationspflichten gemäß Art. 13, 14 DSGVO),
  • technische und organisatorische Maßnahmen (u.a. sichere Datenräume),
  • ein Löschungskonzept (insbesondere ist es dann wesentlich, wenn personenbezogene Daten übermittelt werden und es nicht zu einem Deal kommt) sowie
  • Einbeziehung der Datenschutzbeauftragten der Vertragsparteien.
     

Fazit

Die Verarbeitung personenbezogener Daten bei der Unternehmenstransaktion birgt eine hohe Gefahr für Verstöße gegen die datenschutzrechtlichen Bestimmungen. Jede Vertragspartei sollte zunächst für sich selbst eine klare Vorstellung entwickeln, wie die personenbezogenen Daten verarbeitet werden sollen, um sodann mit der Gegenseite in einer schriftlichen Vereinbarung eine datenschutzrechtliche Übereinkunft abzustimmen.

 



[1] KFW Research, Fokus Volkswirtschaft, Oktober 2018.
Deutschland Weltweit Search Menu