Datenschutz bzw. Schutz personenbezogener Daten in der Due Diligence

PrintMailRate-it

veröffentlicht am 23. September 2020 | Lesedauer ca. 3 Minuten


Die Stärkung des Datenschutzes in Europa zeigt dessen Wichtigkeit bei Unterneh­mens­transaktionen – oder auch: Wie lassen sich 99 Mio. Pfund sparen?


Der Schutz personenbezogener Daten spielt bei einer Due Diligence aus verschiedenen Blickwinkeln eine Rolle:

  • Ist das zu untersuchende Unternehmen datenschutzkonform aufgestellt; hält also selbst die relevanten Datenschutzvorschriften ein?
  • Wie lassen sich personenbezogene Daten des untersuchten Unternehmens datenschutzkonform prüfen?
  • Lassen sich bei einem Asset Deal die personenbezogenen Daten im Zusammenhang mit der Transaktion auf ein neues Unternehmen übertragen?
  • Fallen durch die Prüfungshandlung selbst personenbezogene Daten an?


Bei der Due Diligence liegt das Augenmerk des Auftraggebers auf den beiden ersten Punkten, die im Folgenden dargestellt werden. Die Möglichkeiten einer Übertragung personenbezogener Daten ist ein Ergebnis der Due Diligence und bereits im Beitrag „Datenschutz bei Asset Deals” dargestellt. Der Umgang mit den durch die Prüfungshandlung selbst anfallenden Daten – bspw., wer wann für wie lange welche Dokumente in einem elektronischen Datenraum angesehen hat – ist dagegen bei der Organisation der Prüfung selbst zu beachten.

 


Datenschutzrisiken im Zielunternehmen

Risiken aus der Verletzung von Datenschutzthemen sind insbesondere seit der Anwendbarkeit der europä­ischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 stärker ins Bewusstsein gerückt. Grund dafür sind v.a. mögliche Bußgelder, die ausdrücklich abschrecken sollen und bis zu 20 Mio. Euro bzw. 4 Prozent des konzernweiten Umsatzes des die Datenschutzvorschriften verletzenden Unternehmens erreichen können. Ein Fokus der Due Diligence liegt daher darauf, das Risiko für Datenschutzverstöße des Zielunternehmens aus der Vergangenheit zu betrachten.

Zum Risiko drohender Bußgelder kommt hinzu, dass datenschutzverletzende Verfahren eines Zielunter­nehmens auch abgestellt werden müssen. Sofern es sich dabei um als wichtig erachtete Prozesse handelt, kommt ein vollständiger Verzicht häufig nicht in Betracht. Eine Umstellung auf datenschutzkonforme Verfahren kann dagegen aufwendig sein und u.U. ganz scheitern. Insofern sollte jedenfalls für die unternehmenstypischen Kernprozesse die voraussichtliche Einhaltung des Datenschutzes geprüft werden.

Veranschaulichen lässt sich das „Einkaufen” datenschutzrechtlicher Risiken beim Unternehmenserwerb am Kauf der Starwood Hotelgruppe durch Marriott im Jahr 2016. Durch unzureichende Sicherheitsmaßnahmen konnten Unberechtigte seit 2014 auf Kundendaten in den IT-Systemen von Starwood zugreifen; inklusive Pass- und Kreditkartendaten. Die auch nach dem Erwerb fortdauernde Zugriffsmöglichkeit wurde 2018 von Marriott festgestellt, etwa 339 Mio. Kundendatensätze waren weltweit betroffen. Die zuständige britische Daten­schutzaufsichtsbehörde bemängelte, dass die IT-Infrastruktur von Marriott übernommen wurde, ohne dass im Zusammenhang mit dem Erwerb oder im Nachgang dazu die Datensicherheit vom Erwerber überprüft wurde und kündigte an, ein Bußgeld von 99 Mio. Pfund zu verhängen.

Ziel einer datenschutzrechtlichen Due Diligence ist es daher, die Datenschutzorganisation des Zielunter­nehmens zu beleuchten. Insbesondere sind dabei die folgenden Punkte zu beleuchten:

  • Sind Beauftragte und Ansprechpartner für den Datenschutz vorhanden, die für ihre Aufgaben auch angemessen ausgestattet sind?
  • Existiert ein unternehmensspezifisches Datenschutzmanagement-System, das auch tatsächlich angewendet wird?
  • Gab es bereits in der Vergangenheit Datenpannen und wie wurde mit ihnen umgegangen?
  • Wie werden produktspezifisch die Anforderungen von Privacy-by-Design und Privacy-by-Default umgesetzt?


Dabei sind intuitive Antworten bei Einzelaspekten nicht unbedingt vorteilhaft, schließlich kann bspw. ein Fehlen von Datenpannen auch darauf hindeuten, dass dem Thema keine Aufmerksamkeit zugemessen wird, also lieber nicht so genau hingeschaut wird.

Zwar lassen sich damit bei einer zeitlich eng begrenzten Prüfung individuelle Datenschutzverstöße nicht sicher feststellen. Allerdings ermöglicht die Untersuchung eine Beurteilung, ob das Zielunternehmen als ausreichend anzusehende Maßnahmen ergriffen hat, die einen Verstoß schon in der Vergangenheit hätten erkennen lassen – und damit eine Einschätzung der datenschutzrechtlichen Risiken.


Datenschutzkonforme Prüfungen

Für den Due Diligence-Prozess werden Dritten – bspw. Käufern, deren Beratern und Banken – Informationen zur Verfügung gestellt, die auch personenbezogene Daten enthalten können. Auch in dem Fall ist der Datenschutz zu beachten.


Ausgangspunkt ist die Frage, ob eine Übermittlung an Dritte überhaupt erforderlich ist. So kann durch eine Aggregation von Daten oder durch Schwärzen u.U. der Personenbezug und damit die Datenschutzanforderungen entfallen.

Ist eine Übermittlung in Einzelfällen erforderlich, so ist dafür eine Rechtsgrundlage notwendig – auch auf Seiten des Interessenten. Schließlich würde ein potenzieller Erwerber Datenschutzverstöße begehen, wenn er Daten erhält und verarbeitet, für die keine Rechtsgrundlage bestehen. In Betracht kommt meist nur das berechtigte Interesse an einer angemessenen Verwertung der Unternehmens-Assets und dafür die Ermöglichung einer Prüfung durch Kaufinteressenten. Das Interesse ist abzuwägen mit den Interessen der Betroffenen. Allgemeine Aussagen über die Zulässigkeit lassen sich daher nicht treffen, es kommt vielmehr auf die Begründung für die jeweiligen Einzelfälle an.

Wichtig ist dabei noch, dass besondere Kategorien personenbezogener Daten (bspw. Gesundheitsdaten oder Angaben zu Gewerkschaftszugehörigkeit sowie religiösen oder weltanschaulichen Überzeugungen) besonders geschützt sind und schon grundsätzlich nicht aufgrund eines berechtigten Interesses der Beteiligten verarbeitet und übertragen werden können.


Schließlich bestehen besondere Informationspflichten gegenüber den Betroffenen bei der Erhebung personenbezogener Daten (Art. 12 ff. DSGVO). Insbesondere bei einer Erhebung bei Dritten – also wenn ein Kaufinteressent die Daten vom Zielunternehmen erhält und nicht vom Betroffenen selbst – ist der Betroffene darüber grundsätzlich unverzüglich zu unterrichten. Während sich der Erwerbsinteressent noch auf Ausnahme­vorschriften berufen kann, müsste jedoch das Zielunternehmen die Betroffenen darüber informieren, dass ihre Daten bei einer Unternehmenstransaktion an Dritte übermittelt werden. Das ist bei einer aktuellen Transaktion wegen des Aufwands unpraktisch und wegen der meist beabsichtigen Vertraulichkeit unerwünscht. Daher sollte die Zielgesellschaft zur Vermeidung rechtlicher Risiken die potenzielle Übermittlung personen­bezogener Daten bereits generell und anlasslos im Vorfeld einer möglichen Transaktion in ihre Datenschutzerklärungen aufnehmen.


Fazit

Datenschutzverstöße können zu hohen Bußgeldern oder der Untersagung von Geschäftsprozessen führen. Bei der Beurteilung von Risiken eines Unternehmens sollte daher auch die Einhaltung des Datenschutzes beachtet werden. Das ist umso dringender, je größer die Anzahl und je sensibler die Art der verarbeiteten Daten ist.

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu