Datenschutz in der Due Diligence: Fallstricke soweit das Auge reicht

PrintMailRate-it

veröffentlicht am 20. September 2018 / Lesedauer: ca. 4 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
Innerhalb der Risikoprüfung vor einer Unternehmenstransaktion („Due Diligence”) werden umfangreiche Daten ausgetauscht, um einen aussagekräftigen Überblick über ein Unternehmen als Transaktionsobjekt zu geben oder zu bekommen. Datenschutzrechtliche Fallstricke ergeben sich daraus gleich in zweierlei Hinsicht. Zum einen muss vor der Weitergabe unternehmensbezogener Unterlagen geprüft werden, inwieweit sie personenbezogene Daten enthalten dürfen oder eine Anonymisierung vorzunehmen ist. Zum anderen kann eine Due Diligence Mängel in der Datenschutz-Organisation eines Unternehmens offenbaren, die den zu erzielenden Kaufpreis erheblich mindern. 
 

 

Weitergabe personenbezogener Daten in unternehmensbezogenen Dokumenten

Im Wertfindungsprozess bei Unternehmenstransaktionen werden üblicherweise die „inneren Werte” eines Unternehmens offenbart, um potenziellen Käufern den Erwerbsgegenstand so zu beschreiben, dass diese eine Wertbestimmung und damit die Höhe ihrer Offerte festlegen können. Zu den klassischen Inhalten gehören sämtliche rechtlichen Dokumente, wie wesentliche Verträge, andere Urkunden, aber auch finanzielle Unterlagen, wie z.B. Inventarlisten und umfangreiche Zahlenwerke. Oftmals enthalten die vorgenannten Dokumente Bezüge zu natürlichen Personen und damit personenbezogene Daten im Rechtssinne.
 

Daher stellt sich die Frage, ob innerhalb des geltenden Rechts die Weitergabe der Daten an potenzielle Käufer überhaupt, und, wenn ja, in welchem Umfang zulässig ist. 
 
Üblicherweise werden derartige Dokumente über einen Speicher in der Cloud („Datenraum”) ausgetauscht. Dabei handelt es sich zweifelsohne um einen Verarbeitungsvorgang, der den allgemeinen rechtlichen Anforderungen des Datenschutzrechts unterliegt. Insbesondere relevant ist das Bestehen einer geeigneten und einschlägigen Rechtsgrundlage für diese Form der Übermittlung an Kaufinteressenten.
 

Zumeist hat der Verkäufer aus diversen Gründen ein starkes Interesse daran, Verkaufsabsichten innerhalb seiner Organisation geheim zu halten. Daher scheidet das Einholen von Einwilligungen der Betroffenen (Art.6 Abs.1 lit. a DSGVO) i.d.R. aus. Da die Weitergabe zu Veräußerungszwecken nicht der Durchführung von vertraglichen Verhältnissen mit Betroffenen dient (Art.6 Abs.1 lit. b DSGVO bzw. § 26 Abs.1 S.1 BDSG), bleibt dem Veräußerer als Rechtsgrundlage lediglich die Übermittlung aufgrund einer zu seinen Gunsten ausfallenden Interessenabwägung (Art.6 Abs.1 lit. f DSGVO). Je nach Datenkategorie sind dabei unterschiedliche Interessen in eine vorzunehmende Abwägung einzustellen.
 

Mitarbeiterdaten

Bei der Weitergabe von Beschäftigtendaten innerhalb der Befüllung eines Datenraums kann es zur Exposition ausgesprochen sensibler Daten kommen, da Dokumente mit Bezug zu eigenen Mitarbeitern neben der Identität zudem auch die Dauer des Arbeitsverhältnisses, Gehaltsdaten oder im Extremfall sogar Gesundheitsdaten enthalten können. Schwer vorstellbar, dass es in dem Zusammenhang Fälle geben kann, in denen eine Interessenabwägung (Verkaufsinteresse gegen Betroffeneninteressen) zu Gunsten des Veräußerers ausfällt. Insoweit kann stets nur zur Anonymisierung entsprechender Dokumente geraten werden. Ausnahmen können ggfs. bei leitenden Angestellten gelten. Entscheidet man sich dennoch für eine nicht-anonymisierte Weitergabe, sind Beteiligungsrechte des Betriebsrates im Blick zu behalten. In Einzelfällen sind außerdem vertragliche Gestaltungen mit den Beratern potenzieller Erwerber denkbar, die eine ungeschwärzte Weitergabe zumindest teilweise ermöglichen.
 

Kundendaten

Nicht ganz so eindeutig zu beurteilen ist die Weitergabe von Kundendaten. Bei dieser Kategorie ist weiter zu differenzieren, ob es sich um Daten von Verbrauchern oder Unternehmern handelt: Denn ein Kaufinteressent kann ein berechtigtes Interesse daran haben, zu erfahren, welches Kundenportfolio er zusammen mit dem Transaktionsobjekt erwirbt. V.a. können die Zahlungsmoral und die Liquidität der Kunden von großem Interesse sein. Darüber haben z.B. Daten von Verbrauchern wenig bis keine Aussagekraft. Gleichzeitig hat ein Verbraucher weit stärkere Betroffeneninteressen als ein B2B-Kunde. 
 

Letztlich ist jedoch auch bei Kundendaten immer an die grundsätzlich geltenden Verarbeitungsprinzipien der DSGVO zu denken und zu überlegen, ob eine geschwärzte Weitergabe von Unterlagen die Zwecke nicht in gleichem Maße erfüllen kann. Trifft das nicht zu, kann eine Interessenabwägung im Einzelfall zu Gunsten des Veräußerers ausfallen, so dass sich eine Weitergabe von Kundendaten auf Art. 6 Abs. 1 lit. f DSGVO stützen ließe.
 

Offenbarung (nicht nur) datenschutzrechtlicher Defizite im Unternehmen

Neben der Frage nach der Rechtmäßigkeit der Übermittlung personenbezogener Daten an sich steht die Frage nach der Qualität der Datenschutz-Organisation im Unternehmen.
 

Käufer sollten besonderes Augenmerk auf das Verarbeitungsverzeichnis legen, stellt es doch einen zentralen Sammelpunkt für Unternehmensprozesse i.A. dar. Die Dokumentationspflicht besteht zwar nur für Prozesse, die (auch) die Verarbeitung personenbezogener Daten zum Gegenstand haben, aus praktischer Sicht lässt sich aber sagen, dass nur ein kleiner Teil der wesentlichen Unternehmensprozesse ohne die Verarbeitung personenbezogener Daten auskommt. Insofern sind es die „Schlagadern” des Unternehmens, die im Verarbeitungsverzeichnis zu dokumentieren sind. Hinzu kommt, dass es sich dabei zumeist auch um die – datenschutzrechtlich – haftungsträchtigsten Vorgänge handeln dürfte. Fehlt das Verarbeitungsverzeichnis gänzlich, muss das für jeden Käufer ein deutliches Alarmzeichen sein, das mindestens bei der Preisverhandlung eingesetzt werden sollte.
 

Umgekehrt sollte vor dem Verkauf geprüft werden, welche Anpassungen und Maßnahmen noch vor einem Angebot am Markt durchgeführt werden können, um keine unnötigen Abschläge oder vertragliche carve-outs hinnehmen zu müssen. I.d.R. wird eine vorherige Implementierung eines Datenschutz-Managementsystems (DMS) die preiswertere Alternative sein.
 

Fazit

Bei Unternehmenstransaktionen sollte sorgfältig abgewogen werden, ob personenbezogene Daten unbedingt preisgegeben werden müssen. So lange keine Erforderlichkeit gegeben ist, scheidet eine Rechtfertigung im Wege einer Interessenabwägung aus.
 

Wird die ungeschwärzte Weitergabe für unumgänglich gehalten, muss dokumentiert werden, welche Informationen an Interessenten gegeben werden und auf welcher Rechtsgrundlage, insbesondere auf welchen Erwägungen, das erfolgt.
 

In einem 2. Schritt sollte sichergestellt werden, dass vor der Durchführung einer Unternehmenstransaktion alle datenschutzrechtlichen Hausaufgaben erledigt sind: Denn sieht sich ein Käufer zum Einpreisen entsprechender Risiken genötigt, kann das zu erheblichen Abschlägen beim zu erzielenden Kaufpreis führen. Die Durchführung eines DSGVO-Umsetzungsprojektes dürfte dem Verkäufer wesentliche Vorteile sichern. Umgekehrt ist Käufern potenzieller Erwerbsobjekte zu empfehlen, diese eingehend auf datenschutzrechtliche Risiken zu untersuchen und verbleibenden Umsetzungsaufwand ggf. großzügig einzupreisen. 

Kontakt

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

 Wir beraten Sie gern!

 Mehr lesen?

Deutschland Weltweit Search Menu