Daten gelten als das neue Öl der Unternehmen. Es findet sich nahezu keine Branche mehr, in der nicht versucht wird, die Geschäftsmodelle durch das Sammeln und Auswerten von Daten zu optimieren. Der technologische Fortschritt schafft die Voraussetzungen dafür, dass immer mehr Daten elektronisch verfügbar sind und mit hoher Geschwindigkeit ausgewertet werden können. Die riesigen Datenmengen der verschiedenen Quellen verschmelzen zu „Big Data“. Unternehmen wie Apple, Google und Facebook, die mit ihrem Geschäftsmodell auf die wirtschaftliche Verwertung der gesammelten Daten setzen, haben mittlerweile die Schwer- und Rohstoffindustrie vom Thron der wertvollsten Unternehmen verdrängt.
Neue rechtliche Rahmenbedingungen
Für das Geschäft mit Daten gelten aber besondere rechtliche Rahmenbedingungen. Beim Sammeln und Nutzen von personenbezogenen Daten ist das Datenschutzrecht zu beachten. Die informationelle Selbstbestimmung des Einzelnen soll in einen Ausgleich mit den berechtigten Interessen der Datenverwerter gebracht werden.
Die rechtlichen Rahmenbedingungen sind juristisches Neuland – und bleiben es mit Blick auf jede neue technische Weiterentwicklung. Das Datenschutzrecht hinkt dem technischen Fortschritt ständig hinterher. Daten, insbesondere die von weltweit operierenden Unternehmen, sind zudem flüchtig. Der Transfer von Daten kennt im Zeitalter des Internets und der Cloud-Lösungen keine Landesgrenzen.
Am 14. April 2016 hat das EU-Parlament nach zähem vierjährigem Entstehungsprozess eine Datenschutzgrundverordnung verabschiedet, die, nach einer Umsetzungsfrist von zwei Jahren, ab 25. Mai 2018 als einheitliches Datenschutzrecht für ganz Europa gelten wird. Damit enden auch beim Datenschutz weitgehend nationale Insellösungen, ein neues Zeitalter für den Umgang mit personenbezogenen Daten beginnt. Darauf muss man sich auch im Rahmen von M&A-Transaktionen mit Private-Equity-Beteiligung schon jetzt einstellen: Wer heute Einwilligungen von Nutzern einholt, muss sicherstellen, dass diese auch im Jahr 2018 noch Bestand haben.
Daten als Assets – doch was sind sie wirklich wert?
Die in den Unternehmen vorhandenen und verarbeiteten Daten werden ein immer wesentlicheres Asset und damit zum wertsteigernden Faktor. Im Rahmen der Bewertung von Unternehmen muss deshalb auch die Werthaltigkeit der vorhandenen Daten ermittelt werden. Der Wert der Daten hängt im Wesentlichen davon ab, in welcher Weise sie von der Zielgesellschaft verwendet werden dürfen. Folgendes ist zu klären: Ist das von dem Zielunternehmen betriebene Geschäftsmodell aufgrund der geltenden Datenschutzbestimmungen zulässig? Kann es überhaupt oder – mit entsprechenden Gewinneinbußen – nur eingeschränkt legal betrieben werden? Wenn ein Zielunternehmen mit entsprechender Weitsicht vorgegangen ist und z. B. von den Personen, auf die sich die Daten beziehen, wirksame Einwilligungserklärungen zu ihrer Verwendung eingeholt hat, kann das den Wert der vorhandenen Daten und damit den des Zielunternehmens erheblich erhöhen.
Auf die Verwendungsmöglichkeiten der Daten wird in der Due Diligence zukünftig größeres Augenmerk gelegt werden müssen. Im Rahmen der Due Diligence wird aber auch zu prüfen sein, ob das Zielunternehmen den datenschutzrechtlichen Vorgaben in der Vergangenheit entsprochen hat.
Hat ein Unternehmen gegen das Datenschutzrecht verstoßen, kann das, ähnlich wie bei einem wettbewerbsrechtlichen Vergehen (z. B. bei Preisabsprachen zwischen Wettbewerbern), empfindliche Strafen und Reputationsschäden nach sich ziehen. Außerdem können zusätzliche Investitionen notwendig sein, um die datenschutzrechtlichen Anforderungen zu erfüllen.
Erwerb von personenbezogenen Daten
Ist das Ziel der Unternehmenstransaktion auch der Erwerb von personenbezogenen Daten, so hat dies auch Auswirkungen auf die mögliche Deal-Struktur. Soll der Rechtsträger des Zielunternehmens die Daten auf den Erwerber mittels Asset Deal übertragen, so gilt dies als Datenübermittlung. Eine Übermittlung ist datenschutzrechtlich jedoch nur unter besonderen Voraussetzungen zulässig. Der einzelne Betroffene muss in die Übermittlung seiner Daten einwilligen oder es bedarf einer Rechtsvorschrift, die im konkreten Fall eine Übermittlung zulässt. An einer ausreichenden Einwilligung des Betroffenen oder einem entsprechenden gesetzlichen Erlaubnistatbestand fehlt es aber in den meisten Fällen. Ein Asset Deal ist deshalb mit Blick auf die Nutzbarkeit der personenbezogenen Daten häufig ungünstiger. In diesen Fällen kann der Erwerb als Share Deal Vorteile bringen. Denn hierbei werden die Daten nicht übermittelt, sondern verbleiben beim ursprünglichen Rechtsträger.
Doch selbst wenn die Daten mit dem Zielunternehmen im Rahmen eines Share Deal erworben werden können, kann der Erwerber mit den Daten des Zielunternehmens anschließend nicht machen, was er will. Die Daten bleiben mit dem Rechtsträger verbunden und können nur dort im Rahmen des datenschutzrechtlich Zulässigen verwendet werden. So können Daten, die zur Durchführung eines bestimmten Vertrages erhoben werden, später nicht per se für andere Zwecke genutzt werden.
Auch eine Übermittlung der Daten – etwa an die Konzernmutter oder eine Schwestergesellschaft, um Synergien innerhalb eines Konzerns zu heben – ist datenschutzrechtlich nicht ohne Weiteres möglich oder sogar ganz ausgeschlossen. Gerade wenn Mitarbeiterdaten konzernintern transferiert werden, vertreten die Aufsichtsbehörden in Deutschland eine strenge Auffassung.
Datenschutz in der Transaktion
Bei der Vorbereitung und Durchführung einer Transaktion werden Daten im großen Umfang zwischen Verkäufer, Zielunternehmen und potentiellem Erwerber ausgetauscht. Auch hierbei ist das Datenschutzrecht zu beachten. Eine Übermittlung von personenbezogenen Kunden- oder Arbeitnehmerdaten ist nur unter sehr engen Voraussetzungen zulässig und darf im Zweifel nur in anonymisierter Form vorgenommen werden.
Aber selbst wenn diese Daten in datenschutzrechtlich zulässiger Weise dem potentiellen Erwerber zur Verfügung gestellt werden dürfen, kann ein Verstoß gegen das Datenschutzrecht von ganz anderer Seite drohen. Schon das Hochladen der Daten in einen elektronischen Datenraum ist datenschutzrechtlich relevant. Werden etwa Daten an einen IT-Dienstleister (z. B. einen Datenraumprovider) gegeben, der seinen Sitz außerhalb der EU hat, so müssen besondere Vorkehrungen getroffen werden, da die dortigen Datenschutzgesetze nicht mit den in der EU geltenden vergleichbar sind. Grundsätzlich ist hier nötig, gesonderte Verträge (sog. EU-Standardverträge) mit den Dienstleistern zu schließen. Dies gilt auch für Transfers in die USA, da eine Übermittlung auf Basis von Safe-Harbor-Zertifizierungen seit dem EuGH-Urteil im Oktober 2015 nicht mehr möglich ist.
Mit besagtem EuGH-Urteil sind allerdings auch die EU-Standardverträge infrage gestellt, sodass der Datentransfer auch in andere Nicht-EU-Länder zunehmend mit einem Fragezeichen versehen werden muss. Unklar ist auch die Zukunft des als Privacy Shield bezeichneten Nachfolgers von Safe Harbor. Noch bevor dieses Abkommen überhaupt wirksam geworden ist, haben Aufsichtsbehörden bereits Zweifel an seiner Vereinbarkeit mit den EuGH-Anforderungen geäußert.
Datenschutz bei den Portfoliounternehmen
Die Absicherung des Datenschutzes ist eine permanente Aufgabe und somit auch nach einer Transaktion von den Portfoliounternehmen zu beachten. Datenschutz-Compliance gehört bei den Unternehmen zu den laufenden Organpflichten. Die EU-Datenschutzgrundverordnung verlangt ab Mai 2018 von den Unternehmen, sich so zu organisieren, dass sie die Datenschutzbestimmungen einhalten und dies auch nachweisen können. Die Geschäftsführer der Zielunternehmen sind also gehalten, entsprechende Maßnahmen zu ergreifen, mit denen die Beachtung des Datenschutzes im Unternehmen sichergestellt wird. Die Aufsichtsgremien haben die Geschäftsführung diesbezüglich zu überwachen.
Ein Verstoß gegen den Datenschutz kann von Aufsichtsbehörden geahndet und mit Strafen belegt werden. Führt ein verhängtes Bußgeld zu Schäden beim Unternehmen, so droht den einzelnen Mitgliedern der Geschäftsführung und der Aufsichtsgremien die persönliche Haftung, wenn sie ihre Organpflichten verletzt und den Datenschutz im Unternehmen nicht ausreichend gewährleistet haben.
Bislang haben sich die Aufsichtsbehörden mit der Verhängung von Bußgeldern wegen des Verstoßes gegen Datenschutzbestimmungen eher zurückgehalten. Es ist aber eine zunehmende Strenge beim Vollzug der Datenschutzbestimmungen zu beobachten.
So hat etwa das Bayerische Landesamt für Datenschutzaufsicht wegen eines Asset Deal, bei dem Kundendaten unter Verstoß gegen datenschutzrechtliche Vorschriften verkauft wurden, jüngst ein Bußgeld verhängt. Das Thema Datenschutz ist also auch im M&A-Bereich angekommen.
Noch sind die verhängten Bußgelder überschaubar. Dem Softwareunternehmen Adobe, dem Getränkehersteller Punica und dem Konzern Unilever sind Bußgelder zwischen EUR 8.000 und EUR 12.000 auferlegt worden, weil sie sich trotz des EuGH-Urteils bei ihren Datentransfers in die USA auf Safe Harbor gestützt haben.
Theoretisch sind nach derzeit noch geltendem Recht Bußgelder in Höhe von bis zu EUR 300.000 möglich, für jeden Verstoß. Sobald die Übergangsregelungen nach der Datenschutzgrundverordnung jedoch ausgelaufen sind, kommen deutlich empfindlichere Strafen von bis zu EUR 20.000.000 bzw. bis zu 4 % des globalen Jahresumsatzes des Unternehmens in Betracht. Der Datenschutz gewinnt also an Bedeutung und darf bei M&A-Transaktionen und beim Beteiligungsmanagement nicht vernachlässigt werden.