• Zur Hauptnavigation springen
  • Zum Inhalt springen
LinkedInYouTubeSpotifyMonatlicher NewsletterPodcast
Private Equity Magazin
Erweiterte Suche
  • DE
  • EN

Private Equity Magazin

Private Equity Magazin

Das Onlinemagazin für die Private Equity-Branche – Private Funds I M&A I Tax

  • Home
  • Aktuelles
    • Newsletter
    • Podcast
    • Themenseiten
  • Investment Funds
  • M&A
  • Tax
  • Glossar
  • Termine
  • Hintergrund
    • Autorinnen & Autoren
    • Jahresübersichten
    • MUPET
      • MUPET-Archiv
    • Kontakt
    • Über uns
  • EN
  • Erweiterte Suche
  • Monatliche UpdatesPodcastLinkedInYouTubeSpotify

Datenschutz in der Due Diligence

Das neue Datenschutzrecht ist in der M&A-Praxis angekommen. Die Auswirkungen zeigen sich bei jeder Unternehmenstransaktion, insbesondere in der Due Diligence. Zwar war auch schon vor dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) die Offenlegung personenbezogener Daten gegenüber Kaufinteressenten begrenzt. Beeindruckt hatte dies die Praxis freilich nicht immer. Mit Inkrafttreten der DS-GVO scheint sich das nun zu ändern.

M&A

von Christine Funk, POELLATH
18. September 2018
  • Unternehmenskaufvertrag
  • Datenschutz-Grundverordnung (DS-GVO)
  • Due Diligence
  • Compliance
  • Datenschutz
Die Vielzahl der zu prüfenden Daten in der Due Diligence wirft auch viele datenschutzrechtliche Fragen auf.
Die Vielzahl der zu prüfenden Daten in der Due Diligence wirft auch viele datenschutzrechtliche Fragen auf. Quelle: Pixabay

Durch die DS-GVO unverändert geblieben ist der datenschutzrechtliche Grundsatz, dass alle Maßnahmen betreffend personenbezogene Daten rechtswidrig sind, sofern sie nicht durch einen gesetzlich normierten Erlaubnisgrund gerechtfertigt sind. Erlaubnisgrund kann beispielsweise die Einwilligung des Betroffenen sein. Betroffene im Rahmen einer Due Diligence sind typischerweise Arbeitnehmer, sowie Kunden und Lieferanten, sofern es sich dabei um natürliche Personen handelt. Datenschutzrechtlich relevant sind alle Informationen, die sich auf diese Personen beziehen, z.B. Name, E-Mail-Adresse, Telefonnummer, Anschrift und Position im Unternehmen.

Aufgrund der Weite des Anwendungsbereichs, weist nahezu jedes Dokument im Datenraum personenbezogene Daten auf. Die Einholung einer Einwilligung der Betroffenen wäre aber nicht nur zeitaufwendig, sie würde auch dazu führen, dass die üblicherweise diskret geführten Verhandlungen zwischen Käufer und Verkäufer einer Vielzahl von Personen bekannt würden. Ob die Einwilligung vorab, d.h. ohne Kenntnis von der konkreten Transaktion, erklärt werden kann, ist fraglich. Denn die Einwilligung ist „in informierter Weise“ unter Bezugnahme auf einen hinreichend bestimmten Datenverarbeitungszweck abzugeben. Die Einwilligung ist daher allenfalls in Einzelfällen als Erlaubnisgrund für die Datenverarbeitung im Rahmen einer Due Diligence geeignet.

Alternativ käme der Erlaubnisgrund des berechtigten Interesses des Verantwortlichen in Betracht, sofern entgegenstehende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Die dabei durchzuführende Interessenabwägung unterliegt im Streitfall der Interpretation der Gerichte und führt daher nicht zu rechtssicheren Ergebnissen. Hinzu kommt, dass selbst bei Vorliegen eines Erlaubnisgrundes für die Datenverarbeitung, die Datenerhebung Informationspflichten des Verantwortlichen nach Art. 13, 14 DS-GVO auslöst, was wiederum zu einem frühzeitigen Bekanntwerden der Transaktion führt.

Anonymisierte Unterlagen als Ausweg?

Ausweg kann die Offenlegung anonymisierter Unterlagen in der Due Diligence sein. Anonymisierung bedeutet dabei, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (vgl. Erwägungsgrund 26 der DS-GVO). In diesem Fall ist das Datenschutzrecht nicht mehr anwendbar. Zur Durchführung einer umfassenden Anonymisierung müssen alle Dokumente vor dem Hochladen in den Datenraum auf personenbezogene Daten durchgesehen und diese sodann geschwärzt werden. Das Schwärzen der Unterlagen bedeutet – neben der ohnehin aufwendigen Befüllung des Datenraums – eine zusätzliche, nicht zu unterschätzende Belastung der Target-Gesellschaft. Zudem wird die Prüfung der Unterlagen im Datenraum durch den Kaufinteressent aufgrund der Schwärzung erschwert, gleichen die Unterlagen doch nunmehr Lückentexten. Da selbst Unterschriften zu schwärzen sind, kann nicht einmal der Abschluss von Verträgen nachvollzogen werden. Zur Ausgleichung dieses Informationsdefizits könnte in Erwägung gezogen werden, eine Garantie in den Unternehmenskaufvertrag aufzunehmen, dass die Schwärzungen nur soweit zur datenschutzrechtlichen Anonymisierung notwendig vorgenommen wurden und nicht zu einer Entstellung des wesentlichen Inhalts der im Datenraum hinterlegten Unterlagen geführt haben.

Des Weiteren hat die Frage der Einbeziehung Dritter in die Erstellung des Datenraums datenschutzrechtliche Relevanz. So ist etwa an den Abschluss von Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO zu denken, wenn Datenverarbeitungsprozesse an externe Dienstleister ausgelagert werden. Typisches Beispiel ist die Inanspruchnahme eines Datenraums, der auf einem Server liegt, der nicht unmittelbar durch die Target-Gesellschaft, sondern durch einen Dritten betrieben wird. Befindet sich der Auftragsverarbeiter im Ausland, ist zudem zu prüfen, ob EU-Standardvertragsklauseln abzuschließen sind. Mit diesen verpflichtet sich der Auftragsverarbeiter gegenüber dem Verantwortlichen die europäischen Datenschutzstandards einzuhalten. Dabei ist darauf zu achten, dass sowohl der Auftragsverarbeitungsvertrag als auch ggf. die EU-Standardvertragsklauseln mit derjenigen Target-Gesellschaft als Verantwortlicher abgeschlossen werden, die ihre Daten im Datenraum zur Verfügung stellt. Die in der Vergangenheit teilweise zu beobachtende Praxis, dass der Finanzberater des Verkäufers den Datenraum bestellt, ist so ohne weiteres nicht möglich.

Datenaustausch im Konzern

Im Falle der Veräußerung einer ganzen Gruppe ist zudem zu beachten, dass im Rahmen der DS-GVO grundsätzlich kein Konzernprivileg existiert, d.h. dass jede Gesellschaft der Gruppe datenschutzrechtlich gesondert zu betrachten ist und dass ein Austausch von personenbezogenen Daten zwischen den Gruppen-Gesellschaften eines gesetzlich normierten Erlaubnisgrundes bedarf. Erwägungsgrund 48 der DS-GVO stellt zwar klar, dass ein Datenaustausch innerhalb einer Unternehmensgruppe auf der Grundlage eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO erfolgen kann, sofern die Übermittlung internen Verwaltungszwecken dient. Da die Durchführung einer Due Diligence jedoch nicht hierunter fällt, ist es grundsätzlich unzulässig, wenn die Muttergesellschaft die Due Diligence-Unterlagen aller ihrer Tochtergesellschaften zentral sammelt, anonymisiert und in den Datenraum einstellt. Abhilfe könnte hier der Abschluss eines Auftragsverarbeitungsvertrages zwischen der Muttergesellschaft und der jeweiligen Tochtergesellschaft schaffen.

Zusammenfassend lässt sich festhalten, dass eine Target-Gesellschaft bei Offenlegung von Unterlagen in der Due Diligence gut beraten ist, penibel auf die Einhaltung des Datenschutzrechts zu achten. Dies gilt nicht nur wegen der drohenden Geldbußen von bis zu EUR 20 Mio. oder 4 % des gesamten weltweit erzielten Jahresumsatzes, sondern auch weil der Umgang des Targets mit dem Datenschutz dem Kaufinteressenten frühzeitig einen ersten Eindruck der im Target gelebten Datenschutz-Compliance vermittelt.

Artikel drucken

  • teilen 
  • teilen 
  • E-Mail 

Autoreninfos

Christine Funk

POELLATH

Profil | Kontakt

alle Beiträge anzeigen

Testbild Featured Post
Der M&A Lehrgang vermittelt die Grundlagen für eine erfolgreiche Durchführung von M&A-Transaktionen.

Mehr erfahren

Auch interessant

  • Steuern Aktuell – Alles Wichtige auf einen Blick
  • ESG-Garantien im Unternehmenskaufvertrag
  • ESG-Newsflash – Alles Wichtige auf einen Blick
  • Das Bewusstsein der Unentgeltlichkeit als…

https://www.pe-magazin.de/datenschutz-in-der-due-diligence/

Top
Private Equity Magazin
  • Kontakt
  • Impressum
  • Datenschutz
  • Cookie-Einstellungen
Folgen Sie uns auf LinkedInFolgen Sie uns auf YouTubeMonatlicher Newsletter
Unseren Podcast hören Sie bei

Die Private Equity Experten.