Durch die DS-GVO unverändert geblieben ist der datenschutzrechtliche Grundsatz, dass alle Maßnahmen betreffend personenbezogene Daten rechtswidrig sind, sofern sie nicht durch einen gesetzlich normierten Erlaubnisgrund gerechtfertigt sind. Erlaubnisgrund kann beispielsweise die Einwilligung des Betroffenen sein. Betroffene im Rahmen einer Due Diligence sind typischerweise Arbeitnehmer, sowie Kunden und Lieferanten, sofern es sich dabei um natürliche Personen handelt. Datenschutzrechtlich relevant sind alle Informationen, die sich auf diese Personen beziehen, z.B. Name, E-Mail-Adresse, Telefonnummer, Anschrift und Position im Unternehmen.
Aufgrund der Weite des Anwendungsbereichs, weist nahezu jedes Dokument im Datenraum personenbezogene Daten auf. Die Einholung einer Einwilligung der Betroffenen wäre aber nicht nur zeitaufwendig, sie würde auch dazu führen, dass die üblicherweise diskret geführten Verhandlungen zwischen Käufer und Verkäufer einer Vielzahl von Personen bekannt würden. Ob die Einwilligung vorab, d.h. ohne Kenntnis von der konkreten Transaktion, erklärt werden kann, ist fraglich. Denn die Einwilligung ist „in informierter Weise“ unter Bezugnahme auf einen hinreichend bestimmten Datenverarbeitungszweck abzugeben. Die Einwilligung ist daher allenfalls in Einzelfällen als Erlaubnisgrund für die Datenverarbeitung im Rahmen einer Due Diligence geeignet.
Alternativ käme der Erlaubnisgrund des berechtigten Interesses des Verantwortlichen in Betracht, sofern entgegenstehende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Die dabei durchzuführende Interessenabwägung unterliegt im Streitfall der Interpretation der Gerichte und führt daher nicht zu rechtssicheren Ergebnissen. Hinzu kommt, dass selbst bei Vorliegen eines Erlaubnisgrundes für die Datenverarbeitung, die Datenerhebung Informationspflichten des Verantwortlichen nach Art. 13, 14 DS-GVO auslöst, was wiederum zu einem frühzeitigen Bekanntwerden der Transaktion führt.
Anonymisierte Unterlagen als Ausweg?
Ausweg kann die Offenlegung anonymisierter Unterlagen in der Due Diligence sein. Anonymisierung bedeutet dabei, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (vgl. Erwägungsgrund 26 der DS-GVO). In diesem Fall ist das Datenschutzrecht nicht mehr anwendbar. Zur Durchführung einer umfassenden Anonymisierung müssen alle Dokumente vor dem Hochladen in den Datenraum auf personenbezogene Daten durchgesehen und diese sodann geschwärzt werden. Das Schwärzen der Unterlagen bedeutet – neben der ohnehin aufwendigen Befüllung des Datenraums – eine zusätzliche, nicht zu unterschätzende Belastung der Target-Gesellschaft. Zudem wird die Prüfung der Unterlagen im Datenraum durch den Kaufinteressent aufgrund der Schwärzung erschwert, gleichen die Unterlagen doch nunmehr Lückentexten. Da selbst Unterschriften zu schwärzen sind, kann nicht einmal der Abschluss von Verträgen nachvollzogen werden. Zur Ausgleichung dieses Informationsdefizits könnte in Erwägung gezogen werden, eine Garantie in den Unternehmenskaufvertrag aufzunehmen, dass die Schwärzungen nur soweit zur datenschutzrechtlichen Anonymisierung notwendig vorgenommen wurden und nicht zu einer Entstellung des wesentlichen Inhalts der im Datenraum hinterlegten Unterlagen geführt haben.
Des Weiteren hat die Frage der Einbeziehung Dritter in die Erstellung des Datenraums datenschutzrechtliche Relevanz. So ist etwa an den Abschluss von Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO zu denken, wenn Datenverarbeitungsprozesse an externe Dienstleister ausgelagert werden. Typisches Beispiel ist die Inanspruchnahme eines Datenraums, der auf einem Server liegt, der nicht unmittelbar durch die Target-Gesellschaft, sondern durch einen Dritten betrieben wird. Befindet sich der Auftragsverarbeiter im Ausland, ist zudem zu prüfen, ob EU-Standardvertragsklauseln abzuschließen sind. Mit diesen verpflichtet sich der Auftragsverarbeiter gegenüber dem Verantwortlichen die europäischen Datenschutzstandards einzuhalten. Dabei ist darauf zu achten, dass sowohl der Auftragsverarbeitungsvertrag als auch ggf. die EU-Standardvertragsklauseln mit derjenigen Target-Gesellschaft als Verantwortlicher abgeschlossen werden, die ihre Daten im Datenraum zur Verfügung stellt. Die in der Vergangenheit teilweise zu beobachtende Praxis, dass der Finanzberater des Verkäufers den Datenraum bestellt, ist so ohne weiteres nicht möglich.
Datenaustausch im Konzern
Im Falle der Veräußerung einer ganzen Gruppe ist zudem zu beachten, dass im Rahmen der DS-GVO grundsätzlich kein Konzernprivileg existiert, d.h. dass jede Gesellschaft der Gruppe datenschutzrechtlich gesondert zu betrachten ist und dass ein Austausch von personenbezogenen Daten zwischen den Gruppen-Gesellschaften eines gesetzlich normierten Erlaubnisgrundes bedarf. Erwägungsgrund 48 der DS-GVO stellt zwar klar, dass ein Datenaustausch innerhalb einer Unternehmensgruppe auf der Grundlage eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO erfolgen kann, sofern die Übermittlung internen Verwaltungszwecken dient. Da die Durchführung einer Due Diligence jedoch nicht hierunter fällt, ist es grundsätzlich unzulässig, wenn die Muttergesellschaft die Due Diligence-Unterlagen aller ihrer Tochtergesellschaften zentral sammelt, anonymisiert und in den Datenraum einstellt. Abhilfe könnte hier der Abschluss eines Auftragsverarbeitungsvertrages zwischen der Muttergesellschaft und der jeweiligen Tochtergesellschaft schaffen.
Zusammenfassend lässt sich festhalten, dass eine Target-Gesellschaft bei Offenlegung von Unterlagen in der Due Diligence gut beraten ist, penibel auf die Einhaltung des Datenschutzrechts zu achten. Dies gilt nicht nur wegen der drohenden Geldbußen von bis zu EUR 20 Mio. oder 4 % des gesamten weltweit erzielten Jahresumsatzes, sondern auch weil der Umgang des Targets mit dem Datenschutz dem Kaufinteressenten frühzeitig einen ersten Eindruck der im Target gelebten Datenschutz-Compliance vermittelt.