In jeder M&A-Transaktion spielt Datenschutz eine Rolle, und zwar sowohl auf Verkäufer- als auch auf Käuferseite. Die hohen Bußgelder nach der EU-Datenschutz-Grundverordnung (DSGVO), aber auch der mögliche Reputationsverlust im Falle von an die Öffentlichkeit gelangenden Datenschutzverletzungen lassen den Datenschutz zur Pflichtübung aller Akteure einer M&A-Transaktion werden. Anlässlich der Mupet 2020 haben Benjamin Aldegarmann und Christine Funk (beide Rechtsanwälte bei P+P Pöllath + Partners) in ihrem Video-Vortrag „Datenschutz und M&A(‑Transaktionen)“ einen Überblick über die wichtigsten datenschutzrechtlichen Themen gegeben. Wir haben die wesentlichen Erkenntnisse für Sie zusammengefasst:
Datenschutz aus Verkäufersicht
- Verkäufer sind im Rahmen ihres Verkaufsprozesses daran interessiert, Informationen über die Zielgesellschaft mit Kaufinteressenten zu teilen. Unter diesen Informationen befindet sich oftmals eine Vielzahl von personenbezogenen Daten. Die Offenlegung personenbezogener Daten ist datenschutzrechtlich unzulässig, es sei denn, eine gesetzliche Rechtsgrundlage rechtfertigt die Offenlegung. Als Rechtsgrundlage kommen in M&A-Transaktionen insbesondere die Einwilligung oder die Wahrnehmung berechtigter Interessen infrage. Bei der Wahrnehmung berechtigter Interessen spielen Maßnahmen zum Schutz der Vertraulichkeit eine wichtige Rolle (z.B. Abschluss von Vertraulichkeitsvereinbarungen mit Kaufinteressenten).
- Die Zurverfügungstellung eines Datenraumes durch einen Datenraumanbieter stellt eine Auftragsverarbeitung dar. Mit Auftragsverarbeitern ist zwingend ein Auftragsverarbeitungsvertrag abzuschließen, der alle Vorgaben der DSGVO einhält.
- Selbst wenn die Offenlegung der personenbezogenen Daten datenschutzrechtlich erlaubt ist, sind darüber hinaus noch Informationspflichten zu beachten. Nur im Falle einer umfassenden Anonymisierung durch Schwärzung der in den Datenraum einzustellenden Unterlagen kann man sich diesen Vorgaben entziehen.
Datenschutz aus Käufersicht
- In jeder rechtlichen Due Diligence sollte Datenschutz zum Prüfungsumfang gehören, um damit im Zusammenhang stehende Risiken zu identifizieren.
- Im Rahmen der Datenschutz-Due Diligence sollte sich der Käufer insbesondere einen Überblick darüber verschaffen, welche personenbezogenen Daten in der Zielgesellschaft gespeichert oder in sonstiger Weise verarbeitet werden und inwieweit personenbezogene Daten an Dritte, insbesondere auch ins Nicht-EU-Ausland übermittelt werden. Dazu ist die datenschutzrelevante Dokumentation der Zielgesellschaft anzufordern. Anhand dieser Unterlagen kann beurteilt werden, ob die Vorgaben der DSGVO und des Bundesdatenschutzgesetzes von der Zielgesellschaft beachtet wurden und werden oder ob bußgeldbewehrte Verstöße stattgefunden haben.
- Sofern die Zielgesellschaft einen Datenschutzbeauftragten bestellt hat, ist die Durchsicht der Jahresberichte und der Berichte durchgeführter Datenschutz-Audits aufschlussreich. Anhand dieser sollte geprüft werden, ob bereits in der Vergangenheit erkannte Risiken beseitigt wurden.
Alle Beiträge zur MUPET 2020 finden Sie in unserem MUPET-Archiv.