Euroforum

Euroforum GmbH-Geschäftsführer-Seminare
Info-Hotline: +49 2 11/88743-3340

DATENSCHUTZ

im Zusammenhang mit M&A Transaktionen

 

 

Dr. Wolfgang Schülert, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht, und
Maximilian V. Otto Houf, Rechtsanwalt, Seitz Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB, Köln

Einleitung

Datenschutz ist ein derzeit – spätestens seit dem Inkrafttreten der Datenschutzgrundverordnung („DSGVO“) im Mai 2018 – von vielen gefürchtetes Thema, das zuvor meist stiefmütterlich behandelt wurde.Um stus patistem fora? Caequon stuium tuam furnit, ocrei sussestres An serbitus conum in defactu amquam. Bustris virio iam nostus bonsulos nonsus ompli se, Cat.

Die Auswirkungen der DSGVO sind dabei sowohl bei kleinen als auch bei großen Unternehmenstransaktionen von gesteigerter Bedeutung. Insbesondere durch die enormen Geldbußen nach Art.³83 DSGVO von bis zu 20 Mio. Euro bzw. in Höhe von bis zu 4³% des weltweiten Umsatzes der Unternehmensgruppe hat der Datenschutz eine erhebliche Bedeutung erlangt.

Datenschutzrechtliche Themen lassen sich hinsichtlich einer M&A Transaktion unterteilen in besondere Pflichten/ Interessen des Käufers auf der einen Seite und des Verkäufers auf der anderen Seite, welche im Rahmen der Due Diligence („DD“) und beim Unternehmenskaufvertrag zu berücksichtigen sind.

Pflichtenkreis des Verkäufers

Im Rahmen der DD bzw. im gesamten Verkaufsprozess hat der Verkäufer zu beachten, dass die meisten der für den Käufer interessanten Informationen regelmäßig streng vertrauliche Daten umfassen. So sind Mitarbeiterdaten oder auch Kundendaten (Adressdaten oder Bestellübersichten) regelmäßig als personenbezogene Daten zu bewerten und nicht ohne die ausdrückliche Einwilligung der Betro‚enen oder einen Rechtfertigungsgrund an Dritte (hier den Käufer) herauszugeben. Insbesondere die Einholung einer Einwilligung ist oftmals nicht im Interesse des Verkäufers, da der geplante Verkauf meistens möglichst lange streng vertraulich bleiben soll oder aber eine Einholung der Einwilligungen tatsächlich mit zu großem Aufwand verbunden wäre.

Eine große Herausforderung ist, den stets zum Einsatz kommenden Datenraum im Rahmen der DD DSGVO- konform einzurichten. Hier stellt sich zunächst die Frage, ob die (verlangten) Informationen personenbezogene Daten darstellen bzw. ob personenbezogene Daten für die vom Käufer erstellte DD erforderlich sind.

Da die Einholung von Einwilligungen unpraktikabel und meist hinderlich für einen erfolgreichen Verkauf ist, bedarf es entsprechender Alternativen.

Insofern sind pauschalierte Angaben, wie etwa Unternehmensgröße, Umsatz oder vom Verkäufer bereits veröff‚entlichte Angaben zu etwaigen Kunden keine personenbezogenen Daten, sodass – jedenfalls aus datenschutzrechtlicher Sicht – eine Rechtfertigung dieser „Weitergabe“ an den Käufer nicht notwendig ist. Darüber hinausgehende Angaben sind im Einzelfall zu prüfen. Sofern personenbezogene Daten vorliegen, welche an den Käufer übermittelt werden sollen, hat der Verkäufer hierfür eine Rechtfertigung vorzulegen. Diese Rechtfertigung kann in Form der Einwilligung erfolgen.

Da die Einholung von Einwilligungen unpraktikabel und meist hinderlich für einen erfolgreichen Verkauf ist, bedarf es entsprechender Alternativen.

Schwärzen der Dokumente
So wird regelmäßig der Versuch unternommen, die Dokumente mit personenbezogenen Daten zu schwärzen und hierdurch eine Anonymisierung umzusetzen. Die Übermittlung von geschwärzten Dokumenten ist keine Datenverarbeitung im Sinne der DSGVO oder des Bundesdatenschutzgesetzes und verlangt daher keine (weitere) Rechtfertigung. Das umfassende Schwärzen der Dokumente hat jedoch zum einen zur Folge, dass sie für den Käufer letztlich unbrauchbar sind, da keine entscheidenden Informationen mehr enthalten sind. Zum anderen ist zu beachten, dass das Schwärzen in den meisten Fällen händisch zu erfolgen hat, daher sehr aufwendig und dementsprechend kostspielig sowie zeitaufwendig für die Verkäufer ist.

Vendor Due Diligence
Eine andere Variante zur Vermeidung einer unzulässigen Datenverarbeitung i.S.d. DSGVO ist, dass der Verkäufer selbst eine sog. Vendor Due Diligence durchführt und nur das Ergebnis (den Report) in einem ersten Schritt dem Käufer zur Verfügung gestellt wird. Der Käufer erhält also einen vom Verkäufer erstellten Bericht über den Zustand des zu verkaufenden Unternehmens sowie etwaiger Risiken. Vorteil ist, dass etwaige für den Verkaufsprozess relevante Informationen transparent vorgelegt werden können, ohne die Gefahr einzugehen, dass personenbezogene Daten an Dritte weitergegeben werden. Problematisch ist bei dieser Art der DD jedoch, dass sich für den Käufer die Frage der Belastbarkeit dieser Informationen stellt. Darüber hinaus hat der Käufer keine Vertragsbeziehung mit den Beratern/Erstellern der Vendor DD und somit keine Ansprüche auf Schadensersatzanspruch wegen fehlender/falscher Informationen, so dass die reine Vendor DD regelmäßig nicht ausreichend ist.

Clean-Teams
Sofern tatsächlich eine Datenweitergabe von personenbezogenen Daten vom Verkäufer an den Käufer erfolgen soll, keine Einwilligung vorliegt und auch sonstige Rechtfertigungsgründe nicht unmittelbar greifen, behilft sich die Praxis mit der Einrichtung ines sog. „Clean-Teams“.

Unter diesem auch aus dem Kartellrecht bekannten Hilfsmittel versteht sich eine Gruppe aus Mitarbeitern und Beratern des Kaufinteressenten, welche regelmäßig keine operativen Tätigkeiten beim Kaufinteressenten ausüben, eine beiderseitige Verschwiegenheitserklärung gegenüber Käufer und Verkäufer unterschrieben haben und einem umfassenden Wettbewerbsverbot unterliegen. Diese Personen erhalten Einsicht in die sensiblen/personenbezogenen Daten und werten diese für den Käufer aus. Hierdurch besteht für den Verkäufer die Möglichkeit, etwaigen Kaufinteressenten eine Übersicht in Form eines DD-Berichts über sein Unternehmen zu gewähren.

Zwar liegt eine Datenverarbeitung vor, allerdings ist die – darüber hinausgehende – Datenverarbeitung bestmöglich eingeschränkt und der Käufer kann berechtigte (wirtschaftliche) Interessen vorzeigen, wobei er sowohl den Grundsatz der Datensparsamkeit als auch den Verhältnismäßigkeitsgrundsatz bestmöglich umgesetzt hat. Da in diesem Zusammenhang nur ein sehr geringer Personenkreis Kenntnis erhält, dieser sich verpflichtet, keine primären Informationen weiterzugeben, ist von einem Rechtfertigungstatbestand auszugehen. Zudem ist hervorzuheben, dass es dem Verkäufer nicht unmöglich sein darf, Informationen überhaupt weiterzugeben, sofern die Weitergabe der Information für die Durchführung des Verkaufs tatsächlich erforderlich ist. Dies ist regelmäßig der Fall, da ein potenzieller Käufer nur auf der Grundlage einer DD überhaupt eine Kaufentscheidung treffen kann (Stichwort Business Judgement Rule).

Pflichtenkreis des Käufers

Aus der Sicht des Käufers sind vor allem zwei Haupt-Risiken zu beachten: Zum einen besteht die Gefahr, dass der Käufer im Fall des Share-Deals eine Gesellschaft erwirbt und dieser Gesellschaft aufgrund von datenschutzrechtlichen Verstößen aus der Vergangenheit ein erhebliches Bußgeld auferlegt wird. Zum anderen besteht die Gefahr, dass der Käufer insbesondere im Fall des Asset-Deals personenbezogene Kundendaten als wesentliches Asset erwirbt, diese Kundendaten aber aufgrund der Bestimmungen der DSGVO gar nicht oder nicht wie gewünscht benutzen darf. Beide Risiken gilt es im Rahmen der DD zu bewerten, unter Umständen den Verkäufer zu Maßnahmen vor dem Closing zu bewegen und/oder im Rahmen des Unternehmenskaufvertrags zu berücksichtigen.

Wichtige Aspekte im Rahmen der DD
Der Käufer hat im Rahmen der DD insbesondere darauf zu achten, dass die Anforderungen der DSGVO adäquat beim Target umgesetzt wurden. Neben der vermeintlich „einfachen“ Kontrolle der Datenschutzerklärung sind insbesondere die Aspekte der Sicherung der personenbezogenen Daten, das Löschungskonzept, das Verarbeitungsverzeichnis sowie die Notfallplanung zu kontrollieren. Sofern ein Risiko mangels Informationen nicht eingeschätzt werden kann, stellt sich bereits die Frage, ob das Target überhaupt erworben werden kann; mindestens jedoch bedarf es einer Garantieerklärung des Verkäufers bezüglich der Datenschutzkonformität des Targets im Unternehmenskaufvertrag.

Im Rahmen der Due Diligence darf der Käufer ohne abweichende, konkrete Anhaltspunkte regel mäßig darauf vertrauen, dass die personenbezogenen Daten, die dem Käufer im Datenraum o‚engelegt werden, auf der Grundlage einer rechtmäßigen Datenverarbeitung o‚engelegt werden und von ihm im Rahmen der Transaktion verwendet werden dürfen.

Sofern der Käufer im Rahmen der DD Verstöße gegen datenschutzrechtliche Bestimmungen feststellt, ist es regelmäßig angezeigt, diese Verstöße dem Verkäufer mitzuteilen und ihm zu ermöglichen, die Verstöße vor der eigentlichen Transaktion zu beheben. Gleichwohl sollten die Verstöße und die hieraus resultierenden Haftungsrisiken im Unternehmenskauf vertrag entsprechend abgesichert werden.

Share-Deal
Sofern ein Share-Deal geplant ist, bleibt die juristische Person, also die datenschutzrechtlich verantwortliche Stelle, unverändert bestehen. Es findet also gerade keine Übertragung von personenbezogenen Daten im Rahmen der Transaktion statt. Dies hat den Vorteil, dass eine Übertragung der Daten auf den Käufer nicht notwendig ist und daher diesbezüglich keine Maßnahmen ergri‚en werden müssen.

Gleichwohl ist, wie bereits oben angesprochen, auch beim Share-Deal der Datenschutz von Relevanz. So besteht die Gefahr, dass bei einem datenrechtlichen Verstoß vor der Transaktion das Bußgeld erst nach der Transaktion verhängt wird und damit wirtschaftlich vom Käufer zu tragen ist. Im schlimmsten Fall könnte auch der Käufer als Muttergesellschaft unmittelbar in die Haftung genommen werden. Noch ungeklärt ist in diesem Zusammenhang, an welchem Jahresumsatz sich das Bußgeld orientiert, also ob hierfür nur auf das Target oder aber auf den Jahresumsatz der Verkäufergruppe oder des Käufers abzustellen ist. Eine Rechtsprechung hierzu liegt – soweit ersichtlich – noch nicht vor. Maßgeblich kann nach unserer Au‚assung immer nur der Umsatz im Zeitpunkt des Verstoßes sein. Wenn also ein Verstoß nur vor der Transaktion vorlag, kann sich die Bezugsgröße nicht auf die Käufergruppe beziehen, sondern nur auf die Verkäufergruppe. Sofern der Verstoß auch weiterhin nach der Transaktion vorliegt, kann auch der Jahres umsatz der Käufergruppe maßgebend sein.

Asset-Deal
Im Rahmen der Transaktion ist der Asset Deal hinsichtlich des Datenschutzes komplizierter. Zu beachten ist, dass die einzelnen Vermögenswerte auf den Käufer übertragen werden und insofern auch Mitarbeiterdaten und Kundendaten dauerhaft auf den Käufer übergehen müssen. Hier ist zwingend die datenschutzrechtlich betro‚ene Person über die Weitergabe ihrer Daten zu informieren und das Informationsschreiben mit dem Hinweis auf ein (so auch gelebtes) Widerspruchsrecht zu verknüpfen. Eine solche Widerspruchslösung ist unseres Erachtens jedenfalls dann als zulässig anzusehen, wenn es sich um nicht übermäßig sensible Daten handelt. Es muss in der praktischen Anwendung möglich sein, einfache Kundendaten, die rechtmäßig erhoben worden sind, als Asset auf den Käufer zu übertragen, welcher diese sodann nutzen kann.

Gerade bei kleineren Unternehmen mit sensiblen Daten […] stößt die Unternehmensnachfolge daher in der Praxis auf enorme Probleme.

Etwas anderes dürfte jedoch dann gelten, wenn es sich um besonders sensible Daten handelt. Gerade bei kleineren Unternehmen mit sensiblen Daten, wie bspw. einer Arztpraxis, stößt die Unternehmensnachfolge daher in der Praxis auf enorme Probleme. Bei sensiblen Daten, wie den Gesundheitsdaten eines Patienten, dürfte es erforderlich sein, dass jeder Patient aktiv der Übertragung seiner Gesundheitsdaten auf den Käufer zustimmen muss. Die einfache Widerspruchslösung, wonach der Patient lediglich über den Übergang informiert und auf die Möglichkeit des Widerspruchs verwiesen wird, ist regelmäßig als nicht ausreichend anzusehen.

In diesen Fällen bedarf es daher zur Absicherung des Käufers besonderer Regelungen im Unternehmenskaufvertrag. Denkbar sind z.B. Regelungen im Kaufvertrag, wonach eine aufschiebende Bedingung für den Fall aufgenommen wird, dass weniger als z.B. 80% der Kunden oder Patienten der Übertragung der sensiblen Daten nicht zustimmen. Alternativ besteht z.B. auch die Möglichkeit, einen Teil des Kaufpreises als variablen Teil davon abhängig zu machen, dass eine bestimmte Quote an Zustimmungen zur Übertragung der sensiblen Daten erzielt wird.