Unternehmensverkauf: Datenschutz in der Due-Diligence-Prüfung

Die Rolle des Datenschutzes beim Unternehmensverkauf und einer Due-Diligence-Prüfung wird seit Einführung der DSGVO immer größer. In diesem Artikel wollen wir Ihnen eine kurze Einführung in die Unternehmensprüfung geben. Sie erhalten einen Einblick, was im Rahmen einer Legal Due Diligence von Ihrem Unternehmen gefordert wird und wie Sie sich hierbei an die Grundsätze der DSGVO halten.

Was ist eine Due-Diligence-Prüfung?

Eine Due Diligence (aus dem engl. „gebührende Sorgfalt“ oder „fällige Sorgfalt“) bezeichnet eine umfassende Prüfung eines Unternehmens durch potenzielle Investoren oder Käufer. Neben den klassischen Kennzahlen und Themen, die die wirtschaftliche Lage des Unternehmens möglichst detailgetreu abbilden sollen, werden auch rechtliche Aspekte unter die Lupe genommen. Eine Due Diligence wird deshalb oft in folgende Teilbereiche gegliedert:

• Financial Due Diligence (Prüfung der finanziellen Lage)
• Market Due Diligence (Marktanalyse)
• Commercial Due Diligence (Analyse des Geschäftsmodells)
• Legal Due Diligence (Prüfung rechtlicher Aspekte)
• Tax Due Diligence (Prüfung steuerlicher Aspekte)

Hinzu kommen Aspekte zur Unternehmenskultur, dem Management und den Managementmethoden, sowie den Mitarbeitern.

Im Rahmen einer Unternehmensprüfung werden in der Regel Dokumente und Daten in einem digitalen Datenraum ausgetauscht. Die Investoren werden hier meist möglichst viele und möglichst detaillierte Daten fordern, um sich ein genaues Bild der Unternehmenslage verschaffen zu können. Ziel der Due Diligence soll die Identifizierung der mit dem Investment verbundenen Risiken sein. Der Datenschutz spielt hier gleich in zwei Fällen eine wesentliche Rolle.

Legal Due Diligence: Rolle des Datenschutzes

Im Rahmen des Legal Due Diligence prüfen die Investoren, oft in Zusammenarbeit mit einem externen Beratungsunternehmen oder einer Anwaltskanzlei, wie das betrachtete Unternehmen rechtlich aufgestellt ist, genauer gesagt, welche Risiken in diesem Bereich drohen. Neben dem Datenschutz werden auch andere Compliance-Aspekte geprüft, bspw. die Einhaltung von Geldwäschegesetzen, Urheberrechten oder auch das Personalrecht.

Nach Einführung der DSGVO hat der Datenschutz aber immer stärker an Bedeutung gewonnen. Zum einen, weil die Vorschriften aus der Datenschutz-Grundverordnung und dem BDSG nahezu jedes Unternehmen betreffen, zum anderen, weil die Bußgelder bei Nicht-Einhaltung signifikant gestiegen sind. Bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes sind in Art. 83 DSGVO bei Verstößen festgelegt. Investoren haben aus diesem Grund ein hohes Interesse daran, dass das betrachtete Unternehmen datenschutzkonform aufgestellt ist.

DSGVO: Welche Punkte werden geprüft?

Die erste und zugleich wichtigste Frage ist zumeist dann die nach der für die Datenverarbeitung zugrunde liegenden Rechtsgrundlage. Wurden Daten in der Vergangenheit nicht rechtskonform erhoben, können diese auch danach nicht rechtskonform verwendet werden. Daten ohne gültige Rechtsgrundlage sind demnach für den Käufer wertlos und stellen ein Bußgeldrisiko dar.

In der Folge werden die Datenverarbeitungsprozesse im Unternehmen durchleuchtet. Oftmals kommen dann Datenschutzverstöße ans Tageslicht, die zuvor unerkannt geblieben sind. Angefangen bei der fehlenden Rechtsgrundlage für die Datenverarbeitung bis zur Nicht-Einhaltung von Datenschutzgrundsätzen wie „Privacy by Design“. Letzteres ist insbesondere bei Softwareherstellern relevant und besagt, dass der Datenschutz bereits in der Entwicklung neuer Systeme berücksichtigt werden muss.

Auch die Sicherheit der Daten, im Datenschutz spricht man von umzusetzenden technischen und organisatorischen Maßnahmen (Art. 32 DSGVO), ist Thema bei der Legal Due Diligence. Ebenso werden die eingesetzten Dienstleister betrachtet, z. B. im Hinblick auf bestehende AV-Verträge, ggf. die Regelung von Drittlandübermittlung und ob, wenn nötig, Vertraulichkeitsverpflichtungen abgeschlossen wurden.

Überdies werden u. a. folgende Punkte geprüft:

Der Schwerpunkt der Kontrolle hängt von der Branche des geprüften Unternehmens ab. Bei einem E-Commerce-Unternehmen wird der Onlinedatenschutz und das rechtskonforme Marketing in den Fokus geraten, bei produzierenden Industrieunternehmen eher interne Prozesse und das Lieferantenmanagement.

Hier können Sie sich einen Überblick zu den wichtigsten Anforderungen im Datenschutz verschaffen.

Übernahme von Bußgeldrisiken

Der Datenschutz spielt auch deshalb solch eine große Rolle bei geplanten M&A, weil datenschutzrechtliche Risiken & daraus resultierende Bußgelder „eingekauft“ werden. Die britische Datenschutzbehörde ICO hatte 2019 mit einem angedrohten Bußgeld in Höhe von 99 Millionen Pfund (damals rund 110 Mio. €) gegen die Hotelkette Marriott für Aufsehen gesorgt. Auslöser war ein im Jahr 2014 stattgefundener Cyberangriff auf die Starwood Hotels-Kette:

„Marriott schätzt, dass nach einem Cyberangriff auf Starwood Hotels and Resorts Worldwide Inc. im Jahr 2014 weltweit 339 Millionen Gästedaten betroffen waren. Der Angriff, der von einer unbekannten Quelle ausging, blieb bis September 2018 unentdeckt, als das Unternehmen bereits von Marriott übernommen wurde.“

Letztlich wurde das Bußgeld im Oktober 2020 auf 18,4 Mio. Pfund (ca. 21 Mio. Euro) reduziert, die Image-Folgen für Marriott bleiben und ebenso die Warnung an andere Investoren, den Datenschutz bei M&A nicht außer Acht zu lassen.

Verpflichtungen nach Abschluss der Transaktion

Zwar kann der Datenschutz aufgrund vorgenannter Aspekte immer häufiger zum Dealbreaker avancieren, in den meisten Fällen fließen entdeckte Nichtkonformitäten aber in die Preisverhandlungen ein. Unzureichender Datenschutz kann das Target-Unternehmen also eine Menge Geld kosten.

Nach Abschluss der Übernahmeverhandlungen werden verbesserungswürdige Punkte dann in einem sog. Post-Closing-Agreement zusammengefasst. Dabei handelt es sich im Grunde um eine To-do-Liste, bei der die Findings aus der Due Diligence aufgeführt werden, oftmals mit einer konkreten Umsetzungsfrist versehen (z. B. 3 oder 6 Monate nach Abschluss).

Einhaltung des Datenschutzes bei der Due-Diligence-Prüfung

Einerseits wird die Einhaltung des Datenschutzes im Zielunternehmen betrachtet, andererseits muss auch der Überprüfungsprozess datenschutzkonform gestaltet werden. Wie in der Einleitung angemerkt, wollen sich Investoren einen tiefen Einblick in das Unternehmen und seine Zahlen und Daten verschaffen, bevor es zu einer Investitionsentscheidung kommt. Viele Probleme lassen sich hier schon eliminieren, wenn es sich bei den ausgetauschten Informationen nicht um personenbezogene Daten handelt. Folgende Fragen sollten sich dabei stellen:

• Können die Daten anonymisiert werden (z. B. statistische Daten zu Gehältern etc.)?
• Welche Informationen werden, in welchem Umfang benötigt (Grundsatz Datenminimierung)?

Von besonderem Interesse sind meist Daten zu Kunden, Mitarbeitern und eingesetzten Dienstleistern – meist sind diese Daten aber auch personenbezogen. Durch eine Anonymisierung solcher Daten können weitergehende Anforderungen im Datenschutz vermieden werden, dabei ist darauf zu achten, dass die Daten tatsächlich anonymisiert sind. Wird der Name auf einer Gehaltsabrechnung bspw. geschwärzt, so kann die betreffende Person teilweise noch über andere Merkmale identifiziert werden. Eine statistische Auswertung mehrerer Gehaltsdaten wäre in diesem Fall die bessere Lösung.

Ist eine Übermittlung von personenbezogenen Daten an die möglichen Investoren unbedingt erforderlich, so müssen im Wesentlichen zwei Anforderungen umgesetzt werden:

• Rechtsgrundlage ermitteln
• Informationspflichten beachten

Rechtsgrundlage ermitteln

Um die Rechtmäßigkeit der Datenübermittlung an die Investoren zu gewährleisten, bedarf es einer Rechtsgrundlage gem. Art. 6 DSGVO. Eine Einwilligung kommt hier aus verschiedenen Gründen nicht infrage, insbesondere weil sie dem im Vorfeld einer Unternehmensübernahme oft üblichen Geheimhaltungsinteresse, entgegensteht. Die Weitergabe personenbezogener Daten kann in der Regel auch nicht auf die Vertragserfüllung gestützt werden, denn diese Übermittlung ist nicht Teil des ursprünglichen Vertrags zwischen Unternehmen und Betroffenen (z. B. Dienstleistungsvertrag bei Lieferanten oder Arbeitsvertrag bei Arbeitnehmern). Es bleibt damit zunächst nur Art. 6 Abs. 1 lit. f) DSGVO, das sog. berechtigte Interesse. Voraussetzung für das berechtigte Interesse ist eine Interessenabwägung. Eine solche Interessenabwägung ist stark einzelfallabhängig und hängt u. a. von den betroffenen Personengruppen und der Art der personenbezogenen Daten ab. Für pseudonymisierte Daten über die Zahlungsbereitschaft von Kunden dürfte eine Abwägung eher zugunsten des Unternehmens ausfallen als bei Mitarbeiterdaten, die womöglich auch Gesundheitsinformationen enthalten. Eine Interessenabwägung für einen Betroffenen im Angestelltenverhältnis durchzuführen ist ohnehin komplex, Arbeitnehmer werden umfangreich durch den Gesetzgeber geschützt. Mitarbeiterdaten sollten also nur sehr begrenzt (bspw. ausschließlich von Führungskräften) und soweit möglich anonymisiert weitergegeben werden. Falls vorhanden, muss auch eine ggf. nötige Beteiligung des Betriebsrats berücksichtigt werden.

Neben dem berechtigten Interesse kann auch die Zweckänderung gem. Art. 6 Abs. 4 DSGVO herangezogen werden. Die im Unternehmen vorliegenden Daten müssen bereits unter Erfüllung einer gültigen Rechtsgrundlage erhoben worden sein, ansonsten wäre der weitere Gebrauch dieser Daten ohnehin nicht zulässig. Dabei sollte auch der Grundsatz der Zweckbindung erfüllt worden sein. Daten dürfen also nur zu dem bei der Erhebung angegebenen Zweck verarbeitet werden, z. B. ist die Verarbeitung von Mitarbeiterdaten notwendig zur Anbahnung des Arbeitsvertrages, inkl. der Auszahlung der Gehälter etc. (Art. 6 Abs. 1 lit. b) DSGVO i. V. m. § 26 BDSG). Möchte man die Daten nun im Rahmen einer Due Diligence verarbeiten, so geht das über den ursprünglich definierten Zweck hinaus. Um festzustellen, ob der neue Zweck mit dem ursprünglichen vereinbar ist, müssen gem. Art. 6 Abs. 4 DSGVO folgende Punkte berücksichtigt werden:

• jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
• den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
• die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
• die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
• das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Auch hier wägt man also die Informationsinteressen des potenziellen Investors gegen das Recht der Betroffenen auf Schutz der eigenen Daten ab. Das bleibt in den meisten Fällen eine Einzelfallentscheidung, grundsätzlich gilt aber: je konkreter die Investitionsverhandlungen, desto höher das Informationsinteresse des Käufers.

Informationspflichten trotz Geheimhaltungsinteresse?

Zu den üblichen Anforderungen der DSGVO zählen auch die Informationspflichten nach Art. 13 und 14, die besagen, dass Betroffene über die Datenverarbeitung und auch über Zweckänderung der Verarbeitung informiert werden müssen. Ist ein geräuschloser Blick in das Target-Unternehmen also rein rechtlich nicht mehr möglich, oder nur, wenn man bereit ist, mögliche Bußgelder zu tragen? Erschwerend kommt hinzu, dass eine frühzeitige Information an alle Betroffenen und damit eine Bekanntgabe des Kaufinteresses ebenfalls geahndet werden kann (Stichwort Marktmanipulation).

Ausnahmen für die Informationspflicht finden sich bspw. in Art. 14 Abs. 5 lit. b) DSGVO und ergänzend dazu in Erwägungsgrund 62. Dort wird man von der Informationspflicht befreit, „wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist“. Das dürfte höchstens auf die Datenerhebung durch den pot. Käufer zutreffen, auch das ist aber strittig.

Ergänzend dazu hat der deutsche Gesetzgeber hat die in Art. 23 DSGVO enthaltene Öffnungsklausel genutzt, um die Ausnahmen von der Informationspflicht nach Art. 13 (geregelt in § 32 BDSG) und Art. 14 (geregelt in § 33 BDSG) auszuweiten. Die meisten Ausnahmen beziehen sich auf die Verarbeitung durch öffentliche Stellen. Hinzukommt, dass eine Information der Betroffenen auch dann nicht nötig ist, wenn die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen und es die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde (§ 32 Abs.1 Nr. 4 BDSG & § 33 Abs. 1 Nr. 2 lit. a) BDSG). Wieder ist eine Interessenabwägung notwendig und auch hier läuft es in der Regel auf eine Einzelfallentscheidung hinaus.

Kommt eine Interessenabwägung zu dem Schluss, dass die Betroffenen nicht informiert werden, so müssen die Gründe hierfür dokumentiert werden. Nach Wegfall dieser Gründe, also nach Abschluss der Unternehmenstransaktion, muss der Verantwortliche die Information der Betroffenen innerhalb von 2 Wochen nachholen.