Transaktionen verlangen sensiblen Umgang mit Daten

Die EU-Datenschutz-Grundverordnung bringt neue Vorgaben für Unternehmen – Wer dagegen verstößt, muss mit drastischen Bußgeldern rechnen

Von Daniel Kaiser

Beitrag als PDF (Download)

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist die wichtigste Neuerung des Datenschutzrechts der vergangenen 20 Jahre. Für digitale Geschäftsmodelle sind Daten, und besonders personenbezogene Informationen, essentieller Vermögengegenstand. Aber auch bei Unternehmenskäufen aus der Welt der „Old Economy“ tauschen die Beteiligten zur wirtschaftlichen Bewertung des Zielunternehmens personenbezogene Beschäftigten- und Kundendaten aus. Um die Nutzbarkeit der Daten zu gewährleisten und um Sanktionen vorzubeugen, ist der Transaktionsprozess datenschutzkonform auszurichten. Dabei müssen Unternehmen neue Regelungen beachten.

Drastische Bußgelder
Datenschutzrecht einzuhalten und Informationen rechtskonform weiterzugeben wird nicht immer die notwendige Beachtung geschenkt. Entsprechend verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) schon im Jahr 2015 ein fünfstelliges Bußgeld sowohl gegen den Veräußerer als auch den Erwerber eines Onlineshops. Sie hatten im Rahmen eines Assetdeals datenschutzwidrig Kundendaten für E-Mail-Werbung ausgetauscht, um diese für Werbeansprachen zu verwenden.
Unter der neuen EU-Verordnung DSGVO ist der Strafrahmen drastisch gestiegen. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des weltweit erzielten Jahresumsatzes der gesamten Unternehmensgruppe, je nachdem, welcher der Beträge höher ist. Strafzahlungen sollen künftig nicht mehr die Ausnahme, sondern die Regel sein. Darüber hinaus drohen Schadensersatzforderungen von Betroffenen sowie Abmahnungen und Unterlassungsklagen von Verbraucherverbänden und Mitbewerbern. Ebenfalls nicht zu unterschätzen ist der mögliche Reputationsverlust.

Wichtigste Neuerung sind die bereichsübergreifenden Implikationen
Aufgrund der DSGVO und der vereinzelten nationalen, vertiefenden Regelungen in Form von Öffnungsklauseln (in Deutschland: BDSG 2018) ändert sich wenig hinsichtlich der bisherigen Rechtmäßigkeitstatbestände des Datenschutzes. Neu sind dagegen die Rechenschafts- und Nachweispflichten unter dem Grundsatz der Accountability (Art. 5 Abs. 2 DSGVO), dessen Bedeutung nicht hoch genug einzuschätzen ist. Das gilt auch für die Höhe von Bußgeldern. Folge sind bereichsübergreifende Implikationen rechtlicher, technischer und organisatorischer Art, um ein wirksames Datenschutzmanagement und ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Weitergabe von Beschäftigtendaten
Insbesondere beim Erwerb von spezialisierten Unternehmen sind Beschäftigte als individuelle Wissensträger („Key-Personnel“) wertbildende Faktoren des Deals. Die Weitergabe von personenbezogenen Beschäftigtendaten in der Due Diligence ist entsprechend zwar grundsätzlich möglich (Art. 6 Abs. 4 DSGVO), aber die Offenlegung ist stets auf das notwendige Maß für die Wertbestimmung zu beschränken (Datenminimierung, Art. 5 DSGVO). Ohne detaillierte datenschutzrechtliche Prüfung sollte auf besondere Kategorien personenbezogener Daten, wie Angaben zur Konfession oder zu Gesundheitsdaten, unbedingt verzichtet werden – zum Beispiel durch Schwärzung. Eine vorherige Einwilligung durch die betroffenen Beschäftigten ist weder zwingend noch zielführend, denn oftmals soll die geplante Transaktion vorerst nicht publik werden.
Entsprechend kann vor dem Signing ausnahmsweise auch auf die grundsätzlich jedenfalls notwendige Information des Beschäftigten (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO) verzichtet werden. Darüber, dass hier ein Ausnahmefall in Anspruch genommen wurde, empfiehlt sich jedoch ein rechtlicher Vermerk. Gegebenenfalls sollte auch der Datenschutzbeauftragte oder der Betriebsrat eingebunden werden. Nach dem Signing sind die Beschäftigten ohnehin zu informieren (auch nach § 613a BGB).
Darüber hinaus sind risikobasierte Maßnahmen rechtlicher, technischer und organisatorischer Art umzusetzen und zu dokumentieren. So sollte der Kreis der Datenempfänger nach dem „Need to know“-Prinzip begrenzt bleiben auf die Verantwortlichen und die auf das Berufsgeheimnis verpflichteten Transaktionsberater. Besonders zu empfehlen sind zudem NDAs (Non-Disclosure-Agreements) zwischen dem offenlegenden Arbeitgeber und den Datenempfängern zum Zweck des Datenschutzes, aber auch um zu verhindern, dass etwa bei Abbruch der Verhandlungen schützenswertes Know-how verlorengeht.

Weitergabe von Kundendaten
Kunden- oder Lieferantendaten können einen Personenbezug aufweisen und gleichzeitig einen wertbestimmenden Faktor einer Transaktion darstellen.
In der Due Diligence dürfen auch personenbezogene Daten über Geschäftspartner an Interessenten offengelegt werden. Dabei gelten die zu den Daten der Beschäftigten dargestellten Restriktionen entsprechend. Kritisch oder gar unzulässig kann die Offenlegung aber dann sein, wenn die Daten Beschränkungen aus industriespezifischen Regularien (wie etwa dem Versicherungsrecht) unterliegen oder aber Zielgesellschaft und Kunde besondere Geheimhaltungspflichten (wie das Bankgeheimnis) vertraglich vereinbart haben.
Sinnvolle organisatorische Schutzmaßnahmen wären insoweit ein Datenabgleich über einen Treuhänder und ein abgestuftes Vorgehen, das, abhängig von Übernahmewahrscheinlichkeit und Interessentenkreis, jeweils nachvollziehbar risikobasiert geplant, dokumentiert und wirksam umgesetzt wird.
Im weiteren Signing und Closing ist insbesondere bei Kunden- oder Lieferantendaten die Dealstruktur maßgeblich. Im Sharedeal und wohl auch bei Verschmelzungen ist rechtlich keine Übermittlung von personenbezogenen Daten an den Erwerber notwendig, da die Rechtsperson identisch bleibt. Beim Assetdeal dagegen findet eine Datenübermittlung im datenschutzrechtlichen Sinn statt, die zwar ohne Einwilligung der betroffenen Kunden datenschutzrechtskonform ist, aber diese sind zu informieren. Ist die Kundenbeziehung jedoch einem regulierten Sektor zuzuordnen oder ist die Übertragbarkeit von Einwilligungen (etwa Werbe-Permissions) entscheidend, so ist eine Einzelfallprüfung dringend geboten.
Sind beim Assetdeal etwaige zeitlich begrenzte Transitionsphasen vereinbart, so wird der Umfang der notwendigen Schutzmaßnahmen meist unterschätzt. Notwendig sind dann nicht lediglich datenschutzrechtliche Verträge, sondern auch technisch-organisatorische Abgrenzungen der Berechtigungen und Verantwortlichkeiten.

Fazit
Die DSGVO mit den neuen Rechenschafts- und Nachweispflichten unter dem Grundsatz der Accountability verlangt ein tiefes Verständnis der Beteiligten für das komplexe Zusammenspiel von technisch-organisatorischen Maßnahmen im Kontext des Datenschutzes. Ein wirksames Datenschutzrisikomanagement minimiert Haftungsrisiken für die Geschäftsführung von Zielgesellschaften und Kaufinteressenten. Entsprechend sind die Prozesse zur Offenlegung und Abfrage von Daten in Unternehmenstransaktionen anzupassen.

daniel.kaiser@de.ey.com