16.12.2019  | Newsletter Gesellschaftsrecht/M&A Dezember 2019

Datenschutz im M&A Prozess




zurück zur Übersicht

Der Datenschutz spielte in der Praxis von M&A-Transaktionen und insbesondere bei der die Unternehmensübernahme vorbereitenden Due Diligence Prüfung bisher nur eine untergeordnete Rolle. Dies hat sich seit der neuen Datenschutzgrundverordnung (DSGVO) vom 25.05.2018, nicht zuletzt wegen der hohen Bußgelder, geändert.

Vorbereitung eines M&A-Deals

Bei der Vorbereitung eines M&A-Deals ist eine Geheimhaltungsvereinbarung bereits bei Gesprächsaufnahme zwischen Verkaufs- und Kaufinteressenten empfehlenswert. Vorrangig dient dies dem Schutz der Zielgesellschaft und deren Geschäftsgeheimnissen. Gleichzeitig sollte die Geheimhaltungsvereinbarung dazu verwendet werden, im Hinblick auf den Schutz personenbezogener Daten den Kreis der Beteiligten einzugrenzen. Dies kann vor allem durch die Definition der berechtigten Empfänger von vertraulichen Informationen und personenbezogenen Daten erreicht werden. Gerade Berufsgruppen, die nicht von Gesetzes wegen zur Verschwiegenheit verpflichtet sind, sollten in den Kreis der Vertragsparteien mitaufgenommen werden.

Verhältnis zwischen Käufer- und Verkäuferseite

Ferner ist die datenschutzrechtliche Beziehung von Käufer- und Verkäuferseite zu klären, bevor das Zielunternehmen im Rahmen einer Due Diligence Prüfung Zugang zu personenbezogenen Daten gewährt. Die Offenlegung personenbezogener Daten kann gesetzliche Verpflichtungen zum Abschluss datenschutzrechtlicher Vereinbarungen der Beteiligten erfordern. Mangels Weisungsbefugnis des Zielunternehmens gegenüber dem Kaufinteressenten scheidet eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO aus. Es kann jedoch eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO in Betracht kommen. Dabei ist Verantwortlichkeit keine Befugnis zur Datenverarbeitung. Sie stellt nur klar, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Die gemeinsam Verantwortlichen müssen hierfür eine Vereinbarung abschließen, in der sie in transparenter Form festlegen, wer von ihnen welche in der DSGVO geregelten Verpflichtungen erfüllt. Das Institut dient weiter dazu, Haftungsfragen in Fällen zu regeln, bei denen eine Stelle gemeinsam mit mindestens einer anderen Stelle die Festlegung der Zwecke und Mittel der Verarbeitung trifft. Die Durchsetzung zivilrechtlicher Ansprüche wird mit der gesamtschuldnerischen Haftung für die betroffene Person erleichtert, denn jeder der gemeinsam Verantwortlichen haftet im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann. Voraussetzung für die gemeinsame Verantwortlichkeit ist lediglich, dass zwei oder mehr Verantwortliche gemeinsam über Zweck und Mittel einer Datenverarbeitung entscheiden. Der EuGH hat die Anforderungen an einen solchen gemeinschaftlich getroffenen Entschluss zuletzt sehr niedrig angelegt. Insbesondere soll nicht erforderlich sein, das gleichwertige Verantwortlichkeiten bestehen. Ist Art. 26 DSGVO erfüllt, ist zwischen den Beteiligten zwingend eine schriftliche Vereinbarung abzuschließen, in welcher insbesondere Fragen der Transparenz gegenüber den betroffenen Personen zu regeln sind. Es empfiehlt sich diese notwendigen Regelungsinhalte in die bestehende Struktur von Geheimhaltungsvereinbarung und Letter of Intent/Memorandum of Understanding zu integrieren, so dass es eines weiteren, zusätzlichen Vertragsdokuments nicht bedarf.

Due Diligence

Je nach Transaktionsgröße bzw. Sensibilität der Zielgesellschaft kann die Due Diligence Prüfung so aufgeteilt werden, dass in einem ersten (vorläufigen) Teil zunächst wesentliche, aber für das operative Geschäft nicht sensible Themenbereiche geprüft werden. So könnten z.B. lediglich die Eigentumsverhältnisse sichergestellt und mit einer Management Präsentation ergänzt werden. Daraufhin könnten in einem zweiten Teil alle kritischen Themen, wie z.B. die Rechte am geistigem Eigentum oder die Vertragsbeziehungen zu den wichtigsten Lieferanten und Kunden begutachtet werden.

Zulässigkeit der Datenverarbeitung im M&A-Prozess

Die Frage, in welchem Umfang und auf Basis welcher Rechtsgrundlage personenbezogene Daten im Rahmen der Due Diligence an den Kaufinteressenten übermittelt bzw. diesem zugänglich gemacht werden (dürfen), ist von herausragender Bedeutung. Im Rahmen dieses Newsletters kann aufgrund der Komplexität des Themas nicht aussagekräftig eingegangen werden. Soviel sei aber gesagt, dass die DSGVO einen restriktiven Ansatz verfolgt und für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt statuiert. Zudem stehen im Rahmen der gemeinsamen Verantwortlichkeit beide Parteien für die Datenschutzverstöße der jeweils anderen Partei, zumindest im Außenverhältnis zu den betroffenen Personen, unbegrenzt ein (vgl. Art. 82 IV DSGVO).

Vertragsgestaltung

Bei der Ausgestaltung des Unternehmenskaufvertrags ist es empfehlenswert, Garantien für die Einhaltung der einschlägigen Datenschutzgesetze aufzunehmen. Sofern bereits bekannt ist, dass diesbezügliche Garantien nicht eingehalten werden können, sollten Freistellungsverpflichtungen und nachvertragliche Verpflichtungen (Covenants) vereinbart werden. Weiter ist zu beachten, dass mit dem Closing der Transaktion, also dem Gesellschafterwechsel, auch die Risiken für die Einhaltung öffentlich-rechtlicher Vorschriften einschließlich der Datenschutzgesetze auf die Käuferseite übergehen. Haben sich also bereits während der Due Diligence Prüfung Mängel in der Dokumentation oder gar materiell-rechtliche Datenschutzverstöße gezeigt, hat die Käuferseite diese unverzüglich zu beheben.

Fazit

Der Datenschutz spielt bei Unternehmenstransaktionen eine besondere Bedeutung. Die Datenschutzvorschriften sind bei der Vorbereitung und Durchführung einer Due Diligence Prüfung penibel einzuhalten. Dies ist insbesondere auch aus Käufersicht wesentlich, da der Käufer andernfalls den Datenschutzverstoß quasi „mitkauft“. Der Käufer sollte sich zudem durch Garantien und Freistellungsklauseln für die erheblichen Rechtsfolgen und Geldbußen für Verletzungen des Datenschutzrechts vor der Übernahme des Unternehmens absichern.

Ansprechpartner

Weitere Fachbeiträge, die Sie interessieren könnten

Diese Seite verwendet Cookies. Erfahren Sie in unserer Datenschutzerklärung mehr darüber, wie wir Cookies einsetzen und wie Sie Ihre Einstellungen ändern können. OK