Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) und sorgt seither für großes Aufsehen. Auch die M&A-Praxis blieb hiervon nicht verschont. Geschäftsleiter, die eine M&A-Transaktion DSGVO-konform ausgestalten möchten, haben eine lange Liste an Hausaufgaben abzuarbeiten.

Datenschutzrechtliche Grundlagen

Ziel der DSGVO ist der Schutz personenbezogener Daten. Die entscheidende Regel lautet: Jede Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage. Ohne taugliche Rechtsgrundlage ist also auch die Weitergabe personenbezogener Daten grundsätzlich verboten (Verbot mit Erlaubnisvorbehalt). Als Rechtsgrundlage im M&A-Kontext kommen grundsätzlich sowohl die ausdrückliche Einwilligung der betroffenen Personen als auch ein berechtigtes (wirtschaftliches) Interesse von Erwerber und Veräußerer in Betracht. Ein Verstoß gegen diese Grundsätze kann erhebliche Bußgelder auslösen. Im schlimmsten Fall können bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes fällig werden.

Das Problem für die M&A-Praxis dabei ist: Die Due Diligence richtet sich regelmäßig auf Unterlagen, die personenbezogene Daten enthalten. Im Rahmen der arbeitsrechtlichen Due Diligence werden dem Käufer typischerweise Arbeitsverträge und Personalakten zur Verfügung gestellt, die umfangreiche Daten über Mitarbeiter des Zielunternehmens enthalten. Aber auch Kundendaten, die sich beispielsweise aus Adressdatenbanken und Bestellübersichten ergeben, unterfallen dem besonderen Schutz der DSGVO.

Herausforderungen für die Verkäuferseite

Aus Verkäufersicht besteht die Herausforderung in erster Linie darin, den Datenraum DSGVO-konform einzurichten. Naturgemäß hat der Verkäufer dabei ein originäres Interesse daran, den geplanten Verkauf möglichst lange geheim zu halten. Dies verursacht einen unmittelbaren Konflikt mit den Informationspflichten der DSGVO. Denn nach der DSGVO müsste der Verkäufer eigentlich alle Personen, deren Informationen im Datenraum sichtbar sind, zumindest informieren und ggf. sogar auffordern, in die Offenlegung einzuwilligen.

Die Einholung einer solchen ausdrücklichen Einwilligung der betroffenen Personen ist in der Regel keine praktikable Lösung. In der Praxis hat sich daher durchgesetzt, dass in den offengelegten Dokumenten sensible Informationen geschwärzt werden. Im Datenraum werden dem Käufer zunächst anonymisierte oder pseudonymisierte Datensätze zur Verfügung gestellt. Seit Inkrafttreten der DSGVO lässt sich allerdings beobachten, dass die jeweils ergriffenen Maßnahmen über das Ziel hinausschießen. Allzu häufig werden Dokumente zu freigiebig geschwärzt. Für den Käufer bedeutet das, dass sich zentrale Informationen nicht mehr entnehmen lassen. Letztlich kann dies dazu führen, dass der Zweck der Due Diligence Prüfung, nämlich die Identifizierung von Risiken, von der Käuferseite nicht mehr erreicht werden kann.

Vor diesem Hintergrund hat in der M&A-Praxis die Vendor Due Diligence neue Bedeutung erlangt. Immer häufiger entscheiden sich Verkäufer dafür, anstelle von geschwärzten Dokumenten den potentiellen Käufern nur einen selbst erstellten Bericht zur Verfügung zu stellen. Dies hat den Vorteil, dass die relevanten Fakten transparent vorgelegt werden können, ohne dass personenbezogene Daten in großem Umfang weitergegeben werden müssen.

Herausforderungen für die Käuferseite

Für die Käuferseite gilt es vor allem beim Asset-Deal besondere datenschutzrechtliche Herausforderungen zu meistern. Denn bei einem Asset-Deal werden einzelne Vermögenswerte, wie z.B. der Mitarbeiterbestand oder die Kundendaten an einen neuen/anderen datenschutzrechtlich Verantwortlichen dauerhaft übertragen. Es muss dabei sichergestellt werden, dass die betroffenen Personen ordnungsgemäß über die Weitergabe ihrer Daten informiert werden. Zwingender Bestandteil dieser Informationspflicht ist der Hinweis auf ein Widerspruchsrecht. Dies birgt naturgemäß die Gefahr in sich, dass ein nicht zu unterschätzender Teil der begehrten personenbezogenen Daten durch die Ausübung eines Widerspruchsrechts der betroffenen Person verloren geht.

Im Rahmen eines Share-Deals bleibt die juristische Person, also der datenschutzrechtlich Verantwortliche gleich. Es findet gerade keine Übertragung von personenbezogenen Daten auf einen anderen datenschutzrechtlich Verantwortlichen statt. Insofern ergeben sich also keine weiteren datenschutzrechtlichen Besonderheiten.

Unabhängig von der Deal-Struktur sollten sich Käufer allerdings stets bewusst machen, dass durch den Erwerb eines Unternehmens auch die dortige Datenschutz-Compliance „mitgekauft“ wird. Dies kann im schlimmsten Fall bedeuten, dass nach Vollzug der Transaktion großer Aufwand betrieben werden muss, um eine schlechte oder gar nicht vorhandene Datenschutz-Compliance zu beheben. Im Rahmen der Due Diligence sollte also ein großes Augenmerk auf den Themenkomplex Datenschutz gelegt werden.

Fazit

Trotz aller Unsicherheiten im Zuge der DSGVO-Einführung, ist es dennoch weiterhin möglich M&A-Transaktionen datenschutzkonform durchzuführen. Vor dem Hintergrund des deutlich erhöhten Bußgeldrahmens hat der Datenschutz jedoch eine deutlich größere Bedeutung als zuvor erlangt. Es ist daher umso wichtiger, von Anfang an spezialisierte anwaltliche Unterstützung in Anspruch zu nehmen.

Weitere Informationen zum Datenschutz bei M&A-Transaktionen finden Sie hier.

Benjamin Schwarzfischer, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht
Sven-Erik Holm, Rechtsanwalt
Frankfurt am Main