Unternehmenstransaktionen finden unter einem ständigen Fluss von Daten statt. Dies ist für die wirtschaftliche und rechtliche Bewertung des Unternehmens sowie den anschließenden Erwerb eines Unternehmens unumgänglich. Geringer sind die datenschutzrechtlichen Anforderungen an den Datenaustausch deshalb nicht, deren Einhaltung ist aber auch nicht unmöglich. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat dazu einen Beschluss herausgegeben.
Steigender Bußgeldrahmen
Datenschutzrechtliche Vorgaben spielten bei M&A-Transaktionen bislang kaum eine Rolle. Das lag an einem gering ausgeprägten Problembewusstsein aller Beteiligten, an den schwachen Sanktionen und an Datenschutzbehörden, die andere Schwerpunkte gesetzt haben. Schon ein Bußgeld in lediglich fünfstelliger Höhe für Verkäufer wie auch Käufer wegen der rechtswidrigen Übertragung von Kundendaten eines Online-Shops wurde in der Branche verwundert zur Kenntnis genommen. Mittlerweile ist der Datenschutz jedoch auch hier von zentraler Bedeutung: Bei Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO) drohen Bußgelder von bis zu 20 Mio. € oder vier Prozent des weltweiten jährlichen Konzernumsatzes. Frankreich und Großbritannien haben bereits Bußgelder von 50–200 Mio. € verhängt. Auch in Deutschland haben Datenschutzbehörden kürzlich Bußgelder in Millionenhöhe angekündigt.
Die DSGVO findet immer bei der – digitalen oder analogen – Verarbeitung personenbezogener Daten Anwendung. Bei Unternehmenstransaktionen betrifft dies insbesondere Mitarbeiter-, Lieferanten- und Kundendaten. Je digitaler die Prozesse eines Unternehmens sind, desto mehr Daten fallen in der Regel an. Und jede Weitergabe oder selbst die bloße Kenntnisnahme der Daten im Rahmen einer Transaktion einschließlich einer Due Diligence stellt eine Datenverarbeitung i.S. der DSGVO dar. Dies ist nur zulässig, wenn einer der in Art. 6 Abs. 1 DSGVO genannten Rechtfertigungsgründe vorliegt.
Einwilligung nicht praktikabel
Eine gesonderte gesetzliche Rechtsgrundlage für die Offenlegung der Daten in einer Due Diligence existiert nicht. Am sichersten wäre es, möglichst frühzeitig die Einwilligung aller Personen einzuholen, die von einem M&A-Prozess betroffen sind. Das ist jedoch nicht praktikabel: Der Deal soll möglichst lange geheim gehalten werden, zudem müssen Einwilligungen freiwillig abgegeben und können jederzeit widerrufen werden. In Betracht kommt während der Phase der Due Diligence das Schwärzen von personenbezogenen Daten, die für die Bewertung des Unternehmens nicht zwingend erforderlich sind. Je sensibler die Daten, beispielsweise eine Krankenakte, desto eher muss geschwärzt werden. Neue Legal-Tech-Angebote, die diese Aufgabe übernehmen, gibt es inzwischen auf dem Markt. Mit Maßnahmen wie einer Verschlüsselung der Daten bei der Übermittlung, Geheimhaltungs- und Löschungsverpflichtungen sowie speziellen Datenverarbeitungsverträgen mit Datenraumanbietern lässt sich zusätzlich das Risiko verringern, datenschutzrechtlich angreifbar zu werden.
Daneben kommt die „Wahrung berechtigter Interessen“ (Art. 6 Abs. 1 f) DSGVO) als gesetzlicher Rechtfertigungsgrund für die Offenlegung der Daten im Rahmen der Due Diligence in Betracht, soweit eine Anonymisierung nicht möglich ist und die Weitergabe im konkreten Fall erforderlich ist. Das berechtigte Interesse des Unternehmens ist gegen die Interessen der betroffenen Personen abzuwägen. Diese Interessen sind weniger gewichtig, wenn es um Daten geht, die aus dem beruflichen Kontext der Personen stammen, oder wenn sie ohnehin bereits öffentlich bekannt sind, wie vom Geschäftsführer unterschriebene und im Geschäftsverkehr verwendete Dokumente.
Interessenabwägung – Fallgruppen der Datenschutzkonferenz DSK zum Austausch von Kundendaten
Gerichtliche Entscheidungen, an denen sich die Unternehmen im Spannungsfeld zwischen den strengen Vorgaben der DSGVO und Anforderungen der Praxis orientieren können, gibt es bisher nicht. Mit Beschluss vom 24.05.2019 hat die Datenschutzkonferenz DSK, der Zusammenschluss der deutschen Datenschutzbehörden, den Unternehmen daher Leitlinien für einige Spezialfälle an die Hand gegeben:
- Bei laufenden Verträgen stellt die nach § 415 BGB notwendige Genehmigung zur Schuldübernahme auch die datenschutzrechtliche Zustimmung dar
- bei Bestandskunden, mit denen seit mehr als drei Jahren keine Vertragsbeziehung bestand, dürfen Daten zwar übermittelt, aber nur zur Einhaltung gesetzlicher Aufbewahrungsfristen genutzt werden
- bei Bestandskunden, mit denen in den letzten drei Jahren eine Vertragsbeziehung bestand, oder bei Kunden, mit denen sich ein Vertrag anbahnt, dürfen die Daten nach Ablauf einer sechswöchigen Widerspruchsfrist übermittelt werden
- bei offenen Forderungen können Kundendaten problemlos übermittelt werden, solange eine Forderungsabtretung nicht gem. § 399, 2. Alt. BGB, § 354a HGB ausgeschlossen wurde
- besonders sensible Daten wie Gesundheitsangaben (Art. 9 DSGVO) dürfen nur weitergegeben werden, wenn die betroffene Person wirksam eingewilligt hat.
Keine Bindungswirkung
Auch wenn der Beschluss der DSK für die Gerichte nicht bindend ist, gibt er in der Praxis jedoch eine erste Orientierungshilfe. Die Unternehmen können davon ausgehen, dass die Datenschutzbehörden keine Verfahren gegen sie einleiten, wenn sie sich an den Beschluss halten. Überraschenderweise stehen nicht alle Landesdatenschutzbehörden hinter den Ausführungen der DSK. So lehnen Berlin und Sachsen den Beschluss ausdrücklich ab, ohne dass die Gründe hierfür bekannt wären.
Auch bleiben weitere Aspekte unbearbeitet: Die wichtige Fallgruppe der Mitarbeiterdaten hat die DSK nicht berücksichtigt. Mitarbeiterdaten dürfen bei einem Asset Deal allerdings im Rahmen der Unterrichtungspflicht nach § 613a Abs. 5 BGB übermittelt werden. Hinsichtlich der nicht erwähnten Lieferantendaten bietet sich eine Übertragung der Ausführungen zu Kundendaten an. Und der Beschluss der DSK enthält überdies keine Empfehlungen für die Datenverarbeitung im Vorfeld eines Deals, also für die Phase der Due Diligence.
Gut zu wissen: Bei einem Share Deal werden Geschäftsanteile veräußert, es findet typischerweise zunächst keine Übertragung von Kunden-, Lieferanten- oder Mitarbeiterverträgen und damit keine Übertragung solcher Daten statt.
Fazit
Die verbleibenden rechtlichen Risiken und Unsicherheiten lassen sich durch die oben erwähnten Maßnahmen auf ein Minimum reduzieren. Mit entsprechender Vorbereitung und einem geeigneten Prozedere wird der Datenschutz bei Asset Deals nicht zum Dealbreaker.