{"id":8570,"date":"2019-11-19T10:17:30","date_gmt":"2019-11-19T09:17:30","guid":{"rendered":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/?p=8570"},"modified":"2019-11-19T16:47:50","modified_gmt":"2019-11-19T15:47:50","slug":"asset-deals-damit-der-datenschutz-nicht-zum-dealbreaker-wird","status":"publish","type":"post","link":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/2019\/11\/19\/asset-deals-damit-der-datenschutz-nicht-zum-dealbreaker-wird\/","title":{"rendered":"Asset Deals \u2013 Damit der Datenschutz nicht zum Dealbreaker wird"},"content":{"rendered":"
\"\"

RA\/StB\/vBP Dr. Holger Jakob, M&A \/ RA Dr. Hauke Hansen, Fachanwalt f\u00fcr IT-Recht, FPS<\/p><\/div>\n

Unternehmenstransaktionen finden unter einem st\u00e4ndigen Fluss von Daten statt. Dies ist f\u00fcr die wirtschaftliche und rechtliche Bewertung des Unternehmens sowie den anschlie\u00dfenden Erwerb eines Unternehmens unumg\u00e4nglich. Geringer sind die datenschutzrechtlichen Anforderungen an den Datenaustausch deshalb nicht, deren Einhaltung ist aber auch nicht unm\u00f6glich. Die Konferenz der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder hat dazu einen Beschluss<\/a> herausgegeben.<\/p>\n

<\/p>\n

Steigender Bu\u00dfgeldrahmen<\/strong><\/p>\n

Datenschutzrechtliche Vorgaben spielten bei M&A-Transaktionen bislang kaum eine Rolle. Das lag an einem gering ausgepr\u00e4gten Problembewusstsein aller Beteiligten, an den schwachen Sanktionen und an Datenschutzbeh\u00f6rden, die andere Schwerpunkte gesetzt haben. Schon ein Bu\u00dfgeld in lediglich f\u00fcnfstelliger H\u00f6he<\/a> f\u00fcr Verk\u00e4ufer wie auch K\u00e4ufer wegen der rechtswidrigen \u00dcbertragung von Kundendaten eines Online-Shops wurde in der Branche verwundert zur Kenntnis genommen. Mittlerweile ist der Datenschutz jedoch auch hier von zentraler Bedeutung: Bei Verst\u00f6\u00dfen gegen die EU-Datenschutzgrundverordnung (DSGVO) drohen Bu\u00dfgelder von bis zu 20 Mio. \u20ac oder vier Prozent des weltweiten j\u00e4hrlichen Konzernumsatzes. Frankreich und Gro\u00dfbritannien haben bereits Bu\u00dfgelder von 50\u2013200\u00a0Mio. \u20ac verh\u00e4ngt. Auch in Deutschland haben Datenschutzbeh\u00f6rden k\u00fcrzlich Bu\u00dfgelder in Millionenh\u00f6he angek\u00fcndigt.<\/p>\n

Die DSGVO findet immer bei der\u00a0\u2013 digitalen oder analogen\u00a0\u2013 Verarbeitung personenbezogener Daten Anwendung. Bei Unternehmenstransaktionen betrifft dies insbesondere Mitarbeiter-, Lieferanten- und Kundendaten. Je digitaler die Prozesse eines Unternehmens sind, desto mehr Daten fallen in der Regel an. Und jede Weitergabe oder selbst die blo\u00dfe Kenntnisnahme der Daten im Rahmen einer Transaktion einschlie\u00dflich einer Due Diligence stellt eine Datenverarbeitung i.S. der DSGVO dar. Dies ist nur zul\u00e4ssig, wenn einer der in Art.\u00a06 Abs.\u00a01 DSGVO genannten Rechtfertigungsgr\u00fcnde vorliegt.<\/p>\n

Einwilligung nicht praktikabel<\/strong><\/p>\n

Eine gesonderte gesetzliche Rechtsgrundlage f\u00fcr die Offenlegung der Daten in einer Due Diligence existiert nicht. Am sichersten w\u00e4re es, m\u00f6glichst fr\u00fchzeitig die Einwilligung aller Personen einzuholen, die von einem M&A-Prozess betroffen sind. Das ist jedoch nicht praktikabel: Der Deal soll m\u00f6glichst lange geheim gehalten werden, zudem m\u00fcssen Einwilligungen freiwillig abgegeben und k\u00f6nnen jederzeit widerrufen werden. In Betracht kommt w\u00e4hrend der Phase der Due Diligence das Schw\u00e4rzen von personenbezogenen Daten<\/strong>, die f\u00fcr die Bewertung des Unternehmens nicht zwingend erforderlich sind. Je sensibler die Daten, beispielsweise eine Krankenakte, desto eher muss geschw\u00e4rzt werden. Neue Legal-Tech-Angebote, die diese Aufgabe \u00fcbernehmen, gibt es inzwischen auf dem Markt. Mit Ma\u00dfnahmen wie einer Verschl\u00fcsselung der Daten<\/strong> bei der \u00dcbermittlung, Geheimhaltungs- und L\u00f6schungsverpflichtungen<\/strong> sowie speziellen Datenverarbeitungsvertr\u00e4gen mit Datenraumanbietern<\/strong> l\u00e4sst sich zus\u00e4tzlich das Risiko verringern, datenschutzrechtlich angreifbar zu werden.<\/p>\n

Daneben kommt die \u201eWahrung berechtigter Interessen\u201c (Art.\u00a06 Abs.\u00a01\u00a0f) DSGVO) als gesetzlicher Rechtfertigungsgrund f\u00fcr die Offenlegung der Daten im Rahmen der Due Diligence in Betracht, soweit eine Anonymisierung nicht m\u00f6glich ist und die Weitergabe im konkreten Fall erforderlich ist. Das berechtigte Interesse des Unternehmens ist gegen die Interessen der betroffenen Personen abzuw\u00e4gen. Diese Interessen sind weniger gewichtig, wenn es um Daten geht, die aus dem beruflichen Kontext der Personen stammen, oder wenn sie ohnehin bereits \u00f6ffentlich bekannt sind, wie vom Gesch\u00e4ftsf\u00fchrer unterschriebene und im Gesch\u00e4ftsverkehr verwendete Dokumente.<\/p>\n

Interessenabw\u00e4gung \u2013 Fallgruppen der Datenschutzkonferenz DSK zum Austausch von Kundendaten<\/strong><\/p>\n

Gerichtliche Entscheidungen, an denen sich die Unternehmen im Spannungsfeld zwischen den strengen Vorgaben der DSGVO und Anforderungen der Praxis orientieren k\u00f6nnen, gibt es bisher nicht. Mit Beschluss vom 24.05.2019<\/a> hat die Datenschutzkonferenz DSK, der Zusammenschluss der deutschen Datenschutzbeh\u00f6rden, den Unternehmen daher Leitlinien f\u00fcr einige Spezialf\u00e4lle<\/strong> an die Hand gegeben:<\/p>\n