Datenschutz Verstehen – Datenschutzfragen bei Due Diligence Prüfungen.
Es ist egal, ob Sie ein Großunternehmen, ein Unternehmen im Mittelstand oder ein Start-up leiten. Machen Sie Ihren Job gut und führen das Unternehmen mit ihren Beschäftigten zum Erfolg, so weckt dieser Erfolg zwangsläufig das Interesse von Investoren und Konkurrenten. Der Unternehmensverkauf oder zumindest der Verkauf von Anteilen des Unternehmens wird somit in den meisten Fällen bei erfolgreichen Unternehmen langfristig zum Thema. Hierbei kann die Veräußerung stets für beide Parteien sinnvoll sein. Durch frisches Kapital und einem neuen Partner kann das Unternehmen weiter wachsen und demnach die Interessen sowohl von der Käufer- als auch von der Verkäuferseite befriedigen. Bevor jedoch eine solche Transaktion tatsächlich durchgeführt wird, wird sich die Käuferseite durch eine sorgfältige Prüfung des Unternehmens, der sog. Due Diligence, absichern wollen. Um die Attraktivität für Investoren weiter zu erhöhen und die Prozesse des Unternehmensverkaufs zu beschleunigen, ist es demnach gerade für Start-ups ratsam, sich im Vorfeld mit den Anforderungen an eine Due-Diligence-Prüfung zu beschäftigen und die wichtigsten Vorkehrungen bereits getroffen zu haben. Wie Sie das tun und was der Datenschutz damit zu tun hat, erfahren Sie in diesem Blog-Beitrag.
Was ist eine Due Diligence Prüfung (DD)?
Der Begriff der Due Diligence (engl. für gebührende Sorgfalt) kommt ursprünglich aus dem US-amerikanischen Kapitalmarkt- und Anlagerecht und betrifft die Grundsätze der Haftung beim Handel mit Wertpapieren. Heute wird dieser Begriff jedoch weitreichend für die umfassende Prüfung eines Unternehmens im Rahmen eines Unternehmensverkaufs verwendet. Häufig wird dabei der Begriff im Zusammenhang mit einem sog. Asset Deal verwendet. Ziel einer Due Diligence ist es, den Käufer durch die Analyse einzelner Unternehmensbestandteile vor möglichen Risiken zu schützen und so seine Investition abzusichern. Eine Unternehmenstransaktion durchläuft dabei regelmäßig drei Phasen:
- Due Dilligence
- Die Phase zwischen Vertragserstellung und Vertragsabschluss – Signing und Closing
- Post-Closing – Integration des Unternehmens in die Gruppe des Erwerbers
Folgerichtig sollten für einen erfolgreichen Abschluss einer Due Diligence die wichtigsten Informationen über den Markt und das Geschäftsmodell sowie aus den Bereichen Finanzen, Steuern und Recht (Financial-, Tax- und Legal Due Dilligence) aufgearbeitet und bereitgestellt werden. Im Bereich Recht kommt hier der Datenschutz ins Spiel. Bei der Überprüfung des Unternehmens werden eine Vielzahl von Daten zur Verfügung gestellt, welche unter Umständen personenbezogene Daten darstellen können. Auch wenn der Anwendungsbereich der DSGVO den Transfer und die Verarbeitung von Daten juristischer Personen nicht umfasst, so findet die DSGVO im Rahmen einer Due Diligence dahingehend Anwendung, dass nicht nur Geschäftsdaten, sondern auch Daten von natürlichen Personen durch den Käufer verarbeitet werden können. Abgesehen davon, wird die Nutzung der Daten eines gekauften Unternehmens immer relevanter, somit ist es unabdingbar, dass diese Daten auch rechtmäßig erhoben worden sind.
Datenschutz bei einer Due Diligence Prüfung
Um herauszufinden welche personenbezogenen Daten regelmäßig von einer Überprüfung betroffen sein können, scheint es sinnvoll, sich im Vorfeld mit den wesentlichen Bestandteilen einer DD-Prüfung zu beschäftigten. Wie bereits erwähnt, werden die Bereiche Finanzen, Steuern und Recht sowie das Geschäftsmodell und die Marktgegebenheiten näher überprüft. Für die Überprüfung werden fortlaufend Informationen in Form von Daten dem potenziellen Käufer zur Verfügung gestellt. Besonders relevante Daten sind u.a.:
- Kundendaten
- Lieferantendaten
- Daten von Beschäftigten
- Daten zur Geschäftsführung/Vorstand
- Jahresabschlüsse
Aus datenschutzrechtlicher Sicht werden gerade im Bereich der Kunden- und Beschäftigtendaten personenbezogene Daten wie Vorname, Nachname, Adresse, E-Mail, Geburtsdatum etc. übermittelt und verarbeitet. Eine DD-Prüfung befreit Sie jedoch nicht von dem sog. Verbot mit Erlaubnisvorbehalt der DSGVO und erfordert demnach für jegliche Form der (teil-)automatisierten Verarbeitung von personenbezogenen Daten eine geeignete Rechtsgrundlage. Gleichwohl kann dieser Prozess, gerade wenn Sie eine Einwilligung der betreffenden Personen einholen müssen, sehr bürokratisch sein und gegebenenfalls auch internen Interessen, wie die Geheimhaltung einer Verkaufs- bzw. Kaufabsicht zuwiderlaufen. Schließlich müssen Sie im Rahmen Ihrer Informationspflichten aus der DSGVO stets darüber informieren, zu welchem Zweck Sie die Daten der Betroffenen verarbeiten und übermitteln. Diese Tatsache stellt jedoch nur so lange ein Problem dar, wie tatsächlich personenbezogene Daten verarbeitet werden. Es kann ebenfalls über eine Kollektivvereinbarung wie Tarifverträge oder Betriebsvereinbarungen nach Art. 88 I, III DS-GVO iVm § 26 IV BDSG hinsichtlich der Verarbeitung von Beschäftigtendaten nachgedacht werden. Allerdings wird von dieser Rechtfertigungsmöglichkeit in der Praxis selten Gebrauch gemacht, da hierbei Geheimhaltungsinteressen entgegenstehen. Das Stichwort in diesem Fall ist die Anonymisierung und führt uns direkt zu der Frage, wie Sie den datenschutzrechtlichen Herausforderungen bei der DD-Prüfung begegnen können.
Datenschutzrechtliche Herausforderungen bei der Due Diligence lösen
Der Unternehmensverkauf ist grundsätzlich als berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f) DSGVO anerkannt. Inwieweit die Weitergabe von Beschäftigtendaten, Kunden- und Lieferantendaten erforderlich ist, hängt jedoch stark von den Umständen des Einzelfalls ab. Praktisch gesehen bedeutet dies, dass vor der Herausgabe eine Abwägungsentscheidung bzw. Zulässigkeitsprüfung vorgenommen werden muss. Mithilfe der Zulässigkeitsprüfung wird demnach festgestellt, ob personenbezogene Daten an den Käufer übermittelt werden dürfen oder im Vorfeld eine Anonymisierung der Daten stattfinden muss.
Dabei sind die berechtigten Interessen des Veräußerers und die schutzwürdigen Interessen der betroffenen Personen gegeneinander abzuwägen. Die Verarbeitung der personenbezogenen Daten erfolgt, damit der potenzielle Käufer das Transaktionsrisiko und den möglichen Kaufpreis ermitteln kann. Eine unzureichende Übermittlung der für den potenziellen Käufer wichtigen personenbezogenen Daten kann sich demnach negativ auf die Preisbildung auswirken, was als berechtigtes Interesse des Veräußerers ausgelegt werden kann.
In diesem Zusammenhang ist jedoch auch zu fragen, ob die Verarbeitung als erforderlich anzusehen ist und ob kein gleich geeignetes milderes Mittel existiert. Von Bedeutung sind für den potenziellen Käufer er in der Regel nur bestimmte personenbezogene Daten. Die Übermittlung von sämtlichen personenbezogenen Daten der Beschäftigten oder Kunden an den Interessenten, wie eine individualisierte Liste mit Angaben zum Gehalt, Alter und Dauer der Betriebszugehörigkeit, erscheint nicht erforderlich. Oftmals dürfte eine Anonymisierung der Daten oder die Erstellung von statistischen Durchschnittswerten zur Befriedigung des Informationsinteresses des Interessenten genügen. Regelmäßig sind hinsichtlich der Beschäftigtendaten Informationen zum Durchschnittsalter, zur durchschnittlichen Dauer der Betriebszugehörigkeit oder zur Durchschnittsvergütung als ausreichend zu erachten. Unter ähnlichen Gesichtspunkten ist auch die Weitergabe von Kundendaten im Rahmen von Unternehmenstransaktionen zu bewerten. Da auch die Gründe des Interessenten für den Kauf berücksichtigt werden müssen. Sollten diesem die Mitarbeiter zunächst gleichgültig sein, da er allein wegen des Erwerbs eines Patents am Kauf interessiert ist, würde im Rahmen einer Abwägung von einem Datenschutzverstoß auszugehen sein, wenn dennoch umfassende Beschäftigtendaten weitergegeben werden. Insofern zeigt sich, dass im Rahmen der Interessenabwägung die Interessen der Beschäftigten und Kunden so gering wie möglich beeinträchtigt werden sollten, um einen möglichst hohen Schutz personenbezogener Daten herzustellen, sowie dem Gebot der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO zu entsprechen.
Im Abwägungsprozess sollten Sie sich demnach eine Reihe von Fragen stellen und das Ergebnis nachvollziehbar dokumentieren. Zusätzlich können vom Käufer folgende Fragen aufkommen:
Beispiele für aufkommende Fragen:
- Wie ist das aktuelle Datenschutz-Niveau des Unternehmens, welches gekauft werden soll? Bestehen Verzeichnisse von Verarbeitungstätigkeiten? Wurden bislang Datenschutz-Folgenabschätzungen durchgeführt und sind Auftragsverarbeitungs-Verträge vorhanden?
- Besteht eine wirksame Vertraulichkeitsvereinbarung zwischen den Beteiligten?
- Welche schutzwürdigen Interessen der betroffenen Personen könnten der Übermittlung an einen Käufer entgegenstehen?
- Wie werden die Informationspflichten gegenüber den Betroffenen durch die Übermittlung erfüllt?
- Hat das zu kaufende Unternehmen seine personenbezogenen Daten rechtmäßig erhoben? Bestehen bereits Einwilligungen für diverse Zwecke?
- Wird stets ein angemessenes Sicherheitsniveau für die personenbezogenen Daten gewährleistet? Sind die technischen und organisatorischen Maßnahmen dokumentiert?
Grundsätzlich ist jedoch darauf zu achten, dass personenbezogene Daten nur dann übermittelt werden, wenn die Anonymisierung der Daten für die Entscheidung über die Unternehmenstransaktion maßgeblich sind und nur deanonymisiert einen Mehrwert liefern können. Folglich profitieren gerade hier Softwareanbieter deren Software i.S.d. Art. 25 DSGVO datenschutzrelevante Anforderungen erfüllt und personenbezogene Daten pseudonymisiert bzw. anonymisiert automatisch zur Verfügung stellen kann. Gerade Softwareanbieter (insbesondere SaaS) sollten sich umfassende Expertise einholen, sodass “privacy by design” und “privacy by default” im Rahmen der DD-Prüfung nicht zum Verhängnis werden. Dazu können Sie sich hier unser Whitepaper herunterladen.
Bei den Herausforderungen, die Ihnen im Laufe einer Legal DD-Prüfung begegnen, können Datenschutzberatungen wie die Keyed GmbH unterstützen und die Interessen beider Parteien wahren. Für weitere Informationen empfehlen wir Ihnen zudem unseren Beitrag zum Thema “Datenschutz beim Unternehmenskauf” oder unterstützen Sie unverbindlich in einer kostenfreien Erstberatung.
Reduzierung von Haftungsrisiken im Datenschutz
Beim Verkauf eines Unternehmens ist es häufig üblich, dass der Verkäufer dem Käufer bestimmte Garantien zusichert. Dabei kann es sich um unterschiedliche Versprechen handeln, zum Beispiel die Gewährleistung der Richtigkeit und Vollständigkeit aller Angaben im Rahmen des Verkaufsprozesses oder auch die Einhaltung gesetzlicher Vorschriften, wie zum Beispiel des Datenschutzes.
Für den Verkäufer birgt die Abgabe solcher Garantien ein gewisses Haftungsrisiko. Sollte sich im Nachhinein herausstellen, dass die getroffenen Zusicherungen nicht zutreffen, kann der Käufer Schadensersatzansprüche geltend machen. Dies kann unter Umständen zu erheblichen finanziellen Verlusten für den Verkäufer führen. Um sich vor zu großen Haftungsrisiken zu schützen, ist es für den Verkäufer daher äußerst wichtig, im Vorfeld alle Angaben sorgfältig zu prüfen und nur solche Garantien abzugeben, die er auch tatsächlich erfüllen kann. Zudem kann es sinnvoll sein, bestimmte Risiken durch entsprechende Klauseln im Kaufvertrag zu begrenzen oder auszuschließen.
Insgesamt gilt es für den Unternehmensverkäufer also abzuwägen, welche Garantien er abgibt und inwieweit er sich dadurch einem Haftungsrisiko aussetzt. Eine sorgfältige Vorbereitung und Beratung durch Experten können dabei helfen, das Risiko zu minimieren und einen reibungslosen Verkaufsprozess zu gewährleisten.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.