Datenschutz bei Due Diligence

Datenschutz VerstehenDatenschutzfragen bei Due Diligence Prüfungen.

Es ist egal, ob Sie ein Großunternehmen, ein Unternehmen im Mittelstand oder ein Start-up leiten.  Machen Sie Ihren Job gut und führen das Unternehmen mit ihren Beschäftigten zum Erfolg, so weckt dieser Erfolg zwangsläufig das Interesse von Investoren und Konkurrenten. Der Unternehmensverkauf oder zumindest der Verkauf von Anteilen des Unternehmens wird somit in den meisten Fällen bei erfolgreichen Unternehmen  langfristig zum Thema. Hierbei kann die Veräußerung stets für beide Parteien sinnvoll sein. Durch frisches Kapital und einem neuen Partner kann das Unternehmen weiter wachsen und demnach die Interessen sowohl von der Käufer- als auch von der Verkäuferseite befriedigen. Bevor jedoch eine solche Transaktion tatsächlich durchgeführt wird, wird sich die Käuferseite durch eine sorgfältige Prüfung des Unternehmens, der sog. Due Diligence, absichern wollen. Um die Attraktivität für Investoren weiter zu erhöhen und die Prozesse des Unternehmensverkaufs zu beschleunigen, ist es demnach gerade für Start-ups ratsam, sich im Vorfeld mit den Anforderungen an eine Due-Diligence-Prüfung zu beschäftigen und die wichtigsten Vorkehrungen bereits getroffen zu haben. Wie Sie das tun und was der Datenschutz damit zu tun hat, erfahren Sie in diesem Blog-Beitrag.

 

Was ist eine Due Diligence Prüfung (DD)?

Der Begriff der Due Diligence (engl. für gebührende Sorgfalt) kommt ursprünglich aus dem US-amerikanischen Kapitalmarkt- und Anlagerecht und betrifft die Grundsätze der Haftung beim Handel mit Wertpapieren. Heute wird dieser Begriff jedoch weitreichend für die umfassende Prüfung eines Unternehmens im Rahmen eines Unternehmensverkaufs verwendet. Häufig wird dabei der Begriff im Zusammenhang mit einem sog. Asset Deal verwendet. Ziel einer Due Diligence ist es, den Käufer durch die Analyse einzelner Unternehmensbestandteile vor möglichen Risiken zu schützen und so seine Investition abzusichern. Eine Unternehmenstransaktion durchläuft dabei regelmäßig drei Phasen:

  1. Due Dilligence
  2. Die Phase zwischen Vertragserstellung und Vertragsabschluss – Signing und Closing
  3. Post-Closing – Integration des Unternehmens in die Gruppe des Erwerbers

Folgerichtig sollten für einen erfolgreichen Abschluss einer Due Diligence die wichtigsten Informationen über den Markt und das Geschäftsmodell sowie aus den Bereichen Finanzen, Steuern und Recht (Financial-, Tax- und Legal Due Dilligence) aufgearbeitet und bereitgestellt werden. Im Bereich Recht kommt hier der Datenschutz ins Spiel. Bei der Überprüfung des Unternehmens werden eine Vielzahl von Daten zur Verfügung gestellt, welche unter Umständen personenbezogene Daten darstellen können. Auch wenn der Anwendungsbereich der DSGVO den Transfer und die Verarbeitung von Daten juristischer Personen nicht umfasst, so findet die DSGVO im Rahmen einer Due Diligence dahingehend Anwendung, dass nicht nur Geschäftsdaten, sondern auch Daten von natürlichen Personen durch den Käufer verarbeitet werden können. Abgesehen davon, wird die Nutzung der Daten eines gekauften Unternehmens immer relevanter, somit ist es unabdingbar, dass diese Daten auch rechtmäßig erhoben worden sind. 

 

Datenschutz bei einer Due Diligence Prüfung

Um herauszufinden welche personenbezogenen Daten regelmäßig von einer Überprüfung betroffen sein können, scheint es sinnvoll, sich im Vorfeld mit den wesentlichen Bestandteilen einer DD-Prüfung zu beschäftigten. Wie bereits erwähnt, werden die Bereiche Finanzen, Steuern und Recht sowie das Geschäftsmodell und die Marktgegebenheiten näher überprüft. Für die Überprüfung werden fortlaufend Informationen in Form von Daten dem potenziellen Käufer zur Verfügung gestellt. Besonders relevante Daten sind u.a.:

  • Kundendaten
  • Lieferantendaten
  • Daten von Beschäftigten
  • Daten zur Geschäftsführung/Vorstand
  • Jahresabschlüsse

Aus datenschutzrechtlicher Sicht werden gerade im Bereich der Kunden- und Beschäftigtendaten personenbezogene Daten wie Vorname, Nachname, Adresse, E-Mail, Geburtsdatum etc. übermittelt und verarbeitet. Eine DD-Prüfung befreit Sie jedoch nicht von dem sog. Verbot mit Erlaubnisvorbehalt der DSGVO und erfordert demnach für jegliche Form der (teil-)automatisierten Verarbeitung von personenbezogenen Daten eine geeignete Rechtsgrundlage. Gleichwohl kann dieser Prozess, gerade wenn Sie eine Einwilligung der betreffenden Personen einholen müssen, sehr bürokratisch sein und gegebenenfalls auch internen Interessen, wie die Geheimhaltung einer Verkaufs- bzw. Kaufabsicht zuwiderlaufen. Schließlich müssen Sie im Rahmen Ihrer Informationspflichten aus der DSGVO stets darüber informieren, zu welchem Zweck Sie die Daten der Betroffenen verarbeiten und übermitteln. Diese Tatsache stellt jedoch nur so lange ein Problem dar, wie tatsächlich personenbezogene Daten verarbeitet werden. Das Stichwort in diesem Fall ist die Anonymisierung und führt uns direkt zu der Frage, wie Sie den datenschutzrechtlichen Herausforderungen bei der DD-Prüfung begegnen können.

 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Wie begegne ich datenschutzrechtlichen Herausforderungen im Rahmen der Due Diligence richtig?

Der Unternehmensverkauf ist grundsätzlich als berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f) DSGVO anerkannt. Inwieweit die Weitergabe von Beschäftigtendaten, Kunden- und Lieferantendaten erforderlich ist, hängt jedoch stark von den Umständen des Einzelfalls ab. Praktisch gesehen bedeutet dies, dass vor der Herausgabe eine Abwägungsentscheidung bzw. Zulässigkeitsprüfung vorgenommen werden muss. Mithilfe der Zulässigkeitsprüfung wird demnach festgestellt, ob personenbezogene Daten an den Käufer übermittelt werden dürfen oder im Vorfeld eine Anonymisierung der Daten stattfinden muss. Im Abwägungsprozess sollten Sie sich demnach eine Reihe von Fragen stellen und das Ergebnis nachvollziehbar dokumentieren. Zusätzlich können vom Käufer folgende Fragen aufkommen:

Beispiele für aufkommende Fragen:

Grundsätzlich ist jedoch darauf zu achten, dass personenbezogene Daten nur dann übermittelt werden, wenn die Anonymisierung der Daten für die Entscheidung über die Unternehmenstransaktion maßgeblich sind und nur deanonymisiert einen Mehrwert liefern können. Folglich profitieren gerade hier Softwareanbieter deren Software i.S.d. Art. 25 DSGVO datenschutzrelevante Anforderungen erfüllt und personenbezogene Daten pseudonymisiert bzw. anonymisiert automatisch zur Verfügung stellen kann. Gerade Softwareanbieter (insbesondere SaaS) sollten sich umfassende Expertise einholen, sodass “privacy by design” und “privacy by default” im Rahmen der DD-Prüfung nicht zum Verhängnis werden. Dazu können Sie sich hier unser Whitepaper herunterladen.

Bei den Herausforderungen, die Ihnen im Laufe einer Legal DD-Prüfung begegnen, können Datenschutzberatungen wie die Keyed GmbH unterstützen und die Interessen beider Parteien wahren. Für weitere Informationen empfehlen wir Ihnen zudem unseren Beitrag zum Thema “Datenschutz beim Unternehmenskauf” oder unterstützen Sie unverbindlich in einer kostenfreien Erstberatung.

Menü