DB: Was sind die wesentlichen datenschutzrechtlichen Aspekte, die bei einer M&A-Transaktion zu beachten sind? Was bringt die DSGVO Neues?
Grau: Gleich zu Beginn einer Transaktion stellt sich für den Verkäufer die Frage, ob und wenn ja, in welchem Umfang er Mitarbeiter-, Lieferanten- und Kundendaten gegenüber Erwerbsinteressenten offenlegen darf. Dies ist unter drei Gesichtspunkten bedeutsam: Zum einen könnte zu wenig Transparenz in der Due Diligence mögliche Interessenten abschrecken. Zudem ist eine Anonymisierung von Daten äußerst schwierig. Schließlich steht der Information oder Einholung einer Einwilligung zur Datenverarbeitung das Erfordernis entgegen, den Deal geheim zu halten, um ihn erfolgreich zum Abschluss zu führen. Das Dilemma erhöht sich mit der Anzahl der zu informierenden Betroffenen und der Erwerbsinteressenten.
Funk: Daher wurden datenschutzrechtliche Aspekte bei einer M&A-Transaktion früher oftmals stiefmütterlich behandelt. Das hat sich mit der DSGVO schlagartig verändert. Jetzt besteht auch eine Pflicht, die betroffene Person vor einer zweckändernden Weiterverarbeitung der Daten hierüber zu informieren. Wurden beispielsweise Mitarbeiterdaten bislang für Beschäftigungszwecke verarbeitet, liegt der Fokus nun auf einer Veräußerung, Fusion oder Sanierung. Eine dem vorherigen Recht entsprechende Ausnahmevorschrift des Bundesdatenschutzgesetzes wurde diskutiert, aber nicht in Art. 13 DSGVO übernommen. Gleichzeitig wurde der Bußgeldrahmen allgemein auf bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes signifikant erhöht. Der höhere Betrag ist beachtlich, das Risiko bei Verstößen also erheblich.
DB: Macht es einen Unterschied, ob es sich um einen Share oder Asset Deal handelt?
Grau: Auf den ersten Blick: ja. Bei einem Share Deal ist die Zielgesellschaft Vertragspartner und die Daten bleiben bei ihr. Damit stellen sich oftmals keine datenschutzrechtlichen Probleme.
Funk: Es kommen aber problematische Konstellationen in Betracht, wenn Daten konzernintern auf Käuferseite weitergegeben werden sollen. Dies ist etwa der Fall bei konzernweiten Matrixstrukturen, Gratifikationen oder Bonussystemen.
Grau: Wird der gesamte Betrieb oder ein Betriebsteil verkauft, so gehen die Arbeitsverhältnisse – und damit auch die Daten – kraft Gesetzes auf den Käufer über. In der obligatorischen Unterrichtung der Mitarbeiter über den Betriebsübergang wird in der Praxis oft die Einwilligung zur Datenweitergabe abgefragt. Soweit die Datenweitergabe einer Übernahme von Kunden- und Lieferantenverträgen dient, wirken die Betroffenen an der Übernahme häufig mit. In allen anderen Fällen, in denen die betroffenen natürlichen Personen an der Übernahme nicht beteiligt sind, kommt man meist über die datenschutzrechtliche Interessenabwägung zur Zulässigkeit. Ab Signing besteht eine erhöhte Transaktionssicherheit und ein schützenswertes Interesse des Käufers, den Betrieb nahtlos fortzuführen. Dies erstreckt sich aber nur auf die hierfür notwendigen Daten.
DB: Gibt es Informationspflichten gegenüber den betroffenen Personen? Kann man sich auf eine generelle Einwilligung der betroffenen Person in die Nutzung ihrer personenbezogenen Daten berufen?
Funk: Die Pflicht bestand auch schon vor der DSGVO. Man konnte sich jedoch bei Transaktionen auf eine Ausnahmeregelung des alten Bundesdatenschutzgesetzes berufen, die nun ersatzlos gestrichen wurde. Diese neue Rechtslage erschwert die Durchführung von Transaktionen und widerspricht dem Vertraulichkeitsinteresse der beteiligten Parteien. Besonders heikel wird es, wenn die mögliche Transaktion insiderrelevant ist. Die Rechtsunsicherheit wird dadurch erhöht, dass auf absehbare Zeit nicht mit gefestigter Rechtsprechung und Behördenpraxis zu rechnen ist. Zudem divergieren auch die Meinungen in der – noch vereinzelten – Literatur stark.
Grau: Manche weltweit tätigen IT-Konzerne haben gleichwohl ihre Datenschutzerklärungen erweitert, sodass die Zustimmung zur Weitergabe von Daten im Rahmen einer Fusion, Sanierung oder Veräußerung von Vermögenswerten erteilt wird.
Funk: Es ist aber zweifelhaft, ob solch eine generische Zustimmung ausreicht. Diese ist zwangsläufig allgemein gehalten und kann noch nicht konkret Erwerbsinteressenten nennen.
DB: Due Diligence ist beim Unternehmenskauf Pflicht? Was ist in Sachen Datenschutz zu beachten?
Grau: Nach einem älteren Urteil soll eine Pflicht des Vorstands einer AG bestehen, vor einer Übernahme die Vermögensverhältnisse der Zielgesellschaft gründlich zu prüfen. Die herrschende Meinung leitet hieraus jedoch keine generelle Pflicht zur Durchführung einer Due Diligence her. Es wird vertreten, dass die im Rahmen der Pflichten der Geschäftsführung entscheidende Business Judgement Rule grundsätzlich eine Due Diligence vorsieht, in Sonderfällen, beispielsweise wegen des Erfordernisses besonders schnellen Handelns, dagegen ein Absehen gerechtfertigt sein kann. Zur Minderung der vom Käufer zu tragenden Risiken, zur Beweissicherung sowie zur Wertermittlung empfiehlt sich jedoch stets die Durchführung einer Due Diligence.
Funk: Zur Minimierung von Risiken und Bußgeldern sind stets Maßnahmen zur Gewährleistung der Vertraulichkeit und IT-Sicherheit notwendig. Hierzu zählen die Begrenzung von Datenraumzugängen, die Verschlüsselung der Datenübermittlung, die Verpflichtung zur Datenlöschung im Fall abgebrochener Verhandlungen sowie die Verwendung von marktüblichen Firewalls. Zudem muss mit Datenraumanbietern, insbesondere wenn deren Sitz oder Server außerhalb der EU liegt, Rücksprache bezüglich der Einhaltung der DSGVO gehalten werden.
DB: Warum ist die Prüfung der Datenschutz-Compliance beim Zielunternehmen so wichtig?
Funk: Die Komplexität der neuen Datenschutzvorschriften stellt für viele Unternehmen eine erhebliche Herausforderung dar. Auch wenn die meisten Unternehmen DSGVO-Compliance-Projekte durchgeführt haben, sind circa 30 Prozent der deutschen Unternehmen nach eigener Einschätzung noch nicht DSGVO-konform.
Grau: Schon wegen der deutlich verschärften Datenschutzsanktionen und der öffentlichen Aufmerksamkeit sollte jede Due Diligence die Datenschutz-Compliance deshalb in den Fokus nehmen.
DB: Jeder weiß, wenn Datenschutzvorgaben missachtet werden, drohen drakonische Bußgelder. Welche Risiken gibt es noch?
Funk: Neben den massiv erhöhten Bußgeldern sollten die weitreichenden Befugnisse der Aufsichtsbehörden im Blick behalten werden, die unter anderem Informationsrechte, Zugangsrechte zu Servern und Geschäftsräumen sowie das Recht zur Beschränkung oder gar zum Verbot rechtswidriger Datenverarbeitungsvorgänge umfassen. Daneben gibt es zivilrechtliche Folgen, zum Beispiel Ansprüche der betroffenen Personen auf Ersatz materieller und immaterieller Schäden. Besonders krasse Fälle von Datenschutzverstößen sind zudem strafbar.
Herr Funk und Herr Grau – vielen Dank für das Interview!
