Gratis
25. Mai 2019 - Mergers & Acquisitions (M&A)

Die datenschutzkonforme Due-Diligence-Prüfung

Drucken

Bei Unternehmenstransaktionen wie Fusionen, Unternehmenskäufen oder Betriebsübergängen steht die sogenannte Due-Diligence-Prüfung am Anfang. Diese Prüfung geht mit dem Austausch zahlreicher Daten einher. Welche Datenschutz-Vorgaben sind hierbei zu beachten?

Die Due-Diligence-Prüfung hat so einige Datenschutz-Stolperfallen Auch bei Unternehmenskäufen steht mittlerweile der Datenschutz als Risikofaktor, der zu berücksichtigen ist, im Fokus (Bild: iStock.com / designer491)

Eine Due-Diligence-Prüfung soll die Grundlage liefern, um eine fundierte (Kauf-)Entscheidung zu treffen. Sie analysiert sorgfältig Stärken und Schwächen eines Unternehmens sowie die Risiken, die mit einer Transaktion verbunden sein könnten.

Zu den Informationen, die hierzu fließen müssen, gehören auch solche mit Personenbezug. Häufig geht es um (Arbeits-)Verträge oder Kundenlisten.

Die Tatsache, dass für jede Datenverarbeitung – z.B. für die Übermittlung der Daten an den potenziellen Käufer – eine Rechtsgrundlage erforderlich ist, birgt Zündstoff. Denn die Due-Diligence-Prüfung findet ganz am Anfang statt.

Mögliche Rechtsgrundlagen für die Offenlegung/Übermittlung

Die Einwilligung als Rechtsgrundlage scheidet mangels Praktikabilität und Freiwilligkeit in diesem Stadium regelmäßig aus. Sie scheitert auch am Geheimhaltungsbedürfnis der Parteien.

Daten im Rahmen von Due-Diligence-Prüfungen weiterzugeben, ist in der Regel auch nicht erforderlich, um einen Vertrag mit den betroffenen Personen zu erfüllen (Art. 6 Abs. 1 Buchst. b Datenschutz-Grundverordnung – DSGVO, § 26 Bundesdatenschutzgesetz – BDSG).

Ähnliches gilt für Art. 6 Abs. 1 Buchst. c DSGVO, der eine Datenverarbeitung für zulässig erklärt, wenn sie rechtliche Verpflichtungen erfüllt. Auch diese Rechtsgrundlage scheidet mangels Einschlägigkeit aus.

Berechtigte Interessen als zentrale Rechtsgrundlage

Bleiben also als zentrale Rechtsgrundlage für die Übermittlung/Offenlegung von personenbezogenen Daten die berechtigten Interessen gemäß Art. 6 Abs. 1 Buchst. f DSGVO.

Gegenüber stehen sich

  • das Interesse des Verkäufers sowie des Käufers (Dritte), den Deal abzuschließen, und zwar wirtschaftlich sinnvoll und risikoreduziert, und
  • das Interesse der jeweiligen betroffenen Personen (Beschäftigte, Kunden, Lieferanten) am Schutz ihrer Daten.

Die Abwägung ist stets bezogen auf den individuellen Fall vorzunehmen und kann, je nach Transaktionsphase, unterschiedlich ausfallen.

Welche Aspekte sind bei der Interessenabwägung besonders zu berücksichtigen? In erster Linie müssen die Beteiligten bei der rechtlichen Beurteilung zwischen Beschäftigten einerseits und Kunden des Unternehmens andererseits unterscheiden.

Beschäftigtendaten

Bei der Interessenabwägung spielen die Betroffenenkategorien und die Datenarten eine große Rolle.

Eine Übermittlung von Listen mit Funktionsträgern und leitenden Angestellten inklusive Durchschnittsgehältern ist z.B. weniger problematisch als die Übermittlung von Lohnlisten aller Beschäftigten inklusive individueller Krankenstände.

ACHTUNG: Wer Beschäftigtendaten weitergibt, muss an die Beteiligungsrechte des Betriebsrats denken.

Und wer auf eine Anonymisierung der Daten setzt, um Risiken aus dem Weg zu gehen, sollte in seine Überlegungen einbeziehen, dass es gerade in kleineren Unternehmen recht einfach sein kann, die Daten zu reindividualisieren.

Die Interessenabwägung ist zudem keine taugliche Rechtsgrundlage, um besondere Kategorien personenbezogener Daten zu übermitteln. Das ist grundsätzlich nur auf Basis einer informierten Einwilligung rechtskonform möglich.

So sieht das auch die Datenschutzkonferenz (DSK) im Hinblick auf Asset Deals (Beschluss vom 24.05.2019, Asset Deal – Katalog von Fallgruppen,
S. 2).

Unterscheidung zwischen B2B- und B2C-Kunden erforderlich

Eine wesentliche Rolle bei der Abwägung innerhalb der Betroffenenkategorien spielt bei der Kategorie „Kunden“ der Unterschied zwischen „Verbraucher“ (B2C) und „Unternehmer“ (B2B).

Der Käufer hat grundsätzlich ein starkes berechtigtes Interesse, das Kunden- und Vertragsportfolio des Unternehmens, das er erwerben möchte, auszuwerten. Das schließt z.B. Daten über das Zahlungsverhalten im B2B-Bereich ein. Die Daten von Verbrauchern dürften dagegen nur eine geringe Aussagekraft im Hinblick auf seine Interessen besitzen.

Zudem sind die Interessen der Verbraucher schwerer zu gewichten als die von B2B-Kunden.

Trotzdem ist bei beiden Kategorien stets zu prüfen, ob sich der Zweck nicht mit weniger personenbezogenen Daten erreichen lässt.

Als Alternative kommt z.B. das Schwärzen der Daten infrage. Hierbei handelt es sich meist „lediglich“ um eine Pseudonymisierung. Denn die Reidentifizierung dürfte zumindest dem Verantwortlichen verhältnismäßig einfach möglich sein.

Da bei der Interessenabwägung der Schutz der Daten und risikoreduzierende Maßnahmen eine Rolle spielen, würde sich eine Pseudonymisierung auch positiv auf die Interessenabwägung auswirken.

Zweckänderung und Kompatibilitätstest

Bei Due Diligence werden Daten verarbeitet, die der Verantwortliche originär in einem anderen Kontext und gerade nicht für solche Zwecke erhoben hat. Das gilt insbesondere für die Daten von Beschäftigten, Kunden und Interessenten (Leads).

Eine solche Zweckänderung ist nur zulässig, wenn der originäre Zweck mit dem neuen Zweck „kompatibel“ ist. Hierbei sind die in Art. 6 Abs. 4 DSGVO enthaltenen – wenngleich vagen – Kriterien maßgebend. Ihre Beurteilung läuft ebenfalls auf eine Art Interessenabwägung hinaus.

Große Bedeutung haben auch hierbei geeignete Sicherheitsmaßnahmen wie z.B. Verschlüsselung, Geheimhaltungs- und Löschpflichten sowie Pseudonymisierungsmaßnahmen, die die Datenübermittlung flankieren.

„Problem“ der Zweckänderung = nachfolgende Informationspflicht

Jede Zweckänderung löst den Anwendungsbereich von Art. 13 Abs. 3 DSGVO aus, wonach der Betroffene über die Zweckänderung umfassend zu informieren ist. Das sehen die Parteien angesichts der oft strengen Verschwiegenheitsvereinbarungen nicht gern.

Eine Ausnahme von dieser Informationspflicht ist nicht ersichtlich. Auch nicht gemäß § 32 Abs. 1 Nr. 4 BDSG, wonach die Informationspflicht ausscheidet, wenn das die Geltendmachung, Ausübung und Verteidigung rechtlicher Ansprüche beeinträchtigen würde.

Unabhängig von einer auf dieser Basis erneut erforderlichen Interessenabwägung kommt die Ausnahme hier nicht in Betracht, da sie „nur“ wesentliche Beeinträchtigungen der Rechtsdurchsetzung betrifft.

Das ist in der Regel der Fall, wenn die betroffene Person durch die Information solche Handlungen unternehmen würde, die die Rechtsdurchsetzung erheblich erschweren, z.B. indem sie Beweismittel verschwinden lässt.

Datenräume für den Dokumentenaustausch

Häufig nutzt der Kaufinteressent sogenannte Datenräume (z.B. virtuelle Cloud-Speicher), um die Daten und Dokumente des potenziellen Kaufobjekts einzusehen und auszuwerten.

Hierbei entstehen viele weitere personenbezogene Daten wie Logins und das Datum des Dokumentenzugriffs mit dem Namen desjenigen, der zugegriffen hat.

Neben der angemessenen Sicherheit der Daten (Art. 32 DSGVO) gehört es zu den Datenschutzaspekten auch, die Verantwortlichkeiten für den Datenraum festzulegen:

  • Ist ein externer Dienstleister eingeschaltet, ist er Auftragsverarbeiter (Art. 28 DSGVO).
  • Sollen die Daten über eine gemeinsame Plattform ausgetauscht werden, kommt eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) infrage.

Empfehlung: Datenschutzmanagement aufsetzen

Aufgrund der Komplexität von M&A-Deals und der Due-Diligence-Prüfung ist es empfehlenswert, dass Verkäufer und Käufer ein Datenschutzmanagementsystem planen und umsetzen.

Dazu gehört nicht nur, die Zulässigkeit der Datenverarbeitungen und die Zweckkompatibilität zu betrachten, sondern auch weitere Aspekte wie die Sicherheit der Datenverarbeitung und die datenschutzrechtlichen Rechtsverhältnisse der Parteien.

Datenschutzrecht endet nicht nach der Due Diligence

Auch nach dem Stadium „Due Diligence“ ist einiges zu beachten. Die sich daran anschließenden Stadien sind etwa das Signing (Vertragsunterzeichnung) und das Closing (Vollzug der Transaktion/Beendigung).

In diesen Stadien kann eine Interessenabwägung eventuell zu anderen Ergebnissen kommen. So kann die Übermittlung bestimmter Daten erst im Rahmen des Signing oder kurz davor erforderlich und zulässig sein.

Nach dem Closing muss aufgeräumt werden, so z.B. im Hinblick auf die „Bereinigung“ des Datenraums. Aus Nachweiszwecken betrifft das aber nicht den Due-Diligence-Bericht, wenngleich dieser – wo möglich – darauf verzichten sollte, personenbezogene Daten zu nennen.

Datenschutzrechtliche Defizite als No-Go für potenzielle Käufer

Neben Fragen der Zulässigkeit der Übermittlung bzw. Offenlegung muss ein Käufer generell die Risiken von datenschutzrechtlichen Defiziten berücksichtigen. Denn der Interessent kauft – je nach Art des Deals – auch Haftungs- und Bußgeldrisiken mit ein.

Besonders wichtig ist hier das Verzeichnis der Verarbeitungstätigkeiten.

Sofern es vollständig ist, gehen daraus nicht nur alle wesentlichen Verarbeitungen und Prozesse hervor, sondern es gibt auch Aufschluss über die „Datenschutzmentalität“ des Unternehmens. Idealerweise ergibt sich aus dem Verzeichnis schon eine Risikobewertung der einzelnen Verarbeitungen.

BEISPIEL: Die britische Datenschutzaufsicht (ICO) hatte Mitte des Jahres eine Geldbuße von knapp 100 Millionen Pfund gegen die Hotelkette Marriott verhängt – im Ergebnis (auch) wegen unzureichender Datenschutz-Due-Diligence-Prüfung beim Erwerb der Hotelkette Starwood.

Die wichtigsten Schritte auf einen Blick

  • Gegenstand der Due Diligence definieren, betroffene Daten- und Betroffenenkategorien ermitteln – unterschiedliche Sensibilität beachten und Übermittlung besonderer Kategorien von Daten (Art. 9) vermeiden.
  • Möglichkeiten der Pseudonymisierung (z.B. Schwärzung) oder Anonymisierung bei gleicher Zweckerreichung prüfen. Ist dies für den Zweck nicht geeignet, den Grund, die Art der Daten und die Rechtsgrundlage einschließlich der Abwägung dokumentieren. Hierbei auch auf (kontextbezogene) Reidentifizierbarkeit und Zuordnung der Personen durch den Käufer achten.
  • Erforderlichkeit der Weitergabe der konkreten Daten(-arten) prüfen (abgestufte Vorgehensweise je nach Stadium), Fallgruppen aus dem Beschluss der DSK auf Einschlägigkeit prüfen.
  • Verschwiegenheitsverpflichtung zwischen den Parteien vereinbaren sowie Lösch- und Rückgabeverpflichtungen im Fall einer gescheiterten Unternehmenstransaktion.
  • Technischen und organisatorischen Schutz der Daten sicherstellen, z.B. durch Verschlüsselungen und enge Zugriffsrechte, auch im Datenraum.
  • Sonstige Pflichten beachten wie die Durchführung eines Kompatibilitätstests (Art. 6 Abs. 4 DSGVO) sowie die Information der Betroffenen (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO).

Wann immer möglich und sinnvoll, sollten die Beteiligten anonymisierte oder zumindest pseudonymisierte Daten übermitteln. Die Datenschutzbeauftragte bzw. der Datenschutzbeauftragte sollte sein Fachwissen nutzen, um der Geschäftsführung bzw. dem Mandanten zu einem von Datenschutzrisiken „befreiten“ Deal zu verhelfen.

Der vage Kompatibilitätstest und die Informationspflicht bei Zweckänderung dürften dazu beitragen, dass die Käufer und Verkäufer sich darauf beschränken, nur wirklich solche Daten personenbezogen zu übermitteln, die für die Bewertung erforderlich sind.

Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und fungiert zudem als externer Datenschutzbeauftragter.