Due Diligence – Datenschutz vs. Informationsgewinn

Das neue Datenschutzrecht ist in der M&A-Praxis angekommen und die Auswirkungen zeigen sich im Vorfeld jeder Unternehmenstransaktion, insbesondere in der Due Diligence. Zwar beeinflusste schon das Bundesdatenschutzgesetz in der vor Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) geltenden Fassung Verfahren und Möglichkeiten der Offenlegung personenbezogener Daten gegenüber Kaufinteressenten. Beeindruckt hatte dies die Praxis in der Vergangenheit freilich nicht immer. Seit dem Inkrafttreten der DSGVO im Mai 2018 hat sich dies notgedrungen geändert. Christine Funk von P+P Pöllath + Partners erläutert die Hintergründe.

Durch die DSGVO unverändert geblieben ist der datenschutzrechtliche Grundsatz, dass alle Maßnahmen betreffend personenbezogener Daten rechtswidrig sind, sofern sie nicht durch einen gesetzlich normierten Erlaubnisgrund gerechtfertigt sind. Erlaubnisgrund kann z. B. die Einwilligung des Betroffenen sein. Betroffene im Rahmen einer Due Diligence sind typischerweise Arbeitnehmer sowie Kunden und Lieferanten, sofern es sich dabei um natürliche Personen handelt. Datenschutzrechtlich relevant sind alle Informationen, die sich auf diese Personen beziehen, wie Name, E-Mail-Adresse, Anschrift und Position im Unternehmen. Auf Grund der Weite des Anwendungsbereichs weist nahezu jedes Dokument im Datenraum personenbezogene Daten auf. Die Einholung einer Einwilligung der Betroffenen wäre aber nicht nur zeitaufwendig, sie würde auch dazu führen, dass die üblicherweise diskret geführten Verhandlungen zwischen Käufer und Verkäufer einer Vielzahl von Personen bekannt würden. Ob die Einwilligung vorab, d. h. ohne Kenntnis von der konkreten Transaktion, erklärt werden kann, ist fraglich. Denn die Einwilligung ist „in informierter Weise“ unter Bezugnahme auf einen hinreichend bestimmten Datenverarbeitungszweck abzugeben.

Alternativ käme der Erlaubnisgrund des berechtigten Interesses des Verantwortlichen in Betracht, sofern entgegenstehende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen. Die dabei durchzu-führende Interessenabwägung unterliegt im Streitfall der Interpretation der Gerichte und führt daher nicht zu rechtssicheren Ergebnissen. Hinzu kommt, dass selbst bei Vorliegen eines Erlaubnisgrundes für die Datenverarbeitung, die Datenerhebung Informationspflichten des Verantwortlichen nach Art. 13, 14 DSGVO auslöst, was wiederum zu einem frühzeitigen Bekanntwerden der Transaktion führt.

Anonymisierte Unterlagen als Ausweg? 

Ausweg kann die Offenlegung anonymisierter Unterlagen in der Due Diligence sein. Anonymisierung bedeutet dabei, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. In diesem Fall ist das Datenschutzrecht nicht mehr anwendbar. Zur Durchführung einer umfassenden Anonymisierung müssen alle Dokumente vor dem Hochladen in den Datenraum auf personenbezogene Daten durchgesehen und diese sodann geschwärzt werden. Das Schwärzen der Unterlagen bedeutet – neben der ohnehin aufwendigen Befüllung des Datenraums – eine zusätzliche, nicht zu unterschätzende Belastung der Target-Gesellschaft. Zudem wird die Prüfung der Unterlagen im Datenraum durch den Kaufinteressenten auf Grund der Schwärzung erschwert, gleichen die Unterlagen doch nunmehr Lückentexten. Da selbst Unterschriften zu schwärzen sind, kann nicht einmal der Abschluss von Verträgen nachvollzogen werden. Zum Ausgleich dieses Informationsdefizits könnte in Erwägung gezogen werden, eine Garantie in den Unternehmenskaufvertrag aufzunehmen, dass die Schwärzungen nur soweit zur datenschutzrechtlichen Anonymisierung notwendig vorgenommen wurden und nicht zu einer Entstellung des wesentlichen Inhalts der im Datenraum hinterlegten Unterlagen geführt haben.

Datenaustausch im Konzern

Bei Veräußerung einer ganzen Gruppe ist zudem zu beachten, dass im Rahmen der DSGVO grundsätzlich kein Konzernprivileg existiert, d. h. dass jede Gesellschaft der Gruppe datenschutzrechtlich gesondert zu betrachten ist und dass ein Austausch von personenbezogenen Daten zwischen den Gruppen-Gesellschaften eines gesetzlich normierten Erlaubnisgrundes bedarf. Die DSGVO stellt zwar klar, dass ein Datenaustausch innerhalb einer Unternehmensgruppe auf der Grundlage eines berechtigten Interesses erfolgen kann, sofern die Übermittlung internen Verwaltungszwecken dient. Da die Durchführung einer Due Diligence jedoch nicht hierunter fällt, ist es grundsätzlich unzulässig, wenn die Muttergesellschaft die Due Diligence-Unterlagen aller ihrer Tochtergesellschaften zentral sammelt, anonymisiert und in den Datenraum einstellt. Abhilfe könnte hier der Abschluss eines Auftragsverarbeitungsvertrages zwischen der Muttergesellschaft und der jeweiligen Tochtergesellschaft schaffen.

Fazit

Zusammenfassend lässt sich festhalten, dass eine Target-Gesellschaft bei Offenlegung von Unterlagen in der Due Diligence gut beraten ist, penibel auf die Einhaltung des Datenschutzrechts zu achten. Dies gilt nicht nur wegen der drohenden Geldbußen von bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes, sondern auch, weil der Umgang des Targets mit dem Datenschutz dem Kauf-interessenten frühzeitig einen ersten Eindruck der im Unternehmen gelebten Datenschutz-Compliance vermittelt.