Teil 2a: Die datenschutzrechtliche Due Diligence
Eine saubere datenschutzrechtliche Struktur verkörpert für Käufer von Unternehmen inzwischen einen relevanten Wert mit Blick auf die Bewertung des zu veräußernden Unternehmens im Vorfeld einer M&A-Transaktion. Spätestens seit Einführung der DSGVO kommt kein Unternehmen mehr am Thema Datenschutz und den sich hieraus ergebenden Vorgaben vorbei. Defizite in diesem Bereich münden schnell in einem rechtlichen Risiko für den Käufer, der um dem Damoklesschwert der behördlichen Bußgelder (bis zu 4 % des Vorjahresumsatzes!) aus dem Weg zu gehen, unter Umständen nicht unerhebliche Ressourcen einsetzen muss, um die Schwachstellen in der datenschutzrechtlichen Organisation der Zielgesellschaft zu beheben. Daher ist es für einen Unternehmenskäufer von essenzieller Bedeutung bereits im Rahmen der Due Diligence die Risiken zu identifizieren und ggf. zu reduzieren. Ignoriert er datenschutzrechtliche Defizite, besteht die Gefahr, dass er nach der Transaktion hierfür zur Verantwortung gezogen wird.
Die nachfolgenden Ausführungen sollen einen ersten Überblick zu der Thematik geben, um für die Bedeutung einer datenschutzrechtlichen Due Diligence zu sensibilisieren. Insoweit der Hinweis, dass es im Beitrag nicht um personenbezogene Daten, die im Rahmen der Unternehmenstransaktion selbst verarbeitet werden, z.B. die Erhebung und Verarbeitung der personenbezogenen Daten für den Käufer und die Aufbereitung der Dokumente im Datenraum samt der notwendigen Verträge mit dem Datenraumbetreiber geht. Der Fokus liegt hier auf der Due Diligence der datenschutzrechtlichen Risiken in Bezug auf die Zielgesellschaft und der Frage, mit welcher strukturellen Vorgehensweise der Käufer diese Risiken erkennen und damit reduzieren kann.
Die richtigen Fragen stellen
Im Ergebnis geht es darum, im Rahmen der Due Diligence die richtigen Fragen zu stellen, um so in verschiedenen datenschutzrechtlich bedeutsamen Bereichen abzuklopfen, wie der Status Quo und das Datenschutzniveau zu bewerten sind. Hierfür sollte zunächst die bestehende Dokumentation in Augenschein genommen werden. Auf folgende Punkte sollte geachtet werden:
- Datenschutz- und Löschkonzept – Insbesondere die Löschung von Daten (z.B. kein CRM mit „Uraltdaten") muss sauber umgesetzt werden; das Datenschutzkonzept ist der Ausgangspunkt und gewissermaßen Herzstück für den Umgang und die Organisation des Themas Datenschutz im Unternehmen. Natürlich müssen die im Konzept festgelegten Prozesse auch tatsächlich so umgesetzt werden, was dann wiederum Teil der Prüfung ist.
- Verarbeitungsverzeichnis (Art. 20 DSGVO) – eine häufige Fehlerquelle, da ein Verzeichnis nicht existiert oder unvollständig ist, das Ganze mit der Folge, dass sich das Unternehmen gar nicht über alle datenschutzrechtlich relevanten Verarbeitungen gewusst ist.
- Data-Breach-Konzept – hier geht es um den Umgang mit Datenschutzvorfällen und um die Dokumentation von etwaigen Datenschutzvorfällen aus der Vergangenheit; letztlich ist im Rahmen der Prüfung auch sicherzustellen, dass das Unternehmen über entsprechende Prozesse und TOM verfügt, damit Datenverluste festgestellt werden können und um dem Unternehmen zu ermöglichen, angemessen zu reagieren.
- Unterlagen zu IT-und Cybersicherheit – z.B. Prüfung, ob ein Datensicherheitskonzept (technisch-organisatorische Maßnahmen) vorhanden ist, ggf. inklusiver anerkannter ISO-Zertifizierungen.
- Auftragsverarbeitungsverträge (Art. 28 DSGVO) – Fast jedes Unternehmen bindet IT-Dienstleister an, die dann personenbezogene Daten im Auftrag der Zielgesellschaft verarbeiten. Hier ist es wichtig zu prüfen, ob entsprechende Vereinbarungen bestehen, mit denen die Dienstleister die Einhaltung gewisser Mindeststandards garantieren und so den Auftraggeber absichern.
- Datenschutzrechtlich relevante Dokumente im Zusammenhang mit dem Bereich HR – ebenfalls ein sehr sensibler Bereich, der sich vom Umgang mit Bewerbern, über die Praxis zum On-Boarding bei neuen Mitarbeitern bis hin zu den vertraglichen Regelungen mit diesen bezieht. Beim Mitarbeiterdatenschutz ist stets darauf zu achten, dass sich die aus Art. 13 DSGVO ergebenden Hinweispflichten erfüllt werden und hier alle Prozess sauber sind (Datenschutzhinweise zur Verarbeitung der Daten der Mitarbeiter existent? Konzept zum Umgang mit besonderen personenbezogenen Daten nach Art. 9 DSGVO? Verschwiegenheitserklärungen der Mitarbeiter vorhanden? Bild-Einwilligung vorhanden, z.B. für Veröffentlichung von Fotos auf Website?)
- Prüfung Website – hier insbesondere Prüfung, ob die Datenschutzerklärung rechtskonform erteilt wurde und in tatsächlicher Hinsicht alle Verarbeitungen im Zusammenhang mit dem Besuch der Seite erfasst; Prüfung wegen Cookie-Banner / Cookie-Policy
Bei den obigen Punkten handelt es sich um zentrale Bereiche im Zusammenhang mit dem Datenschutz und zugleich um solche, in denen häufig Versäumnisse und Defizite bestehen. Je nachdem in welchem Geschäftsfeld ein Unternehmen agiert, sind auch höhere Anforderungen an die Datenschutz Compliance zu stellen. Eingangs ist stets immer auch zu fragen, wie Verantwortlichkeiten und Zuständigkeit zum Thema Datenschutz im Unternehmen geregelt sind. Hierbei ist abzuklopfen, ob ein Datenschutzbeauftragter bestellt wurde, welche Pflichten diesen treffen und ob er auch bei der Aufsichtsbehörde pflichtgemäß gemeldet ist. Die Pflicht zur Bestellung eines Datenschutzbeauftragten dürfte dabei in den allermeisten Fällen zu bejahen sein. Es gibt noch zahlreiche weitere Punkte, wie z.B. den Umgang mit Behörden (Besteht hierfür ein Konzept?) oder das Thema Durchführung von Mitarbeiterschulungen in der Vergangenheit sowie den Umgang mit Betroffenenanfragen.
Fazit
Datenschutz und Due Diligence gehören zusammen. Eine Datenschutzprüfung der Zielgesellschaft ist für einen Käufer unerlässlich, um nicht unkalkulierbare Risiken einzugehen, die sich zumeist erst nach Abschluss der Transaktion zu seinen Ungunsten verwirklichen, z.B. wenn Produkte und Lösungen der Zielgesellschaft integriert werden, die unter der Geltung der DSGVO nicht oder nur nach entsprechender Änderung zu vermarkten sind.
Sie haben Fragen zu den typischen Herausforderungen? Kontaktieren Sie uns gern.
Ausblick
Diese Beitragsreihe gibt kleinen und mittleren Unternehmen einen ersten Leitfaden, wie ein Transaktionsprozess grundsätzlich gestaltet und erfolgreich gemeistert werden kann. Hierzu werden in den Folgebeiträgen die Schwerpunktthemen im Rahmen einer M&A Transaktion kompakt und praxisorientiert vorgestellt. Mit dem nächsten Beitrag bleiben wir bei dem Schwerpunktthema „Due Diligence" und meine Kollegin Micaela Schork wird einen Überblick über die IP/IT-rechtliche Due Diligence geben.
Der Autor sowie Ihre gewohnten Ansprechpartner stehen Ihnen für Fragen gern zur Verfügung!
Sebastian Keilholz, LL.M.
keilholz@tigges.legal
+49 211 8687 153
Sie suchen kompetente Beratung oder haben Fragen zu unserer Kanzlei?
Rufen Sie uns gerne unter der Nummer 0211 8687-0 an.
Sie suchen kompetente Beratung oder haben Fragen zu unserer Kanzlei?
Kontaktieren Sie uns gerne.
Kontaktformular