Bei Unternehmenskäufen und anderen M&A-Transaktionen haben die Beteiligten im Hinblick auf datenschutzrechtliche Vorgaben der 2018 in Kraft getretenen DSGVO einiges zu beachten: Im Folgenden werden die Problemstellungen im Rahmen einer Due Diligence Prüfung aufgezeigt.
Offenlegung von Daten bei einer „Due Diligence“
Üblicherweise gewährt der Verkäufer des Unternehmens („target“) dem potentiellen Käufer im Rahmen einer Due Diligence Prüfung Einsicht in die „inneren Werte“ des zu verkaufenden Unternehmens, damit dem Käufer - vor Kaufentscheidung - eine strukturierte Risikoeinschätzung ermöglicht wird. Zu den offengelegten Informationen gehören meist bestehende Verträge, andere relevante Dokumente, damit zugleich aber auch personenbezogene Daten von Mitarbeitern, Lieferanten und Kunden des targets, an denen der potentielle Käufer besonders interessiert ist. Sowohl die Quantität als auch die Qualität der Datensätze haben keinen unerheblichen Einfluss auf den letztendlich zu zahlenden Kaufpreis für das target. Das Interesse des Käufers, möglichst viele Daten – am besten ungefiltert und ungeschwärzt – zu erhalten, steht allerdings im Spannungsverhältnis mit dem Datenschutz, das es näher zu beleuchten gilt.
Freibrief für „anonyme“ Daten?
Zunächst sind die Bestimmungen der DSGVO dann nicht anwendbar, wenn der Verkäufer nur vollkommen anonymisierte Daten, aggregierte Informationen sowie statistische Auswertungen bereitstellt, da es sich dabei um keine „personenbezogenen“ Daten handelt. Wann aber gelten Daten als „anonym“? Daten sind nur dann wirklich anonym, wenn diese selbst nach deren Auswertung keiner natürlichen Person mehr zugeordnet werden können, und zwar von niemandem, also in der anonymisierten Form auch nicht mehr vom Verkäufer. Das trifft jedenfalls zu auf Statistiken z.B. zum durchschnittlichen Alter oder Jahresgehalt der Mitarbeiter sowie zum durchschnittlichen Kundenumsatz, solange keine Rückschlüsse auf einzelne Personen möglich sind. Besondere Vorsicht ist daher in kleineren Unternehmen geboten, wo leichter eine Zuordnung von statistischen Daten zu einer bestimmten Person erfolgen könnte.
Achtung bei „sensiblen Daten“
Grundsätzlich ist jede Verarbeitung (darunter fällt u.a. das Erheben, das Erfassen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, das Löschen) von personenbezogenen Daten nur dann zulässig, wenn dies auf einer datenschutzrechtlichen Rechtsgrundlage erfolgt, wie etwa einer „Einwilligung“ der betroffenen Person oder wenn die Verarbeitung notwendig ist zur „Vertragserfüllung“ oder bei Vorliegen eines „berechtigten Interesses“(Art 6 Abs 1 lit a-f DSGVO). Zu beachten ist, dass bei der „Verarbeitung“ sog. „sensibler Daten“ (z.B. Daten über Gesundheit, politische Einstellung, Religionszugehörigkeit, sexuelle Orientierung, biometrische Daten oder Gewerkschaftszugehörigkeit eines Mitarbeiters) strengere Voraussetzungen erfüllt werden müssen (Art 9 DSGVO). Nicht selten verfügt ein Unternehmen über sensible Daten von Mitarbeitern (wie Gesundheitsdaten, Krankenstandstage, Gewerkschaftszugehörigkeit etc.), die – sofern sie nicht nur in anonymen Statistiken implementiert wurden – jedenfalls nicht ohne gesonderter und ausdrücklicher (freiwilliger) Einwilligung des betroffenen Mitarbeiters, weiterverarbeitet und an Dritte weitergegeben werden dürfen.
Da der Verkäufer in der Regel ein großes Interesse an der Geheimhaltung der geplanten Transaktion hat (Einfluss auf Börsenkurse, Reputationsschäden bei Scheitern des Deals, etc.), ist die Einholung der Einwilligung von betroffenen Personen (Art 6 Abs 1 lit a DSGVO), aber auch hinsichtlich nicht sensibler Daten als Rechtfertigung in der Praxis, unerwünscht.
Besteht ein „berechtigtes Interesses“ an der Offenlegung?
Als Rechtfertigungsgrund kann argumentiert werden, dass der Verkäufer ein sog. „berechtigtes Interesse“ an der Weitergabe der Daten im Rahmen der Due Diligence Prüfung hat (Art 6 Abs 1 lit f DSGVO). Allerdings reicht ein allenfalls argumentierbares „berechtigtes Interesse“ des Verkäufers alleine nicht aus, um datenschutzkonform zu handeln. Dafür muss nämlich die Offenlegung der Daten an den Käufer (=„berechtigtes Interesse“) „erforderlich“ sein, d.h. es darf nicht auf schonendere Weise erreicht werden können. Ein solches „schonenderes“ Mittel ist z.B. die Weitergabe von „geschwärzten“ Daten an Dritte. Zu guter Letzt dürfen die „Interessen oder Grundrechte der betroffenen Person“ im Rahmen einer Interessensabwägung gegenüber dem Interesse des Verkäufers nicht„überwiegen“. Je nach Art der verarbeiteten personenbezogenen Daten und je nach Fortschritt der Transaktion kann die Interessensabwägung zu Gunsten des Verkäufers oder der betroffenen Person ausfallen. Wie so oft im Datenschutzrecht gibt es auch hier keine generelle Regel, wann die Datenverarbeitung aufgrund eines berechtigten Interesses „rechtmäßig“ im Sinne der DSGVO ist, sondern es entscheidet – wie so oft – die Sachlage und Argumentation im Einzelfall. Jedenfalls empfiehlt sich, die einzelnen Verarbeitungsschritte genau auf Datenschutzkonformität zu prüfen und zu dokumentieren, weil der jeweilige „Verantwortliche“ der Daten die Einhaltung der rechtlichen Vorschriften nachweisen können muss („Rechenschaftspflicht“ iSd Art 5 Abs 2 DSGVO).
Grundsatz der „Zweckbindung“
Des Weiteren haben Verantwortliche der Daten jederzeit die allgemeinen Grundsätze der Datenverarbeitung, wie z.B. den Grundsatz der „Zweckbindung“ einzuhalten (Art 5 Abs 1 DSGVO). Die DSGVO erlaubt die Verarbeitung von personenbezogenen Daten nämlich grundsätzlich nur zu einem bereits im Zeitpunkt der Datenerhebung eindeutig festgelegten Zweck (z.B. „Vertragserfüllung“, „Marketingzwecke“). Selten wird seitens des Verantwortlichen schon bei Datenerhebung ein allfälliger Unternehmensverkauf im Rahmen einer zukünftigen M&A Transaktion mitbedacht, sodass aufgrund der vorliegenden sog. „Zweckänderung“ aus Sicht des Verkäufers unter Umständen noch ein strenger „Kompatibilitätstest“ zu bestehen ist, bei dem geprüft wird, ob der „neue Zweck“ der Datenverarbeitung mit dem alten Zweck „vereinbar“ ist. Auch hier gilt: Für den (positiven) Ausgang dieses Kompatibilitätstests gibt es kein Allheilmittel. Jedenfalls muss der Verantwortliche, der sich auf eine zulässige (d.h. „kompatible“) Zweckänderung der Datenverarbeitung stützt, das Vorliegen dieser Voraussetzungen nachweisen können.
Grundsatz der „Datenminimierung“
Ferner ist auch der Grundsatz der „Datenminimierung“ einzuhalten, der die Reduktion des Umfangs und Art der verarbeiteten Daten auf das notwendige Minimum verlangt (Art 5 Abs 1 lit c DSGVO). Je nach Tätigkeitsbereich des Unternehmens wird der Umfang der notwendig offenzulegenden Daten variieren. Eine uneingeschränkte Offenlegung sämtlicher Daten wird daher regelmäßig nicht erlaubt sein. In der Praxis kann argumentiert werden, dass daher lediglich die Daten der wichtigsten Kunden und Mitarbeiter („key employees“), Geschäftspartner sowie Lieferanten (teilweise) offengelegt werden dürfen. Sonstige Informationen sollten entweder nicht oder geschwärzt sowie allenfalls sukzessive, d.h. nicht alle Daten auf einmal, sondern - je nach Fortschritt der Transaktion - stückweise, übermittelt werden.
Informationspflichten
Eine weitere Herausforderung stellen die „Informationspflichten“ dar, die den jeweiligen Verantwortlichen der Datenverarbeitung bei jeder „Zweckänderung“ oder Änderung der angezogenen Rechtsgrundlage treffen (Art 13 DSGVO). Die gesonderte Benachrichtigung an jeden einzelnen Betroffenen wird den Verkäufer aufgrund des Interesses an der Geheimhaltung der Transaktion besonders schmerzen, sodass der Verkäufer überlegen wird, dieser Informationspflicht auf schonende Weise nachzukommen.
Fazit
Zusammengefasst birgt die Offenlegung von Daten im Rahmen einer Due Diligence Prüfung einige Herausforderungen. Eine datenschutzkonforme Vorgehensweise kann nur dann sichergestellt werden, wenn der Verantwortliche stets die strengen Grundsätze der DSGVO einhält sowie eine sorgfältige Dokumentation der einzelnen Datenverarbeitungsschritte sicherstellt. Strafen in Form von Geldbußen von bis zu 20 Mio. Euro bzw. bis zu 4% des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sind Grund genug, die Fragen des Datenschutzes vor Beginn einer M&A Transaktion sorgfältig zu prüfen.