Die Datenschutz-Grundverordnung (“DSGVO”) ist am 25. Mai 2018 in Kraft getreten und Eines ist klar: Sie hat zahlreiche Änderungen auf verschiedenen Rechtsgebieten zuwege gebracht. Die Geschäftspraxis ist da keine Ausnahme. Worauf müssen Sie im Rahmen einer Übernahme achten? Im Folgenden finden Sie eine Erläuterung.
Die DSGVO zusammengefasst
Zweck der DSGVO ist es, einen robusteren Rahmen für den Datenschutz natürlicher Personen zu bieten, u.a. indem Verstöße streng geahndet werden. Wenn Sie personenbezogene Daten verarbeiten, findet die Regelung der DSGVO direkt auf Sie Anwendung. Und dies ist schon rasch der Fall. Beinahe alles, was eine natürliche Person identifizieren kann oder identifizierbar macht, wird als “personenbezogen” eingestuft. Die in der DSGVO zugrunde gelegte Definition des Begriffs “Verarbeitung” ist so weit gehalten, dass darunter jede Handlung mit personenbezogenen Daten zu verstehen ist. Hierbei gilt übrigens, dass Daten von juristischen Personen keine personenbezogenen Daten sind. Daten über selbständige Unternehmer, wie Einmannbetriebe oder Personengesellschaften (wie z.B. Offene Handelsgesellschaften, Gesellschaften bürgerlichen Rechts etc.), werden in einigen Fällen jedoch wohl als personenbezogene Daten betrachtet. Derjenige, der personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, ist der Verantwortliche im Sinne der Verordnung.
Für die rechtmäßige Verarbeitung personenbezogener Daten benötigt der Verantwortliche eine gesetzliche Grundlage. Die DSGVO enthält eine erschöpfende Aufzählung von sechs Grundlagen für die Datenverarbeitung, u.a. die Zustimmung desjenigen, dessen Daten verarbeitet werden (“betroffene Person”), oder die berechtigten Interessen eines Unternehmens an der Verarbeitung von genannten Daten.
Es ist ferner von Bedeutung, die Grundsätze der Verarbeitung zu erfüllen. Infolge der DSGVO muss die Verarbeitung personenbezogener Daten rechtmäßig, nach Treu und Glauben sowie transparent erfolgen. Es muss für die betroffene Person klar sein, zu welchen Zwecken seine Daten verarbeitet werden. Diese Verarbeitung hat anschließend nach Treu und Glauben sowie verantwortungsvoll zu erfolgen. Die Verarbeitungszwecke müssen eindeutig und festgelegt sein. Außerdem muss dafür gesorgt werden, dass nicht mehr Daten verarbeitet werden als notwendig, um den betreffenden Zweck zu realisieren, und dürfen diese Daten nicht länger gespeichert werden als notwendig.
Diese Grundsätze hat jeder Verantwortliche zu berücksichtigen und zu erfüllen. Ein Verstoß wird mit hohen Strafen geahndet, die von der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens) auferlegt werden können. Eine solche Strafe kann bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen.
Kurz zusammengefasst: Um hohe Strafen zu vermeiden, hat der Verantwortliche bei der Verarbeitung von personenbezogenen Daten die Verpflichtungen, die sich aus der DSGVO ergeben, streng zu befolgen. Wie sich im Folgenden zeigen wird, gilt dies auch im Rahmen einer Verschmelzung oder Übernahme.
Non Disclosure Agreement (“NDA”)
Vor einer Übernahme ist es zu empfehlen, in einer Geheimhaltungserklärung (auch NDA genannt), außer Vereinbarungen über die Geheimhaltung, auch Vereinbarungen über die Einhaltung der Datenschutzvorschriften sowohl während der Verhandlungen als auch nach der Übernahme zu treffen. Hierbei ist beispielsweise an Vereinbarungen über die Speicherung, Rückgabe und Vernichtung von personenbezogenen Daten in dem Fall, dass das Geschäft nicht vonstattengeht, oder an ein Verbot einer Bereitstellung von personenbezogenen Daten an dritte Parteien sowie daran zu denken, dass die erhobenen personenbezogenen Daten ausschließlich zur Auswertung und Beurteilung des Targets verwendet werden.
Aber auch wenn diese Vereinbarungen nicht festgelegt werden, müssen die Parteien der DSGVO entsprechen. Sowohl der Käufer als auch der Verkäufer sind als Verantwortliche zu betrachten und haben auch selbständig die Verpflichtung zur Einhaltung der DSGVO.
Due Diligence Untersuchung (“DDU”)
Um beurteilen zu können, ob die Übernahme eines bestimmten Unternehmens eine gute Ergänzung für das übernehmende Unternehmen ist, muss eine DDU durchgeführt werden. Während einer solchen Untersuchung tauscht die verkaufende Partei eine große Menge an Informationen mit der kaufenden Partei aus, um diese in die Lage zu versetzen, eine informierte Entscheidung bezüglich des Kaufs zu treffen. Hierfür wird regelmäßig ein sog. digital data room verwendet, in den alle Informationen hochgeladen werden. Die Parteien werden im Rahmen der Mitteilungspflicht schnell geneigt sein, eine große Menge an Informationen über diesen digital data room auszutauschen, wie u.a. Arbeitsverträge, Kundendateien etc. Das Austauschen dieser Informationen kann jedoch schon rasch zu einem Verstoß gegen die DSGVO führen und das Risiko einer Strafe erhöhen. Es ist nämlich fraglich, ob der Verkäufer über eine Grundlage für die Bereitstellung der personenbezogenen Daten im Rahmen einer DDU verfügt.
Vor dem Hintergrund der DSGVO ist es daher wesentlich, die Menge der Daten auf das unbedingt Notwendige zu beschränken. Die Parteien müssen sich dessen bewusst sein, dass nicht einfach alles ausgetauscht werden darf. Es ist wesentlich, so wenig wie möglich – vorzugsweise keine – personenbezogenen Daten über den data room zur Verfügung zu stellen. Namen, Geburtsdaten, Adressen und andere personenbezogene Daten von Arbeitnehmern müssen aus den Arbeitsverträgen gelöscht werden. Wenn möglich sollte man statt des echten Arbeitsvertrags einfach einen Musterarbeitsvertrag hochladen. Eine andere Möglichkeit ist die Bereitstellung von ausschließlich abstrakten Informationen über die Mitarbeiter. Hierbei ist beispielsweise an die Erstellung von Übersichten zu denken, aus denen die Anzahl der Arbeitnehmer, die Durchschnittsentgelte je Arbeitsstelle, die krankheitsbedingten Ausfälle in Prozentsätzen etc. hervorgehen. Auf diese Weise erhält die kaufende Partei die benötigten Einblicke in die Struktur des Targets, ohne dass hierfür unnötigerweise personenbezogene Daten ausgetauscht werden. Es besteht natürlich ein Spannungsfeld zwischen der Verpflichtung, möglichst transparent zu sein, und der DSGVO.
Während einer DDU muss jetzt als Folge der DSGVO auch die Frage berücksichtigt werden, inwiefern das Target datenschutz-compliant ist. Um späteren (finanziellen) Enttäuschungen vorzubeugen, kann es vernünftig sein, eine “Datenschutz”-Due- Diligence durchzuführen. Dabei wird geprüft, ob das Target alle relevanten datenschutzrechtlichen Vorschriften erfüllt, u.a. natürlich die DSGVO. In diesem Zusammenhang sind Fragen relevant wie: Wie erhebt, nutzt, vernichtet, löscht oder speichert das Target personenbezogene Daten? Wie geht das Target mit Datenlecks um? Wird ein Verarbeitungs- und Datenleckregister geführt? Hat es Datenlecks gegeben? Hat das Target einen Datenschutzbeauftragten eingestellt, wenn dies notwendig ist?
Für diesen Compliance-Check kann das Verarbeitungsregister des Targets ein guter Ausgangspunkt sein. Darin wird schließlich registriert, welche Art personenbezogene Daten das Target verarbeitet, zu welchen Zwecken, in welcher Weise, wie lange die Daten aufbewahrt werden, wie sie gesichert werden etc.
Die Sicherung der personenbezogenen Daten ist übrigens auch ein wichtiger Aspekt, der während einer DDU besonders zu berücksichtigen ist. Es kann nämlich sehr kostspielig sein, ein gutes IT-Umfeld einzurichten und damit für eine einwandfreie digitale Sicherung der verarbeiteten personenbezogenen Daten zu sorgen. Sollte sich während einer DDU herausstellen, dass das Target diese Anforderung noch nicht erfüllt, kann dies bei der Berechnung des Kaufpreises berücksichtigt werden.
Aus der Sicht des Verkäufers kann es vernünftig sein, bereits vor dem Verkaufsprozess DSGVO-compliant zu sein, indem ein solcher Compliance-Check durchgeführt wird. Hiermit kann der Verkäufer dem Käufer zeigen, dass sein Unternehmen datenschutz-compliant ist, was sich wiederum positiv auf den Kaufpreis auswirken wird. Lassen Sie sich jedoch nicht durch allerlei angebotene DSGVO-Gütezeichen verleiten. Davor warnt die niederländische Datenschutzbehörde auch, denn zur Zeit gibt es noch keine Norm, auf deren Grundlage Gütezeichen abgegeben werden können.
Share Purchase Agreement (“SPA”)
Je nachdem was sich aus der DDU in Bezug auf das Ausmaß ergibt, in dem das Target alle Verpflichtungen aus der DSGVO erfüllt, kann es vernünftig sein, dazu Regelungen im Kaufvertrag zu treffen.
Sollte sich herausstellen, dass das Target noch nicht ganz “DSGVO-proof” ist, kann das finanzielle Risiko des Käufers mittels spezifischer Garantien oder Haftungsfreistellungen beschränkt werden.
Wünschen Sie weitere Informationen?
Sollten Sie anlässlich dieses Artikels Fragen oder Bedarf an einem DSGVO-Compliance-Check haben, setzen Sie sich dann mit unseren Teams Fusionen & Übernahmen oder Datenschutz in Verbindung. Sie denken gern mit Ihnen mit.
