Integraler Bestandteil jeder Unternehmenstransaktion (M&A Transaktionen) ist die sorgfältige Prüfung des zu erwerbenden Unternehmens im Hinblick auf seine wirtschaftliche, rechtliche, steuerliche und finanzielle Situation. Im Allgemeinen haben potenzielle Erwerber ein erhebliches Interesse daran, das Zielunternehmen mit all seinen Informationen möglichst umfassend zu analysieren. Beziehen sich die übermittelten Informationen auf Lieferanten, Kunden oder die Beschäftigten der Zielgesellschaft werden regelmäßig personenbezogene Daten verarbeitet, mit der Folge, dass die Regelungen des Datenschutzrechts zu beachten sind.
Die am 25.05.2018 wirksam gewordene Datenschutz-Grundverordnung (DS-GVO) stellt bewährte M&A-Prozesse auf den Prüfstand und die Beteiligten vor die Frage, wie die datenschutzrechtlichen Vorgaben im Zuge eines M&A-Deals umzusetzen sind. Der nachfolgende Beitrag gibt einen Überblick über mögliche datenschutz-rechtliche Probleme im Rahmen von Datenübermittlungen während der Due-Diligence-Phase.
Deal-Strukturen
Eine M&A-Transaktion kann auf verschiedenen Wegen vollzogen werden – mit jeweils unterschiedlichen datenschutzrechtlichen Anforderungen.
Eine Unternehmensveräußerung in Form eines Share Deals ist aus datenschutzrechtlicher Sicht relativ unproblematisch. Denn im Rahmen eines Anteilserwerbs bleibt der Unternehmensträger bzw. die für die Datenverarbeitung verantwortliche Stelle unverändert fortbestehen. Folglich kommt es bei dem Vollzug eines Anteilserwerbs weder zu einer Übermittlung von Daten an einen „Dritten“ noch zu einer Erhebung von Daten durch einen „anderen“ Verantwortlichen. Mangels Verarbeitungsvorgang i.S.v. Art. 4 Nr. 2 DS-GVO entfaltet der Share Deal nach einhelliger Auffassung (1) keine datenschutzrechtliche Relevanz.
Demgegenüber werden bei einem Asset Deal einzelne Vermögenswerte des zu veräußernden Unternehmens ohne seinen Rechtsträger im Wege der Einzelrechtsnachfolge übertragen. Dadurch kommt es mit der Weitergabe personenbezogener Daten zu einem datenschutz-rechtlich relevanten Übermittlungsvorgang an den Erwerber („Dritter“ i.S.d. Art. 4 Nr. 10 DS-GVO). Auf welche Rechtsgrundlage sich die Übermittlung personenbezogener Daten stützen lässt, und zwar insbesondere von Kunden- und Interessentendaten, ist umstritten. Einige Stimmen in der datenschutzrechtlichen Literatur bezeichnen den Asset Deals als klares „Datenschutzproblem“ (2).
Due Diligence
Um Überraschungen beim Unternehmenskauf zu vermeiden, ist eine sorgfältige Analyse des Unternehmens bzw. der Assets unerlässlich. Unabhängig von der Deal-Struktur geht daher nahezu jeder M&A-Transaktion eine sog. Due Diligence voraus. In diesem Zusammenhang wird häufig übersehen, dass es bereits in der vorgeschalteten Prüfphase zu rechtfertigungsbedürftigen Verarbeitungsvorgängen personenbezogener Daten kommen kann, sofern es sich nicht nur um statistische Informationen oder anonymisierte Daten handelt. In der Vergangenheit erhielten potenzielle Erwerber regelmäßig ohne Weiteres Einblicke in personenbezogene Daten von Beschäftigten, Kunden, Lieferanten der Gesellschaft. Die Weitergabe oder Offenlegung dieser Daten bedarf jedoch stets einer Rechtsgrundlage. Grundsätzlich kommen folgende Rechtsgrundlagen in Frage:
Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO:
Die „alten“ Einwilligungen, die ursprünglich gegenüber der zu verkaufenden Gesellschaft abgegeben wurden, besitzen nur Gültigkeit für die explizit darin genannten Verwendungszwecke (3). In den wenigsten Fällen wird die Zweckbeschreibung die Weitergabe des Datensatzes im Rahmen eines Unternehmensverkaufs umfassen (4). Das Einholen „neuer“ Einwilligungen für den konkreten Zweck des M&A-Deals ist zwar grundsätzlich denkbar, aufgrund des zeitlichen Aufwands und der Aktionsträgheit der Betroffenen jedoch kaum praktikabel. Einwilligung scheidet daher als Rechtsgrundlage aus.
Interessenabwägung Art. 6 Abs. 1 lit. f DS-GVO:
Ggf. lässt sich die Übermittlung von Kundendaten durch das überwiegende „berechtigte Interesse“ des Unternehmensverkäufers und des potenziellen Erwerbers stützen (Art. 6 Abs.1 lit. f DS-GVO). Dies erfordert eine umfassende Abwägung mit den Interessen der Betroffenen. Die (dokumentierte) Abwägung der widerstreitenden Interessen ist im Einzelfall für jede Betroffenengruppe separat und in Abhängigkeit der Transaktionsphase (Due Diligence, Signing, Closing, Integrationsphase) vorzunehmen. Das „berechtigte Interesse“ iSv Art. 6 Abs. 1 lit. f DS-GVO ist zwar eine äußerst vielseitige und flexibel anwendbare Rechtsgrundlage, jedoch führen die aktuell fehlenden Kriterien mangels entsprechender Rechtsprechung zu mangelnder Vorhersehbarkeit und Rechtsunsicherheit.
Vor dem Hintergrund, dass die Datenübertragung zum Zwecke der Unternehmenstransaktion im Regelfall über den ursprünglich bei der Erhebung genannten Verwendungszweck hinausgehen dürfte, kommt es zu einer Zweckänderung i.S.v. Art. 6 Abs. 4 DS-GVO mit der entsprechenden Notwendigkeit einer Prüfung, ob eine solche Zweckänderung zulässig ist.
Stützen der Unternehmensverkäufer und Unternehmenskäufer die Verarbeitung nach einer entsprechenden Abwägung (und deren Dokumentation!) insgesamt auf ein überwiegendes berechtigtes Interesse, ergeben sich aus der Weiterverarbeitung zusätzliche Informationspflichten. Gemäß Art. 13 DS-GVO sind die Betroffenen über die Übermittlung und den (geänderten) Zweck der Verarbeitung zu informieren. Durch die gesetzlich vorgesehene „Zweckänderungsmitteilung“ ist das Geheimhaltungsinteresse der M&A-Transaktion allerdings erheblich gefährdet.
Auftragsverarbeitung als Lösungsansatz?
Alternativ zur Interessenabwägung bietet sich als gestalterischer Lösungsansatz für die Datenübertragung die Nutzung einer Auftragsverarbeitungssituation an. Einerseits kann ein Auftragsverarbeitungsvertrag gem. Art. 28 DS-GVO kraft Privilegierungswirkung über die Frage der passenden Rechtsgrundlage hinweghelfen. Andererseits löst eine Offenlegung von personenbezogenen Daten gegenüber einem Auftragsverarbeiter grundsätzlich keine gesonderte Informationspflicht beim Betroffenen aus. Es entsteht auch kein mit Art. 13 DS-GVO vergleichbarer Konflikt im Hinblick auf die Geheimhaltung der M&A-Transaktion.
In diesem Zusammenhang ist zu beachten, dass der potenzielle Erwerber keine Herrschaft über die Daten erlangen darf. D.h. die Due Dilligence müsste als Auftragsverarbeitung vom zu verkaufenden Unternehmen bei dem vom Käufer benannten Beratungsunternehmen beauftragt werden. Der Ergebnisbericht der Due Diligence sollte dementsprechend keine personenbezogenen Daten aufweisen, so dass dieser an den Käufer gegeben werden kann. Der Lösungsansatz bietet sich insofern vor allem für die Due Diligence-Phase an (5).
Fazit
Mangels Rechtsprechung und Behördenpraxis besteht bei der Offenlegung und Übertragung von personenbezogenen Daten im Rahmen von M&A -Transaktionen eine hohe Rechtsunsicherheit. Weder für die Due Diligence noch für die Vollzugsphase lassen sich pauschale Aussagen über die Zulässigkeit von Datenübermittlungen treffen. Pauschal lässt sich nur sagen, dass die Vorgaben des Datenschutzrechts nicht außer Acht gelassen und möglichst früh geprüft werden sollten.
Sollten Sie bei der datenschutzrechtlichen Bewertung Ihrer M&A-Prozesse Unterstützung benötigen, stehen wir Ihnen als zertifizierte Datenschutzbeauftragte gern zur Verfügung. Nehmen Sie Kontakt mit uns auf.
(1) Selk, RDV (2009), 253, 255; Wehmeyer, RDV (2015), 248; 249; Conrad, ZD (2016), 1, 2; Ernst, DuD (2016), 792, 793; Nebel, CR (2016), 417, 418; Härting, CR (2017) 724, 725; Berberich/ Kanschik, NZI (2017) 1, 7; Schulz in: Gola DS-GVO Art. 6 Rn. 264; Uwer/ Jungkind in: Meyer-Sparrenberg/ Jäckle Beck´sches M&A HdB § 77 Rn. 27.
(2) Thode, PinG (2016), 26, 26; Ernst, DuD (2016), 792, 792.
(3) Vgl. Berberich/ Kanschik, NZI (2017), 1, 8.
(4) Uwer/ Jungkind in: Meyer-Sparrenberg/ Jäckle, Beck´sches M&A HdB, § 77 Rn. 90.
(5) Vgl. auch Eckhardt/ Menz, ZinsO (2016), 1917, 1919.
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.