DSGVO und Transaktionen: Daten­schutz versus Geheim­hal­tung

Datenschutzrechtliche Vorgaben spielten bei M&A-Transaktionen bislang kaum eine Rolle. Das lag nicht selten an einem gering ausgeprägten Problembewusstsein, das seine Ursache nicht zuletzt in nur schwachen Sanktionen hatte.

Doch seit einigen Monaten gilt die neue EU-Datenschutzgrundverordnung (DSGVO) in der EU und in Deutschland ergänzend das neugefasste Bundesdatenschutzgesetz (BDSG). Dieses neue Datenschutzrecht stellt verschärfte Anforderungen sowohl an Zweckänderungen bei der Verarbeitung personenbezogener Daten als auch an bestimmte Informationspflichten. Dies wirkt sich erheblich auf M&A-Prozesse aus.

Grund hierfür ist vor allem, dass die Sanktionen bei Datenschutzverstößen signifikant verschärft wurden. Es drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Unternehmensjahresumsatzes, wobei der höhere Betrag maßgeblich ist. Ferner haben die Aufsichtsbehörden weitreichende Befugnisse, unter anderem Informationsrechte, Zugangsrechte zu Servern und Geschäftsräumen sowie das Recht zur Beschränkung oder zum Verbot rechtswidriger Datenverarbeitungsvorgänge. Daneben gibt es zivilrechtliche Folgen, insbesondere haben die betroffenen Personen Anspruch auf Ersatz materieller und immaterieller Schäden. Besonders krasse Fälle von Datenschutzverstößen sind zudem strafbewehrt.

Datenschutz erhält zentrale Rolle

Vor diesem Hintergrund müssen sowohl Veräußerer als auch Erwerber dem Datenschutz bei M&A-Prozessen eine zentrale Rolle zuweisen. Die Strukturierung von Unternehmenstransaktionen war sicherlich nicht im Fokus des Normgebers der DSGVO. Dennoch müssen ihre Vorschriften, insbesondere die datenschutzrechtlichen Vorgaben bei Änderung des Zwecks der Datenverarbeitung sowie die Informationspflichten, auch hier beachtet werden.

Neu durch die DSGVO eingeführt wurde der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO). Danach dürfen bereits erhobene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Ist eine Verarbeitung mit diesen Zwecken nicht vereinbar, muss sie unterbleiben.

Bei Mitarbeiterdaten ist der ursprüngliche Verarbeitungszweck auf das Beschäftigungsverhältnis gerichtet. Eine Datenverarbeitung zum Zweck einer Unternehmenstransaktion ist gemäß Art. 6 Abs. 4 DSGVO nur zulässig, soweit die betroffene Person entweder eingewilligt hat, die Datenverarbeitung durch andere gesetzliche Rechtsgrundlagen zugelassen ist oder wenn der neu verfolgte mit dem ursprünglichen Zweck vereinbar ist.

Problem: Einwilligung kaum praktikabel

Folglich wäre es am sichersten, möglichst frühzeitig die Einwilligung aller von einem M&A-Prozess betroffenen Personen einzuholen. Das ist jedoch in aller Regel nicht praktikabel: Eine Unternehmenstransaktion betrifft eine Vielzahl von Menschen, zudem soll der Deal möglichst lange geheim gehalten werden.

Ein Ausweg wäre, generelle Einwilligungen aller Betroffenen für den Fall einer etwaigen zukünftigen Unternehmenstransaktion einzuholen. Doch das ist zum einen außerordentlich aufwendig. Zum anderen dürfte dieses Vorhaben daran scheitern, dass Einwilligungen auf Freiwilligkeit beruhen müssen und jederzeit widerrufen werden können. Darüber hinaus muss der "Gegenstand der Einwilligung" bereits konkret beschrieben werden. Das lässt sich zumindest hinsichtlich künftiger potentieller Erwerber praktisch nicht umsetzen.

Einige globale IT-Konzerne haben ihre Datenschutzerklärungen zwar bereits ergänzt und eine Beschreibung der Weitergabe von personenbezogenen Daten in Fällen einer Fusion, Sanierung oder Veräußerung von Vermögenswerten eingefügt. Das ist aber nicht mit einer datenschutzrechtlichen Einwilligung gleichzusetzen.

Zweckänderung bei der Due Diligence

Eine gesonderte gesetzliche Rechtsgrundlage für die Offenlegung der Daten in einer Due Diligence existiert nicht. In der Literatur wird eine datenschutzrechtliche Rechtfertigung der Due Diligence im Zusammenhang mit einem Unternehmenskauf auch unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO beurteilt.

Die Zweckänderung der Datenverarbeitung im Rahmen der Due Diligence wird hier im engen Zusammenhang mit der nachfolgenden Unternehmenstransaktion gesehen. Die Due Diligence ist nach dieser Auffassung nur ein Durchgangsstadium zum Unternehmenskauf, der die Fortführung des Betriebs bezweckt und somit die Arbeitsplätze betrifft. Im Übrigen wird auf flankierende Maßnahmen verwiesen, mit denen sich die Risiken für die betroffenen Personen minimieren lassen - beispielsweise eine Verschlüsselung der Daten bei Übermittlung sowie Geheimhaltungs- und Löschungsverpflichtungen.

Im Ergebnis müssen in jedem Schritt des M&A-Prozesses die berechtigten Interessen des Unternehmens und die Grundrechte und Grundfreiheiten der betroffenen Personen umfassend gegeneinander abgewogen werden.

Informationspflicht vs. Geheimhaltungspflicht

Nach Art. 13 Abs. 3 DSGVO müssen Betroffene vor einer zweckändernden Weiterverarbeitung ihrer Daten darüber informiert werden. Dies ist bei einer Due Diligence der Fall. Die in § 33 Abs. 2 S. 1 Nr. 7b BDSG a.F. vorgesehene Ausnahmevorschrift, mit der eine erhebliche Gefährdung der Geschäftszwecke des Verantwortlichen vermieden wurde, wurde bedauerlicherweise nicht in das neue BDSG übernommen. Hierzu hätte jedoch durch die Öffnungsklauseln in Art. 23 Abs. 1 lit. i) und Art. 88 DSGVO die Möglichkeit bestanden.

Diese neue Rechtslage erschwert insbesondere die Durchführung der Due Diligence erheblich. Sie widerspricht dem Vertraulichkeitsinteresse und der zumeist bestehenden Geheimhaltungspflicht der Parteien, die an der Transaktion beteiligt sind. Die Informationspflicht nach der DSGVO kann auch im Widerspruch zu Geheimhaltungsvereinbarungen stehen, die der Veräußerer mit Kunden und Lieferanten geschlossen hat.

Anonymisierung in der Praxis auch keine Lösung

Eine elegante Vermeidung der durch die DSGVO verursachten Schwierigkeiten besteht darin, die Personenbezogenheit der Daten und damit die Anwendbarkeit des Datenschutzrechts durch Anonymisierung zu eliminieren. Allerdings sind die Anforderungen hier extrem hoch.
Nach der wohl herrschenden Ansicht in der Literatur, die auch von den datenschutzrechtlichen Aufsichtsbehörden geteilt wird, setzt eine wirksame Anonymisierung nicht nur voraus, dass die Datenraum-Unterlagen geschwärzt werden. Es wird zudem gefordert, dass die in den Unterlagen enthaltenen personenbezogenen Daten auch bei allen Verantwortlichen anonymisiert werden, die mit diesen Daten Umgang pflegen.

In der Regel ist das aber nicht möglich, denn die Datenraum-Unterlagen, beispielsweise Arbeitsverträge, Kundenverträge oder Lieferantenverträge, müssen auch weiterhin in nicht anonymisierter Form genutzt werden können.

Vertraulichkeit und IT-Sicherheit gewährleisten

Zur Risikoverminderung sollten bereits bei der Strukturierung von M&A-Prozessen Maßnahmen zur Gewährleistung der Vertraulichkeit durch den Erwerbsinteressenten getroffen werden. Bei der Organisation elektronischer Datenräume muss die IT-Sicherheit gewährleistet werden. Dies umfasst einen begrenzten Datenraumzugang, eine verschlüsselte Datenübermittlung und -speicherung, die Pflicht zur Löschung von Daten bei Transaktionsabbruch und gegebenenfalls die Vereinbarung von Vertragsstrafen.

Mit Datenraumanbietern, insbesondere solchen mit Sitz oder Servern außerhalb der EU, muss abgeklärt werden, ob die Einhaltung der DSGVO gewährleistet ist, denn bei Drittstaatenbezug sind weitere Anforderungen der DSGVO zu beachten.

Der Weg und das Ergebnis einer datenschutzrechtlichen Interessenabwägung für die Datenübermittlung sollten für jeden Meilenstein der Transaktion, also Due Diligence, Post Signing, Post Closing, dokumentiert und durch erfahrene Berater begleitet werden. Dabei müssen Anforderungen berücksichtigt werden, die sich aus der gewählten Transaktionsstruktur, also Asset Deal, Share Deal oder Umwandlungsmaßnahme, ergeben.

Die Autoren: Dr. Axel Funk ist Partner im Bereich TMC bei CMS Deutschland am Standort Stuttgart. Dr. Tobias Grau ist Partner im Bereich Corporate bei CMS Deutschland am Standort Stuttgart.