Schon vor dem offiziellen Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 haben die neuen europäischen Regelungen im Datenschutz bei Unternehmen weltweit für erhebliches Aufsehen gesorgt. Laut der DSGVO müssen die Behörden bei Datenschutzverstößen nun zwingend Bußgelder festsetzen. Diese können bis zu 4% des global erzielten Unternehmensumsatzes des jeweils vergangenen Jahres betragen. Den neuen Regelungen muss daher überall dort besondere Beachtung geschenkt werden, wo diese transaktionsrelevant sind.
Berührungspunkte zwischen Transaktionen und der DSGVO
Wo wird Datenschutz in der Transaktion relevant? Bei einer Akquisition stehen regelmäßig Arbeitnehmerdaten sowie Vertriebs- und Kundendaten der Zielgesellschaft im Fokus der Due Diligence des Erwerbers. Dabei stellt die Bereitstellung der entsprechenden Daten (bzw. ihre Abtretung im Falle eines Asset Deals) eine Übertragung von personenbezogenen Daten an den Kaufinteressenten dar, und zwar auch dann, wenn diese Daten lediglich ohne Download-Möglichkeit in einem elektronischen Datenraum zur Verfügung gestellt werden. Die Übertragung muss datenschutzkonform erfolgen. Im Rahmen der Due Diligence ist auch zu klären, ob das Zielunternehmen sich an das neue Datenschutzrecht hält und ob es Auseinandersetzungen mit Behörden, natürlichen Personen oder Wettbewerbern gibt.
Arbeitnehmerdaten
Bei einer Transaktion will sich der Erwerber regelmäßig im Rahmen der Due Diligence ein Bild über den Bestand der Arbeitnehmer der Zielgesellschaft machen. Dabei geht es fast immer um personenbezogene Daten. Dazu gehören beispielsweise Name, E-Mail-Adresse, Familienstand, Ausbildungsstand, Leistungsverhalten, Erscheinungsbild, Gesundheitszustand, Religionszugehörigkeit und sonstige Überzeugungen. Damit entsteht ein Spannungsfeld zwischen den Interessen des Arbeitgebers (am Verkauf der Gesellschaft) und den Interessen des Arbeitnehmers am Schutz seiner Arbeitnehmerdaten.
Die Rechtsgrundlagen zur Beurteilung dieses Spannungsfeldes haben sich nun zwar verschoben. Es bleibt aber wie nach der alten Rechtslage dabei, dass für die Datenweitergabe ein berechtigtes Interesse bestehen muss. Außerdem dürfen nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person gegen die Datenweitergabe sprechen – das galt auch vorher schon, ist nun aber ausdrücklich so in der DSGVO formuliert. Es muss also auch nach neuer Rechtslage eine Einzelfallabwägung zwischen dem Interesse der Zielgesellschaft an der Herausgabe der Arbeitnehmerdaten und dem Geheimhaltungsinteresse der Arbeitnehmer vorgenommen werden.
Im Rahmen dieser Abwägung ist zwischen den verschiedenen Formen einer Transaktion zu unterscheiden. Denn die Interessenlage der Zielgesellschaft bzw. des Erwerbers unterscheidet sich bei einem Share Deal, also dem Erwerb der Anteile an der Zielgesellschaft, von der Interessenlage bei einem Asset Deal, also dem Verkauf und der Übertragung von einzelnen Wirtschaftsgütern eines Unternehmens. Da bei einem Share Deal die Arbeitnehmer im Rahmen eines Anteilskaufs „mitverkauft“ werden, besteht in diesem Fall ein geringeres Interesse an der Individualisierung einzelner personenbezogener Arbeitnehmerdaten. Im Fall eines Share Deals überwiegt daher regelmäßig das Individualinteresse der Arbeitnehmer am Schutz ihrer personenbezogenen Daten. Für den Erwerbsinteressenten können deshalb lediglich anonymisierte oder pseudonymisierte Daten zur Verfügung gestellt werden. Auch eine stichprobenartige Offenlegung kann im Einzelfall zulässig sein. Dass ein solches Schutzniveau für Arbeitnehmerdaten in Europa selbstverständlich ist, war chinesischen Investoren auch bisher schon schwer zu vermitteln.
Da beim Asset Deal gegebenenfalls nur einzelne Mitarbeiter auf den Erwerber übergehen, haben Veräußerer und Erwerber hingegen ein deutlich höheres Interesse an der Weitergabe individueller Arbeitnehmerinformationen als bei einem Share Deal. Das kann die Weitergabe detaillierter Informationen rechtfertigen.
Kundendaten
Neben den Arbeitnehmerdaten sind für den Erwerber regelmäßig auch die Vertriebs- und Kundendaten der Zielgesellschaft von großem Interesse. Denn der Kundenstamm eines Unternehmens ist im Rahmen von Transaktionen häufig ein besonders wertvolles Wirtschaftsgut. Für die Offenlegung von Kundendaten an den potenziellen Erwerber im Rahmen einer Due Diligence gilt ähnlich wie bei den Arbeitnehmerdaten, soweit es sich um personenbezogene Kundendaten handelt: Es geht um die Abwägung zwischen den berechtigten Interessen an der Weitergabe der Informationen und den Schutzinteressen der Kunden. Im B2C-Geschäft spielt dies naturgemäß die größte Rolle. Im Rahmen der Interessenabwägung ist dabei anzunehmen, dass mit der Durchführung der Transaktion das Interesse des Erwerbers an den Kundendaten im Verhältnis zur Due-Diligence-Phase ansteigt. In der Endphase eines Auktionsverfahrens können daher regelmäßig mehr Daten offenbart werden als bei Übersendung des Info-Memos.
Datenschutzrechtliche Compliance der Zielgesellschaft
Ferner definieren die neuen Regelungen der DSGVO auch die allgemeinen Compliance-Standards im Bereich des Datenschutzes neu, was sich unmittelbar auf die Durchführung der Due Diligence auswirkt. Um die Risiken des Erwerbers bestmöglich zu identifizieren und zu minimieren, sind die Compliance-Strukturen der Zielgesellschaft auf ihre Konformität mit den neuen Datenschutzregelungen zu überprüfen. Dies hat insbesondere bei Unternehmen, die primär personenbezogene Daten verarbeiten, eine besonders hohe Relevanz. Exemplarisch seien hier Energieversorgungsunternehmen, Telefondienstleister, Internetkonzerne, Banken und Versicherungen genannt.
Folgende Indikatoren sprechen dabei generell für eine DSGVO-konforme Compliance-Struktur der Zielgesellschaft:
- Bestellung eines offiziellen Datenschutzbeauftragten,
- Durchführung von Mitarbeiterschulungen zum Thema Datenschutz,
- aktuelles Verzeichnis der datenbezogenen Prozesse,
- Versicherung gegen Schäden aus Datenschutzverstößen,
- Auftragsdatenverarbeitung durch Dienstleister nach den Vorgaben der DSGVO,
- Vorliegen einer Datenschutzfolgeabschätzung,
- Vorliegen einer aktuellen Datenschutzrichtlinie.
Im Rahmen der Due Diligence sind die genannten Punkte kritisch zu überprüfen und eventuelle Sicherheitsrisiken zu identifizieren. Wo Sicherheitsrisiken entdeckt werden, sollten diese im Unternehmenskaufvertrag abgebildet werden. Der Erklärungsbedarf für Berater chinesischer Investoren steigt damit ganz deutlich, denn viele der vorgenannten Themen sind in China gar nicht oder nicht in dieser Form bekannt.
Abmahnbarkeit von DSGVO-Verstößen durch Wettbewerber
Seit Inkrafttreten der DSGVO ist nicht klar, ob Datenschutzverstöße lediglich durch die zuständigen Aufsichtsbehörden oder auch durch Wettbewerber direkt abmahnbar sein sollen. Hierzu sind in den letzten Monaten einander widersprechende Gerichtsurteile ergangen. Auch wenn Äußerungen der Justizkommissarin der Europäischen Union aus dem Oktober 2018 und einige obergerichtliche Urteile von Ende des Jahres 2018 darauf hindeuten, dass eine Abmahnbarkeit durch Wettbewerber grundsätzlich nicht gewollt ist, besteht weiterhin ein Risiko, dass eine Gesellschaft Ziel von Abmahnungen wird, wenn sie nicht vollständig compliant ist. In der Due Diligence ist hierauf daher ebenfalls besonderes Augenmerk zu legen.
Höhere Strafen zwingen zur Sorgfalt
Insgesamt ist im Hinblick auf die neuen datenschutzrechtlichen Regelungen festzustellen, dass sich die Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten im Transaktionsbereich zwar verändert haben. Im Hinblick auf die in der Due Diligence notwendige Weitergabe personenbezogener Daten bleibt es aber bei einer einzelfallabhängigen Interessenabwägung. Verschärfungen hat es für die Zielgesellschaft selbst – wie für alle anderen Marktteilnehmer – auch gegeben: Die Compliance mit den Vorgaben der DSGVO ist deutlich aufwendiger geworden.
Die Brisanz der neuen Regelungen liegt allerdings woanders: Die potenziell durch die Datenschutzbehörden zu verhängenden Strafen sind, wie eingangs ausgeführt, deutlich höher. Auch ist nicht abschließend geklärt, ob Wettbewerber gezielt datenschutzrechtliche Non-Compliance mit Abmahnungen angreifen können. Das insgesamt stark gestiegene wirtschaftliche Risiko zieht daher die Notwendigkeit nach sich, bei der Interessenabwägung (im Hinblick auf die Notwendigkeit der Datenweitergabe) und bei der Compliance Due Diligence (im Hinblick auf die Konformität des Zielunternehmens) einen höheren Sorgfaltsmaßstab anzulegen. Wenn es ans Geld geht, werden in der Regel auch chinesische Investoren hellhörig: Non-Compliance kann teuer werden!
Dieser Beitrag erschien in Printausgabe 1-2019.
Dr. Michael Krömker
Dr. Michael Krömker, MBA, ist Partner der Luther Rechtsanwaltsgesellschaft im Bereich Corporate/M&A. Seine wissenschaftliche Ausbildung absolvierte er in Trier, Köln und Mannheim sowie in New York und Shanghai. Ein wesentlicher Fokus seiner Beratungstätigkeit liegt auf der Begleitung deutscher Unternehmen bei ihren Investitionen in China und chinesischer Investoren bei M&A-Transaktionen im Westen, vor allem in Deutschland.
Dieser Post ist auch verfügbar auf: Vereinfachtes Chinesisch
