欧洲新的数据保护法已实施了六个月:并购交易中违规的代价可能会很高昂

中国投资者比较忽视在并购交易前进行深入尽职调查的必要性。在某些情况下,在未征求顾问意见的情况下就要求提供员工或客户的资料会违反数据保护法规。有时,即使有顾问参与尽职调查,收购方往往也没有准备预算去对标的公司执行符合数据保护法规的尽职调查。在与新欧洲数据保护法进行了初步接触后,我们建议收购方重新思考尽职调查的全面性。

新欧洲数据保护法规《通用数据保护条例》(GDPR)在2018年5月25日正式生效之前就引起了全球企业的轰动。根据GDPR,当局现在必须对数据泄露处以罚款。处罚额度可达该企业过去一年全球营业额的4%。因此,当交易涉及数据保护时,都必须特别注意这个新规定。

交易与GDPR之间的交接点

数据保护与交易的相关性在哪里?在收购过程当中,标的公司的员工数据以及销售和客户数据是收购方在进行尽职调查时的关注重点。即使这些仅能在电子数据室中使用的数据无法被下载,把相应数据提供给潜在收购方(或在资产交易的情况下进行转让)还是构成了把个人资料转移给潜在收购方的行为。在尽职调查中,把相应数据提供给潜在收购方的行为必须符合数据保护法。同时,澄清标的企业是否遵守新的数据保护法以及是否与当局、自然人或竞争对手存在争议,也是尽职调查的一部分。

员工数据

在交易过程中,买方常常会通过尽职调查的方式去了解标的公司的员工情况,而这几乎都会涉及到个人数据:例如姓名、电子邮件地址、婚姻状况、教育程度、绩效表现、外观、健康状况,宗教信仰等。这就造成了雇主权益(出售公司)与雇员权益(保护雇员数据)之间的冲突。

虽然,对这一紧张局势进行评估的法律依据现已发生了些变化,但是与旧法律所规定的一样,数据转移必须合法。此外,数据转移不能违背当事人的利益或基本权利与基本自由。虽然该原则此前就已在实际操作中应用,但现已被明确地写入了GDPR中。也就是说,在新的法律制度中,转移员工数据时必须在标的公司的利益与员工数据保密的问题上进行衡量。

交易的形式不同,衡量的方式根据交易的形式不同也有差异。因为对于买卖双方而言,股权交易(即收购目标公司股份)与资产交易(销售与转让企业资产)的利益是不同的。在股权交易中,员工被作为股权的一部分被“出售”,因此员工的个人数据大多不会被差别对待。因此,在股权交易中,员工通常十分注重对个人数据的保护,卖方只被允许向买方提供匿名或化名的数据。在个别情况下,卖方也被允许进行随机采样。这对欧洲员工而言理所当然的数据保护水平却一直很难被中国投资者所理解。

由于在资产交易中只有个别员工被转让给买方,因此买、卖双方对于转移员工个人数据的需求远远超出进行股权交易的情况,这就合理化了转移详细信息这一步骤。

客户数据

除员工数据外,收购方通常也对标的公司的销售以及客户数据抱有浓厚的兴趣。对于一般的交易而言,公司的客户群都是非常有价值的资产。在进行尽职调查时向潜在买家披露客户数据的方式与披露员工数据的情况类似,只要在披露数据的过程中涉及到了客户的个人数据,那就必须在维护信息转移的权益与保护客户的合法权益之间进行衡量与折衷。这一点在B2C业务中自然扮演了最重要的角色。在平衡权益时可以假设,随着交易的推进,买方对客户数据的兴趣会较尽职调查阶段时更加浓厚。因此,在竞拍过程的最后阶段,卖方可披露比发送信息备忘录时更多的数据。

标的公司的数据保护合规性此外,GDPR的新规定还重新定义了数据保护领域的规范总则,这直接影响了尽职调查的执行。为了最好地识别并降低收购方的风险,必须审查标的公司的合规结构是否符合新的数据保护法规。这对那些主要从事处理个人数据的公司而言尤为重要:例如能源供应企业、电话服务供应商,互联网集团,银行和保险公司。

标的公司如果达到了以下指标,通常都符合GDPR的合规结构:

  • 任命一名官方的数据保护官,
  • 对工作人员进行数据保护相关的培训,
  • 有相关数据操作的最新目录,
  • 对违反数据保护条例所造成的损害进行投保,
  • 由符合GDPR规定的服务供应商处理订单数据,
  •  出示数据保护影响评估报告,
  • 出示当前的隐私政策。

作为尽职调查的一部分,必须严格审查上述要点,并识别有可能出现的风险。如果发现风险,应写到股权收购协议中。对顾问而言,因为上述许多问题在中国根本不存在或不以这种形式所存在,顾问则必须向中国投资者进行详尽的解释。

能否由竞争对手检举GDPR违规行为

自GDPR生效以来,尚不清楚数据保护违规行为是否应该仅由主管的监管机构进行检举还是也可由竞争对手直接进行检举。对此,过去几个月出现了相互矛盾的法院判决。虽然欧盟司法专员在2018年10月作出的陈述以及2018年底发布的一些法院裁决表明,原则上不建议由竞争对手来检举,但如果他们不完全合规,公司仍有成为检举对象的风险。在尽职调查中,应特别注意这一点。

更严厉的的惩罚迫使行事更谨慎

总体而言,新数据保护法规虽然改变了交易过程中合法处理个人相关数据的法律依据,但是,关于尽职调查所需的个人数据转移,仍然是根据个案进行的权益衡量和折衷。与所有其他市场参与者一样,标的公司本身也面临着更严峻的状况:遵守GDPR的规定将变得更加复杂。

然而,新规定的爆炸点却在其他地方:如开头所述,数据保护机构可能施加的惩罚要高很多。竞争对手是否可以有目的地攻击数据保护不力的对手,也没有得到最终澄清。因此,随着经济总风险的急剧提升,意味着在进行权益折衷(对于数据转移的必要性)和尽职调查(对于目标公司的合规性)时需要设定更高的标准。只要与金钱相关的事情,中国投资者通常都会竖起耳朵聆听:违规可能很昂贵!

Porträt Dr. Michael Krömker
Dr. Michael Krömker

迈克尔.柯默克博士(工商管理硕士)是陆德律师事务所公司法/并购领域的合伙人。他在特里尔、科隆、曼海姆、纽约和上海完成了专业知识学习及培训。迈克尔.柯默克博士的工作重点是德国公司在中国的投资活动及中国投资对西方国家特别是德国的并购投资活动。

Dieser Post ist auch verfügbar auf: 德语