Heiße Kartoffeln: Datenschutz beim Unternehmenserwerb

PrintMailRate-it

zuletzt aktualisiert am 2. Februar 2022 | Lesedauer ca. 4 Minuten


Mangelhafter Datenschutz beeinträchtigt Unternehmenswerte – von der eigenen Glaubwürdigkeit („Datenschutz liegt uns am Herzen“) über erforderliche Abhilfemaß­nahmen bis zur Gefährdung des Geschäftsmodells. Beim Erwerb solcher Unternehmen ist Vorsicht angebracht – oder auch: Wie lassen sich Millionen sparen.


Bei Unternehmenstransaktionen spielt der Schutz personenbezogener Daten unter verschiedenen Gesichtspunkten eine Rolle:

  • Als ein Ergebnis der Beurteilung des Zielobjektes: Ist das zu untersuchende Unternehmen datenschutz­konform aufgestellt? Hält es also selbst die relevanten Datenschutzvorschriften ein, auch vor dem Hintergrund des eigenen Geschäftsmodells?
  • Im Rahmen der Beurteilungshandlung: Wie lassen sich personenbezogene Daten des untersuchten Unternehmens datenschutzkonform prüfen und fallen durch die Prüfungshandlung selbst personenbezogene Daten an?
  • Bei Durchführung der Transaktion: Lassen sich bei einem Asset Deal die personenbezogenen Daten bei der Transaktion auf ein neues Unternehmen übertragen?


Bei der Due Diligence liegt das Augenmerk des Auftraggebers auf den beiden ersten Punkten, die im Folgenden dargestellt werden.



Datenschutzrisiken im Zielunternehmen

Risiken aus der Verletzung von Datenschutzthemen sind insbesondere seit der Anwendbarkeit der euro­päischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 stärker ins Bewusstsein gerückt. Grund dafür sind v.a. mögliche Bußgelder, die ausdrücklich abschrecken sollen und bis zu 20 Mio. Euro bzw. 4 Prozent des konzernweiten Umsatzes des die Datenschutzvorschriften verletzenden Unternehmens erreichen können. Ein Fokus der Due Diligence liegt daher darauf, das Risiko für Datenschutzverstöße des Zielunternehmens aus der Vergangenheit zu betrachten.


Zum Risiko drohender Bußgelder kommt hinzu, dass datenschutzverletzende Verfahren eines Zielunterneh­mens auch abgestellt werden müssen. Sofern es sich dabei um als wichtig erachtete Prozesse handelt, kommt ein vollständiger Verzicht häufig nicht in Betracht. Eine Umstellung auf datenschutzkonforme Verfahren kann dagegen aufwendig sein und unter Umständen ganz scheitern. Insofern sollte jedenfalls für die unterneh­menstypischen, geschäftsspezifischen Kernprozesse die voraussichtliche Einhaltung des Datenschutzes auch im Rahmen der Due Diligence geprüft werden.

Veranschaulichen lässt sich das „Einkaufen“ datenschutzrechtlicher Risiken beim Unternehmenserwerb am Kauf der Starwood Hotelgruppe durch Marriott im Jahr 2016. Durch unzureichende Sicherheitsmaßnahmen konnten Unberechtigte seit 2014 auf Kundendaten in den IT-Systemen von Starwood zugreifen, inklusive Pass- und Kreditkartendaten. Die auch nach dem Erwerb fortdauernde Zugriffsmöglichkeit wurde 2018 von Marriott festgestellt, etwa 339 Mio. Kundendatensätze waren weltweit betroffen. Die zuständige britische Datenschutzaufsichtsbehörde bemängelte, dass die IT-Infrastruktur von Marriott übernommen wurde, ohne dass im Zusammenhang mit dem Erwerb oder im Nachgang dazu die Datensicherheit vom Erwerber überprüft wurde und kündigte an, ein Bußgeld von 99 Mio. Britische Pfund zu verhängen. Ende 2020, nach Vollzug des Brexits und mitten in der Corona-Pandemie wurde schließlich ein Bußgeld in Höhe von 18,4 Mio. Britische Pfund gegen Marriott verhängt.


Ziel einer datenschutzrechtlichen Due Diligence ist es daher, die Datenschutzorganisation des Zielunterneh­mens zu beleuchten, wobei die Prüfungstiefe vom Auftrag und der verfügbaren Zeit abhängt. Insbesondere sind dabei die folgenden Punkte zu beleuchten:

  • Sind Beauftragte und Ansprechpartner für den Datenschutz vorhanden, die für ihre Aufgaben auch angemessen ausgestattet sind?
  • Existiert ein unternehmensspezifisches Datenschutzmanagement-System, das auch tatsächlich angewendet wird?
  • Gab es bereits in der Vergangenheit Datenpannen und wie wurde mit ihnen umgegangen?
  • Wie werden produktspezifisch die Anforderungen von Privacy-by-Design und Privacy-by-Default umgesetzt?


Dabei sind intuitive Antworten bei Einzelaspekten nicht unbedingt vorteilhaft, schließlich kann bspw. ein Fehlen von Datenpannen auch darauf hindeuten, dass dem Thema keine Aufmerksamkeit zugemessen wird, man also lieber nicht so genau hinschaut.


Zwar lassen sich damit im Rahmen einer zeitlich eng begrenzten Prüfung individuelle Datenschutzverstöße nicht sicher feststellen. Allerdings ermöglicht die Untersuchung eine Beurteilung, ob das Zielunternehmen als ausreichend anzusehende Maßnahmen ergriffen hat, die einen Verstoß schon in der Vergangenheit hätten erkennen lassen – und damit eine Einschätzung der datenschutzrechtlichen Risiken. Dennoch kann das eine tiefergehende Überprüfung der Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen für Datenschutz und Datensicherheit nicht ersetzen.


Detailinformationen aus dem Zielunternehmen

Für den Due Diligence Prozess werden Dritten – bspw. Käufern, deren Beratern und Banken – Informationen zur Verfügung gestellt, die auch personenbezogene Daten enthalten können. Auch in diesem Fall ist der Datenschutz zu beachten.

Ausgangspunkt ist die Frage, ob eine Übermittlung an Dritte überhaupt erforderlich ist. So kann durch eine Aggregation von Daten oder durch Schwärzen unter Umständen der Personenbezug und damit die Datenschutzanforderungen entfallen.

Ist eine Übermittlung in Einzelfällen erforderlich, so ist dafür eine Rechtsgrundlage notwendig – auch auf Seiten des Interessenten. Schließlich würde ein potenzieller Erwerber Datenschutzverstöße begehen, wenn er Daten erhält und verarbeitet, für die keine Rechtsgrundlage bestehen. In Betracht kommt meist nur das berechtigte Interesse an einer angemessenen Verwertung der Unternehmens-Assets und hierfür die Ermöglichung einer Prüfung durch Kaufinteressenten. Dieses Interesse ist abzuwägen mit den Interessen der Betroffenen. Allgemeine Aussagen über die Zulässigkeit lassen sich daher nicht treffen, es kommt vielmehr auf die Begründung für die jeweiligen Einzelfälle an.


Wichtig ist dabei noch, dass besondere Kategorien personenbezogener Daten (bspw. Gesundheitsdaten oder Angaben zu Gewerkschaftszugehörigkeit sowie religiösen oder weltanschaulichen Überzeugungen) besonders geschützt sind und schon grundsätzlich nicht aufgrund eines berechtigten Interesses der Beteiligten verarbeitet und übertragen werden können.

Schließlich bestehen besondere Informationspflichten gegenüber den Betroffenen bei der Erhebung personen­bezogener Daten, Art. 12 ff. DSGVO. Insbesondere bei einer Erhebung bei Dritten – wenn also ein Kauf­interessent die Daten vom Zielunternehmen erhält und nicht vom Betroffenen selbst – ist der Betroffene hierüber grundsätzlich unverzüglich zu unterrichten. Während sich der Erwerbsinteressent noch auf Ausnahmevorschriften berufen kann, müsste jedoch das Zielunternehmen die Betroffenen darüber informieren, dass ihre Daten im Rahmen einer Unternehmenstransaktion an Dritte übermittelt werden. Das ist bei einer aktuellen Transaktion wegen des Aufwands unpraktisch und wegen der meist beabsichtigen Vertraulichkeit unerwünscht. Daher sollten (alle) Unternehmen die potenzielle Übermittlung personenbezogener Daten im Rahmen möglicher Unternehmenstransaktionen bereits generell und ohne konkreten Anlass in ihre Datenschutzerklärungen aufnehmen.


Der Umgang mit den durch die Prüfungshandlung selbst anfallenden Daten – bspw. wer wann für wie lange welche Dokumente in einem elektronischen Datenraum angesehen hat – ist schließlich bei der Organisation der Prüfung zu berücksichtigen und umzusetzen.


Fazit

Datenschutzverstöße können zu hohen Bußgeldern oder der Untersagung von Geschäftsprozessen führen. Bei der Beurteilung von Risiken eines Unternehmens sollte daher dessen Einhaltung des Datenschutzes beachtet werden. Das ist umso dringender, je größer die Anzahl und je sensibler die Art der verarbeiteten Daten ist.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu