Im Rahmen des M&A-Prozesses (Mergers und Acquisitions) werden eine Vielzahl von Unternehmensdaten zwischen mehreren Beteiligten ausgetauscht. Die bereitgestellten (personenbezogenen) Daten erfordern daher zwingend eine DSGVO-konforme Handhabung. Dieser Beitrag will die Beziehungen zwischen den einzelnen Beteiligten an der Transaktion sowie die hieraus entstehenden, unterschiedlichen Notwendigkeiten für die Datenverarbeitung beleuchten.
Der Inhalt im Überblick
Was ist Due Diligence und welche Daten sind betroffen?
Weil niemand gerne die Katze im Sack kauft, erfolgt vor dem Unternehmenskauf eine umfangreiche Erwerbs- und Unternehmensprüfung des Transaktionsobjektes im Rahmen der Due Diligence. Unter Due Diligence versteht man die Prüfung der rechtlichen, wirtschaftlichen, technischen Eckdaten und der bestehenden Risiken des Vorhabens, um damit die Werthaltigkeit des Zielunternehmens zu ermitteln. Bei den betroffenen Daten handelt es sich im Wesentlichen um
- Kundendaten,
- Lieferantendaten,
- Beschäftigtendaten,
- Daten von Dienstleistern
- und Vertragsdaten.
Welche Beziehungen bestehen zwischen den Beteiligten in der Due Diligence?
Bei einer M&A-Transaktion bekommen unterschiedliche Beteiligte Zugriff auf sensible Geschäftsdaten sowie personenbezogene Daten. Involviert sind regelmäßig nicht nur die betroffenen Unternehmen, die die Transaktion durchführen inkl. deren Geschäftsführer/Vorstände, sondern auch die Gesellschafter/Anteilseigner der Unternehmen sowie diverse Dritte (Berater d.h. M&A-Berater, Wirtschaftsprüfer, Rechtsanwälte, Steuerberater, techn. Berater) und ggf. Legal-Tech-Unternehmen.
Verhältnis Geschäftsführer/Vorstände zu Gesellschaftern/Anteilseignern
Im Verhältnis Geschäftsführer/Vorstände und den Gesellschaftern/Anteilseignern der beteiligten Unternehmen, insbesondere des Zielunternehmens, ist zu bemerken, dass Erstere eigentlich im Rahmen ihrer allgemeinen Treuepflicht zur Verschwiegenheit über die Verhältnisse der Gesellschaft verpflichtet sind. Damit dürften sie sensible Geschäftsdaten weder im Datenraum bereitstellen, noch in den Vorgesprächen dem potentiellen Käufer offenbaren, ohne hierzu von den Gesellschaftern/Anteilseignern intern ermächtigt zu sein.
Verhältnis zwischen Käufer und Verkäufer
Geheimhaltungsvereinbarung – Letter of Intent
Bereits im Vorfeld sind zwischen den Geschäftsführern/Vorständen der beteiligten Unternehmen eine Geheimhaltungsvereinbarung im Hinblick auf die Gespräche an sich und die Geschäftsgeheimnisse, insbesondere der Zielgesellschaft, zu schließen. In dieser Vereinbarung ist der Personenkreis einzugrenzen, der zum Empfang der vertraulichen Informationen berechtigt ist. Ggf. sind diese Personen auch noch gesondert zur Vertraulichkeit zu verpflichten. Mitaufgeführt werden sollten auch die weiteren Beteiligten, die keiner Berufsgruppe mit gesetzlicher Verschwiegenheitsverpflichtung angehören (z.B. technische Berater).
In einem Letter of Intent (LoI) sollten die Beteiligten zum einen die wirtschaftlichen und rechtlichen Punkte festhalten für die bereits eine Übereinkunft besteht und zum anderen die noch offenen Vertragsbestandteile. Zudem sind in dem LoI eine Aufhebungsregelung sowie Details zum DSGVO-konformen Datenumgang festzuhalten.
Auftragsverarbeitung – Gemeinsame Verantwortlichkeit
Im M&A-Prozess liegt zwischen Käufer und Verkäufer mangels Weisungsbefugnis kein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO vor.
Bleibt zu klären, ob zwischen beiden Akteuren eine gemeinsame Verantwortlichkeit nach Art. 26 Abs.1 DSGVO besteht. Ausreichend hierzu ist ein gemeinsamer Entschluss über Zweck und Mittel der Datenverarbeitung. Eine gleichwertige Verantwortlichkeit beider Akteure im Hinblick auf die Verarbeitung personenbezogener Daten ist hingegen nicht erforderlich. Es kommt somit nicht darauf an, ob Käufer oder Verkäufer bei der Transaktion tatsächlich federführend ist. Ausreichend wäre es nach dem EuGH bereits, wenn ein Unternehmen das andere zu dem Entschluss für die gemeinsame Datenverarbeitung verleitet hat (ZD 2018, 469 (472)) – dies kann mit der Gesprächsinitiative zum Verkaufs- oder Kaufangebot erfolgt sein.
Der gemeinsam festgelegte Zweck der Datenverarbeitung ist die in dem Letter of Intent festgehaltene Unternehmenstransaktion. In dem LoI werden auch die zur Durchführung des Unternehmenskaufes verteilten Funktionen und Regeln für die Zusammenarbeit festgehalten sowie die Mittel zur Durchführung der Due Diligence und die damit einhergehenden vereinbarten technischen Strukturen, z.B. die digitalen Voraussetzungen für den Datenraum etc.. Mit dieser Vereinbarung ist eine Regelung im Sinne von Art. 26 Abs. 1 DSGVO gegeben, die noch um eine exakte Verteilung der Verantwortlichkeiten im Innenverhältnis gemäß der in der DSGVO vorgegebenen Pflichten (z.B. Informationspflichten an die Betroffenen etc.) und um eine gemeinsame Anlaufstelle für den Betroffenen ergänzt werden muss. Aufgrund der aus Art. 26 Abs. 1 DSGVO resultierenden gesamtschuldnerischen Haftung bei Datenschutzverstößen nach Art. 82 Abs.1 DSGVO sollte bereits im LoI eine zumindest für das Innenverhältnis geltende Haftungsregelung zwischen Käufer und Verkäufer getroffen werden.
Freistellungsvereinbarungen
Soweit der Käufer im Rahmen der Due Diligence feststellt, dass die DSGVO im Zielunternehmen nicht vollständig umgesetzt wurde oder es noch offene Punkte gibt, bedarf es einer vertraglichen Regelung zur Kostenübernahme für die im Nachgang zum Closing noch notwendigen Umsetzungsmaßnahmen. Es ist in diesem Fall auch erforderlich, Freistellungsvereinbarungen im Falle einer Haftung des Käufers für evtl. anfallende Bußgelder nach Art. 82 ff. DSGVO zu treffen, wenn diese aufgrund einer nicht rechtzeitigen Umsetzung der DSGVO erlassen werden und dies von dem Verkäufer versäumt worden war.
Auftragsverarbeiter für den Käufer und Verkäufer
Beide Parteien können sich weiterer Auftragsverarbeiter im Rahmen der Due Diligence bedienen. Auch wenn eine gemeinsame Verantwortlichkeit in der Datenverarbeitung gegeben ist, kann sowohl der Käufer als auch der Verkäufer die Datenverarbeitung noch an weitere Unternehmen vergeben. Hierbei sind die Voraussetzungen des Art. 28 Abs.1 DSGVO zu beachten sowie die Grundsätze des Art. 25 DSGVO und Art. 32 DSGVO zu berücksichtigen. Auftragsverarbeiter können auch Unternehmen sein, die den Datenraum stellen oder Legal-Tech-Unternehmen, denen Unterlagen zur Analyse im Rahmen der Due Diligence übermittelt werden.
Ab wann liegt eine Datenverarbeitung i.S.d. DSGVO im Rahmen der Due Diligence vor?
Soweit es sich um personenbezogene Daten handelt, sind diese von Art. 4 i.V.m. Art. 2 Abs.1 DSGVO umfasst und zwar unabhängig davon, ob diese in einem elektronischen oder physisch strukturierten Datenraum bereitgestellt werden. Demzufolge stellt nicht erst die Offenlegung gegenüber den beteiligten Unternehmen und deren Beratern/Banken, sondern schon die Aufbereitung der personenbezogenen Daten für die Bereitstellung in einem (digitalen/physischen) Datenraum eine Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO dar, so dass dies nur auf der Grundlage eines Tatbestandes in Art. 6 DSGVO erfolgen darf.
Im Rahmen der Due Diligence ist daher vor der Datenbereitstellung zu prüfen, ob hierzu eine ausreichende Ermächtigung im Sinne von Art. 6 DSGVO vorliegt und ob der betroffenen Person gem. Art. 26 Abs. 2 DSGVO die Funktionen und Beziehungen der gemeinsamen Verantwortlichen offengelegt wurden. Dies wird in einem nachfolgenden Artikel näher betrachtet.
