Heute soll es um Datenschutz bei einer Due-Diligence-Prüfung gehen. Diese Überprüfung eines Unternehmens auf Herz und Nieren im Vorfeld eines Unternehmenskaufs wirft eine Vielzahl von datenschutzrechtlichen Fragen auf.
Der Inhalt im Überblick
Was ist eine Due-Diligence-Prüfung?
Due-Diligence dürfte für Experten im Bereich von Unternehmensübernahmen ein geläufiger Begriff sein. Wortwörtlich übersetzt bedeutet es so viel wie „fälliger Fleiß/Sorgfalt“. Uneingeweihte stehen dem Begriff aber eher ratlos gegenüber. Es geht um eine mit erforderlicher Sorgfalt durchgeführte Überprüfung eines Unternehmens im Vorfeld einer Unternehmensübernahme. Heutzutage werden dafür eine Vielzahl von Unterlagen in einen virtuellen Datenraum bereitgestellt. Die Experten des Kaufinteressenten können sich dort ein möglichst umfassendes Bild von den Vermögenswerten machen.
Problematisch ist, dass die DSGVO mit ihrem „one size fits all“-Ansatz keine auf solche Übernahmeprozesse zugeschnittenen Regelungen enthält. So entsteht ein Spannungsfeld zwischen dem Datenschutz auf der einen Seite und dem Informationsinteresse und Geheimhaltungsinteresse des Käufers auf der anderen Seite.
Durch die Androhung saftiger Bußgeldern von bis zu 20 Millionen € oder bis zu 4 % des weltweit erzielten Jahresumsatzes pro Verstoß können Fehler die Beteiligten teuer zu stehen kommen.
Virtueller Datenraum – ein Datenschutzalptraum?
Der Käufer will oft ganz genau prüfen, wie es mit der Belegschaft und dem Kundenstamm des Unternehmens aussieht, da sie oft die maßgeblichen (oder einzigen) Vermögenswerte des Übernahmekandidaten sind. Problematisch ist, dass die Daten oft personenbezogen sind.
Das Problem kann man nur umschiffen, wenn man die Daten anonymisiert oder aggregiert. So können etwa häufig bereits statistische Daten zu Durchschnittsgehältern, Durchschnittsalter, der durchschnittliche Betriebszugehörigkeit aussagekräftige Anhaltspunkte zur Bewertung eines Unternehmens bieten.
Wenn das allerdings nicht möglich ist, weil man beispielweise für Beschäftigte in Schlüsselpositionen nähere Informationen benötigt, findet das enge Datenschutz-Korsett Anwendung. Die betroffenen Personen müssen also beispielsweise über die Verarbeitung informiert werden. Ein Umstand der natürlich eher störend ist, weil man während vertraulichen Verhandlungen nicht herausposaunen will, dass man beabsichtigt ein Unternehmen zu kaufen.
Alles ist verboten, es sei denn …
es gibt eine Rechtsgrundlage für die Verarbeitung. Hier kommt nun das juristische Wortungeheuer des „Verbots mit Erlaubnisvorbehalt“ ins Spiel. Eine Datenverarbeitung braucht eine Rechtsgrundlage, sonst ist sie rechtswidrig und es drohen Bußgelder. Wie oben bereits angesprochen, gibt es aber leider keine maßgeschneiderte gesetzliche Regelung für die Offenlegung von personenbezogenen Daten bei einer Due Diligence-Prüfung.
Ungeeignete Rechtsgrundlagen
Eine Einwilligung von den Betroffenen kommt wegen des Geheimhaltungsinteresses und oft wegen der Vielzahl der Betroffenen nicht in Frage.
Die Weitergabe der Daten der Beschäftigten ist in der Regel nicht für die Durchführung des Beschäftigungsverhältnisses bei dem Übernahmekandidaten erforderlich, sodass § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage ausscheidet.
Die Datenweitergabe ist auch nicht für die Erfüllung eines Vertrages gem. Art. 6 Abs. 1 lit. b DSGVO erforderlich. Der Käufer müsste erst zu dem neuen Arbeitgeber des Beschäftigten und neuen Geschäftspartner der Kunden werden. Das ist aber erst mit der eigentlichen zeitlich nachgelagerten Übernahme und dem Eintritt des Käufers in die Rechtsposition des Verkäufers der Fall.
Zweckänderung und Interessenabwägung
Man ist sich daher weitestgehend einig, dass eine Verarbeitung bei einer Due Diligence nur aufgrund einer Zweckänderung nach Art. 6 Abs. 4 DSGVO zulässig sein kann. Der rechtliche Hintergrund ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO. Danach dürfen personenbezogene Daten nur zu dem vor der Erhebung festgelegten Zweck verarbeitet werden. Möchte man sie im Nachhinein doch noch für andere Zwecke verarbeiten, muss man die Vereinbarkeit der Zwecke prüfen.
Kriterien der Abwägung
Im Rahmen dieser Vereinbarkeitsprüfung des ursprünglichen Zwecks mit dem neuen Zweck muss dann eine Interessenabwägung durchgeführt werden. Laut Art. 6 Abs. 4 DSGVO muss folgendes berücksichtigt werden
- jede Verbindung zwischen den Zwecken,
- der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden,
- die möglichen Folgen der Weiterverarbeitung für die betroffenen Personen,
- die Art der personenbezogenen Daten (Sensibilität der Daten),
- der Weiterverarbeitung für die betroffenen Personen,
- das Vorhandensein von Garantien (z.B. Verschlüsselung oder Pseudonymisierung)
Zusammengefasst sollte man sich zunächst also folgende Fragen stellen:
- Besteht ein schützenswertes Informationsinteresse des Kaufinteressenten?
- Ist die Bereitstellung der Daten zur Befriedigung dieses Interesses erforderlich?
Abwägung bei einer Due Diligence
Für das berechtigte Informationsinteresse spricht, dass die Offenlegung bei einer Due Diligence als Vorbereitung in einem engen Zusammenhang mit der späteren Unternehmenstransaktion steht. Daraus folgt die Faustformel: Je weiter vorgerückt die Übernahme ist, d.h. von den Vorverhandlungen über die Unterzeichnung (Signing) bis zum Vollzug (Closing) desto stärker wird das Informationsinteresse des Käufers.
Dieses Interesse muss aber immer mit den Grundrechten und Grundfreiheiten der betroffenen Personen umfassend abgewogen werden.
Man muss sich dafür die Umstände des Einzelfalls berücksichtigen. So kann es sein, dass der Käufer nur ein berechtigtes Interesse an der Einsicht der Beschäftigungsunterlagen der Führungskräfte hat und ansonsten auch Durchschnittswerte genügen, um sich einen Überblick zu verschaffen (Grundsatz der Datenminimierung).
Auch die Art der Daten ist zu berücksichtigen. Je sensibler, desto stärker der Eingriff in die Privatsphäre. So sollten besonders sensible Daten nach Art. 9 DSGVO zu Krankheiten, Behinderungen, Schwangerschaft oder Gewerkschaftszugehörigkeit möglichst nicht offengelegt werden.
Geheimhaltungsinteresse: Verzicht auf Information der Betroffenen?
Die betroffenen Personen müssen gemäß Art. 13 Abs. 1 und 2, Art. 14 Abs. 1 und 2 DSGVO bei Erhebung oder Weitergabe ihrer Daten über die Datenverarbeitung informiert werden oder gemäß Art. 13 Abs. 3, 14 Abs. 4 DSGVO über eine Zweckänderung.
Bei einer Due-Diligence-Prüfung wären also im Zeitpunkt der Bereitstellung in dem virtuellem Datenraum die betroffenen Personen – Kunden, Beschäftigte etc. – über die Verarbeitung zu informieren. Ein Alptraum, da gerade die Due-Diligence ein vorsichtiges „Abklopfen“ ermöglichen soll, bevor man Übernahmepläne „an die große Glocke“ hängt.
Retter in der Not?
Der Gesetzgeber hat für solche Situationen die Regelungen des § 32 und § 33 BDSG geschaffen.
Nach § 32 Abs.1 Nr. 4 BDSG, § 33 Abs. 1 Nr. 2 a BDSG kann das der Fall sein, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
„die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen“.
Neben einer Diskussion darum, ob diese Regelung überhaupt unionsrechtskonform ist – d.h. auf der Öffnungsklausel des Art. 23 DSGVO begründet ist – stellt der Wortlaut bereits hohe Hürden auf.
Anwendbarkeit zweifelhaft
Denn es müsste die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche des Verantwortlichen beeinträchtigen werden. Solche Ansprüche bestehen aber in der Regel erst ab dem Vertragsschluss. In diesem Moment ist jedoch möglicherweise bereits kein Geheimhaltungsinteresse mehr gegeben. Gegen die Anwendbarkeit im Falle einer Due Diligence spricht auch, dass der Gesetzeswortlaut in der Entwurfsfassung viel weiter gefasst war. Danach sollte die Information unterbleiben, wenn allgemein anerkannte Geschäftszwecke des Verantwortlichen erheblich gefährdet worden wären, es sei denn, dass das Interesse der betroffenen Person an der Informationserteilung überwogen hätte.
Dieser Wortlaut in Anlehnung an § 33 Abs. 2 Nr. 7 lit. b BDSG alte Fassung wurde aber nicht übernommen. Das spricht dafür, dass die Ausnahmeregelung eng auszulegen ist. Zumal die nach herrschender Auffassung zugrundeliegende Öffnungsklausel des Art. 23 Abs. 1 lit. j DSGVO nur die Beschränkung der Betroffenenrechte für die Durchsetzung von zivilrechtlichen Ansprüchen vorsieht.
Es müsste außerdem auch in diesem Fall wieder eine Interessenabwägung vorgenommen werden. Bei dieser können dieselben Kriterien wie bei der Zweckänderung oben angelegt werden. Sobald das Geheimhaltungsinteresse wegfallen ist, so etwa bei Abschluss der Vertragsverhandlungen, müssen zudem die Informationen jedenfalls innerhalb von zwei Wochen nachgeholt werden (§ 32 Abs. 3 BDSG).
Weitere Falltüren
Zudem sollte bei einer Due Diligence Prüfung weitere allgemeine Vorsichtsmaßnahmen beachtet werden:
Datensicherheit
Nach Art. 32 DSGVO muss der Verantwortliche die Datensicherheit gewährleisten können. Das heißt bei einer Due Diligence, dass die virtuellen Datenräume ausreichend geschützt werden müssen. Zu den Maßnahmen zählen der Schutz durch sichere Passwörter, verschlüsselte Datenübermittlung und -speicherung, Sicherstellung der Löschung der übermittelten Daten im Fall des Verhandlungsabbruchs, Überprüfung der Datenraumanbieter, Vertraulichkeitsvereinbarung zwischen den Parteien.
Übernahme von Bußgeldrisiken
Zudem sollte ein Käufer neben der Beachtung des Datenschutzes bei einer Due-Diligence auch überprüfen, wie das Unternehmen, das gekauft werden soll, es bisher mit dem Datenschutz so gehalten hat.
Neben der eigentlichen Due-Diligence sollte also gewissermaßen auch eine „Datenschutz-Due-Diligence“ durchgeführt werden. Ansonsten läuft man Gefahr, dass man sich Bußgeldrisiken ins Haus holt. Das hat die Androhung eines Bußgelds von 99 Millionen Pfund gegen Marriott eindrücklich unter Beweis gestellt. Grund war die ungenügende Sicherung der Datenbank für Gästereservierung bei der übernommenen Hotelkette „Starwood“. Auch der niederländische Konzern Takeaway.com zahlte hierzulande die Zeche für vorherige Datenschutzverstöße der übernommenen Delivery Hero Germany.
Datenschutz – Nein danke
Diese Empfehlung mag nach diesem Beitrag widersprüchlich klingen. Schließlich geht es darum, was datenschutzrechtliche alles bei einer Due Diligence zu beachten ist. Gerade wegen der oben geschilderten Schwierigkeiten, die datenschutzrechtlichen Pflichten mit den Interessen der Parteien in Einklang zu bringen, ist es aber empfehlenswert, möglichst auf die Verarbeitung personenbezogener Daten zu verzichten.
Die Parteien eines Unternehmens sollten daher immer zunächst schauen, ob es ausreicht, statistische Daten vor Abschluss des Unternehmenskaufs zu übermitteln. Nur wenn das partout nicht geht, sollten personenbezogene Daten übermittelt werden. Das sollte aber nicht der „Default-Modus“ sein. Ansonsten läuft man Gefahr ein Bußgeld zu kassieren oder das Geheimhaltungsinteresse durch Informationspflichten gegenüber den Betroffenen zu konterkarieren.
Der DSB ist nur allzu häufig der letzte der davon erfährt geschweige denn dass er bzw sie eingebunden wird, weil man eben „Geräusche“ vermeiden will. Hinzu kommen die Rechtsunsicherheiten in der RDG Abgrenzung, die gerad durch die den Deal betreuenden Anwälte und PE Buden an sich gezogen werden. Schlangengrube.