Datenschutz bei Unternehmenstransaktionen - Die Datenschutz-Grundverordnung wirft ihre Schatten voraus
Veröffentlicht am 9th Nov 2016
Datenschutzrechtliche Aspekte haben im Rahmen von Unternehmenstransaktionen ständig an Bedeutung gewonnen. Dies liegt maßgeblich daran, dass personenbezogene Daten zunehmend monetarisiert werden können und die Akquirierung von Datenbeständen oftmals das eigentliche Ziel oder zumindest ein wichtiger Treiber von M&A-Transaktionen ist. Zum anderen ist zu beobachten, dass die erwerbenden Unternehmen immer stärker darauf achten müssen, dass das Target auch datenschutzkonform aufgestellt ist. Die Bedeutung dieser Punkte ist durch das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch einmal auf ein neues Level gehoben worden. Veräußerer und Erwerber müssen deshalb ab sofort Datenschutzaspekten in Transaktionen einen wesentlich größeren Stellenwert einräumen.
Maßgebliche Triebfeder hierfür ist das erheblich verschärfte Sanktionspotential: Die ab dem 25. Mai 2018 europaweit geltende DSGVO stößt diesbezüglich in eine neue haftungsrechtliche Dimension vor. So werden im Falle von Datenschutzverstößen gegenüber Unternehmen zukünftig Geldbußen von bis zu EUR 20 Millionen oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes verhängt werden können. Ferner wird unter Umständen die Zulässigkeit datengetriebener Geschäftsmodelle abweichend zu beurteilen sein.
Abseits der datenschutzrechtlichen Limitierungen sollte bereits in der Vorbereitungsphase einer (möglichen) Unternehmenstransaktion zwingend die datenschutzrechtliche Compliance des Targets auf Herz und Nieren begutachtet werden. Dies gilt dabei sowohl im Hinblick auf den allgemeinen Umgang mit Mitarbeiter- oder Kundendaten als auch im Falle von datengetriebenen Unternehmen im Hinblick auf deren eigentliches Geschäftsmodell.
Nachfolgend erläutern wir kurz die datenschutzrechtlichen Prüfungspunkte, die künftig bei der Vorbereitung von Unternehmenstransaktionen sowie in der Due Diligence und bei Vollzug einer Transaktion zu beachten sind.
1 Datenschutzorganisation des Targets
Es sollte stets sichergestellt werden, dass das zu erwerbende operative Geschäft so ungehindert wie möglich durch den Erwerber fortgeführt werden kann. Dies ist jedoch nur dann möglich, wenn das Target(weitestgehend) datenschutzkonform operiert. Es kann unverhältnismäßigen und teilweise kaum überblickbaren Aufwand bedeuten, das erworbene Unternehmen datenschutzkonform umstrukturieren zu müssen, um den unter der DSGVO möglichen, drakonischen Sanktionen der Datenschutzaufsichtsbehörden zu entgehen. Demnach geht es nicht nur darum, die gegenwärtige Compliance abzuprüfen, sondern auch planungssicher abschätzen zu können, mit welchem Aufwand künftig Rechtskonformität nach der DSGVO hergestellt werden muss. Unter anderem sind dabei die folgenden Teilbereiche datenschutzrechtlicher Compliance zu betrachten und zu bewerten, die – je nach dem Reifegrad des bisherigen Datenschutz-Managements des Targets – erheblichen Umstellungsaufwand erzeugen können:
- Umgang mit Kunden- und Geschäftspartnerdaten
Welche Verarbeitungsvorgänge finden innerhalb der verantwortlichen Stelle statt? Ist deren datenschutzrechtliche Zulässigkeit auf Grundlage von Einwilligungen oder gesetzlichen Erlaubnistatbeständen sichergestellt? - Umgang mit Arbeitnehmerdaten
Zu welchen Zwecken werden Arbeitnehmerdaten verarbeitet? Bieten die gesetzlichen Erlaubnistatbestände eine hinreichende Grundlage oder sind entsprechende Betriebsvereinbarungen abgeschlossen worden? - Internationale Datentransfers und deren gegenwärtige Absicherung
Werden personenbezogene Daten an Stellen außerhalb der EU bzw. des EWR wie etwa andere Konzerngesellschaften oder IT-Dienstleister übermittelt? Wie werden diese Datentransfers gegenwärtig abgesichert (Standardvertragsklauseln, Binding Corporate Rules, Whitelist usw.)? - Auftragsdatenverarbeitung
Zu welchen Zwecken werden Auftragsdatenverarbeiter eingeschaltet? Sind sämtliche dieser Verarbeitungsprozesse durch entsprechende Auftragsdatenverarbeitungsverträge abgesichert und findet eine hinreichende Prüfung der Dienstleister statt? Befinden sich die Dienstleister oder deren Unterauftragnehmer außerhalb der EU bzw. des EWR? - Datenschutzorganisation
Wie geht die Stelle gegenwärtig mit Anfragen betroffener Personen um? Gibt es ausreichende innerbetriebliche Richtlinien zur Organisation des Datenschutzes, z. B. wann Daten zu löschen bzw. zu sperren sind? Ist ein Datenschutzbeauftragter bestellt? Welche technischen und organisatorischen Maßnahmen werden ergriffen um ein angemessenes Sicherheitsniveau für Daten sicherzustellen? - Datenschutzprozesse
Die DSGVO verlangt außerdem die Etablierung einer Reihe neuer Prozesse im Umgang mit personenbezogenen Daten. Es ist besonders wichtig herauszufinden, wie gut das Target darauf schon vorbereitet ist. Werden Datenschutzfolgenabschätzungen durchgeführt? Wie wird Datenportabilität gewährleistet? Welches Verfahren ist zur Meldung von Datenpannen etabliert?
Zwar klingt Mai 2018 als Datum des Inkrafttretens der DSGVO zunächst noch weit entfernt. Angesichts der Vielzahl der neuen Regelungen und Anforderungen, welche die DSGVO mit sich bringen wird, ist die Umsetzungsfrist von zwei Jahren jedoch nicht allzu üppig bemessen. Hierbei ist vor allem zu bedenken, dass vielen Unternehmen ein vollständiger Überblick hinsichtlich ihres Umgangs mit personenbezogenen Daten fehlt. Schon die Einhaltung der gegenwärtig geltenden Datenschutzvorgaben können viele Unternehmen deshalb nicht verlässlich darstellen. Liefert das Target keine zufriedenstellenden Antworten, kann es für den Erwerber teuer werden.
2 Datenschutzkonformität des Geschäftsmodells
Mit der Ausbreitung Datengetriebener Geschäftsmodelle gewinnt auch die Frage an Bedeutung, ob das Geschäft des Targets selbst hinreichend datenschutzrechtlich abgesichert ist. Besteht keine Compliance des Targets mit datenschutzrechtlichen Vorschriften, etwa weil der Datensatz rechtswidrig erhoben oder zusammengeführt worden ist, müssen die Daten ggf. sogar gelöscht werden und haben für den Erwerber keinen Wert. Dies ist kein theoretisches Szenario, wie der kürzlich berichtete Unister-Fall lehrt: Nach Presseberichten soll der betriebliche Datenschutzbeauftragte verlangt haben, dass von den 27,8 Millionen gespeicherten E-Mail-Adressen fast 13,3 Millionen wegen fehlender Einwilligung oder fehlendem Kundenstatus gelöscht werden. Bei einem Geschäftsmodell, was maßgeblich auf einwilligungsgestützter Werbung basiert, ein Super-GAU.
Es muss deshalb in solchen Fällen unbedingt sichergestellt werden, dass die erworbenen Daten von dem Erwerber zu dem avisierten Zweck verwendet werden dürfen. Fallstricke können sich hierbei nicht nur aus der Illegalität des akquirierten Datensatzes, sondern auch aus der Person des Erwerbers ergeben. So sollte stets im Auge behalten werden, ob ein beim Erwerber bestehender Datensatz mit den erworbenen Daten auch rechtskonform zusammengeführt werden kann. Der datenschutzrechtliche Grundsatz der Zweckbindung kann dies verhindern – und ausgerechnet diese Zweckbindung wird durch die DSGVO noch mit der Folge verschärft, dass eine nachträgliche Zweckänderung nur noch in Ausnahmefällen zulässig sein wird.
Mit Blick in die (nahe) Zukunft ist deshalb mit besonderer Umsicht zu prüfen, ob gegenwärtig noch datenschutzkonforme Geschäftsmodelle in Zukunft ggf. anders zu bewerten sein werden, nachdem die DSGVO zur Geltung erstarkt ist.
Erhöhte Aufmerksamkeit ist beispielsweise dann aufzuwenden, wenn außerhalb der EU bzw. dem EWR ansässige Unternehmen erworben werden sollen, die zwar regelmäßig Daten in oder aus der EU bzw. dem EWR verarbeiten, jedoch bislang nicht oder jedenfalls nicht eindeutig an die europäischen Datenschutzvorschriften gebunden waren. Nach der DSGVO, die insoweit ein Marktortprinzip auch im Datenschutzrecht einführt, werden deutlich mehr Nicht-EU-Unternehmen zukünftig europäisches Datenschutzrecht befolgen müssen. Die DSGVO findet nämlich bereits Anwendung, wenn Unternehmen aus Drittländern Personen in der EU Waren oder Dienstleistungen anbieten, oder sie das Verhalten betroffener Personen in der Union beobachten. Letztgenannte Regelung ist maßgeschneidert für das Nutzer-Tracking im Internet. Aber auch das Tracking über Apps und Smartphones dürfte erfasst sein. Damit wird europäisches Datenschutzrecht zukünftig auch bei internationalen Unternehmenstransaktionen zu beachten sein.
Fazit
Datenschutzanforderungen sind bei M&A-Transaktionen stärker als früher in den Fokus zu nehmen, um Haftungsrisiken aus Datenschutzverstößen rechtzeitig zu erkennen und managen zu können und mittelfristig die datenschutzrechtliche Sicherheit von (insbesondere Daten-basierten) Geschäftsmodellen gewährleisten zu können. Besonderer Wert sollte darauf gelegt werden, die Einhaltung von Datenschutz-Anforderungen im Rahmen der Due Diligence über sog. Due Diligence Fragelisten abzufragen, insbesondere, sofern diesen Anforderungen unter der DSGVO zukünftig besondere Bedeutung zukommt.
Wenn Sie sich mit den Neuregelungen im Detail vertraut machen wollen, finden Sie auf unserem extra hierzu eingerichteten Blog einen guten Überblick. Unsere Vorgehensweise zur Umstellung auf die DSGVO können Sie hier abrufen.