News
22.07.2019 | Autor/in: azur Redaktion

Deals im Zeitalter der DSGVO: „Datenschutz kann zum Deal-Breaker werden“

Junge Juristen kennen ihn, den sogenannten Datenraum. Bei jedem Unternehmenskauf muss eine große Menge an Dokumenten geprüft und aufgearbeitet werden. Das übernehmen oft junge Associates. Wie sich diese Arbeit im Zeitalter des Datenschutzes ändert, darüber sprach JUVE mit dem IT- und Datenschutzexperten Dr. Kai-Uwe Plath, Partner in der Hamburger IP-, IT- und Medienboutique KNPZ Rechtsanwälte. Er arbeitet regelmäßig in Transaktionen mit  Corporate-Kanzleien zusammen.

Herr Plath, viele Corporate-Praxen sind derzeit verunsichert, wie sie mit dem Thema Datenschutz in Due Diligences umgehen sollen. Woran liegt das?
Kai-Uwe Plath:
Es ist es das Gleiche wie in anderen Wirtschaftsbereichen auch: Das Thema ist seit Inkrafttreten der DSGVO viel stärker in den Fokus gerückt als bisher. Die Problematik gab es schon immer, sie stand nur einfach nicht auf der Agenda.

Was müssen die Berater von Käufer und Verkäufer beim Umgang mit Daten in einem M&A-Prozess beachten?
Die gute Nachricht: Auch in Zeiten der DSGVO bleibt es möglich, personenbezogene Daten im Rahmen von M&A-Transaktionen offenzulegen. Am Ende geht es um eine Interessenabwägung. Das Interesse am Vollzug des Deals ist gegenüber dem Interesse des Einzelnen an dem Schutz seiner Daten abzuwägen. Dabei ist immer auch zu berücksichtigen, dass es in der Regel ja ausschließlich um Daten geht, die aus dem beruflichen Kontext der Personen stammen. Und häufig sind die Daten ja auch bereits öffentlich bekannt, etwa wenn wir darüber sprechen, welcher Geschäftsführer z.B. einen Vertriebsvertrag für sein Unternehmen unterzeichnet hat. Eine Schwärzung wäre hier deutlich übertrieben und wird von der DSGVO auch nicht gefordert.

Auf Verkäuferseite wird derzeit wie wild geschwärzt und anonymisiert – wie sinnvoll ist das?
Ich meine, es kommt auf das richtige Maß an. Wie gesagt: Ob man personenbezogene Daten offenlegen darf, richtet sich nach der Interessenabwägung. Und deshalb gilt beispielsweise für die Krankenakte eines Mitarbeiters ein anderer Maßstab als für die Angabe, welche Person als Geschäftsführer für das Target bestellt ist.

Was muss bei der Organisation elektronischer Datenräume beachtet werden?
Wichtig ist es, den Prozess sauber aufzusetzen. Man muss genau prüfen, welche Gesellschaft als „Verantwortliche“ auftritt. Dies mag sich bei Asset- und Share-Deals unterschieden, dann müssen Auftragsverarbeitungsverträge mit den Datenraumanbietern geschlossen werden und man muss schauen, ob Betroffene informiert werden müssen.

Was können Unternehmen jetzt schon tun – quasi vorsorglich?
Ein häufig übersehener Punkt ist die sogenannte „Zwecksetzung“. Vereinfacht gesagt geht es darum: Zu Beginn der Datenverarbeitung sollte ein Unternehmen festzulegen, für welche Zwecke die Daten einer Person, etwa eines Arbeitnehmers, verarbeitet werden sollen. Eine spätere Änderung dieser Zwecke ist nur unter engen Voraussetzungen möglich. Insofern sind Unternehmen gut beraten, wenn sie die Due Diligence direkt als einen späteren Verarbeitungszweck in ihre Informationsschreiben mit aufnehmen.

Unternehmen und ihre Geschäftsmodelle verändern sich derzeit auch stark. Damit rücken Daten und ihre Verwertbarkeit stärker in den Mittelpunkt – wie wirkt sich das in Transaktionsverhandlungen aus?
Diese Themen können sich zum echten „Deal-Breaker“ entwickeln. Der Klassiker ist der Praxisverkauf, etwa einer Arztpraxis im Asset-Deal. Hier sind ausgefeilte Mechanismen erforderlich, um die Übergabe der Patientendaten DSGVO-konform auszugestalten. Noch viel gravierender wird dieses Thema im Massenverkehr. So gesehen kann die DSGVO die gesamte Transaktionsstruktur beeinflussen, etwa wenn es um die Frage geht, ob der Erwerb über einen Asset- oder Share-Deal abgewickelt werden soll.

Enden datenschutzrechtliche Themen mit dem Signing?
Wie Ihre Frage schon andeutet: keineswegs. Mit Blick auf die Daten aus der Due Diligence sind Aufbewahrungs- und Löschfristen zu beachten. Und häufig stößt man in der Transaktion auf Nachbesserungsbedarf beim Target, der dann über Garantien, Indemnities oder Covenants abgedeckt wird. Die eigentlich Arbeit geht dann häufig erst los.

Was droht im schlimmsten Fall, wenn ein Deal datenschutzrechtlich nicht ganz wasserfest gelaufen ist?
Ein Verstoß kann zur Gesamtnichtigkeit des Kaufvertrages führen. In der Regel versucht man aber, das Target schnellstmöglich DSGVO-konform aufzustellen, um bestehende „Legacy“-Themen alsbald auszuphasen.

Die Fragen stellte Christine Albert.