M&A Teil 2 – Vorbereitung eines Datenraums aus datenschutzrechtlicher Sicht
24.10.2023
Zusammenfassung
Bei der Durchführung einer Due Diligence-Prüfung, bei der personenbezogene Daten an ein anderes Unternehmen weitergegeben werden, müssen verschiedene datenschutzrechtliche Aspekte berücksichtigt werden, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer lokaler Datenschutzgesetze sicherzustellen.
5 Minuten Lesezeit
Dieser Artikel konzentriert sich darauf, was sowohl Verkäufer als auch Käufer aus datenschutzrechtlicher Sicht in Bezug auf den Einsatz eines Datenraums beachten müssen.
Ein Datenraum im Zusammenhang einer Due Diligence bei Fusionen und Übernahmen (sogenannte M&A-Prozesse) ist ein sicherer und organisierter digitaler Raum, in dem sensible und vertrauliche Dokumente im Zusammenhang mit einer Geschäftstransaktion, wie Finanzunterlagen, Verträge und rechtliche Dokumente, gespeichert und mit potenziellen Käufern oder Investoren geteilt werden. Dies erleichtert die gründliche Prüfung dieser Dokumente durch die interessierten Parteien, um die mit der Transaktion verbundenen Risiken und Chancen zu bewerten.
Bei der Durchführung einer Due Diligence-Prüfung, bei der personenbezogene Daten an ein anderes Unternehmen weitergegeben werden, müssen verschiedene datenschutzrechtliche Aspekte berücksichtigt werden, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer lokaler Datenschutzgesetze sicherzustellen.
Datenschutzrechtliche Grundsätze beachten!
Was darf in einen Datenraum eingestellt werden und was nicht? Grundsätzlich sollten personenbezogene Daten von Beschäftigten und Kunden im Zuge der Datenminimierung nach Möglichkeit anonymisiert werden. Ausnahmen gelten für Geschäftsführer und Führungspersonal. Im Zweifel sollte die Einwilligung der Betroffenen eingeholt werden.
Es wird empfohlen, die Arbeitnehmer über den Due-Diligence-Prozess zu informieren und sie darauf hinzuweisen, dass ihre Daten im Falle eines Eigentümerwechsels dem Käufer zur Verfügung gestellt werden. Dies fordern die Transparenz- und Fairnessgebote in der Datenschutz-Grundverordnung. In vielen Rechtssystemen findet ein automatischer Übergang der Mitarbeiter statt, so dass es notwendig ist, die Mitarbeiter im Voraus zu informieren, um die lokalen Arbeitsgesetze einzuhalten. Dies sollte bereits in der Anfangsphase geprüft werden, um die Einhaltung der Gesetze sicherzustellen.
Die folgende Checkliste soll Sie dabei unterstützen, datenschutzrechtliche Aspekte bei der Nutzung eines Datenraums zu berücksichtigen. – Vermeiden Sie mit einfachen Schritten unnötige Datenschutzverstöße, die nicht nur zu rechtlichen Problemen sondern auch zur Rufschädigung Ihres Unternehmens führen können.
Vorbereitung eines Datenraums – Checkliste:
1. Notwendigkeit der Datenübermittlung prüfen:
a) Geben Sie nicht gleich von Beginn an personenbezogenen Daten an den Bieter/Käufer weiter. Für einen ersten Eindruck für die Käuferseite reichen oftmals allgemeine Angaben und Aussagen.
b) Überprüfen Sie vor jeder Offenlegung, ob es ggf. ausreicht, die Daten anonymisiert, pseudonymisiert oder aggregiert zur Verfügung zu stellen.
c) Nur wenn letztlich die Weitergabe personenbezogener Daten unbedingt erforderlich ist, sollte diese erfolgen.
2. Rechtsgrundlagen Identifizieren:
a) Bestimmen Sie die genaue Rechtsgrundlage für die Übermittlung personenbezogener Daten im Rahmen der DSGVO oder anderer anwendbarer Datenschutzgesetze.
b) Dokumentieren Sie die Rechtsgrundlage und stellen Sie sicher, dass die Datenübertragung im Einklang damit erfolgt.
c) Es ist möglich, die Daten im Verlauf einer Due Diligence aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) zu übermitteln. Dabei gilt, je näher der Kauf rückt, desto größer ist das unternehmerische Übermittlungsinteresse und desto besser lässt sich eine Weitergabe ohne Einwilligung der Betroffenen begründen.
d) Im Zweifelsfall und je sensibler bzw. umfassender die Offenlegung sich darstellen würde, desto mehr spricht für die Erforderlichkeit einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
e) Bitte beachten Sie: Besondere Kategorien personenbezogener Daten wie Gesundheitsdaten, Daten zur sexuellen Orientierung, Daten über die politische/religiöse Überzeugung sowie Daten von Kindern dürfen nicht ohne Einwilligung weitergegeben werden.
3. Vertraulichkeits- und Datenschutzvereinbarungen:
a) Schließen Sie mit dem empfangenden Unternehmen eine Vereinbarung über die Vertraulichkeit und den Datenschutz, die die Verantwortlichkeiten, den Zweck der Datenverarbeitung, Datensicherheitsmaßnahmen und eventuelle Datenübertragungen in Drittländer abdeckt.
b) Wenn ein Datenraumanbieter involviert ist, muss mit diesem eine Datenschutzvereinbarung in Form einer „Auftragsverarbeitungsvereinbarung“ ( 28 DSGVO) abgeschlossen werden.
4. Sicherheitsmaßnahmen:
a) Stellen Sie sicher, dass angemessene technische und organisatorische Sicherheitsmaßnahmen implementiert sind, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Offenlegung zu schützen.
b) Insbesondere sollte eine gewisse Zugangssicherung (Multi-Faktor-Authentifizierung) und ein Berechtigungskonzept nach dem „Need-to-know“-Prinzip eingesetzt werden.
5. Betroffenenrechte:
a) Berücksichtigen Sie die Rechte der betroffenen Personen (Auskunftsrecht, Recht auf Löschung, Widerspruchsrecht usw.), so dass diese nicht verletzt werden.
6. Benachrichtigung und Transparenz:
a) Informieren Sie gegebenenfalls die betroffenen Personen über die Datenübermittlung und die Due Diligence-Prüfung, insbesondere wenn dies nach der DSGVO oder anderen Datenschutzgesetzen erforderlich ist.
7. Regelmäßige Überprüfung und Auditierung:
a)Planen Sie regelmäßige Überprüfungen, um die Einhaltung der Datenschutzbestimmungen und der getroffenen Vereinbarungen sicherzustellen.
8. Datenschutzverletzungen im Datenraum:
a) Trotz aller Vorkehrungen sind Datenschutzverletzungen nicht durchweg vermeidbar. – Überlegen Sie sich für diesen Fall einen kurzen Prozess, der beide Seiten umfasst und ggf. auch den Dienstleister, der den Datenraum zur Verfügung stellt, um eine potenzielle Datenschutzverletzung sauber aufarbeiten zu können.
(Denken Sie bitte daran, dass dies eine allgemeine Checkliste ist. Die spezifischen Anforderungen können je nach den Einzelheiten der Datenübertragung, den beteiligten Ländern und den spezifischen Umständen des Falles variieren. Daher kann es ratsam sein, bei Unsicherheiten ein Datenschutzexperte einzuholen.)
Wenn Sie sich dafür interessieren, welche inhaltlichen datenschutzrechtlichen Fragen üblicherweise bei einer Due Diligence gestellt werden, finden Sie hier eine weitere kurze Checkliste.
Video Datenschutz bei der Due Diligence im KMU-Bereich https://www.youtube.com/watch?v=EpcS0_2GA-k