22.08.2018 | Dr. Tobias Grau

DSGVO stellt eingespielte M&A-Prozesse auf den Prüfstand

Allgemein, Standpunkt

Seit wenigen Monaten muss die neue Datenschutzgrundverordnung (DSGVO) in der EU angewendet werden. Für M&A-Transaktionen erweist sie sich in der Praxis als Herausforderung. Denn: Bei Due Diligences oder Unternehmenskaufverträgen werden auch personenbezogene Daten, beispielsweise von Mitarbeitern, Kunden und Lieferanten, verarbeitet. Einige Personen müssen informiert werden oder gar in die Verarbeitung ihrer Daten einwilligen, andere nicht. Dem steht entgegen, den Deal geheim zu halten, um ihn erfolgreich zum Abschluss zu bringen. Doch bei DSGVO-Verstößen drohen Bußgelder von bis zu 20 Mio. EUR oder 4% des weltweiten Unternehmensumsatzes.

In der Vergangenheit wurden datenschutzrechtliche Themen bei der Aufstellung von M&A-Prozessen oftmals nur am Rande berücksichtigt. Dies lag sicherlich auch an den bisher signifikant geringeren Sanktionen. Mittlerweile spielt der Datenschutz auch hier eine zentrale Rolle. Verkäufer und Erwerber fordert dies gleichermaßen. Denn die Veräußerung von Unternehmen war sicher nicht die Hauptstoßrichtung des Normgebers der DSGVO. Dies stellt DSGVO stellt eingespielte M&A-Prozesse auf den Prüfstand die Beteiligten vor die Frage, wie die datenschutzrechtlichen Anforderungen bei Unternehmenstransaktionen umzusetzen sind. Die Rechtsunsicherheit wird dadurch erhöht, dass es auf absehbare Zeit keine gefestigte Rechtsprechung und Behördenpraxis geben wird. Das Meinungsspektrum in der noch vereinzelten Literatur ist uneinheitlich.

Auf der sicheren Seite scheint, wer – möglichst früh – die Einwilligung der Betroffenen einholt, was aber häufig unpraktikabel ist. Zudem würde es gerade bei Konzernen einige Jahre dauern, bis von allen Kunden, Lieferanten und Mitarbeitern Einwilligungserklärungen vorliegen, möchte man diese zur Vermeidung von möglicher Unruhe nicht ohne Anlass flächendeckend einholen. Einige globale IT-Konzerne haben ihre Datenschutzerklärungen um eine Beschreibung der Weitergabe von Daten in Fällen einer Fusion, Sanierung oder Veräußerung von Vermögenswerten ergänzt. Ob dies allein ausreicht, darf bezweifelt werden.

Die Personenbezogenheit von Daten und damit die Anwendbarkeit des Datenschutzrechts kann durch Anonymisierung eliminiert werden.  Zweifelhaft ist allerdings, ob eine Schwärzung von Datenraumunterlagen, aus Kosten- und Zeitgründen zunehmend unterstützt durch Legal Tech, hierfür ausreicht.

In jedem Fall sollten zur Risiko- und Bußgeldminimierung Maßnahmen zur Gewährleistung der Vertraulichkeit ergriffen werden. Dies betrifft einen begrenzten Datenraumzugang, eine verschlüsselte Datenübermittlung, die Pflicht zur Löschung von Daten bei Transaktionsabbruch und entsprechende Vertragsstrafen. Zudem sollte mit Datenraumanbietern, vor allem solchen mit Sitz oder Servern außerhalb der EU, abgeklärt werden, ob die Einhaltung der DSGVO gewährleistet ist. Der Weg und das Ergebnis einer datenschutzrechtlichen Interessenabwägung für die Datenübermittlung sollte für jeden Milestone (Due Diligence, Post-Signing, Post-Closing) unter Berücksichtigung der Anforderungen aufgrund der gewählten Transaktionsstruktur (Asset Deal, Share Deal, Umwandlungsmaßnahme) dokumentiert und durch erfahrene Berater begleitet werden.

Dr. Tobias Grau
Autor
Dr. Tobias Grau

Dr. Tobias Grau ist auf nationale und internationale Transaktionen und Umstrukturierungen spezialisiert. Er hat zahlreiche Banken beim Verkauf und Kauf von Beteiligungen beraten und multinationale M&A-Projekte im Healthcare-Bereich koordiniert. Auch für Industrieunternehmen weiterer Branchen ist er regelmäßig in M&A-Mandaten und zu gesellschaftsrechtlichen Themen tätig, schwerpunktmäßig auch mit US-Bezug. Tobias Grau kam 2009 zu CMS und ist seit 2017 Partner der Sozietät. Er ist Dozent der Rechtsanwaltskammer Stuttgart und Prüfer im Zweiten Juristischen Staatsexamen. 

Profil
Das könnte Sie auch interessieren