Datenschutz bei M&A – Rechtsgrundlagen und Informationspflichten

Fachbeitrag

Im letzten Beitrag wurden die Beziehungen zwischen den möglichen Beteiligten an einer M&A-Transaktion sowie die daraus folgenden datenschutzrechtlichen Anforderungen dargestellt. Da im Rahmen der Due Diligence zu prüfen ist, ob die beabsichtigten Datenverarbeitungen durch einen Erlaubnistatbestand des Art. 6 DSGVO gerechtfertigt sind, befasst sich dieser Artikel kurz mit den möglichen Rechtsgrundlagen und erläutert anschließend insbesondere die Informationspflichten der Verantwortlichen.

Rechtmäßigkeit der Datenverarbeitung

Die Voraussetzungen hierfür wurden in dem Artikel Datenschutz beim Unternehmenskauf näher beleuchtet. Im Wesentlichen kommen drei Rechtsgrundlagen in Betracht, wobei Art. 6 Abs. 1 S.1 f) DSGVO wohl die gängige Rechtsgrundlage für Transaktionen ist:

  • Art. 6 Abs. 1 S.1 a) DSGVO
    scheidet häufig aus, weil die Einwilligung im Voraus für mögliche zukünftige Transaktionen als für den Betroffenen nicht bestimmt genug erscheint (Transparenzgebot); ebenso erscheint das Einfordern von Einwilligungen bei einer Vielzahl von Personen aufgrund des vertraulichen Charakters der Due Diligence als nicht zielführend.
  • Art. 6 Abs. 1 S.1 b) DSGVO
    greift häufig nicht, weil die Offenlegung der personenbezogenen Daten im Rahmen des M&A-Prozesses nicht zur Erfüllung eines Vertrages mit der betroffenen Person (Kunden, Lieferanten oder Beschäftigten) erfolgt. Dies gilt insbesondere für bereits beendete Vertragsverhältnisse.
  • Art. 6 Abs. 1 S.1 f) DSGVO
    wird daher meist für die Datenverarbeitung maßgeblich sein. Ein berechtigtes Interesse des Käufers und Verkäufers ergibt sich z.B. in der Erhöhung der Wettbewerbsfähigkeit durch die Transaktion. Dies gilt auch, wenn die Due Diligence vom Anteilseigner z.B. der Konzernmutter geführt wird, denn in diesem Fall kann sich der Verantwortliche auf das Interesse eines Dritten gem. Art. 6 Abs.1 S.1 lit. f) DSGVO berufen.

Asset oder Share Deal?

Käufer und Verkäufer unterliegen in Abhängigkeit zum Transaktionsmodell – Asset oder Share Deal – bei Unternehmenstransaktionen Informationspflichten gegenüber den betroffenen Personen. Dabei ist zu unterscheiden, ob die übermittelten Daten direkt bei der betroffenen Person Art. 13 DSGVO oder bei Dritten Art. 14 DSGVO erhoben wurden.

Share Deal

In diesem Fall werden Anteile an der Zielgesellschaft an den Erwerber übertragen und das Zielunternehmen fortgeführt, sodass der ursprüngliche Verantwortliche, der die Daten direkt erhoben hat oder erheben hat lassen, weiterhin bestehen bleibt. Hinsichtlich der Rechtmäßigkeit der Datenverarbeitung tritt keine Änderung ein, eine Informationspflicht entfällt.

Anders verhält es sich nur, wenn das Zielunternehmen in einen Konzernverbund eingegliedert werden soll und die ursprünglich beim Zielunternehmen erhobenen personenbezogenen Daten mit anderen Gesellschaften gemeinsam verwendet werden.

Asset Deal

Beim Asset Deal werden einzelne Vermögenswerte des Zielunternehmens an den Erwerber übertragen und in dessen Unternehmen integriert, d.h. der Verantwortliche ändert sich. Für diese Datenverarbeitung wird daher eine neue Rechtsgrundlage benötigt. Beide müssen die betroffene Person über die Datenverarbeitung informieren.

Hinsichtlich der Berechtigung zur Datenverarbeitung nach Art. 6 DSGVO ist zu berücksichtigen, ob sich die zu verarbeitenden personenbezogenen Daten auf laufende Geschäftsbeziehungen z.B. Vertragsverhältnisse betreffen oder ob diese Geschäftsbeziehungen unter Umständen schon beendet sind.

Zeitpunkt der Datenverarbeitung

Im Rahmen der Interessensabwägung ist es bei der Rechtmäßigkeitsprüfung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO von Bedeutung zu welchem Zeitpunkt (vor Signing, zwischen Signing und Closing, nach Closing) die Datenverarbeitung erfolgt und in welchem Umfang Daten übermittelt werden sollen, bzw. wie viele Personen Zugriffsberechtigung zu den Daten erhalten.

Informationspflichten nach Art. 13 DSGVO und 14 DSGVO

Keine Informationspflicht, weder für den Käufer noch für den Verkäufer, besteht bei anonymisierten Daten, da hier kein Personenbezug gegeben ist (ErwG 26). Soweit ein Personenbezug vorliegt, müssen Art. 13 DSGVO und Art. 14 DSGVO berücksichtigt werden.

Informationspflicht bei direkter Erhebung

In den meisten Fällen hat der Verkäufer die Daten jedoch in puncto Beschäftigte bzw. Kunden/Lieferanten bei diesen direkt zur Abwicklung des Vertragsverhältnisses erhoben.

Will der Verkäufer nun die ursprünglich zu einem anderen Zweck bei den betroffenen Personen erhobenen Daten auch im Rahmen der Due Diligence verarbeiten, ändert sich der Zweck der Datenverarbeitung. Der Verkäufer muss die betroffene Person vorab gem. Art. 13 Abs. 3 DSGVO inkl. dem Hinweis auf dessen Widerspruchsmöglichkeit für den Betroffenen informieren. Eine Zweckänderung und damit das Erfordernis einer Information nach Art. 13 Abs. 3 DSGVO ist bereits immer dann gegeben, wenn die Daten in einer Datensammlung für zukünftige nicht absehbare Verarbeitungen gespeichert werden.

Im Zuge der DSGVO hat bei jeder Zweckänderung im Nachgang zur ersten Speicherung eine Information (nachgelagerte Informationspflicht) an die betroffene Person zu erfolgen.

Bei einer Unternehmenstransaktion müsste die Information an eine Vielzahl betroffener Personen gehen. Wodurch es aufgrund des vertraulichen Charakters der Transaktion, je nach Zeitpunkt der Datenverarbeitung, zu Konflikten mit anderen gesetzlichen Vorgaben wie z.B. dem Wertpapierhandelsgesetz (WpHG) kommen kann.

  • Teilweise wird daher vertreten, in diesem Fall Art. 14 Abs. 5 lit. b DSGVO analog für den Käufer zu verwenden oder
  • § 32 Abs.1 Nr. 4 BDSG weit auszulegen als Ausnahme zu Art 13 Abs. 3 DSGVO, weil die Informationspflicht zu einer Beeinträchtigung der Verkäuferrechte führen würde.
  • Wieder andere vertreten die Meinung, dass Art. 13 Abs. 3 DSGVO dahingehend auszulegen sei, dass die Offenlegung der Daten zur Durchführung der Due Diligence keine Zweckänderung darstellt, sondern latent schon bei der Datenerhebung vorlag.

Für die letzte Ansicht spricht, dass das Zielunternehmen bei dem Unternehmensverkauf, keinen größeren Informationspflichten unterliegen kann als der Erwerber, der sich in Bezug auf die Informationspflicht auf Art. 14 Abs. 5 DSGVO ggf. mit § 29 Abs. 1 S.1 BDSG berufen kann. Demnach kann dieser die Information an die betroffene Person unterlassen, wenn sich die Erteilung der Information die Verwirklichung der Ziele dieser Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde, wie es beispielsweise der Fall sein kann, wenn infolge der Information des Betroffenen die Unternehmenstransaktion nicht durchgeführt werden könnte.

Unabhängig davon, welche Meinung man vertritt, müsste die Abwägung der Interessen genau dokumentiert und einzelfallbezogen durchgeführt werden.

Informationspflicht bei indirekter Erhebung

Eine indirekte Erhebung der Daten im Rahmen der Due Diligence wird meist auf Seiten des Käufers erfolgen, der die personenbezogenen Daten über den Verkäufer erhält. Die Informationspflichten gegenüber der betroffenen Person ergeben sich daher aus Art. 14 DSGVO. Wie oben und in dem Artikel Datenschutz beim Unternehmenskauf dargestellt, stellt die Datenverarbeitung durch den Erwerber eine Zweckänderung gem. Art. 14 Abs. 4 DSGVO dar. Daher muss der Käufer, sobald er die Daten im Datenraum zielgerichtet entgegennimmt, um sie weiterzuverarbeiten, die betroffene Person gem. Art. 14 Abs.1 DSGVO inkl. der Kategorien der verarbeiteten personenbezogenen Daten innerhalb der in Abs. 3 vorgesehenen Frist informieren.

Zu beachten ist jedoch, dass der Käufer von der Informationspflicht gegenüber der betroffenen Person absehen kann, wenn die Voraussetzungen des Art. 14 Abs. 5 DSGVO gegeben sind.

  • Die betroffene Person verfügt bereits über die Informationen.
  • Die Informationen an die betroffene Person erweisen sich als unmöglich oder stellen einen unverhältnismäßigen Aufwand dar.
  • Die Erlangung oder Offenlegung der Daten unterliegt Rechtsvorschriften der Union oder der Mitgliedsstaaten und es gibt geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person.
  • Die personenbezogenen Daten unterliegen gem. dem Unionsrecht oder dem Recht der Mitgliedsstaaten dem Berufsgeheimnis.

Weniger ist mehr

Im Rahmen der Unternehmenstransaktion ist es unbedingt erforderlich, sich sowohl auf Käufer- als auch auf Verkäuferseite Gedanken über die Auswahl und die Aufbereitung der im Datenraum zur Verfügung zustellenden personenbezogenen Daten zu machen. Soweit personenbezogene Daten bereitgestellt werden, ist der alte Grundsatz „weniger ist mehr“ zu berücksichtigen. Beide Seiten sollten sich eingehend überlegen, ob die Ergebnisse, die mit den personenbezogenen Daten eruiert werden sollen, im Zuge des in der DSGVO geltenden Grundsatzes der Datenminimierung auch anderweitig ermittelt werden könnten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.