Datenschutz in der Due Diligence – wie werden Risiken vermieden?

Das Wichtigste in Kürze

  • Datenschutz ist mittlerweile ein Kernbestandteil der Due Diligence.
  • Die DSGVO und drohende Bußgelder erfordern ein aktives Risikomanagement.
  • Asset Deals mit Kundendaten sind als besonders riskant einzustufen und nur unter engen Voraussetzungen möglich.
  • Viele Unternehmen haben nur ein lückenhaftes Verständnis, welche Daten mit welcher Legitimation eingesammelt werden und wie sie genau verwendet werden.
  • Eine fehlende Rechtsgrundlage bei der Datenerhebung „infiziert“ auch alle nachfolgenden Verwendungen und muss daher unbedingt vermieden werden.
  • Eine gründliche Due Diligence in einem vertretbaren Zeitrahmen gelingt nur bei guter Vorbereitung.
  • Die Qualität des Beraterteams ist bei einem solch komplexen Vorhaben von entscheidender Bedeutung.

In diesem Beitrag

Die Katze im Sack kauft niemand gern, und so steht vor Unternehmenstransaktionen oder Finanzierungsrunden mit der Due Diligence die sorgfältige Prüfung des Übernahme- bzw. Investitionskandidaten. Das Thema Datenschutz spielt hier auf zweierlei Weise eine Rolle: Einerseits ist das Datenschutz-Niveau beim Zielunternehmen in der heutigen Zeit ein wichtiger Faktor in der Bewertung geworden. Andererseits kann der Datenschutz paradoxerweise auch dem Informationsaustausch im Rahmen der Due Diligence im Weg stehen.

Welche Bedeutung hat der Datenschutz im Due-Diligence-Prozess?

Datenschutz war nicht immer fester Bestandteil einer Due Diligence. Noch vor rund fünf Jahren wurde das Thema eher stiefmütterlich behandelt. Zwei Schlaglichter helfen zu verstehen, warum sich das geändert hat:

  • Gescheiterter Asset Deal: 2015 brachte das Bayrische Landesamt für Datenschutz einen Asset Deal zu Fall, bei dem Kundendaten verkauft werden sollten, ohne dass die Betroffenen im Vorfeld um ihre explizite Einwilligung gebeten wurden. Zusätzlich zu Bußgeldern in fünfstelliger Höhe bedeutete dieses Katastrophen-Szenario direkte wirtschaftliche Schäden und Reputationsverluste für Käufer und Verkäufer.
  • Rekordstrafe: 2019 verhängte die britische Datenschutzbehörde ICO ein Bußgeld von knapp 100 Millionen Pfund gegen den Hotelkonzern Marriott (eines der höchsten verhängten Bußgelder überhaupt). Marriott hatte 2014 die Hotelkette Starwood übernommen. Während der Due Diligence war unbemerkt geblieben, dass aufgrund von Sicherheitslücken in den IT-Systemen von Starwood Hacker auf Kundendaten zugreifen konnten.

Diese Beispiele illustrieren, dass sich Haftungsrisiken in Zusammenhang mit dem Datenschutz für Investoren deutlich erhöht haben. Auch jenseits von Bußgeldern wird der Wert von Unternehmen oder Unternehmensteilen zunehmend durch den gesammelten Datenbestand bestimmt. Spätestens seit die DSGVO in Kraft getreten ist, avanciert der Datenschutz so vom Rand- zu einem der Kernthemen der Due Diligence.

Wann ist eine Datenschutz-Due-Diligence relevant?

Laut einer Studie des Venture Capital Fonds White Star Capital war 2019 ein Rekordjahr für die deutsche Start-up-Landschaft, denn es flossen umgerechnet 5,7 Milliarden Dollar an Wagniskapital in deutsche Start-ups. Bei den als Mergers & Acquisitions (M&A) zusammengefassten Unternehmenstransaktionen war das Volumen 2019 mit 153 Milliarden US-Dollar auf anhaltend hohem Niveau, während die Gesamtzahl leicht auf 2.312 anstieg.

Auch wenn die Auswirkungen der Corona-Krise auf die Zahl der Unternehmenstransaktionen im Jahr 2020 und in den Folgejahren noch nicht vollständig absehbar sind, ist das Thema Datenschutz bei der Due Diligence damit weiterhin in höchstem Maße relevant (denkbar wäre sogar, dass geschwächte Unternehmen vermehrt zu Übernahmekandidaten werden und es allgemein zu Marktkonzentrationen durch Übernahmen kommt). Je nach Art der Transaktion ist die Rolle der Datenschutz-Due-Diligence dabei jedoch unterschiedlich zu bewerten:

  1. Share Deals, also Anteilsbeteiligungen an Unternehmen sind datenschutzrechtlich weniger komplex, auch wenn das Datenschutzniveau beim Übernahmekandidaten selbstverständlich in die Bewertung einfließt.
  2. Asset Deals, also der Erwerb von einzelnen Vermögensgegenständen eines Unternehmens, können es notwendig machen, das Thema Datenschutz bei der Due Diligence besonders intensiv zu betrachten. Dies ist regelmäßig dann der Fall, wenn auch personenbezogene Kundendaten übertragen werden, die dem Datenschutz unterliegen. Fehler können hier im schlimmsten Fall dazu führen, dass der Kaufvertrag rechtlich nichtig ist und rückabgewickelt werden muss.
  3. Umstrukturierungen nach dem Umwandlungsgesetz (UmwG), wie z. B. eine Verschmelzung oder (Ab-)Spaltung von Unternehmen stehen hinsichtlich der datenschutzrechtlichen Komplexität und Anforderungen zwischen Share und Asset Deal. Anders als bei Letzterem erfolgt die Übertragung von Rechten und Vermögensgegenständen nicht durch einen Kaufvertrag und jeweils einzelne Übereignung, sondern qua Gesetzes wegen durch sogenannte „Gesamtrechtsnachfolge“.

Neben Mergers & Acquisitions ist die Datenschutz-Due-Diligence auch bei der Unternehmensfinanzierung von Bedeutung.

Wie muss der Datenschutz bei der Due Diligence beachtet werden?

Im Rahmen eines Unternehmenskaufes besteht seitens des Käufers regelmäßig auch ein Interesse an der Offenlegung von bspw. Gehältern, Betriebszugehörigkeiten und anderen Vertragsbedingungen der Beschäftigten. Hier ist der Datenschutz nicht nur Gegenstand der Due Diligence, sondern wirkt limitierend auf den Prozess des Informationsaustausches.

Unproblematisch ist es, statistische Daten wie durchschnittliche Gehälter oder Betriebszugehörigkeiten zu übermitteln. Daten zu einzelnen Mitarbeitern, für die sich der Käufer besonders interessiert, dürfen grundsätzlich nur anonymisiert weitergegeben werden. Selbst geschwärzte Daten helfen hier nicht unbedingt weiter, wenn sich aus den Merkmalen wieder auf den konkreten Mitarbeiter zurückschließen lässt.

Es kann durchaus ein schützenswertes Interesse des Käufers an Informationen zu besonders wichtigen Mitarbeitern bestehen, das eine Offenlegung rechtfertigt. Dieses Käuferinteresse muss aber in jedem Fall mit den Schutzinteressen der Mitarbeiter abgewogen werden. Dabei gewinnt das Informationsinteresse des Käufers zunehmend an Gewicht, je stärker man sich dem Closing nähert. Ein möglicher Ausweg ist auch, betroffene Mitarbeiter explizit um ihre Einwilligung zu ersuchen.

Was sind die Kernprobleme bei der Datenschutz-Due-Diligence?

Unzureichendes Data Mapping ist häufig das Oberthema für Datenschutz-Problematiken. Das Unternehmen weiß nicht präzise, 

  • welche Daten an welcher Stelle mit welcher Legitimation und welchem Verwendungszweck eingesammelt werden,
  • wie sich diese Daten im Unternehmen bewegen und
  • ob die Daten überhaupt noch im Unternehmen sind.

Oft stellen Unternehmen überhaupt erst im Zuge der Due Diligence bei einem angestrebten Verkauf, Restrukturierung oder einer Finanzierung fest, dass ihr Agieren von bisher unerkannten und zugleich permanenten Verstößen gegen Datenschutzvorschriften geprägt ist und ihnen daraus erhebliche Risiken erwachsen. Um einige Beispiele zu nennen:

  • Kundendaten bestehen zu erheblichen Teilen aus Karteileichen, die nie bereinigt wurden.
  • Daten werden zu Zwecken verwendet, denen die Kunden bei der Erhebung nicht explizit zugestimmt haben bzw. die vom ursprünglichen Verarbeitungszweck abweichen.
  • Es fehlen Auftragsverarbeitungsverträge mit wichtigen Dienstleistern.

Was sind die Leitfragen einer Datenschutz-Due-Diligence?

Der Datenschutz sollte innerhalb der Due Diligence anhand von vier Schlüsselfragen untersucht werden:

  1. Ist die passende Rechtsgrundlage für die Erhebung, Speicherung und Verwendung von Daten vorhanden?
  2. Werden dabei die Regeln der Datenverarbeitung nach der DSGVO eingehalten?
  3. Werden die weiteren Pflichten, besonders auch die Sicherheit der Informationssysteme, beachtet?
  4. Sind die Daten nachvollziehbar gemappt, sodass eine systematische Due Diligence überhaupt möglich ist?

Alles überragend ist dabei die erste Frage. Fehlt es an der zulässigen Rechtsgrundlage, dann sind auch alle nachfolgenden Schritte von diesem Mangel infiziert, auch wenn hierbei alle weiteren Vorschriften und Pflichten (wie z. B. Transparenz- und Informationspflichten) beachtet werden. Insoweit sind also auch alle weiteren Datenverarbeitungsaktivitäten fehlerhaft und damit rechtswidrig und können grundsätzlich nachträglich nicht „geheilt“ werden, auch nicht durch eine spätere ausdrückliche Einwilligung der Betroffenen.

Welche Schwerpunkte sollten bei der Due Diligence gesetzt werden?

Welche Unternehmensbereiche einer vertieften Betrachtung unterzogen werden sollten und wie granular und komplex diese Betrachtung ausfällt, hängt stark von der Art des Unternehmens ab:

  • Bei Tech-Unternehmen liegt der Fokus regelmäßig auf dem technischen Datenschutz, mit dem das erforderliche Niveau an Datensicherheit hergestellt werden muss.
  • Im E-Commerce geht es besonders um den rechtskonformen Umgang mit Kundendaten. Man untersucht die Datenschutzerklärungen auf Websites und in Apps oder prüft das Vorhandensein von Double-Opt-Ins für Marketingzwecke.
  • Bei klassischen Industrieunternehmen sollten besonders auch Dienstleister in den Fokus rücken. Der lückenlose Bestand an richtig ausgestalteten Auftragsverarbeitungsverträgen (AVV) ist hier ein entscheidender Punkt.

Wie läuft die Datenschutz-Due-Diligence praktisch ab?

Oft werden Versäumnisse beim Datenschutz schon durch andere Teilprozesse der Due Diligence, etwa bei der Tax Due Diligence oder der Tech Due Diligence aufgedeckt. Beispielsweise gehört im Rahmen der Tech Due Diligence eine Liste aller Dienstleister zum Standardrepertoire. Wenn diese nicht mit dem Verzeichnis der Auftragsverarbeitungsverträge übereinstimmt, besteht oft Nachbesserungsbedarf.

Im Verlauf eines Verkaufs- oder Finanzierungsvorgangs hat die Aufdeckung solcher Datenschutz-Lücken ggf. schwere Konsequenzen. Der wohl schlimmste Vermerk in einem Due Diligence Report lautet: „Ich habe keine Informationen.“ Eine solche Red Flag kann regelmäßig zu einer (erheblichen) Kaufpreisminderung führen oder hohe Gewährleistungen und Garantien (sog. Representations & Warranties) bzw. Freistellungen (sog. Indemnities) zu Lasten des zu bewertenden Unternehmens nach sich ziehen.

Rechtzeitig erkannt, können solche Lücken und Versäumnisse oftmals noch ausgebügelt werden. Im Zweifel ist es dann besser, das Signing bzw. Closing zu verschieben, bis die Red Flags ausgemerzt sind. Rechtlich lässt sich dies durch aufschiebende Bedingungen im Vertrag umsetzen.

Welche Optionen für die Tiefe der Datenschutz-Due-Diligence gibt es?

Bei DataGuard sprechen wir von einer „Fully-flegded Due Dilegence“, wenn wirklich alle berührten Unternehmensprozesse und -bereiche auf den Prüfstand kommen. Der resultierende deskriptive Report beschreibt dann die gesamte Datenerhebung und -verarbeitung im Unternehmen, listet Verträge auf und so weiter. Eine Prüfung und Dokumentation in diesem Umfang und dieser Gründlichkeit wird in der Praxis selten und eher bei Deals im acht- oder neunstelligen Bereich durchgeführt.

In der Praxis wesentlich gängiger ist die Light-Version mit dem Ziel eines „Red Flag Issue Reports“. Man fragt sich also im Vorfeld, wo die größten Risiken liegen könnten, fokussiert diese Bereiche und stellt im Report heraus, wo noch nachgebessert werden müsste.

Wie finde ich einen geeigneten Dienstleister für die Datenschutz-Due-Diligence?

Durch Vorabrecherchen in Branchenmedien, die M&As dokumentieren (z. B. als „Deal des Jahres“) können oft auch beteiligte Beratungsunternehmen identifiziert werden, die auf der Käufer- und Verkäuferseite aktiv waren. So lässt sich auch bezüglich der Branche eine passende Vorauswahl treffen. Nicht zuletzt sind auch Aussagen darüber möglich, mit welchem Erfolg die externen Berater agiert haben – z. B. anhand der Zeitspanne zwischen Signing und Closing.

Einem konkreten Kandidaten könnten in einem Auswahlgespräch die folgenden Fragen gestellt werden:

  • Wie gehen Sie das Projekt an?
  • Wie können Sie uns unterstützen?
  • Wo liegen Risiken und Reibungspunkte?
  • Wie ist der zeitliche Horizont?

Misstrauisch werden sollten Sie, wenn die Antwort auf die letzte Frage lautet: „Wir sind in X Monaten fertig.“ Die seriöse Antwort lautet, dass in den meisten Fällen der vorab gesetzte Zeitrahmen überschritten wird. Eine zuverlässige Abschätzung ist ohne genauere Kenntnis der Gegebenheiten und individuellen Risiken nicht möglich.

Fazit

Datenschutz in der Due Diligence bleibt als Thema sowohl aktuell als auch akut, denn M&As werden gerade auch in wirtschaftlich schwierigen Zeiten vollzogen. Unternehmen, die wachsen wollen, setzen weiterhin auf neue Investoren. Käufer wie Investoren haben ein vitales Interesse, Datenschutzproblematiken als Risikoquellen zu kennen und in die Kaufpreisverhandlungen einfließen zu lassen. Es gibt ein wachsendes Bewusstsein, dass der Datenschutz zum Dealbreaker werden kann. Dies gilt insbesondere bei der Übertragung von Kundendaten im Rahmen von Asset Deals. Es besteht die Gefahr, dass der komplette Kaufvertrag nichtig wird, dass Daten nicht genutzt werden dürfen und sogar hohe Bußgelder riskiert werden. Bei Share Deals sind datenschutzrechtliche Probleme weniger immanent. In allen Fällen sind aber wichtig: gute Berater und eine angemessene Vorbereitung.


Über den Autor

Dr. Frank Schemmel

Seine langjährige Erfahrung als Datenschutzspezialist hat Dr. Frank Schemmel, heute Head of Privacy (Corporate) bei DataGuard, in einer internationalen Großkanzlei erworben, wo er den Aufbau der datenschutzrechtlichen Praxis für Deutschland verantwortete. Heute verfolgt der Wirtschaftsjurist vor allem ein Ziel: „Pionierarbeit an der Digitalisierung leisten – der größten Herausforderung des 21. Jahrhunderts“. Dafür verbindet er rechtswissenschaftliche Forschung und Praxis, um seinen Kunden das bestmögliche Ergebnis zu liefern. Außerhalb des Datenschutzes kann Frank beim Schmökern in historischen Romanen, beim Spielen von Video-Games oder beim Streamen seiner koreanischen Lieblings-Musikshows besonders gut abschalten.

Weitere Beiträge von Dr. Frank Schemmel

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service