Praxiswissen Datenschutz Basics

5 Min

Datenschutz in der Due Diligence – wie werden Risiken vermieden?

Dr. Frank Schemmel
Dr. Frank Schemmel


  • Datenschutz ist mittlerweile ein Kernbestandteil der Due Diligence.
  • Die DSGVO und drohende Bußgelder erfordern ein aktives Risikomanagement.
  • Asset Deals mit Kundendaten sind als besonders riskant einzustufen und nur unter engen Voraussetzungen möglich.
  • Viele Unternehmen haben nur ein lückenhaftes Verständnis, welche Daten mit welcher Legitimation eingesammelt werden und wie sie genau verwendet werden.
  • Eine fehlende Rechtsgrundlage bei der Datenerhebung „infiziert“ auch alle nachfolgenden Verwendungen und muss daher unbedingt vermieden werden.
  • Eine gründliche Due Diligence in einem vertretbaren Zeitrahmen gelingt nur bei guter Vorbereitung.
  • Die Qualität des Beraterteams ist bei einem solch komplexen Vorhaben von entscheidender Bedeutung.

 In diesem Beitrag

Die Katze im Sack kauft niemand gern, und so steht vor Unternehmenstransaktionen oder Finanzierungsrunden mit der Due Diligence die sorgfältige Prüfung des Übernahme- bzw. Investitionskandidaten. Das Thema Datenschutz spielt hier auf zweierlei Weise eine Rolle: Einerseits ist das Datenschutz-Niveau beim Zielunternehmen in der heutigen Zeit ein wichtiger Faktor in der Bewertung geworden. Andererseits kann der Datenschutz paradoxerweise auch dem Informationsaustausch im Rahmen der Due Diligence im Weg stehen.

Welche Bedeutung hat der Datenschutz im Due-Diligence-Prozess?

Datenschutz war nicht immer fester Bestandteil einer Due Diligence. Noch vor rund fünf Jahren wurde das Thema eher stiefmütterlich behandelt. Zwei Schlaglichter helfen zu verstehen, warum sich das geändert hat:

  • Gescheiterter Asset Deal: 2015 brachte das Bayrische Landesamt für Datenschutz einen Asset Deal zu Fall, bei dem Kundendaten verkauft werden sollten, ohne dass die Betroffenen im Vorfeld um ihre explizite Einwilligung gebeten wurden. Zusätzlich zu Bußgeldern in fünfstelliger Höhe bedeutete dieses Katastrophen-Szenario direkte wirtschaftliche Schäden und Reputationsverluste für Käufer und Verkäufer.
  • Rekordstrafe: 2019 verhängte die britische Datenschutzbehörde ICO ein Bußgeld von knapp 100 Millionen Pfund gegen den Hotelkonzern Marriott (eines der höchsten verhängten Bußgelder überhaupt). Marriott hatte 2014 die Hotelkette Starwood übernommen. Während der Due Diligence war unbemerkt geblieben, dass aufgrund von Sicherheitslücken in den IT-Systemen von Starwood Hacker auf Kundendaten zugreifen konnten.

Diese Beispiele illustrieren, dass sich Haftungsrisiken in Zusammenhang mit dem Datenschutz für Investoren deutlich erhöht haben. Auch jenseits von Bußgeldern wird der Wert von Unternehmen oder Unternehmensteilen zunehmend durch den gesammelten Datenbestand bestimmt. Spätestens seit die DSGVO in Kraft getreten ist, avanciert der Datenschutz so vom Rand- zu einem der Kernthemen der Due Diligence.

Wann ist eine Datenschutz-Due-Diligence relevant?

Laut einer Studie des Venture Capital Fonds White Star Capital war 2019 ein Rekordjahr für die deutsche Start-up-Landschaft, denn es flossen umgerechnet 5,7 Milliarden Dollar an Wagniskapital in deutsche Start-ups. Bei den als Mergers & Acquisitions (M&A) zusammengefassten Unternehmenstransaktionen war das Volumen 2019 mit 153 Milliarden US-Dollar auf anhaltend hohem Niveau, während die Gesamtzahl leicht auf 2.312 anstieg.

Auch wenn die Auswirkungen der Corona-Krise auf die Zahl der Unternehmenstransaktionen im Jahr 2020 und in den Folgejahren noch nicht vollständig absehbar sind, ist das Thema Datenschutz bei der Due Diligence damit weiterhin in höchstem Maße relevant (denkbar wäre sogar, dass geschwächte Unternehmen vermehrt zu Übernahmekandidaten werden und es allgemein zu Marktkonzentrationen durch Übernahmen kommt). Je nach Art der Transaktion ist die Rolle der Datenschutz-Due-Diligence dabei jedoch unterschiedlich zu bewerten:

  1. Share Deals, also Anteilsbeteiligungen an Unternehmen sind datenschutzrechtlich weniger komplex, auch wenn das Datenschutzniveau beim Übernahmekandidaten selbstverständlich in die Bewertung einfließt.
  2. Asset Deals, also der Erwerb von einzelnen Vermögensgegenständen eines Unternehmens, können es notwendig machen, das Thema Datenschutz bei der Due Diligence besonders intensiv zu betrachten. Dies ist regelmäßig dann der Fall, wenn auch personenbezogene Kundendaten übertragen werden, die dem Datenschutz unterliegen. Fehler können hier im schlimmsten Fall dazu führen, dass der Kaufvertrag rechtlich nichtig ist und rückabgewickelt werden muss.
  3. Umstrukturierungen nach dem Umwandlungsgesetz (UmwG), wie z. B. eine Verschmelzung oder (Ab-)Spaltung von Unternehmen stehen hinsichtlich der datenschutzrechtlichen Komplexität und Anforderungen zwischen Share und Asset Deal. Anders als bei Letzterem erfolgt die Übertragung von Rechten und Vermögensgegenständen nicht durch einen Kaufvertrag und jeweils einzelne Übereignung, sondern qua Gesetzes wegen durch sogenannte „Gesamtrechtsnachfolge“.

Neben Mergers & Acquisitions ist die Datenschutz-Due-Diligence auch bei der Unternehmensfinanzierung von Bedeutung.

Wie muss der Datenschutz bei der Due Diligence beachtet werden?

Im Rahmen eines Unternehmenskaufes besteht seitens des Käufers regelmäßig auch ein Interesse an der Offenlegung von bspw. Gehältern, Betriebszugehörigkeiten und anderen Vertragsbedingungen der Beschäftigten. Hier ist der Datenschutz nicht nur Gegenstand der Due Diligence, sondern wirkt limitierend auf den Prozess des Informationsaustausches.

Unproblematisch ist es, statistische Daten wie durchschnittliche Gehälter oder Betriebszugehörigkeiten zu übermitteln. Daten zu einzelnen Mitarbeitern, für die sich der Käufer besonders interessiert, dürfen grundsätzlich nur anonymisiert weitergegeben werden. Selbst geschwärzte Daten helfen hier nicht unbedingt weiter, wenn sich aus den Merkmalen wieder auf den konkreten Mitarbeiter zurückschließen lässt.

Es kann durchaus ein schützenswertes Interesse des Käufers an Informationen zu besonders wichtigen Mitarbeitern bestehen, das eine Offenlegung rechtfertigt. Dieses Käuferinteresse muss aber in jedem Fall mit den Schutzinteressen der Mitarbeiter abgewogen werden. Dabei gewinnt das Informationsinteresse des Käufers zunehmend an Gewicht, je stärker man sich dem Closing nähert. Ein möglicher Ausweg ist auch, betroffene Mitarbeiter explizit um ihre Einwilligung zu ersuchen.

Was sind die Kernprobleme bei der Datenschutz-Due-Diligence?

Unzureichendes Data Mapping ist häufig das Oberthema für Datenschutz-Problematiken. Das Unternehmen weiß nicht präzise, 

  • welche Daten an welcher Stelle mit welcher Legitimation und welchem Verwendungszweck eingesammelt werden,
  • wie sich diese Daten im Unternehmen bewegen und
  • ob die Daten überhaupt noch im Unternehmen sind.

Oft stellen Unternehmen überhaupt erst im Zuge der Due Diligence bei einem angestrebten Verkauf, Restrukturierung oder einer Finanzierung fest, dass ihr Agieren von bisher unerkannten und zugleich permanenten Verstößen gegen Datenschutzvorschriften geprägt ist und ihnen daraus erhebliche Risiken erwachsen. Um einige Beispiele zu nennen:

  • Kundendaten bestehen zu erheblichen Teilen aus Karteileichen, die nie bereinigt wurden.
  • Daten werden zu Zwecken verwendet, denen die Kunden bei der Erhebung nicht explizit zugestimmt haben bzw. die vom ursprünglichen Verarbeitungszweck abweichen.
  • Es fehlen Auftragsverarbeitungsverträge mit wichtigen Dienstleistern.

Was sind die Leitfragen einer Datenschutz-Due-Diligence?

Der Datenschutz sollte innerhalb der Due Diligence anhand von vier Schlüsselfragen untersucht werden:

  1. Ist die passende Rechtsgrundlage für die Erhebung, Speicherung und Verwendung von Daten vorhanden?
  2. Werden dabei die Regeln der Datenverarbeitung nach der DSGVO eingehalten?
  3. Werden die weiteren Pflichten, besonders auch die Sicherheit der Informationssysteme, beachtet?
  4. Sind die Daten nachvollziehbar gemappt, sodass eine systematische Due Diligence überhaupt möglich ist?

Alles überragend ist dabei die erste Frage. Fehlt es an der zulässigen Rechtsgrundlage, dann sind auch alle nachfolgenden Schritte von diesem Mangel infiziert, auch wenn hierbei alle weiteren Vorschriften und Pflichten (wie z. B. Transparenz- und Informationspflichten) beachtet werden. Insoweit sind also auch alle weiteren Datenverarbeitungsaktivitäten fehlerhaft und damit rechtswidrig und können grundsätzlich nachträglich nicht „geheilt“ werden, auch nicht durch eine spätere ausdrückliche Einwilligung der Betroffenen.

Welche Schwerpunkte sollten bei der Due Diligence gesetzt werden?

Welche Unternehmensbereiche einer vertieften Betrachtung unterzogen werden sollten und wie granular und komplex diese Betrachtung ausfällt, hängt stark von der Art des Unternehmens ab:

  • Bei Tech-Unternehmen liegt der Fokus regelmäßig auf dem technischen Datenschutz, mit dem das erforderliche Niveau an Datensicherheit hergestellt werden muss.
  • Im E-Commerce geht es besonders um den rechtskonformen Umgang mit Kundendaten. Man untersucht die Datenschutzerklärungen auf Websites und in Apps oder prüft das Vorhandensein von Double-Opt-Ins für Marketingzwecke.
  • Bei klassischen Industrieunternehmen sollten besonders auch Dienstleister in den Fokus rücken. Der lückenlose Bestand an richtig ausgestalteten Auftragsverarbeitungsverträgen (AVV) ist hier ein entscheidender Punkt.

Wie läuft die Datenschutz-Due-Diligence praktisch ab?

Oft werden Versäumnisse beim Datenschutz schon durch andere Teilprozesse der Due Diligence, etwa bei der Tax Due Diligence oder der Tech Due Diligence aufgedeckt. Beispielsweise gehört im Rahmen der Tech Due Diligence eine Liste aller Dienstleister zum Standardrepertoire. Wenn diese nicht mit dem Verzeichnis der Auftragsverarbeitungsverträge übereinstimmt, besteht oft Nachbesserungsbedarf.

Im Verlauf eines Verkaufs- oder Finanzierungsvorgangs hat die Aufdeckung solcher Datenschutz-Lücken ggf. schwere Konsequenzen. Der wohl schlimmste Vermerk in einem Due Diligence Report lautet: „Ich habe keine Informationen.“ Eine solche Red Flag kann regelmäßig zu einer (erheblichen) Kaufpreisminderung führen oder hohe Gewährleistungen und Garantien (sog. Representations & Warranties) bzw. Freistellungen (sog. Indemnities) zu Lasten des zu bewertenden Unternehmens nach sich ziehen.

Rechtzeitig erkannt, können solche Lücken und Versäumnisse oftmals noch ausgebügelt werden. Im Zweifel ist es dann besser, das Signing bzw. Closing zu verschieben, bis die Red Flags ausgemerzt sind. Rechtlich lässt sich dies durch aufschiebende Bedingungen im Vertrag umsetzen.

Welche Optionen für die Tiefe der Datenschutz-Due-Diligence gibt es?

Bei DataGuard sprechen wir von einer „Fully-flegded Due Dilegence“, wenn wirklich alle berührten Unternehmensprozesse und -bereiche auf den Prüfstand kommen. Der resultierende deskriptive Report beschreibt dann die gesamte Datenerhebung und -verarbeitung im Unternehmen, listet Verträge auf und so weiter. Eine Prüfung und Dokumentation in diesem Umfang und dieser Gründlichkeit wird in der Praxis selten und eher bei Deals im acht- oder neunstelligen Bereich durchgeführt.

In der Praxis wesentlich gängiger ist die Light-Version mit dem Ziel eines „Red Flag Issue Reports“. Man fragt sich also im Vorfeld, wo die größten Risiken liegen könnten, fokussiert diese Bereiche und stellt im Report heraus, wo noch nachgebessert werden müsste.

Wie finde ich einen geeigneten Dienstleister für die Datenschutz-Due-Diligence?

Durch Vorabrecherchen in Branchenmedien, die M&As dokumentieren (z. B. als „Deal des Jahres“) können oft auch beteiligte Beratungsunternehmen identifiziert werden, die auf der Käufer- und Verkäuferseite aktiv waren. So lässt sich auch bezüglich der Branche eine passende Vorauswahl treffen. Nicht zuletzt sind auch Aussagen darüber möglich, mit welchem Erfolg die externen Berater agiert haben – z. B. anhand der Zeitspanne zwischen Signing und Closing.

Einem konkreten Kandidaten könnten in einem Auswahlgespräch die folgenden Fragen gestellt werden:

  • Wie gehen Sie das Projekt an?
  • Wie können Sie uns unterstützen?
  • Wo liegen Risiken und Reibungspunkte?
  • Wie ist der zeitliche Horizont?

Misstrauisch werden sollten Sie, wenn die Antwort auf die letzte Frage lautet: „Wir sind in X Monaten fertig.“ Die seriöse Antwort lautet, dass in den meisten Fällen der vorab gesetzte Zeitrahmen überschritten wird. Eine zuverlässige Abschätzung ist ohne genauere Kenntnis der Gegebenheiten und individuellen Risiken nicht möglich.

Fazit

Datenschutz in der Due Diligence bleibt als Thema sowohl aktuell als auch akut, denn M&As werden gerade auch in wirtschaftlich schwierigen Zeiten vollzogen. Unternehmen, die wachsen wollen, setzen weiterhin auf neue Investoren. Käufer wie Investoren haben ein vitales Interesse, Datenschutzproblematiken als Risikoquellen zu kennen und in die Kaufpreisverhandlungen einfließen zu lassen. Es gibt ein wachsendes Bewusstsein, dass der Datenschutz zum Dealbreaker werden kann. Dies gilt insbesondere bei der Übertragung von Kundendaten im Rahmen von Asset Deals. Es besteht die Gefahr, dass der komplette Kaufvertrag nichtig wird, dass Daten nicht genutzt werden dürfen und sogar hohe Bußgelder riskiert werden. Bei Share Deals sind datenschutzrechtliche Probleme weniger immanent. In allen Fällen sind aber wichtig: gute Berater und eine angemessene Vorbereitung.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenloses Erstgespräch vereinbaren
Veröffentlicht am Aktualisiert am
Tags Praxiswissen Datenschutz Basics

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen
Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen
IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren