Wurde das Thema Datenschutz bei M&A-Deals in der Vergangenheit meist eher stiefmütterlich behandelt, so stellt sich mit der Scharfschaltung der DSGVO insbesondere den Transaktionsprozessen bei Unternehmen in Krisen beziehungsweise Insolvenzsituationen eine neue Hürde in den Weg. Datenschutzverstöße können Dealbreaker sein, zumindest aber eine teure Angelegenheit und (bei gewerbsmäßigen Verstößen) sogar eine Straftat.
Da sich aktuell noch keine rechtssichere Best Practice herauskristallisiert hat, ist den Beteiligten an M&A-Prozessen eine Interessenabwägung und entsprechende Dokumentation zu empfehlen.
Welche Strafen drohen bei Verstößen gegen die DGSVO?
In der letztjährigen inpuncto-Sonderausgabe „Sanierung & Restrukturierung“ sind wir bereits auf die zunehmende Komplexität von Distressed-M&A-Prozessen eingegangen. In der Zwischenzeit, genauer am 25. Mai 2018, ist nun auch in Deutschland die im Frühjahr 2016 verabschiedete Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Sie hat die bereits beschriebene Komplexität weiter erhöht, weil nun ein weiteres Element berücksichtigt werden muss.
Zunächst sei der mahnende Hinweis gestattet, dass ein nachgewiesener Verstoß gegen die DSGVO bußgeldbewehrt ist und in schweren Fällen sogar eine Straftat darstellt. Wir gehen davon aus, dass die Landesdatenschutzbehörden mit zunehmender Personalausstattung bald aktiver sein und gemeldete Verstöße konsequenter verfolgen werden. Verhängte Geldbußen sind im Übrigen insolvenzfest und gehen bei Unternehmensverkäufen auf die Erwerber über.
Zur Gesetzeseinführung im Sommer letzten Jahres war zu beobachten, dass viele Unternehmen teilweise hektisch versuchten, sich schnell noch datenschutzkonform aufzustellen, Prozesse neu zu definieren und Mitarbeiter zu schulen. Wie die aktuellen Datenschutzregeln in professionell geführten M&A-Prozessen berücksichtigt werden können, ist aktuell ebenfalls noch nicht vollständig geklärt. Aktuell fungieren wir M&A-Berater nebenbei auch als Coaches, um Mandanten, insbesondere im mittelständischen Unternehmenssegment, kurzfristig auf den Stand der DSGVO zu bringen, sodass sie den Due-Diligence-Prüfungen potenzieller Investoren standhalten können.
Bußgeldvorschriften, Strafvorschriften (gemäß Art. 82, 83 DSGVO; §§ 43, 44 BDSG, § 42 BDSG [neu]; OWiG)
- Schadensersatz (Art. 82 DSGVO)
- Ordnungswidrigkeit mit Bußgeld bis zu 50.000 € bzw. pro Fall (Vorsatz oder Fahrlässigkeit) bei Verletzung von Auskunftsersuchen oder Unterrichtspflichten bei Verbrauchern
- Ordnungswidrigkeit mit Bußgeld in der Spitze bis zu 10 Mio. €/20 Mio. € bzw. 2 %/4 % des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres
- Straftat mit Freiheitsstrafen von bis zu zwei bzw. drei Jahren
Hinweis: Geldbußen sind insolvenzfest und gehen bei Rechtsnachfolgen über.
DGSVO in der Due Diligence
Reicht im Rahmen eines regulären M&A-Prozesses die typische Prozesslaufzeit von rund sechs bis acht Monaten – der gute Wille der Mandanten einmal unterstellt – meist aus, um zumindest die notwendige Aktenlage im Datenraum (siehe Checkliste) herzustellen, so wird diese Zeit im Rahmen eines verkürzten Distressed-M&A-Prozesses in einer Krisensituation oder (vorläufigen) Insolvenz meist sehr knapp. Darüber hinaus genießt das Thema Datenschutz in einer solchen Phase bei Management beziehungsweise Mitarbeitern nicht unbedingt höchste Priorität.
Gemäß Art. 6 DSGVO gibt es Erlaubnistatbestände zur Verarbeitung personenbezogener Daten, die im täglichen betrieblichen Alltag durchaus handhabbar sind. Jedoch gehören beabsichtigte M&A-Transaktionen (Verkauf von Daten ist Verarbeitung!) oder Restrukturierungs- beziehungsweise Insolvenzprivilegien nicht dazu. Das bedeutet, dass auch eine Offenlegung personenbezogener Daten (z. B. von Mitarbeitern, Kunden, Lieferanten) für die Zwecke der Due Diligence potenzieller Investoren per se datenschutzrechtlich nicht zulässig ist, sofern die betroffenen Personen nicht explizit eingewilligt haben. Das Thema der Notwendigkeit einer Auftragsdatenverarbeitungsvereinbarung mit dem externen Datenraumanbieter (Cloud), deren praktische Hürden sowie die Frage des Speicherortes (Land) des Datenraumes klammern wir hier erst einmal bewusst aus. Ob die gängige Praxis, die offengelegten personenbezogenen Daten zu anonymisieren beziehungsweise zu schwärzen, der DSGVO Genüge tut, ist bislang zwar noch nicht abschließend richterlich bestätigt, gilt aber als verhältnismäßig sicher. Ein klassischer Transaktionsprozess ist bei dieser Rechtslage für Unternehmen und M&A-Berater eigentlich schon ein Drahtseilakt. Im Distressed-Segment kommt nach bereits einschlägigen Urteilen noch der Zielkonflikt des (vorläufigen) Eigen- bzw. Insolvenzverwalters zwischen Masseverwertung und Datenschutz hinzu. Im gleichen Zusammenhang müssen die Verwertungsdienstleister bei Unternehmensliquidationen (z. B. wenn IT-Hard- oder -Software oder Archive entsorgt beziehungsweise verwertet werden sollen) nun auch beachten, dass eine entsprechende schriftliche Auftragsdatenverarbeitungsvereinbarung vorliegen muss.
Typisierte Due-Diligence-Checkliste zum Datenschutz
- Datenschutzbeauftragter (extern)
- Datenschutzkoordinator (intern)
- Datenschutzerklärung
- Verzeichnis der Verarbeitungstätigkeiten (vollständig, d. h. gem. Art. 30 DSGVO und inklusive der TOMs [technische und organisatorische Maßnahmen gem. Art. 32 DSGVO])
- Einwilligungen von Kunden
- Auftragsverarbeitungsverträge mit Dritten (z. B. Kunden, Lieferanten, [IT-]Dienstleistern, Archivieren)
- Auflistung bisheriger Datenpannen (inklusive Meldepflichten und eingeleiteter Maßnahmen zur Behebung)
Asset-Deal macht die meisten Probleme
Ein besonderes Augenmerk ist auf die Transaktionsstruktur zu richten. Bei einem Unternehmensverkauf in Form eines Share-Deals beziehungsweise im Rahmen eines Insolvenzplanes ist die Weitergabe der Daten eher unproblematisch, weil der Rechtsträger erhalten bleibt. Anders verhält es sich bei einem Asset-Deal, der auch gerade in der Krise oder in Insolvenzsituationen bei der übertragenden Sanierung die präferierte Variante ist. Hierbei werden die Wirtschaftsgüter des verkaufenden Unternehmens einzeln erworben und auf den Erwerber übertragen. Bei einem Asset-Deal ändert sich also der Vertragspartner für Kunden, Mitarbeiter und Lieferanten. Entsprechend werden auch datenschutzrechtlich relevante Daten käuflich erworben. Das hat zur Folge, dass die betroffenen Personen gemäß Art. 7 DSGVO der weiteren Verwendung, Speicherung und Verarbeitung ihrer Daten zustimmen müssen. Es wurden bereits Bußgelder gegen Insolvenzverwalter verhängt, weil sie Kundendaten ohne Einwilligung der Adressinhaber verkauft hatten. In einem entsprechenden Urteil des OLG Frankfurt von Januar 2018 wurde der Verkauf der Kundendaten des Portals Fluege.de im Rahmen der Insolvenz der Unister-Gruppe sogar für unwirksam erklärt. Eine finale richterliche Grundsatzentscheidung steht hier ebenfalls noch aus.
Es bleibt festzuhalten, dass die DSGVO die Komplexität von (Distressed-)M&A-Transaktionen und damit auch die Anforderungen an M&A-Berater erhöht hat. Mangels entsprechend rechtssicherer Best Practices in Transaktionsprozessen sollten alle Beteiligten dem Thema Datenschutz zukünftig mit mehr Aufmerksamkeit und Augenmaß begegnen. Bei den derzeitigen datenschutzrelevanten Grauzonen empfehlen wir eine entsprechende prozessbegleitende Dokumentation, die alle Interessenabwägungen schriftlich festhält.