31.10.2020 | Dirk Seeburg

Der Datenschutzbeauftragte im M&A-Prozess

optional, Standpunkt, unkategorisiert

Die Einbindung des Datenschutzbeauftragten in einen M&A-Prozess sollte schon im Zeitpunkt der Vorbereitung einer Due Diligence erfolgen und sich bis in Post-Merger-Themen hinein erstrecken. Die rechtzeitige Einbindung ist notwendig, um unter Risikogesichtspunkten eine Due Diligence risikoorientiert ausrichten beziehungsweise organisieren zu können, um beispielsweise das Geschäftsmodell im E-Commerce-Bereich oder im Bereich des Online-Marketing erfassen zu können. Die datenschutzrechtliche Berücksichtigung des Geschäftsmodells oder auch des Zwecks eines M&AProzesses rückt immer mehr in den Fokus. Auch ist der Umgang mit Arbeitnehmerdaten unter datenschutzrechtlichen Gesichtspunkten zu beachten. Vermehrt kommt auch die Frage nach einer ordnungsgemäßen Datenschutzorganisation beim Zielunternehmen auf, um drohende Risiken als Folge von unzureichenden Datenschutzsystemen identifizieren und über Garantien abbilden zu können.

Im Due-Diligence-Prozess selbst sind Kenntnisse von allgemeinen datenschutzrechtlichen Anforderungen und datenverarbeitenden Prozessen sowie die Beachtung von Rechtsgrundlagen bei der Datenverarbeitung wesentlich. Ohne diese Kenntnisse können M&A-Prozesse und hier insbesondere Geschäftsentwicklungen aufgrund von Zukäufen und deren Integration beispielsweise im Bereich der Digitalisierung nicht ohne Kenntnisse im Bereich Datenschutz und auch IT-Sicherheit erfolgreich sein.

Auch die Integration von Organisationen oder auch nur von Teilen einer Organisation nach einer Fusion muss unter Beachtung des geltenden Datenschutzrechtes erfolgen, um eine insgesamt datenschutzkonforme Gesamtorganisation zu schaffen. Dies berücksichtigt neben den grundsätzlichen Anforderungen an die Dokumentation, die Verarbeitungsmeldungen, die Entwicklung von Löschkonzepten und auch die Einbindung beispielsweise in das Richtlinienmanagement die Entwicklung einer einheitlichen Datenschutzorganisation. Die hierfür notwendigen Informationen können schon im Zuge des M&A-Prozesses gesammelt und verarbeitet werden beziehungsweise die erforderlichen Vorbereitungen aufgrund der in der Due Diligence gesammelten Kenntnisse getroffen oder nach einer beispielsweise erforderlichen kartellrechtlichen Freigabe effizienter umgesetzt werden. Basis der Datenschutzorganisation ist die Entwicklung eines Datenschutzkonzeptes, welches die im Rahmen eines M&AProzesses beispielsweise hinzugekommene neue Geschäftsfelder erfasst und die notwendigen konzeptionellen Maßnahmen definiert, wie risikoorientierte Kontroll- und Überwachungspflichten. Ein Veräußerer kann über eine bestehende Datenschutzorganisation und die Einbindung des Datenschutzbeauftragten in die Due Diligence auch Fragen oder Unsicherheiten des Erwerbs aufklären, was zu einem effizienteren Verhandlungsprozess und vorteilhafteren Garantien des Veräußerers führen kann.

Der Datenschutzbeauftragte ist demnach nicht nur als ein nach innen gerichtetes Organ zu betrachten, welches die bestehende Datenschutzorganisation pflegt und überwacht, sondern aktiv in Geschäftsprozesse sowie Geschäftsentwicklungen oder Strukturierungen, die durch M&A-Prozesse verfolgt werden, einzubinden. Insbesondere die Entwicklung von Geschäftsmodellen im Bereich der Digitalisierung kann nur unter Einbindung des Datenschutzbeauftragten erfolgen. Voraussetzung ist eine Datenschutzorganisation, die über das entsprechende Know-how verfügt und die Rolle wie beschrieben interpretiert. Die Rolle des Datenschutzbeauftragten, wie sie aktuell im Datenschutzrecht angelegt ist, muss daher weiter interpretiert werden.

Autor
Dirk Seeburg

Dirk Seeburg, MAES (Basel), LL.M. Rechtsanwalt, BAY GmbH Wirtschaftsprüfungsgesellschaft Rechtsanwaltsgesellschaft

Profil
Das könnte Sie auch interessieren