Seit wenigen Monaten muss die neue Datenschutzgrundverordnung (DSGVO) in der EU angewendet werden. Für M&A-Transaktionen erweist sie sich in der Praxis als Herausforderung. Denn: Bei Due Diligences oder Unternehmenskaufverträgen werden auch personenbezogene Daten, beispielsweise von Mitarbeitern, Kunden und Lieferanten, verarbeitet. Einige Personen müssen informiert werden oder gar in die Verarbeitung ihrer Daten einwilligen, andere nicht. Dem steht entgegen, den Deal geheim zu halten, um ihn erfolgreich zum Abschluss zu bringen. Doch bei DSGVO-Verstößen drohen Bußgelder von bis zu 20 Mio. EUR oder 4% des weltweiten Unternehmensumsatzes.
In der Vergangenheit wurden datenschutzrechtliche Themen bei der Aufstellung von M&A-Prozessen oftmals nur am Rande berücksichtigt. Dies lag sicherlich auch an den bisher signifikant geringeren Sanktionen. Mittlerweile spielt der Datenschutz auch hier eine zentrale Rolle. Verkäufer und Erwerber fordert dies gleichermaßen. Denn die Veräußerung von Unternehmen war sicher nicht die Hauptstoßrichtung des Normgebers der DSGVO. Dies stellt DSGVO stellt eingespielte M&A-Prozesse auf den Prüfstand die Beteiligten vor die Frage, wie die datenschutzrechtlichen Anforderungen bei Unternehmenstransaktionen umzusetzen sind. Die Rechtsunsicherheit wird dadurch erhöht, dass es auf absehbare Zeit keine gefestigte Rechtsprechung und Behördenpraxis geben wird. Das Meinungsspektrum in der noch vereinzelten Literatur ist uneinheitlich.
Auf der sicheren Seite scheint, wer – möglichst früh – die Einwilligung der Betroffenen einholt, was aber häufig unpraktikabel ist. Zudem würde es gerade bei Konzernen einige Jahre dauern, bis von allen Kunden, Lieferanten und Mitarbeitern Einwilligungserklärungen vorliegen, möchte man diese zur Vermeidung von möglicher Unruhe nicht ohne Anlass flächendeckend einholen. Einige globale IT-Konzerne haben ihre Datenschutzerklärungen um eine Beschreibung der Weitergabe von Daten in Fällen einer Fusion, Sanierung oder Veräußerung von Vermögenswerten ergänzt. Ob dies allein ausreicht, darf bezweifelt werden.
Die Personenbezogenheit von Daten und damit die Anwendbarkeit des Datenschutzrechts kann durch Anonymisierung eliminiert werden. Zweifelhaft ist allerdings, ob eine Schwärzung von Datenraumunterlagen, aus Kosten- und Zeitgründen zunehmend unterstützt durch Legal Tech, hierfür ausreicht.
In jedem Fall sollten zur Risiko- und Bußgeldminimierung Maßnahmen zur Gewährleistung der Vertraulichkeit ergriffen werden. Dies betrifft einen begrenzten Datenraumzugang, eine verschlüsselte Datenübermittlung, die Pflicht zur Löschung von Daten bei Transaktionsabbruch und entsprechende Vertragsstrafen. Zudem sollte mit Datenraumanbietern, vor allem solchen mit Sitz oder Servern außerhalb der EU, abgeklärt werden, ob die Einhaltung der DSGVO gewährleistet ist. Der Weg und das Ergebnis einer datenschutzrechtlichen Interessenabwägung für die Datenübermittlung sollte für jeden Milestone (Due Diligence, Post-Signing, Post-Closing) unter Berücksichtigung der Anforderungen aufgrund der gewählten Transaktionsstruktur (Asset Deal, Share Deal, Umwandlungsmaßnahme) dokumentiert und durch erfahrene Berater begleitet werden.
