Die Auswirkungen der DSGVO auf den Geschäftsverkehr
Seit der DSGVO hat sich das Haftungsrisiko für Investoren drastisch erhöht, und der Datenschutz wird bei Unternehmenstransaktionen (Fusionen und Übernahmen) immer wichtiger. In diesem Artikel erläutern wir, welche Aspekte des Datenschutzes im Rahmen der Due-Diligence-Prüfung berücksichtigt werden müssen.
Die Hotelkette Marriott wurde 2019 mit einer Geldstrafe von rund 100 Millionen Pfund belegt, nachdem festgestellt wurde, dass die 2016 gekauften Starwood-Hotels schwerwiegende Sicherheitsmängel in ihren IT-Systemen aufwiesen. Denn wenn ein Unternehmen gekauft wird, werden auch die Datenschutzverpflichtungen und die Haftung für etwaige Verstöße (in der Vergangenheit oder Gegenwart) übernommen. Das kann, wie dieses Beispiel zeigt, sehr teuer werden, wenn den Daten nicht genug Aufmerksamkeit geschenkt wird.
Welche Auswirkungen hat das entsprechende Datenschutzgesetz auf den Geschäftsverkehr?
Die gesammelten Daten sowie die Qualität des Datenschutzes werden immer mehr zu entscheidenden Faktoren bei der Bewertung eines Unternehmens. Die Kosten für den Kauf oder die Investition in ein Unternehmen werden oft im Zusammenhang mit dem Datenschutz betrachtet.
Da Fusionen und Übernahmen fast immer mit der Übertragung personenbezogener Daten verbunden sind, ist es wichtig, sich Gedanken darüber zu machen, was dies rechtlich für die jeweilige Transaktion bedeutet.
Die Rechtsgrundlage für die Weiterverarbeitung von Kundendaten ist im Falle eines Share Deals (Mitgliedschaft in einem Unternehmen) weniger anspruchsvoll, aber der Erwerber muss für etwaige Datenschutzmängel in der Zielorganisation verantwortlich gemacht werden.
Beim so genannten Asset Acquisition werden einzelne Vermögensgegenstände eines Unternehmens, darunter auch personenbezogene Daten, erworben (in der Regel vor allem Kundendaten). Wenn personenbezogene Kundendaten aus anderen Gründen als der Vertragsabwicklung oder Werbung verkauft werden, kann der Eigentumswechsel nur mit vorheriger Zustimmung des Kunden erfolgen, nachdem dieser über die geplante Übertragung informiert wurde und von seinem Widerspruchsrecht Gebrauch gemacht hat. Ist das Geschäft nicht DSGVO-konform, kann der Kaufvertrag für null und nichtig erklärt werden.
Der Datenschutz kann in gewisser Weise die Due-Diligence-Prüfung einschränken, da personenbezogene Daten, die für einen potenziellen Käufer oder Investor von Interesse sein könnten, ebenfalls dem Datenschutz unterliegen. Die Übermittlung statistischer Daten ist grundsätzlich der Übermittlung einzelner personenbezogener Daten vorzuziehen. Nur die Einwilligung der Mitarbeiter kann die Datenübermittlung legitimieren, da das Schutzinteresse der Mitarbeiter mit dem Interesse des Käufers an der Ermittlung des Unternehmenswerts abgewogen werden muss. Einwilligungserklärungen hingegen sind nicht die sicherste Rechtsgrundlage, da sie sehr strengen Anforderungen genügen müssen und veränderbar sind.
Was ist bei der datenschutzrechtlichen Due Diligence zu beachten?
Die Legal Due Diligence umfasst datenschutzrechtliche Aspekte, aber auch in anderen Bereichen des Prüfverfahrens gibt es Berührungspunkte mit dem Datenschutz, je nach Schwerpunkt der Unternehmenstätigkeit. So wird beispielsweise die Datensicherheit im Rahmen der Tech Due Diligence geprüft. Bei einem Zielunternehmen aus der E-Commerce-Branche sollten die Datenschutzerklärung und alle relevanten Genehmigungen auf ihre Richtigkeit hin überprüft werden.
Eines der wichtigsten Elemente bei der Datenschutz-Due-Diligence ist die vollständige Datenzuordnung, d. h. es muss nachgewiesen werden, welche personenbezogenen Daten wo, wie und zu welchem Zweck auf welcher Rechtsgrundlage in dem Unternehmen verarbeitet werden, um eine „eingekaufte“ Gebühr zu vermeiden. Das Verzeichnis der Verarbeitungstätigkeiten des Zielunternehmens ist in dieser Hinsicht von entscheidender Bedeutung.
Im Rahmen der Due-Diligence-Prüfung sollten die folgenden Fragen zum Datenschutz geklärt werden:
Wurde eine Geheimhaltungsvereinbarung mit dem Zielunternehmen geschlossen?
Verarbeitet das Zielunternehmen personenbezogene Daten, und wenn ja, handelt es sich dabei um sensible personenbezogene Daten im Sinne von Art. 9 DS-GVO? (Denn sogenannte besondere Kategorien personenbezogener Daten unterliegen einem noch höheren Schutzniveau).
Hält sich die Organisation an die Grundsätze der Datenverarbeitung gemäß Artikel 5 der Datenschutz-Grundverordnung? Transparenz, Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit sind Beispiele für solche Grundsätze.
Gibt es eine DSGVO-konforme Rechtsgrundlage für die gesamte Datenverarbeitung im Unternehmen? (Personenbezogene Daten, die nicht unter diese Kategorie fallen, werden rechtswidrig behandelt und können nicht nachträglich legalisiert werden).
Erfüllt das Unternehmen alle Verpflichtungen aus der Datenschutz-Grundverordnung? Führen eines Verarbeitungsverzeichnisses, Einführung technischer und organisatorischer Maßnahmen zur Sicherung personenbezogener Daten und Unterzeichnung von Verträgen zur Auftragsverarbeitung mit allen Dienstleistern, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten).
Aufgrund der Komplexität von Unternehmenstransaktionen wird der Datenschutz bei der Due-Diligence-Prüfung manchmal übersehen. Ein vollständiges Prüfverfahren braucht Zeit, und wegen des erhöhten Haftungsrisikos sollte man sich stärker bewusst machen, dass Datenschutzfragen nicht übersehen werden dürfen; sie können sogar eine entscheidende Rolle spielen.
In Europa nimmt die Zahl der Hackerangriffe zu, wobei nur ein geringer Prozentsatz der unbefugten Zugriffe von den Unternehmen entdeckt wird. Was hat es mit
Was ist eine DFA? Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DFA) ist eine Methode zur Identifizierung und Abschwächung von Datensicherheitsrisiken in einem Projekt. Dabei werden
Viele Arbeitsplätze sind heute PC-Arbeitsplätze mit Internetanschluss. Es zeigt sich, dass viele Menschen im Büro das Internet auch privat nutzen. Die Verwischung der Grenzen zwischen
Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen
Mit meinem Klick auf die zustimmende Schaltfläche willige ich freiwillig in das Setzen oder Aktivieren der jeweiligen Cookies und externen Verbindungen ein, deren Funktionen in der Datenschutzerklärung oder in dort verlinkten Dokumenten bzw. externen Links genauer erläutert werden und mir deshalb bekannt sind. In dem ich diese Schaltfläche betätige erteile ich auch freiwillig meine ausdrückliche Einwilligung gem. Art. 49 Abs. 1 Unterabs. 1 Buchst. a DS-GVO in personalisierte Werbung und für andere Datenübermittlungen in Drittländer zu den und durch die in der Datenschutzerklärung genannten Unternehmen und Zwecke, insbesondere für solche Übermittlungen an Drittländer für die ein oder kein Angemessenheitsbeschluss der EU/EWR vorliegt sowie an Unternehmen oder sonstige Stellen, die einem bestehenden Angemessenheitsbeschluss nicht aufgrund einer Selbstzertifizierung oder anderer Beitrittskriterien unterfallen, und in denen oder für die erhebliche Risiken und keine geeigneten Garantien für den Schutz meiner personenbezogenen Daten bestehen (z.B. wegen § 702 FISA, Executive Order EO12333 und dem CloudAct in den USA). Bei Abgabe meiner freiwilligen und ausdrücklichen Einwilligung war mir bekannt, dass in Drittländern unter Umständen kein angemessenes Datenschutzniveau gegeben ist und das meine Betroffenenrechte gegebenenfalls nicht durchgesetzt werden können. Ich kann die datenschutzrechtliche Einwilligung jederzeit mit Wirkung für die Zukunft durch die Änderung meiner Cookie-Einstellungen oder das Löschen meiner Cookies widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Mit einer einzelnen Handlung (dem Betätigen der zustimmenden Schaltfläche), erteile ich mehrere Einwilligungen. Dabei handelt es sich sowohl um Einwilligungen nach dem EU/EWR-Datenschutzrecht als auch um die des CCPA/CPRA, ePrivacy und Telemedienrechts, und anderer internationaler Rechtsvorschriften, die unter anderem zum Speichern und Auslesen von Informationen notwendig und als Rechtsgrundlage für eine geplante weitere Verarbeitung der ausgelesenen Daten erforderlich sind. Mir ist bekannt, dass ich meine Einwilligung mit dem Klick auf die andere Schaltfläche verweigern oder ggf. individuelle Einstellungen vornehmen kann. Mit meiner Handlung bestätige ich ebenfalls, die Datenschutzerklärung und das Transparenzdokument gelesen und zur Kenntnis genommen zu haben.
By pressing the approving button I voluntarily give my consent to set or activate cookies and external connections. I know their functions because they are described in the Privacy Policy or explained in more detail in documents or external links implemented there. By pressing this button, I also voluntarily give my explicit consent pursuant to Article 49 (1) (1) (a) GDPR for personalized advertising and for other data transfers to third countries to the and by the companies mentioned in the Privacy Policy and purposes, in particular for such transfers to third countries for which an adequacy decision of the EU/EEA is absent or does exist, and to companies or other entities that are not subject to an existing adequacy decision on the basis of self-certification or other accession criteria, and that involve significant risks and no appropriate safeguards for the protection of my personal data (e.g., because of Section 702 FISA, Executive Order EO12333 and the CloudAct in the USA). When giving my voluntary and explicit consent, I was aware that an adequate level of data protection may not exist in third countries and that my data subjects rights may not be enforceable. I have the right to withdraw my data protection consent at any time with effect for the future, by changing my cookie preferences or deleting my cookies. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. With a single action (pressing the approving button), several consents are granted. These are consents under EU/EEA data protection law as well as those under CCPA/CPRA, ePrivacy and telemedia law, and other international legislation, that are, among other things, necessary for storing and reading out information and are required as a legal basis for planned further processing of the data read out. I am aware that I can refuse my consent by clicking on the other button or, if necessary, make individual settings. With my action I also confirm that I have read and taken note of the Privacy Policy and the Transparency Document.Zum Ablehnen klicken Sie Reject All / Alle Ablehnen.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Dauer
Beschreibung
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.