INFORMATIONEN

Die Auswirkungen der DSGVO auf den Geschäftsverkehr

Seit der DSGVO hat sich das Haftungsrisiko für Investoren drastisch erhöht, und der Datenschutz wird bei Unternehmenstransaktionen (Fusionen und Übernahmen) immer wichtiger. In diesem Artikel erläutern wir, welche Aspekte des Datenschutzes im Rahmen der Due-Diligence-Prüfung berücksichtigt werden müssen.

Die Hotelkette Marriott wurde 2019 mit einer Geldstrafe von rund 100 Millionen Pfund belegt, nachdem festgestellt wurde, dass die 2016 gekauften Starwood-Hotels schwerwiegende Sicherheitsmängel in ihren IT-Systemen aufwiesen. Denn wenn ein Unternehmen gekauft wird, werden auch die Datenschutzverpflichtungen und die Haftung für etwaige Verstöße (in der Vergangenheit oder Gegenwart) übernommen. Das kann, wie dieses Beispiel zeigt, sehr teuer werden, wenn den Daten nicht genug Aufmerksamkeit geschenkt wird.

Welche Auswirkungen hat das entsprechende Datenschutzgesetz auf den Geschäftsverkehr?

  • Die gesammelten Daten sowie die Qualität des Datenschutzes werden immer mehr zu entscheidenden Faktoren bei der Bewertung eines Unternehmens. Die Kosten für den Kauf oder die Investition in ein Unternehmen werden oft im Zusammenhang mit dem Datenschutz betrachtet.
  • Da Fusionen und Übernahmen fast immer mit der Übertragung personenbezogener Daten verbunden sind, ist es wichtig, sich Gedanken darüber zu machen, was dies rechtlich für die jeweilige Transaktion bedeutet.
  • Die Rechtsgrundlage für die Weiterverarbeitung von Kundendaten ist im Falle eines Share Deals (Mitgliedschaft in einem Unternehmen) weniger anspruchsvoll, aber der Erwerber muss für etwaige Datenschutzmängel in der Zielorganisation verantwortlich gemacht werden.
  • Beim so genannten Asset Acquisition werden einzelne Vermögensgegenstände eines Unternehmens, darunter auch personenbezogene Daten, erworben (in der Regel vor allem Kundendaten). Wenn personenbezogene Kundendaten aus anderen Gründen als der Vertragsabwicklung oder Werbung verkauft werden, kann der Eigentumswechsel nur mit vorheriger Zustimmung des Kunden erfolgen, nachdem dieser über die geplante Übertragung informiert wurde und von seinem Widerspruchsrecht Gebrauch gemacht hat. Ist das Geschäft nicht DSGVO-konform, kann der Kaufvertrag für null und nichtig erklärt werden.
  • Der Datenschutz kann in gewisser Weise die Due-Diligence-Prüfung einschränken, da personenbezogene Daten, die für einen potenziellen Käufer oder Investor von Interesse sein könnten, ebenfalls dem Datenschutz unterliegen. Die Übermittlung statistischer Daten ist grundsätzlich der Übermittlung einzelner personenbezogener Daten vorzuziehen. Nur die Einwilligung der Mitarbeiter kann die Datenübermittlung legitimieren, da das Schutzinteresse der Mitarbeiter mit dem Interesse des Käufers an der Ermittlung des Unternehmenswerts abgewogen werden muss. Einwilligungserklärungen hingegen sind nicht die sicherste Rechtsgrundlage, da sie sehr strengen Anforderungen genügen müssen und veränderbar sind.
  • Was ist bei der datenschutzrechtlichen Due Diligence zu beachten?

    Die Legal Due Diligence umfasst datenschutzrechtliche Aspekte, aber auch in anderen Bereichen des Prüfverfahrens gibt es Berührungspunkte mit dem Datenschutz, je nach Schwerpunkt der Unternehmenstätigkeit. So wird beispielsweise die Datensicherheit im Rahmen der Tech Due Diligence geprüft. Bei einem Zielunternehmen aus der E-Commerce-Branche sollten die Datenschutzerklärung und alle relevanten Genehmigungen auf ihre Richtigkeit hin überprüft werden.

    Eines der wichtigsten Elemente bei der Datenschutz-Due-Diligence ist die vollständige Datenzuordnung, d. h. es muss nachgewiesen werden, welche personenbezogenen Daten wo, wie und zu welchem Zweck auf welcher Rechtsgrundlage in dem Unternehmen verarbeitet werden, um eine „eingekaufte“ Gebühr zu vermeiden. Das Verzeichnis der Verarbeitungstätigkeiten des Zielunternehmens ist in dieser Hinsicht von entscheidender Bedeutung.

    Im Rahmen der Due-Diligence-Prüfung sollten die folgenden Fragen zum Datenschutz geklärt werden:

  • Wurde eine Geheimhaltungsvereinbarung mit dem Zielunternehmen geschlossen?
  • Verarbeitet das Zielunternehmen personenbezogene Daten, und wenn ja, handelt es sich dabei um sensible personenbezogene Daten im Sinne von Art. 9 DS-GVO? (Denn sogenannte besondere Kategorien personenbezogener Daten unterliegen einem noch höheren Schutzniveau).
  • Hält sich die Organisation an die Grundsätze der Datenverarbeitung gemäß Artikel 5 der Datenschutz-Grundverordnung? Transparenz, Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit sind Beispiele für solche Grundsätze.
  • Gibt es eine DSGVO-konforme Rechtsgrundlage für die gesamte Datenverarbeitung im Unternehmen? (Personenbezogene Daten, die nicht unter diese Kategorie fallen, werden rechtswidrig behandelt und können nicht nachträglich legalisiert werden).
  • Erfüllt das Unternehmen alle Verpflichtungen aus der Datenschutz-Grundverordnung? Führen eines Verarbeitungsverzeichnisses, Einführung technischer und organisatorischer Maßnahmen zur Sicherung personenbezogener Daten und Unterzeichnung von Verträgen zur Auftragsverarbeitung mit allen Dienstleistern, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten).
  • Aufgrund der Komplexität von Unternehmenstransaktionen wird der Datenschutz bei der Due-Diligence-Prüfung manchmal übersehen. Ein vollständiges Prüfverfahren braucht Zeit, und wegen des erhöhten Haftungsrisikos sollte man sich stärker bewusst machen, dass Datenschutzfragen nicht übersehen werden dürfen; sie können sogar eine entscheidende Rolle spielen.

    ePrivacy – Konflikte

    Mit der Entwicklung der Datenschutzverordnung für elektronische Kommunikation werden die kritischen Stimmen immer lauter. Nicht nur in der Arbeitsgruppe des EU-Rates, die gerade Artikel 10

    mehr »

    Datenschutz in Betriebssystemen

    Wenn es um die Entscheidung zwischen Apple- und Android-basierten Mobilgeräten geht, gab es schon immer ideologische Spaltungen. Für erfahrene Apple-Nutzer ist es unmöglich, ein Android-Handy

    mehr »

    DSGVO und E-Commerce CMS

    Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Online-Händler nun gezwungen, sich an eine Liste bestimmter Anforderungen zu halten, die sie unbedingt auf ihren Websites veröffentlichen

    mehr »