Bei Unternehmenstransaktionen (Mergers & Acquisitions, kurz: M&A) ist das Due Diligence von zentraler Bedeutung. Due Diligence bedeutet die eingehende Prüfung eines zum Verkauf stehenden Unternehmens durch den potenziellen Käufer. Bei jeder Due Diligence gibt es verschiedene Risiken zu beachten. Eines hiervon ist das Datenschutzrecht.
Die essentiellen Fragen des Käufers
Vor der Transaktion sind verschiedene Fragen abzuarbeiten:
- Wie ist es um den Datenschutzbeauftragten des Unternehmens bestellt? Wer ist der Datenschutzbeauftragte und stehen ihm ausreichend Ressourcen für seine Tätigkeit zur Verfügung?
- Existiert ein Datenschutz-Management-System? Das ist ähnlich wie ein Compliance-Management-System aufzubauen. Daher:
- „Tone from the top“
- Risk Assessment
- Grundsätze für die Verarbeitung von personenbezogenen Daten
- Verfahrensregister
- Prävention, 72 Std. Meldepflicht bei Datenpannen und Aufarbeitung behördlicher Verfahren
- Sind Datenpannen vorgefallen? Es sollte an dieser Stelle auch Kontakt mit den zuständigen Behörden aufgenommen werden.
- Welche datenschutzrechtlichen Maßnahmen wurde ergriffen in Bezug auf das Produkt des Unternehmens (Product-Compliance)?
Das strukturelle Interview
Neben dem Fragenkatalog muss ein Interview geführt werden. Dieses dient als Ergänzung und Vertiefung der angesprochenen Fragen und angeschnittenen Themen. Hierbei können auch Wiedersprüche aufgedeckt und harmonisiert werden.
Bei Unternehmen die personenbezogenen Daten verarbeiten sollte insbesondere darauf geachtet werden, ob alle Auftragsverarbeitungsverträge vorliegen. Daher gilt es herauszufinden, ob Auftragsverarbeitungen überhaupt bestehen, entsprechende Verträge geschlossen und im Management-System des Unternehmens hinterlegt wurden. Komplexer wird die Vertragsgestaltung mit bestehenden Providern/Lieferanten (supply chain) und einem Drittlandbezug. Gerade vor dem Hintergrund des aktuellen EuGH Urteils vom 16. Juli 2020 (AZ: C-311/18) zur Unwirksamkeitserklärung des sog. EU-US-Privacy-Shield. Für nähere Informationen lesen Sie gerne hierzu unseren Beitrag.
Wie oben angeschnitten gilt es, das Datenschutzrecht auch beim Product-Compliance zu beachten (sog. „privacy by Design“). Das Produkt darf also keine unüberschaubaren Risiken aus datenschutzrechtlicher Sicht mit sich bringen. Eine Möglichkeit ist die Durchsicht sämtlicher „privacy by design“-Unterlagen für jedes Produkt. Dabei geht es darum, das Risiko auszumachen und geeinigte technische und organisatorische Maßnahmen zu treffen, um die Risiken zu minimieren. Zudem muss für jedes Produkt die IT Security geprüft werden.
Haftungsklauseln
Wurde das Due Diligence Verfahren durchgeführt, sind die Ergebnisse in der entsprechenden M&A Vereinbarung festzuhalten. In diesen Vereinbarungen sollte man Haftungsklauseln aufnehmen, wenn die möglichen Risiken nicht nur gering sind. Die immateriellen Schadensersatzforderungen sind zwar innerhalb der EU überschaubar. Strafen und Entschädigungszahlungen an Endkunden im Rahmen von „Credit Monitorings“ (Prüfung der Geschichte der Kreditwürdigkeit des Verkäufers) hingegen nicht.
Handlungsempfehlung
Datenschutz und Compliance sind verzahnte Themenkomplexe und sollten daher weniger als Gegenspieler sondern viel mehr als Einheit betrachtet werden. In diesem Sinne gilt es, das Datenschutzrecht im Due Diligence Verfahren gebührend zu berücksichtigen. In der Praxis geschieht das zunehmend. Bei der Prüfung der datenschutzrechtlichen Struktur der Zielgesellschaft ist hingegen noch Luft nach oben. Etwaige Compliance-Verstöße können massive finanzielle Auswirkungen haben. An dieser Stelle sei nur kurz auf das Rekordbußgeld in Höhe von 110 Mio. € gegen die „Hotelkette Marriott“ verwiesen (Abrufbar hier zu den Hintergünden siehe unseren Artikel hier). Werden datenschutzrechtlich unzulässige Produkte nicht entsprechend geprüft, aber in die Zielgesellschaft integriert, können immense Kosten durch Anpassungen entstehen. So bringt es der abgedroschene und doch inhaltlich zutreffende Satz auf den Punkt: „If you think compliance is expensive, try non-compliance.“