M&A-Prozesse im Lichte der neuen EU-Datenschutzgrundverordnung

Die Spielregeln für Unternehmensverkäufe haben sich seit Ende Mai 2018 grundlegend geändert. Derzeit erfreuen sich Mergers & Acquisitions (M&A-Prozesse) einer großen Beliebtheit. Beim Begriff M&A handelt es sich um den Sammelbegriff für Unternehmenstransaktionen in mehreren möglichen Ausgestaltungsformen. Diese haben gerade aus den verschiedensten Gründen Hochkonjunktur. Das gilt auch für Restrukturierungsfälle oder bei insolventen  Unternehmen.

Die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) und das neugefasste Bundesdatenschutz- gesetz (BDSG-neu) veränderten die hierbei zu beachtenden Spielregeln grundlegend. Unter Geltung des neuen Daten- schutzrechts ist es nicht mehr ohne Weiteres sanktionslos möglich, unternehmensrelevante Daten in virtuelle Daten- räume für Dritte sichtbar einzustellen. Die Handhabe für M&A-Berater wird folglich erschwert; Investoren droht, „die Katze im Sack“ kaufen zu müssen.

Grundsätzliches zur DSGVO

Die EU-Kommission hat angesichts teilweise spektakulärer Verstöße gegen den Datenschutz (Stichwort Facebook) eine Harmonisierung desselben beschlossen. Im Frühjahr 2016 ist die DSGVO in Kraft getreten und gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Der deutsche Gesetzgeber hat von den Öffnungsklauseln der DSGVO umfang- reich im BDSG-neu Gebrauch gemacht, das konkretisierende, ergänzende und modifizierende Regelungen enthält.

Auf Unternehmen kommen damit viele Neuerungen zu; etliche Prozesse müssen überprüft und angepasst werden. Dies gilt insbesondere auch in den Verkaufsprozessen der Unter- nehmen oder deren M&A-Berater. Käufer hingegen müssen zunächst überprüfen, ob das Zielunternehmen („Target“) seinerseits datenschutzkonform operiert; sonst treffen die zu erwartenden Sanktionen im Anschluss zumindest wirtschaftlich den Käufer. 

Das Spektrum der Änderungen im Datenschutzrecht ist breit gefächert. Für die Erhebung und Verarbeitung personenbe- zogener Daten gilt der Grundsatz der Zweckbindung. Daten dürfen ausschließlich für im Vorfeld festgelegte und legitime Zwecke erhoben werden. Oft möchten Unternehmen die gewonnenen Daten für weitere Zwecke nutzen, zum Beispiel zur Durchführung einer Due Diligence. Doch aufgrund der Zweckbindung ist eine Weiterverarbeitung nicht gestattet.

Eventuelle vorherige Einwilligungen in solche Verfahren wer- den mangels Voraussehbarkeit und damit fehlender Be- stimmtheit einer Einwilligung nicht wirksam möglich sein. Eine zulässige Erweiterung des Zwecks setzt einen trag- fähigen Rechtsgrund der ursprünglichen Erhebung voraus, der auch im Weiteren die Änderung tragen kann – die neue Verarbeitung ist unter besonderen Umständen dann mit der ursprünglichen „kompatibel“.

Es ist an die Rechtsgrundlage einer Interessenabwägung nach Art. 6 Abs.1 lit. f) DSGVO zu denken. Diese erfordert umfangreiche Analysen, welche Daten zum jeweiligen Zeit- punkt und wie diese geschützt bereitgestellt werden können. Die Erhebung und Verarbeitung personenbezogener Daten ist an eine Informationspflicht gekoppelt. Sie soll gegenüber dem Betroffenen (im Gesetzestext: „betroffene Person“) für Transparenz sorgen. Dem Betroffenen ist deutlich zu vermitteln, welche Daten bei welcher Gelegenheit von welchem Verantwortlichen erhoben und wie lange genutzt werden, an wen sie gegebenenfalls zu besonderen Verarbeitungsformen weitergegeben werden, welche Folgen dies für den Betroffenen hat und welche Rechte ihm zustehen.  

Wurden Datenschutzverstöße bislang in Abhängigkeit von ihrer Art mit Bußgeldern von bis zu 50.000 Euro geahndet, sieht die DSGVO drastischere Sanktionen vor. Bußgelder von bis zu 20 Mio. Euro oder vier Prozent des weltweiten Unter- nehmensjahresumsatzes, wobei der höhere Betrag maßgeblich ist, können durch die Aufsichtsbehörden auferlegt werden. Es besteht zudem eine Rechtspflicht für die Behörden, drastische Bußgelder zu verhängen. Betroffene Personen haben Anspruch auf Ersatz materieller und immaterieller Schäden.  

Umsetzung im M&A-Prozess, Share- oder Asset Deal  

Als Grundvoraussetzung ist vom Käufer zu prüfen, ob das Target datenschutzkonform operiert, insbesondere, ob das Geschäftsmodell überhaupt datenschutzkonform ist. Gerade bei Distressed Verkäufen ist das oft keine leichte Aufgabe. Im Prozess werden bereits im Rahmen der Due-Diligence- Prüfung Aspekte wie Mitarbeiterdaten von potenziellen Käufern besonders genau analysiert. Vor allem Angaben zum Gehalt, der Vertragslaufzeit und vereinbarten Wett- bewerbsverboten sind von Interesse. Solange diese persönlichen Daten nicht wirksam nach dem Stand der Technik anonymisiert sind, ist ihre Verwendung grundsätzlich unzulässig.  

Eine Schwärzung von Angaben reicht dafür nicht. Sie kann aber im Rahmen der Interessenabwägung Bedeutung er- langen, mit der für einzelne Datenarten gezielt die Zulässigkeit der Übermittlung erlangt werden kann. Die Datenbereitstellung ist künftig mit erheblichem Beurteilungsaufwand behaftet. Die Übernahme eines Unternehmens geschieht gewöhnlich durch einen Share- oder Asset-Deal. Auch hier muss beachtet werden, dass der Erwerber eines Unternehmens personenbezogene Daten der Betroffenen nicht ohne ihr Einverständnis erhalten darf.

Ändert sich der Vertragspartner einer betroffenen Person im Rahmen einer Umstrukturierung oder eines Unternehmens- kaufs, ist es grundsätzlich erforderlich, die datenschutzrechtlich betroffene Person hiervon in Kenntnis zu setzen. Datenschutzrechtlich unbedenklich ist hierbei der Unternehmenskauf in Form des Share-Deals. Hierbei erwirbt das kaufende Unternehmen die Geschäftsanteile des verkaufen den Unternehmens. Dadurch rückt es in die Position des Verkäufers ein. Für Mitarbeiter, Kunden oder Lieferanten ergeben sich hieraus keine Einschnitte in deren Rechte. Denn der ursprüngliche Vertragspartner, nämlich das angekaufte Unternehmen, bleibt unverändert. Im Verkaufs- prozess gilt das aber noch nicht.

Anders verhält es sich hingegen beim Asset-Deal. Hierbei werden die Wirtschaftsgüter des verkaufenden Unterneh- mens, also die sogenannten Assets, einzeln erworben und auf das kaufende Unternehmen übertragen. Da dies im Wege der Einzelrechtsnachfolge geschieht, ändert sich bei einem Asset-Deal der Vertragspartner der Kunden, Mitarbeiter oder Lieferanten. Bereits im Hinblick auf Verträge ist nach deutschem Recht gemäß § 415 BGB die Zustimmung zur Vertragsübernahme erforderlich. Diese gesetzliche Wertung findet sich nun auch in der DSGVO wieder. Werden datenschutzrechtlich relevante Daten käuflich erworben, ist zu klären, ob ihrer Speicherung und weiteren Verwendung durch den Betroffenen zugestimmt werden muss (Art. 7 DSGVO). Die personenbezogenen Daten der Mitarbeiter interessieren hier aber schon vor dem Hintergrund des sich abzeichnenden Betriebsübergangs nach § 613 a BGB in gleichem Maße. 

Dem reinen Verkauf von Adressdaten (in dem entschiedenen Fall durch einen Insolvenzverwalter) hat das OLG Frankfurt mit Urteil vom 24. Januar 2018 – allerdings auf Grundlage von § 7 UWG – einen Riegel vorgeschoben. Der Verkauf war unwirksam, da von den Adressinhabern keine Einwilligung vorlag. Die Verbraucherzentrale Sachsen erstrebt in diesem Kontext eine Grundsatzentscheidung, den Verkauf von Kundendaten generell zu verbieten. Hintergrund ist der Verkauf solcher Daten aus den Unister-Verfahren. Hierauf wird man sich vermehrt einstellen müssen, nämlich, dass Verbraucher- verbände die behaupteten Rechtsverletzungen verfolgen. Tendenzen, die derzeit auch bei der gerichtlichen Verfolgung von innerstädtischen Fahrverboten zu beobachten sind. Vor diesem Hintergrund sind Unternehmenstransaktionen vor hohe Hürden gestellt worden. Nachdem Verstöße gegen die DSGVO immer eine Ordnungswidrigkeit sind, bei gewerbs- mäßigen Verstößen gar eine Straftat (§ 42 BDSG-neu), verbietet es sich, die Neuerungen zu ignorieren. Insbesondere Asset Deals sind aus den oben genannten Gründen in besonderem Maße betroffen.

RA Dirk Eichelbaum, Fachanwalt für Insolvenzrecht, Geschäftsführer Buchalik Brömmekamp Rechtsanwaltsgesellschaft mbH