Ein wesentlicher Bestandteil jeder Unternehmenstransaktion ist die umfassende Analyse der wirtschaftlichen Situation des zu erwerbenden Unternehmens. Bei der Vorbereitung und Durchführung von Unternehmenskäufen hat der Kaufinteressent ein Interesse daran, möglichst detaillierte Informationen über die Vermögenswerte der Zielgesellschaft zu erhalten. Daten, wie z.B. Kunden- oder Beschäftigtendaten, nehmen als Bestandteil des Vermögens eines Unternehmens mittlerweile für die potentiellen Käufer eine wichtige Rolle ein. Mitunter handelt es sich bei einem Kundenstamm sogar um das einzig werthaltige Asset für den Käufer.
In diesem Zusammenhang wird jedoch häufig übersehen, dass es sich bei den zu übermittelnden Informationen im Rahmen des Unternehmenskaufs und der vorgelagerten Due Diligence um personenbezogene Daten handeln kann, mit der Folge, dass die datenschutzrechtliche Regelungen nach der neuen Datenschutzgrundverordnung („DSGVO″) zu beachten sind. Der Beitrag widmet sich daher der datenschutzrechtlichen Einschätzung der Veräußerungsformen beim Unternehmenskauf (Share Deal, Verschmelzung, Asset Deal) sowie der einzelnen Phasen der Unternehmenstransaktion (Due Diligence, Signing, Closing).
Mögliche Deal-Strukturen
Datenschutzrechtlich bestehen erhebliche Unterschiede abhängig davon, auf welchem Wege die Transaktion durchgeführt wird. Grundsätzlich sind drei unterschiedliche gesellschaftsrechtliche Deal-Strukturen möglich: Im Wege eines Share Deals, ggf. in Kombination mit einer vorgelagerten umwandlungsrechtlichen Maßnahme, oder im Wege eines Asset Deals.
Share Deal
Bei einem Share Deal ändert sich die Identität der verantwortlichen Stelle nicht, da lediglich die Gesellschaftsanteile an der rechtlichen Einheit übertragen werden. Der Unternehmensträger bleibt bestehen, sodass es gemäß Art. 4 Nr. 2 DSGVO an einer Datenverarbeitung fehlt, die nach Art. 6 Abs. 1 DSGVO gerechtfertigt werden muss.
Umwandlung
Auch umwandlungsrechtliche Maßnahmen, wie z.B. die Verschmelzung, sind datenschutzrechtlich irrelevant, da nach § 20 UmwG eine Gesamtrechtsnachfolge erfolgt und der Rechtsnachfolger in die Rechtsstellung des Rechtsvorgängers tritt.
Asset Deal
Bei einem Asset Deal werden hingegen einzelne Wirtschaftsgüter des Zielunternehmens an den Erwerber übertragen, sodass im Ergebnis aus Sicht des veräußernden Unternehmens in der Weitergabe von Daten an den Erwerber eine Übermittlung i.S.v. Art. 4 Nr. 2 DSGVO zu sehen ist.
Gesetzliche Rechtfertigungsgrundlagen in den jeweiligen Phasen der Unternehmenstransaktion
Im Rahmen des Asset Deals stellt sich daher die Frage auf Grundlage welcher Erlaubnistatbestände der DSGVO die Datenverwendungen bzw. Datenübertragungen in den einzelnen Phasen der Unternehmenstransaktion zu rechtfertigen sind.
Due Diligence
Nahezu jeder Unternehmenstransaktion geht eine Due Diligence voraus. Sie hat eine umfassende Überprüfung des Zielunternehmens zum Zweck, um auf deren Grundlage das Transaktionsrisiko zu bewerten und den Kaufpreis ermitteln zu können. Im Rahmen einer Due Diligence ist die Übermittlung oder Offenlegung von Daten beim Unternehmenskauf unkritisch, sofern lediglich die Daten ohne Personenbezug im virtuellen Raum offengelegt oder übermittelt werden. In diesem Fall findet das Datenschutzrecht nach der DSGVO keine Anwendung. Daraus folgt, dass der Veräußerer ohne weiteres statistische Daten zur Verfügung stellen kann, die keine Rückschlüsse auf die Person erlauben.
Es besteht auch die Option, den Personenbezug der Daten durch eine Anonymisierung aufzuheben. Dies kann z.B. durch Schwärzung der Dokumente oder Weglassen aller Angaben erfolgen, die einen Personenbezug ermöglichen. Zu beachten ist, dass eine Anonymisierung im datenschutzrechtlichen Sinne nur vorliegt, wenn eine Re-Identifizierung, d.h. eine Zuordnung der Datensätze zu einzelnen Personen, für den Käufer nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. In Fällen, in denen eine Anonymisierung tatsächlich nicht möglich oder für den Käufer unzureichend ist (z.B. bei „key employees“) hängt die Zulässigkeit der Datenübermittlung von den Erlaubnistatbeständen der DSGVO ab:
Eine Einwilligung der Betroffenen (z.B. der Mitarbeiter) nach Art. 6 Abs. 1 lit. a) DSGVO für die Offenlegung und Übermittlung der personenbezogenen Daten einzuholen, ist gerade bei großen Unternehmen mit einem hohen Transaktionsvolumen nicht praktikabel und deswegen keine Option.
Als Rechtsgrundlage „die Erfüllung eines Vertrages“ gem. Art. 6 Abs. 1 lit. b) DSGVO heranzuziehen, ist ebenfalls nur in den Fällen denkbar, in denen auch die Fortführung des Geschäfts vorgesehen ist.
Die Zulässigkeit der Datenübermittlung bzw. Offenlegung der Daten hängt daher von einer Interessenabwägung ab (Art. 6 Abs. 1 lit. f) DSGVO). Hierbei sind die berechtigten Interessen des Verkäufers und die schutzwürdigen Interessen der betroffenen Personen (Kunden oder Arbeitnehmer) gegeneinander abzuwägen. Die Abwägung ist hierbei stets bezogen auf den Einzelfall vorzunehmen und wird je nach Transaktionsphase unterschiedlich ausfallen.
Zweckänderung – Art. 6 Abs. 4 DSGVO
Zu beachten ist hier jedoch auch der neu eingeführte Art. 6 Abs. 4 DSGVO („Zweckänderung“), der insbesondere bei der Offenlegung der Daten im Rahmen einer Due Diligence Anwendung finden kann. Eine Zweckänderung wird in den meisten Fällen bei einer Offenlegung der Daten im Rahmen der Due Diligence anzunehmen sein. Werden die Daten zu einem anderen Zweck verarbeitet als zu demjenigen, zu dem sie erhoben wurden, muss der (neue) Zweck der Verarbeitung mit dem ursprünglichen Zweck der Erhebung vereinbar sein (sog. Zweckkompatibilität).
Ob der neue Zweck mit dem alten vereinbar ist, bestimmt sich danach, ob eine Verbindung zwischen den Zwecken besteht, welche Folgen den Betroffenen durch die beabsichtigte Weiterverarbeitung erwarten und ob geeignete Sicherheitsvorkehrungen (wie etwa Verschlüsselung und Pseudonymisierung) getroffen wurden. Im Ergebnis dürfte die Vereinbarkeitsprüfung jedoch auch in eine Interessenabwägung münden. Diese Hürde dürfte damit überwunden werden können, dass der Veräußerer bei der Übermittlung der Daten für eine Verschlüsselung der Übermittlung sorgt und eine Geheimhaltungs- und Löschungspflicht bei einer gescheiterten Unternehmenstransaktion von dem Erwerber einfordert.
Folgeproblem: Informationspflicht
Durch den Anwendungsbereich des Art. 6 Abs. 4 DSGVO greift nunmehr auch der Art. 13 Abs. 3 DS-GVO ein, welcher vorsieht, dass dem Betroffenen bei nachträglichen Zweckänderungen Informationen über den anderen Zweck zur Verfügung zu stellen sind. Da in der Weitergabe von Daten bei einer Due Diligence regelmäßig eine Zweckänderung liegt, könnte sie eine Informationspflicht des Verkäufers an die Betroffenen nach sich ziehen. Die Geheimhaltung der Vertragsverhandlungen zwischen Erwerber und Veräußerer wäre damit gefährdet.
Zwischen Signing und Closing
Sind die Vertragsverhandlungen erfolgreich, kommt es zum Abschluss des Unternehmenskaufvertrags (sog. Signing). Mit dem Signing steigt das berechtigte Interesse des Erwerbers an den personenbezogenen Daten. Es werden Vorbereitungen hinsichtlich einer etwaigen späteren Integration des erworbenen Unternehmens in die Organisationsstruktur des Erwerbers (post merger integration) erforderlich. Hierfür kann die Weitergabe personenbezogener Daten an den Erwerber erforderlich sein. In welchem Umfang und auf welcher rechtlichen Grundlage dies zu geschehen hat, ist abhängig von der Art der Daten.
Nach Closing
Der Erwerb von den personenbezogenen Daten kann nach Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Im Rahmen der hiernach gebotenen Interessenabwägung ist zunächst zu berücksichtigen, dass ein veräußerndes Unternehmen in der Regel ein hohes nachvollziehbares Interesse daran hat, dem Erwerber eine weitgehende ungestörte, einfache Fortführung des übernommenen Betriebs zu ermöglichen. Bei einer Übertragung von z.B. Kundendaten führt jeder Wegfall von Daten nicht nur zu einem Arbeitsaufwand, sondern kann auch die Pflege von Kundenbeziehungen erschweren und Änderungen der Unternehmensabläufe erforderlich machen. Das Interesse der Kunden hingegen kann nur mit Blick auf den Einzelfall bewertet werden. Handelt es sich beispielsweise vornehmlich um Daten größerer Unternehmen als Kunden, sind häufig lediglich deren Kontaktdaten personenbezogene Daten, die zudem wegen des geschäftlichen Bezugs wenig schutzbedürftig sind. Bei Verbraucherdaten ist die Schutzbedürftigkeit deutlich höher. Besteht jedoch angesichts der angebotenen Dienstleistungen oder Waren eine objektiv nachvollziehbare Erwartungshaltung von früheren Kunden, dass ein Übernehmer des Betriebs frühere Käufe kennt, kann die Übermittlung solcher Informationen zulässig sein.
Fazit
Unter Beachtung der datenschutzrechtlichen Grenzen bei der Offenlegung und Übertragung von personenbezogenen Daten im Rahmen von Unternehmenstransaktionen wird in der Praxis zumindest im Rahmen einer Due Diligence die Anonymisierung personenbezogener Daten oder die Erhebung statistischer Daten datenschutzrechtlich am sinnvollsten sein. Damit laufen weder Veräußerer noch Erwerber Gefahr, datenschutzrechtliche Bestimmungen zu missachten. Die Einwilligung der Betroffenen im Rahmen der Unternehmenstransaktionen einzuholen, wird in der Praxis kaum zu realisieren sein.
Um negative Folgen für die Betroffenen durch eine Due Diligence zu minimieren, ist es auch sinnvoll im Rahmen einer Geheimhaltungsvereinbarung (sog. Non Disclosure Agreement, NDA) strikte und bewährte Vertraulichkeit zwischen Verkäufer und Interessenten zu vereinbaren.
Im Hinblick auf die am 25.5.2018 in Kraft tretende DSGVO wird insbesondere der Umgang mit dem Begriff der Vereinbarkeit im Rahmen der Zweckänderung (Art. 6 Abs. 4 DSGVO) für Unternehmenstransaktionen besonders relevant werden. Insbesondere die daraus entstehenden Informationspflichten bei einer Zweckänderung, können dem Geheimhaltungsinteresse der Vertragsparteien entgegenstehen. Damit könnten Veräußerer und Erwerber zukünftig dadurch umso mehr angehalten sein, nur anonymisierte Daten vor Abschluss des Unternehmenskaufs zu übermitteln oder nur in den Fällen personenbezogene Daten zu übermitteln, in denen es für die Durchführung der Transaktion zwingend notwendig ist.