Bis es zu einem Unternehmenskauf kommt, werden viele Verhandlungen geführt. Im Fokus der Verhandlungen stehen auch die Daten des Unternehmens. Besonders für die Risikoeinschätzung sind Daten, wie Kundendaten, Mitarbeiter, Lieferverträge etc. relevant. Doch dürfen diese hochsensiblen Daten bei den Verhandlungen offengelegt werden, ohne die Betroffenen zu benachrichtigen?
Dieser Beitrag soll das Zusammenspiel zwischen dem Geheimhaltungsinteresse des Unternehmens an den Daten und dem Informationsinteresse des potenziellen Unternehmenskäufer an Aufklärung aufzeigen.
Ein Unternehmenskauf ist gestaffelt in mehreren Phasen. Auch ist beim Unternehmenskauf zwischen dem Asset-Deal und dem Share-Deal zu unterscheiden. Je nach Phase der Verhandlungen und Art des Unternehmenskaufs können unterschiedliche Anforderungen an den Datenschutz gestellt werden.
Datenschutz und personenbezogene Daten
Die Datenschutzverordnung, welche seit Mai 2018 wirksam ist, soll Privatperson vor Datenmissbrauch schützen. Die Datenschutzverordnung ist ein Ausfluss des Persönlichkeitsrechts und der informationellen Selbstbestimmung. Da ein Verstoß gegen die Datenschutzverordnung mit schwerwiegenden Folgen geahndet wird, ist das Thema besonders bei einem Unternehmenskauf interessant. Dafür spielt es keine unwichtige Rolle zu wissen, was überhaupt von der Datenschutzverordnung geschützt ist und was personenbezogene Daten sind.
Das Gesetz definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen”. Allein aus dieser Definition wir noch nicht klar, was Informationen sind und was identifizierte oder identifizierbare natürliche Personen sind. Das Problem wird durch das Bundesdatenschutzgesetz etwas entschärft. Danach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Hier erfolgt schon der erste Berührungspunkt bei einem Unternehmenskauf. Ein Unternehmen ist als Gesellschaft keine natürliche Person. Ein Kauf eines solchen Unternehmen wäre damit nicht von der Datenschutzverordnung geschützt. Zu berücksichtigen ist aber, dass im Ergebnis das Unternehmen gekauft wird, dies jedoch auf Grundlage aller Unternehmenspositionen geschieht. Dazu gehören vor allem die natürlichen Personen, die das Unternehmen tragen und leiten. Der Kaufinteressent wird ein sehr großes Interesse daran haben zu wissen, welche Personen dem Unternehmen zugehören und welche Qualifikationen diese aufweisen. Auch spielen arbeitsrechtliche Aspekte dabei eine Rolle, insbesondere das Kündigungsrecht, weshalb der Kaufinteressent das Gesamtrisiko der Transaktion abschätzen möchte.
Damit stellt sich die Frage, welche Daten bei einem Unternehmenskauf eine Rolle spielen, die eine Relevanz für die Datenschutzgrundverordnung haben.
Dabei kann eine Differenzierung zwischen Share-Deal und Asset-Deal behilflich sein.
Beim Share Deal verkauft der Verkäufer seine Gesellschaftsanteile an dem Zielunternehmen, das auch Target genannt wird. Dieser Deal ist datenschutzrechtlich unbedenklich. Es werden sämtliche Anteile des Unternehmens verkauft, wobei das Unternehmen an sich bestehen bleibt. Außer dem Unternehmensverkauf entstehen keine neuen relevanten datenschutzrechtliche Berührungspunkte. Der Verantwortliche nach der DSGVO bleibt gleich und der Verwendungszweck bleibt enthalten.
Im Falle des Asset Deals werden sämtliche oder ausgewählte Wirtschaftsgüter des Targets an den Käufer veräußert. Hier ist mehr Vorsicht geboten, da hier ein anderer Zweck, als der ursprüngliche verfolgt werden kann. Dabei können personenbezogene Daten stark betroffen sein, weshalb im Einzelfall eine Interessenabwägung vorzunehmen wäre. Als Orientierungspunkt gilt: Die Pflicht zur Einholung einer Einwilligung der Betroffenen besteht, je mehr sich von dem ursprünglichen Zweck entfernt wird.
Auch kann eine Unterscheidung zwischen den Phasen beim Unternehmenskauf behilflich sein:
In der Due Diligence Phase soll das Unternehmen sorgfältig auf wirtschaftliche, rechtliche, steuerliche und finanzielle Verhältnisse untersucht werden. Hier finden die Verhandlungen aber noch hinter „verschlossenen Türen“ statt. Sowohl der potenzielle Käufer als auch der Verkäufer haben ein Interesse an der Geheimhaltung eines möglichen Unternehmenskaufs. Der Käufer möchte den Kauf erst nach außen kommunizieren, wenn die Verträge unterschrieben sind. Der Verkäufer möchte ebenfalls den Kauf erst anzeigen, wenn die Verträge unterschrieben sind. Denn zu groß ist die Gefahr, dass im Unternehmen eine Aufbruchstimmung entsteht. Des Weiteren kann das Image des Unternehmens bei fehlgeschlagener Transaktion einen Schaden nehmen. Aufgrund des gegenseitige Geheimhaltungsinteresses spielen datenschutzrechtliche Aspekte noch keine wesentliche Rolle.
Anders ist der datenschutzrechtliche Aspekt kurz vor dem Vertragsschluss zu beurteilen. Hier war die Due Diligence Prüfung erfolgreich und der Unternehmenskauf soll einen Abschluss finden. Damit entsteht das große Interesse an den Daten des Unternehmens, um das Risiko endgültig einschätzen und kalkulieren zu können. Die Einhaltung der DSGVO kann für beide Seiten sehr lästig und zeitaufwendig sein. Ein Kompromiss ist es, wenn die Daten anonymisiert bereitgestellt werden. Das kann zum Beispiel dadurch geschehen, dass personenbezogene Daten geschwärzt werden. Sehr wichtig ist dabei, dass die geschwärzten Daten nicht zurückverfolgt werden können. Hier besteht sonst die Gefahr, dass die DSGVO umgangen wird. Des Weiteren kann die Offenlegung der Daten durch die Erstellung einer statischen Datei ermöglicht werden. Hier werden dem potenziellen Käufer alle wichtigen Daten übermittelt, die aber nicht auf eine Person rückführbar sind. Für den Käufer kann trotzdem ein Interesse an bestimmten Daten bestehen, dem eine Schwärzung nicht hinreichend Rechnung trägt. Hier ist dann im Einzelfall eine datenschutzrechtliche Interessenabwägung vorzunehmen, ob das Informationsinteresse des Verkäufers dem Interesse an der Geheimhaltung der Daten überwiegt. Jedenfalls ist immer ein berechtigtes Interesse an der Offenlegung der Daten notwendig.
Die Gefahr für die Beteiligten für einen Verstoß gegen das Datenschutzrecht ist sehr hoch.
Oft werden datenschutzrechtliche Informationen offengelegt, ohne sich darüber im Klaren zu sein, ob es sich dabei um hochsensible Daten handelt. Ein Verstoß gegen die DSGVO kann schnell vorkommen und schwerwiegende Folgen mit sich bringen. Vor allem werden bei Verstöße Bußgelder bis zu einem zweistelligen Millionenbereich verhängt. Auch werden in Zukunft die Anforderungen an den Datenschutz steigen, weshalb eine Kompetente Beratung in diesem Beriech nicht zu vernachlässigen ist.