Data protection in corporate transactions - Part 1: Due diligence

Due Diligence: Worauf beim Datenschutz zu achten ist

Im Rahmen einer Unternehmenstransaktion werden regelmäßig umfassende Informationen über Kunden, Lieferanten und Mitarbeiter vom Verkäufer an Interessenten übermittelt. In der Vergangenheit erfolgte dies häufig durch ungefilterte und ungeschwärzte Unterlagen mit einer Vielzahl von personenbezogenen Daten. Inzwischen kommt dem Schutz von Mitarbeiterdaten jedoch eine umfassende Bedeutung zu. Die DSGVO hat die Sanktionsmöglichkeiten im Vergleich zum BDSG noch einmal drastisch verschärft. So drohen nun bei einem Verstoß Bußgelder von bis zu 20 Mio. EUR oder vier Prozent des weltweiten jährlichen Konzernumsatzes. Angesichts dessen wäre das Vorbereiten und Durchführen einer Transaktion ohne Berücksichtigung der Datenschutzbestimmungen grob fahrlässig.

Bei Transaktionen treffen sehr unterschiedliche Interessenlagen, Rechte und Pflichten aufeinander: Der Verkäufer hat einerseits das Recht, sein Unternehmen oder Teile davon zu veräußern und in diesem Zusammenhang Interessenten alle wichtigen und wertrelevanten Informationen zukommen zu lassen. Potenzielle Erwerber wiederum benötigen umfassende Informationen über das zum Verkauf stehende Unternehmen, um Sinn und Wert im eigenen Kontext evaluieren zu können. Die Beschäftigten schließlich haben das Recht, über ihre eigenen Daten zu bestimmen und zu verfügen.

Welche Parameter bei der Due Diligence zu berücksichtigen sind

Für Art und Umfang der Datenübermittlung sind insbesondere die folgenden Faktoren zu berücksichtigen:

• Um welche Art der Übertragung es sich handelt: Share oder Asset Deal
• In welcher Phase sich die Transaktion befindet: (i) Due Diligence, (ii) Verhandlungen bis Signing (Kaufvertrag mit Anlagen), (iii) Signing bis Closing, insbesondere in Vorbereitung der Integration des erworbenen Unternehmens
• In welcher Form die Daten ausgetauscht werden: in einem physischen oder digitalen Datenraum, mit oder ohne Kopiermöglichkeit.
• An wen die Daten übermittelt werden: an Adressaten mit oder ohne Verpflichtung zur Berufsverschwiegenheit; im inner- oder außereuropäischen Ausland?

Der Fokus an dieser Stelle liegt auf Durchführen der Due Diligence, der ersten Transaktionsphase. Hier gibt es häufig noch einen größeren Adressatenkreis, um mehreren Kaufinteressenten im Rahmen einer Bieterauktion eine Prüfung zu ermöglichen. Gerade weil das so ist, ist besondere Sorgfalt im Hinblick auf den Arbeitnehmerdatenschutz erforderlich. In der Regel ist weder bekannt, welcher Interessent am Ende den Zuschlag erhält oder ob es überhaupt zu einem Vertragsschluss kommt.

Datenschutzrechtliches Grundprinzip

Im Datenschutz gilt das Prinzip – Verbot mit Erlaubnisvorbehalt – jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten erfordert daher entweder die Einwilligung des Betroffenen oder eine gesetzliche Rechtfertigung.

Die Einwilligung der betroffenen Mitarbeiter ist in der Regel nicht praktikabel. Oft geht es um eine Vielzahl von Personen. Die Einwilligung jedes einzelnen muss informiert und freiwillig erfolgen, wobei die Freiwilligkeit wegen des Abhängigkeitsverhältnisses zum Arbeitgeber insgesamt fraglich ist. Die Vertraulichkeit der Transaktion gerade in diesem frühen Stadium kann dadurch besonders gefährdet werden. Durch die Möglichkeit des Mitarbeiters, seine Einwilligung jederzeit zu widerrufen, gibt diese Möglichkeit auch keine verlässliche Basis für die Übermittlung von Daten.

Im Ergebnis wird an dieser Stelle eine Interessenabwägung im Rahmen der Rechtfertigung des Art. 6 (1) f DSGVO erfolgen -

„…die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“.

Für die Verhältnismäßigkeitsprüfung ist vor allem zu berücksichtigen, welche Daten für eine Unternehmensbewertung erforderlich sind, reines Interesse des Käufers darüber hinaus ist kein Rechtfertigungsgrund. Schutzmaßnahmen und Informationspflichten gegenüber den Betroffenen sind zu berücksichtigen, so auch besondere Vertraulichkeitsvereinbarungen und die Verpflichtung, die Daten im Falle eines Scheiterns der Transaktion zu löschen.

Daten der Vorstände bzw. Geschäftsführer

Die wesentlichen Bedingungen in den Anstellungsverträgen von Vorständen und Geschäftsführern sind für den Käufer in der Regel von so zentraler rechtlicher und wirtschaftlicher Bedeutung, dass selbst in der Due Diligence-Phase neben den Namen der Vorstände bzw. Geschäftsführer, insbesondere ihre jährliche Vergütung, Boni, evt. Pensionszusagen oder ein etwaiges nachvertragliches Wettbewerbsverbot den Interessenten zur Verfügung gestellt werden können.

Darüber hinaus werden Vorstände und Geschäftsführer häufig auch ein starkes Eigeninteresse an der Übermittlung ihrer Namen haben bzw. sind aktiv in die Transaktion eingebunden.

Daten der Angestellten

Zumindest in kleineren und mittleren Unternehmen wird ein möglicher Käufer auch an leitenden Angestellten oder anderen Angestellten mit Schlüsselfunktionen ein hohes Interesse haben und jedenfalls die wesentlichen Daten ihrer Arbeitsverträge, wie Qualifikation, Vertragslaufzeiten, Kündigungsfristen, Vergütungsstruktur, Boni, Pensionsverpflichtungen oder nachvertragliche Wettbewerbsverbote anfordern. Anders als bei Mitgliedern der Geschäftsleitung wird an dieser Stelle jedoch kein Bedarf des Kaufinteressenten zu bejahen sein, die jeweiligen Arbeitsverträge oder gar die Personalakte einzusehen, sondern Unterlagen mit aggregierten Daten. Für Einblicke in die Personalakte, muss der Betroffene sein schriftliches Einverständnis geben.

Informationen über andere Mitarbeiter dürfen regelmäßig nur in anonymisierter bzw. pseudonymisierter Form zur Verfügung gestellt werden, da deren namentliche Übermittlung für die Unternehmensbewertung kaum erforderlich sein wird. Anonymisierte Gehaltslisten und Pensionsrückstellungen sind für potenzielle Käufer sehr wichtige Quellen für die wirtschaftliche Beurteilung eines Unternehmens. Allerdings besteht gerade bei kleinen bis mittleren Unternehmen oft die Gefahr, dass der Bezug zu einzelnen Personen trotzdem ermittelbar ist. Die Listen wären dann nicht anonymisiert. Falls daher angesichts der Größe des Unternehmens keine Anonymisierung möglich ist, sollte geprüft werden, ob nur die Berater den Zugang zu den Daten erhalten, so dass diese entsprechende Berichte ohne Namensnennung und ohne Möglichkeit von Rückschlüssen auf individuelle Mitarbeiter erstellen können. Gerade wenn noch eine Vielzahl von Interessenten Zugang zu dem Datenraum hat, ist der Zugriff auf sonstige personenbezogene Daten soweit möglich zu beschränken.

Unterschiedliche Interessenslagen abwägen

Verkäufer, Käufer und Mitarbeiter haben unterschiedliche Interessenslagen. Dabei genießt der Schutz personenbezogener Daten immer mehr Aufmerksamkeit, andererseits sind Informationen über Mitarbeiter ein wichtiger Einflussfaktor bei der Bewertung. Diese Konstellation gilt es im Vorfeld einer Transaktion sorgfältig zu analysieren und abzuwägen, welche personenbezogenen Daten zu welchem Zeitpunkt übermittelt werden sollen. Insgesamt dürfen nur Daten übermittelt werden, die auch erforderlich für den angestrebten Zweck sind.

Wir beraten sowohl Käufer als auch Verkäufer im Bereich Datenschutz als auch Gesellschaftsrecht über den gesamten Prozess einer Unternehmenstransaktion. Dank starker fachlicher Verzahnung können wir in allen Teilbereichen passgenaue Lösungen bieten. Gerne stehe Ihnen bei Fragen zur Verfügung.

Maren Bianchini-Hartmann, LL.M. (Fordham University School of Law)
bianchini@web-partner.de

Für Teil 2:
Datenschutz bei Unternehmenstransaktionen: Worauf es von der Verhandlungsphase bis hin zum Abschluss der Unternehmenstransaktion ankommt