07. Oktober 2019

Prüfung der datenschutzrechtlichen Risiken in der Due Diligence: Unternehmenskauf ohne Risiko?!

Nach den ersten Bußgeldern aufgrund von Datenschutzverstößen im Jahr 2018 sind sich heute die meisten Unternehmen der Risiken, die mit fehlender Datenschutzkonformität einhergehen, bewusst. Wie jedoch weitere Bußgelder und Sanktionen der Aufsichtsbehörden in den letzten Monaten zeigen, kommt Datenschutz im Rahmen der Unternehmens-Compliance dennoch weiterhin oftmals zu kurz. Sträflich vernachlässigt wird die Prüfung der Einhaltung der gesetzlichen Anforderungen an den Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) anscheinend auch beim Unternehmenserwerb (Mergers & Acquisitions).

Die Übernahme von datenschutzrechtlichen Risiken

Auch wenn die erwerbenden Unternehmen die eigene Einhaltung der datenschutzrechtlichen Anforderungen im Blick haben, prüfen sie dennoch regelmäßig nicht, ob das verkaufende Unternehmen (sog. Target) seinerseits die datenschutzrechtlichen Vorgaben einhält und die Anforderungen an die IT-Sicherheit sicherstellt bzw. in der Vergangenheit sichergestellt hat.
Dies kann jedoch schnell drastische Folgen in Form von Sicherheitslücken und datenschutzrechtlichen Risiken, aber auch einem erheblichen „eingekauften“ Bußgeldrisiko nach sich ziehen, für das der Erwerber haftet.

Ein aktuelles Beispiel für ein solches Versäumnis und deren Folgen ist das bei der britischen Datenschutzbehörde (ICO) anhängige Bußgeldverfahren gegen die Hotelkette Marriott. Satte 110 Millionen Euro Bußgeld drohen Marriott wegen einer Datenschutzpanne, die ihren Ursprung bei der Hotelkette Starwood hat. Hacker hatten sich nach bisherigen Erkenntnissen bereits im Jahr 2014 Zugang zu den IT-System von Starwood verschafft und konnten so auf dort gespeicherte Kundendaten zugreifen. Als Marriott im Jahr 2016 die Hotelkette Starwood erwarb, blieb dies wohl aufgrund fehlender Überprüfung der IT-Infrastruktur und eines unterbliebenen datenschutzrechtlichen Audits unerkannt. Neben dem Bußgeld, das Marriott nun droht, dürfte vermutlich auch der Kaufpreis angesichts der bestehenden Risiken und der mangelhaften IT-Sicherheit sowie Datenschutz-Compliance „zu hoch“ ausgefallen sein. Von dem bei Marriott eingetretenen einem erheblichen Image-Schaden ganz zu schweigen.

Dieses Beispiel zeigt recht deutlich, dass im Vorfeld von Unternehmenszusammenführungen (Mergers & Acquisitions) genau geprüft werden sollte, wie es um Datenschutz und IT-Sicherheit im zu übernehmenden Unternehmen steht.

Eine Prüfung des zu übernehmenden Unternehmens auf bestehende datenschutzrechtliche Risiken, Einhaltung der DSGVO und des BDSG sowie die Sicherheit der IT-Infrastruktur lässt sich ohne Weiteres in eine im Rahmen des Erwerbs stattfindende Due Diligence integrieren.

Die Due Diligence im Rahmen von M&A

Unternehmenszusammenführungen gehen mit hohen Investitionen einher. Aus diesem Grund prüft vor Abschluss des Kaufvertrags der Käufer, auf was er sich einlässt. Beispielsweise: Wie sehen die genauen Umsatzzahlen des zu kaufenden Unternehmens aus? Wie viele Mitarbeiter hat es? Wie kann die zukünftige Entwicklung des Unternehmens vorhergesagt werden?

Diese Prüfung und Bewertung nennt man Due Diligence. Einen Teil der Due Diligence stellt die Legal Due Diligence dar, also die Überprüfung der rechtlichen Aspekte des zu kaufenden Unternehmens. Hier werden mögliche rechtliche Risiken anhand von sog. Due Diligence Request Lists abgeprüft.

Um sich gegen die bei der Prüfung festgestellten Risiken abzusichern, wird im Anschluss an die Due Diligence ein Garantienkatalog erstellt. Hier wird festgelegt, ob und wie der Verkäufer im Falle der Realisierung eines Risikos haften muss. Diese Garantien sind nicht nur für den Käufer, sondern auch für den Verkäufer von Bedeutung. In diesen kann festgelegt werden, dass der Verkäufer im Garantiefall zwar Schadenersatz zahlen, jedoch nicht einen Teil des Kaufpreises zurückerstatten muss.

Gerade für die Erstellung des Garantienkatalogs aber auch der Due Diligence Request List sollte auf die Expertise von Fachanwälten zurückgegriffen werden. Nur diese können etwaige Risiken in rechtlichen Spezialgebieten erkennen und deren Folgen ein- und abschätzen.

Datenschutzrechtliche Aspekte innerhalb der Legal Due Diligence

Der Fall Marriott hat deutlich gemacht, dass Datenschutzrecht im Rahmen einer Due Diligence geprüft werden sollte. Datenschutzrechtliche Risiken können sich an verschiedenen Stellen im zu erwerbenden Unternehmen verbergen und erheblichen Schaden anrichten.

Insbesondere folgende Fragen sollten daher im Rahmen der Due Diligence geklärt werden:

  1. Passende Rechtsgrundlagen vorhanden?
    Im Rahmen der datenschutzrechtlichen Due Diligence ist zu prüfen, ob das zu kaufende Unternehmen personenbezogene Daten aufgrund von (zutreffenden) Rechtsgrundlagen verarbeitet. Für den potenziellen Käufer könnten die Daten sonst „wertlos“ sein bzw. von diesem nur mit einem ganz erheblichen Bußgeldrisiko verarbeitet werden. So könnten beispielsweise zahlreiche E-Mail-Adressen von Kunden, die bislang Newsletter erhalten haben, aufgrund fehlender Einwilligung gelöscht werden müssen. Dies kann sich auf den Umsatz auswirken, da ein wichtiges Werbemittel wegfällt.
  2. Werden die Grundsätze bei der Datenverarbeitung nach der DSGVO eingehalten?
    Die DSGVO enthält einige Grundsätze, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. So besagt der Grundsatz der Zweckbindung, die Daten dürften nur zu dem oder den Zwecken genutzt werden, zu denen sie auch erhoben wurden. Nach dem Grundsatz der Richtigkeit muss zudem immer dafür gesorgt werden, dass die Daten auf dem neuesten Stand sind. Damit geht einher, dass sobald eine Unrichtigkeit festgestellt wird, die Daten gelöscht oder korrigiert werden müssen.
    Insbesondere die Beachtung des datenschutzrechtlichen Grundsatzes der Integrität und Vertraulichkeit sollte im Rahmen der Due Diligence geprüft werden. Dieser schreibt die Gewährleistung der Sicherheit und des Schutzes der personenbezogenen Daten vor Verlust, Zugriff unbefugter Dritter sowie Zerstörung und Schädigung durch geeignete technische und organisatorische Maßnahmen vor. Gerade die Beachtung dieses Grundsatzes durch die Starwood Hotelkette hätte beim Kauf durch Marriott überprüft werden müssen. Dabei hätte die Sicherheitslücke im IT-System erkannt werden können.
  3. Werden weitere wichtigen Pflichten nach der DSGVO beachtet?
    Verantwortliche müssen unter anderem durch technische und organisatorische Maßnahmen (TOMs) sicherstellen, dass Daten sicher verarbeitet werden. Dazu müssen beispielsweise dem neuesten Stand der Technik entsprechende IT-Systeme eingesetzt werden und technologische Entwicklungen verfolgt werden. Die zu treffenden Maßnahmen sind dabei unter anderem am Risiko der Datenverarbeitung zu orientieren, so sind bei der Verarbeitung sensibler Daten erhöhte Anforderungen zu beachten. Zu geeigneten TOMs zählen unter anderem die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
    Des Weiteren kann ein Unternehmen die Pflicht treffen, mit einem anderen Unternehmen einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Das ist in den Konstellationen der Fall, in denen ein anderes Unternehmen weisungsgebunden mit einer datenverarbeitenden Dienstleistung beauftragt wird, z.B. beim Cloud Computing. Das Auftragsverarbeitungsverhältnis ist von gemeinsamer und getrennter Verantwortlichkeit abzugrenzen. Im Rahmen der Legal Due Diligence sollte daher geprüft werden, ob diese Abgrenzung zutreffend vorgenommen wurde oder fälschlicherweise kein AVV abgeschlossen wurde bzw. ein Vertrag über die Verarbeitung in Gemeinsamer Verantwortlichkeit (Joint Controllership Agreement) hätte abgeschlossen werden sollen.

Fazit: Ohne Prüfung der datenschutzrechtlichen Risiken wird der Unternehmenskauf zum Risiko

Leider hat das Datenschutzrecht im rechtlich höchst herausfordernden Gebiet des Unternehmenskaufs noch nicht den Stellenwert, der ihm zukommen sollte. So werden datenschutzrechtliche Risiken nur selten im Rahmen der Due Diligence geprüft. Der Fall Marriott zeigt jedoch, dass sich dies zu einem erheblichen finanziellen und wirtschaftlichen Risiko entwickeln kann. Diesem Risiko kann vorgebeugt werden, indem das zu erwerbende Unternehmen von auf Datenschutzrecht spezialisierten Anwälten mit technischem Verständnis gründlich auf die Einhaltung der Vorgaben der DSGVO und dem BDSG durchleuchtet und im Hinblick auf die Gewährleistung der IT-Sicherheit geprüft wird.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!