07.10.2019

Due Diligence: Prüfung der datenschutzrechtlichen Risiken

Nach den ersten Bußgeldern aufgrund von Datenschutzverstößen im Jahr 2018 sind sich heute die meisten Unternehmen der Risiken, die mit fehlender Datenschutzkonformität einhergehen, bewusst. Wie jedoch weitere Bußgelder und Sanktionen der Aufsichtsbehörden in den letzten Monaten zeigen, kommt Datenschutz im Rahmen der Unternehmens-Compliance dennoch weiterhin oftmals zu kurz.

Nach den ersten Bußgeldern aufgrund von Datenschutzverstößen im Jahr 2018 sind sich heute die meisten Unternehmen der Risiken, die mit fehlender Datenschutzkonformität einhergehen, bewusst. Wie jedoch weitere Bußgelder und Sanktionen der Aufsichtsbehörden in den letzten Monaten zeigen, kommt Datenschutz im Rahmen der Unternehmens-Compliance dennoch weiterhin oftmals zu kurz. Sträflich vernachlässigt wird die Prüfung der Einhaltung der gesetzlichen Anforderungen an den Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) anscheinend auch beim Unternehmenserwerb (Mergers & Acquisitions).

Die Übernahme von datenschutzrechtlichen Risiken

Auch wenn die erwerbenden Unternehmen die eigene Einhaltung der datenschutzrechtlichen Anforderungen im Blick haben, prüfen sie dennoch regelmäßig nicht, ob das verkaufende Unternehmen (sog. Target) seinerseits die datenschutzrechtlichen Vorgaben einhält und die Anforderungen an die IT-Sicherheit sicherstellt bzw. in der Vergangenheit sichergestellt hat.
Dies kann jedoch schnell drastische Folgen in Form von Sicherheitslücken und datenschutzrechtlichen Risiken, aber auch einem erheblichen „eingekauften“ Bußgeldrisiko nach sich ziehen, für das der Erwerber haftet.

Ein aktuelles Beispiel für ein solches Versäumnis und deren Folgen ist das bei der britischen Datenschutzbehörde (ICO) anhängige Bußgeldverfahren gegen die Hotelkette Marriott. Satte 110 Millionen Euro Bußgeld drohen Marriott wegen einer Datenschutzpanne, die ihren Ursprung bei der Hotelkette Starwood hat. Hacker hatten sich nach bisherigen Erkenntnissen bereits im Jahr 2014 Zugang zu den IT-System von Starwood verschafft und konnten so auf dort gespeicherte Kundendaten zugreifen.

Als Marriott im Jahr 2016 die Hotelkette Starwood erwarb, blieb dies wohl aufgrund fehlender Überprüfung der IT-Infrastruktur und eines unterbliebenen datenschutzrechtlichen Audits unerkannt. Neben dem Bußgeld, das Marriott nun droht, dürfte vermutlich auch der Kaufpreis angesichts der bestehenden Risiken und der mangelhaften IT-Sicherheit sowie Datenschutz-Compliance „zu hoch“ ausgefallen sein. Von dem bei Marriott eingetretenen einem erheblichen Image-Schaden ganz zu schweigen.

Dieses Beispiel zeigt recht deutlich, dass im Vorfeld von Unternehmenszusammenführungen (Mergers & Acquisitions) genau geprüft werden sollte, wie es um Datenschutz und IT-Sicherheit im zu übernehmenden Unternehmen steht.

Eine Prüfung des zu übernehmenden Unternehmens auf bestehende datenschutzrechtliche Risiken, Einhaltung der DSGVO und des BDSG sowie die Sicherheit der IT-Infrastruktur lässt sich ohne Weiteres in eine im Rahmen des Erwerbs stattfindende sog. „Due Diligence“ integrieren. Einen Teil der Due Diligence stellt die Legal Due Diligence dar, also die Überprüfung der rechtlichen Aspekte des zu kaufenden Unternehmens.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 4 und 3.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Datenschutzrechtliche Aspekte innerhalb der Legal Due Diligence

Der Fall Marriott hat deutlich gemacht, dass Datenschutzrecht im Rahmen einer Due Diligence geprüft werden sollte. Datenschutzrechtliche Risiken können sich an verschiedenen Stellen im zu erwerbenden Unternehmen verbergen und erheblichen Schaden anrichten.

Insbesondere folgende Fragen sollten daher im Rahmen der Due Diligence geklärt werden:

  1. Verarbeitet das zu kaufende Unternehmen personenbezogene Daten?

Im Rahmen der datenschutzrechtlichen Due Diligence ist zu prüfen, ob das zu kaufende Unternehmen rechtmäßig personenbezogene Daten verarbeitet. Das ist beispielsweise der Fall, wenn E-Mail-Adressen sowie Namen von Kunden abgespeichert werden, um ihnen Newsletter zukommen zu lassen. Dazu benötigt das Unternehmen jedoch eine Einwilligung des Kunden. Wird bei der Due Diligence festgestellt, dass diese nicht vorliegt, bedeutet das im Umkehrschluss, dass das zu kaufende Unternehmen rechtswidrig handelt. Es ist daher einem hohen Risiko ausgesetzt, Sanktionen von Datenschutzbehörden auferlegt zu bekommen. Aus diesem Grund müssen die Kundendaten, zu denen keine Einwilligung vorliegt, gelöscht werden und der Newsletterversand an diese Kunden fällt als wichtiges Werbemittel weg. Dies kann sich stark auf den Umsatz des Unternehmens auswirken und ist somit ein großer Negativfaktor für den Käufer des Unternehmens.

  1. Hält das Unternehmen die Grundsätze der Datenverarbeitung nach der DSGVO ein?

Die DSGVO enthält einige Grundsätze, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. So besagt der Grundsatz der Zweckbindung, die Daten dürften nur zu dem oder den Zwecken genutzt werden, zu denen sie auch erhoben wurden (z.B. E-Mail-Adressen nur zum Newsletterversand, wenn die Einwilligung auch nur dafür erteilt wurde und nicht für weitere Marketingzwecke). Nach dem Grundsatz der Richtigkeit muss zudem immer dafür gesorgt werden, dass die Daten auf dem neuesten Stand sind. Damit geht einher, dass sobald eine Unrichtigkeit festgestellt wird, die Daten gelöscht oder korrigiert werden müssen.

Insbesondere die Beachtung des datenschutzrechtlichen Grundsatzes der Integrität und Vertraulichkeit sollte im Rahmen der Due Diligence geprüft werden. Dieser schreibt die Gewährleistung der Sicherheit und des Schutzes der personenbezogenen Daten vor Verlust, Zugriff unbefugter Dritter sowie Zerstörung und Schädigung durch geeignete technische und organisatorische Maßnahmen vor. Gerade die Beachtung dieses Grundsatzes durch die Starwood Hotelkette hätte beim Kauf durch Marriott überprüft werden müssen. Dabei hätte die Sicherheitslücke im IT-System erkannt werden können.

  1. Werden weitere wichtige Pflichten nach der DSGVO beachtet?

Verantwortliche müssen unter anderem durch technische und organisatorische Maßnahmen (TOM) sicherstellen, dass Daten sicher verarbeitet werden. Dazu müssen beispielsweise dem neuesten Stand der Technik entsprechende IT-Systeme eingesetzt werden und technologische Entwicklungen verfolgt werden. Die zu treffenden Maßnahmen sind dabei unter anderem am Risiko der Datenverarbeitung zu orientieren, so sind bei der Verarbeitung sensibler Daten erhöhte Anforderungen zu beachten. Zu geeigneten TOM zählen unter anderem die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.

Des Weiteren kann ein Unternehmen die Pflicht treffen, mit einem anderen Unternehmen einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Das ist in den Konstellationen der Fall, in denen ein anderes Unternehmen weisungsgebunden mit einer datenverarbeitenden Dienstleistung beauftragt wird, z.B. beim Cloud Computing. Das Auftragsverarbeitungsverhältnis ist von gemeinsamer und getrennter Verantwortlichkeit abzugrenzen. Im Rahmen der Legal Due Diligence sollte daher geprüft werden, ob diese Abgrenzung zutreffend vorgenommen wurde oder fälschlicherweise kein AVV abgeschlossen wurde bzw. ein Vertrag über die Verarbeitung in Gemeinsamer Verantwortlichkeit (Joint Controllership Agreement) hätte abgeschlossen werden sollen.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Fazit: Ohne Prüfung der datenschutzrechtlichen Risiken wird der Unternehmenskauf zum Risiko

Leider hat das Datenschutzrecht im rechtlich höchst herausfordernden Gebiet des Unternehmenskaufs noch nicht den Stellenwert, der ihm zukommen sollte. So werden datenschutzrechtliche Risiken nur selten im Rahmen der Due Diligence geprüft. Der Fall Marriott zeigt jedoch, dass sich dies zu einem erheblichen finanziellen und wirtschaftlichen Risiko entwickeln kann. Diesem Risiko kann vorgebeugt werden, indem das zu erwerbende Unternehmen von Datenschutz- und IT- Sicherheitsexperten gründlich auf die Einhaltung der Vorgaben der DSGVO und dem BDSG durchleuchtet wird.

Obwohl bei vielen Unternehmenskäufen im Rahmen der Due Diligence dem Datenschutz noch wenig Beachtung zukommt, haben unsere Experten der ISiCO Datenschutz GmbH bereits Erfahrung bei der Kundenberatung in diesem Bereich vorzuweisen. Wir kennen die möglichen datenschutzrechtlichen Risiken und beraten unsere Kunden umfassend, damit ihr Unternehmenskauf ein Erfolg wird. Möchten Sie mehr zu diesem Thema wissen? Kontaktieren Sie uns gerne!

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …