Nach den ersten Bußgeldern aufgrund von Datenschutzverstößen im Jahr 2018 sind sich heute die meisten Unternehmen der Risiken, die mit fehlender Datenschutzkonformität einhergehen, bewusst. Wie jedoch weitere Bußgelder und Sanktionen der Aufsichtsbehörden in den letzten Monaten zeigen, kommt Datenschutz im Rahmen der Unternehmens-Compliance dennoch weiterhin oftmals zu kurz. Sträflich vernachlässigt wird die Prüfung der Einhaltung der gesetzlichen Anforderungen an den Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) anscheinend auch beim Unternehmenserwerb (Mergers & Acquisitions).
Die Übernahme von datenschutzrechtlichen Risiken
Auch wenn die erwerbenden Unternehmen die eigene Einhaltung der datenschutzrechtlichen Anforderungen im Blick haben, prüfen sie dennoch regelmäßig nicht, ob das verkaufende Unternehmen (sog. Target) seinerseits die datenschutzrechtlichen Vorgaben einhält und die Anforderungen an die IT-Sicherheit sicherstellt bzw. in der Vergangenheit sichergestellt hat.
Dies kann jedoch schnell drastische Folgen in Form von Sicherheitslücken und datenschutzrechtlichen Risiken, aber auch einem erheblichen „eingekauften“ Bußgeldrisiko nach sich ziehen, für das der Erwerber haftet.
Ein aktuelles Beispiel für ein solches Versäumnis und deren Folgen ist das bei der britischen Datenschutzbehörde (ICO) anhängige Bußgeldverfahren gegen die Hotelkette Marriott. Satte 110 Millionen Euro Bußgeld drohen Marriott wegen einer Datenschutzpanne, die ihren Ursprung bei der Hotelkette Starwood hat. Hacker hatten sich nach bisherigen Erkenntnissen bereits im Jahr 2014 Zugang zu den IT-System von Starwood verschafft und konnten so auf dort gespeicherte Kundendaten zugreifen.
Als Marriott im Jahr 2016 die Hotelkette Starwood erwarb, blieb dies wohl aufgrund fehlender Überprüfung der IT-Infrastruktur und eines unterbliebenen datenschutzrechtlichen Audits unerkannt. Neben dem Bußgeld, das Marriott nun droht, dürfte vermutlich auch der Kaufpreis angesichts der bestehenden Risiken und der mangelhaften IT-Sicherheit sowie Datenschutz-Compliance „zu hoch“ ausgefallen sein. Von dem bei Marriott eingetretenen einem erheblichen Image-Schaden ganz zu schweigen.
Dieses Beispiel zeigt recht deutlich, dass im Vorfeld von Unternehmenszusammenführungen (Mergers & Acquisitions) genau geprüft werden sollte, wie es um Datenschutz und IT-Sicherheit im zu übernehmenden Unternehmen steht.
Eine Prüfung des zu übernehmenden Unternehmens auf bestehende datenschutzrechtliche Risiken, Einhaltung der DSGVO und des BDSG sowie die Sicherheit der IT-Infrastruktur lässt sich ohne Weiteres in eine im Rahmen des Erwerbs stattfindende sog. „Due Diligence“ integrieren. Einen Teil der Due Diligence stellt die Legal Due Diligence dar, also die Überprüfung der rechtlichen Aspekte des zu kaufenden Unternehmens.
Datenschutzrechtliche Aspekte innerhalb der Legal Due Diligence
Der Fall Marriott hat deutlich gemacht, dass Datenschutzrecht im Rahmen einer Due Diligence geprüft werden sollte. Datenschutzrechtliche Risiken können sich an verschiedenen Stellen im zu erwerbenden Unternehmen verbergen und erheblichen Schaden anrichten.
Insbesondere folgende Fragen sollten daher im Rahmen der Due Diligence geklärt werden:
-
Verarbeitet das zu kaufende Unternehmen personenbezogene Daten?
Im Rahmen der datenschutzrechtlichen Due Diligence ist zu prüfen, ob das zu kaufende Unternehmen rechtmäßig personenbezogene Daten verarbeitet. Das ist beispielsweise der Fall, wenn E-Mail-Adressen sowie Namen von Kunden abgespeichert werden, um ihnen Newsletter zukommen zu lassen. Dazu benötigt das Unternehmen jedoch eine Einwilligung des Kunden. Wird bei der Due Diligence festgestellt, dass diese nicht vorliegt, bedeutet das im Umkehrschluss, dass das zu kaufende Unternehmen rechtswidrig handelt. Es ist daher einem hohen Risiko ausgesetzt, Sanktionen von Datenschutzbehörden auferlegt zu bekommen. Aus diesem Grund müssen die Kundendaten, zu denen keine Einwilligung vorliegt, gelöscht werden und der Newsletterversand an diese Kunden fällt als wichtiges Werbemittel weg. Dies kann sich stark auf den Umsatz des Unternehmens auswirken und ist somit ein großer Negativfaktor für den Käufer des Unternehmens.
-
Hält das Unternehmen die Grundsätze der Datenverarbeitung nach der DSGVO ein?
Die DSGVO enthält einige Grundsätze, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. So besagt der Grundsatz der Zweckbindung, die Daten dürften nur zu dem oder den Zwecken genutzt werden, zu denen sie auch erhoben wurden (z.B. E-Mail-Adressen nur zum Newsletterversand, wenn die Einwilligung auch nur dafür erteilt wurde und nicht für weitere Marketingzwecke). Nach dem Grundsatz der Richtigkeit muss zudem immer dafür gesorgt werden, dass die Daten auf dem neuesten Stand sind. Damit geht einher, dass sobald eine Unrichtigkeit festgestellt wird, die Daten gelöscht oder korrigiert werden müssen.
Insbesondere die Beachtung des datenschutzrechtlichen Grundsatzes der Integrität und Vertraulichkeit sollte im Rahmen der Due Diligence geprüft werden. Dieser schreibt die Gewährleistung der Sicherheit und des Schutzes der personenbezogenen Daten vor Verlust, Zugriff unbefugter Dritter sowie Zerstörung und Schädigung durch geeignete technische und organisatorische Maßnahmen vor. Gerade die Beachtung dieses Grundsatzes durch die Starwood Hotelkette hätte beim Kauf durch Marriott überprüft werden müssen. Dabei hätte die Sicherheitslücke im IT-System erkannt werden können.
-
Werden weitere wichtige Pflichten nach der DSGVO beachtet?
Verantwortliche müssen unter anderem durch technische und organisatorische Maßnahmen (TOM) sicherstellen, dass Daten sicher verarbeitet werden. Dazu müssen beispielsweise dem neuesten Stand der Technik entsprechende IT-Systeme eingesetzt werden und technologische Entwicklungen verfolgt werden. Die zu treffenden Maßnahmen sind dabei unter anderem am Risiko der Datenverarbeitung zu orientieren, so sind bei der Verarbeitung sensibler Daten erhöhte Anforderungen zu beachten. Zu geeigneten TOMs zählen unter anderem die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
Des Weiteren kann ein Unternehmen die Pflicht treffen, mit einem anderen Unternehmen einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Das ist in den Konstellationen der Fall, in denen ein anderes Unternehmen weisungsgebunden mit einer datenverarbeitenden Dienstleistung beauftragt wird, z.B. beim Cloud Computing. Das Auftragsverarbeitungsverhältnis ist von gemeinsamer und getrennter Verantwortlichkeit abzugrenzen. Im Rahmen der Legal Due Diligence sollte daher geprüft werden, ob diese Abgrenzung zutreffend vorgenommen wurde oder fälschlicherweise kein AVV abgeschlossen wurde bzw. ein Vertrag über die Verarbeitung in Gemeinsamer Verantwortlichkeit (Joint Controllership Agreement) hätte abgeschlossen werden sollen.
Fazit: Ohne Prüfung der datenschutzrechtlichen Risiken wird der Unternehmenskauf zum Risiko
Leider hat das Datenschutzrecht im rechtlich höchst herausfordernden Gebiet des Unternehmenskaufs noch nicht den Stellenwert, der ihm zukommen sollte. So werden datenschutzrechtliche Risiken nur selten im Rahmen der Due Diligence geprüft. Der Fall Marriott zeigt jedoch, dass sich dies zu einem erheblichen finanziellen und wirtschaftlichen Risiko entwickeln kann. Diesem Risiko kann vorgebeugt werden, indem das zu erwerbende Unternehmen von Datenschutz- und IT- Sicherheitsexperten gründlich auf die Einhaltung der Vorgaben der DSGVO und dem BDSG durchleuchtet wird.
Obwohl bei vielen Unternehmenskäufen im Rahmen der Due Diligence dem Datenschutz noch wenig Beachtung zukommt, haben unsere Experten der ISiCO Datenschutz GmbH bereits Erfahrung bei der Kundenberatung in diesem Bereich vorzuweisen. Wir kennen die möglichen datenschutzrechtlichen Risiken und beraten unsere Kunden umfassend, damit ihr Unternehmenskauf ein Erfolg wird. Möchten Sie mehr zu diesem Thema wissen? Kontaktieren Sie uns gerne!