Datenschutz beim Unternehmenskauf oder Asset Deal

Unternehmenskauf

Bei einem Unternehmensverkauf z.B. im Rahmen eines Asset Deals, egal ob übertragende Sanierung in der Krise oder außerhalb einer Krise, sind viele Punkte zu beachten. Häufig erfolgte vorab eine Due Diligence durch den Interessenten, um ggf. Problemfelder vorab identifizieren zu können und dies bei der Preisfindung mit einzupreisen.

Leider kommt der Bereich Datenschutz bei dieser Prüfung häufig zu kurz. Auch dies sollte vom Interessenten, insbesondere wenn personenbezogene Daten Bestandteil eines solchen Deals sind, genauestens geprüft werden. Hier könnten sich im Nachgang Haftungsprobleme ergeben, wenn eine Verbreitung von personenbezogene Daten bereits im Vorfeld nicht rechtskonform vorgenommen wurde. Wurden beispielsweise Daten erhoben und verarbeitet, ohne dass eine Rechtsgrundlage derartige Verarbeitungen abdeckt, kann der Interessent diese Daten zukünftig natürlich nicht datenschutzkonform nutzen.

Prüfung interne Maßnahmen beim Unternehmenskauf

Nachfolgend sollen einige Punkte (nicht abschließend) angesprochen werden, die im Rahmen einer notwendigen Prüfung Beachtung finden sollten.

So sind u.a. die internen Datenschutzmaßnahmen wie bspw. die Technischen Organisatorischen Maßnahmen zu prüfen. Weiterhin sollte die Frage erlaubt sein, ob alle Sicherheitsmaßnahmen, die zum Schutz der Daten notwendig sind eingehalten werden, liegt eine aktuelles und gepflegtes Verzeichnis der Verarbeitungstätigkeiten vor, ist ggf. die Benennung eines Datenschutzbeauftragten von Nöten gewesen und erfolgte eine solche Benennung, sind die Dokumentationen, die die DSGVO und das BDSG verlangen vorhanden und aktuell und wurden die Informationspflichten gem. Art. 13, 14 DSGVO vom Verantwortlichen erbracht? Letzteres wird häufige übersehen bei der Verarbeitung von personenbezogenen Daten von Mitarbeitern. Auch diesen müssen Datenschutzhinweise zur Verfügung gestellt werden zum Zeitpunkt der Erhebung der Daten.

Datenschutzrechtliche Dokumentation

Ebenso die Dokumentation von Datenpannen und die Geltendmachung von Betroffenenrechte sollten umfassend vorliegen. Diese Dokumentationen sind verpflichten und helfen den potentiellen Übernehmer auch, Problemfelder im Datenschutz zu erkennen. Sollten beispielsweise Löschungsansprüche gem. Art. 17 DSGVO oder Auskunftsansprüche gem. Art. 15 DSGVO nicht oder nicht innerhalb der gesetzlichen Frist beantworte worden sein, besteht dringender Handlungsbedarf. In der Praxis haben wir immer öfter mit der Ausübung von Betroffenenrechten zu tun und beraten hinsichtlich der Vorgehensweise. Auch ist die Forderung nach einer Kopie gem. Art. 15 Abs. 3 DSGVO immer öfter Gegenstand des Auskunftsanspruches. Hier beraten wir unsere Mandaten und Kunden zu jedem Einzelfall und versuchen gemeinsam mit diesem die praktikabelste Vorgehensweise zu finden. Dabei setzen wir auch immer die aktuelle Entwicklung in der Rechtsprechung zu diesem Thema um. Wichtig ist es immer in diesen Fällen, unter Beachtung des jeweiligen einzelnen Sachverhalt, bestmöglich der Verpflichtung nachzukommen und zugleich für eine eventuelle spätere Untersuchung mit Hilfe der entsprechende Dokumentation Argumente zu haben, aber auch zugleich den Aufwand so gering wie möglich für unseren Kunden zu halten. Getreu unseren Motto: „So viel wie nötig, so wenig wie möglich!“. Natürlich hat der Betroffene ein Recht auf vollumfängliche Auskunft, dennoch gibt es in vielen Einzelfällen Möglichkeiten eine Eskalation zu verhindern und auch ein ggf. verärgerten Betroffenen mit der richtigen Argumentation, etwas zu beschwichtigen und eventuell den Wind aus den Segeln nehmen zu können.

Arbeitsanweisungen bzw. Betriebsvereinbarungen mit datenschutzrechtliche Anknüpfungspunkte

Weiterhin sollte ebenso geprüft werden, welche Vorgaben in Punkto Datenschutz bestehen. Gibt es Reglungen zur Nutzung des dienstlichen E-Mail-Accounts und zur Nutzung der Internetverbindung im geschäftlichen Verkehr. Sollten derartige Regelungen nicht vorliegen und beispielsweise die Privatnutzung des E-Mail-Accounts nicht explizit ausgeschlossen worden sein, ergeben sich u.a. Probleme für den Arbeitgeber, wenn dieser Zugriff auf die Postfächer benötigt oder ggf. sogar bereits bei der notwendigen Archivierung. Auch eine Protokollierung des Internetverkehres, um beispielsweise den Schutz der IT-Systeme zu gewährleisten, ist ohne eine genaue Regelung datenschutzrechtlich höchst brisant. Auch setzt sich der Arbeitsgeber und folglich ggf. der Interessent der Gefahr eines Datenschutzverstoßes aus, welcher nicht nur mit einem Bußgeld geahndet werden kann sondern auch Gegenstand einer Schmerzensgeldklage aufgrund eines immateriellen Schadens des Betroffenen sein könnte. In der aktuellen Rechtsprechung, insbesondere von Seitens der Arbeitsgerichte, werden etwaige Schmerzensgelder basierend auf einen Datenschutzverstoß vermehrt anerkannt. Hier ist der einzelne Anspruch eventuell zu verkraften, nun stelle man sich aber vor, ein Betrieb mit 1.000 Arbeitnehmern sieht sich derartige Ansprüche ausgesetzt. Wenn von diesen Arbeitnehmern nur 200 klagen und ein Schmerzensgeld von 500,00 € zugesprochen bekommen, beläuft sich der Schaden bereits auf 100.000,00 €, ohne das etwaige Gerichtskosten mit in die Rechnung eingeflossen sind.

Datenschutz auf Verkäuferseite

Auch auf Seiten des Verkäufers sind nicht wenige Punkte zu beachten. So muss dieser sicherstellen, dass nur personenbezogene Daten verkauft oder übertragen werden, für deren Verarbeitung eine Rechtsgrundlage vorliegt. Auch bedarf die Übertragung selbst einer Rechtgrundlage, die der Verkäufer genauestens prüfen sollte. Eine Heilung einer nichtrechtmäßigen Übertragung im Nachgang ist nur schwerlich möglich.

Übertragung von Kundendaten und anderen personenbezogenen Daten

Die Übertragung sollte im Vorfeld genausten geprüft werden, auf welcher Grundlage eine Übertragung rechtmäßig ist. Wird die Übertragung zum Beispiel auf das berechtigte Interesse (Art. 6 Abs. 1 UAbs.1 lit. f) DSGVO) des Verkäufers oder eines Dritten gestützt, was per se bei einigen Daten möglich ist, bedarf es einer entsprechende Interessenabwägung, die dokumentiert werden muss, um sich im Nachgang ggf. exkulpieren zu können. Auch kann die Notwendigkeit bestehen, dass die Betroffenenrechte bei einer solchen Übertragung nur mit einer sogenannten Widerspruchslösung gewahrt werden können.

Sollte eine andere Rechtsgrundlage als Erlaubnistatbestand genutzt werden, so ist dies ebenso entsprechend vorzubereiten. Einige Daten können nur rechtmäßig mit einer Einwilligung des jeweiligen Betroffenen i.S.d. Art. 7 DSGVO übertragen werden. Auch hier gibt es Lösungen je nach Einzelfall, um dies bewerkstelligen zu können, muss aber ggf. mit ausreichend Vorlauf vorbereitet werden.

Dies sind nur einige Punkte die solche Transaktionen mit sich bringen können und zugleich ein Aufwand für Käufer und Verkäufer darstellen können. Nicht destortrotz ist das Risiko eines Bußgeldes, von Schmerzensgelder oder auch nur eine öffentliche Brandmarkung im Zweifel höher als der Aufwand, der betrieben werden muss.

Wir stehen mit unserer Expertise sowohl dem Käufer, dem Verkäufer oder auch einem Dritten zur Verfügung und unterstützen bei der Findung und Durchführung von entsprechenden Lösungen.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH