Читать книгу Unternehmenskaufvertrag - Christoph Louven - Страница 26

192

Besondere Relevanz für jede Due Diligence haben seit ihrer Einführung die DSGVO und die durch sie insbesondere hinsichtlich ihrer Rechtsfolgen verschärften datenschutzrechtlichen Anforderungen.

193

Bei Verstößen drohen empfindliche Bußgelder, nämlich nach Art. 83 Abs. 1 DSGVO bis zu 4 % des weltweiten Konzernumsatzes bzw. EUR 20 Mio. bei Verstößen gegen die in Art. 83 Abs. 6 DSGVO genannten Bestimmungen oder bis zu 2 % des weltweiten Konzernumsatzes bzw. EUR 10 Mio. bei Verstößen gegen die in Art. 83 Abs. 5 DSGVO genannten Bestimmungen (wobei in jeder der beiden Kategorien der höhere Betrag maßgeblich ist).

194

Datenschutzrechtliche Vorschriften haben im Kontext einer Due Diligence aus der Perspektive des Verkäufers (aber durchaus auch mit Konsequenzen für die Zielgesellschaft und damit letztlich den Käufer) in dreierlei Hinsicht Bedeutung:

195

Zunächst muss bei einem Share Deal sichergestellt sein, dass die Zielgesellschaft keine datenschutzrechtlichen Pflichten verletzt, wenn sie ihrem Gesellschafter als Verkäufer personenbezogene Daten überlässt, die er für die Durchführung der Due Diligence anfordert.

196

Des Weiteren muss der Verkäufer, soweit er personenbezogene Daten in datenschutzrechtlich konformer Weise von der Zielgesellschaft erhalten hat, sicherstellen, dass deren Hochladen in einen virtuellen Datenraum in datenschutzrechtlich konformer Weise geschieht.

197

Schließlich muss sichergestellt sein, dass die Offenlegung gegenüber einem oder mehreren Käufern im virtuellen Datenraum im Einklang mit der DSGVO373 erfolgt.

198

Grundvoraussetzung dafür, dass die DSGVO eingreift, ist das Vorliegen von personenbezogenen Daten. Nach Art. 4 Nr. 1 DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur ein Teil derjenigen Informationen, die üblicherweise in einem Datenraum offengelegt werden, ist personenbezogen. Darunter fallen z.B. Name, Familienstand, Geschlecht, Anschrift, Geburtsdatum und E-Mail-Adressen.374 Praktisch besonders relevante Anwendungsfälle sind die Offenlegung von Daten der Organmitglieder und von Mitarbeitern der Zielgesellschaft. Bei den üblicherweise in Datenräumen zahlreich offengelegten Verträgen (im Kontext des Datenschutzes werden insbesondere Kundenverträge prominent herausgehoben, von gleicher Relevanz sind aber auch z.B. Lieferverträge, Vertriebsverträge, Lizenzverträge, Serviceverträge, Mietverträge, Kooperationsverträge, Versicherungspolicen, Darlehensverträge) ist in datenschutzrechtlicher Hinsicht zu unterscheiden, ob die Zielgesellschaft sie mit natürlichen oder juristischen Personen oder Personenhandelsgesellschaften abgeschlossen hat. Soweit sie mit juristischen Personen oder Personenhandelsgesellschaften abgeschlossen sind, können sie grundsätzlich auch unter Nennung des Vertragspartners datenschutzrechtlich bedenkenlos offengelegt werden (wobei selbstverständlich Grenzen durch Vertraulichkeitsvereinbarungen zu beachten sind375). Sofern der Name desjenigen, der beim Vertragspartner unterschrieben hat, oder Namen anderer Mitarbeiter, an die man sich im Rahmen der Vertragsabwicklung wenden kann, in den Verträgen ausgewiesen werden und sie dort lediglich aufgrund ihrer Funktion genannt sind, dürfte für gewöhnlich kein Schutzbedürfnis vorliegen, das das Interesse des Verkäufers an der Offenlegung überwiegt.376 Abweichende Fallkonstellationen sind aber denkbar und dann sorgfältig zu prüfen.377 Sind Verträge mit natürlichen Personen abgeschlossen (was etwa bei Zielgesellschaften, die gewerblich vermieten oder mit Verbrauchern handeln, große Relevanz hat), handelt es sich bei deren Daten grundsätzlich um personenbezogene Daten. Insoweit ist eine sorgfältige Interessenabwägung hinsichtlich der Offenlegung durchzuführen. Im Zweifelsfall sind die personenbezogenen Daten unkenntlich zu machen.

199

Liegen in diesem Sinne personenbezogene Daten vor, ist in einem zweiten Schritt auszuschließen, dass es sich um sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO handelt. Im Rahmen einer Due Diligence theoretisch bedeutsam werden könnten z.B. Daten über die ethnische Herkunft, die Gewerkschaftszugehörigkeit, die sexuelle Orientierung oder Gesundheitsdaten von Mitarbeitern. Die Verarbeitung solcher Daten ist grundsätzlich untersagt, ihre Übermittlung und Offenlegung in einem Datenraum nur in den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Diese Voraussetzungen werden im Rahmen eines Unternehmenskaufs regelmäßig nicht erfüllt sein.378 Eine Einwilligung der Betroffenen dürfte regelmäßig fernliegend sein.379

200

Ob, in einem ersten Schritt bei einem Share Deal, die Zielgesellschaft personenbezogene Daten an ihren Gesellschafter weitergeben darf, der sie dann für seinen Datenraum verwendet, hängt davon ab, ob die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO erfüllt sind. Dazu ist zunächst festzuhalten, dass die Weitergabe personenbezogener Daten von der Zielgesellschaft an den Verkäufer zumindest nicht daran scheitert, dass die Zielgesellschaft die Daten (jedenfalls auch) im Interesse des Gesellschafters und Verkäufers an diesen weitergibt. Denn auch berechtigte Interessen „eines Dritten“, hier des Gesellschafters, reichen nach Art. 6 Abs. 1 lit. f DSGVO aus.380

201

Nach Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung personenbezogener, nicht sensibler Daten erlaubt, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritter erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Berechtigte Interessen sind alle von der Rechtsordnung gebilligten Interessen rechtlicher, wirtschaftlicher, ideeller oder sonstiger Natur.381 In diesem Sinne bestehen, sowohl beim Share Deal als auch beim Asset Deal berechtigte Interessen. Denn das Interesse an der Durchführung eines Unternehmens (ver)kaufs ist in einer Marktwirtschaft nicht nur gebilligt, sondern im Interesse der Fortentwicklung der Wirtschaft sogar gewünscht. Das Ziel des Verkäufers, dem Erwerber Einblicke zu verschaffen, sodass er auf dieser Grundlage ein Angebot abgeben kann, ist ebenso ein berechtigtes Interesse wie das des Käufers, die mit dem Erwerb verbundenen Risiken einschätzen zu können.382 Zur Wahrung dieser berechtigten Interessen muss die Offenlegung erforderlich sein. Viele Prüfungen können auch ohne eine Offenlegung personenbezogener Daten erfolgen, sodass die Rechtmäßigkeit der Offenlegung an dem Nichtvorliegen der Erforderlichkeit scheitern würde. Allerdings ist zu beachten, dass für eine verlässliche Prüfung der Zielgesellschaft oft keine anderen Mittel zur Verfügung stehen als der Austausch von Informationen über sie.383 In diesem Kontext ist zunächst konkret und einzelfallbezogen zu prüfen, ob etwa eine Nennung von Mitarbeitern oder natürlichen Personen, die Kunden, Lieferanten oder sonstige Vertragsparteien der Zielgesellschaft sind, erforderlich ist oder nicht bereits anonymisierte Listen oder pseudonymisierte Listen (Art. 4 Nr. 5 DSGVO) oder eine Strukturdarstellung, in der Daten von mindestens drei Betroffenen zusammengefasst werden,384 oder sonstige Zusammenfassungen in aggregierter Form den Zweck erfüllen. Auch ist zu prüfen und zu entscheiden, gegenüber welchem Personenkreis die Daten offengelegt werden. Regelmäßig wird eine Offenlegung an bestimmte Vertreter des Käufers, dessen Anwälte, Wirtschaftsprüfer, Investmentbanken und sonstige Berater ausreichend sein, den Zweck der Due Diligence zu erfüllen.385 In diesem Kontext sind schließlich die Existenz von Vertraulichkeitsvereinbarung und die Phase der Transaktion, in welcher die personenbezogenen Daten im Datenraum offengelegt werden, zu berücksichtigen. Je weiter der Verkaufsprozess fortgeschritten ist, desto stärker müssen die Interessen der Betroffenen hinter denen des Verkäufers und des Kaufinteressenten zurückstehen.386

202

Weitere Voraussetzung des Art. 6 Abs. 1 lit. f DSGVO ist, die Interessen des Verkäufers und Kaufinteressenten einerseits und die Interessen der Betroffenen am Schutz ihrer informationellen Selbstbestimmung andererseits ins Verhältnis zu stellen und zu einem schonenden Ausgleich zu bringen.387 Die dafür erforderliche Abwägung hat im Einzelfall zu erfolgen, pauschalierende Aussagen verbieten sich.388

203

Es ist dann zu prüfen, ob es Beschäftigtendaten von Beschäftigten in herausgehobener Position gibt, für die ein hohes Informationsinteresse des Kaufinteressenten besteht.389 Dies wird für die Mitglieder des Geschäftsleitungsorgans, also Vorstände und Geschäftsführer der Zielgesellschaft etwa im Hinblick auf deren Namen, Qualifikation, Vergütung, die Konditionen der Anstellungsverträge, insbesondere in Bezug auf die Existenz von Change-of-Control-Klauseln, Kündigungsmöglichkeiten, Pensionszusagen oder Wettbewerbsverboten, vertreten390 und soll auch bereits in einer sehr frühen Phase der Transaktion und im Hinblick auf eine Vielzahl von Interessenten gelten.391 Denn die Qualität des Managements, seine Qualifikationen und ggf. bestehende individuelle Sondervereinbarungen werden als maßgeblich, insbesondere auch für den wirtschaftlichen Erfolg und damit auch den Wert der Zielgesellschaft, angesehen.392 Oft haben Vorstände und Geschäftsführer aber auch schon ein hohes Eigeninteresse an der Mitteilung zumindest ihrer Namen393 und möglicherweise im Einzelfall auch an der Mitteilung weiterer Details ihrer Anstellungsverhältnisse. Dies soll für leitende Angestellte und Schlüsselmitarbeiter der Zielgesellschaft (etwa Know-how-Träger) nicht ohne Weiteres gelten und eher bei „kleinen Targets“ anzunehmen sein.394 Das überzeugt nicht. Denn gerade bei mittleren und großen Zielgesellschaften sind regelmäßig gerade auch die Führungskräfte auf der Ebene unterhalb des Vorstands oder der Geschäftsführung wesentliche Träger des Unternehmenserfolgs. Auch bei ihnen sollte daher ein hohes Informationsinteresse datenschutzrechtlich anerkannt werden.395 Die Offenlegung von einzelnen personenbezogenen Daten nachgeordneter „normaler“ Mitarbeiter dürfte regelmäßig seltener gerechtfertigt sein. So dürfen etwa jedenfalls die Anzahl von Mitarbeitern in bestimmten Abteilungen oder die Höhe der Gehälter, die für bestimmte Personen gezahlt werden, tendenziell nur in aggregierter Form offen gelegt werden.396 Zum Teil wird darüber hinaus angenommen, dass grundsätzlich sämtliche Informationen über nachgeordnete „normale“ Mitarbeiter nur in anonymisierter Form offengelegt werden dürften, weil ihre namentliche Offenlegung für die Unternehmensbewertung nicht erforderlich sei.397 Ausnahmsweise dürfe der Name eines individuellen Know-how-Trägers oder Vertriebsmitarbeiters von so herausgehobenem Interesse für den Kaufinteressenten sein, dass die Offenlegung seines Namens zulässig sei.398 Arbeitsverträge dürfen nur in Gestalt eines Standardarbeitsvertrags zur Verfügung gestellt werden. Die Offenlegung der gesamten Personalakte oder von Auszügen aus ihr ohne Einwilligung des Betroffenen dürfte eine „rote Linie“ darstellen, deren Überschreitung nur in absoluten Ausnahmefällen gerechtfertigt sein kann.399 Kundenverträge oder sonstige Verträge der Zielgesellschaft mit natürlichen Personen unterliegen, wenn sie in anonymisierter Form (also etwa durch Schwärzung der personenbezogenen Daten) in einer Weise offengelegt werden, dass eine Zuordnung zu einer natürlichen Person nur mit unverhältnismäßig hohem Aufwand an Zeit und Arbeitskraft möglich ist, nicht der DSGVO.400 Eine Offenlegung von Listen mit natürlichen Personen, die Kunden oder sonstige Vertragspartner der Zielgesellschaft sind, mit deren Klarnamen ist regelmäßig unzulässig.401 Müssen im Rahmen der Due Diligence z.B. Kundendaten mit Kundendatenbanken des Kaufinteressenten abgeglichen werden, um mögliche positive Effekte des Erwerbs prüfen zu können, soll das bei hoher Übernahmewahrscheinlichkeit zulässig sein.402 Liegen diese Voraussetzungen nicht vor, kann ein Datenabgleich durch einen Treuhänder in Betracht kommen.403 Ob und inwieweit ein Dienstleister mit dem Betrieb des virtuellen Datenraums beauftragt werden darf, hängt davon ab, in welchem Land der Dienstleister seine Dienste anbietet. Werden personenbezogene Daten an einen in einem Drittstaat tätigen Anbieter übermittelt, sind die Anforderungen der Art. 44ff. DSGVO zu beachten.404 Im Regelfall sollte das Land allerdings innerhalb der EU liegen. Bei konkreten Zweifeln mögen der Verkäufer und die Zielgesellschaft dies rechtzeitig vorher gemeinsam mit dem Datenraumbetreiber sicherstellen. Liegt das Land innerhalb der EU, sind für die Zulässigkeit der Datenverarbeitung wiederum die Anforderungen des Art. 6 Abs. 1 lit. f DSGVO zu beachten; zudem sollte der Dienstleister zumindest verpflichtet werden, das Datenschutzrecht einschließlich der Anforderungen an die Sicherheit der Verarbeitung des Art. 32 DSGVO zu beachten sowie Vertraulichkeit sicherzustellen.405 Der vorzugswürdige Weg ist freilich der Abschluss eines Auftragsverarbeitungsvertrags im Sinne des Art. 28 DSGVO unter Beachtung von dessen Anforderungen.406

204

Sind personenbezogene Daten datenschutzrechtlich konform im virtuellen Datenraum hochgeladen worden, kommt eine Offenlegung gegenüber Kaufinteressenten durch Öffnung des Datenraums ebenfalls nur unter Beachtung der datenschutzrechtlichen Anforderungen in Betracht. Jede Offenlegung personenbezogener Daten gegenüber Kaufinteressenten muss danach entweder aufgrund einer Einwilligung erfolgen oder den Anforderungen der DSGVO, insbesondere deren Art. 6 Abs. 1 lit. f DSGVO, genügen.

205

Eine Einwilligung von natürlichen Personen als Kunden, Lieferanten oder sonstigen Vertragspartnern oder von Beschäftigten der Zielgesellschaft wird regelmäßig nicht vorliegen. Die betroffenen Personen im Kontext der geplanten Transaktion um eine Einwilligung zu bitten, kollidiert mit dem Interesse des Verkäufers und der Zielgesellschaft an Vertraulichkeit. Auch stellt es regelmäßig eine große praktische Herausforderung dar, etwa von sämtlichen Mitarbeitern der Zielgesellschaft Einwilligungen zu beschaffen, denn diese ist freiwillig und zudem auch frei widerrufbar. Um diese Probleme zu vermeiden, wird vertreten, dass die (in der Praxis selten genutzte) Möglichkeit besteht, in einer Betriebsvereinbarung Erlaubnistatbestände für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis zu schaffen.407 Darin können abstrakte Rechtsfertigungstatbestände geschaffen werden oder geringere Anforderungen an die konkrete Benennung der Umstände der Verarbeitung vereinbart werden.408 Zweckmäßig kann eine solche Betriebsvereinbarung insbesondere für Portfoliounternehmen von Private Equity-Fonds sein, bei denen eine oder gar mehrere Veräußerungen in der Zukunft wahrscheinlich sind.409

206

In der Praxis muss deshalb die große Mehrzahl der Offenlegungen personenbezogener, nicht sensibler410 Daten während einer Due Diligence auf die gesetzliche Erlaubnis des Art. 6 Abs. 1 lit. f DSGVO gestützt werden können, um datenschutzrechtlich konform zu sein.

207

Weniger Beachtung gefunden hat und bislang datenschutzrechtlich weitgehend ungeklärt ist411 die Frage, ob die betroffenen Personen von einer Offenlegung ihrer personenbezogenen Daten zu unterrichten sind. Das wäre nach Art. 13 Abs. 3 DSGVO der Fall, wenn die Offenlegung der personenbezogenen Daten im Rahmen einer Due Diligence für einen anderen Zweck erfolgt als zu dem Zweck, zu dem sie ursprünglich erhoben wurden. Dass solch eine Zweckänderung vorliegt, wird in der datenschutzrechtlichen Literatur vertreten.412 In der Praxis könnte dies zu dem „fatale(n) Ergebnis“413 führen, dass der Verkäufer seine Verkaufspläne bereits frühzeitig gegenüber solchen Personen offenlegen muss, deren personenbezogene Daten er offenzulegen beabsichtigt.414 Gegen die Annahme einer Zweckänderung spricht, dass bei einer aktiv am Wirtschaftsleben teilnehmenden Zielgesellschaft immer auch Veränderungen durch M&A-Aktivitäten wahrscheinlich sind und daher einen latent vorgesehenen Datenverarbeitungszweck darstellen.415 Beschäftigtendaten der Zielgesellschaft werden zudem auch bei Offenlegung gegenüber einem Kaufinteressenten für Beschäftigungszwecke genutzt.416 Dennoch wird man in der Praxis zu Recht den sichersten Weg wählen wollen und von der Arbeitshypothese ausgehen müssen, dass eine Zweckänderung vorliegt. Dann sind die Betroffenen nur dann nicht zu benachrichtigen, wenn eine Befreiung nach der DSGVO vorliegt. In Bezug auf den Kaufinteressenten wird eine solche Befreiung auf Grundlage des Art. 14 Abs. 5 lit. b DSGVO, ggf. ergänzt durch § 29 Abs. 1 Satz 1 BDSG, für tragfähig angesehen.417 Hinsichtlich der Zielgesellschaft wird eine Analogie zu Art. 14 Abs. 5 lit. b DSGVO befürwortet, gleichzeitig aber als risikobehaftet qualifiziert und mit der Empfehlung an eine Zielgesellschaft verbunden, bereits vorab und ohne konkreten Anlass in jede Datenschutzinformation die potenzielle Offenlegung personenbezogener Daten an etwaige Kaufinteressenten aufzunehmen.418 Schließlich wird – aus Sicht des Verfassers überzeugend – dafür plädiert, den Anwendungsbereich der Benachrichtigungspflichten im Hinblick auf die Eigentumsinteressen und die unternehmerische Freiheit grundrechts- und grundfreiheitenkonform (vgl. Art. 14 GG und Art. 16 GRCh) zu reduzieren bzw. den Anwendungsbereich der Befreiungstatbestände durch grundrechts- bzw. grundfreiheitenkonforme Auslegung oder Analogie zu erweitern.419 Für die M&A-Praxis bleibt leider festzustellen, dass insoweit bei einer zentralen Frage insbesondere für die Zielgesellschaft ein Risiko verbleibt, dass die unterbliebene Benachrichtigung von Betroffenen einen Verstoß gegen die DSGVO darstellt.

208

Bzgl. des Verkäufers ist zu beachten, dass dieser nicht als Verantwortlicher angesehen wird, da die personenbezogenen Daten der Zielgesellschaft zugeordnet werden und diese daher datenschutzrechtlich verantwortlich für die personenbezogenen Daten ist. Daher dürften die Informationspflichten nach Art. 13, 14 DSGVO primär die Zielgesellschaft treffen.

209

Praxistipp:

Auch angesichts der unklaren Rechtslage, ob durch die Offenlegung personenbezogener Daten Benachrichtigungspflichten ausgelöst werden, empfiehlt es sich, solche Daten, wenn ihre Offenlegung für den Abschluss der Transaktion wichtig ist, so spät wie möglich im Rahmen der Due Diligence zur Verfügung zu stellen und die Entscheidung sorgfältig zu dokumentieren.

210

Es empfiehlt sich schließlich, dass die Verantwortlichen bei Verkäufer und Zielgesellschaft die von ihnen im Zusammenhang mit der Offenlegung und einer unterbliebenen Benachrichtigung potenziell Betroffener angestellten Erwägungen schriftlich dokumentieren, um damit den Vorgaben des Art. 5 Abs. 2 DSGVO zu genügen.420