Due Diligence

Оглавление

Maximilian Schnebbe. Due Diligence

Due Diligence

Vorbemerkung

Inhaltsverzeichnis

I. Einleitung

II. Allgemeines zur Due Diligence

1. Ablauf

2. Der Prüfer

3. Vertraulichkeit/Letter of Intent

III. Allgemeines zum Datenschutzrecht

1. Anwendungsbereich

a) Sachlicher Anwendungsbereich

b) Räumlicher Anwendungsbereich

2. Allgemeine Grundsätze für die Verarbeitung

3. Rechtmäßigkeit der Verarbeitung

a) Einwilligung

b) Verarbeitung erforderlich für Erfüllung des Vertrages

c) Berechtigtes Interesse

IV. Risiken

1. Bußgelder

2. Schadensersatz

3. Abmahnung

4. Vertrag unwirksam/Gewährleistungsansprüche

I. Vorüberlegungen. 1. Allgemeines

2. Datenschutzrechtliche Stellung der Beteiligten

II. Gemeinsame Verantwortliche

1. Die gemeinsamen Verantwortlichen

2. Aufgaben

3. Aufteilung der Aufgaben

4. Mindestinhalt der gemeinsamen Vereinbarung

a) Präambel

b) Beschreibung der Datenverarbeitung

c) Aufteilung der Zuständigkeiten

d) Datensicherheit

e) Betroffenenrechte

f) Informationspflichten

g) Auftragsverarbeiter

III. Auftragsverarbeiter

1. Geeignetheit des Auftragsverarbeiters

2. Auftragsverarbeitungsvereinbarung

3. Mindestinhalt der AVV

a) Gegenstand und Dauer der Verarbeitung

b) Art und Zweck der Verarbeitung

c) Art der personenbezogenen Daten

d) Kategorien betroffener Personen

e) Pflichten und Rechte des Verantwortlichen

aa) Erforderliche Maßnahmen gemäß Art. 32 DSGVO

bb) Technisch-Organisatorische Maßnahmen

cc) Haftung

f) Rechte und Pflichten des Auftragsverarbeiters

IV. Rechtmäßigkeit der Verarbeitung

1. Kategorien von Daten bei der Due Diligence

2. Zweckänderung

a) Kompatibilitätstest

b) Testergebnis

aa) Positives Ergebnis

bb) Negatives Ergebnis

c) Art. 6 Abs. 4 DSGVO als eigene Rechtsgrundlage

aa) Eigenständige Rechtsgrundlage

bb) Erneute Rechtmäßigkeitsprüfung

d) Zusammenfassung

3. Rechtsgrundlagen

a) Einwilligung

b) Berechtigtes Interesse

c) Besondere Kategorien von Daten

d) Beschäftigtendaten

4. Anonymisierung

V. Informationspflichten

1. Informationspflicht vs. Geheimhaltungsinteresse

2. Ausnahmen von der Informationspflicht

a) Art. 14 DSGVO

b) Art. 13 DSGVO

aa) Art. 14 Abs. 5 lit. b) DSGVO analog

bb) Weites Verständnis des Art. 13 Abs. 3 DSGVO

cc) § 32 Abs. 1 Nr. 4 BDSG

3. Anonymisieren

4. Zusammenfassung

a) Kaufinteressenten

b) Zielunternehmen

5. Umsetzung der Informationspflichten des Art. 13 DSGVO

VI. Ort der Prüfung

1. Anforderungen an den virtuellen Datenraum

2. Regeln innerhalb des virtuellen Datenraumes

(i) Verpflichtung zur Anerkennung der Zugangsvoraussetzung

(ii) Beschreibung der Funktionalitäten, einschließlich der Sicherungsmittel

(iii) Darstellung der Zulassungsvoraussetzungen

(iv) Regelung zur Geheimhaltung

(v) Beschränkung der Nutzung

(vi) Gewährleistung

(vii) Anerkennung der Datenschutzerklärung des Datenraumbetreibers

(viii) Beendigung der Due Diligence

(ix) Haftungsregelung/Beweislast

VII. Datenschutz-Folgenabschätzung

VIII. Verzeichnis von Verarbeitungstätigkeiten

IX. Anhänge. 1. Anhang 1: Technisch-Organisatorische Maßnahmen (TOM) mit Formulierungsvorschlägen

2. Anhang 2: Belehrung Mitarbeiter (Formulierungsvorschlag)

I. Vorüberlegung

II. Informationsquellen

III. Durchführung

1. Unternehmensstruktur

2. EDV

3. Website/Online-Präsenz

4. Besucher- und Gebäudemanagement

5. Gemeinsame Verantwortliche

6. Auftragsdatenverarbeitung

7. Betriebsrat/Personalrat

8. Kundendaten

9. Besondere Kategorien von Daten

10. Gesundheitsdaten

11. Beschäftigtendaten

12. Einwilligung

13. Löschkonzept

14. Profiling

15. Drittlandübermittlung

16. Schulungen

17. Aufsichtsbehörden

IV. Rechtsfolgen für den Abschluss eines Kaufvertrages

1. Haftung dem Grunde nach

2. Haftung der Höhe

Literaturverzeichnis

Отрывок из книги

Datenschutzrechtlicher Praxisleitfaden

Maximilian Schnebbe,

.....

In der Praxis üblich und dringend zu empfehlen ist der Abschluss einer Absichtserklärung, im Rechtsverkehr in der Regel als „Letter of Intent“ (LoI), „Memorandum of understanding“ (MoU) oder „Letter of Understanding“ (LoU) bezeichnet. Einheitlich werden diese Begrifflichkeiten nicht verwandt. Es gibt daher auch keine standardisierten Vorlagen. Im Regelfall wird hiermit, wie der Name schon vermuten lässt, die Absicht bekundet, einen Vertrag abzuschließen. Abhängig von dem Zeitpunkt des Vertragsabschlusses wird mehr oder weniger konkret auf Ziele und Umsetzungsszenarien eines Verkaufes, Kaufpreishöhen oder eine etwaige Exklusivität eingegangen. Zumindest in groben Zügen sollte beschrieben werden, was die Parteien, in welcher Zeit umzusetzen beabsichtigen. Problematisch, wenngleich oftmals gewollt, ist, dass derartige Absichtserklärungen zumeist keine verbindlichen Rechtswirkungen zur Folge haben,21 insbesondere die Parteien nicht binden, einen (z.B.) Kaufvertrag abzuschließen.22 Zumindest ein Teil des (nachfolgend so verwandt) Letter of Intent sollte jedoch verbindliche Rechtswirkungen vorsehen. Im Hinblick auf die Geheimhaltung und Nichtverwendung von Geschäftsgeheimnissen oder den Schutz personenbezogener Daten sollte ein Letter of Intent zwingend eine Verschwiegenheitsregelung enthalten. Dabei genügt es nicht, nur den Umfang der Verpflichtung zur Verschwiegenheit zu regeln. Vertraulich sollten im Regelfall alle Informationen sein, die ein Vertragspartner von dem anderen erhält, soweit diese nicht zuvor schon als allgemeinbekannt anzusehen waren.

Zu empfehlen ist immer die Verknüpfung an ein konkretes Vertragsstrafeversprechen. In der Praxis wird die Festlegung einer konkret bezifferten Vertragsstrafe kontrovers diskutiert.23 Geeignet ist in diesen Fällen die Regelung der Vertragsstrafe in Form des sogenannten „Hamburger Brauchs“. Hierbei wird eine zu zahlende Vertragsstrafe erst im Nachhinein festgesetzt24. Beispielhaft wird folgende Regelung verwandt:

.....