Читать книгу Due Diligence - Maximilian Schnebbe - Страница 6

1

Dank des zunehmenden Einflusses der englischen Sprache – auch im deutschen Rechtskreis – kann mit nur zwei Wörtern eine durchaus komplexe Regelungsmaterie zusammengefasst werden. Wie die Etablierung der „Due Diligence“ in der deutschen Rechtswissenschaft und -praxis erfolgte, lässt sich nur schwerlich zurückverfolgen. Es gibt in Deutschland weder eine ausdrückliche gesetzliche Regelung noch einen klar definierten Anwendungsbereich.

2

Seinen Ursprung hat der Begriff „Due Diligence“ im amerikanischen Kapitalmarkt- und Anlegerschutzrecht. Dort müssen Erstemittenten von Wertpapieren eine im Vorfeld durchgeführte „Prüfung mit angemessener Sorgfalt“ nachweisen, um einer möglichen Emissionsprospekthaftung zu entgehen. Vergleichbar ist dieser Grundsatz im US-amerikanischen Haftungsrecht mit dem im deutschen Recht etablierten Institut der „im Geschäftsverkehr erforderlichen Sorgfalt“1. Vereinfacht ausgedrückt handelt es sich bei der Due Diligence, gerne auch kurz als „DD“ bezeichnet, um eine Bestandsaufnahme, die in der Regel das Fundament für eine Risikoabwägung legt. Bei dieser Abwägung sollte, schon im Interesse des Durchführenden, eine gewisse Sorgfalt angewandt werden. Nur so kann eine hinreichende Grundlage für das angestrebte Ziel einer jeden Due Diligence geschaffen werden. Dieses Ziel muss vorher definiert werden. Denn die möglichen Anlässe für die Durchführung einer Due Diligence sind vielfältig. Gleich, ob nun

 – ein Gesellschafter aus dem Unternehmen ausscheiden will und seine Abfindung berechnet werden muss;

 – Sanierungen des Unternehmens eine Bestandsaufnahme erfordern;

 – Privatisierungen der öffentlichen Hand geplant sind oder

 – der Unternehmer einen Verkauf durchführt oder zumindest vorbereitet;

3

Ausgangspunkt bildet immer die Aufnahme des Ist-Zustandes aus dem Blickwinkel des die Due Diligence durchführenden Betrachters.

4

Zumindest historisch betrachtet führte, das Thema Datenschutz und dessen Prüfung im Rahmen einer Due Diligence eher ein Schattendasein. Dies änderte sich mit dem Geltungsbeginn der DSGVO2 am 25.5.2018. Zusammen mit der so genannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit Geltungsbeginn den gemeinsamen Datenschutzrahmen innerhalb der Europäischen Union. Bis zu diesem Zeitpunkt galt die im Jahre 1995 erlassene Datenschutzrichtlinie 95/46/EG3. Problematisch war, dass zwar allen Mitgliedstaaten der Europäischen Union die gleiche Rechtsgrundlage zur Verfügung stand, Art und Umfang der Umsetzungsgesetze aber durch die Mitgliedstaaten frei bestimmbar waren. So war es wenig verwunderlich, dass durchaus eklatante Unterschiede im Datenschutzniveau der einzelnen Staaten zu erkennen waren. Ziel der DSGVO war daher die Schaffung eines einheitlichen Datenschutzniveaus, um die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz ihrer personenbezogenen Daten, zu gewährleisten.

5

Die datenschutzrechtlichen Vorgaben, insbesondere die der DSGVO, beeinflussen seither den Geschäftsverkehr. Kritisch betrachtet könnte man sogar behaupten, dass es mit Einführung der DSGVO die Arbeit von einem Großteil der Unternehmen, wie sie bisher praktiziert wurde, nicht mehr gibt. Das Thema Datenschutz jedenfalls beschäftigt seither Behörden, Unternehmen und deren Berater gleichermaßen; dies mit zunehmender Intensität. Hatte man vor der Einführung der DSGVO das Thema Datenschutz bei einer Unternehmenstransaktion am Rande mitgeprüft, kommt ihm heute im Rahmen einer Due Diligence ein essenzieller Stellenwert zu. Maßgeblich für diese Schwerpunktverschiebung sind allerdings nicht die datenschutzrechtlichen Regelungen der DSGVO. Diese gleichen inhaltlich größtenteils ihren Vorgängerreglungen der Richtlinie 95/46/EG4.5 Entscheidend ist vielmehr, dass sich die Konsequenzen bei Verstößen gegen datenschutzrechtliche Vorschriften drastisch verschärft haben. Bußgelder können nunmehr in Millionenhöhe verhängt werden.6 Das Thema Datenschutz zu unterschätzen wäre fatal. Zwischenzeitlich ist es vielmehr jedem Unternehmen zu empfehlen, eine interne Due Diligence durchzuführen, Unternehmensabläufe anzupassen und neue Strukturen zu etablieren, um Datenschutzrisiken zu minimieren. Es müssen beispielsweise Verzeichnisse von Verarbeitungstätigkeiten7 erstellt, Auftragsverarbeitungsvereinbarungen8 abgeschlossen, Arbeitsverträge überprüft, die EDV möglicherweise modernisiert, Lösch- und Speicherkonzepte etabliert oder ein Datenschutzbeauftragter benannt werden. All diese Themen sind heute zwingender Bestandteil einer ordnungsgemäßen Due Diligence und werden in diesem Buch erörtert.

6

Ziel dieses Buches ist es, den Leser auf verständliche Weise für das Thema Datenschutz bei der Durchführung einer Due Diligence zu sensibilisieren und ihn zu veranlassen, sich diesem oftmals ungeliebten Thema zu widmen. Dabei verfolgt dieses Buch folgenden Ansatz: Nach diesem einleitenden Kapitel („Allgemeines“) wird im zweiten Teil erläutert, welche datenschutzrechtlichen Vorgaben bei der Durchführung einer Due Diligence zu berücksichtigen sind, unabhängig von der konkreten Art der Due Diligence („Datenschutz bei Durchführung der Due Diligence“). Das dritte Kapitel hat sodann die sog. „Datenschutz-Due-Diligence“ zum Inhalt. Ziel ist es, eine Anleitung an die Hand zu geben, mithilfe derer das Zielunternehmen hinsichtlich deren Datenschutzmanagement geprüft werden kann. Auf diese Weise sollen mögliche Risiken, beispielsweise durch Bußgelder nach der Unternehmenstransaktion, minimiert werden.9

7

Ob nun Einsteiger oder bereits in Datenschutzfragen versierter Anwender – die in diesem Buch eingebundenen Vorlagen, Listen und Hinweise können und sollen für alle Leser eine Arbeitshilfe im täglichen Geschäftsverkehr darstellen, selbst wenn keine Intention besteht, sein Unternehmen zu verkaufen. Aufgrund der erheblichen wirtschaftlichen Folgen eines Verstoßes gegen datenschutzrechtliche Vorgaben, stellt die fehlende Auseinandersetzung eine Missachtung der obig zitierten „im Geschäftsverkehr erforderlichen Sorgfalt“ dar. Anders ausgedrückt sollte jeder Unternehmer eine eigene datenschutzrechtliche Due Diligence in seinem Unternehmen durchführen. Das Buch gibt hierfür die erforderlichen Grundlagen.

1 So beispielsweise in § 276 Abs. 2 BGB, wonach fahrlässig derjenige handelt, der die im Verkehr erforderliche Sorgfalt außer Acht lässt. 2 Eingeführt durch Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, in: ABl. L 119/89 v. 4.4.2016. 3 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 5 Statt vieler Buchner, Wirtschaftsinformatik & Management 2019, 43, 43. 6 Bei Unternehmen sogar bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. 7 Siehe dazu Rn. 251ff. 8 Siehe dazu Rn. 101ff. 9 Zu den Risiken Rn. 37ff.