Datenschutz bei Unternehmensübergang (M&A)

Konträre Interessen beim Unternehmensübergang

Sowohl bei der Vorbereitung als auch bei der Durchführung von Unternehmenstransaktionen hat das akquirierende Unternehmen ein Interesse daran, detaillierte Informationen über die Vermögenswerte (Assets) der Zielgesellschaft zu erhalten. In diesem Kontext werden Kunden-, Beschäftigtendaten sowie Informationen des Vorstandes sowie der Gesellschafter offengelegt. Dies resultiert daraus, dass Informationen und Daten mittlerweile einen erheblichen Bestandteil des Vermögens eines Unternehmens darstellen. Mitunter handelt es sich bei einem Kundenstamm sogar um das einzig werthaltige Asset für den Käufer.
Ein konkretes Beispiel für offengelegte Informationen sind Personallisten. Diese können eine Grundlage für die Ermittlung künftigen Personalbedarfs, der Notwendigkeit einer Anpassung der Entgelt-, Incentive- und Arbeitszeitsysteme sowie der Organisationsstruktur des Unternehmens bilden. Auch werden Informationen zu Personalressourcen der beteiligten Unternehmen sowie der Unternehmenskultur deutlich.
Im Gegensatz dazu sind der Transfer sowie die Offenlegung derartiger Informationen aus datenschutzrechtlicher Perspektive nicht immer unproblematisch. So gelten datenschutzrechtliche Normen grundsätzlich auch im Rahmen von ausschließlich geschäftlichen Transaktionen. Dasselbe gilt für Unternehmenskäufe und –fusionen.

Due Diligence Prozess

Insbesondere im Rahmen der Due Diligence werden dem Erwerbsunternehmen mittels des Due Diligence Reports (sowie potentiell bei der Erstellung) diverse Informationen zur Verfügung gestellt. Die Due Diligence kann zunächst mittels eines vom Zielunternehmen zur Verfügung gestellten Berichts (Vendor´s Due Diligence) geschehen. Andererseits (wie in der Praxis häufiger) kann ein seitens des akquirierenden Unternehmens angefertigter Report die Lage der Zielgesellschaft bewerten. Aus datenschutzrechtlicher Perspektive konturiert der Report die Datenschutzkultur des Unternehmens und definiert das hieraus resultierende Risiko. In diesem Kontext sind auch die Personallisten von besonderer Bedeutung.
Die Bereitstellung der notwendigen Informationen wird in einem physischen oder virtuellen Datenraum realisiert. Zu diesem wird dem akquirierenden Unternehmen Zutritt gewährt. In der Praxis werden hier sogenannte „Data Room Rules“ aufgesetzt, die eine Vertraulichkeit der Informationen gewährleisten sollen.

Non-Disclosure-Agreements

Nicht nur im Rahmen der Due Diligence werden dem akquirierenden Unternehmen Informationen bekannt. Damit diese während des gesamten Transaktionsprozesses (sowie darüber hinaus) vertraulich bleiben, wird typischerweise ein Non-Disclosure-Agreement (NDA) abgeschlossen. Dieses NDA enthält spezifische Regelungen dahingehend, welche Informationen vertraulich sind, wer Zugang hierzu hat und wie ein Verstoß bestraft wird. Letzteres wird typischerweise mittels Vertragsstrafe inkorporiert.