DS-GVO – Grundlagen für den Verkäufer, Käufer und die Zielgesellschaft im Rahmen due diligence und M&A Transaktion
Prag 9.10.2018
Newsletter Recht & Steuern Oktober 2018
Die Verordnung der Europäischen Union zum Schutz personenbezogener Daten – DS-GVO hat auch auf das Gebiet von M&A Transaktionen einen grundsätzlichen Einfluss. Die durch die DS-GVO neu festgesetzten Pflichten zwingen alle Akteure der Akquisitionstransaktion zu einer Neubewertung ihrer bisherigen Vorgänge, sowie zur Erstellung von neuen Regeln für den Schutz personenbezogener Daten in Übereinstimmung mit der DS-GVO, insbesondere in Bezug auf die Prüfung der Gesellschaft und Errichtung des Datenraums.
Der Käufer wird durch Zutritt zu den persönlichen Daten im Rahmen einer rechtlichen Due Diligence, der zu erwerbenden Gesellschaft, zum Verantwortlichen. Der Verkäufer und die verkaufte Gesellschaft als bisherigen Verantwortlichen müssen dafür sorgen, dass personenbezogene Daten in Übereinstimmung mit DS-GVO, nur in dem, für den Abschluss der Transaktion unbedingt notwendigen, Umfang und ausschließlich den berechtigten Personen zugänglich gemacht werden.
Position des Verkäufers bei einer M&A Transaktion
Der Verkäufer sollte bereits im Voraus im Rahmen der Vorbereitungsphase des Verkaufs der Gesellschaft eine abgesicherte Form sicherstellen, in der den Interessenten die Dokumente zum Zweck der Realisierung der rechtlichen oder einer anderen Prüfung, zugänglich gemacht werden. Diese Form stellt in den meisten Fällen der virtuelle Datenraum dar. Der Datenraum sollte vor unbefugtem Umgang mit personenbezogenen Daten und ihrem möglichen Durchsickern in der Weise hinreichend abgesichert werden, dass dieser den Anforderungen der DS-GVO Rechnung getragen wird. Es handelt sich vor allem um die Verschlüsselung der gespeicherten Dokumente, Einstellung der Zugriffsrechte für einzelne Benutzer, Benutzer-Log usw.
Sollte sich der Verkäufer entscheiden, von Dienstleistungen eines externen Dienstleisters Gebrauch zu machen, so sollte die verkaufte Gesellschaft mit diesem Dienstleister zuerst einen Vertrag über die Verarbeitung personenbezogener Daten abschließen. Der Dienstleister, der den Datenraum zur Verfügung stellt, wird nämlich zum Auftragsverarbeiter.
Im Vertrag über die Verarbeitung personenbezogener Daten, muss insbesondere der Umfang der, durch den Datenraum zugänglich gemachten, personenbezogenen Daten, und folgende Garantien vereinbart werden: Schutz der personenbezogenen Daten, Vertraulichkeitsverpflichtung, einschließlich deren Vernichtung nach der Schließung des Datenraums und Garantien, dass personenbezogene Daten ausschließlich in Übereinstimmung mit der DS-GVO in ein Drittland übermittelt werden. Da durch den Abschluss des Vertrags jedoch weder Verkäufer, noch die zu erwerbende Gesellschaft, ihrer Haftung für den Schutz personenbezogener Daten, befreit werden, ist auch eine Verpflichtung zur Schadlos- und Klagloshaltung empfehlenswert.
Viele Gesellschaften stellen personenbezogene Daten für den Bedarf der Due Diligence durch die üblich genutzten Cloud-Speicherplätze wie z.B. Dropbox, iCloud, Google Drive, OneDrive oder uloz.to zur Verfügung. Eine solche Vorgehensweise kann jedoch im Hinblick auf DS-GVO nicht empfohlen werden. Diese Dienstleistungen ermöglichen in den meisten Fällen nämlich nicht ein ausreichendes Niveau der Sicherung personenbezogener Daten zu erstellen. Als problematisch zeigt sich insbesondere der Aspekt der Teilung von Dokumenten, da diese Dienstleistungen üblicherweise die Einstellung von unterschiedlichen Rechten für verschiedene Benutzer (z.B. „nur Lesen von Dokumenten“), oder die Aufzeichnung des Benutzer-Logs (z.B. welcher Benutzer den Zugang auf ein konkretes Dokument im Datenraum erhalten hat) nicht ermöglichen. Es ist angebracht, vor der eigentlichen Errichtung des Zugangs des Käufers zum Datenraum mit dem Käufer einen Vertrag (Geheimhaltungsvereinbarung) abzuschließen, in dem die Bedingungen hinsichtlich der Offenlegung personenbezogener Daten vereinbart werden. In dem Vertrag sollte des Weiteren der Titel und der Zweck, zu dem personenbezogene Daten vom Käufer genutzt werden, angeführt werden, die Geheimhaltungspflicht des Käufers, die Entschädigungsverpflichtung für den Fall der Verletzung der GDPR Regeln, der Käufer sollte für die Vernichtung personenbezogener Daten für den Fall, dass der Abschluss der Transaktion scheitern sollte, sorgen. Wenn der Käufer seinen Sitz außerhalb der EU hat, dann können der Verkäufer und die zu erwerbende Gesellschaft nicht die Beurteilung vermeiden, unter welchen Bedingungen sie dem Käufer personenbezogene Daten außerhalb der EU übermitteln können.
Anschließend sollte darüber nachgedacht werden, welche Dokumente, die personenbezogene Daten beinhalten, dem Käufer und seinen Beratern im Rahmen der Due Diligence bereitgestellt werden können. DSGVO basiert nämlich auf dem Prinzip der Minimierung des Umgangs mit personenbezogenen Daten. Diese Frage stellt sich typischerweise bei Arbeitsverträgen und bei Verträgen mit Kunden, die Verbraucher sind.
Die Lösung ist die Anonymisierung von persönlichen Daten z.B. durch Schwärzung, was umständlich sein könnte. Alternativ kann deshalb empfohlen werden, dass im Rahmen der Due Diligence nur Musterverträge zusammen mit anonymisierenden Übersichtstabellen zugänglich gemacht werden. Die Offenlegung von nicht anonymisierten Verträgen ist akzeptabel, nur Falle des berechtigten Interesses des Käufers daran, dass er sich mit dem Zustand der zu erwerbenden Gesellschaft und den Bedingungen dieser grundsätzlichen Verträge vertraut machen muss und zwar lediglich nach der Beurteilung im Rahmen der sog. Verhältnismäßigkeitsprüfung.
Sensible Daten über die Mitarbeiter, wie z.B. ihr Gesundheitszustand, Mitgliedschaft in Gewerkschaften usw. können dem Käufer überhaupt nicht bereitgestellt werden. Auf der anderen Seite muss der Käufer im Blick haben, dass ihm gemäß der DS-GVO eine Auskunftspflicht gegenüber Mitarbeitern, Klienten und gegebenenfalls weiteren Personen entstehen kann, sobald ihm ihre personenbezogenen Daten im Datenraum zugänglich gemacht wurden. Der Käufer muss in diesem Fall diese Personen davon in Kenntnis setzen, dass er ihre personenbezogenen Daten verarbeitet und zu welchem Zweck dies erfolgt. Im Hinblick darauf, dass beide Vertragsparteien bei der Verhandlung der Akquisition üblicherweise auf die Einhaltung strengster Geheimhaltungspflicht bestehen, sollten alle Beteiligten ein Interesse daran haben, dass durch den Datenraum dem Käufer möglichst wenige personenbezogene Daten zugänglich gemacht werden.
Position des Käufers bei einer M&A Transaktion
Die Informationen im Datenraum sind für den Käufer von grundlegender Bedeutung, damit er mit der Sorgfalt eines ordentlichen Geschäftsmannes beurteilen kann, ob es für ihn vorteilhaft ist, die Akquisition der zu erwerbenden Gesellschaft abzuschließen. Als Titel für die Verarbeitung personenbezogener Daten im Datenraum, gilt für den Käufer üblicherweise ein, mit der zu erwerbenden Gesellschaft ggf. mit dem Verkäufer abgeschlossener Vertrag, oder ein berechtigtes Interesse daran, dass sich der Käufer mit dem Stand der Gesellschaft und den Risiken, die sich aus dem Erwerb der Gesellschaft für ihn ergeben, vertraut macht. Der Käufer muss im Blick haben, dass er zum Zeitpunkt des Erhalts des Zugangs auf den Datenraum zum Verantwortlichen in Bezug auf personenbezogene Daten im Datenraum wird und deshalb verpflichtet ist, die sich für ihn aus der DS-GVO ergebenden Pflichten, einzuhalten.
Der Käufer ist vor allem verpflichtet, seine internen Prozesse so einzustellen, dass keine unbefugte Person Zugang auf personenbezogene Daten im Datenraum erhält, dass er einen bestimmten Kreis von Benutzern des Datenraums im Voraus bestimmt, die erforderlichen Grundsätze des Schutzes personenbezogener Daten einhalten, Aufzeichnungen, auf welche Art und Weise er personenbezogene Daten im Datenraum verarbeitet, vornimmt und weitere Pflichten gemäß DS-GVO erfüllt. Wenn einen Bestandteil des Datenraums auch personenbezogene Daten von Mitarbeitern und Kunden der zu erwerbenden Gesellschaft und weiteren Personen bilden, kann der Käufer gegenüber diesen Personen eine Auskunftspflicht in Bezug auf die Form der Verarbeitung ihrer personenbezogenen Daten haben.
Wenn die zu erwerbende Gesellschaft in einem größeren Umfang mit personenbezogenen Daten umgeht, entkommt der Käufer nicht der Durchführung einer rechtlichen Prüfung mit besonderem Schwerpunkt auf der Bestandsaufnahme der Prozesse beim Umgang mit personenbezogenen Daten in der zu erwerbenden Gesellschaft. Es kann sich nämlich zum Beispiel zeigen, dass die zu erwerbende Gesellschaft von ihren Kunden niemals eine Einwilligung in die Übersendung von E-Mail-Angeboten erhalten hat. Des Weiteren, dass betroffene Personen der zu erwerbenden Gesellschaft die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten nicht erteilt haben und die zu erwerbende Gesellschaft verpflichtet ist, ihre gesamte Kundendatenbank zu löschen. Oder dass infolge der mangelnden Einwilligung im Rahmen der Auseinandersetzung der Transaktion die Kundendatenbank nicht übertragen werden kann.
DS-GVO und Folgen für M&A Transaktionen in der Tschechischen Republik DS-GVO bringt neue Pflichten, für den Verkäufer als auch für die zu erwerbende Gesellschaft, die bereits im Rahmen der Vorbereitungsphase jeder Transaktion berücksichtigt werden müssen. Es handelt sich insbesondere um die Sicherung eines Datenraums für die Offenlegung der Dokumente für den Käufer und seine Berater, den Abschluss von Verträgen mit dem Dienstleister, der den Datenraum bereitstellt und die Vorbereitung von anonymisierten Dokumenten ggf. Musterverträgen und anonymisierten Übersichten für deren Teilung mit dem Käufer und seinen Beratern.
Es ist wünschenswert, der Bestandsaufnahme der Prozesse beim Umgang mit personenbezogenen Daten in der zu erwerbenden Gesellschaft, erhöhte Aufmerksamkeit zu widmen, wenn der Wert der zu erwerbenden Gesellschaft davon abhängig ist, wie sie personenbezogene Daten für ihre unternehmerische Tätigkeit nutzt. Die DS-GVO schließt nämlich allgemein die Übertragung personenbezogener Daten ohne Einwilligung jeglicher Personen, die durch die Verarbeitung personenbezogener Daten betroffen sind, aus. Eine nicht konkrete Zustimmung zur Offenlegung personenbezogener Daten an Dritte kann nicht als ordentliche Zustimmung gemäß DS-GVO betrachtet werden, und die Übertragung solcher personenbezogenen Daten kann deshalb für unwirksam gehalten werden.
Falls Sie mehr Informationen benötigen, kommen Sie bitte jederzeit auf uns zu:
Managing Partner
ECOVIS ježek, advokátní kancelář s.r.o.
tschechische Rechtsanwaltskanzlei
t: +420 226 236 600
e: mojmir.jezek@ecovislegal.cz
e-mail: mojmir.jezek@ecovislegal.cz
Mehr über ECOVIS ježek, advokátní kancelář s.r.o., tschechische Rechtsanwaltskanzlei in Prag:
ECOVIS ježek ist eine tschechische Rechtsanwaltskanzlei mit Sitz in Prag, die sich insbesondere auf das tschechische Handels- und Immobilienrecht, die Prozessführung und das Banken- und Finanzrecht konzentriert. Mit ihrer umfassenden Bandbreite kompetent erbrachter Rechtsberatungsleistungen stellt sie eine attraktive, vollwertige Alternative für Mandanten der großen internationalen Kanzleien dar. Die langfristige erfolgreiche Zusammenarbeit mit führenden Rechtsberatungsunternehmen in den meisten europäischen Ländern und den USA (sowie weiteren Rechtsordnungen) bürgt dafür, dass die grenzübergreifende Dimension des jeweiligen Mandats stets eingehend berücksichtigt wird. Die tschechischen Rechtsanwälte von ECOVIS ježek weisen eine hervorragende Erfolgsbilanz bei der Erbringung von Beratungsleistungen an transnationale Konzerne, tschechische Großunternehmen, den Mittelstand sowie Freiberufler und Privatpersonen auf, die auf jahrelange, bei führenden Rechts- und Steuerberatungsunternehmen erworbene Erfahrung gründet. Weitere Auskünfte finden Sie unter nachstehendem Link: www.ecovislegal.cz/de..
Die auf dieser Website enthaltenen Informationen stellen eine Anwaltswerbung dar. Informationen, die auf dieser Webseite veröffentlicht werden, stellen keine Rechtsberatung dar und nichts auf dieser Website begründet das Bestehen einer Mandatsbeziehung. Vereinbaren Sie mit uns eine Rechtsberatung, bevor Sie auf Grund dessen, was Sie hier lesen, etwas unternehmen. Ergebnisse der Vergangenheit sind keine Garantie für zukünftige Ergebnisse, und frühere Ergebnisse implizieren oder prognostizieren keine zukünftigen Ergebnisse. Jeder Fall ist anders und muss nach seinen eigenen Umständen beurteilt werden.