DS-GVO - Datenschutz im Rahmen einer Due Diligence und M&A Transaktion in Tschechien
Der Schutz personenbezogener Daten spielt eine wesentliche Rolle in jeder Transaktion, unabhängig davon, ob im Rahmen der Beurteilung von Risiken für den Käufer bei unsachgemäßer Nutzung personenbezogener Daten in der Zielgesellschaft oder bei der Beurteilung, wie man mit den im Rahmen einer Due-Diligence erhobenen personenbezogenen Daten umgehen soll.
Die Verordnung der Europäischen Union zum Schutz personenbezogener Daten – DSGVO, die auf dem Gebiet der gesamten EU ab dem 25. Mai 2018 gültig ist, wirkt sich nicht nur auf den alltäglichen Geschäftsbetrieb der Gesellschaften und ihrer Marketingabteilungen aus, sondern hat, wie sich zeigt, auch auf das Gebiet von M&A Transaktionen einen grundsätzlichen Einfluss. Jede Gesellschaft verarbeitet nämlich personenbezogene Daten, sowohl ihrer Arbeitnehmer, als auch ihrer Kunden oder Geschäftspartner und nutzt diese Daten weiter zur Übersendung von speziellen Angeboten an die E-Mail-Adressen oder zur Bildung einer umfangreichen Kundendatenbank und zur Profilierung der Kunden. Diese Angaben werden außerdem häufig zwischen mehreren Gesellschaften im Rahmen des Konzerns geteilt.
Die durch die DSGVO neu festgesetzten Pflichten zwingen deshalb alle Akteure der Akquisitionstransaktion zu einer Neubewertung ihrer bisherigen Vorgänge sowie zur Ergreifung von neuen Maßnahmen zum Zweck des Schutzes personenbezogener Daten. Es handelt sich dabei vor allem um personenbezogene Daten, die dem Käufer und seinen Beratern im Rahmen einer rechtlichen Due Diligence der zu erwerbenden Gesellschaft zugänglich gemacht werden. Der Käufer wird nämlich in diesem Fall zum Verantwortlichen, sobald er den Zutritt zum Datenraum, in dem sich diese Daten befinden, erhalten hat.
Dem Schutz personenbezogener Daten sollten jedoch auch der Verkäufer und die zu erwerbende Gesellschaft ihre Aufmerksamkeit widmen. Gerade diese Personen müssen dafür sorgen, dass personenbezogene Daten in Übereinstimmung mit DSGVO, nur in dem für den Abschluss der Transaktion unbedingt notwendigen Umfang und ausschließlich den berechtigten Personen zugänglich gemacht werden. Personenbezogene Daten müssen des Weiteren vor unbefugtem Umgang ausreichend geschützt werden und für den Fall einer gescheiterten Akquisition muss ihre nachweisbare Vernichtung sichergestellt werden.
Sollte eine der beteiligten Parteien ihre Pflichten aus der DSGVO verletzen, droht ihr die Auferlegung einer Strafe bis zu EUR 20 Mio., oder, wenn es sich um ein Unternehmen handelt, bis zu einer Höhe von 4 % des weltweiten Gesamtjahresumsatzes für das vergangene Geschäftsjahr, je nachdem, was höher ist.
Durch das Inkrafttreten der DSGVO muss deshalb der ganze Akquisitionsprozess, insbesondere in Bezug auf die Prüfung der Gesellschaft und Errichtung des Datenraums, neu bewertet und neue Regeln für den Schutz personenbezogener Daten in Übereinstimmung mit der DSGVO erstellt werden.
Position des Verkäufers bei einer M&A Transaktion
Der Verkäufer sollte bereits im Voraus im Rahmen der Vorbereitungsphase des Verkaufs der Gesellschaft eine abgesicherte Form sicherstellen, in der dem Käufer die Dokumente hinsichtlich der zu erwerbenden Gesellschaft zum Zweck der Realisierung der rechtlichen oder einer anderen Prüfung zugänglich gemacht werden. Diese Form stellt in den meisten Fällen die Vorbereitung des Datenraums dar. Der Datenraum sollte vor unbefugtem Umgang mit personenbezogenen Daten und ihrem möglichen Durchsickern in der Weise hinreichend abgesichert werden, dass den Anforderungen der DS-GVO Rechnung getragen wird. Es handelt sich vor allem um die Verschlüsselung der gespeicherten Dokumente, Einstellung der Zugriffsrechte für einzelne Benutzer, Benutzer-Log und regelmäßige Sicherheitsprüfung des IT Systems, das den Datenraum bildet.
Sollte sich der Verkäufer entscheiden, von Dienstleistungen eines externen Dienstleisters Gebrauch zu machen, so muss mit diesem Dienstleister zuerst ein Vertrag über die Verarbeitung personenbezogener Daten abgeschlossen werden. Der Dienstleister, der den Datenraum zur Verfügung stellt, wird nämlich zum Auftragsverarbeiter. Den Vertrag über die Verarbeitung personenbezogener Daten sollte die zu erwerbende Gesellschaft mit dem Dienstleister abschließen, da sie in den meisten Fällen der für die Verarbeitung dieser personenbezogenen Daten im Datenraum Verantwortliche ist.
Im Vertrag über die Verarbeitung personenbezogener Daten muss insbesondere der Umfang der durch den Datenraum zugänglich gemachten personenbezogenen Daten geregelt und die Garantien für ihren Schutz, einschließlich deren Vernichtung (Löschung vom Server) nach der Schließung des Datenraums vereinbart werden. Es kann auch die Frage nicht vernachlässigt werden, in welchem Land sich die Server des externen Dienstleisters befinden, auf denen die Dokumente für die rechtliche Due Diligence gespeichert werden. Sollten sich diese Server außerhalb des Gebiets der EU befinden, so müsste der externe Dienstleister Garantien gewähren, dass personenbezogene Daten ausschließlich in Übereinstimmung mit der DS-GVO (üblicherweise aufgrund von verbindlichen Betriebsregeln oder einer standardmäßigen Vertragsklausel) in ein Drittland übermittelt werden. Der externe Dienstleister muss des Weiteren einer Vertraulichkeitsverpflichtung unterliegen. Durch den Abschluss des Vertrags über die Verarbeitung personenbezogener Daten werden jedoch weder der Verkäufer noch die zu erwerbende Gesellschaft von ihrer Haftung für den Schutz personenbezogener Daten, die im Datenraum des externen Dienstleisters gespeichert werden, befreit. Es ist deshalb wünschenswert, dass sich der Dienstleister, der den Datenraum bereitstellt, ebenso verpflichtet, den Verkäufer und die zu erwerbende Gesellschaft für den Fall der Verletzung des Vertrags über die Verarbeitung personenbezogener Daten schadlos zu halten.
Viele Gesellschaften machen personenbezogene Daten für den Bedarf der Due Diligence durch die üblich genutzten Cloud-Speicherplätze wie z.B. Dropbox, iCloud, Google Drive, OneDrive oder uloz.to zugänglich. Eine solche Vorgehensweise kann jedoch im Hinblick auf DS-GVO nicht empfohlen werden. Diese Dienstleistungen ermöglichen in den meisten Fällen nämlich nicht, ein ausreichendes Niveau der Sicherung personenbezogener Daten zu erstellen. Als problematisch zeigt sich insbesondere der Aspekt der Teilung von Dokumenten, da diese Dienstleistungen üblicherweise die Einstellung von unterschiedlichen Rechten für verschiedene Benutzer (z.B. „nur Lesen von Dokumenten“), Fernlöschung von Dokumenten aus dem Endgerät des Benutzers oder die Aufzeichnung des Benutzer-Logs (z.B. welcher Benutzer den Zugang auf ein konkretes Dokument im Datenraum erhalten hat) nicht ermöglichen.
Es ist angebracht, vor der eigentlichen Errichtung des Zugangs des Käufers zum Datenraum mit dem Käufer einen Vertrag abzuschließen, in dem die Bedingungen hinsichtlich der Offenlegung personenbezogener Daten einschließlich deren Schutzes während der Prüfung der zu erwerbenden Gesellschaft und die spätere Vernichtung vereinbart werden, in der des Weiteren der Titel und der Zweck, zu dem personenbezogene Daten vom Käufer genutzt werden, anzuführen sind und die Geheimhaltungspflicht des Käufers vereinbart wird. Die Bedingungen für den Schutz personenbezogener Daten können auch in einer Geheimhaltungsvereinbarung integriert werden, die bei M&A Transaktionen üblicherweise abgeschlossen wird und die Notwendigkeit einer Unterzeichnung von zwei gesonderten Verträgen kann dadurch vermieden werden. In diesem Vertrag sollte sich der Käufer zum Schutz personenbezogener Daten vor deren unbefugter Offenlegung einem Dritten gegenüber verpflichten, es sollten darin die Berater aufgelistet werden, die den Zugang zum Datenraum erhalten und der Käufer sollte für die Vernichtung personenbezogener Daten für den Fall, dass der Abschluss der Transaktion scheitern sollte, sorgen. Wenn es zu einer Verletzung des Vertrags seitens des Käufers kommen sollte, sollte der Käufer verpflichtet sein, dem Verkäufer und der zu erwerbenden Gesellschaft sämtliche Schäden zu ersetzen, die ihnen im Zusammenhang mit einer solchen Verletzung entstanden sind. Wenn der Käufer seinen Sitz außerhalb der EU hat, dann können der Verkäufer und die zu erwerbende Gesellschaft nicht die Beurteilung vermeiden, unter welchen Bedingungen sie dem Käufer personenbezogene Daten außerhalb der EU übermitteln können.
Anschließend sollte darüber nachgedacht werden, welche Dokumente, die personenbezogene Daten beinhalten, dem Käufer und seinen Beratern im Rahmen der Due Diligence bereitgestellt werden können. DS-GVO basiert nämlich auf dem Prinzip der Minimierung des Umgangs mit personenbezogenen Daten. Diese Frage stellt sich typischerweise bei Arbeitsverträgen und bei Verträgen mit Kunden, die Verbraucher sind.
Wenn der Verkäufer oder die zu erwerbende Gesellschaft personenbezogene Daten in Verträgen und weiteren Dokumenten, die in den Datenraum eingelegt werden, z.B. durch Schwärzung im notwendigen Umfang nicht anonymisiert, setzen sie sich dem Risiko der Auferlegung einer Strafe seitens des Amts für den Schutz personenbezogener Daten aus. Die redaktionelle Anpassung von Hunderten von Arbeitsverträgen und Verträgen mit Kunden kann zeitaufwendig und relativ kostenaufwendig sein. Alternativ kann deshalb empfohlen werden, dass im Rahmen der Due Diligence nur Musterverträge, die von der zu erwerbenden Gesellschaft abgeschlossen werden, zusammen mit anonymisierenden Übersichtstabellen, die grundsätzliche Geschäftsinformationen für den Käufer (z.B. Lohn, Wettbewerbsklausel, Kündigungsfrist usw.) oder Abweichungen vom Mustervertrag beinhalten, zugänglich gemacht werden.
Man könnte erwägen, dass im Rahmen einer Due Diligence dem Käufer und seinen Beratern Verträge mit Kernmitarbeitern oder Kernklienten in vollem Wortlaut bereitgestellt werden, und zwar aufgrund des berechtigten Interesses des Käufers daran, dass er sich mit dem Zustand der zu erwerbenden Gesellschaft und den Bedingungen dieser grundsätzlichen Verträge ausführlich vertraut macht. Die Offenlegung dieser Verträge muss jedoch ad hoc bei der Berücksichtigung der berechtigten Belange des Käufers, der Notwendigkeit der Offenlegung personenbezogener Daten an den Käufer und der sog. Verhältnismäßigkeitsprüfung beurteilt werden.
Auf der anderen Seite muss der Käufer im Blick haben, dass ihm gemäß der DS-GVO eine Auskunftspflicht gegenüber Mitarbeitern, Klienten und gegebenenfalls weiteren Personen entstehen kann, sobald ihm ihre personenbezogenen Daten im Datenraum zugänglich gemacht wurden. Der Käufer muss in diesem Fall diese Personen davon in Kenntnis setzen, dass er ihre personenbezogenen Daten verarbeitet und zu welchem Zweck dies erfolgt. Im Hinblick darauf, dass beide Vertragsparteien bei der Verhandlung der Akquisition üblicherweise auf der Einhaltung strengster Geheimhaltungspflicht bestehen, sollten alle Beteiligten ein Interesse daran haben, dass durch den Datenraum dem Käufer möglichst wenige personenbezogene Daten zugänglich gemacht werden.
Sensible Daten über die Mitarbeiter, wie z.B. ihr Gesundheitszustand, Mitgliedschaft in Gewerkschaften usw. können dem Käufer überhaupt nicht bereitgestellt werden.
Sollte der Abschluss der Transaktion scheitern, so haben der Verkäufer und die zu erwerbende Gesellschaft die Pflicht, für die Schließung des Datenraums zu sorgen und sämtliche personenbezogene Daten, auf die der Käufer und seine Berater Zugang erhalten haben, zu vernichten. An diese Pflicht sollten der Verkäufer und die zu erwerbende Gesellschaft bereits vor der Errichtung des Zugangs auf den Datenraum denken.
Position des Käufers bei einer M&A Transaktion
Die Informationen im Datenraum sind für den Käufer von grundlegender Bedeutung, damit er mit der Sorgfalt eines ordentlichen Geschäftsmannes beurteilen kann, ob es für ihn vorteilhaft ist, die Akquisition der zu erwerbenden Gesellschaft abzuschließen. Als Titel für die Verarbeitung personenbezogener Daten im Datenraum gilt für den Käufer üblicherweise ein mit der zu erwerbenden Gesellschaft ggf. mit dem Verkäufer abgeschlossener Vertrag oder ein berechtigtes Interesse daran, dass sich der Käufer mit dem Stand der Gesellschaft und den Risiken, die sich aus dem Erwerb der Gesellschaft für ihn ergeben, vertraut macht. Der Käufer muss im Blick haben, dass er zum Zeitpunkt des Erhalts des Zugangs auf den Datenraum zum Verantwortlichen in Bezug auf personenbezogene Daten im Datenraum wird und dann verpflichtet ist, die sich für ihn aus der DS-GVO ergebenden Pflichten einzuhalten.
Der Käufer ist vor allem verpflichtet, seine internen Prozesse so einzustellen, dass keine unbefugte Person Zugang auf personenbezogene Daten im Datenraum erhält, dass er einen bestimmten Kreis von Benutzern des Datenraums im Voraus bestimmt, die erforderlichen Grundsätze des Schutzes personenbezogener Daten einhält, Aufzeichnungen, auf welche Art und Weise er personenbezogene Daten im Datenraum verarbeitet, vornimmt und weitere Pflichten gemäß DS-GVO erfüllt.
Wenn einen Bestandteil des Datenraums auch personenbezogene Daten von Mitarbeitern und Kunden der zu erwerbenden Gesellschaft und weiteren Personen bilden, kann der Käufer gegenüber diesen Personen eine Auskunftspflicht in Bezug auf die Form der Verarbeitung ihrer personenbezogenen Daten haben. Man kann deshalb empfehlen, dass insbesondere Arbeitsverträge und Verträge mit Klienten anonymisiert werden. Wenn die Anonymisierung von Arbeitsverträgen und Verträgen mit Klienten nicht möglich sein sollte, wird empfohlen, dass dem Käufer ein Musterarbeitsvertrag oder ein Mustervertrag mit dem Klienten zusammen mit aggregierten anonymisierten Daten über geschäftliche Kernaspekte der abgeschlossenen Verträge bereitgestellt werden.
Die oben angeführten Erfordernisse stellen jedoch erhöhte Anforderungen an den Inhalt der Transaktionsdokumentation. Der Käufer und seine Berater sollten deshalb vom Verkäufer ausreichende Garantien und Zusicherungen verlangen, insbesondere was den Umfang der zugänglich gemachten Dokumente und der damit zusammenhängenden anonymisierten Übersichten im Datenraum, das Verzeichnis aller Ermittlungen der zu erwerbenden Gesellschaft, die vom Amt für den Schutz personenbezogener Daten durchgeführt werden, einschließlich der auferlegten Sanktionen, des Verzeichnisses aller Gerichtsstreitigkeiten, die bei den betroffenen Personen anhängig sind und des Verzeichnisses aller Empfänger personenbezogener Daten (wenn zum Beispiel personenbezogene Daten im Rahmen von Franchise oder eines Konzerns geteilt werden) anbelangt. Diese neuen Garantien und Zusicherungen sollten dem Käufer vor allem garantieren, dass er nach der Übernahme der zu erwerbenden Gesellschaft zum Beispiel nicht einen Arbeitsvertrag mit einer ungewöhnlich langen Kündigungsfrist oder einer abnormal hohen Abfindung oder einen Vertrag mit Klienten entdeckt, der auch mehrere Jahre nach der Akquisition der Gesellschaft nicht gekündigt werden kann. Zu den Verträgen mit Klienten kann dabei auch ein Wohnungsmietvertrag gehören, wenn der Käufer nicht eine Gesellschaft, sondern ein Wohnhaus kauft.
Wenn die zu erwerbende Gesellschaft in einem größeren Umfang mit personenbezogenen Daten umgeht, entkommt der Käufer nicht der Durchführung einer rechtlichen Prüfung mit besonderem Schwerpunkt auf der Bestandsaufnahme der Prozesse beim Umgang mit personenbezogenen Daten in der zu erwerbenden Gesellschaft. In der Praxis handelt es sich vor allem um den Bereich einer Kundenliste, die die zu erwerbende Gesellschaft zu Marketingzwecken erstellt hat und führt, die Einwilligungen der betroffenen Personen, vor allem Verbraucher, in die Übersendung von Direktwerbung und Marketingangeboten, Profilierung der Kunden, Teilung der Angaben über die Mitarbeiter im Rahmen der gesamten Gruppe, Beurteilung der Risiken, die sich aus dem gegenwärtigen System des Schutzes personenbezogener Daten in der zu erwerbenden Gesellschaft ergeben sowie um die Pflicht einen Datenschutzbeauftragten zu bestellen. Kurzum, es müssen die Berater des Käufers auch eine Prüfung durchführen, ob die zu erwerbende Gesellschaft personenbezogene Daten in Übereinstimmung mit DS-GVO verarbeitet.
Im Rahmen der Bestandsaufnahme von Prozessen des Umgangs mit personenbezogenen Daten in der zu erwerbenden Gesellschaft kann sich nämlich zum Beispiel zeigen, dass die zu erwerbende Gesellschaft von ihren Kunden niemals eine Einwilligung in die Übersendung von E-Mail-Angeboten erhalten hat und ihr aus diesem Grund die Auferlegung einer Strafe vom Amt für den Schutz personenbezogener Daten droht. Des Weiteren, dass betroffene Personen der zu erwerbenden Gesellschaft die Einwilligung in die Verarbeitung ihrer personenbezogenen Daten nicht erteilt haben und die zu erwerbende Gesellschaft verpflichtet ist, ihre gesamte Kundendatenbank zu löschen. Oder dass infolge der mangelnden Einwilligung im Rahmen der Auseinandersetzung der Transaktion die Kundendatenbank, die der Verkäufer besitzt, auf den Käufer oder die zu erwerbende Gesellschaft nicht übertragen werden kann. Die Übertragung einer solchen Kundendatenbank wäre dann nämlich unwirksam. Bei den Gesellschaften, die auf Einzelhandelsgeschäfte ausgerichtet sind, könnte die Verletzung der sich aus DS-GVO ergebenden Pflichten einen grundsätzlichen Einfluss auf ihren Wert haben.
Nach dem Abschluss der Transaktionsdokumentation muss der Käufer in Zusammenarbeit mit der zu erwerbenden Gesellschaft und dem Verkäufer dafür sorgen, dass im Rahmen der Vernetzung der IT-Systeme des Käufers und der zu erwerbenden Gesellschaft alle erforderlichen Berechtigungen und Einwilligungen zur Teilung personenbezogener Daten eingeholt werden, dass es zu keinem Leck bei den personenbezogenen Daten kommt und dass der Verkäufer personenbezogene Daten, für deren Verarbeitung kein Rechtsgrund mehr besteht, vernichtet.
DS-GVO und Folgen für M&A Transaktionen in der Tschechischen Republik
DS-GVO bringt neue Pflichten sowohl für den Verkäufer als auch für die zu erwerbende Gesellschaft, die bereits im Rahmen der Vorbereitungsphase jeder Transaktion berücksichtigt werden müssen. Es handelt sich insbesondere um die Sicherung eines sicheren Datenraums für die Offenlegung der Dokumente für den Käufer und seine Berater, den Abschluss von Verträgen mit dem Dienstleister, der den Datenraum bereitstellt und die Vorbereitung von anonymisierten Dokumenten ggf. Musterverträgen und anonymisierten Übersichten für deren Teilung mit dem Käufer und seinen Beratern.
Es ist wünschenswert, der Bestandsaufnahme der Prozesse beim Umgang mit personenbezogenen Daten in der zu erwerbenden Gesellschaft erhöhte Aufmerksamkeit zu widmen, wenn der Wert der zu erwerbenden Gesellschaft davon abhängig ist, wie sie personenbezogene Daten für ihre unternehmerische Tätigkeit nutzt.
Keine Notwendigkeit des Schutzes personenbezogener Daten besteht nur bei einem sog. Share Deal, er kann jedoch auch bei einem sog. Asset Deal relevant sein, wenn den Gegenstand der Prüfung Mietverträge für die Liegenschaft, die den Gegenstand der Transaktion bildet, bilden. In einigen Fällen kann die Transaktion dabei nicht als sog. Asset Deal strukturiert werden, indem DS-GVO die Übertragung personenbezogener Daten ohne Einwilligung jeglicher Personen, die durch die Verarbeitung personenbezogener Daten betroffen sind, allgemein ausschließt. Eine nicht konkrete Zustimmung zur Offenlegung personenbezogener Daten an Dritte kann nicht als ordentliche Zustimmung gemäß DS-GVO betrachtet werden, und die Übertragung solcher personenbezogenen Daten kann deshalb für unwirksam gehalten werden.
Falls Sie mehr Informationen benötigen, kommen Sie bitte jederzeit auf uns zu:
Managing Partner
ECOVIS ježek, advokátní kancelář s.r.o.
tschechische Rechtsanwaltskanzlei
t: +420 226 236 600
e: mojmir.jezek@ecovislegal.cz
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz/de
Mehr über ECOVIS ježek, advokátní kancelář s.r.o., tschechische Rechtsanwaltskanzlei in Prag:
ECOVIS ježek ist eine tschechische Rechtsanwaltskanzlei mit Sitz in Prag, die sich insbesondere auf das tschechische Handels- und Immobilienrecht, die Prozessführung und das Banken- und Finanzrecht konzentriert. Mit ihrer umfassenden Bandbreite kompetent erbrachter Rechtsberatungsleistungen stellt sie eine attraktive, vollwertige Alternative für Mandanten der großen internationalen Kanzleien dar. Die langfristige erfolgreiche Zusammenarbeit mit führenden Rechtsberatungsunternehmen in den meisten europäischen Ländern und den USA (sowie weiteren Rechtsordnungen) bürgt dafür, dass die grenzübergreifende Dimension des jeweiligen Mandats stets eingehend berücksichtigt wird. Die tschechischen Rechtsanwälte von ECOVIS ježek weisen eine hervorragende Erfolgsbilanz bei der Erbringung von Beratungsleistungen an transnationale Konzerne, tschechische Großunternehmen, den Mittelstand sowie Freiberufler und Privatpersonen auf, die auf jahrelange, bei führenden Rechts- und Steuerberatungsunternehmen erworbene Erfahrung gründet. Weitere Auskünfte finden Sie unter nachstehendem Link: www.ecovislegal.cz/de..