20.09.2024
Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung
Welche Rolle spielt der Datenschutz und Data Due Dilligence bei M&A? Wir geben Ihnen einen umfassenden Überblick über die wichtigsten Aspekte von M&A-Transaktionen und wie sie rechtssicher abgewickelt werden. Erfahren Sie, warum Datenschutz entscheidend für den Erfolg solcher Transaktionen ist und wie die richtige Strategie einen Mehrwert bieten kann.
Was bedeutet M&A?
M&A steht für “Mergers & Acquisitions” – ein Sammelbegriff, der sämtliche Arten von Unternehmenstransaktionen, -fusionen und -übernahmen umfasst. Darunter fallen unter anderem Unternehmenskäufe/-verkäufe, Übernahmen oder Ausgliederungen. Entscheidend ist dabei aus rechtlicher Sicht häufig die Unterscheidung zwischen einem Share Deal, bei dem Anteile am Unternehmen erworben werden, und einem Asset Deal, bei dem einzelne Vermögenswerte übertragen werden. Beide Transaktionsarten haben tiefgreifende Auswirkungen auf die Struktur und das Potenzial eines Unternehmens
Was ist Due Diligence?
Ein zentraler Bestandteil jeder M&A-Transaktion ist die sogenannte Due Diligence. Sie ermöglicht eine präzise Analyse der rechtlichen, wirtschaftlichen und technischen Aspekte eines Unternehmens. Dabei werden vor allem Risiken beleuchtet, die den Deal gefährden könnten. Im Fokus stehen Kundendaten, Lieferantenbeziehungen, Dienstleistungsverträge und weitere sensible Daten, die nicht nur den Wert des Unternehmens bestimmen, sondern auch über Erfolg oder Misserfolg des Geschäfts entscheiden.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Welche Rolle spielt Datenschutz bei M&A?
Der Datenschutz gewinnt bei M&A-Transaktionen zunehmend an Bedeutung, da personenbezogene Daten insbesondere für kundenorientierte Unternehmen ein wertvolles Gut darstellen. Oft sind es gerade diese Daten, die den entscheidenden Mehrwert eines Unternehmens ausmachen, auch wenn es finanziell nicht profitabel ist. Ein potenzieller Käufer hat daher ein großes Interesse daran, diese „Datenschätze“ effektiv nutzen zu können.
Hier liegt jedoch auch eine Herausforderung: Während die gesellschaftsrechtlichen Aspekte der Transaktion oft problemlos bewältigt werden, bleiben die datenrechtlichen Anforderungen häufig unberücksichtigt. Diese sind jedoch entscheidend, um den wirtschaftlichen Nutzen der Transaktion sicherzustellen. Die Herausforderungen liegen darin, diese sensiblen Informationen in Übereinstimmung mit Datenschutzbestimmungen zu übertragen, ohne den Wert des Deals zu gefährden. Fehler in diesem Bereich können nicht nur rechtliche Konsequenzen haben, sondern auch das Vertrauen der Kunden nachhaltig erschüttern. Datenschutz und Datenrecht sind bei M&A-Deals daher Pflichtübungen für alle Akteure.
In diesem Zusammenhang ist auch der Unterschied zwischen Share Deal und Asset Deal relevant. Bei einem Share Deal bleibt das Unternehmen als rechtliche Einheit bestehen, so dass bestehende datenschutzrechtliche Vereinbarungen in der Regel weiter gelten. Anders verhält es sich bei einem Asset Deal: Hier werden einzelne Vermögensgegenstände, darunter auch Datenbestände, übertragen. Dies kann zu datenschutzrechtlichen Problemen führen, insbesondere wenn sich der Verarbeitungszweck oder die Verantwortlichkeiten ändern. Besonders zu beachten sind auch die Transparenzanforderungen nach Art. 13 und 14 DSGVO.
Der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24.05.2019 enthält einen Katalog von Fallgruppen, die bei Asset Deals im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f i.V.m. Art 4 DSGVO zu beachten sind. Kurz zusammengefasst:
- Kundendaten bei laufenden Verträgen: Eine zivilrechtliche Genehmigung des Vertragsübergangs durch den Kunden beinhaltet auch die Zustimmung zur Datenübertragung.
- Bestandskunden ohne laufende Verträge, letzter Kontakt älter als 3 Jahre: Diese Daten dürfen nur aufgrund gesetzlicher Aufbewahrungsfristen verarbeitet werden.
- Daten von Kunden mit Vertragsanbahnung oder letzter Kontakt jünger als 3 Jahre: Datenübertragung erfolgt mittels Opt-out-Verfahren (Widerspruch möglich), außer bei Bankdaten, die nur mit ausdrücklicher Zustimmung übermittelt werden dürfen.
- Kundendaten bei offenen Forderungen: Datenübertragung ist zulässig, solange keine vertraglichen Einschränkungen bestehen.
- Besondere Kategorien von Daten: Diese können nur mit ausdrücklicher Einwilligung des Kunden übermittelt werden.
Details zu Kundendaten beim Asset Deal finden Sie hier.
Wichtiges Stichwort ist die sogenannte Data Due Diligence. Darunter versteht man die Prüfung und Sicherstellung der Einhaltung aller daten(schutz)rechtlichen Anforderungen im Rahmen einer M&A-Transaktion. Dabei geht es nicht nur um die Bewertung der bestehenden Datenverarbeitungsprozesse, sondern auch um die Überprüfung der rechtlichen Grundlagen, Verträge und technischen Maßnahmen. Nur so kann sichergestellt werden, dass die Daten auch nach dem Closing rechtskonform und effizient genutzt werden können.
Was ist ein Due Diligence Datenraum bzw. Data room?
Ein Due Diligence Datenraum, auch Data Room genannt, ist eine digitale Plattform, auf der transaktionsrelevante Dokumente und Daten sicher abgelegt und geprüft werden können. Solche virtuellen Datenräume ermöglichen den sicheren Austausch wichtiger Finanz- und Rechtsdokumente sowie sensibler Kundeninformationen. Auf dem Markt ist eine Vielzahl von Softwareprodukten erhältlich, die typischerweise eine Zugangskontrolle mit der Möglichkeit, den Zugang bei Bedarf wieder zu entziehen, sowie eine sichere Archivierung bieten. Moderne Datenräume bieten darüber hinaus erweiterte Funktionalitäten wie KI-gestützte Suchfunktionen, die die Analyse der Dokumente beschleunigen können.
Bei allen Vorteilen werfen diese Funktionalitäten jedoch auch datenschutzrechtliche Fragen auf, insbesondere im Hinblick auf den Zugriff durch Dritte, die Einbindung von Dienstleistern und den Schutz besonderer Kategorien personenbezogener Daten. Eine datenschutzkonforme Nutzung solcher Datenräume erfordert klare Zugriffsrechte, regelmäßige Löschfristen und ggf. Informationspflichten gegenüber den Betroffenen.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Herausforderungen außerhalb des Datenschutzrechts
Neben dem Datenschutz sind bei M&A-Transaktionen weitere Rechtsgebiete wie der Know-how-Schutz, IP-Rechte sowie die Regelungswerke des neuen EU-Datenrecht zu beachten. Die wichtigsten Rechtsakte sind dabei die EU-Verordnungen Data Act und Data Governance Act sowie der AI Act. Dabei müssen Geschäftsgeheimnisse, wie Lieferantenlisten, Rezepturen oder Marketingstrategien, nicht nur während der Transaktion, sondern auch langfristig effektiv geschützt werden. Dies erfordert unter anderem die Implementierung geeigneter Geheimhaltungsmaßnahmen nach dem Geschäftsgeheimnisschutzgesetz (GeschGehG).
Zusätzlich sind Urheberrechte, Datenbankrechte und Markenrechte besonders relevant, wenn es um die Übertragung oder Nutzung von Daten geht. Gerade in datengetriebenen Geschäftsmodellen können diese Rechte den Wert des Unternehmens erheblich beeinflussen.
Um die rechtliche Komplexität zu bewältigen, bietet sich die Erstellung von umfassenden Datennutzungslizenzen an. Diese klären die Rechte Dritter und stellen ein rechtssicheres Nutzungsmodell sicher. Darüber hinaus sollte ein ganzheitliches Datennutzungskonzept entwickelt werden, das nicht nur die langfristige Nutzung der übertragenen Daten, sondern auch datenschutzrechtliche und weitere rechtliche Anforderungen nahtlos integriert.
Wie wichtig ist Datenschutz und Datenrecht bei der M&A-Beratung?
Die rechtssichere Nutzung von Daten ist ein zentraler Faktor für den Erfolg einer M&A-Transaktion. Dabei geht es nicht nur um die Gewährleistung des Datenschutzes, sondern auch darum, verborgene Potenziale zu heben und den wirtschaftlichen Mehrwert aus den Daten zu generieren. Hier setzt die Expertise von SRD an: Unsere Beratung umfasst die Analyse der wesentlichen Datenverarbeitungen, die Entwicklung eines Datennutzungskonzepts sowie die Berücksichtigung des Datenschutzrechts und anderer relevanter Rechtsgebiete.
Wir unterstützen bei der Schaffung vertraglicher Grundlagen, der Erstellung der erforderlichen Datenschutzhinweise und der Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs). Insgesamt lässt sich festhalten, dass Datenschutz in der M&A-Beratung nicht nur eine Pflichtübung ist, sondern einen entscheidenden Mehrwert bietet - wenn er richtig umgesetzt wird. Mit einer umfassenden Data Due Diligence und der rechtlichen Absicherung der Datennutzung legen Sie den Grundstein für eine erfolgreiche und zukunftssichere Transaktion.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Unsere Experten zum Thema
Weitere Neuigkeiten
30.09.2024
Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?
20.09.2024
Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung
12.09.2024