DSGVO – Anwendung im Rahmen Due Diligence und M&A in Tschechien - Position des Käufers - Teil 3

Position des Käufers bei einer M&A Transaktion

Die Informationen im Datenraum sind für den Käufer von grundlegender Bedeutung, damit er mit der Sorgfalt eines ordentlichen Geschäftsmannes beurteilen kann, ob es für ihn vorteilhaft ist, die Akquisition der zu erwerbenden Gesellschaft abzuschließen. Als Titel für die Verarbeitung personenbezogener Daten im Datenraum gilt für den Käufer üblicherweise ein mit der zu erwerbenden Gesellschaft ggf. mit dem Verkäufer abgeschlossener Vertrag oder ein berechtigtes Interesse daran, dass sich der Käufer mit dem Stand der Gesellschaft und den Risiken, die sich aus dem Erwerb der Gesellschaft für ihn ergeben, vertraut macht. Der Käufer muss im Blick haben, dass er zum Zeitpunkt des Erhalts des Zugangs auf den Datenraum zum Verantwortlichen in Bezug auf personenbezogene Daten im Datenraum wird und dann verpflichtet ist, die sich für ihn aus der DSGVO ergebenden Pflichten einzuhalten.

Der Käufer ist vor allem verpflichtet, seine internen Prozesse so einzustellen, dass keine unbefugte Person Zugang auf personenbezogene Daten im Datenraum erhält, dass er einen bestimmten Kreis von Benutzern des Datenraums im Voraus bestimmt, die erforderlichen Grundsätze des Schutzes personenbezogener Daten einhält, Aufzeichnungen, auf welche Art und Weise er personenbezogene Daten im Datenraum verarbeitet, vornimmt und weitere Pflichten gemäß DSGVO erfüllt.

Wenn einen Bestandteil des Datenraums auch personenbezogene Daten von Mitarbeitern und Kunden der zu erwerbenden Gesellschaft und weiteren Personen bilden, kann der Käufer gegenüber diesen Personen eine Auskunftspflicht in Bezug auf die Form der Verarbeitung ihrer personenbezogenen Daten haben. Man kann deshalb empfehlen, dass insbesondere Arbeitsverträge und Verträge mit Klienten anonymisiert werden. Wenn die Anonymisierung von Arbeitsverträgen und Verträgen mit Klienten nicht möglich sein sollte, wird empfohlen, dass dem Käufer ein Musterarbeitsvertrag oder ein Mustervertrag mit dem Klienten zusammen mit aggregierten anonymisierten Daten über geschäftliche Kernaspekte der abgeschlossenen Verträge bereitgestellt werden.

Die oben angeführten Erfordernisse stellen jedoch erhöhte Anforderungen an den Inhalt der Transaktionsdokumentation. Der Käufer und seine Berater sollten deshalb vom Verkäufer ausreichende Garantien und Zusicherungen verlangen, insbesondere was den Umfang der zugänglich gemachten Dokumente und der damit zusammenhängenden anonymisierten Übersichten im Datenraum, das Verzeichnis aller Ermittlungen der zu erwerbenden Gesellschaft, die vom Amt für den Schutz personenbezogener Daten durchgeführt werden, einschließlich der auferlegten Sanktionen, des Verzeichnisses aller Gerichtsstreitigkeiten, die bei den betroffenen Personen anhängig sind und des Verzeichnisses aller Empfänger personenbezogener Daten (wenn zum Beispiel personenbezogene Daten im Rahmen von Franchise oder eines Konzerns geteilt werden) anbelangt. Diese neuen Garantien und Zusicherungen sollten dem Käufer vor allem garantieren, dass er nach der Übernahme der zu erwerbenden Gesellschaft zum Beispiel nicht einen Arbeitsvertrag mit einer ungewöhnlich langen Kündigungsfrist oder einer abnormal hohen Abfindung oder einen Vertrag mit Klienten entdeckt, der auch mehrere Jahre nach der Akquisition der Gesellschaft nicht gekündigt werden kann. Zu den Verträgen mit Klienten kann dabei auch ein Wohnungsmietvertrag gehören, wenn der Käufer nicht eine Gesellschaft, sondern ein Wohnhaus kauft.

Wenn die zu erwerbende Gesellschaft in einem größeren Umfang mit personenbezogenen Daten umgeht, entkommt der Käufer nicht der Durchführung einer rechtlichen Prüfung mit besonderem Schwerpunkt auf der Bestandsaufnahme der Prozesse beim Umgang mit personenbezogenen Daten in der zu erwerbenden Gesellschaft. In der Praxis handelt es sich vor allem um den Bereich einer Kundenliste, welche die zu erwerbende Gesellschaft zu Marketingzwecken erstellt hat und führt, die Einwilligungen der betroffenen Personen, vor allem Verbraucher, in die Übersendung von Direktwerbung und Marketingangeboten, Profilierung der Kunden, Teilung der Angaben über die Mitarbeiter im Rahmen der gesamten Gruppe, Beurteilung der Risiken, die sich aus dem gegenwärtigen System des Schutzes personenbezogener Daten in der zu erwerbenden Gesellschaft ergeben sowie um die Pflicht einen Datenschutzbeauftragten zu bestellen. Kurzum, es müssen die Berater des Käufers auch eine Prüfung durchführen, ob die zu erwerbende Gesellschaft personenbezogene Daten in Übereinstimmung mit DSGVO verarbeitet.

Im Rahmen der Bestandsaufnahme von Prozessen des Umgangs mit personenbezogenen Daten in der zu erwerbenden Gesellschaft kann sich nämlich zum Beispiel zeigen, dass die zu erwerbende Gesellschaft von ihren Kunden niemals eine Einwilligung in die Übersendung von E-Mail-Angeboten erhalten hat und ihr aus diesem Grund die Auferlegung einer Strafe vom Amt für den Schutz personenbezogener Daten droht. Des Weiteren, dass betroffene Personen der zu erwerbenden Gesellschaft die Einwilligung in die Verarbeitung ihrer personenbezogenen Daten nicht erteilt haben und die zu erwerbende Gesellschaft verpflichtet ist, ihre gesamte Kundendatenbank zu löschen. Oder dass infolge der mangelnden Einwilligung im Rahmen der Auseinandersetzung der Transaktion die Kundendatenbank, die der Verkäufer besitzt, auf den Käufer oder die zu erwerbende Gesellschaft nicht übertragen werden kann. Die Übertragung einer solchen Kundendatenbank wäre dann nämlich unwirksam. Bei den Gesellschaften, die auf Einzelhandelsgeschäfte ausgerichtet sind, könnte die Verletzung der sich aus DSGVO ergebenden Pflichten einen grundsätzlichen Einfluss auf ihren Wert haben.

Nach dem Abschluss der Transaktionsdokumentation muss der Käufer in Zusammenarbeit mit der zu erwerbenden Gesellschaft und dem Verkäufer dafür sorgen, dass im Rahmen der Vernetzung der IT-Systeme des Käufers und der zu erwerbenden Gesellschaft alle erforderlichen Berechtigungen und Einwilligungen zur Teilung personenbezogener Daten eingeholt werden, dass es zu keinem Leck bei den personenbezogenen Daten kommt und dass der Verkäufer personenbezogene Daten, für deren Verarbeitung kein Rechtsgrund mehr besteht, vernichtet.