DSGVO – Anwendung im Rahmen Due Diligence und M&A-Transaktion in Tschechien – Teil 2

Position des Verkäufers bei einer M&A-Transaktion

Der Verkäufer sollte bereits im Voraus im Rahmen der Vorbereitungsphase des Verkaufs der Gesellschaft eine abgesicherte Form sicherstellen, in der dem Käufer die Dokumente hinsichtlich der zu erwerbenden Gesellschaft zum Zweck der Realisierung der rechtlichen oder einer anderen Prüfung zugänglich gemacht werden. Diese Form stellt in den meisten Fällen die Vorbereitung des Datenraums dar.

Der Datenraum sollte vor unbefugtem Umgang mit personenbezogenen Daten und ihrem möglichen Durchsickern in der Weise hinreichend abgesichert werden, dass den Anforderungen der DSGVO Rechnung getragen wird. Es handelt sich vor allem um die Verschlüsselung der gespeicherten Dokumente, die Einstellung der Zugriffsrechte für einzelne Benutzer, den Benutzer-Log und die regelmäßige Sicherheitsprüfung des IT Systems, was den Datenraum bildet.

Sollte sich der Verkäufer entscheiden, von Dienstleistungen eines externen Dienstleisters Gebrauch zu machen, so muss mit diesem Dienstleister zuerst ein Vertrag über die Verarbeitung personenbezogener Daten abgeschlossen werden. Der Dienstleister, der den Datenraum zur Verfügung stellt, wird nämlich zum Auftragsverarbeiter. Den Vertrag über die Verarbeitung personenbezogener Daten sollte die zu erwerbende Gesellschaft mit dem Dienstleister abschließen, da sie in den meisten Fällen der für die Verarbeitung dieser personenbezogenen Daten im Datenraum Verantwortliche ist.

Im Vertrag über die Verarbeitung personenbezogener Daten muss insbesondere der Umfang der durch den Datenraum zugänglich gemachten personenbezogenen Daten geregelt und die Garantien für ihren Schutz, einschließlich deren Vernichtung (Löschung vom Server) nach der Schließung des Datenraums vereinbart werden. Es kann auch die Frage nicht vernachlässigt werden, in welchem Land sich die Server des externen Dienstleisters befinden, auf denen die Dokumente für die rechtliche Due Diligence gespeichert werden.

Sollten sich diese Server außerhalb des Gebiets der EU befinden, so müsste der externe Dienstleister Garantien gewähren, dass personenbezogene Daten ausschließlich in Übereinstimmung mit der DSGVO (üblicherweise aufgrund von verbindlichen Betriebsregeln oder einer standardmäßigen Vertragsklausel) in ein Drittland übermittelt werden. Der externe Dienstleister muss des Weiteren einer Vertraulichkeitsverpflichtung unterliegen.

Durch den Abschluss des Vertrags über die Verarbeitung personenbezogener Daten werden jedoch weder der Verkäufer noch die zu erwerbende Gesellschaft von ihrer Haftung für den Schutz personenbezogener Daten, die im Datenraum des externen Dienstleisters gespeichert werden, befreit. Es ist deshalb wünschenswert, dass sich der Dienstleister, der den Datenraum bereitstellt, ebenso verpflichtet, den Verkäufer und die zu erwerbende Gesellschaft für den Fall der Verletzung des Vertrags über die Verarbeitung personenbezogener Daten schadlos zu halten.

Viele Gesellschaften machen personenbezogene Daten für den Bedarf der Due Diligence durch die üblich genutzten Cloud-Speicherplätze wie z. B. Dropbox, iCloud, Google Drive, OneDrive oder uloz.to zugänglich. Eine solche Vorgehensweise kann jedoch im Hinblick auf die DSGVO nicht empfohlen werden. Diese Dienstleistungen ermöglichen in den meisten Fällen nämlich nicht, ein ausreichendes Niveau der Sicherung personenbezogener Daten zu erstellen.

Als problematisch zeigt sich insbesondere der Aspekt der Teilung von Dokumenten, da diese Dienstleistungen üblicherweise die Einstellung von unterschiedlichen Rechten für verschiedene Benutzer (z. B. „nur Lesen von Dokumenten“), Fernlöschung von Dokumenten aus dem Endgerät des Benutzers oder die Aufzeichnung des Benutzer-Logs (z. B. Welcher Benutzer den Zugang auf ein konkretes Dokument im Datenraum erhalten hat) nicht ermöglichen.

Es ist angebracht, vor der eigentlichen Errichtung des Zugangs des Käufers zum Datenraum mit dem Käufer einen Vertrag abzuschließen, in dem die Bedingungen hinsichtlich der Offenlegung personenbezogener Daten einschließlich deren Schutzes während der Prüfung der zu erwerbenden Gesellschaft und die spätere Vernichtung vereinbart werden, in der des Weiteren der Titel und der Zweck, zu dem personenbezogene Daten vom Käufer genutzt werden, anzuführen sind und die Geheimhaltungspflicht des Käufers vereinbart wird.

Die Bedingungen für den Schutz personenbezogener Daten können auch in einer Geheimhaltungsvereinbarung integriert werden, die bei M&A-Transaktionen üblicherweise abgeschlossen wird und die Notwendigkeit einer Unterzeichnung von zwei gesonderten Verträgen kann dadurch vermieden werden. In diesem Vertrag sollte sich der Käufer zum Schutz personenbezogener Daten vor deren unbefugter Offenlegung einem Dritten gegenüber verpflichten, es sollten darin die Berater aufgelistet werden, die den Zugang zum Datenraum erhalten und der Käufer sollte für die Vernichtung personenbezogener Daten für den Fall, dass der Abschluss der Transaktion scheitern sollte, sorgen.

Wenn es zu einer Verletzung des Vertrags seitens des Käufers kommen sollte, sollte der Käufer verpflichtet sein, dem Verkäufer und der zu erwerbenden Gesellschaft sämtliche Schäden zu ersetzen, die ihnen im Zusammenhang mit einer solchen Verletzung entstanden sind.

Wenn der Käufer seinen Sitz außerhalb der EU hat, dann können der Verkäufer und die zu erwerbende Gesellschaft nicht die Beurteilung vermeiden, unter welchen Bedingungen sie dem Käufer personenbezogene Daten außerhalb der EU übermitteln können.

Anschließend sollte darüber nachgedacht werden, welche Dokumente, die personenbezogene Daten beinhalten, dem Käufer und seinen Beratern im Rahmen der Due Diligence bereitgestellt werden können. Die DSGVO basiert nämlich auf dem Prinzip der Minimierung des Umgangs mit personenbezogenen Daten. Diese Frage stellt sich typischerweise bei Arbeitsverträgen und bei Verträgen mit Kunden, die Verbraucher sind.

Wenn der Verkäufer oder die zu erwerbende Gesellschaft personenbezogene Daten in Verträgen und weiteren Dokumenten, die in den Datenraum eingelegt werden, z. B. durch Schwärzung im notwendigen Umfang nicht anonymisiert, setzen sie sich dem Risiko der Auferlegung einer Strafe seitens des Amts für den Schutz personenbezogener Daten aus.

Die redaktionelle Anpassung von Hunderten von Arbeitsverträgen und Verträgen mit Kunden kann zeitaufwendig und relativ kostenaufwendig sein. Alternativ kann deshalb empfohlen werden, dass im Rahmen der Due Diligence nur Musterverträge, die von der zu erwerbenden Gesellschaft abgeschlossen werden, zusammen mit anonymisierenden Übersichtstabellen, die grundsätzliche Geschäftsinformationen für den Käufer (z. B. Lohn, Wettbewerbsklausel, Kündigungsfrist usw.) oder Abweichungen vom Mustervertrag beinhalten, zugänglich gemacht werden.

Man könnte erwägen, dass im Rahmen einer Due Diligence dem Käufer und seinen Beratern Verträge mit Kernmitarbeitern oder Kernklienten in vollem Wortlaut bereitgestellt werden, und zwar aufgrund des berechtigten Interesses des Käufers daran, dass er sich mit dem Zustand der zu erwerbenden Gesellschaft und den Bedingungen dieser grundsätzlichen Verträge ausführlich vertraut macht. Die Offenlegung dieser Verträge muss jedoch ad hoc bei der Berücksichtigung der berechtigten Belange des Käufers, der Notwendigkeit der Offenlegung personenbezogener Daten an den Käufer und der sog. Verhältnismäßigkeitsprüfung beurteilt werden.

Auf der anderen Seite muss der Käufer im Blick haben, dass ihm gemäß der DSGVO eine Auskunftspflicht gegenüber Mitarbeitern, Klienten und gegebenenfalls weiteren Personen entstehen kann, sobald ihm ihre personenbezogenen Daten im Datenraum zugänglich gemacht wurden. Der Käufer muss in diesem Fall diese Personen davon in Kenntnis setzen, dass er ihre personenbezogenen Daten verarbeitet und zu welchem Zweck dies erfolgt.

Im Hinblick darauf, dass beide Vertragsparteien bei der Verhandlung der Akquisition üblicherweise auf der Einhaltung strengster Geheimhaltungspflicht bestehen, sollten alle Beteiligten ein Interesse daran haben, dass durch den Datenraum dem Käufer möglichst wenige personenbezogene Daten zugänglich gemacht werden.

Sensible Daten über die Mitarbeiter, wie z. B. ihr Gesundheitszustand, Mitgliedschaft in Gewerkschaften usw. können dem Käufer überhaupt nicht bereitgestellt werden.

Sollte der Abschluss der Transaktion scheitern, so haben der Verkäufer und die zu erwerbende Gesellschaft die Pflicht, für die Schließung des Datenraums zu sorgen und sämtliche personenbezogene Daten, auf die der Käufer und seine Berater Zugang erhalten haben, zu vernichten. An diese Pflicht sollten der Verkäufer und die zu erwerbende Gesellschaft bereits vor der Errichtung des Zugangs auf den Datenraum denken.