Die EU stellt mit der DSGVO Unternehmen bei M&A-Deals vor eine Reihe von komplexen Problemen.

Dmytro Yarmolin/iStock/Thinkstock/Getty Images

11.09.18
Deals

DSGVO erschwert M&A-Prozesse

Die neue Datenschutzgrundverordnung stellt Unternehmen bei M&A-Deals vor ungeahnte Herausforderungen. Sie zwingt Käufer und Verkäufer zu einem erheblichen Mehraufwand und birgt diverse Stolpersteine. Bei Verstößen drohen hohe Geld- und sogar Haftstrafen.

Vor gut 100 Tagen wurde die Europäische Datenschutzgrundverordnung (DSGVO) gemeinsam mit einem neuen deutschen Bundesdatenschutzgesetz wirksam. Mittlerweile zeigt sich, dass die weitreichende Gesetzesänderung auch klassische M&A-Prozesse auf den Prüfstand stellt. Tatsache ist, dass sich die Unternehmen bisher beispielsweise bei der Verarbeitung personenbezogener Daten im Rahmen der Due Diligence in einer rechtlichen Grauzone bewegten. „Bislang wurden datenschutzrechtliche Vorgaben bei M&A-Deals oftmals eher stiefmütterlich behandelt“, sagt Axel Funk, Partner bei der Wirtschaftskanzlei CMS.

Doch dies dürfte sich nach der Meinung des auf Datenschutz spezialisierten Rechtsanwalts durch die DSGVO ändern. Verschärfte Strafmaßnahmen bei Verstößen gegen die Verordnung hätten zu einem Umdenken bei Käufern und Verkäufern geführt.

Hohe Strafen drohen bei DSGVO-Verstößen

Trotzdem sieht Funk bei der Einhaltung des Datenschutzes während laufender M&A-Deals noch viel Luft nach oben. „M&A-Prozesse müssen datenschutzrechtlich stärker professionalisiert werden“, fordert Funk. Andernfalls drohten den Beteiligten bei Verstößen hohe Strafen. „Verstöße gegen die DSGVO können mit Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens geahndet werden, je nachdem, welcher der beiden Beträge höher ist“, erklärt der M&A-Anwalt und CMS-Partner Tobias Grau. „In Extremfällen drohen für natürliche Personen sogar Freiheitsstrafen von bis zu drei Jahren.“

„M&A-Prozesse müssen datenschutzrechtlich stärker professionalisiert werden.“

Axel Funk, Partner CMS

Haftbar gemacht werden können aus Sicht der Experten all jene Verantwortlichen, die an der Verarbeitung personenbezogener Daten beteiligt sind. Dabei könne es sich sowohl um Verkäufer als auch um Kaufinteressenten handeln. Aber auch externe Beteiligte wie beispielsweise Datenraumanbieter können haftbar gemacht werden.

DSGVO sorgt für Mehraufwand bei Unternehmen

Um die zum Teil weitreichenden Strafmaßnahmen zu umgehen, müssen Unternehmen einen erheblichen Mehraufwand betreiben. „Tausende betroffene Personen müssen informiert und Due Diligence-Unterlagen häufig umfänglich geschwärzt werden“, beschreibt Grau die zusätzlichen Hürden.

Zwar würde bei diesen Maßnahmen künftig Legal Tech unterstützen, jedoch ergeben sich auch hierbei Grenzen durch die DSGVO. „Zudem ist mit Datenraumanbietern abzuklären, dass die neuen Vorgaben eingehalten werden und technische Vorkehrungen für Datenschutz und Datensicherheit getroffen wurden“, ergänzt Funk. Dadurch werden zusätzliche Ressourcen gebunden und M&A-Deals in die Länge gezogen.

„Tausende betroffene Personen müssen informiert und Due Diligence-Unterlagen häufig umfänglich geschwärzt werden.“

Tobias Grau, Partner CMS

DSGVO untergräbt die Geheimhaltung von Deals

Und es gibt auch eine strategische Falltür: In der Regel verlaufen M&A-Deals unter dem Deckmantel der Verschwiegenheit. Die neuen Anforderungen der DSGVO machen das nicht einfacher: „Die größten Probleme ergeben sich aus dem gesetzlich geschaffenen Widerspruch zwischen neuen datenschutzrechtlichen Informationspflichten und dem Bedürfnis der Geheimhaltung von M&A-Transaktionen“, erklärt Funk.

Bislang hat sich noch keine allgemeine Praxisanwendung herauskristallisiert, und damit ist laut Funk in absehbarer Zeit auch nicht zu rechnen: „Es werden vermutlich Jahre vergehen, bis eine verlässliche Behördenpraxis und Rechtsprechung existiert.“

andreas.mehring[at]finance-magazin.de