Nach einem Jahr DSGVO sind M&A-Prozesse mühsamer geworden. Das muss bei einer Transaktion beachtet werden.

HT-Pix/iStock/ Getty Images Plus

30.07.19
Deals

DSGVO: So verändert sie M&A-Prozesse

Ein Jahr DSGVO: Wie die Datenschutzrichtlinie M&A-Prozesse erschwert, wie Unternehmen damit umgehen, und wie diese sich vor drakonischen Strafen schützen können – der FINANCE-Ratgeber.

Anwälte und Berater hatten von Anfang an befürchtet, dass die Datenschutzgrundverordnung (DSGVO) M&A-Deals komplizierter machen wird. Seit rund einem Jahr ist die DSGVO nun scharfgestellt und es kristallisiert sich heraus: Sie hatten Recht. Vor allem M&A-Anwälte wie Tobias Grau, Partner der Wirtschaftskanzlei CMS, berichten von großen neuen Herausforderungen. Im FINANCE-Ratgeber nennt der Anwalt die wichtigsten und gibt Handlungstipps, wie Unternehmen mit Datenschutzproblemen am besten umgehen sollten.

Legal-Tech-Software steckt noch in den Kinderschuhen

Den größten Mehraufwand sieht Grau im aufwendigen Schwärzen aller personenbezogenen Daten. Bei großen M&A-Transaktion könne dies schnell bis zu tausende Einträge betreffen. Sogenannte Legal Techs versprechen zwar technologische Unterstützung. „Die derzeitigen Software-Lösungen sind jedoch noch nicht ausgereift, sodass das Schwärzen weiterhin mühsame händische Arbeit ist“, meint der Anwalt. Als Beispiel führt er an, dass die aktuellen Softwares nicht unterscheiden können, ob es sich bei „April“ um einen Namen oder den Kalendermonat handelt.

Problematisch beim Datenschwärzen ist Grau zufolge vor allem, dass in der Rechtspraxis bisher noch kein einheitlicher Konsens darüber herrscht, welche personenbezogenen Daten unkenntlich gemacht werden müssen. „Einige Kanzleien sehen das sehr eng und schwärzen fast alles, andere schwärzen nur das Nötigste“, berichtet Grau. Zwingend unkenntlich zu machen seien beispielsweise die Gewerkschaftszugehörigkeit oder der Behinderungsgrad von Mitarbeitern.

So verändert die DSGVO die Due Diligence

Auch die Arbeit von Betreibern virtueller Datenräume verändert sich durch die DSGVO. „Viele Datenraumbetreiber haben Käufern und Verkäufern DSGVO-Konformität garantiert“, beobachtet Grau. Zusätzlich böten diese auch Hilfsmittel zum Schwärzen der Verträge an oder richten Webinare aus, wie man DSGVO-konform anonymisiert.

Ganz wichtig sei es, frühzeitig mit der Qualitätskontrolle der Daten zu beginnen. Es gilt die Faustregel: „Je komplexer der Datenschutz im Ziel-Unternehmen ist, desto früher sollte man das Thema in den Deal-Prozess einbauen.“ Zudem sei bei allen Schritten die Dokumentation extrem wichtig, da diese das Unternehmen im Zweifelsfall sogar vor einer Strafe retten könne. „Falls die Behörde ermittelt, ist es im Nachhinein kaum noch möglich nachzuvollziehen, aus welchen Gründen manche persönliche Daten nicht unkenntlich gemacht wurden“, meint Grau.

DSGVO erhöht das Leak-Risiko

Die DSGVO bringt Unternehmen nicht nur mehr operativen Aufwand. Sie erhöht auch das Risiko, dass Transaktionsdetails frühzeitig an die Öffentlichkeit geraten und der Deal dadurch platzt oder teurer wird. Je nach Zweckerklärung müssen Grau zufolge alle betroffenen natürlichen Personen von Beginn an über die Transaktion informiert werden. „Das betrifft dann nicht nur Mitarbeiter, sondern auch einige Kunden“, meint der M&A-Anwalt. Die große Herausforderung für das Management bestünde darin, die richtige Balance zwischen der Wahrung der Vertraulichkeit der Transaktion und DSGVO-konformen Handelns zu finden.

Die Unternehmen sind sich noch nicht sicher, wie sie damit umgehen sollen. Alle bestehenden Mitarbeiterverträge vor der Transaktion zu ändern, ist Grau zufolge oft nicht praktikabel und könnte Unruhe ins Unternehmen bringen. Bei der Übernahme von Koch, Neff & Volckmar durch die Berliner Logistikfirma Zeitfracht waren beispielsweise 900 Arbeitnehmer und die Übernahme derer Verträge betroffen.

Der Anwalt rät eher dazu, die Verträge im Zuge einer Post Merger Integration anzupassen, wenn die Mitarbeiter ohnehin neue Verträge unterschreiben müssen. „Für künftige Transaktionen kann dann eine Klausel helfen, dass Mitarbeiter über M&A-Deals nicht informiert werden müssen.“

Grau beobachtet aber auch andere Ansätze: Große Weltkonzerne erweitern ihre Datenerklärungen im Internet um eine Weitergabe, wie zum Beispiel nicht mehr über einer Fusion oder der Veräußerung von Vermögenswerten berichten zu müssen. Andere holen Informationspflichten nach, sobald der Deal in trockenen Tüchern ist. „Einen gerichtlich oder behördlich verprobten Präzedenzfall dazu gibt es allerdings noch nicht“, sagt Grau.

Es drohen Strafen wie im Kartellrecht

Dies gilt auch für Geldbußen für DSGVO-Verstöße. Zwar verhängten Landesdatenschutzbehörden in einem Jahr 100 Strafen und trieben dadurch rund 500.000 Euro ein. Laut Grau fielen diese Bußgelder aber nicht im Zuge einer M&A-Transaktion an. Jedoch ist es nicht ausgeschlossen, dass DSGVO-Bußgelder ein ähnliches Ausmaß annehmen können wie im Kartellrecht.

Theoretisch lässt die DSGVO drakonische Strafen zu: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes sind möglich. In Extremfällen kann eine Freiheitsstrafe von bis zu drei Jahren drohen. „DSGVO als Teil von Compliance beschäftigt daher auch die Vorstände – niemand will der Erste sein, bei dem ein beträchtliches Bußgeld verhängt wird“, meint Grau. Verhängt wird die Strafe von der jeweiligen Landesbehörde, die aber wie bisher soweit bekannt nicht von selbst, sondern erst bei vorliegenden Hinweisen aktiv wird.

Dies führt zu einem weiteren Risiko, das für Unternehmen durch die DSGVO entstanden ist: „Es besteht die Gefahr, dass enttäuschte Bieter oder Interessensgruppen Unternehmen bei der zuständigen Behörde anschwärzen.“ Bei einer ausreichenden Beweislast würde diese ermitteln und könnte den Deal hinauszögern oder sogar zum Platzen bringen. Die DSGVO macht M&A-Deals keinesfalls unmöglich. Da sich bisher jedoch noch keine einheitliche Rechtsprechung durchgesetzt hat, droht Unternehmen jedoch noch die ein oder andere böse Überraschung.

sarah.backhaus[at]finance-magazin.de

Schneller als gedacht könnte der erste Kandidat für einen DSGVO-Verstoß bei einem M&A-Prozess feststehen: Die UK Information Commissioner  der Datenschutzbeauftragte des Vereinigten Königreichs – plant gegenüber der Hotelkette Marriott ein Bußgeld von über 100 Millionen Euro zu verhängen. Grund dafür ist eine Datenschutzverletzung bei dem Erwerb der Starwood-Hotelkette im Jahr 2016. Demnach hat Marriott möglicherweise keinen ordentlichen Due-Dilligence-Prozess durchgeführt.