DSGVO – Anwendung im Rahmen Due Diligence und M&A Transaktion in Tschechien – Teil 1

Der Schutz personenbezogener Daten spielt eine wesentliche Rolle in jeder Transaktion, unabhängig davon, ob im Rahmen der Beurteilung von Risiken für den Käufer bei unsachgemäßer Nutzung personenbezogener Daten in der Zielgesellschaft oder bei der Beurteilung, wie man mit den im Rahmen einer Due-Diligence erhobenen personenbezogenen Daten umgehen soll.

Die Verordnung der Europäischen Union zum Schutz personenbezogener Daten – DSGVO, die auf dem Gebiet der gesamten EU ab dem 25. Mai 2018 gültig ist, wirkt sich nicht nur auf den alltäglichen Geschäftsbetrieb der Gesellschaften und ihrer Marketingabteilungen aus, sondern hat, wie sich zeigt, auch auf das Gebiet von M&A Transaktionen einen grundsätzlichen Einfluss. Jede Gesellschaft verarbeitet nämlich personenbezogene Daten, sowohl ihrer Arbeitnehmer, als auch ihrer Kunden oder Geschäftspartner und nutzt diese Daten weiter zur Übersendung von speziellen Angeboten an die E-Mail-Adressen oder zur Bildung einer umfangreichen Kundendatenbank und zur Profilierung der Kunden. Diese Angaben werden außerdem häufig zwischen mehreren Gesellschaften im Rahmen des Konzerns geteilt.

Die durch die DSGVO neu festgesetzten Pflichten zwingen deshalb alle Akteure der Akquisitionstransaktion zu einer Neubewertung ihrer bisherigen Vorgänge sowie zur Ergreifung von neuen Maßnahmen zum Zweck des Schutzes personenbezogener Daten. Es handelt sich dabei vor allem um personenbezogene Daten, die dem Käufer und seinen Beratern im Rahmen einer rechtlichen Due Diligence der zu erwerbenden Gesellschaft zugänglich gemacht werden. Der Käufer wird nämlich in diesem Fall zum Verantwortlichen, sobald er den Zutritt zum Datenraum, in dem sich diese Daten befinden, erhalten hat.

Dem Schutz personenbezogener Daten sollten jedoch auch der Verkäufer und die zu erwerbende Gesellschaft ihre Aufmerksamkeit widmen. Gerade diese Personen müssen dafür sorgen, dass personenbezogene Daten in Übereinstimmung mit DSGVO, nur in dem für den Abschluss der Transaktion unbedingt notwendigen Umfang und ausschließlich den berechtigten Personen zugänglich gemacht werden. Personenbezogene Daten müssen des Weiteren vor unbefugtem Umgang ausreichend geschützt werden und für den Fall einer gescheiterten Akquisition muss ihre nachweisbare Vernichtung sichergestellt werden.

Sollte eine der beteiligten Parteien ihre Pflichten aus der DSGVO verletzen, droht ihr die Auferlegung einer Strafe bis zu EUR 20 Mio., oder, wenn es sich um ein Unternehmen handelt, bis zu einer Höhe von 4 % des weltweiten Gesamtjahresumsatzes für das vergangene Geschäftsjahr, je nachdem, was höher ist.

Durch das Inkrafttreten der DSGVO muss deshalb der ganze Akquisitionsprozess, insbesondere in Bezug auf die Prüfung der Gesellschaft und Errichtung des Datenraums, neu bewertet und neue Regeln für den Schutz personenbezogener Daten in Übereinstimmung mit der DSGVO erstellt werden.