(c) Datenschutzrechtliche Pflichten372
192
Besondere Relevanz für jede Due Diligence haben seit ihrer Einführung die DSGVO und die durch sie insbesondere hinsichtlich ihrer Rechtsfolgen verschärften datenschutzrechtlichen Anforderungen.
193
Bei Verstößen drohen empfindliche Bußgelder, nämlich nach Art. 83 Abs. 1 DSGVO bis zu 4 % des weltweiten Konzernumsatzes bzw. EUR 20 Mio. bei Verstößen gegen die in Art. 83 Abs. 6 DSGVO genannten Bestimmungen oder bis zu 2 % des weltweiten Konzernumsatzes bzw. EUR 10 Mio. bei Verstößen gegen die in Art. 83 Abs. 5 DSGVO genannten Bestimmungen (wobei in jeder der beiden Kategorien der höhere Betrag maßgeblich ist).
194
Datenschutzrechtliche Vorschriften haben im Kontext einer Due Diligence aus der Perspektive des Verkäufers (aber durchaus auch mit Konsequenzen für die Zielgesellschaft und damit letztlich den Käufer) in dreierlei Hinsicht Bedeutung:
195
Zunächst muss bei einem Share Deal sichergestellt sein, dass die Zielgesellschaft keine datenschutzrechtlichen Pflichten verletzt, wenn sie ihrem Gesellschafter als Verkäufer personenbezogene Daten überlässt, die er für die Durchführung der Due Diligence anfordert.
196
Des Weiteren muss der Verkäufer, soweit er personenbezogene Daten in datenschutzrechtlich konformer Weise von der Zielgesellschaft erhalten hat, sicherstellen, dass deren Hochladen in einen virtuellen Datenraum in datenschutzrechtlich konformer Weise geschieht.
197
Schließlich muss sichergestellt sein, dass die Offenlegung gegenüber einem oder mehreren Käufern im virtuellen Datenraum im Einklang mit der DSGVO373 erfolgt.
198
Grundvoraussetzung dafür, dass die DSGVO eingreift, ist das Vorliegen von personenbezogenen Daten. Nach Art. 4 Nr. 1 DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur ein Teil derjenigen Informationen, die üblicherweise in einem Datenraum offengelegt werden, ist personenbezogen. Darunter fallen z.B. Name, Familienstand, Geschlecht, Anschrift, Geburtsdatum und E-Mail-Adressen.374 Praktisch besonders relevante Anwendungsfälle sind die Offenlegung von Daten der Organmitglieder und von Mitarbeitern der Zielgesellschaft. Bei den üblicherweise in Datenräumen zahlreich offengelegten Verträgen (im Kontext des Datenschutzes werden insbesondere Kundenverträge prominent herausgehoben, von gleicher Relevanz sind aber auch z.B. Lieferverträge, Vertriebsverträge, Lizenzverträge, Serviceverträge, Mietverträge, Kooperationsverträge, Versicherungspolicen, Darlehensverträge) ist in datenschutzrechtlicher Hinsicht zu unterscheiden, ob die Zielgesellschaft sie mit natürlichen oder juristischen Personen oder Personenhandelsgesellschaften abgeschlossen hat. Soweit sie mit juristischen Personen oder Personenhandelsgesellschaften abgeschlossen sind, können sie grundsätzlich auch unter Nennung des Vertragspartners datenschutzrechtlich bedenkenlos offengelegt werden (wobei selbstverständlich Grenzen durch Vertraulichkeitsvereinbarungen zu beachten sind375). Sofern der Name desjenigen, der beim Vertragspartner unterschrieben hat, oder Namen anderer Mitarbeiter, an die man sich im Rahmen der Vertragsabwicklung wenden kann, in den Verträgen ausgewiesen werden und sie dort lediglich aufgrund ihrer Funktion genannt sind, dürfte für gewöhnlich kein Schutzbedürfnis vorliegen, das das Interesse des Verkäufers an der Offenlegung überwiegt.376 Abweichende Fallkonstellationen sind aber denkbar und dann sorgfältig zu prüfen.377 Sind Verträge mit natürlichen Personen abgeschlossen (was etwa bei Zielgesellschaften, die gewerblich vermieten oder mit Verbrauchern handeln, große Relevanz hat), handelt es sich bei deren Daten grundsätzlich um personenbezogene Daten. Insoweit ist eine sorgfältige Interessenabwägung hinsichtlich der Offenlegung durchzuführen. Im Zweifelsfall sind die personenbezogenen Daten unkenntlich zu machen.
199
Liegen in diesem Sinne personenbezogene Daten vor, ist in einem zweiten Schritt auszuschließen, dass es sich um sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO handelt. Im Rahmen einer Due Diligence theoretisch bedeutsam werden könnten z.B. Daten über die ethnische Herkunft, die Gewerkschaftszugehörigkeit, die sexuelle Orientierung oder Gesundheitsdaten von Mitarbeitern. Die Verarbeitung solcher Daten ist grundsätzlich untersagt, ihre Übermittlung und Offenlegung in einem Datenraum nur in den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Diese Voraussetzungen werden im Rahmen eines Unternehmenskaufs regelmäßig nicht erfüllt sein.378 Eine Einwilligung der Betroffenen dürfte regelmäßig fernliegend sein.379
200
Ob, in einem ersten Schritt bei einem Share Deal, die Zielgesellschaft personenbezogene Daten an ihren Gesellschafter weitergeben darf, der sie dann für seinen Datenraum verwendet, hängt davon ab, ob die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO erfüllt sind. Dazu ist zunächst festzuhalten, dass die Weitergabe personenbezogener Daten von der Zielgesellschaft an den Verkäufer zumindest nicht daran scheitert, dass die Zielgesellschaft die Daten (jedenfalls auch) im Interesse des Gesellschafters und Verkäufers an diesen weitergibt. Denn auch berechtigte Interessen „eines Dritten“, hier des Gesellschafters, reichen nach Art. 6 Abs. 1 lit. f DSGVO aus.380
201
Nach Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung personenbezogener, nicht sensibler Daten erlaubt, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritter erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Berechtigte Interessen sind alle von der Rechtsordnung gebilligten Interessen rechtlicher, wirtschaftlicher, ideeller oder sonstiger Natur.381 In diesem Sinne bestehen, sowohl beim Share Deal als auch beim Asset Deal berechtigte Interessen. Denn das Interesse an der Durchführung eines Unternehmens (ver)kaufs ist in einer Marktwirtschaft nicht nur gebilligt, sondern im Interesse der Fortentwicklung der Wirtschaft sogar gewünscht. Das Ziel des Verkäufers, dem Erwerber Einblicke zu verschaffen, sodass er auf dieser Grundlage ein Angebot abgeben kann, ist ebenso ein berechtigtes Interesse wie das des Käufers, die mit dem Erwerb verbundenen Risiken einschätzen zu können.382 Zur Wahrung dieser berechtigten Interessen muss die Offenlegung erforderlich sein. Viele Prüfungen können auch ohne eine Offenlegung personenbezogener Daten erfolgen, sodass die Rechtmäßigkeit der Offenlegung an dem Nichtvorliegen der Erforderlichkeit scheitern würde. Allerdings ist zu beachten, dass für eine verlässliche Prüfung der Zielgesellschaft oft keine anderen Mittel zur Verfügung stehen als der Austausch von Informationen über sie.383 In diesem Kontext ist zunächst konkret und einzelfallbezogen zu prüfen, ob etwa eine Nennung von Mitarbeitern oder natürlichen Personen, die Kunden, Lieferanten oder sonstige Vertragsparteien der Zielgesellschaft sind, erforderlich ist oder nicht bereits anonymisierte Listen oder pseudonymisierte Listen (Art. 4 Nr. 5 DSGVO) oder eine Strukturdarstellung, in der Daten von mindestens drei Betroffenen zusammengefasst werden,384 oder sonstige Zusammenfassungen in aggregierter Form den Zweck erfüllen. Auch ist zu prüfen und zu entscheiden, gegenüber welchem Personenkreis die Daten offengelegt werden. Regelmäßig wird eine Offenlegung an bestimmte Vertreter