Blog-Übersicht
Geheimhaltungspflichten und Datenschutz bei Due-Diligence-Prüfungen
Im Zuge von Unternehmensübernahmen müssen personenbezogene Daten ausgetauscht und Geschäftsgeheimnisse offengelegt werden. Wie kann dabei eine Due-Diligence-Prüfung DSGVO-konform ablaufen? Wie müssen Geschäftsgeheimnisse geschützt werden? Mehr dazu in diesem Artikel:
Auf Basis welcher Rechtsgrundlage können Daten offengelegt werden?
Bekanntlich muss jede Form der Datenverarbeitung gerechtfertigt sein. So stellt sich auch beim Datenverarbeitungsvorgang “Due-Diligence-Prüfung” die Frage, welche Rechtsgrundlage (im Sinne des Art 6 respektive Art 9 DSGVO) die Offenlegung rechtfertigt.
Zunächst ist festzuhalten, dass der Rechtfertigungstatbestand der (vor-)vertraglichen Verpflichtung nach Art 6 Abs 1 lit b DSGVO nicht anwendbar ist, da die betroffenen Personen (Kunden, Mitarbeiter, Geschäftspartner) kein Vertragsverhältnis mit dem erwerbenden Unternehmen haben.
Vielmehr scheint die Datenverarbeitung auf Basis berechtigter Interessen nach Art 6 Abs 1 lit f DSGVO argumentierbar. Dieser Rechtfertigungstatbestand kann jedoch nur dann herangezogen werden, wenn die Interessenabwägung zu Gunsten der Unternehmen ausschlägt. Aus diesem Grund müssen:
- Die Daten entsprechend dem individuellen Bedarf beschränkt werden (Datenminimierung);
- Angemessene TOMs umgesetzt werden, hier insbesondere Vertraulichkeitsvereinbarungen abgeschlossen werden;
- Die betroffenen Personen – sofern möglich – informiert werden.
Praxis-Tipp: Aus dem zuletzt genannten Grund ist es gerade für Start-Ups sinnvoll, die Datenschutzerklärung (iSd Art 13 DSGVO) um den Verarbeitungszweck: “Datenübermittlung im Zuge von Unternehmenstransaktionen zum Zwecke der Evaluierung (Due-Dilgence) potentieller Übernahmerisiken” anzureichern.
Qualifikation der involvierten Unternehmen
Nachdem bei Unternehmenstransaktionen notwendigerweise auch personenbezogene Daten verarbeitet werden, stellt sich die Frage, wer Verantwortlicher (iSd Art 4 Z 7 DSGVO) einer Due-Diligence Prüfung ist.
Da die Due-Diligence-Prüfung im Interesse beider Unternehmen gelegen ist und kein Verhältnis der Weisungsbefugnis besteht, wird regelmäßig von einer gemeinsamen Verantwortung im Sinne des Art 26 DSGVO auszugehen sein.
Praxis-Tipp: Daher sollte bereits zu Beginn der Due-Diligence-Anbahnung eine Joint-Controllership-Vereinbarung nach Art 26 DSGVO abgeschlossen werden.
Wie sind die Daten im (virtuellen) Datenraum zu schützen?
Die Offenlegung von Daten im Zuge einer Due-Diligence-Prüfung erfolgt häufig in einem (virtuellen) Datenraum.
Bei der Einrichtung dieses Datenraumes ist das Augenmerk auf die erforderlichen technischen und organisatorischen Maßnahmen (TOMs iSd Art 32 DSGVO) zu legen. Konkrete diesbezügliche Maßnahmen können beispielweise sein:
- Abschluss einer Verschwiegenheitsverpflichtung;
- Protokollierung der Datenzugriffe;
- Verschlüsselung irrelevanter Daten;
- Integration eines Information-Rights-Managements;
- restriktiv konfigurierte Firewall;
- Definition eines maximalen Download-Volumens.
Wahrung von Geschäftsgeheimnissen
Selbstverständlich darf bei einer Due-Diligence-Prüfung der Blick nicht ausschließlich auf die Themen Datenschutz und Datensicherheit im Sinne der DSGVO gerichtet sein.
Bei Due-Diligence-Prüfungen ist es schließlich geradezu charakterisierend, dass Geschäftsgeheimnisse (iSd § 26b UWG) offengelegt werden. Diese müssen zwingend angemessenen Geheimhaltungsmaßnahmen unterworfen werden.
Praxis-Tipp: Die Offenlegung von Geschäftsgeheimnissen kann für Unternehmen mitunter ruinöse Konsequenzen haben. Demnach sollten die Verschwiegenheitsverpflichtungen (“NDA”) mit abschreckenden Pönalzahlungen im Falle eines Verstoßes ausgestattet werden.
Schließlich sollten, eben unter dem Gesichtspunkt der Vertraulichkeitsverpflichtung, etwaige Spezialgesetze wie die §§ 84 und 99 AktG für Vorstands- und Aufsichtsratsmitglieder auf dem Radar behalten werden.
Leseempfehlungen:
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörde betreffend Asset Deal
Dürager, Datenschutz in Unternehmenstransaktionen, Linde-Verlag
Blog-Übersicht