Transaktionsrelevante Dokumente, die dem Interessenten während der Due Diligence (kurz: DD) in einem elektronischen Datenraum zur Verfügung gestellt werden, enthalten oft personenbezogene Daten (z.B. in Form Beschäftigten-, Kunden- und/oder Lieferantendaten). Dabei stellt sich die Frage, ob und in welchem Umfang geschwärzt werden muss. Dieser Beitrag umreißt, was bei dem Umgang mit personenbezogenen Daten im DD-Prozess zu beachten ist und gibt einen kurzen Überblick über wichtige Merkposten und To Dos.

1. Datenschutzrechtliches Verhältnis zwischen Käufer und Verkäufer

Noch bevor dem Kaufinteressenten personenbezogene Daten überlassen werden, ist die datenschutzrechtliche Beziehung zwischen Verkäufer- und Käuferseite zu klären. In der Regel sind sie datenschutzrechtliche gemeinsam verantwortlich. Dies bedeutet, dass es einer schriftlichen Vereinbarung bedarf, in der insbesondere Fragen der Transparenz gegenüber den betroffenen Personen zu regeln sind (Art. 26 Abs. 1 DS-GVO). Diese Vereinbarung kann in übliche Geheimhaltungsvereinbarungen oder den Letter of Intent integriert werden.

Vor dem Datentransfer ist außerdem zu berücksichtigen, dass technische Dienstleister wie Datenraumbetreiber oder Legal-Tech-Plattformen datenschutzrechtlich als Auftragsverarbeiter einzustufen sind. Mit ihnen sind Verträge zu schließen, die insbesondere Klauseln zur Datensicherheit umfassen. Professionelle Transaktionsplattformen bieten in der Regel eine hinreichende vertragliche Grundlage. Beim Einsatz von Freeware ist Vorsicht geboten.

Merke: Es sind schriftliche Vereinbarungen über die gemeinsame datenschutzrechtliche Verantwortlichkeit und die Zusammenarbeit mit technischen Dienstleistern erforderlich.

2. Zulässigkeit der Datenverarbeitung im DD-Prozess

Von zentraler Bedeutung ist die Frage, ob und in welchem Umfang die Verkäuferseite dem Kaufinteressenten personenbezogene Daten zugänglich machen darf. Eine Rechtfertigung kommt allein über den Tatbestand der Interessenabwägung in Betracht (Art. 6 Abs. 1 S. 1 lit. f DS-GVO). Danach ist eine Übermittlung zulässig, wenn sie zur Wahrung berechtigter Interessen der Transaktionsbeteiligten erforderlich ist und nicht die schutzwürdigen Interessen der Betroffenen an einem Ausschluss des Transfers überwiegen. Die Veräußererseite kann das Interesse, durch die Informationspreisgabe einen möglichst hohen Kaufpreis zu erzielen, in die Waagschale werfen. Der potenzielle Erwerber ist daran interessiert, potenzielle Risiken zu überblicken. Auf der Gegenseite steht das Interesse der betroffenen Beschäftigten an der Geheimhaltung ihrer Daten.

Bestimmte Informationen über Vorstände und Geschäftsführer (z.B. zur jährlichen Vergütung oder etwaigen nachvertraglichen Wettbewerbsverboten) sind für den Kaufinteressenten meist so wichtig, dass seine Interessen die Geheimhaltungsinteressen der betroffenen Personen überwiegen. Dasselbe dürfte für Informationen über leitende Angestellte bzw. Angestellte mit Schlüsselfunktionen gelten. Dagegen ist die Identität anderer Mitarbeiter in der Regel irrelevant für die Unternehmensbewertung. Sofern aufgrund der Vielzahl der Mitarbeiter in einer Abteilung die Identifizierung einzelner Personen ausgeschlossen werden kann, genügt es für die Anonymisierung, (ohnehin nebensächliche) Informationen wie Namen und Adressdaten zu schwärzen. Informationen zum Alterssegment, Gehalt und bestehenden Pensionsansprüchen dürfen in der Regel übermittelt werden. Sofern die Dokumente zu Kunden und Lieferantenbeziehungen überhaupt personenbezogene Daten enthalten, sollten diese geschwärzt werden.

Merke: In jeder Phase der Transaktion ist zu untersuchen, ob die Übermittlung der personenbezogenen Daten tatsächlich erforderlich ist. Falls nein: Anonymisierung!

3. Problem: Informationspflichten gegenüber Betroffenen

Selbst wenn die Interessenabwägung zugunsten einer Datenpreisgabe ausfällt, gilt der Grundsatz, dass Betroffene zuvor über dieselbe informiert werden müssen. Dies aber läuft den Interessen der Transaktionsparteien zuwider, die in der Regel verhindern wollen, dass ihre Absichten bekannt werden.

Daher wird vertreten, über die Vorschriften des Art. 14 Abs. 5 lit. b DS-GVO und § 29 Abs. 1 S. 1 BDSG Ausnahmen von den Informationspflichten zuzulassen. Art. 14 Abs. 5 lit. b DS-GVO greift, wenn durch die Pflichterfüllung die Verwirklichung der Ziele der Offenlegung unmöglich gemacht oder ernsthaft beeinträchtigt werden. § 29 Abs. 1 S. 1 BDSG ist einschlägig, wenn durch die Pflichterfüllung Informationen offenbart würden, die wegen überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen.

Die Anwendbarkeit dieser Ausnahmeregelungen ist umstritten und eine Ausnahme von der Pflicht zur Vorab-Information jedenfalls von einer einzelfallbezogenen Begründung abhängig.

Merke: Sicherheit besteht nur, wenn die betroffenen Personen vor der Weitergabe über dieselbe (und ihr diesbezügliches Widerspruchsrecht) informiert werden. Dies könnte etwa durch transaktionsunabhängige Datenschutzerklärungen oder einen Passus in den Arbeitsverträgen erfolgen. Sollen personenbezogene Daten ungeschwärzt und ohne vorherigen Hinweis geteilt werden, sind die Hintergründe dieser Entscheidung detailliert zu begründen und zu dokumentieren.

4. Fazit

Bis zur Klärung der derzeit offenen Rechtslage ist Unternehmen zu raten, den Austausch von personenbezogenen Daten im Rahmen der DD auf das absolute Minimum zu begrenzen. Sollten bestimmte Informationen für den Kaufinteressenten von außerordentlichem Interesse sein oder bestimmte Dokumente aufgrund der Vielzahl von Schwärzungen nicht den gewünschten Mehrwert erzielen, ist Rücksprache mit den transaktionsbegleitenden Anwälten zu halten und eine mögliche Rechtfertigungsstrategie zu erarbeiten.