M&A: der internationale Unternehmenskauf im Lichte der neuen Datenschutzgrundverordnung von 2018
Adriana Grau, LL.M.
Im Mai 2018 tritt die neue europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Ihr Ziel ist es, einen weitestgehend einheitlichen Datenschutz innerhalb der Europäischen Union zu verwirklichen. Bislang galt in Deutschland - neben verschiedenen Spezialgesetzen - das nationale
Bundesdatenschutzgesetz. Wie auch die DSGVO schützt das BDSG die Daten von natürlichen Personen (im Gesetz den sog. „Betroffenen“), sei es im Rahmen von B2C oder B2B. Das BDSG bleibt als Bundesgesetz weiterhin wirksam. Anwendungsvorrang genießt jedoch die DSGVO. Zum Zwecke der Rechtseinheit wird der Gesetzgeber Anpassungen am BDSG vornehmen.
Hierzu wurde bereits ein Datenschutz-Anpassungs-und-Umsetzungsgesetz (DSAnpUG) verabschiedet, das zeitgleich in Kraft tritt. Nun sind also Unternehmen an der Reihe, ihre Verträge und Arbeitsweisen der DSGVO ent-sprechend auszurichten, um keine Bußgelder für eine verspätete Umsetzung der neuen Vorgaben zu riskieren. Denn die neuen Regelungen sehen eine Stärkung von Rechten und Kontrollmöglichkeiten der Betroffenen vor.
Dies bedeutet, dass alle natürlichen Personen, deren Daten von einem Unternehmen gespeichert, verwendet oder genutzt werden, Auskunft und unter Umständen Schadensersatz zusteht, Art. 82 DSGVO. In der Praxis führt das dazu, dass Unternehmen Daten von Endverbrauchern, aber auch von Mitarbeitern oder Vertragspartnern nur auf eine Art und Weise speichern und verwen-den dürfen, die der neuen Verordnung entspricht. Zukünftig müssen europaweit alle Betroffe-nen darauf hingewiesen werden, dass ihre Daten aufgenommen werden und ohne deren Zustimmung nicht weitergegeben werden dürfen.
Diese Vorgaben sind auch bei gesellschaftsrechtlichen Umstrukturierungen und Übernahmen zu beachten - und zwar europaweit. Betrachtet man die grenzüberschreitende Übernahme eines Unternehmens, so werden bereits im Rahmen der due-diligence-Prüfung Aspekte wie Mitarbeiterdaten genau analysiert. Solange diese persönlichen Daten nicht anonymisiert sind, ist ihre Verwendung grundsätzlich unzulässig. Doch auch bei der späteren Transaktion selbst stellt sich die Frage, welche Auswirkungen der neue Datenschutz auf laufende Verträge und Kundendaten hat. Eine internationale Übernah-me eines Unternehmens geschieht gewöhnlich durch einen Share- oder Asset-Deal. Auch hier muss beachtet werden, dass der Erwerber eines Unternehmens persönliche Daten der Betroffenen nicht ohne ihr Einverständnis speichern oder verwenden darf. Ändert sich der Vertragspartner einer betroffenen Person im Rahmen einer Umstrukturierung oder eines Unternehmenskaufs, ist es grundsätzlich erforderlich, dass die datenschutzrechtlich betroffene Person hier von Kenntnis erhält. Datenschutzrechtlich unbedenklich ist hierbei der Unternehmenskauf in Form des Share-Deals. Hierbei erwirbt das kaufende Unternehmen die Firmenanteile des verkaufenden Unternehmens. Dadurch rückt es in die Position des Verkäufers ein. Für Mitarbeiter, Kunden oder Lieferanten ergeben sich hieraus keine Einschnitte in deren Rechte. Denn der ursprüng-liche Vertragspartner, nämlich das angekaufte Unternehmen, bleibt deren Vertragspartner.
Es verändert sich lediglich der Eigentümer der Unternehmensanteile und nicht das Unternehmen selbst. Anders verhält es sich hingegen beim Asset-Deal. Hierbei werden die Wirtschaftsgüter des verkaufenden Unternehmens, also die sog. Assets, einzeln erworben und auf das kaufende Unternehmen übertragen. Da dies im Wege der Einzelrechtsnachfolge geschieht, ändert sich bei einem Asset-Deal der Vertragspartner der Kunden, Mitarbeiter- oder Lieferanten.
Bereits im Hinblick auf Verträge ist nach deutschem Recht gemäß § 415 BGB die Zustimmung zur Vertragsübernahme erforderlich. Diese gesetzliche Wertung findet sich nun auch in der DSGVO wieder. Werden datenschutzrechtlich relevante Daten käuflich erworben, ist zu klä-ren, ob ihrer Speicherung und weiteren Verwendung durch den Betroffenen zugestimmt wer-den muss, Art. 7 DSGVO.
Hierbei ist nach der DSGVO zu unterscheiden, ob es sich um Daten handelt, die der Vertragserfüllung dienen oder Daten, die darüber hinausgehen oder gar einem anderen Zweck (z.B. Werbezweck) dienen. Handelt es sich für die zur Vertragserfüllung notwendigen Daten (Name, Anschrift, Geburtsdatum oder ähnliches), so wird aufgrund der Zustimmungspflicht für die Vertragsübernahme nach § 415 BGB regelmäßig die Speicherung und Verwendung der Daten erlaubt sein.
Demgegenüber sind darüber hinausgehende Informationen wie beispielsweise Kundenprofile zum Einkaufsverhalten, private Emailadressen oder ähnliches, nicht von der gesetzlichen Erlaubnis der DSGVO gedeckt. Nach Ansicht von Datenschutzbehörden ist in diesen Fällen die sog. Widerspruchslösung anzuwenden. Das bedeutet, dass Kunden innerhalb einer angemessenen Frist zu einem Widerspruch aufzufordern sind, sofern sie mit der Datenüber-mittlung nicht einverstanden sind. Besondere Achtsamkeit müssen Unternehmen bei der Auftragsdatenverarbeitung walten lassen. Werden im Rahmen von Unternehmenskäufen auch Verträge mit Unternehmen über-nommen, die nicht zu eigenen Geschäftszwecken, sondern aus Auftrag Daten von Dritten speichern oder verarbeiten, so ist gesetzlich ein Vertrag vorgeschrieben, der den Umfang und die Dauer der Datenspeicherung konkretisiert sowie ein entsprechendes Schutzniveau ge-währleistet, Art. 28 DSGVO. Insgesamt ist zu sagen, dass Unternehmen aufgrund des vereinheitlichten Datenschutzes nunmehr bei internationalen Unternehmenskäufen darauf achten sollten, welche Daten sie hierdurch erwerben und weiterverwenden. Die bereits geschlossenen Altverträge bergen in sich das Risiko, nicht mit der Datenschutzverordnung übereinzustimmen. Es sollten daher entsprechende Einverständniserklärungen der Betroffenen eingeholt bzw. in neu zu schlie-ßende Arbeits- und Lieferantenverträge eingearbeitet werden. Denn bei Verstößen gegen die DSGVO drohen Bußgelder bis zu 20 Mio. EUR oder auch in Höhe von 4% des weltweiten Jahresumsatzes eines Unternehmens, Art. 83 DSGVO.
Autorin:
Adriana Grau, LL.M.
Rechtsanwältin in Intellectual Property Law
Geschäftsführende Partnerin Grau Rechtsanwälte LLP
Fachanwältin für gewerblichen Rechtsschutz Fachanwältin für Handels- und Gesellschaftsrecht Datenschutzbeauftragter (TÜV)
GRAU Rechtsanwälte LLP ist eine international ausgerichtete Rechtsanwaltskanzlei mit wirt-schaftsrechtlicher Ausrichtung und Sitz in Hamburg.
Die Schwerpunkte unserer Beratungstä-tigkeit liegen im Handels- und Gesellschaftsrechts sowie im Gewerblichen Rechtschutz. Wir beraten mittelständische und Großunternehmen national und international. Zu unserem Man-dantenkreis zählen unter anderem zahlreiche ausländische Unternehmen, die ihre Produkte in Deutschland vermarkten und vertreiben oder in den deutschen Markt eintreten wollen.
GRAU Rechtsanwälte LLP
Rödingsmarkt 20
20459 Hamburg
Tel.: +49 40 180 364 020
Fax: +49 40 180 364 022
E-Mail: office@graulaw.eu
Internet: www.graulaw.eu
www.grauinkasso.eu
Weitere Publikationen:
Neues Datenschutzrecht für Unternehmen
Transport- und Speditionsunternehmen: Abrechnung im Gutschriftverfahren
Publikationen zum Thema
Adriana Grau LL.M.