Bei 70.000 Firmen steht jährlich die Unternehmensnachfolge an. Dies ist ein komplexer Vorgang. Es gilt viele und sehr unterschiedliche Fragen zu klären. Hier spielt auch der Datenschutz nach DSGVO eine besonders große Rolle. Denn möchte man den Kunden und Lieferantenbestand nutzen, so gilt es hier bereits frühzeitig eine entsprechende datenschutzrechtliche Einschätzung einzuholen – um zu erfahren welche Auswirkungen der Datenschutz auf die jeweilige Dealstruktur hat.
Im Rahmen von Unternehmenskäufen oder Unternehmensnachfolgen ist es wichtig, die rechtlichen und wirtschaftlichen Chancen sowie entsprechende Risiken der geplanten Transaktion einschätzen zu können. Hier gewährt der Verkäufer regelmäßig dem Erwerber Einblick in personenbezogene Daten, die für den Geschäftsbetrieb wesentlich sind. Dies sind meist Kunden, Lieferanten und Beschäftigtendaten. Der Erwerber hat zugleich ein wirtschaftliches Interesse daran, diese jeweiligen Daten künftig weiter zu nutzen. Dementsprechend müssen sich beide Parteien darüber bewusst sein, dass ihre Handlungen stets den datenschutzrechtlichen Vorschriften standhalten müssen.
Werden im Rahmen der Vertragsverhandlungen sowie der nachfolgenden Transkation personenbezogene Daten verarbeitet bedarf dies einer entsprechenden rechtlichen Grundlage. Entsprechend ist dies bei der vertraglichen Ausgestaltung zu berücksichtigen.
Due-Diligence-Prüfung
Wird im Vorfeld nun eine Due-Diligence-Prüfung (Risikoanalyse) durchgeführt, so ist dringlichst geraten die in diesem Rahmen bereitgestellten personenbezogenen Daten von Kunden, Lieferanten und Beschäftigten in anonymisierter bzw. pseudonymisierter Form zur Verfügung zu stellen. Es empfiehlt sich zugleich diese Daten nicht auf elektronischen Weg zu übermitteln, sondern in einem Raum innerhalb des Unternehmens zur Einsicht bereit zu stellen.
Ein weiterer wichtiger Aspekt ist die sogenannte Datenminimierung Art. 5 Abs. 1 lit. c DSGVO, welche verlangt nur das notwendige Maß an Daten zur Verfügung zu stellen.
Wird erwogen personenbezogenen Daten Kunden, Lieferanten und Beschäftigten in Rahmen der Risikoanalyse als Klardaten offen zu legen, so kann dies im Einzelfall nach Art. 6 Abs. 1 lit. b, Abs. 4 DSGVO auch ohne die Einwilligung der Betroffenen zulässig sein. Dies erfordert allerdings, dass der neue Zweck mit dem ursprünglichen vereinbar ist. Eins solche Zweckvereinbarung könnte beispielsweise eine geplante Fortführung des Unternehmens sein. Hier muss allerdings der Nachweis erfolgen, dass es sich bei diesen Daten um wesentliche Vermögensgegenstände der neuen Gesellschaft handelt und ohne diese eine Fortführung des Unternehmens nicht möglich wäre. Ein entsprechendes Vorliegen der Voraussetzungen müssen die Vertragsparteien allerdings nachweisen können und mögliche negative Folgen für die Betroffenen müssen durch entsprechende technisch sowie organisatorische Maßnahmen und etwaige vertraglich geregelte Geheimhaltungsvereinbarungen auf ein Minimum beschränkt werden.
Fortsetzung folgt…