Due Diligence: Was müssen Unternehmen bei Unternehmenszusammenführungen (Mergers & Acquisitions) in Sachen Datenschutz und IT-Sicherheit beachten?
Die Begriffe Datenschutz und Due Diligence fallen häufig in dem Kontext, dass im Rahmen einer zu jeder M&A gehörenden Due Diligence wichtige und schützenswerte Daten des verkaufenden Unternehmens offengelegt und daher geschützt werden müssen. Ein durchaus auch von Juristen unterschätztes Risiko liegt in dem Kontext allerdings woanders, wie insbesondere das anhängige Bußgeldverfahren gegen die Hotelkette Marriott zeigt. Ihr droht wegen der vernachlässigten Prüfung der Einhaltung von Datenschutzrecht in einem gekauften Unternehmen nun ein Bußgeld in Höhe von 110 Millionen Euro.
Das Problem: Datenschutzrechtliche Risiken beim Target
Auch wenn die erwerbenden Unternehmen die eigene Einhaltung der datenschutzrechtlichen Anforderungen im Blick haben, prüfen sie dennoch regelmäßig nicht, ob das verkaufende Unternehmen (sog. Target) seinerseits die datenschutzrechtlichen Vorgaben einhält und die Anforderungen an die IT-Sicherheit sicherstellt bzw. in der Vergangenheit sichergestellt hat.
Dies kann jedoch schnell drastische Folgen in Form von Sicherheitslücken und datenschutzrechtlichen Risiken, aber auch einem erheblichen „eingekauften“ Bußgeldrisiko nach sich ziehen, für das der Erwerber haftet.
Das bei der britischen Datenschutzbehörde (ICO) anhängige Bußgeldverfahren gegen die Hotelkette Marriott ist ein Paradebeispiel für ein solches Versäumnis und deren Folgen: Satte 110 Millionen Euro Bußgeld drohen Marriott wegen einer Datenschutzpanne, die ihren Ursprung bei der Hotelkette Starwood hat. Hacker hatten sich nach bisherigen Erkenntnissen bereits im Jahr 2014 Zugang zu den IT-System von Starwood verschafft und konnten so auf dort gespeicherte Kundendaten zugreifen. Als Marriott im Jahr 2016 die Hotelkette Starwood erwarb, blieb dies wohl aufgrund fehlender Überprüfung der IT-Infrastruktur und eines unterbliebenen datenschutzrechtlichen Audits unerkannt. Neben dem Bußgeld, das Marriott nun droht, dürfte vermutlich auch der Kaufpreis angesichts der bestehenden Risiken und der mangelhaften IT-Sicherheit sowie Datenschutz-Compliance „zu hoch“ ausgefallen sein. Von dem bei Marriott eingetretenen einem erheblichen Image-Schaden ganz zu schweigen.
Dieses Beispiel zeigt recht deutlich, dass im Vorfeld von Unternehmenszusammenführungen (Mergers & Acquisitions) genau geprüft werden sollte, wie es um Datenschutz und IT-Sicherheit im zu übernehmenden Unternehmen steht.
Eine Prüfung des zu übernehmenden Unternehmens auf bestehende datenschutzrechtliche Risiken, Einhaltung der DSGVO und des BDSG sowie die Sicherheit der IT-Infrastruktur lässt sich ohne Weiteres in eine im Rahmen des Erwerbs stattfindende sog. „Due Diligence“ integrieren.
Risikominimierung: Der Garantienkatalog im Rahmen von M&A
Unternehmenszusammenführungen gehen mit hohen Investitionen einher. Aus diesem Grund prüft vor Abschluss des Kaufvertrags der Käufer im Rahmen einer sog. Due Diligence, auf was er sich einlässt. Beispielsweise: Wie sehen die genauen Umsatzzahlen des zu kaufenden Unternehmens aus? Wie viele Mitarbeiter hat es? Wie kann die zukünftige Entwicklung des Unternehmens vorhergesagt werden?
Im Rahmen der Legal Due Diligence werden die rechtlichen Aspekte des zu kaufenden Unternehmens anhand sog. Due Diligence Request Lists abgeprüft. Um sich gegen die bei der Prüfung festgestellten Risiken abzusichern, wird im Anschluss an die Due Diligence ein Garantienkatalog erstellt. Hier wird festgelegt, ob und wie der Verkäufer im Falle der Realisierung eines Risikos haften muss. Diese Garantien sind nicht nur für den Käufer, sondern auch für den Verkäufer von Bedeutung. In diesen kann festgelegt werden, dass der Verkäufer im Garantiefall zwar Schadenersatz zahlen, jedoch nicht einen Teil des Kaufpreises zurückerstatten muss.
Gerade für die Erstellung des Garantienkatalogs aber auch der Due Diligence Request List sollte auf die Expertise von Fachanwälten zurückgegriffen werden. Nur diese können etwaige Risiken in rechtlichen Spezialgebieten erkennen und deren Folgen ein- und abschätzen.
Datenschutzrecht als Teil der Legal Due Diligence
Der Fall Marriott hat deutlich gemacht, dass Datenschutzrecht im Rahmen einer Due Diligence geprüft werden sollte. Datenschutzrechtliche Risiken können sich an verschiedenen Stellen im zu erwerbenden Unternehmen verbergen und erheblichen Schaden anrichten.
Insbesondere folgende Fragen sollten daher im Rahmen der Due Diligence geklärt werden:
1. Passende Rechtsgrundlagen vorhanden?
Im Rahmen der datenschutzrechtlichen Due Diligence ist zu prüfen, ob das zu kaufende Unternehmen personenbezogene Daten aufgrund von (zutreffenden) Rechtsgrundlagen verarbeitet. Für den potenziellen Käufer könnten die Daten sonst „wertlos“ sein bzw. von diesem nur mit einem ganz erheblichen Bußgeldrisiko verarbeitet werden. So könnten beispielsweise zahlreiche E-Mail-Adressen von Kunden, die bislang Newsletter erhalten haben, aufgrund fehlender Einwilligung gelöscht werden müssen. Dies kann sich auf den Umsatz auswirken, da ein wichtiges Werbemittel wegfällt.
2. Werden die Grundsätze bei der Datenverarbeitung nach der DSGVO eingehalten?
Die DSGVO enthält einige Grundsätze, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. So besagt der Grundsatz der Zweckbindung, die Daten dürften nur zu dem oder den Zwecken genutzt werden, zu denen sie auch erhoben wurden. Nach dem Grundsatz der Richtigkeit muss zudem immer dafür gesorgt werden, dass die Daten auf dem neuesten Stand sind. Damit geht einher, dass sobald eine Unrichtigkeit festgestellt wird, die Daten gelöscht oder korrigiert werden müssen.
Insbesondere die Beachtung des datenschutzrechtlichen Grundsatzes der Integrität und Vertraulichkeit sollte im Rahmen der Due Diligence geprüft werden. Dieser schreibt die Gewährleistung der Sicherheit und des Schutzes der personenbezogenen Daten vor Verlust, Zugriff unbefugter Dritter sowie Zerstörung und Schädigung durch geeignete technische und organisatorische Maßnahmen vor. Gerade die Beachtung dieses Grundsatzes durch die Starwood Hotelkette hätte beim Kauf durch Marriott überprüft werden müssen. Dabei hätte die Sicherheitslücke im IT-System erkannt werden können.
3. Werden weitere wichtigen Pflichten nach der DSGVO beachtet
Verantwortliche müssen unter anderem durch technische und organisatorische Maßnahmen (TOMs) sicherstellen, dass Daten sicher verarbeitet werden. Dazu müssen beispielsweise dem neuesten Stand der Technik entsprechende IT-Systeme eingesetzt werden und technologische Entwicklungen verfolgt werden. Die zu treffenden Maßnahmen sind dabei unter anderem am Risiko der Datenverarbeitung zu orientieren, so sind bei der Verarbeitung sensibler Daten erhöhte Anforderungen zu beachten. Zu geeigneten TOMs zählen unter anderem die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
Des Weiteren kann ein Unternehmen die Pflicht treffen, mit einem anderen Unternehmen einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Das ist in den Konstellationen der Fall, in denen ein anderes Unternehmen weisungsgebunden mit einer datenverarbeitenden Dienstleistung beauftragt wird, z.B. beim Cloud Computing. Das Auftragsverarbeitungsverhältnis ist von gemeinsamer und getrennter Verantwortlichkeit abzugrenzen. Im Rahmen der Legal Due Diligence sollte daher geprüft werden, ob diese Abgrenzung zutreffend vorgenommen wurde oder fälschlicherweise kein AVV abgeschlossen wurde bzw. ein Vertrag über die Verarbeitung in Gemeinsamer Verantwortlichkeit (Joint Controllership Agreement) hätte abgeschlossen werden sollen.
Fazit: Mit der Bewältigung datenschutzrechtlicher Risiken wird der Unternehmenskauf zum Erfolg
Bußgeldverfahren als Folge von wirtschaftlich eigentlich erfolgsversprechenden Unternehmenskäufen können vermieden werden. Dazu gehört rechtlich gesehen aber auch die Prüfung von Datenschutzrecht im Rahmen der Legal Due Diligence. Der Fall Marriott hat deutlich gezeigt, welchen finanziellen und wirtschaftlichen Risiken durch eine gründliche rechtliche Beratung des kaufenden Unternehmens abgeholfen werden kann. Auf Datenschutzrecht spezialisierte Anwälte mit technischem Verständnis sollten dazu gründlich das zu kaufende Unternehmen auf die Einhaltung der Vorgaben der DSGVO und dem BDSG durchleuchten und im Hinblick auf die Gewährleistung der IT-Sicherheit prüfen.