DSGVO erschwert M&A-Prozesse

Die neue Datenschutzgrundverordnung stellt Unternehmen bei M&A-Deals vor ungeahnte Herausforderungen. Sie zwingt Käufer und Verkäufer zu einem erheblichen Mehraufwand und birgt diverse Stolpersteine. Vor gut 100 Tagen wurde die Europäische Datenschutzgrundverordnung (DSGVO) gemeinsam mit einem neuen deutschen Bundesdatenschutzgesetz wirksam. Mittlerweile zeigt sich, dass die weitreichende Gesetzesänderung auch klassische M&A-Prozesse auf den Prüfstand stellt. Tatsache ist, dass sich die Unternehmen bisher beispielsweise bei der Verarbeitung personenbezogener Daten im Rahmen der Due Diligence in einer rechtlichen Grauzone bewegten. Doch dies dürfte sich durch die DSGVO ändern.

Trotzdem gibt es bei der Einhaltung des Datenschutzes während laufender M&A-Deals noch viel Luft nach oben. M&A-Prozesse müssen datenschutzrechtlich stärker professionalisiert werden. Andernfalls drohten den Beteiligten bei Verstößen hohe Strafen. Verstöße gegen die DSGVO können mit Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens geahndet werden, je nachdem, welcher der beiden Beträge höher ist. Haftbar gemacht werden können all jene Verantwortlichen, die an der Verarbeitung personenbezogener Daten beteiligt sind. Dabei kann es sich sowohl um Verkäufer als auch um Kaufinteressenten handeln. Aber auch externe Beteiligte wie beispielsweise Datenraumanbieter können haftbar gemacht werden. Um die zum Teil weitreichenden Strafmaßnahmen zu umgehen, müssen Unternehmen einen erheblichen Mehraufwand betreiben. Tausende betroffene Personen müssen informiert und Due Diligence-Unterlagen häufig umfänglich geschwärzt werden. Zwar würde bei diesen Maßnahmen künftig Legal Tech unterstützen, jedoch ergeben sich auch hierbei Grenzen durch die DSGVO. Zudem ist mit Datenraumanbietern abzuklären, dass die neuen Vorgaben eingehalten werden und technische Vorkehrungen für Datenschutz und Datensicherheit getroffen wurden. Und es gibt auch eine strategische Falltür: In der Regel verlaufen M&A-Deals unter dem Deckmantel der Verschwiegenheit. Die neuen Anforderungen der DSGVO machen das nicht einfacher. Die größten Probleme ergeben sich aus dem gesetzlich geschaffenen Widerspruch zwischen neuen datenschutzrechtlichen Informationspflichten und dem Bedürfnis der Geheimhaltung von M&A-Transaktionen.

Bislang hat sich noch keine allgemeine Praxisanwendung herauskristallisiert, und damit ist in absehbarer Zeit auch nicht zu rechnen. Es werden vermutlich Jahre vergehen, bis eine verlässliche Behördenpraxis und Rechtsprechung existiert.

(Rechtsanwalt Burkhard C. Capell, Fachanwalt für Steuerrecht, Berlin)