Im Rahmen einer Due Diligence-Prüfung zur Vorbereitung eines Unternehmensverkaufs oder Börsengangs ist die Verarbeitung personenbezogener Daten regelmäßig unumgänglich. Dabei stellt sich die zentrale Frage: Überwiegt das Transparenzinteresse von Käufer und Verkäufer an einer umfassenden Offenlegung oder das Schutzinteresse der betroffenen Personen?
Mit der Veröffentlichung ihrer Leitlinien zur datenschutzkonformen Durchführung von Due Diligence-Prüfungen betont die Liechtensteinische Datenschutzstelle die Notwendigkeit einer sorgfältigen Abwägung dieser widerstreitenden Interessen.
Welche Daten werden bei einer Due Diligence-Prüfung verarbeitet?
Bei einer Due Diligence-Prüfung werden regelmäßig personenbezogene Daten von Mitarbeitenden und Beschäftigten sowie von Geschäftsführung, Vorstand und Management verarbeitet. Darüber hinaus können auch Kunden- und Lieferantendaten Gegenstand der Prüfung sein. Insbesondere Datensätze von Mitarbeitenden und Kunden können umfangreiche personenbezogene Informationen wie Geburtsdaten, Funktionsbezeichnungen oder Vergütungsangaben enthalten.
Vor diesem Hintergrund stellt sich die Frage, ob das Interesse der Kaufinteressenten und des veräußernden Unternehmens an einer transparenten Offenlegung der wertbildenden Unternehmensbestandteile überwiegt oder ob der Schutz der personenbezogenen Daten vorrangig ist. Die Leitlinien der liechtensteinischen Datenschutzstelle geben hierzu Orientierung.
Grundsatz der Datenminimierung als zentrale Anforderung
Als zentrale Leitmaxime hebt die Datenschutzstelle den Grundsatz der Datenminimierung und Verhältnismäßigkeit gemäß Art. 5 Abs. 1 lit. c DSGVO hervor.
Personenbezogene Daten dürfen nur insoweit offengelegt werden, als dies für die Due Diligence-Prüfung erforderlich und verhältnismäßig ist. Wo möglich, sollten Daten anonymisiert oder aggregiert werden, da statistische Kennzahlen häufig für die Bewertung ausreichen. Verantwortliche haben sicherzustellen, dass die Offenlegung personenbezogener Daten auf das unerlässliche Maß beschränkt bleibt und die datenschutzrechtlichen Anforderungen jederzeit gewahrt werden.
Berechtigtes Interesse als Rechtsgrundlage
Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Bei einer Due Diligence-Prüfung kommt regelmäßig das berechtigte Interesse des veräußernden Unternehmens gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Voraussetzung ist eine sorgfältige Interessenabwägung im konkreten Einzelfall. Das berechtigte Interesse ist nur dann eine tragfähige Rechtsgrundlage, wenn die Verarbeitung zur Wahrung dieses Interesses erforderlich ist und die schutzwürdigen Interessen der betroffenen Personen nicht überwiegen. Unternehmen sind daher verpflichtet, vorab eine dokumentierte Interessenabwägung vorzunehmen.
Negative Interessenabwägung: Anonymisierung oder Pseudonymisierung
Fällt die Interessenabwägung zulasten des Verantwortlichen aus, sind geeignete Maßnahmen zu ergreifen. Hierzu zählen insbesondere die Anonymisierung, Aggregierung oder Pseudonymisierung der Daten. Alternativ kann eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO eingeholt werden.
Durch eine Pseudonymisierung kann das Risiko für betroffene Personen reduziert und die Interessenabwägung zugunsten des Verantwortlichen beeinflusst werden. Zu beachten ist jedoch, dass auch pseudonymisierte Daten personenbezogene Daten im Sinne der DSGVO bleiben.
Transaktionsstruktur als entscheidender Faktor
Datenschutzrechtlich ist zu differenzieren, ob der Due Diligence ein Share Deal oder ein Asset Deal zugrunde liegt.
Bei einem Asset Deal kann es im Zuge der Übertragung von Vermögensgegenständen zu einem Wechsel der Verantwortlichkeit kommen. In diesem Fall sind insbesondere die Rechtsgrundlagen der Datenübermittlung sowie die Transparenzpflichten zu prüfen. Bei der Übertragung von Kundenstämmen sind die Informationspflichten gegenüber den betroffenen Personen zu beachten. Der neue Verantwortliche hat in diesem Fall die Betroffenen gemäß Art. 13 und 14 DSGVO zu informieren.
Beim Share Deal hingegen werden lediglich Gesellschaftsanteile übertragen, sodass kein Wechsel des Verantwortlichen stattfindet. Eine Anpassung der datenschutzrechtlichen Informationen ist insoweit grundsätzlich nicht erforderlich.
Fazit
Die Leitlinien der Liechtensteinischen Datenschutzstelle schaffen Klarheit über die wesentlichen datenschutzrechtlichen Anforderungen im Rahmen von Due Diligence-Prüfungen.
Zentral ist die sorgfältige Abwägung der Interessen des veräußernden Unternehmens und der Kaufinteressenten mit den Schutzinteressen der betroffenen Personen. Die Verarbeitung personenbezogener Daten sollte möglichst vermieden oder auf das notwendige Maß reduziert werden. Vorrangig sind aggregierte oder anonymisierte Daten zu verwenden. Alternativ sollte zumindest eine Pseudonymisierung erfolgen. Dabei bleibt zu berücksichtigen, dass auch pseudonymisierte Daten dem Anwendungsbereich der DSGVO unterfallen. Gleichwohl kann eine Risikoreduzierung durch geeignete Maßnahmen die Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO beeinflussen.
Für Unternehmen ergeben sich hieraus konkrete organisatorische und rechtliche Anforderungen, die frühzeitig in der Transaktionsplanung zu berücksichtigen sind.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
