Die Komplexität von Unternehmenstransaktionen, sei es durch Share Deals (Anteilserwerb) oder Asset Deals (Übertragung von Wirtschaftsgütern), erfordert eine gründliche rechtliche und wirtschaftliche Analyse. Datenschutz spielt hierbei eine massgebliche Rolle, da potenzielle Käufer:innen bei Transaktionen, die hohe Investitionen erfordern, das «Produkt» genau kennen müssen, um unsichere Investitionen zu vermeiden. Dieser Analyseprozess umfasst sämtliche Aspekte, von wirtschaftlichen bis zu steuerlichen und finanziellen Belangen, wobei auch personenbezogene Daten, wie Angaben zu Mitarbeiter:innen und Kund:innen, eine zentrale Rolle spielen.

Die Einholung von Einwilligungen stellt eine mögliche Absicherung im Umgang mit Daten jeglicher Art dar, jedoch ist dies im Bereich von M&A oft unpraktikabel angesichts des steigenden Verwaltungsaufwands und der Möglichkeit des jederzeitigen Widerrufs. Abstrakte Vorab-Einwilligungen über Arbeitsverträge sind gemäss geltendem Recht grösstenteils unwirksam. Daher greifen Beteiligte von Unternehmenskäufen häufig auf die Alternative der "berechtigten Interessen" zurück, wobei die Abwägung dieser Interessen je nach Phase der Transaktion variiert.

Um den Interessen der Unternehmer:innen gerecht zu werden, werden spezifische Vorkehrungen getroffen: Der Datenaustausch erfolgt nur im minimal erforderlichen Umfang, begleitet von Vertraulichkeitsvereinbarungen zwischen den Parteien und der Gewährleistung hinreichender Sicherheit durch technische und organisatorische Massnahmen. Trotz dieser Massnahmen stossen die Informationspflichten des Verantwortlichen oft mit den Geschäftsinteressen zusammen. Gemäss Art. 13 Abs. 3 DSGVO ist der Verantwortliche verpflichtet, die Betroffenen vor der Weiterverarbeitung über den geänderten Zweck zu informieren, wobei diese Anforderungen sich mit den Geheimhaltungspflichten und dem Vertraulichkeitsinteresse der beteiligten Unternehmen überschneiden können, besonders da Unternehmenskäufe vertraulich und unter Ausschluss der Öffentlichkeit vorbereitet werden.

Eine erfolgreiche Planung von Unternehmenskäufen unter Berücksichtigung der DSGVO erfordert eine strukturierte und umfassend dokumentierte Vorgehensweise. Jede Phase der Transaktion sollte gewissenhaft protokolliert und von erfahrenen Berater:innen begleitet werden, um das Risiko von Bussgeldern zu minimieren. Die strikte Einhaltung der DSGVO ist von entscheidender Bedeutung, da Verstösse zu erheblichen finanziellen und rechtlichen Konsequenzen führen können, die den Erfolg einer Unternehmensübernahme gefährden könnten.

Besondere Beachtung verdienen insbesondere die Daten von Kund:innen, die mittlerweile als wertvolle Vermögenswerte für potenzielle Käufer:innen angesehen werden. Oft stellt der Kundenstamm das wertvollste Kapital eines Unternehmens dar und muss daher im Rahmen von Unternehmenskäufen besonders berücksichtigt werden.

Eine der grundlegenden Phasen bei Unternehmenskäufen ist die Due Diligence, in der das Zielunternehmen einer umfassenden Prüfung unterzogen wird. Neben wirtschaftlichen und rechtlichen Aspekten müssen hier auch mögliche Verstösse gegen die Datenschutzgrundverordnung (DSGVO) analysiert und bewertet werden. Diese können erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen.

Während des gesamten Transaktionsprozesses ist eine rechtskonforme Verarbeitung personenbezogener Daten von grösster Bedeutung. Gemäss der DSGVO muss jede Verarbeitung auf einer gültigen Rechtsgrundlage basieren, sei es durch Einwilligung der betroffenen Personen oder durch ein berechtigtes Interesse gemäss Artikel 6. Verstösse gegen die DSGVO können mit erheblichen Geldbussen geahndet werden, weshalb eine sorgfältige Risikobewertung unerlässlich ist.

Die Wahl zwischen einem Share Deal und einem Asset Deal hat Auswirkungen auf die Datenschutzstrategie. Während beim Share Deal Anteile erworben werden, werden beim Asset Deal einzelne Wirtschaftsgüter übertragen. Die Datenschutzstrategie muss jeweils an die gewählte Transaktionsform angepasst werden, um die datenschutzrechtlichen Anforderungen zu erfüllen.

Die Unternehmenstransaktion durchläuft mehrere Phasen, von der Due Diligence über die Vertragsverhandlungen bis zum Abschluss (Closing) des Vertrags. In jeder dieser Phasen müssen die Vertragsparteien sicherstellen, dass die Verarbeitung personenbezogener Daten auf einer gesetzlich abgesicherten Grundlage erfolgt. Eine umfassende Dokumentation gemäss der DSGVO, insbesondere Artikel 24 und 32, ist unerlässlich.

Die Abwägung der Informationspflichten mit den Vertragsinteressen ist eine zentrale Herausforderung während der Due Diligence. Hierbei muss die Zweckkompatibilität gemäss Art. 6 Abs. 4 DSGVO berücksichtigt werden, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.

Um den Datenschutz während der Due Diligence zu gewährleisten, ist es ratsam, im Voraus ein Datenschutzkonzept festzulegen. Dies beinhaltet die Implementierung technischer und organisatorischer Massnahmen, um die Sicherheit und Integrität personenbezogener Daten gemäss den Anforderungen der DSGVO zu gewährleisten.

In Anbetracht der komplexen datenschutzrechtlichen Anforderungen bei Unternehmenskäufen ist es entscheidend, dass jede Vertragspartei klare Vorstellungen zur Datenverarbeitung entwickelt und diese in schriftlichen Vereinbarungen festhält. Nur so können potenzielle Risiken minimiert und der Datenschutz während der gesamten Transaktion gewährleistet werden.

In der Welt der Unternehmensübernahmen (Mergers & Acquisitions, M&A) ist die Bewahrung der Vertraulichkeit und der Abschluss entsprechender Vereinbarungen von entscheidender Bedeutung. Geschäftsführer:innen und Vorstände müssen gegenüber den Gesellschafter:innen und Anteilseigner:innen der beteiligten Unternehmen strikte Verschwiegenheit wahren. Sensible Geschäftsdaten dürfen ohne interne Ermächtigung nicht im Datenraum bereitgestellt oder potenziellen Käufer:innen offengelegt werden.

Vor jeglichem Gespräch oder Informationsaustausch schliessen die Geschäftsführer:innen und Vorstände eine Geheimhaltungsvereinbarung ab, insbesondere in Bezug auf die Geschäftsgeheimnisse der Zielgesellschaft. Diese Vereinbarung definiert klar den Personenkreis, der Zugang zu vertraulichen Informationen erhält, und legt gegebenenfalls separate Vertraulichkeitsverpflichtungen fest.

Im Rahmen von M&A-Transaktionen liegt keine Auftragsverarbeitung gemäss Art. 28 der Datenschutz-Grundverordnung (DSGVO) vor, da es an Weisungsbefugnis mangelt. Es wird jedoch geprüft, ob eine gemeinsame Verantwortlichkeit gemäss Art. 26 Abs. 1 DSGVO vorliegt, basierend auf einem gemeinsamen Entschluss über Zweck und Mittel der Datenverarbeitung.

Die Datenverarbeitung gemäss DSGVO beginnt bereits mit der Aufbereitung personenbezogener Daten für den Datenraum, unabhängig davon, ob diese elektronisch oder physisch strukturiert sind. Vor der Datenbereitstellung wird sorgfältig geprüft, ob eine ausreichende Rechtsgrundlage gemäss Art. 6 DSGVO vorliegt und den betroffenen Personen gemäss Art. 26 Abs. 2 DSGVO die Funktionen und Beziehungen der gemeinsamen Verantwortlichen offengelegt wurden.

Die Rechtmässigkeit der Datenverarbeitung ist von zentraler Bedeutung beim Unternehmenskauf. Drei relevante Rechtsgrundlagen der DSGVO sind zu beachten, wobei Art. 6 Abs. 1 Satz 1 lit. f DSGVO am häufigsten Anwendung findet:

Art. 6 Abs. 1 Satz 1 lit. a DSGVO:

Einwilligung ist oft nicht praktikabel für zukünftige Transaktionen. Das Einholen von Einwilligungen von vielen Personen ist aufgrund der Vertraulichkeit von Due Diligence nicht umsetzbar.

Abs. 6 Abs. 1 Satz 1 lit. b DSGVO:

Diese Grundlage greift selten, da die Offenlegung im M&A-Prozess nicht zur Vertragserfüllung mit der betroffenen Person erfolgt.

Art. 6 Abs. 1 Satz 1 lit. f DSGVO:

Diese Grundlage ist in den meisten Fällen massgeblich. Käufer:innn und Verkäufer:innen haben ein berechtigtes Interesse an der Transaktion, wie z.B. die Steigerung der Wettbewerbsfähigkeit.

Asset oder Share Deal?

Je nach Transaktionsmodell (Asset oder Share Deal) haben Käufer:innen und Verkäufer:innen Informationspflichten gegenüber den betroffenen Personen:

Share Deal:

Hier bleibt der ursprüngliche Verantwortliche bestehen, und eine Informationspflicht entfällt.

Asset Deal:

Beim Asset Deal ändert sich der Verantwortliche, und eine neue Rechtsgrundlage für die Datenverarbeitung ist erforderlich.

Zeitpunkt der Datenverarbeitung und Informationspflichten

Bei der Interessenabwägung gemäss Art. 6 Abs. 1 Satz 1 lit. f DSGVO ist der Zeitpunkt der Datenverarbeitung entscheidend (vor Signing, zwischen Signing und Closing, nach Closing) sowie der Umfang und die Zugriffsberechtigungen zu den Daten.

Informationspflichten nach Art. 13 DSGVO und 14 DSGVO sind zu beachten, insbesondere bei direkter und indirekter Erhebung personenbezogener Daten im Rahmen einer Unternehmensübernahme. Die Auswahl und Aufbereitung der Daten im Datenraum sollten sorgfältig erfolgen, um den Grundsatz der Datenminimierung zu beachten und nur relevante Daten für die Transaktion bereitzustellen.