Beisel, Beck’sches Mandatshandbuch Due Diligence, S. 10f., beschreibt die in der Praxis denkbaren Arten der Due Diligence, unterteilt in Legal, Tax, Financial, Commercial, Environmental, Technical und Cultural Due Diligence. 17 Vergleiche hierzu Rn. 15ff. 18 Hierzu Rn. 19ff. 19 So beispielsweise bezeichnet von Werner, jM 2017, 222, 223. In der Praxis verwendet wird allerdings auch der Begriff der Reverse- oder der Pre-Sale Due Diligence. 20 Verneinend OLG Düsseldorf, Urt. v. 16.6.2016 – ZIP 2016, 2363, 2371. 21 Beispielhaft OLG Köln, Urt. v. 16.12.2020 – BB 2021, 211, 212. 22 Zumeist stünden einer Verpflichtung bereits formelle Bedenken entgegen (z.B. Beurkundungserfordernis gemäß § 15 Abs. 3 GmbHG für Geschäftsanteile, § 311b BGB für Verträge über Grundstücke, das Vermögen und den Nachlass). 23 Unter Verweis darauf, dass die Folgen zumeist den potenziellen Käufer träfen. 24 Nach der höchstrichterlichen Rechtsprechung ist die Vertragsstrafe zu bestimmen nach Art und Größe des Unternehmens, dessen finanzieller Leistungsfähigkeit und der Wettbewerbsposition am Markt, dessen Umsatz, der Schwere und dem Ausmaß der Zuwiderhandlung, deren Gefährlichkeit für den Gläubiger, dem Verschulden des Verletzers sowie dessen Interesse an weiteren gleichartigen Begehungshandlungen (beispielhaft Brandenburgisches Oberlandesgericht, Urt. v. 18.2.2020 – juris, Rn. 60). 25 Wählt man den Terminus „Landgericht“ würde, ungeachtet des Verstoßes, allein die Zuständigkeitsschwelle dazu führen, dass eine Vertragsstrafe von über 5.000,00 EUR zu zahlen ist.
III. Allgemeines zum Datenschutzrecht
19
Seit dem 25.5.2018 gilt die DSGVO. Das Datenschutzrecht wurde mit der Verordnung jedoch, anders als die Überschriften unzähliger Medienberichte damals vermuten ließen, nicht neu erfunden. Es handelt sich beim europäischen Datenschutzrecht vielmehr um ein über Jahrzehnte gewachsenes Regelungssystem,26 dessen evolutiver Entwicklungsprozess in der DSGVO nunmehr seinen aktuellsten Stand gefunden hat.
20
Den Ausgangspunkt jeglicher datenschutzrechtlicher Vorschriften bietet seit jeher das europäische Primärrecht. Dort haben Art. 8 Grundrechtecharta und Art. 16 AEUV den Schutz personenbezogener Daten zum Inhalt. So wurde vor Einführung der DSGVO das Datenschutzrecht im Rahmen mitgliedstaatlicher Vorschriften auf Grundlage der RL 95/46/EG (EG-Datenschutzrichtlinie)27 normiert. Wenngleich der europäische Datenschutz nunmehr als EU-Verordnung geregelt ist, bleiben die datenschutzrechtlichen Grundprinzipien weitgehend unverändert.28 Ein Unterschied besteht jedoch darin, dass das europäische Datenschutzrecht als EU-Verordnung in jedem Mitgliedstaat unmittelbare Anwendung findet. Ziel ist es, auf diesem Wege das Datenschutzrecht, ob der zahlreichen grenzüberschreitenden Sachverhalte, weiter zu vereinheitlichen. Allerdings erlauben diverse Öffnungsklauseln29 den Mitgliedstaaten, die DSGVO mit nationalen Regeln zu erweitern oder detaillierter festzulegen.
21
Die Umsetzung von Öffnungsklauseln erfolgt in Deutschland maßgeblich durch das novellierte BDSG.
1. Anwendungsbereich
22
Hinsichtlich der Frage, ob die DSGVO überhaupt Anwendung findet, macht diese in deren Art. 2 und 3 eindeutige Angaben. Danach müssen bei der Durchführung der Due-Diligence-Prüfung der räumliche und sachliche Anwendungsbereich der Verordnung eröffnet sein.
23
Zentrale Anforderung ist in jedem Fall, dass personenbezogene Daten verarbeitet werden. Dies sind gemäß Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Das Merkmal des Personenbezugs ist dabei weit zu verstehen.30 So besteht auch dann ein Personenbezug, wenn sich aus den Daten kein unmittelbarer Rückschluss auf die betroffene Person ziehen lässt, sondern sich anhand bestehender Informationen diese Person ermitteln lässt.31 Als Möglichkeiten zur Identifizierung nennt Art. 4 Nr. 1 DSGVO etwa eine Kennnummer oder Standortdaten.
a) Sachlicher Anwendungsbereich
24
Gemäß Art. 2 Abs. 1 DSGVO ist der sachliche Anwendungsbereich eröffnet, sofern die personenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden. Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legal definiert. Eine Definition, ab wann die Verarbeitung automatisiert stattfindet, ist der Verordnung gleichwohl nicht zu entnehmen. Der Begriff der automatisierten Verarbeitung ist allerdings technikneutral zu verstehen.32 Maßgeblich ist, dass die Verarbeitung nach vorgegebenen Parametern, ohne aktive Mitwirkung eines Menschen, abläuft.33 Da auch bei teilweise automatisierter Verarbeitung der sachliche Anwendungsbereich eröffnet wird, ist es insofern unerheblich, ob einzelne Schritte von Menschen durchgeführt werden.34 Auf Grundlage dessen ist der sachliche Anwendungsbereich bei jeder ganz oder teilweise rechnergestützten Verarbeitungstätigkeit eröffnet.35 Ausweislich der Norm ist der sachliche Anwendungsbereich gleichermaßen eröffnet, sofern die Daten nicht automatisiert verarbeitet werden, solange sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Bei einem sogenannten Dateisystem handelt es sich um strukturierte Sammlungen personenbezogener Daten.36 So fallen hierunter etwa Akten oder Karteisysteme.37 Bei unsortierten Zettelsammlungen oder Einzeldokumenten handelt es sich hingegen nicht um ein Dateisystem.38
25
Im Ergebnis ist es also unerheblich, ob die Due Diligence digital oder rein analog auf Grundlage von Akten stattfindet. Der sachliche Anwendungsbereich ist in jedem Fall eröffnet.
26
Auf eine Eröffnung des sachlichen Anwendungsbereiches kommt es gar nicht an, sofern der Personenbezug der verarbeiteten Daten durch Anonymisierung aufgehoben wird.39 Für eine Anonymisierung müssen die Daten dergestalt verändert werden, dass der Personenbezug nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand wiederhergestellt werden kann. Eine Anonymisierung kann etwa schon durch Schwärzen entsprechender Textpassagen erfolgen.40 Gleichwohl ist zu bedenken, dass bei umfangreichen Unternehmenstransaktionen mit der Anonymisierung der Daten ein relativ großer Aufwand einhergeht. Außerdem kann eine Due Diligence mit anonymisierten Daten im Widerspruch zum eigentlichen Zweck der Prüfung stehen.41
b) Räumlicher Anwendungsbereich
27
Gemäß Art. 3 Abs. 1 DSGVO ist der räumliche Anwendungsbereich eröffnet, sofern der datenschutzrechtliche Verantwortliche im Rahmen seiner Tätigkeiten eine Niederlassung in der Union hat, unabhängig davon, ob dort auch die Verarbeitung stattfindet. Sofern also das Zielunternehmen oder der Kaufinteressent eine Niederlassung in der Union hat, ist der Anwendungsbereich der DSGVO jeweils eröffnet.
28
Ob der Anwendungsbereich auch eröffnet ist, wenn der Verantwortliche mit Niederlassung außerhalb der Union personenbezogene Daten von Unionsbürgern verarbeitet, hängt gem. Art. 3 Abs. 2 lit. a) DSGVO davon ab, ob die Datenverarbeitung
