2580, 2580. 67 Wessels, DuD 2018, 782, 782. 68 Zur Anwendbarkeit bei einem Unternehmensverkauf BGH, Urt. v. 26.9.2018 – BGHZ 220, 19, 20. 69 Loges, DB 1997, 965, 969. 70 Fleischer/Körber, BB 2001, 841, 844; einschränkend wird gefordert, dass ein Übersehen des Mangels dann unbeachtlich sein soll, wenn nur ein Sachverständiger diesen Mangel hätte feststellen können (so OLG Köln, Urt. v. 19.6.1991 – NJW-RR 1992, 49, 50). 71 Hierzu Weinland, in: jurisPK-BGB, § 166 BGB Rn. 22; umfassend zu der Problematik auf Käufer- und Verkäuferseite: Werner, jM 2017, 222, 223ff., jeweils mit weiteren Nachweisen. 72 Backu/Bayer, ITRB 2017, 19, 20f.
I. Vorüberlegungen
1. Allgemeines
50
Unabhängig davon, ob ein Share oder Asset Deal erfolgt, sollen dem potenziellen Käufer diverse Informationen zur Verfügung gestellt werden. Kommt es dabei zur Übermittlung von personenbezogenen Daten im räumlichen Anwendungsbereich der DSGVO73, ist hierbei ein eigener Verarbeitungsvorgang im Sinne von Art 4 Nr. 2 DSGVO zu sehen.74 Ein Personenbezug besteht immer dann, wenn mit Hilfe der Informationen Personen identifizierbar sind oder eine solche Identifizierung möglich ist.75 Zumindest theoretisch denkbar wäre es im Rahmen der Due Diligence, personenbezogene Daten zu anonymisieren und damit einen Personenbezug auszuschließen. Dies würde im Ergebnis zu einer Unanwendbarkeit der DSGVO führen.76 In Abgrenzung hierzu nicht ausreichend wäre eine bloße Pseudonymisierung. Diese liegt vor, wenn Daten erst nach Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten und hiermit ein Personenbezug möglich würde. Beim Anonymisieren hingegen werden die personenbezogenen Daten so verändert, dass eine Wiederherstellung ausgeschlossen ist, jedenfalls einen erheblichen Aufwand darstellen würde.77
51
In der Praxis scheiden derartige Vorbereitungshandlungen oftmals aus. Abhängig von der Größe des Unternehmens und dem relevanten Datenmaterial wäre der Aufwand, personenbezogene Daten zunächst herauszufiltern, um diese dann vollumfänglich unkenntlich (gleich, ob anonymisiert oder pseudonymisiert) zu machen, erheblich. Erwartungsgemäß wird zudem der Käufer ein nachhaltiges Interesse daran haben, Datenmaterial umfassend zu prüfen. Wäre nun ein Großteil nicht verwertbar oder wenig aussagekräftig, würde dies nachhaltigen Einfluss auf die Kaufpreisbildung nehmen. Mangels praktischer Umgehungsmöglichkeit bleibt der Anwendungsbereich der DSGVO also eröffnet. Dadurch ist eine Vielzahl von Regelungen zu berücksichtigen, die im Vorwege der Due Diligence abzuprüfen sind. Es ist insbesondere zu klären, welche Parteien an der Prüfung teilnehmen und welcher Aufgabenkreis ihnen zukommen soll. Abhängig hiervon müsste der Abschluss einer Vereinbarung gemäß Art. 26 Abs. 1 Satz 2 DSGVO und/oder einer Auftragsdatenverarbeitungsvereinbarung78 gemäß Art. 28 Abs. 3 Satz 1 DSGVO in Betracht gezogen werden. Zu berücksichtigen ist, dass die mit der Due Diligence einhergehenden Datenverarbeitungsvorgänge stets durch eine Rechtsgrundlage der DSGVO legitimiert werden. Hierbei ist für einen Teil der Daten zu prüfen, ob Informationsverpflichtungen gemäß Art. 13, 14 DSGVO bestehen. Darüber hinaus ist der Ort der Prüfung festzulegen. Wesentliche Bedeutung kommt zudem der Frage zu, welche Daten zu überprüfen sind. Schlussendlich wird (auch) hiervon abhängig sein, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO anzustellen oder ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu erstellen ist.
52
Praktische Erwägung:
Sämtliche Überlegungen sind dabei immer vor dem Hintergrund anzustellen, dass jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage erfordert. Wenn es Art und Umfang einer Prüfung zulassen, z.B. wenn es nur vorbereitende Gespräche über einen Unternehmenskauf betrifft, bei dem lediglich kursorisch Unternehmensdaten geprüft werden, sollte eine Anonymisierung in Erwägung gezogen werden. Datenschutzrechtliche Fragen könnten so, zumindest vorübergehend, vermieden werden.
53
Bei Missachtung einschlägiger Vorschriften drohen schon bei der Durchführung der Due Diligence Risiken hinsichtlich einer Verhängung von Bußgeldern oder der Zahlung von Schadenersatz.79
2. Datenschutzrechtliche Stellung der Beteiligten
54
Bei jeder Due Diligence ist für die Berücksichtigung datenschutzrechtlicher Regelungen zunächst festzustellen, welche Parteien hieran teilnehmen und welche Mittel für deren Durchführung eingesetzt werden. Zu empfehlen ist die Erstellung einer Übersicht, in der neben der Bezeichnung der Parteien auch deren Aufgabenkreis umrissen wird. Nur so ist es möglich, die Verantwortlichkeit dieser Partei im Sinne der DSGVO festzulegen. Dabei greift die pauschale Unterscheidung zwischen Verkäufer und Käufer sicherlich zu kurz. Im Datenschutzrecht gibt es keine starren Begrifflichkeiten. Die Fluktuation macht es daher schwierig, im Vorwege die einzig richtig Lösung festzulegen. Bei einer weiten Auslegung des Begriffes der Verantwortlichkeit gemäß Art. 26 DSGVO, werden die Kaufvertragsparteien als gemeinsam Verantwortliche anzusehen sein. Allerdings erfolgt die Due-Diligence-Prüfung, gerade im Bereich des Datenschutzes, zumeist nicht durch die Kaufvertragsparteien bzw. deren rechtliche Vertreter, sondern durch beauftragte Dritte. Werden aber Dritte eingesetzt, ist fraglich, ob diese ebenso Mitverantwortliche im Sinne des Art. 26 DSGVO sind oder ihnen sogar eine Eigenverantwortlichkeit zukommt. Denkbar wäre ebenso, ein Auftragsverarbeitungsverhältnis zwischen dem Verantwortlichen und dem eingeschalteten Dritten anzunehmen, Art. 28 DSGVO. Dabei können auch Dritte beteiligt sein, die schon lange vor Durchführung der Due Diligence und unabhängig hiervon beauftragt waren. Typische Beispiele sind der EDV-Dienstleister80 und der Datenschutzbeauftragte.
55
Bindeglied zwischen allen Beteiligten ist der Ort der Prüfung. Früher wurden die Unternehmensinformationen schlicht innerhalb der Räumlichkeiten des Zielunternehmens oder dessen Beratern in Papierform zur Einsicht und Prüfung bereitgestellt. Datenschutzrechtlich ist dies weiterhin zu empfehlen, um so den größtmöglichen Schutz der Informationen, nicht zuletzt den eigenen Unternehmensdaten, zu gewährleisten. Gängige Praxis ist dies allerdings nicht mehr. Heutzutage gewinnen digitale Datenräume zunehmend an Bedeutung. Zumeist werden hierzu professionelle Anbieter von Cloud-Lösungen, und damit ein weiterer relevanter Beteiligter, eingesetzt, die ein umfassendes Rechtemanagement zur Verfügung stellen.
56
Die Auswahl der Beteiligten sollte gut durchdacht werden, um auch hierbei Verstöße gegen Datenschutzvorschriften zu vermeiden. Wiederum zeigt sich, dass es im Datenschutzrecht keine starren Begrifflichkeiten gibt und auch die Eigenschaft der Beteiligten fluktuiert.
73 Nach Art. 3 DSGVO muss ein Bezug zur Europäischen Union gegeben sein; dazu im Detail Kapitel 1 Rn. 27ff. 74 Dies wird auch im DSK-Kurzpapier Nr. 16 unterstellt. Ebenso Grau, FS Willemsen, 2018, S. 147, 148. 75 Beispielsweise handelt es sich bei IP-Adressen um personenbezogene Daten, da es möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen,
