Ob es ausreicht, dem Kaufinteressenten nur Eckdaten zur Verfügung zu stellen,366 mag bezweifelt werden. Es reicht jedenfalls in solchen Fällen, in denen die Eckdaten den wesentlichen Inhalt der vertraglichen Konditionen zusammenfassen, sicher nicht aus. Erfolgt eine Schwärzung des wesentlichen Inhalts oder werden nur unwesentliche Vertragsinhalte zusammengefasst, dürfte dadurch regelmäßig das Informationsinteresse des Kaufinteressenten nicht befriedigt werden. Mit anderen Worten: Man kann sich dann regelmäßig das Einstellen solcher Informationen in den Datenraum auch sparen.
190
Für Geschäftsführer einer GmbH, die veräußert werden soll, gilt Entsprechendes. Allerdings verlangt die herrschende Meinung zusätzlich einen legitimierenden Gesellschafterbeschluss, der nach herrschender Meinung einstimmig gefasst werden muss.367 Sind die Geschäftsanteile nicht vinkuliert, erwächst aus der Treuepflicht regelmäßig eine Pflicht der Gesellschafter, eine Due Diligence nicht (treuwidrig) zu verhindern. Überwiegen die Vorteile der Transaktion für die veräußernden Gesellschafter368 die Nachteile und Risiken und bringt die Offenlegung keine wesentlichen Nachteile für die Gesellschaft,369 sind sie zur Mitwirkung verpflichtet. Sind die Anteile hingegen vinkuliert, können sie sich einer Due Diligence schon dann entgegenstellen, ohne damit ihre Treuepflicht zu verletzen, wenn gegen den Verkauf vernünftige Gründe bestehen.370
(b) Branchenabhängige gesetzliche Vertraulichkeitsverpflichtungen
191
Die Zielgesellschaft und ihre Organmitglieder müssen ferner branchenabhängige gesetzliche Vertraulichkeitsverpflichtungen beachten.371 Hier besteht auch kein gesellschaftsrechtlicher unternehmerischer Ermessensspielraum. Bei Lebens- und Krankenversicherern oder Krankenhäusern als Zielgesellschaft ist stets an § 203 Abs. 1 Nr. 6 StGB zu denken. Entsprechendes gilt auch bei Arztpraxen, Rechtsanwaltskanzleien oder Steuerberatungs-/Wirtschaftsprüfungsgesellschaften. Bei Banken ist das Bankgeheimnis zu beachten und schränkt die Offenlegung von Daten im Rahmen einer Due Diligence nicht unerheblich ein. Bei Telekommunikationsunternehmen gilt dasselbe im Hinblick auf das Fernmeldegeheimnis des § 88 TKG.
(c) Datenschutzrechtliche Pflichten372
192
Besondere Relevanz für jede Due Diligence haben seit ihrer Einführung die DSGVO und die durch sie insbesondere hinsichtlich ihrer Rechtsfolgen verschärften datenschutzrechtlichen Anforderungen.
193
Bei Verstößen drohen empfindliche Bußgelder, nämlich nach Art. 83 Abs. 1 DSGVO bis zu 4 % des weltweiten Konzernumsatzes bzw. EUR 20 Mio. bei Verstößen gegen die in Art. 83 Abs. 6 DSGVO genannten Bestimmungen oder bis zu 2 % des weltweiten Konzernumsatzes bzw. EUR 10 Mio. bei Verstößen gegen die in Art. 83 Abs. 5 DSGVO genannten Bestimmungen (wobei in jeder der beiden Kategorien der höhere Betrag maßgeblich ist).
194
Datenschutzrechtliche Vorschriften haben im Kontext einer Due Diligence aus der Perspektive des Verkäufers (aber durchaus auch mit Konsequenzen für die Zielgesellschaft und damit letztlich den Käufer) in dreierlei Hinsicht Bedeutung:
195
Zunächst muss bei einem Share Deal sichergestellt sein, dass die Zielgesellschaft keine datenschutzrechtlichen Pflichten verletzt, wenn sie ihrem Gesellschafter als Verkäufer personenbezogene Daten überlässt, die er für die Durchführung der Due Diligence anfordert.
196
Des Weiteren muss der Verkäufer, soweit er personenbezogene Daten in datenschutzrechtlich konformer Weise von der Zielgesellschaft erhalten hat, sicherstellen, dass deren Hochladen in einen virtuellen Datenraum in datenschutzrechtlich konformer Weise geschieht.
197
Schließlich muss sichergestellt sein, dass die Offenlegung gegenüber einem oder mehreren Käufern im virtuellen Datenraum im Einklang mit der DSGVO373 erfolgt.
198
Grundvoraussetzung dafür, dass die DSGVO eingreift, ist das Vorliegen von personenbezogenen Daten. Nach Art. 4 Nr. 1 DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur ein Teil derjenigen Informationen, die üblicherweise in einem Datenraum offengelegt werden, ist personenbezogen. Darunter fallen z.B. Name, Familienstand, Geschlecht, Anschrift, Geburtsdatum und E-Mail-Adressen.374 Praktisch besonders relevante Anwendungsfälle sind die Offenlegung von Daten der Organmitglieder und von Mitarbeitern der Zielgesellschaft. Bei den üblicherweise in Datenräumen zahlreich offengelegten Verträgen (im Kontext des Datenschutzes werden insbesondere Kundenverträge prominent herausgehoben, von gleicher Relevanz sind aber auch z.B. Lieferverträge, Vertriebsverträge, Lizenzverträge, Serviceverträge, Mietverträge, Kooperationsverträge, Versicherungspolicen, Darlehensverträge) ist in datenschutzrechtlicher Hinsicht zu unterscheiden, ob die Zielgesellschaft sie mit natürlichen oder juristischen Personen oder Personenhandelsgesellschaften abgeschlossen hat. Soweit sie mit juristischen Personen oder Personenhandelsgesellschaften abgeschlossen sind, können sie grundsätzlich auch unter Nennung des Vertragspartners datenschutzrechtlich bedenkenlos offengelegt werden (wobei selbstverständlich Grenzen durch Vertraulichkeitsvereinbarungen zu beachten sind375). Sofern der Name desjenigen, der beim Vertragspartner unterschrieben hat, oder Namen anderer Mitarbeiter, an die man sich im Rahmen der Vertragsabwicklung wenden kann, in den Verträgen ausgewiesen werden und sie dort lediglich aufgrund ihrer Funktion genannt sind, dürfte für gewöhnlich kein Schutzbedürfnis vorliegen, das das Interesse des Verkäufers an der Offenlegung überwiegt.376 Abweichende Fallkonstellationen sind aber denkbar und dann sorgfältig zu prüfen.377 Sind Verträge mit natürlichen Personen abgeschlossen (was etwa bei Zielgesellschaften, die gewerblich vermieten oder mit Verbrauchern handeln, große Relevanz hat), handelt es sich bei deren Daten grundsätzlich um personenbezogene Daten. Insoweit ist eine sorgfältige Interessenabwägung hinsichtlich der Offenlegung durchzuführen. Im Zweifelsfall sind die personenbezogenen Daten unkenntlich zu machen.
199
Liegen in diesem Sinne personenbezogene Daten vor, ist in einem zweiten Schritt auszuschließen, dass es sich um sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO handelt. Im Rahmen einer Due Diligence theoretisch bedeutsam werden könnten z.B. Daten über die ethnische Herkunft, die Gewerkschaftszugehörigkeit, die sexuelle Orientierung oder Gesundheitsdaten von Mitarbeitern. Die Verarbeitung solcher Daten ist grundsätzlich untersagt, ihre Übermittlung und Offenlegung in einem Datenraum nur in den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Diese Voraussetzungen werden im Rahmen eines Unternehmenskaufs regelmäßig nicht erfüllt sein.378 Eine Einwilligung der Betroffenen dürfte regelmäßig fernliegend sein.379
200
Ob, in einem ersten Schritt bei einem Share Deal, die Zielgesellschaft personenbezogene Daten an ihren Gesellschafter weitergeben darf, der sie dann für seinen Datenraum verwendet, hängt davon ab, ob die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO erfüllt sind. Dazu ist zunächst festzuhalten, dass die Weitergabe personenbezogener Daten von der Zielgesellschaft an den Verkäufer zumindest nicht daran scheitert, dass die Zielgesellschaft die Daten (jedenfalls auch) im Interesse des Gesellschafters und Verkäufers an diesen weitergibt. Denn auch berechtigte Interessen „eines Dritten“, hier des Gesellschafters, reichen nach
