||
 

 

 

 

 

 

 

 

KPMG

 

Circle_Unlimited

 

TQG

 

Talent_Rocket

 
Beitrags Sprache: Deutsch
Unter-Überschrift: Drohen die nächsten Datenskandale?
Lesezeit 10 Min.
Beitrags Kategorie: Big Data
Beitrags Art: Wissenschaftlicher Artikel
Farbe: Blau
Dr. Christof-Ulrich Goldschmidt | Susanne Werry
Dr. Christof-Ulrich Goldschmidt: Partner, Clifford Chance | Susanne Werry: Rechtsanwältin; Senior Associate, Clifford Chance

In unserer digitalen Welt sind Daten zu einer eigenen Asset-Klasse geworden. Daten und im Speziellen Kundendaten haben für Unternehmen einen erheblichen wirtschaftlichen Wert - nicht nur für die persönliche Werbeansprache, sondern auch, um die eigene Produktentwicklung noch besser an den Kundenwünschen und -gewohnheiten auszurichten.


 

 

 

Share Deal mit Vorteilen bei Big Data M&A

Daten und der Erwerb von Daten sind häufig ein wesentlicher Treiber für M&A-Transaktionen. In der Praxis erfolgt der Erwerb regelmäßig im Wege eines sogenannten Share Deal, bei dem die Gesellschaftsanteile an der Gesellschaft übertragen werden, die Zugriff auf die Daten hat. Ein solcher Share Deal ist aus datenschutzrechtlicher Sicht vorzugswürdiger, weil bei einem Share Deal grundsätzlich keine personenbezogenen Daten an einen Dritten übertragen werden, was einer speziellen Rechtfertigung bedürfte, und sich der aus datenschutzrechtlicher Sicht Verantwortliche nicht ändert.

Grundsätzlich wäre es auch möglich, die Daten, insbesondere die Kundendaten, im Wege der Einzelrechtsnachfolge zu kaufen. Zwar gibt es im deutschen Recht kein Eigentum an Daten, aber es können bei einem sogenannten Asset Deal die Nutzungsrechte an den Daten erworben werden. Zu beachten ist hier aber insbesondere das Datenschutzrecht, soweit es sich um personenbezogene Daten handelt, das Recht des unlauteren Wettbewerbs, soweit E-Mailadressen und Telefonnummern für Werbezwecke verwendet werden sollen, das Urheberrecht und der Schutz von Betriebs- und Geschäftsgeheimnissen. Eine Übertragung von Daten im Rahmen eines Asset Deal wird in vielen Fällen nicht ohne die Einwilligung der betroffenen Personen bzw. die Information dieser Personen mit Einräumung einer Widerspruchsmöglichkeit zulässig sein. Dies wurde im Sommer 2015 auch von einer Aufsichtsbehörde bestätigt, die ein fünfstelliges Bußgeld sowohl gegen den Käufer als auch den Verkäufer verhängt hat. In der Praxis ist es jedoch sehr aufwändig, die Einwilligung aller betroffenen Personen einzuholen. Außerdem birgt ein solches Vorgehen das Risiko, dass die Daten nicht erworben werden können, weil die Einwilligung nicht erteilt bzw. ein Widerspruch erklärt wird. Sollen Datenbanken gekauft werden, kann eine Teilung der Daten aufgrund unterschiedlichen Verhaltens der betroffenen Personen deren Wert stark beeinträchtigen oder sogar gänzlich aufheben.


Verarbeitung personenbezogener Daten in engen Grenzen

Ein Share Deal bedarf aus datenschutzrechtlicher Sicht nicht der Zustimmung der betroffenen Personen. Das bedeutet aber nicht, dass der Käufer der Gesellschaftsanteile mit diesen personenbezogenen Daten nun einfach machen kann, was er möchte. Auch unter der Datenschutzgrundverordnung gilt nämlich das Rechtsprinzip „Verbot mit Erlaubnisvorbehalt“. Die Verarbeitung der personenbezogenen Daten muss sich auch bei einem Share Deal in dem Rahmen halten, der auch schon zuvor erlaubt war, beispielsweise durch eine Einwilligung des Kunden oder wenn die Verarbeitung für die Vertragsdurchführung erforderlich ist. Vor einem Kauf der Gesellschaftsanteile muss der Käufer also genau prüfen, ob die Verfügungsbefugnisse der Gesellschaft, deren Anteile der Käufer erwerben will, sich mit den Plänen des Käufers decken. Gerade die geplante Verarbeitung und Nutzung der Daten durch den Erwerber wird oft nicht von bestehenden Einwilligungen abgedeckt sein – so insbesondere bei der Nutzung für Telefon- oder E-Mail-Werbung. In der Praxis erlebt man leider immer wieder, dass dieser Aspekt zunächst vernachlässigt wird und erst später im Laufe des Verkaufsprozesses geprüft wird. Beachtenswert ist auch, dass nicht jedes Unternehmen, das Zugriff auf einen großen Datenschatz hat, tatsächlich Verantwortlicher im datenschutzrechtlichen Sinne oder urheberrechtlich Berechtigter bezüglich dieser Daten ist. Beispielsweise können IT Dienstleister oder Marketingunternehmen Zugriff auf eine Unmenge an Daten, einschließlich Kunden- bzw. Konsumentendaten, haben. Da sie diese allerdings in der Regel ausschließlich für ihre Kunden wie Automobilhersteller, Banken oder Kaufhäuser verarbeiten und auswerten und damit als Auftragsverarbeiter tätig werden, sind sie in ihrer Befugnis bezüglich dieser Daten stark eingeschränkt. Ein Erwerber von Gesellschaftsanteilen an diesen Unternehmen würde mittelbar ebenfalls an diese Einschränkungen gebunden sein und hätte keinen Zugriff auf diese wertvollen Daten.


Hohe Strafen drohen bei Verstoß gegen DSGVO

Wenn der Käufer eines Big Data-Unternehmens sich nicht an die rechtlichen Bedingungen hält, kann dies erhebliche Folgen für den Käufer haben. Verstöße gegen das Datenschutzrecht können durch das neue Sanktionsregime der Datenschutzgrundverordnung beträchtliche Bußgelder nach sich ziehen. Anstelle von bis zu 300.000 Euro nach altem Recht, sieht das neue Datenschutzrecht Bußgelder von bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres oder 20 Millionen Euro vor - je nachdem, welcher Betrag höher ist. Auch die betroffenen Personen können Schadensersatzansprüche geltend machen. Im allerschlimmsten Fall kann ein Verstoß gegen das Datenschutzrecht sogar strafrechtliche Konsequenzen haben. Daneben sind die immensen Reputationsschäden nicht zu vernachlässigen, die Datenskandale für Unternehmen haben. Diese können sogar existenzbedrohend sein. Man denke nur an Cambridge Analytica.


Datenschutz-Compliance vor Erwerb eines Big Data Unternehmens wichtig

Um diese Risiken zu minimieren, sollte der Käufer eines Big Data Unternehmens vor dem Erwerb im Rahmen seiner Unternehmensprüfung einen besonderen Schwerpunkt auf Compliance legen und insbesondere die Themenbereiche Datenschutzrecht, Kartellrecht und Cyber Security prüfen. Im Rahmen der Due Diligence Prüfung sollte der Käufer immer untersuchen, ob personenbezogene Daten in zulässiger Art und Weise verarbeitet werden, ob ausreichende Berechtigungen für die Verarbeitung und Verwertung der Daten gegeben sind, ob die Prozesse des Zielunternehmens ordnungsgemäß sind und wie Daten gegen unberechtigte Offenlegung gesichert werden. Sinnvoll ist in diesem Zusammenhang der Blick auf das Vorhandensein eines unternehmensweiten Compliance-Management-Systems, welches auch den Datenschutz umfasst. Der Aufbau eines solchen Systems kostet viel Geld und erfordert den Einsatz nicht unerheblicher, personeller Ressourcen. Diese Kosten sollten ggf. in der Kaufpreisfindung angemessen berücksichtigt werden. Dies ist auch deshalb wichtig, weil die Datenschutzgrundverordnung eine Beweislastumkehr vorsieht. Im Vergleich zur alten Rechtslage müssen Unternehmen nach dem neuen Datenschutzrecht nunmehr aktiv nachweisen, dass sie Datenschutz compliant sind (sog. Rechenschaftspflicht). Wenn das Zielunternehmen den Ansatz "grow first, comply later" verfolgt hat, sollten beim Käufer alle Warnleuchten angehen.

Üblicherweise wird sich der Käufer eines Big Data Unternehmen auch vertraglich gegen Risiken absichern. Es ist absolut üblich, dass der Käufer sich vom Verkäufer Compliance-Garantien geben lässt. Wenn im Rahmen der Unternehmensprüfung spezifische Risiken erkannt worden sind, werden diese entweder bei der Bewertung berücksichtigt oder der Verkäufer stellt den Käufer im Kaufvertrag von diesen Risiken frei. Wenn ein Unternehmen sich nicht absichert, sondern vom vermeintlichen Wert der Daten blenden lässt, hat es ein großes Problem, das ihm unangenehm auf die Füße fallen kann.

Beim Erwerb eines Big Data Unternehmens sollte in keinem Fall vergessen werden, dass hinter den automatisierten Prozessen zur Datenverarbeitung hochqualifizierte Mitarbeiter stehen, die die Software-gestützten Analysen entwickelt haben und die Systeme kennen. Wenn ein Käufer das Knowhow und die Expertise dieser Mitarbeiter nach dem Erwerb des Unternehmens nutzen möchte, sollte er durch vertragliche Regelungen und Incentive-Programme Anreize schaffen, damit ihm diese Mitarbeiter erhalten bleiben.


Diese Website benutzt Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.
Ok