Kitabı oku: «Due Diligence», sayfa 2
3. Vertraulichkeit/Letter of Intent
15
Grundlegendes Ziel datenschutzrechtlicher Normen ist der Schutz personenbezogener Daten.18 Abseits des Datenschutzes ist die Sicherstellung der Vertraulichkeit sensibler Unternehmensdaten, gleich ob mit Personenbezug oder nicht, bei der Durchführung einer Due Diligence im Rahmen eines Unternehmensverkaufes zu gewährleisten. Hier stehen sich die Interessen des potenziellen Käufers, der sich umfassend über das Zielunternehmen informieren, und die des Verkäufers, der möglichst wenig Informationen herausgeben möchte, solange der Verkauf nicht sicher ist, gegenüber. Aus Sicht des Zielunternehmens besteht zudem die Gefahr, dass sich durch die Prüfung erteilter Informationen Risiken aufzeigen, die sich mindernd auf den Kaufpreis auswirken können. Beide Interessen sind nachvollziehbar, ein mögliches Konfliktpotenzial aber unvermeidbar. Zumindest um dem Argument der Kaufpreisminderung entgegenzuwirken, ist es in der Praxis nicht unüblich, eine so genannte Vendor Due Diligence19 (= verkäuferseitige Due Diligence) durchzuführen. Zwar besteht hierzu keine rechtliche Notwendigkeit.20 In der Praxis zeigen sich aber immer wieder Konstellationen, in denen erst der Kaufinteressent das Zielunternehmen auf dortige Missstände hinweist. Im Bereich des Datenschutzes ist ohnehin und ungeachtet der Folgen eines Verstoßes angezeigt, eine (Vendor) Due-Diligence-Prüfung durchzuführen.
16
In der Praxis üblich und dringend zu empfehlen ist der Abschluss einer Absichtserklärung, im Rechtsverkehr in der Regel als „Letter of Intent“ (LoI), „Memorandum of understanding“ (MoU) oder „Letter of Understanding“ (LoU) bezeichnet. Einheitlich werden diese Begrifflichkeiten nicht verwandt. Es gibt daher auch keine standardisierten Vorlagen. Im Regelfall wird hiermit, wie der Name schon vermuten lässt, die Absicht bekundet, einen Vertrag abzuschließen. Abhängig von dem Zeitpunkt des Vertragsabschlusses wird mehr oder weniger konkret auf Ziele und Umsetzungsszenarien eines Verkaufes, Kaufpreishöhen oder eine etwaige Exklusivität eingegangen. Zumindest in groben Zügen sollte beschrieben werden, was die Parteien, in welcher Zeit umzusetzen beabsichtigen. Problematisch, wenngleich oftmals gewollt, ist, dass derartige Absichtserklärungen zumeist keine verbindlichen Rechtswirkungen zur Folge haben,21 insbesondere die Parteien nicht binden, einen (z.B.) Kaufvertrag abzuschließen.22 Zumindest ein Teil des (nachfolgend so verwandt) Letter of Intent sollte jedoch verbindliche Rechtswirkungen vorsehen. Im Hinblick auf die Geheimhaltung und Nichtverwendung von Geschäftsgeheimnissen oder den Schutz personenbezogener Daten sollte ein Letter of Intent zwingend eine Verschwiegenheitsregelung enthalten. Dabei genügt es nicht, nur den Umfang der Verpflichtung zur Verschwiegenheit zu regeln. Vertraulich sollten im Regelfall alle Informationen sein, die ein Vertragspartner von dem anderen erhält, soweit diese nicht zuvor schon als allgemeinbekannt anzusehen waren.
17
Zu empfehlen ist immer die Verknüpfung an ein konkretes Vertragsstrafeversprechen. In der Praxis wird die Festlegung einer konkret bezifferten Vertragsstrafe kontrovers diskutiert.23 Geeignet ist in diesen Fällen die Regelung der Vertragsstrafe in Form des sogenannten „Hamburger Brauchs“. Hierbei wird eine zu zahlende Vertragsstrafe erst im Nachhinein festgesetzt24. Beispielhaft wird folgende Regelung verwandt:
„Im Falle der schuldhaften Zuwiderhandlung gegen Regelungen aus dem Letter of Intent, ist die hiergegen verstoßende Partei verpflichtet, an die verletzte Partei eine Vertragsstrafe zu zahlen, die im Einzelfall von der verletzten Partei festgesetzt und im Streitfalle vom zuständigen Gericht25 zu überprüfen ist.“
18
Die Verwendung des „Hamburger Brauchs“ ist meist einfacher für den Kaufinteressenten vermittelbar. Er muss nicht bei kleinsten Verstößen mit pauschalen Vertragsstrafen rechnen, die zumeist in keinem Verhältnis zu dem Verstoß stehen. Ebenso wenig brauchen sich die Parteien auf die floskelhafte Formulierung verweisen zu lassen, dass die Höhe der Vertragsstrafe unbeachtlich sei, da man schlicht nicht gegen die Verpflichtung verstoßen müsse. Bei erheblichen Verstößen besteht für den Verletzten zudem die Chance einer (Schadens-) Kompensation. Denn ein Verstoß gegen eine Verschwiegenheitsverpflichtung berechtigt den Verletzten zwar zur Geltendmachung von Unterlassungs- und Schadenersatzansprüchen. Ein Schaden lässt sich aber oftmals kaum berechnen. Einschränkend ist natürlich darauf hinzuweisen, dass sich der Nachweis eines Verstoßes in der Praxis als schwierig gestaltet. Ohne eine Vertragsstrafenregelung sollte daher kein Letter of Intent ausgestaltet sein.
10 Koch, Praktiker-Handbuch Due Diligence, S. 19, spricht von einem Unternehmen als „Organismus“, der im Rahmen der Due Diligence „in all seinen Facetten zu untersuchen und zu würdigen“ sei. 11 Erwerb der Gesamtheit aller Wirtschaftsgüter des Unternehmens = Asset Deal; Erwerb der Anteile der das Unternehmen tragenden Gesellschaft = Share Deal (so dargestellt von Leible/Müller, in: jurisPK-BGB, § 453 BGB Rn. 3). 12 Relevant im Rahmen der Datenschutz-Due-Diligence ist die Unterscheidung bei der Frage des Verantwortlichen, vgl. hierzu Rn. 29. 13 BGH, NJW-RR 1991, 439, 442. 14 Praktische Relevanz hat hier die so genannte „SWOT-Analyse“ (Strengths, Weaknesses, Opportunities, Threats. Im Rahmen der SWOT-Analyse wird einerseits die interne Sicht eines Unternehmens, also dessen Stärken und Schwächen, betrachtet. Andererseits wird das Umfeld des Unternehmens, insbesondere die erkennbaren Chancen und Risiken, betrachtet (hierzu: Seiter/Marquard, AnwBl 2012, 808, 808ff.). 15 Auf die hierbei unterschiedlichen Sichtweisen eingehend unter Rn. 46ff. 16 Beisel, Beck’sches Mandatshandbuch Due Diligence, S. 10f., beschreibt die in der Praxis denkbaren Arten der Due Diligence, unterteilt in Legal, Tax, Financial, Commercial, Environmental, Technical und Cultural Due Diligence. 17 Vergleiche hierzu Rn. 15ff. 18 Hierzu Rn. 19ff. 19 So beispielsweise bezeichnet von Werner, jM 2017, 222, 223. In der Praxis verwendet wird allerdings auch der Begriff der Reverse- oder der Pre-Sale Due Diligence. 20 Verneinend OLG Düsseldorf, Urt. v. 16.6.2016 – ZIP 2016, 2363, 2371. 21 Beispielhaft OLG Köln, Urt. v. 16.12.2020 – BB 2021, 211, 212. 22 Zumeist stünden einer Verpflichtung bereits formelle Bedenken entgegen (z.B. Beurkundungserfordernis gemäß § 15 Abs. 3 GmbHG für Geschäftsanteile, § 311b BGB für Verträge über Grundstücke, das Vermögen und den Nachlass). 23 Unter Verweis darauf, dass die Folgen zumeist den potenziellen Käufer träfen. 24 Nach der höchstrichterlichen Rechtsprechung ist die Vertragsstrafe zu bestimmen nach Art und Größe des Unternehmens, dessen finanzieller Leistungsfähigkeit und der Wettbewerbsposition am Markt, dessen Umsatz, der Schwere und dem Ausmaß der Zuwiderhandlung, deren Gefährlichkeit für den Gläubiger, dem Verschulden des Verletzers sowie dessen Interesse an weiteren gleichartigen Begehungshandlungen (beispielhaft Brandenburgisches Oberlandesgericht, Urt. v. 18.2.2020 – juris, Rn. 60). 25 Wählt man den Terminus „Landgericht“ würde, ungeachtet des Verstoßes, allein die Zuständigkeitsschwelle dazu führen, dass eine Vertragsstrafe von über 5.000,00 EUR zu zahlen ist.
III. Allgemeines zum Datenschutzrecht
19
Seit dem 25.5.2018 gilt die DSGVO. Das Datenschutzrecht wurde mit der Verordnung jedoch, anders als die Überschriften unzähliger Medienberichte damals vermuten ließen, nicht neu erfunden. Es handelt sich beim europäischen Datenschutzrecht vielmehr um ein über Jahrzehnte gewachsenes Regelungssystem,26 dessen evolutiver Entwicklungsprozess in der DSGVO nunmehr seinen aktuellsten Stand gefunden hat.
20
Den Ausgangspunkt jeglicher datenschutzrechtlicher Vorschriften bietet seit jeher das europäische Primärrecht. Dort haben Art. 8 Grundrechtecharta und Art. 16 AEUV den Schutz personenbezogener Daten zum Inhalt. So wurde vor Einführung der DSGVO das Datenschutzrecht im Rahmen mitgliedstaatlicher Vorschriften auf Grundlage der RL 95/46/EG (EG-Datenschutzrichtlinie)27 normiert. Wenngleich der europäische Datenschutz nunmehr als EU-Verordnung geregelt ist, bleiben die datenschutzrechtlichen Grundprinzipien weitgehend unverändert.28 Ein Unterschied besteht jedoch darin, dass das europäische Datenschutzrecht als EU-Verordnung in jedem Mitgliedstaat unmittelbare Anwendung findet. Ziel ist es, auf diesem Wege das Datenschutzrecht, ob der zahlreichen grenzüberschreitenden Sachverhalte, weiter zu vereinheitlichen. Allerdings erlauben diverse Öffnungsklauseln29 den Mitgliedstaaten, die DSGVO mit nationalen Regeln zu erweitern oder detaillierter festzulegen.
21
Die Umsetzung von Öffnungsklauseln erfolgt in Deutschland maßgeblich durch das novellierte BDSG.
1. Anwendungsbereich
22
Hinsichtlich der Frage, ob die DSGVO überhaupt Anwendung findet, macht diese in deren Art. 2 und 3 eindeutige Angaben. Danach müssen bei der Durchführung der Due-Diligence-Prüfung der räumliche und sachliche Anwendungsbereich der Verordnung eröffnet sein.
23
Zentrale Anforderung ist in jedem Fall, dass personenbezogene Daten verarbeitet werden. Dies sind gemäß Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Das Merkmal des Personenbezugs ist dabei weit zu verstehen.30 So besteht auch dann ein Personenbezug, wenn sich aus den Daten kein unmittelbarer Rückschluss auf die betroffene Person ziehen lässt, sondern sich anhand bestehender Informationen diese Person ermitteln lässt.31 Als Möglichkeiten zur Identifizierung nennt Art. 4 Nr. 1 DSGVO etwa eine Kennnummer oder Standortdaten.
a) Sachlicher Anwendungsbereich
24
Gemäß Art. 2 Abs. 1 DSGVO ist der sachliche Anwendungsbereich eröffnet, sofern die personenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden. Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legal definiert. Eine Definition, ab wann die Verarbeitung automatisiert stattfindet, ist der Verordnung gleichwohl nicht zu entnehmen. Der Begriff der automatisierten Verarbeitung ist allerdings technikneutral zu verstehen.32 Maßgeblich ist, dass die Verarbeitung nach vorgegebenen Parametern, ohne aktive Mitwirkung eines Menschen, abläuft.33 Da auch bei teilweise automatisierter Verarbeitung der sachliche Anwendungsbereich eröffnet wird, ist es insofern unerheblich, ob einzelne Schritte von Menschen durchgeführt werden.34 Auf Grundlage dessen ist der sachliche Anwendungsbereich bei jeder ganz oder teilweise rechnergestützten Verarbeitungstätigkeit eröffnet.35 Ausweislich der Norm ist der sachliche Anwendungsbereich gleichermaßen eröffnet, sofern die Daten nicht automatisiert verarbeitet werden, solange sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Bei einem sogenannten Dateisystem handelt es sich um strukturierte Sammlungen personenbezogener Daten.36 So fallen hierunter etwa Akten oder Karteisysteme.37 Bei unsortierten Zettelsammlungen oder Einzeldokumenten handelt es sich hingegen nicht um ein Dateisystem.38
25
Im Ergebnis ist es also unerheblich, ob die Due Diligence digital oder rein analog auf Grundlage von Akten stattfindet. Der sachliche Anwendungsbereich ist in jedem Fall eröffnet.
26
Auf eine Eröffnung des sachlichen Anwendungsbereiches kommt es gar nicht an, sofern der Personenbezug der verarbeiteten Daten durch Anonymisierung aufgehoben wird.39 Für eine Anonymisierung müssen die Daten dergestalt verändert werden, dass der Personenbezug nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand wiederhergestellt werden kann. Eine Anonymisierung kann etwa schon durch Schwärzen entsprechender Textpassagen erfolgen.40 Gleichwohl ist zu bedenken, dass bei umfangreichen Unternehmenstransaktionen mit der Anonymisierung der Daten ein relativ großer Aufwand einhergeht. Außerdem kann eine Due Diligence mit anonymisierten Daten im Widerspruch zum eigentlichen Zweck der Prüfung stehen.41
b) Räumlicher Anwendungsbereich
27
Gemäß Art. 3 Abs. 1 DSGVO ist der räumliche Anwendungsbereich eröffnet, sofern der datenschutzrechtliche Verantwortliche im Rahmen seiner Tätigkeiten eine Niederlassung in der Union hat, unabhängig davon, ob dort auch die Verarbeitung stattfindet. Sofern also das Zielunternehmen oder der Kaufinteressent eine Niederlassung in der Union hat, ist der Anwendungsbereich der DSGVO jeweils eröffnet.
28
Ob der Anwendungsbereich auch eröffnet ist, wenn der Verantwortliche mit Niederlassung außerhalb der Union personenbezogene Daten von Unionsbürgern verarbeitet, hängt gem. Art. 3 Abs. 2 lit. a) DSGVO davon ab, ob die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. Für die Durchführung einer Due Diligence ist diese Variante in der Praxis jedoch zu vernachlässigen.
29
Entscheidend ist zunächst, ob die Due Diligence zur Vorbereitung eines Asset Deals oder eines Share Deals durchgeführt wird. Nach dem sogenannten Marktortprinzip gemäß Art. 3 Abs. 2 lit. a) DSGVO ist der räumliche Anwendungsbereich eröffnet, wenn der Verantwortliche mit Niederlassung außerhalb der Union Daten von Personen innerhalb der Union verarbeitet. Dies gilt jedoch nur, sofern die Verarbeitung in einem Zusammenhang zu einem Angebot von Waren und Dienstleistungen steht, unabhängig davon, ob von der betroffenen Person eine Zahlung zu leisten ist. Die Formulierung „im Zusammenhang“ ist weit zu verstehen. Unter diesen Begriff fällt die Kaufvorbereitung mit Hilfe einer Due-Diligence-Prüfung.42 Bei dem zu kaufenden Objekt handelt es sich um eine Ware i.S.d Art. 3 Abs. 2 lit. a) DSGVO, sofern bewegliche körperliche Gegenstände gekauft werden sollen.43 Entscheidend ist also, ob die Due-Diligence-Prüfung zur Vorbereitung eines Asset- oder Share Deals durchgeführt wird. Bei einem Share Deal werden Unternehmensanteile gekauft. Diese sind keine beweglichen Sachen. Folglich handelt es sich um keine Ware i.S.d. Norm, weswegen letztlich der räumliche Anwendungsbereich nicht eröffnet ist. Bei einem Asset Deal kommt es auf die zu kaufenden Wirtschaftsgüter an. Bei Grundstücken, Gebäuden oder Patenten etwa handelt es sich um keine beweglichen Gegenstände, mithin gilt dasselbe wie für den Share Deal. Werden hingegen (z.B.) Maschinen verkauft, handelt es sich um bewegliche Sachen, respektive Ware, weswegen in diesem Fall der räumliche Anwendungsbereich eröffnet ist. Eine Auslegung des Art. 3 Abs. 2 lit. a) DSGVO dahingehend, dass den Betroffenen der Due Diligence ein Angebot gemacht wird, da diese mittelbar von dem Asset Deal profitieren, dürfte dem Wortlaut nicht zu entnehmen sein.
2. Allgemeine Grundsätze für die Verarbeitung
30
Art. 5 DSGVO normiert ausweislich seiner Überschrift die „Grundsätze für die Verarbeitung personenbezogener Daten“. Die dort enthaltenen Grundsätze leiten sich aus dem Primärrecht ab und machen diese Grundsätze für den Anwender schon deshalb verbindlich.44 Deren Wertungen ziehen sich durch die gesamte DSGVO und sind bei der Anwendung und Auslegung der Normen der DSGVO stets zu berücksichtigen.45 Art. 5 Abs. 1 lit. a) DSGVO schreibt vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise, verarbeitet werden. Konsequenz dieses Grundsatzes ist es u.a., dass die Verarbeitung von personenbezogenen Daten stets durch eine Rechtsgrundlage legitimiert werden muss.46 Gemäß Art. 5 Abs. 1 lit. b) Hs. 1 DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Aus dem Umkehrschluss ergibt sich etwa, dass personenbezogene Daten nicht zu noch unbekannten Zwecken erhoben werden.47 Art. 5 Abs. 1 lit. c) DSGVO normiert den Grundsatz der Datenminimierung. Danach muss die Datenverarbeitung auf das notwendige Maß beschränkt werden, welches erforderlich ist, um eine Due Diligence durchzuführen. Art. 5 Abs. 1 lit. d) DSGVO gibt vor, dass die Verarbeitung auf Grundlage von richtigen und aktuellen Daten beruhen soll. Der Grundsatz der Speicherbegrenzung findet seinen Niederschlag in Art. 5 Abs. 1 lit. e) DSGVO. Dieser korrespondiert mit dem Zweckbindungsgrundsatz und regelt, dass eine Verbindung zu bestimmten personenbezogenen Daten nur so lange bestehen darf, so lange dies für den Zweck der Verarbeitung erforderlich ist.48 Schließlich normiert der Grundsatz der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f) DSGVO, dass personenbezogene Daten nur auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
3. Rechtmäßigkeit der Verarbeitung
31
Ein elementarer Grundsatz des Datenschutzrechts ist das „Verbotsprinzip mit Erlaubnisvorbehalt“. Dieser ergibt sich unmittelbar aus Art. 8 Abs. 2 Satz 1 Grundrechtecharta und wurde innerhalb der DSGVO in Art. 5 Abs. 1 lit. a), 6 implementiert.49 Nach diesem Prinzip ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Eine Verarbeitung kann jedoch durch den Betroffenen dadurch legitimiert werden, dass dieser in die Verarbeitung einwilligt oder eine sonstige Rechtsgrundlage einschlägig ist.50 Die Einwilligung sowie die gesetzlichen Erlaubnistatbestände sind innerhalb der DSGVO in den Art. 6 bis 10 geregelt.51
32
Um die Datenverarbeitung im Rahmen einer Due Diligence rechtfertigen zu können, kommen freilich nicht alle gesetzlichen Erlaubnistatbestände in Frage. Insofern soll sich die folgende Kurzvorstellung der Rechtsgrundlagen der DSGVO nur auf solche beschränken, welche für die Due Diligence von Relevanz sind.
a) Einwilligung
33
Von zentraler Bedeutung für die Legitimierung der Datenverarbeitung ist die Einwilligung des Betroffenen. Sie gestattet eine unmittelbare Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung, da sie dem Betroffenen zugesteht, autonom über das „ob“ und „wie“ der Verarbeitung „seiner“ personenbezogenen Daten zu entscheiden.52
34
Die Einwilligung ist in den Art. 4 Nr. 11, 6 Abs. 1 lit. a) und Art. 7 DSGVO geregelt. In dieser Zusammenschau finden sich diverse Vorgaben zur Einholung einer wirksamen Einwilligung. So muss die Einwilligung freiwillig und auf Grundlage einer transparenten, vollumfänglichen Belehrung erfolgen.53 Die Vorrausetzungen für eine wirksame Einwilligung verschärfen sich, sofern in die Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 Abs. 1 DSGVO eingewilligt werden soll. Sodann werden gemäß Art. 9 Abs. 2 lit. a) DSGVO deutlich strengere Anforderungen an die Einwilligung gestellt.54 Selbiges gilt für die Einwilligung von Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber, welche in § 26 Abs. 1 DSGVO geregelt ist. Mit dieser nationalen Norm wurde von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht.
b) Verarbeitung erforderlich für Erfüllung des Vertrages
35
Ein gesetzlicher Erlaubnistatbestand liegt gem. Art. 6 Abs. 1 lit. b) DSGVO darin, dass die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person darstellt, erforderlich ist. Die Daseinsberechtigung dieses Erlaubnistatbestandes normiert scheinbar eine Selbstverständlichkeit: Denn dass eine Datenverarbeitung erlaubt sein muss, die für die Erfüllung eines Schuldverhältnisses erforderlich ist, liegt schon in der Natur der Sache.55 Gleichwohl ist hinsichtlich des Merkmals der Erforderlichkeit eine enge Auslegung indiziert. Auf diese Weise wird verhindert, dass der Erlaubnistatbestand durch zu weit gefasste (vermeintliche) vertragliche Leistungen ausgehebelt wird.56 Die Verarbeitung von Beschäftigtendaten ist gem. § 26 Abs. 1 Satz 1 BDSG rechtmäßig, sofern dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.