Das verflixte siebte Jahr?! Distressed M&A und Datenschutz

Herr Rozijn, welche Auswirkungen hat die Datenschutzgrundverordnung für die wirtschaftliche Betätigung?

Rozijn: Die Datenschutzgrundverordnung, kurz DSGVO, hat immense Auswirkungen – gerade auch für die wirtschaftliche Betätigung. Auffallend ist jedoch, dass diese Auswirkungen auch rund sieben Jahre nach dem Inkrafttreten der DSGVO immer noch häufig unterschätzt werden. Im Zusammenhang mit den steigenden Insolvenzzahlen besteht zum Beispiel das große Risiko, dass der Datenschutz die sanierende Übertragung von Unternehmen und den Erhalt von Arbeitsplätzen be- und verhindert.

Wie kann der Datenschutz die sanierende Übertragung von Unternehmen und den Erhalt von Arbeitsplätzen be- und verhindern? 

Rozijn: Bei der Übertragung von Unternehmen spielen personenbezogene Daten eine große Rolle. Es fängt mit den Lieferantendaten an, aber von besonderem Gewicht und Wert für einen Unternehmenserwerb sind insbesondere die Daten von Beschäftigten und Kunden. Die Landesdatenschutzbehörden stellen zur Einhaltung des Datenschutzrechtes sehr hohe Anforderungen an den richtigen Umgang mit personenbezogenen Daten im Rahmen von Unternehmensübertragungen. Diese Anforderungen können die Attraktivität des Unternehmens aus Erwerbersicht so erheblich einschränken, dass Unternehmensübertragungen hieran auch scheitern. Gerade bei steigenden Insolvenzzahlen wächst allerdings der Bedarf an Übertragungen zu Sanierungszwecken. Die Belastung mit den hohen Datenschutzanforderungen kann somit letzten Endes auch zum Verlust von verwertbaren Vermögensmassen und eben auch Arbeitsplätzen führen. 

Welche Bedeutung haben personenbezogene Daten beim Kauf aus der Insolvenz?

Rozijn: Für den Erwerber insolventer Unternehmen sind Kunden-, Lieferanten- und Beschäftigtendaten von elementarem Interesse und ein zentraler Faktor für die Investitionsentscheidung. Diese Daten stellen einen wesentlichen Wert für den Goodwill eines Unternehmens dar. Die Fortführung oder Übernahme von Kundenbeziehungen etwa bei Webshops und in allen B2C-Geschäftsbereichen sind für die Übernahme und den Neustart eines Unternehmens unter „neuer Flagge“ oft ein Kernargument für den Unternehmenserwerb aus der Insolvenz. Die Software eines Webshops ist im Vergleich dazu oft nur noch von geringerer Bedeutung. Die Beschäftigtendaten werden notwendigerweise im Zusammenhang mit Betriebsübernahmen benötigt, soweit Arbeitnehmer kraft Gesetzes gemäß § 613a BGB auf den Erwerber übergehen. Dann aber hat der Erwerber ein hehres Interesse daran, auch vorab zu prüfen, inwieweit die Zusammensetzung der Belegschaft für die Betriebsfortführung geeignet ist. Der Kundenstamm und die Bewertung der Personalsituation sind für ein belastbares Unternehmenskonzept wichtig. Je nach Unternehmen und Erwerberziel sind personenbezogene Daten daher schon in den Phasen vor dem Kaufvertragsabschluss, also etwa den Verhandlungen oder der Due Diligence, zur Bewertung von maßgeblichem Interesse. Spätestens aber beim und nach dem Vertragsabschluss muss für den Käufer gesichert sein, dass und welche personenbezogenen Daten er erhält und ob er diese zu seinen eigenen Zwecken, zum Beispiel zur Bewerbung der Kunden, überhaupt nutzen darf.

Kann man also sagen, dass bei Distressed M&A-Transaktionen der Datenschutz zum entscheidenden Faktor wird?

Rozijn: Das trifft es sehr gut: Der Datenschutz wird für den Erwerber und den Insolvenzverwalter in der Tat zunehmend zum entscheidenden Faktor für den Erfolg einer Sanierung. Es geht insbesondere um die Artikel 6 und 9 der DSGVO, die festlegen, dass und unter welchen Voraussetzungen die Offenlegung und Übertragung von personenbezogenen Daten zulässig ist. Dies hat insbesondere an Bedeutung gewonnen, nachdem die Landesdatenschutzbehörden über ihre Datenschutzkonferenz jetzt schon zum zweiten Mal einen Beschluss dazu gefasst haben, unter welchen Voraussetzungen sie jeweils eine Verarbeitung von personenbezogenen Daten im Zusammenhang mit einem Asset Deal für zulässig oder unzulässig halten. Fakt ist: Die Einhaltung der Datenschutzbestimmungen und insbesondere die Umsetzung der Vorgaben aus den Beschlüssen der Landesdatenschutzbehörden in Insolvenzverfahren haben eine enorme praktische und volkswirtschaftliche Bedeutung. 

Welche Probleme gibt es im Zusammenhang mit dem Datenschutz bei Distressed M&A-Transaktionen?

Rozijn: Das große Problem ist, dass die Landesdatenschutzbehörden in der Datenschutzkonferenz in ihren Beschlüssen bislang die Besonderheiten des Asset Deals aus der Insolvenz und die gesetzlichen Verpflichtungen eines Insolvenzverwalters außer Acht gelassen haben. Zur Erfüllung ihrer gesetzlichen Verpflichtung, die Vermögenswerte des insolventen Unternehmens zum Zwecke der Gläubigerbefriedigung zu verwerten, sehen sich die Insolvenzverwalter hier im Konflikt mit dem Datenschutz. 

Was wären die Konsequenzen der Beschlüsse der Datenschutzkonferenz?

Rozijn: Würde es ausschließlich nach den Beschlüssen der Datenschutzkonferenz gehen, würde fast jede Übertragung von Kundendaten – als wertvolles Asset eines insolventen Unternehmens – scheitern: Denn danach sind die meisten Kundendaten entweder nicht übertragbar oder die Übertragung erfordert ein langes datenschutzkonformes Procedere oder sie sind für den Erwerber zur Fortsetzung des Unternehmens nicht zu Werbezwecken nutzbar, also uninteressant. 

Wie sieht die Situation bei den Daten von Beschäftigten aus?

Rozijn: Die Situation ist dabei sogar noch schwieriger als bei den Kundendaten. Auch hier hat der Erwerber ein großes Interesse daran, Kenntnis von den zu übernehmenden Mitarbeitern zu haben und unter Umständen auch an der Auswahl mitzuwirken, welcher Betriebsteil mit welchen Arbeitnehmern übernommen werden soll. Dabei geht es nicht einmal um „Namen“, sondern auch Qualifikationen sind personenbezogene Daten, deren Offenlegung dem Regelwerk des Datenschutzes unterliegt. Diese Bewertung von Mitarbeitenden und ihre Auswahl ist einem Insolvenzverwalter und dem Erwerber aber nach den Maßstäben der Datenschutzkonferenz kaum oder nur in Ausnahmefällen möglich – gleiches gilt für die Informationspflichten zum Betriebsübergang nach § 613a BGB. Sogar pseudonymisierte Daten oder statistische Angaben zu den Beschäftigten können mitunter als personenbezogene Daten gelten, so dass die Offenlegung solcher Werte und Angaben als Datenverarbeitung am Maßstab der DSGVO – und den Vorgaben der Datenschutzkonferenz – zu messen ist. All dies macht den Datenschutz zu einem Faktor, den Insolvenzverwalter und Erwerber bei sanierenden Übertragungen zunehmend und mit großer Sorgfalt zu beachten haben. 

Können die Parteien an einem M&A-Prozess die Datenschutzvorgaben überhaupt einhalten?

Rozijn: Es liegt im Interesse aller beteiligten Parteien an einem M&A-Prozess, die Datenschutzvorgaben einzuhalten: So werden Geheimhaltungspflichten vereinbart und personenbezogene Daten, soweit überhaupt zulässig, nur stufenweise offengelegt, zumeist aber nur statistische Erfassungen. Aber am Ende – gerade, wenn es mitunter sehr schnell gehen muss – besteht das Risiko, dass der pragmatische Weg mit wirtschaftlich vertretbarem Erfolg eingeschlagen wird, die Datenschutzbestimmungen aber vernachlässigt werden. Und dieser Weg könnte im Fall einer datenschutzrechtlichen Aufsichtsmaßnahme durch die Landesdatenschutzbehörden fatale Auswirkungen haben. Es drohen neben einem datenschutzrechtlichen Aufsichtsverfahren am Ende auch Verwarnungen, Verbote und Bußgelder, bei denen es nach den Regelungen der DSGVO schnell auch um hohe Beträge gehen kann. Auch der zeitliche Aufwand für das datenschutzrechtliche Ermittlungsverfahren ist nicht zu unterschätzen. 

Sind auch die Erwerber von den Beschlüssen der Landesdatenschutzbehörden betroffen? 

Rozijn: Ja, dies gilt für den Erwerber gleichermaßen wie für den verkaufenden Insolvenzverwalter. Beide sind im datenschutzrechtlichen Sinne Verantwortliche und verarbeiten die personenbezogenen Daten im Rahmen des Asset Deals. Für den Erwerber kommt hinzu, dass er nach dem Betriebsübergang die personenbezogenen Daten zu eigenen Zwecken nutzen möchte, etwa die „übernommenen“ Kunden über die Unternehmensübernahme zu unterrichten oder ihnen Werbung zuzusenden. Neben den wettbewerbsrechtlichen Beschränkungen sind jetzt auch die datenschutzrechtlichen Schranken zu beachten. Anders als die wettbewerbsrechtlichen Risiken besteht für den Datenschutz das ungleich größere Risiko, dass hier eine Aufsichtsbehörde tätig wird und dies mit einem weiteren, mitunter hohen finanziellen Risiko eines Bußgeldes verbunden sein kann. 

Worauf sollte bei Distressed M&A-Transaktionen aufgrund der Datenschutzvorgaben besonders geachtet werden?

Rozijn: Grundsätzlich lässt sich das Risiko einer datenschutzrechtlichen Aufsichtsmaßnahme kaum ausschließen. Denn das Aufsichtsverfahren beginnt mit einer Anzeige eines Betroffenen oder aber die Landesdatenschutzbehörde wird aus eigenem Antrieb tätig. Daher kommt es darauf an, die Risiken einer Sanktionierung zu vermeiden und generell Vorsorge für ein Aufsichtsverfahren treffen. Dies erfordert eine hinreichende Vorbereitung des M&A-Prozesses unter Einhaltung der Datenschutzbestimmungen, gerade auch mit den Anforderungen, die die Landesdatenschutzbehörden in ihren Beschlüssen der Datenschutzkonferenz aufgestellt haben. Dazu sollten die Offenlegung und Übertragung von Daten zunächst anhand der verschiedenen Phasen des M&A-Prozesses bewertet werden. Maßgebend ist hierbei, ob und inwieweit die jeweilige Maßnahme und der Inhalt der personenbezogenen Daten als Verarbeitung einem der Erlaubnistatbestände aus den Artikeln 6 und 9 der DSGVO entspricht. Auch wenn dies mit weiterem Aufwand verbunden ist, sollten die Maßnahmen und ihre jeweilige datenschutzrechtliche Rechtfertigung dokumentiert werden. Dies setzt natürlich auch eine datenschutzrechtliche Beratung und Bewertung voraus, hat aber den nicht zu unterschätzenden Vorteil, im Falle einer datenschutzrechtlichen Überprüfung die Einhaltung der Datenschutzvorschriften zeitnah nachweisen zu können. Zusätzlich können gesellschaftsrechtliche, materiellrechtliche und insolvenzrechtliche Instrumentarien und Gestaltungsformen hilfreich sein, um das Datenschutzrisiko zu beschränken oder auch auszuschließen. Allerdings ist auch nach sieben Jahren die DSGVO in vielen Bereichen noch Neuland, so dass es an übergreifender Rechtsprechung und somit Rechtssicherheit häufig noch fehlt.