Due Diligence: Datenschutz als wesentlicher Faktor
In den letzten Jahren hat sich der Datenschutz zu einem entscheidenden Thema im Rahmen von Mergers & Acquisitions (M&A) entwickelt. Käufer von Unternehmen müssen sicherstellen, dass die Zielunternehmen datenschutzrechtlich compliant sind, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Ein nicht korrekt umgesetzter Datenschutz kann nicht nur rechtliche Risiken bergen, sondern auch den Wert eines Unternehmens erheblich mindern.
Laut einer Umfrage des Datenraumanbieters Merrill bewerten 55 % der Befragten mangelnde Datenschutz-Compliance als „Dealbreaker“. Zudem sind 66 % der Meinung, dass durch die DSGVO Datenschutzfragen an Bedeutung gewonnen haben. Neben der Einhaltung von Datenschutzanforderungen, wie der Erstellung von AV-Verträgen und der Prüfung technischer und organisatorischer Maßnahmen (TOM), sind auch klare Regelungen in Geheimhaltungsvereinbarungen (NDAs) und Memoranda notwendig. Käufer tragen nach Abschluss der Transaktion die Verantwortung gemäß der DSGVO, mögliche Datenschutzmängel der Zielgesellschaft zu beheben.
Datenschutzprüfung im Due Diligence-Prozess
1. Analyse der Datenverarbeitungsprozesse: Ein zentraler Punkt bei der Due Diligence ist die Bewertung der Datenverarbeitungsprozesse des Zielunternehmens. Hierbei ist es wichtig zu verstehen, wie personenbezogene Daten gesammelt, gespeichert und verarbeitet werden. Unternehmen, die über eine klare und gut dokumentierte Datenflussanalyse sowie ein Register der Verarbeitungstätigkeiten (RoPA) verfügen, signalisieren eine starke Datenschutzkonformität, was für potenzielle Käufer von Vorteil ist.
2. Datenschutzrichtlinien und ‑vereinbarungen: Die Einhaltung der DSGVO und anderer Datenschutzgesetze muss durch geeignete Datenschutzrichtlinien und Datenverarbeitungsverträge abgesichert werden. Käufer achten insbesondere auf vorhandene Standardvertragsklauseln und Datenübermittlungsvereinbarungen mit Drittanbietern, um sicherzustellen, dass die Verarbeitung personenbezogener Daten international gesetzeskonform erfolgt.
3. IT-Sicherheitsmaßnahmen und Datenschutzverletzungen: Datenschutz und IT-Sicherheit gehen Hand in Hand. In der Due Diligence werden daher nicht nur die Datenschutzprozesse überprüft, sondern auch die IT-Sicherheitsmaßnahmen des Zielunternehmens. Sicherheitslücken oder frühere Datenschutzverletzungen können sich negativ auf die Unternehmensbewertung auswirken. Ein prominentes Beispiel ist die Übernahme von Yahoo durch Verizon, bei der die Nichtoffenlegung von Datenpannen zu einer drastischen Reduzierung des Kaufpreises führte.
Der Einfluss von Datenschutz auf die Unternehmensbewertung
Positiver Einfluss: Unternehmen, die proaktive Datenschutzmaßnahmen implementiert haben, beispielsweise durch regelmäßige Datenschutz-Audits und die Integration eines umfassenden Datenschutzmanagements, steigern ihren Unternehmenswert. Dies liegt daran, dass weniger Nachbesserungen und Investitionen nach einer Übernahme erforderlich sind.
Negativer Einfluss: Andererseits führen Lücken in der Datenschutz-Compliance oft zu kostspieligen Nacharbeiten oder sogar zu Rechtsstreitigkeiten, die den Unternehmenswert schmälern. Viele Käufer nehmen Datenschutzverstöße und fehlende Compliance-Maßnahmen als Grund, um den Kaufpreis nachzuverhandeln oder von einer Transaktion ganz abzusehen.
Empfehlungen für Unternehmen
Um den Datenschutz im Rahmen von M&A‑Prozessen zu optimieren, sollten Unternehmen:
- Regelmäßige Datenschutzprüfungen durchführen und dabei sicherstellen, dass die Datenverarbeitung im Einklang mit den gesetzlichen Vorschriften steht.
- Datenschutzverletzungen offenlegen und geeignete Sicherheitsvorkehrungen treffen, um das Risiko zukünftiger Pannen zu minimieren.
- Datenschutzverträge mit Drittanbietern und Partnern sorgfältig prüfen, um rechtliche Fallstricke zu vermeiden.
Durch eine sorgfältige Implementierung dieser Maßnahmen können Unternehmen ihre Attraktivität bei potenziellen Käufern steigern und gleichzeitig die Risiken von Datenschutzverstößen minimieren.