E-Book, Deutsch, 178 Seiten, Format (B × H): 148 mm x 210 mm
Datenschutzrechtlicher Praxisleitfaden
E-Book, Deutsch, 178 Seiten, Format (B × H): 148 mm x 210 mm
Reihe: Betriebs-Berater Schriftenreihe/ Wirtschaftsrecht
ISBN: 978-3-8005-9396-5
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Der Leser soll auf verständliche Weise für das Thema Datenschutz sensibilisiert werden. Praxisorientiert wird der Versuch unternommen, den Leser zu veranlassen, sich diesem oftmals ungeliebten Thema zu widmen.
Ziel des Buches ist, Einsteigern und Experten gleichermaßen mit den in diesem Buch eingebunden Vorlagen, Formulierungsbespielen, Listen und Hinweisen eine Arbeitshilfe im täglichen Geschäftsverkehr anzubieten.
Zielgruppe
Rechtsanwälte, Datenschutzbeauftragte, Compliance Manager
Autoren/Hrsg.
Weitere Infos & Material
II. Allgemeines zur Due Diligence
8 Wie schon zuvor dargestellt, unterliegt der Anwendungsbereich der Due Diligence keinen starren Grenzen oder Regularien.10 Nichts Anderes gilt für die Datenschutz-Due-Diligence. Inhalt und Umfang einer durchzuführenden Due-Diligence-Prüfung werden sowohl von dem Zweck, insbesondere aber auch von der Intension der beteiligten Personen beeinflusst. Der Hauptanwendungsfall liegt sicherlich im Bereich der Unternehmenstransaktion. Gerade hier zeigen sich die charakteristischen Ziele einer Due Diligence: – Risikoermittlung;
– Dokumentation;
– Ausgestaltung der Gewährleistung;
– Kaufpreisermittlung.
9 Eine Unterscheidung bei einem Unternehmensverkauf zwischen Share- und Asset Deal11 bleibt dabei zunächst12 ohne Relevanz. In beiden Fällen steht auf der einen Seite das Zielunternehmen (der Verkäufer), welches den bestmöglichen Preis für sein Unternehmen erzielen will. Auf der anderen Seite stehen die Interessen des Käufers, unter Berücksichtigung vorhandener Risiken, den adäquaten Wert dieses Unternehmens zu ermitteln. Dabei gilt der Grundsatz, dass jeder Vertragspartner für sich selbst die Vorteilhaftigkeit eines Geschäftes vor Vertragsabschluss zu überprüfen hat.13 Hierzu muss der Kaufinteressent Entwicklungsmöglichkeiten des Zielunternehmens einschätzen und Problempunkte innerhalb dieses Unternehmens erkennen.14 Im Zweifel muss der Kaufinteressent in die Lage versetzt werden, nach Durchführung des Verkaufes das Unternehmen erforderlichenfalls allein zu führen. Gerade unter Berücksichtigung der zunehmenden Bedeutung von Homeoffice stellt die technische Ausstattung eines Unternehmens, die im Zusammenhang mit der Datenschutz-Due-Diligence überprüft wird, einen nicht zu vernachlässigenden sowie wertbildenden Faktor dar. Beide Vertragsparteien haben zudem die Intention, etwaige Gewährleistungsansprüche schon dem Grunde nach auszuschließen, mithin diese gar nicht erst entstehen zu lassen.15 Zumindest die rechtlichen Berater versuchen, auf diese Fälle vorbereitet zu sein und sollten deshalb auf eine strukturierte Beweissicherung hinwirken. 10 All diese dargestellten Ziele setzen in der Konsequenz die Durchführung einer (Datenschutz-) Due Diligence voraus. Hiermit einher geht nämlich die Analyse des Ist-Zustandes.16 1. Ablauf
11 Grundsätzlich unabhängig von Ziel und Anlass der Due Diligence gestaltet sich deren Ablauf. Gleichwohl beeinflussen diese Parameter die Schwerpunktsetzung innerhalb des Analyseverfahrens im Hinblick auf Umfang und die zeitliche Ausgestaltung. Nicht zuletzt wegen den Folgen eines Verstoßes gegen datenschutzrechtliche Vorschriften17 sollte die datenschutzrechtliche Würdigung der Due Diligence dabei einen wesentlichen Prüfungspunkt einnehmen. 12 Beachte: Für die Frage des Umfanges einer datenschutzrechtlichen Due Diligence ist nicht die Größe des zu untersuchenden Unternehmens entscheidend. Die grundlegenden Prinzipien der DSGVO unterscheiden gerade nicht nach der Größe oder dem Umsatz des Unternehmens. 13 Die Gestaltung des Ablaufs sollte immer von derjenigen Partei gesteuert werden, die den größten Nutzen aus der Prüfung zieht. Starre Grenzen verbieten sich. Eine klare Strukturierung und Umsetzung ist essenziell. Unterteilt werden kann die Due Diligence grundsätzlich in zwei Phasen: Einerseits der Phase der Vorbereitung und andererseits der tatsächlichen Durchführung. In der Vorbereitungsphase müssen die Prüfer ausgewählt und dahingehende Verträge abgeschlossen werden. Das dann ausgewählte Team wird die Vorgehensweise abstimmen, Dokumentationen vorbereiten, um in den Prüfungsprozess einsteigen zu können. Ungeachtet des zumeist externen Prüfers, sollte ein zentraler Ansprechpartner im eigenen und dem Zielunternehmen benannt werden. Vermieden werden sollte die Delegation auf mehrere Personen oder Institutionen (z.B. den Steuerberater). Sind die Vorbereitungen abgeschlossen, müssen zwischen den Kaufvertragsparteien der Ablauf der Due Diligence abgestimmt und insbesondere Regelungen zum Schutz übermittelter Daten getroffen werden. Eines aber sollte vor jeder Prüfung berücksichtigt und akzeptiert werden: die sprichwörtlich „eierlegende Wollmilchsau“ ist die Due Diligence nicht. Weder können alle Risiken lokalisiert noch eine allumfängliche Lösung für die Parteien gefunden werden. Die Due Diligence darf daher ausschließlich als Instrument der Risikominimierung gesehen werden. 2. Der Prüfer
14 Zu empfehlen ist immer, einen geeigneten Berater in den Due-Diligence-Prozess einzubinden. Liegt der Schwerpunkt in wirtschaftlichen Fragen, kommen Wirtschaftsprüfer und vor allem Unternehmensberater in Betracht. Hierbei hat sich eine Vielzahl von Unternehmen gerade auf das Gebiet der Due-Diligence-Prüfung spezialisiert. Bei mittelständisch geprägten, vor allem aber kleineren Unternehmen, wird der Schwerpunkt hingegen auf der Abwicklung des Kaufes liegen. Hierfür könnte auf spezialisierte Rechtsanwälte zurückgegriffen werden. Wenngleich weit verbreitet, erscheint es wenig sinnvoll, den eigenen Rechtsanwalt oder Abschlussprüfer zu nutzen, sofern diese nicht über ausgewiesene Expertisen verfügen. Für den datenschutzrechtlichen Schwerpunkt der Due Diligence ist es zu empfehlen, einen in Datenschutzfragen versierten Prüfer, vornehmlich einen Rechtsanwalt, einzubinden. Zwar stellt die technische Umsetzung des Datenschutzes gesteigerte Anforderungen, was die Zusammenarbeit mit einem EDV-Dienstleister nahelegt. Jedoch stellt das Datenschutzrecht nicht unerhebliche formelle Anforderungen, sei es beispielsweise hinsichtlich notwendiger Belehrungen oder dem Abschluss von Auftragsverarbeitungsvereinbarungen. Zudem wirft selbst die Durchführung einer (Datenschutz-) Due Diligence bei einem Unternehmenskauf viele datenschutzrechtliche Probleme auf. Deren Lösung setzt zwangsläufig die Kenntnis der aktuellen, sich stetig ändernden, Rechtslage voraus. Diese Kenntnis kann im Regelfall nur durch einen Rechtsanwalt gewährleistet werden. Zu empfehlen ist in jedem Falle, einen zentralen Ansprechpartner, quasi den „Obergutachter“, zu benennen. Ihm kommt bei der Due Diligence eine zentrale Rolle zu. Er muss Gespräche zwischen den Kaufvertragsparteien und eingebundenen Personen koordinieren. Der Gutachter ist verantwortlich für Ablauf und Erfolg der Prüfung. Er sollte entscheiden, ob die Einbindung weiterer Sachverständiger, bei der Datenschutz-Due-Diligence insbesondere von EDV-Fachleuten, sinnvoll ist. Nur durch eine Zentralisierung können die ordnungsgemäße Dokumentation sowie die Aufbereitung der Ergebnisse sichergestellt werden. Auch aus haftungsrechtlichen Erwägungen empfiehlt sich die Beauftragung eines Obergutachters. Für den Auftraggeber sollte nur das Ergebnis entscheidend sein und nicht die Frage, wer von den Beratern für mögliche Fehler einzustehen hat. 3. Vertraulichkeit/Letter of Intent
15 Grundlegendes Ziel datenschutzrechtlicher Normen ist der Schutz personenbezogener Daten.18 Abseits des Datenschutzes ist die Sicherstellung der Vertraulichkeit sensibler Unternehmensdaten, gleich ob mit Personenbezug oder nicht, bei der Durchführung einer Due Diligence im Rahmen eines Unternehmensverkaufes zu gewährleisten. Hier stehen sich die Interessen des potenziellen Käufers, der sich umfassend über das Zielunternehmen informieren, und die des Verkäufers, der möglichst wenig Informationen herausgeben möchte, solange der Verkauf nicht sicher ist, gegenüber. Aus Sicht des Zielunternehmens besteht zudem die Gefahr, dass sich durch die Prüfung erteilter Informationen Risiken aufzeigen, die sich mindernd auf den Kaufpreis auswirken können. Beide Interessen sind nachvollziehbar, ein mögliches Konfliktpotenzial aber unvermeidbar. Zumindest um dem Argument der Kaufpreisminderung entgegenzuwirken, ist es in der Praxis nicht unüblich, eine so genannte Vendor Due Diligence19 (= verkäuferseitige Due Diligence) durchzuführen. Zwar besteht hierzu keine rechtliche Notwendigkeit.20 In der Praxis zeigen sich aber immer wieder Konstellationen, in denen erst der Kaufinteressent das Zielunternehmen auf dortige Missstände hinweist. Im Bereich des Datenschutzes ist ohnehin und ungeachtet der Folgen eines Verstoßes angezeigt, eine (Vendor) Due-Diligence-Prüfung durchzuführen. 16 In der Praxis üblich und dringend zu empfehlen ist der Abschluss einer Absichtserklärung, im Rechtsverkehr in der Regel als „Letter of Intent“ (LoI), „Memorandum of understanding“ (MoU) oder „Letter of Understanding“ (LoU) bezeichnet. Einheitlich werden diese Begrifflichkeiten nicht verwandt. Es gibt daher auch keine standardisierten Vorlagen. Im Regelfall wird hiermit, wie der Name schon vermuten lässt, die Absicht bekundet, einen Vertrag abzuschließen. Abhängig von dem Zeitpunkt des Vertragsabschlusses wird mehr oder weniger konkret auf Ziele und Umsetzungsszenarien eines Verkaufes, Kaufpreishöhen oder eine etwaige Exklusivität eingegangen. Zumindest in groben Zügen sollte beschrieben werden, was die Parteien, in welcher Zeit umzusetzen beabsichtigen. Problematisch, wenngleich oftmals gewollt, ist, dass derartige Absichtserklärungen zumeist keine verbindlichen Rechtswirkungen zur Folge haben,21 insbesondere die Parteien nicht binden, einen (z.B.)...
