oder pseudonymisiert) zu machen, erheblich. Erwartungsgemäß wird zudem der Käufer ein nachhaltiges Interesse daran haben, Datenmaterial umfassend zu prüfen. Wäre nun ein Großteil nicht verwertbar oder wenig aussagekräftig, würde dies nachhaltigen Einfluss auf die Kaufpreisbildung nehmen. Mangels praktischer Umgehungsmöglichkeit bleibt der Anwendungsbereich der DSGVO also eröffnet. Dadurch ist eine Vielzahl von Regelungen zu berücksichtigen, die im Vorwege der Due Diligence abzuprüfen sind. Es ist insbesondere zu klären, welche Parteien an der Prüfung teilnehmen und welcher Aufgabenkreis ihnen zukommen soll. Abhängig hiervon müsste der Abschluss einer Vereinbarung gemäß Art. 26 Abs. 1 Satz 2 DSGVO und/oder einer Auftragsdatenverarbeitungsvereinbarung78 gemäß Art. 28 Abs. 3 Satz 1 DSGVO in Betracht gezogen werden. Zu berücksichtigen ist, dass die mit der Due Diligence einhergehenden Datenverarbeitungsvorgänge stets durch eine Rechtsgrundlage der DSGVO legitimiert werden. Hierbei ist für einen Teil der Daten zu prüfen, ob Informationsverpflichtungen gemäß Art. 13, 14 DSGVO bestehen. Darüber hinaus ist der Ort der Prüfung festzulegen. Wesentliche Bedeutung kommt zudem der Frage zu, welche Daten zu überprüfen sind. Schlussendlich wird (auch) hiervon abhängig sein, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO anzustellen oder ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu erstellen ist.
52
Praktische Erwägung:
Sämtliche Überlegungen sind dabei immer vor dem Hintergrund anzustellen, dass jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage erfordert. Wenn es Art und Umfang einer Prüfung zulassen, z.B. wenn es nur vorbereitende Gespräche über einen Unternehmenskauf betrifft, bei dem lediglich kursorisch Unternehmensdaten geprüft werden, sollte eine Anonymisierung in Erwägung gezogen werden. Datenschutzrechtliche Fragen könnten so, zumindest vorübergehend, vermieden werden.
53
Bei Missachtung einschlägiger Vorschriften drohen schon bei der Durchführung der Due Diligence Risiken hinsichtlich einer Verhängung von Bußgeldern oder der Zahlung von Schadenersatz.79
2. Datenschutzrechtliche Stellung der Beteiligten
54
Bei jeder Due Diligence ist für die Berücksichtigung datenschutzrechtlicher Regelungen zunächst festzustellen, welche Parteien hieran teilnehmen und welche Mittel für deren Durchführung eingesetzt werden. Zu empfehlen ist die Erstellung einer Übersicht, in der neben der Bezeichnung der Parteien auch deren Aufgabenkreis umrissen wird. Nur so ist es möglich, die Verantwortlichkeit dieser Partei im Sinne der DSGVO festzulegen. Dabei greift die pauschale Unterscheidung zwischen Verkäufer und Käufer sicherlich zu kurz. Im Datenschutzrecht gibt es keine starren Begrifflichkeiten. Die Fluktuation macht es daher schwierig, im Vorwege die einzig richtig Lösung festzulegen. Bei einer weiten Auslegung des Begriffes der Verantwortlichkeit gemäß Art. 26 DSGVO, werden die Kaufvertragsparteien als gemeinsam Verantwortliche anzusehen sein. Allerdings erfolgt die Due-Diligence-Prüfung, gerade im Bereich des Datenschutzes, zumeist nicht durch die Kaufvertragsparteien bzw. deren rechtliche Vertreter, sondern durch beauftragte Dritte. Werden aber Dritte eingesetzt, ist fraglich, ob diese ebenso Mitverantwortliche im Sinne des Art. 26 DSGVO sind oder ihnen sogar eine Eigenverantwortlichkeit zukommt. Denkbar wäre ebenso, ein Auftragsverarbeitungsverhältnis zwischen dem Verantwortlichen und dem eingeschalteten Dritten anzunehmen, Art. 28 DSGVO. Dabei können auch Dritte beteiligt sein, die schon lange vor Durchführung der Due Diligence und unabhängig hiervon beauftragt waren. Typische Beispiele sind der EDV-Dienstleister80 und der Datenschutzbeauftragte.
55
Bindeglied zwischen allen Beteiligten ist der Ort der Prüfung. Früher wurden die Unternehmensinformationen schlicht innerhalb der Räumlichkeiten des Zielunternehmens oder dessen Beratern in Papierform zur Einsicht und Prüfung bereitgestellt. Datenschutzrechtlich ist dies weiterhin zu empfehlen, um so den größtmöglichen Schutz der Informationen, nicht zuletzt den eigenen Unternehmensdaten, zu gewährleisten. Gängige Praxis ist dies allerdings nicht mehr. Heutzutage gewinnen digitale Datenräume zunehmend an Bedeutung. Zumeist werden hierzu professionelle Anbieter von Cloud-Lösungen, und damit ein weiterer relevanter Beteiligter, eingesetzt, die ein umfassendes Rechtemanagement zur Verfügung stellen.
56
Die Auswahl der Beteiligten sollte gut durchdacht werden, um auch hierbei Verstöße gegen Datenschutzvorschriften zu vermeiden. Wiederum zeigt sich, dass es im Datenschutzrecht keine starren Begrifflichkeiten gibt und auch die Eigenschaft der Beteiligten fluktuiert.
73 Nach Art. 3 DSGVO muss ein Bezug zur Europäischen Union gegeben sein; dazu im Detail Kapitel 1 Rn. 27ff. 74 Dies wird auch im DSK-Kurzpapier Nr. 16 unterstellt. Ebenso Grau, FS Willemsen, 2018, S. 147, 148. 75 Beispielsweise handelt es sich bei IP-Adressen um personenbezogene Daten, da es möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen, BGH, Urt. v. 16.5.2017 – NJW 2017, 2416, 2416f. 76 So Erwägungsgrund 26. 77 Denkbar wäre die Unkenntlichkeitsmachung, klassisch in Form von Schwärzen. Dzida, BB 2019, 3060, 3063, spricht vom so genannten „Signing“; dazu im Detail Kapitel 2 Rn. 184f. 78 Art. 28 Abs. 3 Satz 1 DSGVO spricht von einem „Vertrag“ oder „einem anderen Rechtsinstrument“. 79 Dazu im Detail Kapitel 1 Rn. 37ff. 80 Hierunter fällt nicht nur der Hard- und Software-Betreuer, sondern auch der Dienstleister der im Unternehmen eingesetzten Softwarekomponenten.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.