Die Liechtensteinische Datenschutzstelle hat als nationale Datenschutzaufsichtsbehörde auf ihrer Internetseite interessante Informationen zur datenschutzkonformen Durchführung eines Due Diligence veröffentlicht. Dabei handelt es sich um die möglichst sorgfältige Prüfung eines Unternehmens durch potenzielle Käufer oder Investoren vor einer Transaktion (z.B. Unternehmenskauf, Fusion). Ziel ist es, Chancen und Risiken in den Bereichen Finanzen, Steuern, Recht und Betrieb aufzudecken, um den Unternehmenswert zu bestätigen und Haftungsrisiken zu minimieren.
Ich selbst habe damit nur im Rahmen meiner Angestelltenzeit zu tun gehabt, meist bedeutet das dann für einen selber aber nichts Gutes, aber das ist eine andere Geschichte.
Die Seite der Aufsichtsbehörde ist wirklich gelungen, da das quasi ein One-Pager zu dem Thema ist.
Datenschutzrechtlich geht es um die Frage, wie die Transparenzinteressen des Käuferunternehmens an einer umfassenden Offenlegung und die Schutz- und Treuepflichten des Verkäuferunternehmens hinichtlich der Schutzinteresse der betroffenen Personen angemessen ausgeübt werden können? Etabliert hat sich hier eine abgestufter Prozess. Aber kommen wir zu den Ausführungen der Behörde.
Grundsätzlich ist es so, wie die Aufsichtsbehörde mitteilt, dass die Verantwortlichen im Rahmen einer Due Diligence-Prüfung den datenschutzrechtlichen Grundsatz der Datenminimierung und Verhältnismässigkeit zu achten (Art. 5 Abs. 1 Bst. c DSGVO) haben. Einer Offenlegung von personenbezogenen Daten darf jedoch nur so weit nachgegeben werden, wie sie für die Zwecke der geplanten Due Diligence-Prüfung unerlässlich sowie verhältnismässig ist («auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt») und mit den übrigen datenschutzrechtlichen Anforderungen in Einklang gebracht werden kann.
Auch hier bleibe es bei den Grundsatz, dass jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage benötige. Im Falle eines Unternehmensverkaufs und der damit einhergehenden Offenlegung und Übertragung von personenbezogenen Daten im Rahmen der Due Diligence-Prüfung ist dies regelmässig das berechtigte Interesse des verkaufenden Unternehmens und der Käuferin gemäss Art. 6 Abs. 1 lit. f) DSGVO.
“Um sich auf das berechtigte Interesse berufen zu können, muss ein Verantwortlicher jedoch zuvor eine sorgfältige Interessenabwägung vornehmen. Nur wenn im konkreten Fall die geplante Datenverarbeitung zur Wahrung seines berechtigten Interesses erforderlich ist und die schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen, darf Art. 6 Abs. 1 Bst. f DSGVO als Rechtsgrundlage für die Datenverarbeitung herangezogen werden.“
Bei eine Übermittlung von Daten, die nicht “absolut notwendig” seien, bleibe nur die Option die Daten zu anonymisieren oder vorher eine Einwilligung der Betroffenen einzuholen. Faustregel sei insofern: Reduzieren, Aggregieren oder das Anonymisieren!
Die Aufsichtsbehörde liefert weiterhin auch noch einen Exkurs zur Einordung solcher Deals. Wir unterscheiden hier zwischen einem Share Deal oder einen Asset Deal. Bei einem Share Deal werden nur Anteile (Shares) an einem Unternehmen übertragen und bleibt das Unternehmen als rechtliche Einheit bestehen. Der datenschutzrechtlich Verantwortliche bleibt somit derselbe. In vielen Fällen wird daher bei unveränderter Unternehmensfortführung zunächst keine Anpassung der datenschutzrechtlichen Informationen und Dokumentation erforderlich sein. Das spielt natürlich eine große Rollen, wenn es um die Kundendaten geht, weswegen diese Einordnung essentiell ist!
“Bei einem Asset Deal hingegen werden einzelne Vermögensgegenstände (Assets), beispielsweise Grundstücke, Maschinen, Rechte oder auch Datenbestände wie ein Kundenstamm, verkauft bzw. an einen neuen Eigentümer übertragen (insb. bei der Übertragung von Einzelunternehmen/Personengesellschaften, aber auch bei gezielten Verkäufen von Assets). Dadurch ändert sich der Verantwortliche für die betroffenen Personen und womöglich in der Folge auch andere datenschutzrechtliche Aspekte wie der Verarbeitungszweck etc. In diesem Fall müssen die datenschutzrechtlichen Verpflichtungen sorgfältig überprüft werden. Besonders zu beachten sind dabei die Rechtsgrundlage(n), aber auch die Transparenzanforderungen gegenüber den Betroffenen. Ausserdem müssen vor einem geplanten Übertrag eines Kundestammes die betroffenen Kunden darüber informiert werden und sie müssen mit der Übertragung einverstanden sein bzw. es muss ihnen zumindest aktiv die Möglichkeit zum opt-out (z.B. via Vertragsauflösung) gegeben werden. Danach muss der neue Eigentümer (Verantwortliche) die übertragenen Kunden mit einer neuen Information gemäss Art. 13 und 14 DSGVO über seine Verarbeitung ihrer personenbezogenen Daten informieren.“
