Der erste Teil dieses Newsletters zum Datenschutz beim Unternehmenskauf hat sich mit der Transaktionsstruktur und der Due Diligence befasst. Einen weiteren Bereich, für den datenschutzrechtliche Aspekte maßgeblich sind, betrifft die Ausgestaltung des Unternehmenskaufvertrages. Unbeschadet davon, ob die Akquisition als Share Deal oder Asset Deal ausgestaltet ist, ist in dem Kaufvertrag abzubilden, wer in welchem Umfang für einen Verstoß gegen datenschutzrechtliche Vorschriften im Zielunternehmen haftet. Wie bereits im vorangegangenen Newsletter dargestellt, ist die rechtliche und wirtschaftliche Relevanz von Verstößen gegen das Datenschutzrecht erheblich gestiegen. Deshalb kommt der Ausgestaltung des datenschutzrechtlichen Haftungsregimes im Unternehmenskaufvertrag heute eine weitaus höhere Bedeutung zu als dies in der Vergangenheit war.

Bei der Durchsetzung der Positionen der Kaufvertragsparteien spielt ‒ wie bei jeder Verhandlung ‒ die Verhandlungsmacht und das Verhandlungsgeschick jeder Partei eine wichtige Rolle. Während der Käufer die datenschutzrechtlichen Risiken im Zielunternehmen möglichst umfassend ausschließen möchte, möchte der Verkäufer für diese nicht einstehen. Dabei führen die unterschiedlichen Interessenslagen bei der Verhandlung des Haftungsregimes für Verstöße gegen das Datenschutzrecht zu einem besonderen Spannungsverhältnis. So besteht in der unternehmerischen Praxis allgemein die Auffassung, dass es unmöglich sei, den datenschutzrechtlichen Pflichten umfassend und vollkommen nachzukommen. Das gilt insbesondere für kleinere mittelständische Unternehmen. Die Bereitschaft des Verkäufers, für Verstöße gegen das Datenschutzrecht einzustehen, ist daher grundsätzlich gering. Gänzlich anders ist die Sichtweise des Käufers. Denn das sich aus einem Datenschutzverstoß ergebende wirtschaftliche Risiko für das Zielunternehmen und den Käufer ist nur schwer kalkulierbar. Der gesetzliche Bußgeldrahmen bei Verstößen lässt erheblichen Ermessenspielraum zu, der von den Datenschutzbehörden unterschiedlich ausgeübt wird. Hinzu kommt, dass es im Rahmen der Due Diligence aus Zeit- und Kostengründen in der Regel nicht möglich sein wird, die Einhaltung sämtlicher datenschutzrechtlicher Vorschriften zu überprüfen. Folglich möchte der Käufer seine eigene Haftung für etwaige Datenschutzverstöße im Unternehmen minimieren oder gar ausschließen.

Da letztlich nur der Verkäufer dieses Haftungsrisiko kennen und einschätzen kann und es für die Vergangenheit ausschließlich in seiner Macht gelegen hat, dieses Risiko zu minimieren, wird der Käufer in aller Regel keinen Haftungsausschluss akzeptieren. Oft stellt sich in der Verhandlungspraxis eine zeitliche Aufteilung und Befristung der Haftung als vermittelnder Weg dar. Danach haftet der Verkäufer nur für Verstöße, die zeitlich vor der Unternehmensübertragung stattgefunden haben. Ab diesem Zeitpunkt hingegen obliegt es dem Käufer, neue datenschutzrechtliche Verstöße zu unterbinden und bestehende Dauerverstöße abzustellen. Dieses Regime kann mit gesonderten zeitlichen und quantitativen Haftungsgrenzen sowie mit auf den Einzelfall angepasste Wissenszurechnungsklauseln flankiert werden.