Bei jeder Fusion oder Akquisition (M&A) gibt es einen Schlüsselmoment: die Analyse des Zielunternehmens oder das, was wir als "Due Diligence" bezeichnen. In diesem Prozess benötigt der Einkäufer Zugang zu vielen Informationen, um Risiken zu bewerten und Entscheidungen mit Kriterien zu treffen. Und unter all diesen Dokumenten ist es üblich, personenbezogene Daten zu finden.

Hier kommen die Datenschutzregeln ins Spiel. Nur weil wir in einem Geschäftsbetrieb sind, heißt das nicht, dass wir sie vergessen können. Im Gegenteil, gerade in einer solchen Situation müssen wir mehr Aufmerksamkeit schenken.

Die Datenschutz-Grundverordnung (DSGVO) legt eine Reihe von Grundsätzen fest, die auch im M&A-Kontext stets eingehalten werden müssen. Zum Beispiel das Prinzip der Zweckbindung (Daten dürfen nur zur Bewertung der Transaktion verwendet werden) und das Minimalprinzip (es sollten nur unbedingt notwendige Daten abgerufen werden).

Auf nationaler Ebene wird in Artikel 21 des Organgesetzes 3/2018 über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte davon ausgegangen, dass die Verarbeitung, die für strukturelle Änderungsmaßnahmen oder für die Übertragung von Unternehmen oder Wirtschaftszweigen erforderlich ist, rechtmäßig ist (sofern nicht das Gegenteil bewiesen wird). Diese Rechtmäßigkeit hängt jedoch von zwei wesentlichen Voraussetzungen ab: dass die Verarbeitung für den erfolgreichen Abschluss des Vorgangs unbedingt erforderlich ist und dass gegebenenfalls die Kontinuität der Erbringung von Dienstleistungen gewährleistet ist.

Darüber hinaus muss der Käufer, wenn das Geschäft nicht zustande kommt, die Daten, auf die er Zugriff hatte, unverzüglich löschen. Kein Aufbewahren "für alle Fälle".

Die gute Nachricht ist, dass Sie nicht von jeder betroffenen Person die Zustimmung einholen müssen, da es ausreichen kann, sich auf das berechtigte Interesse des Käufers zu verlassen. Natürlich befreit eine Rechtsgrundlage nicht von der Einhaltung der übrigen oben genannten Grundsätze, die in der DSGVO enthalten sind.

Einige wichtige Empfehlungen, um es richtig zu machen:

1. Unterzeichnung von Vertraulichkeitsvereinbarungen (NDAs) durch alle Personen mit Zugang zu Informationen, sowohl intern als auch extern, in denen Datenschutzverpflichtungen festgelegt sind;
2.  Anonymisierung personenbezogener Daten, sofern möglich;
3. Einrichtung sicherer Verfahren für die Löschung von Informationen für den Fall, dass die Transaktion nicht abgeschlossen wird; und
4. Kontrollierter Zugriff auf die sensibelsten Daten, z. B. durch eingeschränkte Umgebungen oder "Reinräume".

Diese Maßnahmen helfen nicht nur bei der Einhaltung von Vorschriften, sondern tragen auch dazu bei, das Vertrauen zwischen den Parteien zu wahren und regulatorische Risiken zu minimieren.