Due-Diligence-Prüfung und der Faktor “Datenschutz”

Fragen?

Sie haben eine Frage zum Beitrag?
Nehmen Sie Kontakt mit uns auf

PETZKA Management & Consulting GmbH

Was ist eine Due-Diligence-Prüfung?

Eine Due-Diligence-Prüfung ist ein etabliertes Verfahren bzw. Vorgehen um einen Unternehmenswert anhand der Stärken, Schwächen und etwaigen Risiken des Unternehmens zu bestimmen. Ziel einer Due-Diligence ist es, die Käufer bzw. Investoren durch die Analyse einzelner Unternehmensbestandteile vor möglichen Risiken zu schützen und die mögliche Investition abzusichern. Nach der Wertfindung liegt ein umfassendes Bild über die Vermögenswerte des geprüften Unternehmens vor.

Angestoßen wird eine Due-Diligence-Prüfung oft von potenziellen Käufern und Investoren. Die Durchführung erfolgt zumeist mit externen Beratern, Steuerberatern oder Wirtschaftsprüfern.

Datenschutz ist fester Bestandteil einer Due-Diligence-Prüfung

Natürlich spielt auch das Thema Datenschutz bei der Due-Diligence-Prüfung eine wichtige Rolle. So werden dem Prüfenden für die Durchführung der Bewertung eine Vielzahl an Daten zur Verfügung gestellt, welche auch personenbezogene Daten einschließen können. Beispielsweise können im Rahmen der Due-Diligence-Prüfung nicht nur Geschäftsdaten, sondern auch Daten von natürlichen Personen verarbeitet werden. Darüber hinaus spielt auch die spätere Verwendung der Daten eines übernommenen Unternehmens eine entscheidende Rolle und daher ist es unabdingbar, dass auch die Daten rechtmäßig erhoben worden sind.

Richtungsweisende Urteile & Bußgelder

Der Datenschutz war nicht immer ein fester Bestandteil von Due-Diligence-Prüfungen. Mit Inkrafttreten der DSGVO und der nationalen Gesetze (wie das BDSG) wurden auch Auflagen und Regularien geschaffen, an die juristische Personen und deren Verarbeitung von personenbezogenen Daten gebunden sind. Stark betroffen sind daher datengetriebene Unternehmen oder Unternehmensbestandteile, bei denen im Rahmen der Due-Diligence-Prüfung ein besonderer Wert auf die Güte des gesammelten Datenbestands gelegt wird.

Hinzukommen neben den rechtlichen Datenschutz-Gegebenheiten einige bekannte Bußgeldverfahren, die den Umfang der Due-Diligence-Prüfung geprägt haben:

Empfehlung: Binden Sie Ihren Datenschutzbeauftragten immer mit ein

Es empfiehlt sich bei der Planung und Durchführung einer Due-Diligence-Prüfung einen Datenschutz-Experten einzubinden. Schon bei der Weitergabe von personenbezogenen Daten und unternehmensbezogenen Dokumenten können entscheidende Fehler passieren, zum Beispiel bei der Zulässigkeitsprüfung der Daten-Anonymisierung.

Des Weiteren ist es auch ein Vorteil, wenn Sie bei der Due-Diligence-Prüfung auf nachstehende Fragen eine Antwort wissen:

  • Wer kümmert sich bei Ihnen um den Bereich Datenschutz?
  • Wer ist für den Bereich Datenschutz verantwortlich?
  • Welche Rechtsgrundlage liegt der jeweiligen Verarbeitung zu Grunde?
  • Kennen Sie die Grundsätze der Verarbeitung nach DSGVO?
  • Besitzen Sie eine wirksame Vertraulichkeitsvereinbarung zwischen den Beteiligten?
  • Wie stellen Sie sicher, dass Sie die Informationspflichten gegenüber Betroffenen gewährleisten?
  • Wie ist das aktuelle Datenschutz-Niveau? Kennen Sie Ihre Stärken und Schwächen?
  • Besitzen Sie ein gepflegtes Datenschutz Management System?
  • Besteht ein aktuelles Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO?
  • Wurden bislang Datenschutzfolgenabschätzungen (DSFA) gemäß Art. 35 DSGVO durchgeführt?
  • Liegt eine aktuelle Übersicht der Auftragsverarbeitungsverträge (AV-Verträge) gemäß ARt. 28 DSGVO vor?
  • Besitzen Sie eine aktuelle Übersicht der Einwilligungserklärungen? Wer verwaltet diese Übersicht?
  • Liegt Ihnen für den Standort eine Beschreibung der technischen- und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO vor?
  • Wie löschen Sie vorhandene physische und/oder digitale Daten? Besitzen Sie ein Löschkonzept?
DSGVO-Ersteinschätzung: Wir liefern Ihnen gerne eine erste kostenfreie Checkliste zur Bestimmung Ihres aktuellen Datenschutz-Niveaus.

Fazit

Viele Investoren haben in Sachen Datenschutz ein besonderes Augenmerk auf die zentralen Datenschutz-Dokumente und -Prozesse, sowie auf die technischen Maßnahmen bzw. wie das zu prüfendende Unternehmen die Datensicherheit umsetzt. Unumstritten ist ein Hauptprüfkriterien das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Mit dem Verzeichnis erfüllt der Verantwortliche seine Dokumentationspflicht und erfasst damit alle vorhandenen Prozesse, in denen sich personenbezogenen Daten des Unternehmens befinden. Vorbildlich wäre ein funktionierendes, vollständig implementiertes Datenschutz Management System (DMS), in dem alle Vorgänge bezüglich Datenschutz erfasst werden.

Sollten die obigen Punkte Unklarheiten hervorrufen, wäre ein Implementierungsprojekt aus Käufer- und Verkäufersicht von Vorteil, da letztere von möglichen Bußgeldrisiken abgeschreckt werden können und Käufer gewillt sind, das bestmögliche Ergebnis bei einer Due-Diligence-Prüfung zu erzielen.

Sie möchten mehr über Datenschutz-Tätigkeiten bei Due-Diligence-Prüfungen erfahren?

Vereinbaren Sie doch ein Kennenlernen mit einem unserer Experten.


Bildquelle(n) Beitragsseite “Due Diligence Prüfung und der Datenschutz”:

-Beitragsbild 1: pixabay.com – geralt– entrepreneur-idea-competence-vision-1340649/

-Beitragsbild 2: pixabay.com – DCG_MAK – checklist-list-ticked-off-hook-2945401/

Gefällt Ihnen der Beitrag?

Wir freuen uns über eine Empfehlung: