Was ist eine Due-Diligence-Prüfung?
Eine Due-Diligence-Prüfung ist ein etabliertes Verfahren bzw. Vorgehen um einen Unternehmenswert anhand der Stärken, Schwächen und etwaigen Risiken des Unternehmens zu bestimmen. Ziel einer Due-Diligence ist es, die Käufer bzw. Investoren durch die Analyse einzelner Unternehmensbestandteile vor möglichen Risiken zu schützen und die mögliche Investition abzusichern. Nach der Wertfindung liegt ein umfassendes Bild über die Vermögenswerte des geprüften Unternehmens vor.
Angestoßen wird eine Due-Diligence-Prüfung oft von potenziellen Käufern und Investoren. Die Durchführung erfolgt zumeist mit externen Beratern, Steuerberatern oder Wirtschaftsprüfern.
Datenschutz ist fester Bestandteil einer Due-Diligence-Prüfung
Natürlich spielt auch das Thema Datenschutz bei der Due-Diligence-Prüfung eine wichtige Rolle. So werden dem Prüfenden für die Durchführung der Bewertung eine Vielzahl an Daten zur Verfügung gestellt, welche auch personenbezogene Daten einschließen können. Beispielsweise können im Rahmen der Due-Diligence-Prüfung nicht nur Geschäftsdaten, sondern auch Daten von natürlichen Personen verarbeitet werden. Darüber hinaus spielt auch die spätere Verwendung der Daten eines übernommenen Unternehmens eine entscheidende Rolle und daher ist es unabdingbar, dass auch die Daten rechtmäßig erhoben worden sind.
Richtungsweisende Urteile & Bußgelder
Der Datenschutz war nicht immer ein fester Bestandteil von Due-Diligence-Prüfungen. Mit Inkrafttreten der DSGVO und der nationalen Gesetze (wie das BDSG) wurden auch Auflagen und Regularien geschaffen, an die juristische Personen und deren Verarbeitung von personenbezogenen Daten gebunden sind. Stark betroffen sind daher datengetriebene Unternehmen oder Unternehmensbestandteile, bei denen im Rahmen der Due-Diligence-Prüfung ein besonderer Wert auf die Güte des gesammelten Datenbestands gelegt wird.
Hinzukommen neben den rechtlichen Datenschutz-Gegebenheiten einige bekannte Bußgeldverfahren, die den Umfang der Due-Diligence-Prüfung geprägt haben:
- Bayern / Deutschland – Gescheiterter Asset Deal: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem erheblichen – mittlerweile unanfechtbaren – Bußgeld belegt…
- International – Bußgeld der Brittischen Aufsichtsbhörde wegen der fehlenden Sicherheit bei Kundendaten: „[…]The proposed fine relates to a cyber incident which was notified to the ICO by Marriott in November 2018. A variety of personal data contained in approximately 339 million guest records globally were exposed by the incident, of which around 30 million related to residents of 31 countries in the European Economic Area (EEA). Seven million related to UK residents. It is believed the vulnerability began when the systems of the Starwood hotels group were compromised in 2014. Marriott subsequently acquired Starwood in 2016, but the exposure of customer information was not discovered until 2018. The ICO’s investigation found that Marriott failed to undertake sufficient due diligence when it bought Starwood and should also have done more to secure its systems.[…]“
Empfehlung: Binden Sie Ihren Datenschutzbeauftragten immer mit ein
Es empfiehlt sich bei der Planung und Durchführung einer Due-Diligence-Prüfung einen Datenschutz-Experten einzubinden. Schon bei der Weitergabe von personenbezogenen Daten und unternehmensbezogenen Dokumenten können entscheidende Fehler passieren, zum Beispiel bei der Zulässigkeitsprüfung der Daten-Anonymisierung.
Des Weiteren ist es auch ein Vorteil, wenn Sie bei der Due-Diligence-Prüfung auf nachstehende Fragen eine Antwort wissen:
- Wer kümmert sich bei Ihnen um den Bereich Datenschutz?
- Wer ist für den Bereich Datenschutz verantwortlich?
- Welche Rechtsgrundlage liegt der jeweiligen Verarbeitung zu Grunde?
- Kennen Sie die Grundsätze der Verarbeitung nach DSGVO?
- Besitzen Sie eine wirksame Vertraulichkeitsvereinbarung zwischen den Beteiligten?
- Wie stellen Sie sicher, dass Sie die Informationspflichten gegenüber Betroffenen gewährleisten?
- Wie ist das aktuelle Datenschutz-Niveau? Kennen Sie Ihre Stärken und Schwächen?
- Besitzen Sie ein gepflegtes Datenschutz Management System?
- Besteht ein aktuelles Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO?
- Wurden bislang Datenschutzfolgenabschätzungen (DSFA) gemäß Art. 35 DSGVO durchgeführt?
- Liegt eine aktuelle Übersicht der Auftragsverarbeitungsverträge (AV-Verträge) gemäß ARt. 28 DSGVO vor?
- Besitzen Sie eine aktuelle Übersicht der Einwilligungserklärungen? Wer verwaltet diese Übersicht?
- Liegt Ihnen für den Standort eine Beschreibung der technischen- und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO vor?
- Wie löschen Sie vorhandene physische und/oder digitale Daten? Besitzen Sie ein Löschkonzept?
Fazit
Viele Investoren haben in Sachen Datenschutz ein besonderes Augenmerk auf die zentralen Datenschutz-Dokumente und -Prozesse, sowie auf die technischen Maßnahmen bzw. wie das zu prüfendende Unternehmen die Datensicherheit umsetzt. Unumstritten ist ein Hauptprüfkriterien das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Mit dem Verzeichnis erfüllt der Verantwortliche seine Dokumentationspflicht und erfasst damit alle vorhandenen Prozesse, in denen sich personenbezogenen Daten des Unternehmens befinden. Vorbildlich wäre ein funktionierendes, vollständig implementiertes Datenschutz Management System (DMS), in dem alle Vorgänge bezüglich Datenschutz erfasst werden.
Sollten die obigen Punkte Unklarheiten hervorrufen, wäre ein Implementierungsprojekt aus Käufer- und Verkäufersicht von Vorteil, da letztere von möglichen Bußgeldrisiken abgeschreckt werden können und Käufer gewillt sind, das bestmögliche Ergebnis bei einer Due-Diligence-Prüfung zu erzielen.
Sie möchten mehr über Datenschutz-Tätigkeiten bei Due-Diligence-Prüfungen erfahren?
Vereinbaren Sie doch ein Kennenlernen mit einem unserer Experten.
Bildquelle(n) Beitragsseite „Due Diligence Prüfung und der Datenschutz“:
-Beitragsbild 1: pixabay.com – geralt– entrepreneur-idea-competence-vision-1340649/
-Beitragsbild 2: pixabay.com – DCG_MAK – checklist-list-ticked-off-hook-2945401/