Due Diligence E-Book

ISBN: 978-3-8005-1789-3

© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Vorbemerkung

Theorie trifft auf Praxis. So einfach dies klingt, so kontrovers lassen sich diese beiden Facetten im Datenschutzrecht diskutieren. Dabei sind die gesetzlichen Vorgaben in der Regel eindeutig, wenngleich in nahezu allen Bereichen höchstrichterliche Rechtsprechung fehlt. Die Zusammenarbeit der Autoren, die beide u.a. als Datenschutzbeauftragte tätig sind, war immer wieder geprägt durch die Frage, wie sich die oftmals sehr theoretisch anmutenden gesetzlichen Vorgaben in der Praxis praktikabel umsetzen lassen. Wiederholt angeschnitten in der täglichen Arbeit wurde dabei der Bereich der Due Diligence. Es lag daher auf der Hand, die bisher in der Praxis einer Due Diligence eher stiefmütterlich behandelten Datenschutzfragen einerseits darzustellen und den Anwender damit für Probleme und gesetzliche Vorgaben zu sensibilisieren. Andererseits sollte anhand praktischer Erwägungen und konkreter Lösungswege zugleich gezeigt werden, dass und vor allem wie das Treffen von Praxis und Theorie bei der Due Diligence nicht auf Unmöglichkeit gerichtet sein muss.

Hamburg und Bremen, den 20. Juli 2021

Inhaltsverzeichnis

Vorbemerkung

Kapitel 1: Die Due Diligence und das Datenschutzrecht

I. Einleitung

II. Allgemeines zur Due Diligence

1. Ablauf

2. Der Prüfer

3. Vertraulichkeit/Letter of Intent

III. Allgemeines zum Datenschutzrecht

1. Anwendungsbereich

a) Sachlicher Anwendungsbereich

b) Räumlicher Anwendungsbereich

2. Allgemeine Grundsätze für die Verarbeitung

3. Rechtmäßigkeit der Verarbeitung

a) Einwilligung

b) Verarbeitung erforderlich für Erfüllung des Vertrages

c) Berechtigtes Interesse

IV. Risiken

1. Bußgelder

2. Schadensersatz

3. Abmahnung

4. Vertrag unwirksam/Gewährleistungsansprüche

Kapitel 2: Datenschutz bei der Durchführung der Due Diligence

I. Vorüberlegungen

1. Allgemeines

2. Datenschutzrechtliche Stellung der Beteiligten

II. Gemeinsame Verantwortliche

1. Die gemeinsamen Verantwortlichen

2. Aufgaben

3. Aufteilung der Aufgaben

4. Mindestinhalt der gemeinsamen Vereinbarung

a) Präambel

b) Beschreibung der Datenverarbeitung

c) Aufteilung der Zuständigkeiten

d) Datensicherheit

e) Betroffenenrechte

f) Informationspflichten

g) Auftragsverarbeiter

III. Auftragsverarbeiter

1. Geeignetheit des Auftragsverarbeiters

2. Auftragsverarbeitungsvereinbarung

3. Mindestinhalt der AVV

a) Gegenstand und Dauer der Verarbeitung

b) Art und Zweck der Verarbeitung

c) Art der personenbezogenen Daten

d) Kategorien betroffener Personen

e) Pflichten und Rechte des Verantwortlichen

aa) Erforderliche Maßnahmen gemäß Art. 32 DSGVO

bb) Technisch-Organisatorische Maßnahmen

cc) Haftung

f) Rechte und Pflichten des Auftragsverarbeiters

IV. Rechtmäßigkeit der Verarbeitung

1. Kategorien von Daten bei der Due Diligence

2. Zweckänderung

a) Kompatibilitätstest

b) Testergebnis

aa) Positives Ergebnis

bb) Negatives Ergebnis

c) Art. 6 Abs. 4 DSGVO als eigene Rechtsgrundlage

aa) Eigenständige Rechtsgrundlage

bb) Erneute Rechtmäßigkeitsprüfung

d) Zusammenfassung

3. Rechtsgrundlagen

a) Einwilligung

b) Berechtigtes Interesse

c) Besondere Kategorien von Daten

d) Beschäftigtendaten

4. Anonymisierung

V. Informationspflichten

1. Informationspflicht vs. Geheimhaltungsinteresse

2. Ausnahmen von der Informationspflicht

a) Art. 14 DSGVO

b) Art. 13 DSGVO

aa) Art. 14 Abs. 5 lit. b) DSGVO analog

bb) Weites Verständnis des Art. 13 Abs. 3 DSGVO

cc) § 32 Abs. 1 Nr. 4 BDSG

3. Anonymisieren

4. Zusammenfassung

a) Kaufinteressenten

b) Zielunternehmen

5. Umsetzung der Informationspflichten des Art. 13 DSGVO

VI. Ort der Prüfung

1. Anforderungen an den virtuellen Datenraum

2. Regeln innerhalb des virtuellen Datenraumes

VII. Datenschutz-Folgenabschätzung

VIII. Verzeichnis von Verarbeitungstätigkeiten

IX. Anhänge

1. Anhang 1: Technisch-Organisatorische Maßnahmen (TOM) mit Formulierungsvorschlägen

2. Anhang 2: Belehrung Mitarbeiter (Formulierungsvorschlag)

Kapitel 3: Die Datenschutz-Due-Diligence

I. Vorüberlegung

II. Informationsquellen

III. Durchführung

1. Unternehmensstruktur

2. EDV

3. Website/Online-Präsenz

4. Besucher- und Gebäudemanagement

5. Gemeinsame Verantwortliche

6. Auftragsdatenverarbeitung

7. Betriebsrat/Personalrat

8. Kundendaten

9. Besondere Kategorien von Daten

10. Gesundheitsdaten

11. Beschäftigtendaten

12. Einwilligung

13. Löschkonzept

14. Profiling

15. Drittlandübermittlung

16. Schulungen

17. Aufsichtsbehörden

IV. Rechtsfolgen für den Abschluss eines Kaufvertrages

1. Haftung dem Grunde nach

2. Haftung der Höhe

Literaturverzeichnis

Kapitel 1: Die Due Diligence und das Datenschutzrecht

I. Einleitung

1

Dank des zunehmenden Einflusses der englischen Sprache – auch im deutschen Rechtskreis – kann mit nur zwei Wörtern eine durchaus komplexe Regelungsmaterie zusammengefasst werden. Wie die Etablierung der „Due Diligence“ in der deutschen Rechtswissenschaft und -praxis erfolgte, lässt sich nur schwerlich zurückverfolgen. Es gibt in Deutschland weder eine ausdrückliche gesetzliche Regelung noch einen klar definierten Anwendungsbereich.

2

Seinen Ursprung hat der Begriff „Due Diligence“ im amerikanischen Kapitalmarkt- und Anlegerschutzrecht. Dort müssen Erstemittenten von Wertpapieren eine im Vorfeld durchgeführte „Prüfung mit angemessener Sorgfalt“ nachweisen, um einer möglichen Emissionsprospekthaftung zu entgehen. Vergleichbar ist dieser Grundsatz im US-amerikanischen Haftungsrecht mit dem im deutschen Recht etablierten Institut der „im Geschäftsverkehr erforderlichen Sorgfalt“1. Vereinfacht ausgedrückt handelt es sich bei der Due Diligence, gerne auch kurz als „DD“ bezeichnet, um eine Bestandsaufnahme, die in der Regel das Fundament für eine Risikoabwägung legt. Bei dieser Abwägung sollte, schon im Interesse des Durchführenden, eine gewisse Sorgfalt angewandt werden. Nur so kann eine hinreichende Grundlage für das angestrebte Ziel einer jeden Due Diligence geschaffen werden. Dieses Ziel muss vorher definiert werden. Denn die möglichen Anlässe für die Durchführung einer Due Diligence sind vielfältig. Gleich, ob nun

– ein Gesellschafter aus dem Unternehmen ausscheiden will und seine Abfindung berechnet werden muss;

– Sanierungen des Unternehmens eine Bestandsaufnahme erfordern;

– Privatisierungen der öffentlichen Hand geplant sind oder

– der Unternehmer einen Verkauf durchführt oder zumindest vorbereitet;

3

Ausgangspunkt bildet immer die Aufnahme des Ist-Zustandes aus dem Blickwinkel des die Due Diligence durchführenden Betrachters.

4

Zumindest historisch betrachtet führte, das Thema Datenschutz und dessen Prüfung im Rahmen einer Due Diligence eher ein Schattendasein. Dies änderte sich mit dem Geltungsbeginn der DSGVO2 am 25.5.2018. Zusammen mit der so genannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit Geltungsbeginn den gemeinsamen Datenschutzrahmen innerhalb der Europäischen Union. Bis zu diesem Zeitpunkt galt die im Jahre 1995 erlassene Datenschutzrichtlinie 95/46/EG3. Problematisch war, dass zwar allen Mitgliedstaaten der Europäischen Union die gleiche Rechtsgrundlage zur Verfügung stand, Art und Umfang der Umsetzungsgesetze aber durch die Mitgliedstaaten frei bestimmbar waren. So war es wenig verwunderlich, dass durchaus eklatante Unterschiede im Datenschutzniveau der einzelnen Staaten zu erkennen waren. Ziel der DSGVO war daher die Schaffung eines einheitlichen Datenschutzniveaus, um die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz ihrer personenbezogenen Daten, zu gewährleisten.

5

Die datenschutzrechtlichen Vorgaben, insbesondere die der DSGVO, beeinflussen seither den Geschäftsverkehr. Kritisch betrachtet könnte man sogar behaupten, dass es mit Einführung der DSGVO die Arbeit von einem Großteil der Unternehmen, wie sie bisher praktiziert wurde, nicht mehr gibt. Das Thema Datenschutz jedenfalls beschäftigt seither Behörden, Unternehmen und deren Berater gleichermaßen; dies mit zunehmender Intensität. Hatte man vor der Einführung der DSGVO das Thema Datenschutz bei einer Unternehmenstransaktion am Rande mitgeprüft, kommt ihm heute im Rahmen einer Due Diligence ein essenzieller Stellenwert zu. Maßgeblich für diese Schwerpunktverschiebung sind allerdings nicht die datenschutzrechtlichen Regelungen der DSGVO. Diese gleichen inhaltlich größtenteils ihren Vorgängerreglungen der Richtlinie 95/46/EG4.5 Entscheidend ist vielmehr, dass sich die Konsequenzen bei Verstößen gegen datenschutzrechtliche Vorschriften drastisch verschärft haben. Bußgelder können nunmehr in Millionenhöhe verhängt werden.6 Das Thema Datenschutz zu unterschätzen wäre fatal. Zwischenzeitlich ist es vielmehr jedem Unternehmen zu empfehlen, eine interne Due Diligence durchzuführen, Unternehmensabläufe anzupassen und neue Strukturen zu etablieren, um Datenschutzrisiken zu minimieren. Es müssen beispielsweise Verzeichnisse von Verarbeitungstätigkeiten7 erstellt, Auftragsverarbeitungsvereinbarungen8 abgeschlossen, Arbeitsverträge überprüft, die EDV möglicherweise modernisiert, Lösch- und Speicherkonzepte etabliert oder ein Datenschutzbeauftragter benannt werden. All diese Themen sind heute zwingender Bestandteil einer ordnungsgemäßen Due Diligence und werden in diesem Buch erörtert.

6

Ziel dieses Buches ist es, den Leser auf verständliche Weise für das Thema Datenschutz bei der Durchführung einer Due Diligence zu sensibilisieren und ihn zu veranlassen, sich diesem oftmals ungeliebten Thema zu widmen. Dabei verfolgt dieses Buch folgenden Ansatz: Nach diesem einleitenden Kapitel („Allgemeines“) wird im zweiten Teil erläutert, welche datenschutzrechtlichen Vorgaben bei der Durchführung einer Due Diligence zu berücksichtigen sind, unabhängig von der konkreten Art der Due Diligence („Datenschutz bei Durchführung der Due Diligence“). Das dritte Kapitel hat sodann die sog. „Datenschutz-Due-Diligence“ zum Inhalt. Ziel ist es, eine Anleitung an die Hand zu geben, mithilfe derer das Zielunternehmen hinsichtlich deren Datenschutzmanagement geprüft werden kann. Auf diese Weise sollen mögliche Risiken, beispielsweise durch Bußgelder nach der Unternehmenstransaktion, minimiert werden.9

7

Ob nun Einsteiger oder bereits in Datenschutzfragen versierter Anwender – die in diesem Buch eingebundenen Vorlagen, Listen und Hinweise können und sollen für alle Leser eine Arbeitshilfe im täglichen Geschäftsverkehr darstellen, selbst wenn keine Intention besteht, sein Unternehmen zu verkaufen. Aufgrund der erheblichen wirtschaftlichen Folgen eines Verstoßes gegen datenschutzrechtliche Vorgaben, stellt die fehlende Auseinandersetzung eine Missachtung der obig zitierten „im Geschäftsverkehr erforderlichen Sorgfalt“ dar. Anders ausgedrückt sollte jeder Unternehmer eine eigene datenschutzrechtliche Due Diligence in seinem Unternehmen durchführen. Das Buch gibt hierfür die erforderlichen Grundlagen.

1

So beispielsweise in § 276 Abs. 2 BGB, wonach fahrlässig derjenige handelt, der die im Verkehr erforderliche Sorgfalt außer Acht lässt.

2

Eingeführt durch Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, in: ABl. L 119/89 v. 4.4.2016.

3

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

4

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

5

Statt vieler

Buchner

, Wirtschaftsinformatik & Management 2019, 43, 43.

6

Bei Unternehmen sogar bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

7

Siehe dazu Rn. 251ff.

8

Siehe dazu Rn. 101ff.

9

Zu den Risiken Rn. 37ff.

II. Allgemeines zur Due Diligence

8

Wie schon zuvor dargestellt, unterliegt der Anwendungsbereich der Due Diligence keinen starren Grenzen oder Regularien.10 Nichts Anderes gilt für die Datenschutz-Due-Diligence. Inhalt und Umfang einer durchzuführenden Due-Diligence-Prüfung werden sowohl von dem Zweck, insbesondere aber auch von der Intension der beteiligten Personen beeinflusst. Der Hauptanwendungsfall liegt sicherlich im Bereich der Unternehmenstransaktion. Gerade hier zeigen sich die charakteristischen Ziele einer Due Diligence:

– Risikoermittlung;

– Dokumentation;

– Ausgestaltung der Gewährleistung;

– Kaufpreisermittlung.

9

Eine Unterscheidung bei einem Unternehmensverkauf zwischen Share- und Asset Deal11 bleibt dabei zunächst12 ohne Relevanz. In beiden Fällen steht auf der einen Seite das Zielunternehmen (der Verkäufer), welches den bestmöglichen Preis für sein Unternehmen erzielen will. Auf der anderen Seite stehen die Interessen des Käufers, unter Berücksichtigung vorhandener Risiken, den adäquaten Wert dieses Unternehmens zu ermitteln. Dabei gilt der Grundsatz, dass jeder Vertragspartner für sich selbst die Vorteilhaftigkeit eines Geschäftes vor Vertragsabschluss zu überprüfen hat.13 Hierzu muss der Kaufinteressent Entwicklungsmöglichkeiten des Zielunternehmens einschätzen und Problempunkte innerhalb dieses Unternehmens erkennen.14 Im Zweifel muss der Kaufinteressent in die Lage versetzt werden, nach Durchführung des Verkaufes das Unternehmen erforderlichenfalls allein zu führen. Gerade unter Berücksichtigung der zunehmenden Bedeutung von Homeoffice stellt die technische Ausstattung eines Unternehmens, die im Zusammenhang mit der Datenschutz-Due-Diligence überprüft wird, einen nicht zu vernachlässigenden sowie wertbildenden Faktor dar. Beide Vertragsparteien haben zudem die Intention, etwaige Gewährleistungsansprüche schon dem Grunde nach auszuschließen, mithin diese gar nicht erst entstehen zu lassen.15 Zumindest die rechtlichen Berater versuchen, auf diese Fälle vorbereitet zu sein und sollten deshalb auf eine strukturierte Beweissicherung hinwirken.

10

All diese dargestellten Ziele setzen in der Konsequenz die Durchführung einer (Datenschutz-) Due Diligence voraus. Hiermit einher geht nämlich die Analyse des Ist-Zustandes.16

1.Ablauf

11

Grundsätzlich unabhängig von Ziel und Anlass der Due Diligence gestaltet sich deren Ablauf. Gleichwohl beeinflussen diese Parameter die Schwerpunktsetzung innerhalb des Analyseverfahrens im Hinblick auf Umfang und die zeitliche Ausgestaltung. Nicht zuletzt wegen den Folgen eines Verstoßes gegen datenschutzrechtliche Vorschriften17 sollte die datenschutzrechtliche Würdigung der Due Diligence dabei einen wesentlichen Prüfungspunkt einnehmen.

12

13

Die Gestaltung des Ablaufs sollte immer von derjenigen Partei gesteuert werden, die den größten Nutzen aus der Prüfung zieht. Starre Grenzen verbieten sich. Eine klare Strukturierung und Umsetzung ist essenziell. Unterteilt werden kann die Due Diligence grundsätzlich in zwei Phasen: Einerseits der Phase der Vorbereitung und andererseits der tatsächlichen Durchführung. In der Vorbereitungsphase müssen die Prüfer ausgewählt und dahingehende Verträge abgeschlossen werden. Das dann ausgewählte Team wird die Vorgehensweise abstimmen, Dokumentationen vorbereiten, um in den Prüfungsprozess einsteigen zu können. Ungeachtet des zumeist externen Prüfers, sollte ein zentraler Ansprechpartner im eigenen und dem Zielunternehmen benannt werden. Vermieden werden sollte die Delegation auf mehrere Personen oder Institutionen (z.B. den Steuerberater). Sind die Vorbereitungen abgeschlossen, müssen zwischen den Kaufvertragsparteien der Ablauf der Due Diligence abgestimmt und insbesondere Regelungen zum Schutz übermittelter Daten getroffen werden. Eines aber sollte vor jeder Prüfung berücksichtigt und akzeptiert werden: die sprichwörtlich „eierlegende Wollmilchsau“ ist die Due Diligence nicht. Weder können alle Risiken lokalisiert noch eine allumfängliche Lösung für die Parteien gefunden werden. Die Due Diligence darf daher ausschließlich als Instrument der Risikominimierung gesehen werden.

2.Der Prüfer

14

Zu empfehlen ist immer, einen geeigneten Berater in den Due-Diligence-Prozess einzubinden. Liegt der Schwerpunkt in wirtschaftlichen Fragen, kommen Wirtschaftsprüfer und vor allem Unternehmensberater in Betracht. Hierbei hat sich eine Vielzahl von Unternehmen gerade auf das Gebiet der Due-Diligence-Prüfung spezialisiert. Bei mittelständisch geprägten, vor allem aber kleineren Unternehmen, wird der Schwerpunkt hingegen auf der Abwicklung des Kaufes liegen. Hierfür könnte auf spezialisierte Rechtsanwälte zurückgegriffen werden. Wenngleich weit verbreitet, erscheint es wenig sinnvoll, den eigenen Rechtsanwalt oder Abschlussprüfer zu nutzen, sofern diese nicht über ausgewiesene Expertisen verfügen. Für den datenschutzrechtlichen Schwerpunkt der Due Diligence ist es zu empfehlen, einen in Datenschutzfragen versierten Prüfer, vornehmlich einen Rechtsanwalt, einzubinden. Zwar stellt die technische Umsetzung des Datenschutzes gesteigerte Anforderungen, was die Zusammenarbeit mit einem EDV-Dienstleister nahelegt. Jedoch stellt das Datenschutzrecht nicht unerhebliche formelle Anforderungen, sei es beispielsweise hinsichtlich notwendiger Belehrungen oder dem Abschluss von Auftragsverarbeitungsvereinbarungen. Zudem wirft selbst die Durchführung einer (Datenschutz-) Due Diligence bei einem Unternehmenskauf viele datenschutzrechtliche Probleme auf. Deren Lösung setzt zwangsläufig die Kenntnis der aktuellen, sich stetig ändernden, Rechtslage voraus. Diese Kenntnis kann im Regelfall nur durch einen Rechtsanwalt gewährleistet werden. Zu empfehlen ist in jedem Falle, einen zentralen Ansprechpartner, quasi den „Obergutachter“, zu benennen. Ihm kommt bei der Due Diligence eine zentrale Rolle zu. Er muss Gespräche zwischen den Kaufvertragsparteien und eingebundenen Personen koordinieren. Der Gutachter ist verantwortlich für Ablauf und Erfolg der Prüfung. Er sollte entscheiden, ob die Einbindung weiterer Sachverständiger, bei der Datenschutz-Due-Diligence insbesondere von EDV-Fachleuten, sinnvoll ist. Nur durch eine Zentralisierung können die ordnungsgemäße Dokumentation sowie die Aufbereitung der Ergebnisse sichergestellt werden. Auch aus haftungsrechtlichen Erwägungen empfiehlt sich die Beauftragung eines Obergutachters. Für den Auftraggeber sollte nur das Ergebnis entscheidend sein und nicht die Frage, wer von den Beratern für mögliche Fehler einzustehen hat.

3.Vertraulichkeit/Letter of Intent

15

Grundlegendes Ziel datenschutzrechtlicher Normen ist der Schutz personenbezogener Daten.18 Abseits des Datenschutzes ist die Sicherstellung der Vertraulichkeit sensibler Unternehmensdaten, gleich ob mit Personenbezug oder nicht, bei der Durchführung einer Due Diligence im Rahmen eines Unternehmensverkaufes zu gewährleisten. Hier stehen sich die Interessen des potenziellen Käufers, der sich umfassend über das Zielunternehmen informieren, und die des Verkäufers, der möglichst wenig Informationen herausgeben möchte, solange der Verkauf nicht sicher ist, gegenüber. Aus Sicht des Zielunternehmens besteht zudem die Gefahr, dass sich durch die Prüfung erteilter Informationen Risiken aufzeigen, die sich mindernd auf den Kaufpreis auswirken können. Beide Interessen sind nachvollziehbar, ein mögliches Konfliktpotenzial aber unvermeidbar. Zumindest um dem Argument der Kaufpreisminderung entgegenzuwirken, ist es in der Praxis nicht unüblich, eine so genannte Vendor Due Diligence19 (= verkäuferseitige Due Diligence) durchzuführen. Zwar besteht hierzu keine rechtliche Notwendigkeit.20 In der Praxis zeigen sich aber immer wieder Konstellationen, in denen erst der Kaufinteressent das Zielunternehmen auf dortige Missstände hinweist. Im Bereich des Datenschutzes ist ohnehin und ungeachtet der Folgen eines Verstoßes angezeigt, eine (Vendor) Due-Diligence-Prüfung durchzuführen.

16

In der Praxis üblich und dringend zu empfehlen ist der Abschluss einer Absichtserklärung, im Rechtsverkehr in der Regel als „Letter of Intent“ (LoI), „Memorandum of understanding“ (MoU) oder „Letter of Understanding“ (LoU) bezeichnet. Einheitlich werden diese Begrifflichkeiten nicht verwandt. Es gibt daher auch keine standardisierten Vorlagen. Im Regelfall wird hiermit, wie der Name schon vermuten lässt, die Absicht bekundet, einen Vertrag abzuschließen. Abhängig von dem Zeitpunkt des Vertragsabschlusses wird mehr oder weniger konkret auf Ziele und Umsetzungsszenarien eines Verkaufes, Kaufpreishöhen oder eine etwaige Exklusivität eingegangen. Zumindest in groben Zügen sollte beschrieben werden, was die Parteien, in welcher Zeit umzusetzen beabsichtigen. Problematisch, wenngleich oftmals gewollt, ist, dass derartige Absichtserklärungen zumeist keine verbindlichen Rechtswirkungen zur Folge haben,21 insbesondere die Parteien nicht binden, einen (z.B.) Kaufvertrag abzuschließen.22 Zumindest ein Teil des (nachfolgend so verwandt) Letter of Intent sollte jedoch verbindliche Rechtswirkungen vorsehen. Im Hinblick auf die Geheimhaltung und Nichtverwendung von Geschäftsgeheimnissen oder den Schutz personenbezogener Daten sollte ein Letter of Intent zwingend eine Verschwiegenheitsregelung enthalten. Dabei genügt es nicht, nur den Umfang der Verpflichtung zur Verschwiegenheit zu regeln. Vertraulich sollten im Regelfall alle Informationen sein, die ein Vertragspartner von dem anderen erhält, soweit diese nicht zuvor schon als allgemeinbekannt anzusehen waren.

17

Zu empfehlen ist immer die Verknüpfung an ein konkretes Vertragsstrafeversprechen. In der Praxis wird die Festlegung einer konkret bezifferten Vertragsstrafe kontrovers diskutiert.23 Geeignet ist in diesen Fällen die Regelung der Vertragsstrafe in Form des sogenannten „Hamburger Brauchs“. Hierbei wird eine zu zahlende Vertragsstrafe erst im Nachhinein festgesetzt24. Beispielhaft wird folgende Regelung verwandt:

18

Die Verwendung des „Hamburger Brauchs“ ist meist einfacher für den Kaufinteressenten vermittelbar. Er muss nicht bei kleinsten Verstößen mit pauschalen Vertragsstrafen rechnen, die zumeist in keinem Verhältnis zu dem Verstoß stehen. Ebenso wenig brauchen sich die Parteien auf die floskelhafte Formulierung verweisen zu lassen, dass die Höhe der Vertragsstrafe unbeachtlich sei, da man schlicht nicht gegen die Verpflichtung verstoßen müsse. Bei erheblichen Verstößen besteht für den Verletzten zudem die Chance einer (Schadens-) Kompensation. Denn ein Verstoß gegen eine Verschwiegenheitsverpflichtung berechtigt den Verletzten zwar zur Geltendmachung von Unterlassungs- und Schadenersatzansprüchen. Ein Schaden lässt sich aber oftmals kaum berechnen. Einschränkend ist natürlich darauf hinzuweisen, dass sich der Nachweis eines Verstoßes in der Praxis als schwierig gestaltet. Ohne eine Vertragsstrafenregelung sollte daher kein Letter of Intent ausgestaltet sein.

10

Koch

, Praktiker-Handbuch Due Diligence, S. 19, spricht von einem Unternehmen als „Organismus“, der im Rahmen der Due Diligence „in all seinen Facetten zu untersuchen und zu würdigen“ sei.

12

Relevant im Rahmen der Datenschutz-Due-Diligence ist die Unterscheidung bei der Frage des Verantwortlichen, vgl. hierzu Rn. 29.

13

BGH, NJW-RR 1991, 439, 442.

14

Praktische Relevanz hat hier die so genannte „SWOT-Analyse“ (Strengths, Weaknesses, Opportunities, Threats. Im Rahmen der SWOT-Analyse wird einerseits die interne Sicht eines Unternehmens, also dessen Stärken und Schwächen, betrachtet. Andererseits wird das Umfeld des Unternehmens, insbesondere die erkennbaren Chancen und Risiken, betrachtet (hierzu:

Seiter/Marquard

, AnwBl 2012, 808, 808ff.).

15

Auf die hierbei unterschiedlichen Sichtweisen eingehend unter Rn. 46ff.

16

Beisel

, Beck’sches Mandatshandbuch Due Diligence, S. 10f., beschreibt die in der Praxis denkbaren Arten der Due Diligence, unterteilt in Legal, Tax, Financial, Commercial, Environmental, Technical und Cultural Due Diligence.

17

Vergleiche hierzu Rn. 15ff.

18

Hierzu Rn. 19ff.

19

So beispielsweise bezeichnet von

Werner

, jM 2017, 222, 223. In der Praxis verwendet wird allerdings auch der Begriff der Reverse- oder der Pre-Sale Due Diligence.

20

Verneinend OLG Düsseldorf, Urt. v. 16.6.2016 – ZIP 2016, 2363, 2371.

21

Beispielhaft OLG Köln, Urt. v. 16.12.2020 – BB 2021, 211, 212.

22

Zumeist stünden einer Verpflichtung bereits formelle Bedenken entgegen (z.B. Beurkundungserfordernis gemäß § 15 Abs. 3 GmbHG für Geschäftsanteile, § 311b BGB für Verträge über Grundstücke, das Vermögen und den Nachlass).

23

Unter Verweis darauf, dass die Folgen zumeist den potenziellen Käufer träfen.

24

Nach der höchstrichterlichen Rechtsprechung ist die Vertragsstrafe zu bestimmen nach Art und Größe des Unternehmens, dessen finanzieller Leistungsfähigkeit und der Wettbewerbsposition am Markt, dessen Umsatz, der Schwere und dem Ausmaß der Zuwiderhandlung, deren Gefährlichkeit für den Gläubiger, dem Verschulden des Verletzers sowie dessen Interesse an weiteren gleichartigen Begehungshandlungen (beispielhaft Brandenburgisches Oberlandesgericht, Urt. v. 18.2.2020 – juris, Rn. 60).

25

Wählt man den Terminus „Landgericht“ würde, ungeachtet des Verstoßes, allein die Zuständigkeitsschwelle dazu führen, dass eine Vertragsstrafe von über 5.000,00 EUR zu zahlen ist.

III. Allgemeines zum Datenschutzrecht

19

Seit dem 25.5.2018 gilt die DSGVO. Das Datenschutzrecht wurde mit der Verordnung jedoch, anders als die Überschriften unzähliger Medienberichte damals vermuten ließen, nicht neu erfunden. Es handelt sich beim europäischen Datenschutzrecht vielmehr um ein über Jahrzehnte gewachsenes Regelungssystem,26 dessen evolutiver Entwicklungsprozess in der DSGVO nunmehr seinen aktuellsten Stand gefunden hat.

20

Den Ausgangspunkt jeglicher datenschutzrechtlicher Vorschriften bietet seit jeher das europäische Primärrecht. Dort haben Art. 8 Grundrechtecharta und Art. 16 AEUV den Schutz personenbezogener Daten zum Inhalt. So wurde vor Einführung der DSGVO das Datenschutzrecht im Rahmen mitgliedstaatlicher Vorschriften auf Grundlage der RL 95/46/EG (EG-Datenschutzrichtlinie)27 normiert. Wenngleich der europäische Datenschutz nunmehr als EU-Verordnung geregelt ist, bleiben die datenschutzrechtlichen Grundprinzipien weitgehend unverändert.28 Ein Unterschied besteht jedoch darin, dass das europäische Datenschutzrecht als EU-Verordnung in jedem Mitgliedstaat unmittelbare Anwendung findet. Ziel ist es, auf diesem Wege das Datenschutzrecht, ob der zahlreichen grenzüberschreitenden Sachverhalte, weiter zu vereinheitlichen. Allerdings erlauben diverse Öffnungsklauseln29 den Mitgliedstaaten, die DSGVO mit nationalen Regeln zu erweitern oder detaillierter festzulegen.

21

Die Umsetzung von Öffnungsklauseln erfolgt in Deutschland maßgeblich durch das novellierte BDSG.

1.Anwendungsbereich

22

Hinsichtlich der Frage, ob die DSGVO überhaupt Anwendung findet, macht diese in deren Art. 2 und 3 eindeutige Angaben. Danach müssen bei der Durchführung der Due-Diligence-Prüfung der räumliche und sachliche Anwendungsbereich der Verordnung eröffnet sein.

23

Zentrale Anforderung ist in jedem Fall, dass personenbezogene Daten verarbeitet werden. Dies sind gemäß Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Das Merkmal des Personenbezugs ist dabei weit zu verstehen.30 So besteht auch dann ein Personenbezug, wenn sich aus den Daten kein unmittelbarer Rückschluss auf die betroffene Person ziehen lässt, sondern sich anhand bestehender Informationen diese Person ermitteln lässt.31 Als Möglichkeiten zur Identifizierung nennt Art. 4 Nr. 1 DSGVO etwa eine Kennnummer oder Standortdaten.

a)Sachlicher Anwendungsbereich

24

Gemäß Art. 2 Abs. 1 DSGVO ist der sachliche Anwendungsbereich eröffnet, sofern die personenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden. Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legal definiert. Eine Definition, ab wann die Verarbeitung automatisiert stattfindet, ist der Verordnung gleichwohl nicht zu entnehmen. Der Begriff der automatisierten Verarbeitung ist allerdings technikneutral zu verstehen.32 Maßgeblich ist, dass die Verarbeitung nach vorgegebenen Parametern, ohne aktive Mitwirkung eines Menschen, abläuft.33 Da auch bei teilweise automatisierter Verarbeitung der sachliche Anwendungsbereich eröffnet wird, ist es insofern unerheblich, ob einzelne Schritte von Menschen durchgeführt werden.34 Auf Grundlage dessen ist der sachliche Anwendungsbereich bei jeder ganz oder teilweise rechnergestützten Verarbeitungstätigkeit eröffnet.35 Ausweislich der Norm ist der sachliche Anwendungsbereich gleichermaßen eröffnet, sofern die Daten nicht automatisiert verarbeitet werden, solange sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Bei einem sogenannten Dateisystem handelt es sich um strukturierte Sammlungen personenbezogener Daten.36 So fallen hierunter etwa Akten oder Karteisysteme.37 Bei unsortierten Zettelsammlungen oder Einzeldokumenten handelt es sich hingegen nicht um ein Dateisystem.38

25

Im Ergebnis ist es also unerheblich, ob die Due Diligence digital oder rein analog auf Grundlage von Akten stattfindet. Der sachliche Anwendungsbereich ist in jedem Fall eröffnet.

26

Auf eine Eröffnung des sachlichen Anwendungsbereiches kommt es gar nicht an, sofern der Personenbezug der verarbeiteten Daten durch Anonymisierung aufgehoben wird.39 Für eine Anonymisierung müssen die Daten dergestalt verändert werden, dass der Personenbezug nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand wiederhergestellt werden kann. Eine Anonymisierung kann etwa schon durch Schwärzen entsprechender Textpassagen erfolgen.40 Gleichwohl ist zu bedenken, dass bei umfangreichen Unternehmenstransaktionen mit der Anonymisierung der Daten ein relativ großer Aufwand einhergeht. Außerdem kann eine Due Diligence mit anonymisierten Daten im Widerspruch zum eigentlichen Zweck der Prüfung stehen.41

b)Räumlicher Anwendungsbereich

27

Gemäß Art. 3 Abs. 1 DSGVO ist der räumliche Anwendungsbereich eröffnet, sofern der datenschutzrechtliche Verantwortliche im Rahmen seiner Tätigkeiten eine Niederlassung in der Union hat, unabhängig davon, ob dort auch die Verarbeitung stattfindet. Sofern also das Zielunternehmen oder der Kaufinteressent eine Niederlassung in der Union hat, ist der Anwendungsbereich der DSGVO jeweils eröffnet.

28

Ob der Anwendungsbereich auch eröffnet ist, wenn der Verantwortliche mit Niederlassung außerhalb der Union personenbezogene Daten von Unionsbürgern verarbeitet, hängt gem. Art. 3 Abs. 2 lit. a) DSGVO davon ab, ob die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. Für die Durchführung einer Due Diligence ist diese Variante in der Praxis jedoch zu vernachlässigen.

29

Entscheidend ist zunächst, ob die Due Diligence zur Vorbereitung eines Asset Deals oder eines Share Deals durchgeführt wird. Nach dem sogenannten Marktortprinzip gemäß Art. 3 Abs. 2 lit. a) DSGVO ist der räumliche Anwendungsbereich eröffnet, wenn der Verantwortliche mit Niederlassung außerhalb der Union Daten von Personen innerhalb der Union verarbeitet. Dies gilt jedoch nur, sofern die Verarbeitung in einem Zusammenhang zu einem Angebot von Waren und Dienstleistungen steht, unabhängig davon, ob von der betroffenen Person eine Zahlung zu leisten ist. Die Formulierung „im Zusammenhang“ ist weit zu verstehen. Unter diesen Begriff fällt die Kaufvorbereitung mit Hilfe einer Due-Diligence-Prüfung.42 Bei dem zu kaufenden Objekt handelt es sich um eine Ware i.S.d Art. 3 Abs. 2 lit. a) DSGVO, sofern bewegliche körperliche Gegenstände gekauft werden sollen.43