White Paper: M&A und Datenschutz - Kann das gutgehen?
Version 2.0

Das White Paper widmet sich der Frage, welche Daten, die im Rahmen von Unternehmenstransaktionen (M&A) eine Rolle spielen, von der DSGVO betroffen sein könnten, und erklärt, welchen datenschutzrechtlichen Vorgaben bei M&A-Projekten Beachtung geschenkt werden sollte.

Die pragmatische Antwort auf die Frage, welche Daten, die in einem M&A-Prozess eine Rolle spielen, dem Datenschutzrecht unterliegen können, lautet: Potenziell alle. Aber keine Sorge: Das ist nichts Neues. Es hat nur in der M&A-Praxis bislang kaum jemanden interessiert. Wenn im Rahmen von M&A-Transaktionen bisher an „Datenschutz“ (oder doch eher nur an die Verhinderung von Abwerbeversuchen?) gedacht wurde, dann am ehesten noch in Verbindung mit einer Due Diligence-Prüfung bei der Anonymisierung oder Schwärzung der Mitarbeiterliste des Zielunternehmens. Die EU-Datenschutzgrundverordnung (DSGVO) mit ihren drakonischen Strafandrohungen zeigt aber, dass es sich lohnt, einen genaueren Blick darauf zu werfen, womit man sich datenschutzrechtlich im Zuge einer M&A-Transaktion beschäftigen sollte. 

An der Schnittstelle zwischen DSGVO und M&A geht es inhaltlich im Wesentlichen um zwei Aspekte. Der erste Aspekt betrifft die Frage, welche personenbezogenen Daten im Rahmen eines typischen M&A-Projekts generiert werden und wie sie „zirkulieren“. Dies schließt die Fragestellung ein, in welcher datenschutzrechtlichen Funktion welche Beteiligten tätig werden und welche datenschutzrechtliche Grundlage für ihre Verarbeitungstätigkeiten jeweils besteht. Schließlich geht es in diesem Bereich darum, wie Daten geschützt werden müssen, damit sie DSGVO-konform verarbeitet werden.

Der zweite Aspekt hingegen betrifft die Frage, welche datenschutzbezogenen Risiken sich der Käufer durch den Erwerb „aufhalsen“ kann und wie hiermit im Unternehmenskaufvertrag umgegangen werden kann.