Christoph Louven - Unternehmenskaufvertrag

200

Ob, in einem ersten Schritt bei einem Share Deal , die Zielgesellschaft personenbezogene Daten an ihren Gesellschafterweitergeben darf, der sie dann für seinen Datenraum verwendet, hängt davon ab, ob die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO erfüllt sind. Dazu ist zunächst festzuhalten, dass die Weitergabe personenbezogener Daten von der Zielgesellschaft an den Verkäufer zumindest nicht daran scheitert, dass die Zielgesellschaft die Daten (jedenfalls auch) im Interesse des Gesellschafters und Verkäufers an diesen weitergibt. Denn auch berechtigte Interessen „eines Dritten“, hier des Gesellschafters, reichen nach Art. 6 Abs. 1 lit. f DSGVO aus.380

201

Nach Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung personenbezogener, nicht sensibler Daten erlaubt, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritter erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Berechtigte Interessen sind alle von der Rechtsordnung gebilligten Interessen rechtlicher, wirtschaftlicher, ideeller oder sonstiger Natur.381 In diesem Sinne bestehen, sowohl beim Share Deal als auch beim Asset Deal berechtigte Interessen. Denn das Interesse an der Durchführung eines Unternehmens (ver)kaufs ist in einer Marktwirtschaft nicht nur gebilligt, sondern im Interesse der Fortentwicklung der Wirtschaft sogar gewünscht. Das Ziel des Verkäufers, dem Erwerber Einblicke zu verschaffen, sodass er auf dieser Grundlage ein Angebot abgeben kann, ist ebenso ein berechtigtes Interesse wie das des Käufers, die mit dem Erwerb verbundenen Risiken einschätzen zu können.382 Zur Wahrung dieser berechtigten Interessen muss die Offenlegung erforderlichsein. Viele Prüfungen können auch ohne eine Offenlegung personenbezogener Daten erfolgen, sodass die Rechtmäßigkeit der Offenlegung an dem Nichtvorliegen der Erforderlichkeit scheitern würde. Allerdings ist zu beachten, dass für eine verlässliche Prüfung der Zielgesellschaft oft keine anderen Mittel zur Verfügung stehen als der Austausch von Informationen über sie.383 In diesem Kontext ist zunächst konkret und einzelfallbezogen zu prüfen, ob etwa eine Nennung von Mitarbeitern oder natürlichen Personen, die Kunden, Lieferanten oder sonstige Vertragsparteien der Zielgesellschaft sind, erforderlich ist oder nicht bereits anonymisierte Listenoder pseudonymisierte Listen(Art. 4 Nr. 5 DSGVO) oder eine Strukturdarstellung, in der Daten von mindestens drei Betroffenen zusammengefasst werden,384 oder sonstige Zusammenfassungen in aggregierter Formden Zweck erfüllen. Auch ist zu prüfen und zu entscheiden, gegenüber welchem Personenkreisdie Daten offengelegt werden. Regelmäßig wird eine Offenlegung an bestimmte Vertreter des Käufers, dessen Anwälte, Wirtschaftsprüfer, Investmentbanken und sonstige Berater ausreichend sein, den Zweck der Due Diligence zu erfüllen.385 In diesem Kontext sind schließlich die Existenz von Vertraulichkeitsvereinbarung und die Phase der Transaktion, in welcher die personenbezogenen Daten im Datenraum offengelegt werden, zu berücksichtigen. Je weiter der Verkaufsprozess fortgeschritten ist, desto stärker müssen die Interessen der Betroffenen hinter denen des Verkäufers und des Kaufinteressenten zurückstehen.386

202

Weitere Voraussetzungdes Art. 6 Abs. 1 lit. f DSGVO ist, die Interessen des Verkäufers und Kaufinteressenten einerseits und die Interessen der Betroffenen am Schutz ihrer informationellen Selbstbestimmung andererseits ins Verhältnis zu stellen und zu einem schonenden Ausgleich zu bringen.387 Die dafür erforderliche Abwägung hat im Einzelfall zu erfolgen, pauschalierende Aussagen verbieten sich.388

203

Es ist dann zu prüfen, ob es Beschäftigtendaten von Beschäftigten in herausgehobener Positiongibt, für die ein hohes Informationsinteresse des Kaufinteressenten besteht.389 Dies wird für die Mitglieder des Geschäftsleitungsorgans, also Vorstände und Geschäftsführer der Zielgesellschaft etwa im Hinblick auf deren Namen, Qualifikation, Vergütung, die Konditionen der Anstellungsverträge, insbesondere in Bezug auf die Existenz von Change-of-Control -Klauseln, Kündigungsmöglichkeiten, Pensionszusagen oder Wettbewerbsverboten, vertreten390 und soll auch bereits in einer sehr frühen Phase der Transaktion und im Hinblick auf eine Vielzahl von Interessenten gelten.391 Denn die Qualität des Managements, seine Qualifikationen und ggf. bestehende individuelle Sondervereinbarungen werden als maßgeblich, insbesondere auch für den wirtschaftlichen Erfolg und damit auch den Wert der Zielgesellschaft, angesehen.392 Oft haben Vorstände und Geschäftsführer aber auch schon ein hohes Eigeninteresse an der Mitteilung zumindest ihrer Namen393 und möglicherweise im Einzelfall auch an der Mitteilung weiterer Details ihrer Anstellungsverhältnisse. Dies soll für leitende Angestellte und Schlüsselmitarbeiter der Zielgesellschaft(etwa Know-how-Träger) nicht ohne Weiteres gelten und eher bei „kleinen Targets “ anzunehmen sein.394 Das überzeugt nicht. Denn gerade bei mittleren und großen Zielgesellschaften sind regelmäßig gerade auch die Führungskräfte auf der Ebene unterhalb des Vorstands oder der Geschäftsführungwesentliche Träger des Unternehmenserfolgs. Auch bei ihnen sollte daher ein hohes Informationsinteresse datenschutzrechtlich anerkannt werden.395 Die Offenlegung von einzelnen personenbezogenen Daten nachgeordneter „normaler“ Mitarbeiterdürfte regelmäßig seltener gerechtfertigt sein. So dürfen etwa jedenfalls die Anzahl von Mitarbeitern in bestimmten Abteilungen oder die Höhe der Gehälter, die für bestimmte Personen gezahlt werden, tendenziell nur in aggregierter Form offen gelegt werden.396 Zum Teil wird darüber hinaus angenommen, dass grundsätzlich sämtliche Informationen über nachgeordnete „normale“ Mitarbeiter nur in anonymisierter Form offengelegt werden dürften, weil ihre namentliche Offenlegung für die Unternehmensbewertung nicht erforderlich sei.397 Ausnahmsweise dürfe der Name eines individuellen Know-how-Trägers oder Vertriebsmitarbeiters von so herausgehobenem Interesse für den Kaufinteressenten sein, dass die Offenlegung seines Namens zulässig sei.398 Arbeitsverträge dürfen nur in Gestalt eines Standardarbeitsvertrags zur Verfügung gestellt werden. Die Offenlegung der gesamten Personalakteoder von Auszügen aus ihr ohne Einwilligung des Betroffenen dürfte eine „rote Linie“ darstellen, deren Überschreitung nur in absoluten Ausnahmefällen gerechtfertigt sein kann.399 Kundenverträgeoder sonstige Verträgeder Zielgesellschaft mit natürlichen Personen unterliegen, wenn sie in anonymisierter Form (also etwa durch Schwärzung der personenbezogenen Daten) in einer Weise offengelegt werden, dass eine Zuordnung zu einer natürlichen Person nur mit unverhältnismäßig hohem Aufwand an Zeit und Arbeitskraft möglich ist, nicht der DSGVO.400 Eine Offenlegung von Listen mit natürlichen Personen, die Kunden oder sonstige Vertragspartner der Zielgesellschaft sind, mit deren Klarnamen ist regelmäßig unzulässig.401 Müssen im Rahmen der Due Diligence z.B. Kundendaten mit Kundendatenbanken des Kaufinteressenten abgeglichen werden, um mögliche positive Effekte des Erwerbs prüfen zu können, soll das bei hoher Übernahmewahrscheinlichkeit zulässig sein.402 Liegen diese Voraussetzungen nicht vor, kann ein Datenabgleich durch einen Treuhänder in Betracht kommen.403 Ob und inwieweit ein Dienstleister mit dem Betrieb des virtuellen Datenraums beauftragt werden darf, hängt davon ab, in welchem Land der Dienstleister seine Dienste anbietet. Werden personenbezogene Daten an einen in einem Drittstaat tätigen Anbieter übermittelt, sind die Anforderungen der Art. 44ff. DSGVO zu beachten.404 Im Regelfall sollte das Land allerdings innerhalb der EU liegen. Bei konkreten Zweifeln mögen der Verkäufer und die Zielgesellschaft dies rechtzeitig vorher gemeinsam mit dem Datenraumbetreiber sicherstellen. Liegt das Land innerhalb der EU, sind für die Zulässigkeit der Datenverarbeitung wiederum die Anforderungen des Art. 6 Abs. 1 lit. f DSGVO zu beachten; zudem sollte der Dienstleister zumindest verpflichtet werden, das Datenschutzrecht einschließlich der Anforderungen an die Sicherheit der Verarbeitung des Art. 32 DSGVO zu beachten sowie Vertraulichkeit sicherzustellen.405 Der vorzugswürdige Weg ist freilich der Abschluss eines Auftragsverarbeitungsvertragsim Sinne des Art. 28 DSGVO unter Beachtung von dessen Anforderungen.406