***ENGLISH VERSION BELOW***
In unserer dreiteiligen Blogreihe wollen wir aus verschiedenen Blickwinkeln den Verkauf eines Unternehmens am Beispiel eines Digitalunternehmens vorstellen. Nachdem wir im ersten Teil einen rechtlichen Überblick zum Prozess gegeben haben, beleuchten wir in Teil zwei unserer Blogreihe den Verkauf von Digitalunternehmen aus der datenschutzrechtlichen Perspektive. Der Datenbestand und die bestehende Data Compliance sind bei der Bewertung eines Unternehmens von hoher Relevanz.
1. Zusammenfassung & Key Facts
Das Thema Datenschutz ist im Rahmen eines erfolgreichen Exits eines Digitalunternehmens von erheblicher Bedeutung. Bereits während der Verkaufsvorbereitung muss vor der Weitergabe der Unterlagen überprüft werden, ob diese personenbezogenen Daten enthalten dürfen und ob ggf. eine Anonymisierung vorzunehmen ist. Zudem sind im Rahmen einer datenschutzrechtlichen Due Diligence Schwachstellen in der Datenschutzstruktur des Zielunternehmens zu identifizieren, welche den erzielbaren Kaufpreis signifikant mindern können.
Die Anforderungen an die Informationspflichten der Parteien sowie die Rechtsgrundlage für die Verarbeitung der Daten richtet sich nach der Art der Transaktion und hängen insbesondere davon ab, ob es sich um einen Share oder Asset Deal handelt.
Im Rahmen eines Share Deals ist die Verarbeitung von Kundendaten häufig weniger problematisch. Dennoch muss der Erwerber mögliche Datenschutzlücken des Zielunternehmens prüfen und schließen. Zudem muss der „neue“ Verantwortliche über alle Modalitäten des Wechsels im Rahmen der gesetzlichen Informationspflichten informieren.
Bei Asset Deals werden einzelne Vermögenswerte eines Unternehmens erworben, darunter auch personenbezogene Daten (häufig auch Kundendaten). Wenn personenbezogene Kundendaten verkauft werden, die nicht ausschließlich für die Vertragsabwicklung oder werbliche Ansprache erforderlich sind, ist ein Inhaberwechsel (meistens) nur mit vorheriger Einwilligung des Kunden nach Information über die geplante Übermittlung und Hinweis auf sein Widerspruchsrecht möglich. Ein nicht DSGVO-konformer Vorgang beim Asset Deal kann sogar zur Nichtigkeit des Kaufvertrags führen.
Bei der Interessensabwägung im Rahmen der Rechtmäßigkeitsprüfung nach Art. 6 Abs. 1 lit. f DSGVO muss berücksichtigt werden, zu welchem Zeitpunkt die Datenverarbeitung erfolgt und in welchem Umfang Daten übermittelt werden sollen, sowie wie viele Personen Zugriffsberechtigungen zu den Daten erhalten sollen. Diese Faktoren können je nach Zeitpunkt der Datenverarbeitung – vor dem Signing, zwischen dem Signing und dem Closing oder nach dem Closing – unterschiedliche Auswirkungen auf die Interessenabwägung haben.
2. Verkaufsvorbereitung
Der Verkauf bzw. Kauf eines (Digital-)Unternehmens erfordert in datenschutzrechtlicher Hinsicht eine adäquate Vorbereitung. Schon zu Beginn der Verkaufsgespräche sollte eine Geheimhaltungsvereinbarung (sog. „NDA“) gezeichnet werden. Obwohl dies hauptsächlich dem Schutz der Zielgesellschaft und ihrer Geschäftsgeheimnisse dient, sollte diese gleichzeitig dazu genutzt werden, den Kreis der Beteiligten zu beschränken, um personenbezogene Daten zu schützen (need-to-know-Prinzip). Dabei sollten Berufsgruppen, die nicht gesetzlich zur Verschwiegenheit verpflichtet sind, in die Vertragspartei einbezogen oder zumindest verpflichtet werden, zusätzliche Geheimhaltungsvereinbarungen abzuschließen.
Je nach Größe der Transaktion sollte zudem ein „Informationsmemorandum“ als begleitende Lektüre zur Verfügung gestellt werden. Dieses Dokument beschreibt das Zielunternehmen, das zum Verkauf steht, durch eine zusammenfassende Darstellung seiner operativen, organisatorischen und finanziellen Aspekte sowie grundlegender Informationen und Daten – insbesondere einem Data Mapping. Das (möglichst aktuelle und vollständige) Verarbeitungsverzeichnis des Zielunternehmens spielt ebenfalls eine wichtige Rolle.
Vor Durchführung einer Due Diligence sollten grundlegende wirtschaftliche und rechtliche Rahmenbedingungen zu übertragenen Daten in einem „Letter of Intent“ oder „Memorandum of Understanding“ festgehalten werden.
Vor dem Zugang des Kaufinteressenten zu personenbezogenen Daten des Zielunternehmens im Rahmen einer Due Diligence muss die datenschutzrechtliche Beziehung zwischen Käufer- und Verkäuferseite geklärt werden. Dies kann gesetzliche Verpflichtungen zum Abschluss entsprechender datenschutzrechtlicher Vereinbarungen mit sich bringen, da eine Auftragsverarbeitung aufgrund fehlender Weisungsbefugnis des Zielunternehmens gegenüber dem Kaufinteressenten ausscheidet. Stattdessen sollte das Augenmerk auf die Frage einer möglichen gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO gerichtet werden, die ggf. im Rahmen einer Due Diligence vorliegen kann – und einer entsprechenden vertraglichen Regelung bedarf.
Aus Art. 13 und Art. 14 DSGVO ergeben sich zudem Transparenzpflichten gegenüber den von einer Datenverarbeitung betroffenen Personen. Je nach Herkunft der Daten sind entweder Art. 13 (bei direkter Erhebung) oder Art. 14 (bei indirekter Erhebung) einschlägig. Bei Verhandlungen über eine mögliche Unternehmensübernahme wird üblicherweise nur ein begrenzter Personenkreis außerhalb der Geschäftsführung über den potentiellen Verkauf informiert. Es besteht in der Regel kein gesteigertes Interesse auf Verkäuferseite möglichst viele Personen frühzeitig in Kenntnis zu setzen. Das sollte (im Idealfall) bereits vorab durch entsprechend (globale) Datenschutzerklärungen berücksichtigt werden.
3. Due Diligence
Das Herzstück eines M&A-Prozesses ist die Due Diligence, bei der die Erwerbs- und Unternehmensprüfung durchgeführt wird. Insbesondere bei datengetriebenen oder datengestützten Geschäftsmodellen der Zielgesellschaft erhält die Risikoabwägung einen starken datenschutzrechtlichen Aspekt. Zweifel an der datenschutzrechtlichen Zulässigkeit des Geschäftsmodells (z.B. fehlende Rechtsgrundlagen, Dokumentationen oder unzulässige Datentransfers), des datenschutzkonformen Einsatzes zentraler Assets oder der weiteren Verarbeitung von Daten können die wirtschaftliche Sinnhaftigkeit der Übernahme erheblich beeinträchtigen (z.B. wenn Kundendaten aufgrund einer unwirksamen Einwilligung faktisch „wertlos“ sind). Der Käufer muss daher prüfen, ob das Zielunternehmen in der Vergangenheit angemessene Datenschutzstandards eingehalten hat. Dies ist nicht nur im Hinblick der Risikoabschätzung, sondern auch mit Blick auf die Gefahr hoher Bußgelder bei Verstößen gegen die DSGVO empfehlenswert. Laufende Bußgeldverfahren oder „Data-Breaches“ in der Vergangenheit stellen ein erhebliches Risiko dar, das für veräußernde wie auch erwerbende Personen zu einem erheblichen finanziellen Schaden führen kann.
Ein wesentliches Problem im Rahmen des Unternehmenskaufs besteht darin, dass die DSGVO mit ihrem „one size fits all“- Ansatz keine spezifischen Regelungen für Übernahmeprozesse bereitstellt. Dies führt zu einem Konflikt zwischen Datenschutz auf der einen und dem Informations- und Geheimhaltungsinteresse des Käufers auf der anderen Seite.
Der Käufer hat zudem in der Regel ein großes Interesse daran einen Einblick zu erhalten, welche Verträge das Zielunternehmen abgeschlossen hat, in denen meist auch personenbezogene Daten enthalten sind. Diese können oft nur anonymisiert weitergegeben werden, eigenen sich jedoch nur bedingt zur Ermittlung des Unternehmens- bzw. „Daten“-werts.
Grundsätzlich gilt im Datenschutzrecht das „Verbot mit Erlaubnisvorbehalt“. Die Verarbeitung von Daten bedarf immer einer Rechtsgrundlage. Das Einholen einer Einwilligung der Betroffenen (Art. 6 Abs. 1 lit. a DSGVO) scheidet in der Regel aus. Der Verkäufer wird zudem häufig kein Interesse daran haben, Mitarbeiter frühzeitig über einen potenziellen Verkauf zu informieren. Übrig bleibt als Rechtsgrundlage zur Verarbeitung daher oftmals lediglich eine zugunsten des Veräußerers ausfallende Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Der Ausgang dieser Interessenabwägung hängt stark von den betroffenen Personengruppen und der Art der personenbezogenen Daten ab.
Zudem enthalten Mitarbeiterdaten (und je nach Geschäftsmodel auch Kundendaten) oftmals sensible Informationen, Gehaltsdaten oder Gesundheitsdaten. Teilweise unterfallen diese Daten sogar Art. 9 DSGVO, welcher strenge Vorgaben an die Verarbeitung setzt.
Es obliegt zunächst der Zielgesellschaft zu entscheiden, welche Passagen der bereitzustellenden Unterlagen geschwärzt oder anderweitig unkenntlich gemacht werden, um keine Daten unrechtmäßig zur Verfügung zu stellen. Aufseiten des Kaufinteressenten besteht zudem ein erhebliches rechtliches Interesse daran, keine Daten zu verarbeiten, für die keine Rechtsgrundlage zur Kenntnisnahme und Auswertung besteht. Denn eine solche Verarbeitung wäre ebenfalls rechtswidrig. Im Rahmen der gemeinsamen Verantwortlichkeit stehen beide Parteien für Datenschutzverstöße der anderen Partei, zumindest im Außenverhältnis zu den betroffenen Personen, unbegrenzt ein.
4. SPA und vom Signing zum Closing
Während der Due Diligence beginnt die Käuferseite regelmäßig mit der Ausarbeitung des Unternehmenskaufvertrags. Typische Klauseln, wie z.B. Klauseln zu wesentlichen nachteiligen Änderungen (sog. MAC-Klauseln), Gremienvorbehalte, Fusionsfreigaben, Garantien, Haftungsregelungen und Wettbewerbsverbote, enthalten in der Regel keine personenbezogenen Daten.
Dem Käufer sollte geraten werden, Garantieklauseln für die Einhaltung der einschlägigen Datenschutzgesetze aufzunehmen. Auf diese Weise kann das Risiko für etwaige Datenschutzverstöße vor dem Unternehmensübergang auf die Verkäuferseite übertragen werden.
Mit dem Closing der Transaktion gehen die Risiken der Einhaltung der DSGVO auf den Käufer über. Festgestellte Mängel in der Due Diligence sind daher umgehend zu beheben. War die Due Diligence unergiebig, weil entscheidende Unterlagen fehlten oder nicht herausgegeben wurden, sollten die fehlenden Informationen umgehend ergänzt und alle sonstigen erforderlichen Maßnahmen getroffen werden.
Zur Haftungsminimierung des Käufers ist es insbesondere bei datenschutzrechtlich risikobehafteten Transaktionen ratsam, Klauseln in den Unternehmenskaufvertrag aufzunehmen, die ggf. die Geschäftsführer persönlich für die entstehenden Kosten eines notwendigen Datenschutz-Implementierungsprojekts haften lassen. Auch kann eine nachvertragliche Freistellungsverpflichtung (sog. „Covenants“) vereinbart werden.
5. Fazit
Es zeigt sich, dass datenschutzrechtliche Aspekte im Rahmen eines M&A Deals eine große Rolle spielen. Im gemeinsamen Interesse beider potenzieller Vertragspartner hat die Zielgesellschaft die unbedingte Pflicht, die bereitgestellten Daten auf das erforderliche Minimum zu beschränken. Trotzdem verbleiben insbesondere bei der Zielgesellschaft Risiken. Etwaige formelle und materielle Datenschutzprobleme, die während der Due Diligence auftreten, sollten im Kaufvertrag durch Garantien oder Freistellungsverpflichtungen festgehalten werden.
***ENGLISH VERSION***
Successful exit of a digital enterprise – key aspects of the sale from a data protection perspective – Part 2
In our three-part blog series, we want to present the sale of a company from different perspectives using the example of a digital company. After providing a legal overview of the process in the first part, in part two of our blog series we will look at the sale of digital companies from a data protection perspective. The data inventory and existing data compliance are highly relevant when evaluating a company.
1. Summary & Key Facts
The issue of data protection is of considerable importance in the context of a successful exit of a digital company. Already in the preparatory stages of a sale, thorough examination is essential to ascertain whether documents contain personal data and if anonymization is warranted. Furthermore, vulnerabilities within the data protection framework of the target company, which could potentially diminish the attainable purchase price, must be identified as part of a comprehensive data protection due diligence process.
The requirements for the information obligations of the parties and the legal basis for the processing of the data depend on the nature of the transaction and in particular on whether it constitutes a share or asset deal.
In a share deal scenario, the processing of customer data typically presents fewer challenges. Nevertheless, it remains imperative for the acquirer to meticulously examine and address any existing data protection deficiencies within the target company. In addition, the „new“ controller must provide information about all modalities of the change as part of the statutory information obligations.
In asset deals, individual assets of a company are acquired, including personal data (often including customer data). If personal customer data is sold that is not exclusively required for contract processing or advertising, a change of ownership is (usually) only possible with the customer’s prior consent after informing them of the planned transfer and their right to object. A failure to adhere to DSGVO compliance requirements in the context of an asset deal could potentially render the purchase agreement invalid.
When weighing up the interests in the context of the lawfulness test pursuant to Art. 6 para. 1 lit. f DSGVO, it’s crucial to consider various factors, including the timing of data processing, the scope of data transmission, and the number of individuals granted access to the data. Depending on when the data processing occurs — whether before signing, between signing and closing, or after closing — these factors can significantly influence the balancing of interests.
2. Sales preparation
The sale or purchase of a (digital) company requires adequate preparation in terms of data protection law. At the outset of sales negotiations, it is advisable to execute a non-disclosure agreement (commonly referred to as an „NDA“). Although this mainly serves to protect the target company and its business secrets, it should also be used to limit the circle of parties involved in order to protect personal data (need-to-know principle). Professional entities not inherently bound by confidentiality obligations should either be included as contracting parties or compelled to enter into supplementary confidentiality agreements.
Depending on the scale of the transaction, it is advisable to provide an „information memorandum“ as accompanying reading material. This document describes the target company being sold by summarising its operational, organisational and financial aspects as well as basic information and data – in particular a data mapping. The target company’s processing directory (as up-to-date and complete as possible) also plays an important role.
Before carrying out due diligence, the basic economic and legal framework conditions for transferred data should be set out in a letter of intent or memorandum of understanding.
Prior to granting the prospective buyer access to the personal data of the target company during due diligence, it is imperative to establish the data protection framework between the buyer and seller. This may entail legal obligations to conclude corresponding data protection agreements, as commissioned processing is ruled out due to the target company’s lack of authority to issue instructions to the prospective buyer. Instead, emphasis should be placed on assessing the potential for joint responsibility in accordance with Article 26 GDPR, which may be relevant in the due diligence context, necessitating appropriate contractual arrangements.
Art. 13 and Art. 14 GDPR also impose transparency obligations towards individuals affected by data processing. Depending on the origin of the data, either Art. 13 (in the case of direct collection) or Art. 14 (in the case of indirect collection) is applicable. In negotiations regarding a possible company takeover, only a select group of people outside the management are usually informed about the potential sale. Generally, there is no increased interest on the part of the seller in informing as many people as possible at an early stage. This should (ideally) be considered in advance by means of appropriate (global) data protection declarations.
3. Due diligence
The centrepiece of an M&A process is due diligence, in which the acquisition and company audit is carried out. Particularly crucial for data-driven or data-supported business models, this risk assessment carries a significant data protection dimension. Concerns regarding the legality of the business model under data protection laws (e.g. lack of legal basis, documentation or unauthorized data transfers), the data protection-compliant use of central assets or the further processing of data can significantly impair the economic viability of the acquisition (e.g. if customer data is effectively „worthless“ due to ineffective consent). Hence, the buyer must ascertain whether the target company has adhered to appropriate data protection standards in the past. This is not only advisable for risk assessment purposes but also in light of the substantial fines stipulated by the GDPR for violations. Ongoing fine proceedings or „data breaches“ in the past represent a significant risk that could result in substantial financial repercussions for both the seller and the acquirer.
A significant challenge in the context of company acquisitions stems from the GDPR generalized „one size fits all“ approach, which lacks specific regulations for takeover processes. Consequently, this leads to a conflict between data protection on the one hand and the buyer’s interest in information and confidentiality on the other.
The buyer also typically holds a great interest in gaining an insight into which contracts the target company has concluded, many of which also contain personal data. However, this data can often only be shared in anonymised form, limiting its utility in assessing the company’s value or “data”.
Fundamentally, data protection law operates on the principle of „prohibition with reservation of authorisation“. The processing of data always requires a legal basis. Obtaining the consent of the data subject (Art. 6 para. 1 lit. a GDPR) is generally not an option. In addition, the seller will often have no interest in disclosing a potential sale to employees at an early stage. The only remaining legal basis for processing is therefore often a balancing of interests in favour of the seller pursuant to Art. 6 para. 1 lit. f GDPR. The outcome of this balancing of interests depends heavily on the affected groups and the nature of the personal data involved.
Furthermore, employee data (and, depending on the business model, customer data) often contains sensitive information, salary data or health data. In some cases, this data is even subject to Art. 9 GDPR, which sets strict requirements for processing.
It is initially up to the target company to determine which sections of the documents to be shared should be redacted or otherwise rendered unidentifiable to prevent unlawful data disclosure. The prospective buyer also has a considerable legal interest in refraining from processing any data lacking a lawful basis for access and analysis. Engaging in such processing would also be deemed unlawful. In the context of joint responsibility, both parties bear unrestricted liability for data protection infringements committed by the other party, at least in the external relationship with the data subjects.
4. SPA and from signing to closing
During the due diligence process, the buyer commonly begins the drafting of the company purchase agreement. Typical clauses, such as clauses on material adverse changes (so-called MAC clauses), board reservations, merger clearances, guarantees, liability provisions and non-competition clauses, do not usually contain any personal data.
The buyer should be advised to include guarantee clauses ensuring compliance with the relevant data protection laws. This method allows for the transfer of the risk of any data protection breaches to the seller prior to the transfer of the company.
Upon the transactions’ closing, the risks of compliance with the GDPR are transferred to the buyer. Any deficiencies identified in the due diligence must therefore be rectified immediately. If the due diligence proves unproductive due to missing or withheld key documents, the missing information should be supplemented immediately and all other necessary measures should be taken.
To minimise the buyer’s liability, it is advisable to incorporate clauses in the company purchase agreement holding the managing directors personally liable for the expenses of a necessary data protection implementation project, particularly in transactions posing data protection risks. A post-contractual indemnification obligation (commonly known as „covenants“) can also be negotiated.
5. Conclusion
It is clear that data protection aspects play a major role in the context of an M&A deal. In the mutual interest of both potential contractual partners, the target company has an absolute obligation to limit the data provided to the essential minimum. Nevertheless, risks persist, particularly for the target company. Any formal and material data protection problems that arise during the due diligence process should be set out in the purchase agreement in the form of guarantees or indemnification obligations.