Due Diligence Datenschutz Checkliste für KMU

Unter “Due Diligence” versteht man die Prüfung eines Unternehmens oder eines Unternehmensteils auf rechtliche und wirtschaftliche Risiken im Vorfeld eines M&A-Deals. Datenschutz spielt in der Due Diligence-Phase eine immer bedeutsamere Rolle, insbesondere seit der Einführung der EU-Datenschutzgrundverordnung (DSGVO). Investoren werden das Fehlen fundamentaler DSGVO-relevanter Dokumentation als Risiko betrachten, was sich wiederum auf den Gesamtwert des Unternehmens auswirken kann.

Im M&A-Prozess selbst sollten die Datenschutzanforderungen aus Compliance-Gründen frühzeitig berücksichtigt und dokumentiert werden, um Haftungsrisiken auszuschließen oder zumindest zu minimieren. Es wird darüber hinaus empfohlen, dass Kunden ihre Datenschutzerklärungen vor der Durchführung von Transaktionen erweitern, um die Weitergabe personenbezogener Daten im Zusammenhang mit dem Verkauf von Vermögenswerten, Umstrukturierungen, Fusionen oder Verkäufen zu ermöglichen (sog. “Zweckerweiterungserklärung”). Ebenso ist es ratsam sicherzustellen, dass die Websites und Tracking-Mechanismen mit allen geltenden Gesetzen und Vorschriften übereinstimmen.

Die folgende Checkliste ist für kleine und mittlere Unternehmen gedacht, die einen Verkauf in Erwägung ziehen oder externe Investoren ansprechen wollen. Sie dient als Richtschnur dafür, welche Unterlagen ein Unternehmen benötigt, um die Einhaltung der Datenschutzbestimmungen nachzuweisen.

 

Datenschutz-Checkliste für die Due-Diligence-Phase beim Verkauf eines Unternehmens

1. Datenschutz-Compliance-Dokumentation zum Nachweis der Einhaltung der DSGVO

b. Aufzeichnungen über Verarbeitungstätigkeiten

c. Schulungen und Sensibilisierung (durchgeführte GDPR-Schulungen und wie oft)

d. Datenschutzrichtlinien

e. Website – Cookie-Banner und Tracking sind rechtskonform

f. Zeigen Sie den Prozess auf, wie mit Kundenbeschwerden umgegangen wird

g. Name und Registrierung des Datenschutzbeauftragten

h. Prozessbeschreibung für die Durchführung von DPIAs

i. Prozess bei Datenschutzverletzungen

j. Berichte über Datenschutzverletzungen

k. Standards für die IT-Sicherheit – nachweisen können, dass technische und organisatorische Maßnahmen vorhanden sind

l. Durchgeführte Audits (privASSIST)

 

 2. Vendor Management

a. Liste der externen Dienstleister, die als Datenverarbeiter im Auftrag des Unternehmens tätig sind

b. Liste der Verträge mit Partnern, die als Verantwortliche für die personenbezogenen Daten des Unternehmens fungieren

c. Vereinbarungen oder Klauseln zur Datenverarbeitung, bei denen das Unternehmen als Datenverarbeiter auftritt und im Auftrag eines Dritten Zugang zu personenbezogenen Daten hat

 

3. Berichte und Statistiken, sollten nur auf Anfrage zur Verfügung gestellt werden:

a. Frühere Beschwerden von betroffenen Personen bei der zuständigen Datenschutzbehörde

b. Bericht über Rechtsstreitigkeiten: Eine Liste der Verfahren (Informationen und/oder Strafen), die in den letzten 3 Jahren gegen das Unternehmen wegen Verletzung der Datenschutzgesetze eingeleitet wurden

 

Wenn sich die Eigentumsverhältnisse des Unternehmens durch den Verkauf von Anteilen ändern, gehen die Daten und Unterlagen automatisch auf den neuen Eigentümer über. Wenn die Vermögenswerte des Unternehmens (Gebäude, Ausrüstung, geistige Eigentumsrechte, Know-how, Personal usw.) ganz oder teilweise übertragen werden, müssen zusätzliche rechtliche Schritte unternommen werden, um die bestehenden Verträge vollständig zu übertragen. Personenbezogene Daten werden nicht automatisch übertragen und eine Rechtsgrundlage für die Übertragung personenbezogener Daten gemäß Artikel 6 DSGVO ist immer erforderlich. In den meisten Fällen ist die Rechtsgrundlage für die Übertragung personenbezogener Daten eine vertragliche Verpflichtung, eine Einwilligung, eine gesetzliche Verpflichtung und/oder ein berechtigtes Geschäftsinteresse. Beim Abstellen auf das berechtigte Geschäftsinteresse als Rechtsgrundlage für die Übermittlung ist die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f in Verbindung mit Art. 6 Abs. 4 DSGVO zu beachten.

Die Konferenz der unabhängigen Datenschutzbehörden der Bundesrepublik Deutschland hat einen Katalog von Fallgruppen erstellt (https://www.datenschutzkonferenz-online.de/media/dskb/20190524_dskb_asset_deal.pdf), die sich mit den Überlegungen zur Datenübermittlung im Rahmen eines “Asset Deals” ohne Einwilligung befassen.