Dieser Artikel konzentriert sich darauf, was sowohl Verk\u00e4ufer als auch K\u00e4ufer aus datenschutzrechtlicher Sicht in Bezug auf den Einsatz eines Datenraums beachten m\u00fcssen.<\/p>\n
Ein Datenraum im Zusammenhang einer Due Diligence<\/strong> bei Fusionen und \u00dcbernahmen (sogenannte M&A-Prozesse) ist ein sicherer und organisierter digitaler Raum, in dem sensible und vertrauliche Dokumente im Zusammenhang mit einer Gesch\u00e4ftstransaktion, wie Finanzunterlagen, Vertr\u00e4ge und rechtliche Dokumente, gespeichert und mit potenziellen K\u00e4ufern oder Investoren geteilt werden. Dies erleichtert die gr\u00fcndliche Pr\u00fcfung dieser Dokumente durch die interessierten Parteien, um die mit der Transaktion verbundenen Risiken und Chancen zu bewerten.<\/p>\n Bei der Durchf\u00fchrung einer Due Diligence-Pr\u00fcfung, bei der personenbezogene Daten an ein anderes Unternehmen weitergegeben werden, m\u00fcssen verschiedene datenschutzrechtliche Aspekte ber\u00fccksichtigt werden, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer lokaler Datenschutzgesetze sicherzustellen.<\/p>\n Was darf in einen Datenraum eingestellt werden und was nicht? Grunds\u00e4tzlich sollten personenbezogene Daten von Besch\u00e4ftigten und Kunden im Zuge der Datenminimierung nach M\u00f6glichkeit anonymisiert werden. Ausnahmen gelten f\u00fcr Gesch\u00e4ftsf\u00fchrer und F\u00fchrungspersonal. Im Zweifel sollte die Einwilligung der Betroffenen eingeholt werden.<\/p>\n Es wird empfohlen, die Arbeitnehmer \u00fcber den Due-Diligence-Prozess zu informieren und sie darauf hinzuweisen, dass ihre Daten im Falle eines Eigent\u00fcmerwechsels dem K\u00e4ufer zur Verf\u00fcgung gestellt werden. Dies fordern die Transparenz- und Fairnessgebote in der Datenschutz-Grundverordnung. In vielen Rechtssystemen findet ein automatischer \u00dcbergang der Mitarbeiter statt, so dass es notwendig ist, die Mitarbeiter im Voraus zu informieren, um die lokalen Arbeitsgesetze einzuhalten. Dies sollte bereits in der Anfangsphase gepr\u00fcft werden, um die Einhaltung der Gesetze sicherzustellen.<\/p>\n Die folgende Checkliste soll Sie dabei unterst\u00fctzen, datenschutzrechtliche Aspekte bei der Nutzung eines Datenraums zu ber\u00fccksichtigen. – Vermeiden Sie mit einfachen Schritten unn\u00f6tige Datenschutzverst\u00f6\u00dfe, die nicht nur zu rechtlichen Problemen sondern auch zur Rufsch\u00e4digung Ihres Unternehmens f\u00fchren k\u00f6nnen.<\/p>\n \u00a0<\/em><\/strong><\/p>\n 1. Notwendigkeit der Daten\u00fcbermittlung pr\u00fcfen:<\/strong><\/strong><\/p>\n a) Geben Sie nicht gleich von Beginn an personenbezogenen Daten an den Bieter\/K\u00e4ufer weiter. F\u00fcr einen ersten Eindruck f\u00fcr die K\u00e4uferseite reichen oftmals allgemeine Angaben und Aussagen.<\/p>\n b) \u00dcberpr\u00fcfen Sie vor jeder Offenlegung, ob es ggf. ausreicht, die Daten anonymisiert, pseudonymisiert oder aggregiert zur Verf\u00fcgung zu stellen.<\/p>\n c) Nur wenn letztlich die Weitergabe personenbezogener Daten unbedingt erforderlich ist, sollte diese erfolgen.<\/p>\n 2. Rechtsgrundlagen Identifizieren:<\/strong><\/strong><\/p>\n a) Bestimmen Sie die genaue Rechtsgrundlage f\u00fcr die \u00dcbermittlung personenbezogener Daten im Rahmen der DSGVO oder anderer anwendbarer Datenschutzgesetze.<\/p>\n b) Dokumentieren Sie die Rechtsgrundlage und stellen Sie sicher, dass die Daten\u00fcbertragung im Einklang damit erfolgt.<\/p>\n c) Es ist m\u00f6glich, die Daten im Verlauf einer Due Diligence aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO<\/a>) zu \u00fcbermitteln. Dabei gilt, je n\u00e4her der Kauf r\u00fcckt, desto gr\u00f6\u00dfer ist das unternehmerische \u00dcbermittlungsinteresse und desto besser l\u00e4sst sich eine Weitergabe ohne Einwilligung der Betroffenen begr\u00fcnden.<\/p>\n d) Im Zweifelsfall und je sensibler bzw. umfassender die Offenlegung sich darstellen w\u00fcrde, desto mehr spricht f\u00fcr die Erforderlichkeit einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO<\/a>).<\/p>\n e) Bitte beachten Sie: Besondere Kategorien personenbezogener Daten wie Gesundheitsdaten, Daten zur sexuellen Orientierung, Daten \u00fcber die politische\/religi\u00f6se \u00dcberzeugung sowie Daten von Kindern d\u00fcrfen nicht ohne Einwilligung weitergegeben werden.<\/p>\n 3. Vertraulichkeits- und Datenschutzvereinbarungen:<\/strong><\/strong><\/p>\n a) Schlie\u00dfen Sie mit dem empfangenden Unternehmen eine Vereinbarung \u00fcber die Vertraulichkeit und den Datenschutz, die die Verantwortlichkeiten, den Zweck der Datenverarbeitung, Datensicherheitsma\u00dfnahmen und eventuelle Daten\u00fcbertragungen in Drittl\u00e4nder abdeckt.<\/p>\n b) Wenn ein Datenraumanbieter involviert ist, muss mit diesem eine Datenschutzvereinbarung in Form einer \u201eAuftragsverarbeitungsvereinbarung\u201c ( 28 DSGVO<\/a>) abgeschlossen werden.<\/p>\n 4. Sicherheitsma\u00dfnahmen:<\/strong><\/strong><\/p>\n a) Stellen Sie sicher, dass angemessene technische und organisatorische Sicherheitsma\u00dfnahmen implementiert sind, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Offenlegung zu sch\u00fctzen.<\/p>\n b) Insbesondere sollte eine gewisse Zugangssicherung (Multi-Faktor-Authentifizierung) und ein Berechtigungskonzept nach dem \u201eNeed-to-know\u201c-Prinzip eingesetzt werden.<\/p>\n 5. Betroffenenrechte:<\/strong><\/strong><\/p>\n a) Ber\u00fccksichtigen Sie die Rechte der betroffenen Personen (Auskunftsrecht, Recht auf L\u00f6schung, Widerspruchsrecht usw.), so dass diese nicht verletzt werden.<\/p>\n 6. Benachrichtigung und Transparenz:<\/strong><\/strong><\/p>\n a) Informieren Sie gegebenenfalls die betroffenen Personen \u00fcber die Daten\u00fcbermittlung und die Due Diligence-Pr\u00fcfung, insbesondere wenn dies nach der DSGVO oder anderen Datenschutzgesetzen erforderlich ist.<\/p>\n 7. Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung und Auditierung:<\/strong><\/strong><\/p>\n a)Planen Sie regelm\u00e4\u00dfige \u00dcberpr\u00fcfungen, um die Einhaltung der Datenschutzbestimmungen und der getroffenen Vereinbarungen sicherzustellen.<\/p>\n 8. Datenschutzverletzungen im Datenraum:<\/strong><\/strong><\/p>\n a) Trotz aller Vorkehrungen sind Datenschutzverletzungen nicht durchweg vermeidbar. \u2013 \u00dcberlegen Sie sich f\u00fcr diesen Fall einen kurzen Prozess, der beide Seiten umfasst und ggf. auch den Dienstleister, der den Datenraum zur Verf\u00fcgung stellt, um eine potenzielle Datenschutzverletzung sauber aufarbeiten zu k\u00f6nnen.<\/p>\n (Denken Sie bitte daran, dass dies eine allgemeine Checkliste ist. Die spezifischen Anforderungen k\u00f6nnen je nach den Einzelheiten der Daten\u00fcbertragung, den beteiligten L\u00e4ndern und den spezifischen Umst\u00e4nden des Falles variieren. Daher kann es ratsam sein, bei Unsicherheiten ein Datenschutzexperte einzuholen.)<\/em><\/p>\n Wenn Sie sich daf\u00fcr interessieren, welche inhaltlichen datenschutzrechtlichen Fragen \u00fcblicherweise bei einer Due Diligence gestellt werden, finden Sie hier eine weitere kurze Checkliste<\/a>.<\/p>\n Video Datenschutz bei der Due Diligence im KMU-Bereich https:\/\/www.youtube.com\/watch?v=EpcS0_2GA-k<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Datenschutzrechtliche Grunds\u00e4tze beachten!<\/h2>\n
Vorbereitung eines Datenraums – Checkliste:<\/em><\/h2>\n