Herausforderungen bei der Due Diligence von Unternehmen, die mit dem Ziel des Aufbaus digitaler Kompetenz in den Fokus der Investoren rücken.
In den letzten zehn Jahren konnte eine erstaunliche Entwicklung beobachtet werden: Google oder Facebook waren bereit, für noch jüngere Unternehmen, deren Geschäftsmodell häufig rein datengetrieben war, Milliarden USD zu bezahlen. Nicht selten war das Ziel dieser Transaktionen der Erwerb von Technologie oder Software. Der Innovationsdruck – selbst für solche Player – ist so groß, dass der Zukauf, auch zu kaum vorstellbaren Beträgen, als die einzig sinnvolle Option erscheint.
Dies gilt für alle Unternehmen, die mit den aktuellen technischen Entwicklungen Schritt halten möchten; so z.B. auch in der Automobilindustrie, wo hoch vernetzte und automatisierte Fertigungsprozesse und insbesondere das automatisierte Fahren die bestimmenden Zukunftsthemen sind. Beide sind jedoch ohne ausreichende Kompetenz im Bereich der Datenerfassung und Auswertung nicht sinnvoll umsetzbar. Kompetenz, die in den meisten Fällen nicht schnell genug selbst aufgebaut werden kann und daher erworben werden muss. Der Zukauf von Know-How liegt im Trend.
Schwerpunkt der Due Diligence: Verifizierung der Bewertungsannahmen
Die Due Diligence muss dann aber ganz andere Schwerpunkte setzten, als dies bei der Prüfung „klassischer″ Industrieunternehmen der Fall ist: Zwar sind die immateriellen Schutzgüter stets wesentlicher Bestandteil der im Rahmen der Due Diligence zu verifizierenden Bewertungsannahmen, jedoch verschiebt sich diese Gewichtung bei digitalisierten Unternehmen erheblich.
So besitzen selbst „Unicorn″– Start-Ups, also solche, die mit über USD 1 Mrd. bewertet werden, zum Teil kaum klassische Vermögensgegenstände, die Grundlage für eine klassische Bewertung sein können. Es bestehen keine Fabriken, Industrieanlagen oder Warenbestände, sondern – übertrieben gesprochen – nur ein Quellcode auf einigen Laptops.
Klassische Due Diligence Felder, wie z.B. Real Estate und Umwelt, verlieren daher gegebenenfalls an Relevanz, während insbesondere die Bereiche IP und IT in den Vordergrund treten. Nachfolgend zeigen wir einige Herausforderungen aus diesen Bereichen auf, die sich bei der Due Diligence stellen.
Due Diligence bei digitalisierten Unternehmen: Der Datenschutz
Das Datenschutzrecht unterliegt aktuell einer erheblichen Transformation. Zum einen wurde durch die Safe-Harbor-Entscheidung des Europäischen Gerichtshofs Rechtsunsicherheit im Bereich des internationalen und transatlantischen Daten-Im- und -Exports geschaffen. Zum Anderen reformiert die ab Mai 2018 anzuwendende Datenschutzgrundverordnung (DSGVO) die Anforderungen bezüglich der Nutzung von personenbezogenen Daten. Die neue E-Privacy-Verordnung wirft bereits ihre Schatten voraus.
Zur Identifikation von Risiken in einem Zielunternehmen ist im Rahmen der Due Diligence zu untersuchen, ob die geltenden und auch zukünftig relevanten datenschutzrechtlichen Vorgaben eingehalten werden. Dies gilt insbesondere für Unternehmen, für deren Geschäftsmodelle die Nutzungsrechte bzw. Nutzungsmöglichkeiten der verwendeten Daten sowie die rechtliche und tatsächliche Sicherung der eigenen Datenbestände essentiell sind. Hierzu zählen etwa
- die Verwendung von rechtskonformen Datenschutzerklärungen,
- eine ausreichende Anonymisierung bzw. Pseudonymisierung der Daten, die eine dem Geschäftsmodell des Zielunternehmens angemessene Auswertung der personenbezogenen Daten ermöglicht,
- oder auch rechtskonforme Vereinbarungen bezüglich eines internationalen Datenexports.
Weiterhin schreibt insbesondere die DSGVO als Standard für neue Produkte ein Privacy-by-Design vor. Das heißt, die Produkte müssen so gestaltet werden, dass sie nur ein Minimum der betriebsnotwendigen Daten erfassen und auswerten. Der Nutzer muss die Möglichkeit haben, entsprechende datenschutzrechtliche Einstellungen am Gerät selbst vorzunehmen.
Insbesondere im Bereich der Industrie 4.0 und des Internet-of-Things gewinnen diese Rechtsfragen im Rahmen der Due Diligence erhebliche Bedeutung, da sich dort erhebliche Risiken für das Zielunternehmen verbergen können – dies nicht zuletzt aufgrund der durch die DSGVO erheblich erhöhten Bußgelder.
Due Diligence bei digitalisierten Unternehmen: Dateneigentum
Während die Prüfung der Einhaltung datenschutzrechtlicher Vorgaben relativ standardisiert erfolgen kann, ist dies bei der rechtlichen Bewertung von nicht-personenbezogenen Daten und deren Verwertungsmöglichkeiten nicht der Fall. Denn die Rechtsfragen hinsichtlich des „Dateneigentumes″ bzw. der Einordnung von Daten als „Waren″ wurden bisher nicht abschließend geklärt.
Die Ansätze reichen von einer – verfehlten – analogen Anwendung des Datenschutzrechts über die Einordnung als „Früchte″ im Sinne des Zivilrechts bis hin zur Anwendung von urheberrechtlichen Datenbankvorschriften. Diese Rechtsunsicherheit führt dazu, dass in der Praxis überwiegend mit vertraglichen Lösungen zwischen den beteiligten Unternehmen gearbeitet wird.
Es ist daher bei der Due Diligence eines digitalisierten Unternehmens insbesondere zu prüfen, ob solche vertraglichen Ausgestaltungen eine Datennutzung, Datenerhebung und Datenauswertung entsprechend dem nach Abschluss der Transaktion geplanten Geschäftszweck überhaupt erlauben („Data Governance″) oder ob sich in diesem Bereich Risiken, die auch geschäftsbedrohend sein könnten, verbergen. Gewinnt etwa ein Zielunternehmen im Smart Home Bereich Daten aus Sensoren eines Drittanbieters, so ist im Rahmen der Due Diligence zu untersuchen, ob die über die Senoren gewonnenen Daten auch für die geplante Weiterentwicklung des Geschäftsmodells genutzt werden dürfen oder ob sie auf die aktuellen Nutzungsarten beschränkt und damit für die mit der Transaktion verfolgten Ziele ungeeignet sind.
Due Diligence bei digitalisierten Unternehmen: Know-How-Schutz und IT-Sicherheit
Im Bereich des Know-How-Schutzes („Information Governance″) ist zwischen dem klassischen Schutz durch Immaterialgüterrechte (Marken, Patente, Designs etc.) und sonstigem Know-How, das keinem registerrechtlichen oder sonstigen Schutz zugänglich ist, zu differenzieren. In diesem Punkt werden zukünftig die technische sowie die rechtliche Due Diligence wesentlich enger miteinander verzahnt. Nur die genaue Analyse der tatsächlichen und rechtlichen Schutzmaßnahmen kann die Fragen eines angemessenen Geheimhaltungsschutzes beantworten. Dies insbesondere vor dem Hintergrund, dass die Know How-Schutz-Richtlinie eben solche umfassenden rechtlichen und tatsächlichen Maßnahmen fordert.
Auch das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz taucht im Prüfungskatalog auf. Hiernach sind Betreiber kritischer Infrastrukturen (Energie, Transport, Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Sicherungswesen) zu besonderen Schutzmaßnahmen verpflichtet. Erfasst sind nur solche Unternehmen, die von besonderer Bedeutung für das Funktionieren des Gemeinwesens sind. Es gibt zwischenzeitlich erste Sektorenverordnungen, die eine Orientierung geben, welche Größenordnung erfasst ist. So sind z. B. Energiedienstleister betroffen, die mehr als 500.000 Personen versorgen. Fällt ein Unternehmen unter den Anwendungsbereich des IT-Sicherheitsgesetzes, bestehen erhebliche Anforderungen hinsichtlich der technischen und rechtlichen Absicherung des Unternehmens, sodass auch deren Erfüllung im Rahmen der Due Diligence zu untersuchen ist.
Due Diligence bei digitalisierten Unternehmen: Haftung bei autonomen Systemen
Sofern Maschinen eigenständige Entscheidungen treffen, stellt sich die Frage, wer für diese haftet. Es ist – gerade aufgrund der noch ungeklärten Rechtslage – zu prüfen, ob im Zielunternehmen entsprechende vertragliche Regelungen hinsichtlich der Haftungsfreizeichnung etc. vorliegen.
Auch werden sogenannte Smart Contracts, die auf der Blockchain-Technologie basieren, immer bedeutsamer. Insbesondere im FinTech-Bereich erfolgt eine Integration bereits in erheblichem Maße. Die rechtlichen Fragen – Smart Contracts als AGB-Auslegungsmaßstab oder eigenes Rechtsinstitut – sind aber noch nicht abschließend geklärt. Eine gute rechtliche Due Diligence eines Zielunternehmens, das solche Konstrukte verwendet, identifiziert die möglichen Risiken und zeigt Lösungsmöglichkeiten zur rechtssicheren Gestaltung auf.
Geheimhaltungsschutz vs. Informationsinteresse des Investors
Ist der Prüfungsfokus der Due Diligence geklärt, so kann es an die umfassende Einsichtnahme in die vertraglichen und technischen Verhältnisse im Zielunternehmen gehen. Ein digitalisiertes Zielunternehmen hat jedoch aus der Natur seines Geschäftszwecks heraus ein besonderes Geheimhaltungsinteresse: Vertraulichkeitsverpflichtungen gegenüber Kunden, Dienstleistern und Kooperationspartnern sind zu beachten, außerdem das Datenschutzrecht. Auch beschränkt gegebenenfalls das Kartellrecht den Austausch wettbewerbsrechtlich sensibler Informationen.
Bei innovationsgetriebenen Transaktionen ist aber insbesondere die Sorge des Zielunternehmens berechtigt, dass ein Wettbewerber sein Kaufinteresse nur vortäuscht. Tatsächliches Ziel: Im Rahmen der Due Diligence nur Know-How oder Daten – häufig sind beides die wesentlichen Assets – abziehen („Window Shopping″) oder Mitarbeiter ansprechen und abwerben.
Erster Schritt und Standard ist daher der Abschluss eines NDA, das gegebenenfalls sogar eine Vertragsstrafe für den Fall der Verletzung von Vertraulichkeitspflichten vorsieht. Eine weitere Möglichkeit zur Wahrung von Geheimhaltungsinteressen kann auch eine gestaffelte Offenlegung sein: Die Zielgesellschaft legt bestimmte Informationen erst offen, wenn eine hohe Abschlusswahrscheinlichkeit besteht. Möglich ist es auch, dem Interessenten lediglich eine Confirmatory Due Diligence besonders sensibler Themen erst unmittelbar vor oder sogar erst nach Unterzeichnung der Transaktionsdokumentation offenzulegen. Anstelle einer eigenen Prüfung kann der Interessent auch auf einen im Lager des Verkäufers erstellten Vendor Due Diligence Report verwiesen werden. Schließlich ist es auch üblich, für besonders vertrauliche Teilaspekte sogenannte „Clean Teams″ einzurichten, in denen nur externe Berater oder ausgewählte Spezialisten des Interessenten mitwirken, die nur eine abstrakte Zusammenfassung ihrer Ergebnisse an die Entscheider auf Investorenseite übermitteln dürfen.
Due Diligence bei digitalisierten Unternehmen: Qualität des Datenraums
Ein nicht zu unterschätzender Zeit- und Kostenfaktor für die Due Diligence bei digitalisierten Unternehmen ist neben den inhaltlichen Herausforderungen oft auch die Datenraumqualität. Denn mit dem schnellen Wachstum geht häufig ein vernachlässigtes Corporate Housekeeping einher: Es fehlt an einem Dokumentenmanagementsystem und Controlling.
Das führt dazu, dass die wesentlichen, für die Due Diligence erforderlichen Dokumente und Informationen schlimmstenfalls noch nicht in der erforderlichen Form vorliegen und von der Zielgesellschaft erst mühsam und zeitraubend anhand einer Anforderungsliste des Investors zusammengesucht werden müssen. Ein langwieriger Q&A-Prozess ist die Folge und Streitigkeiten über die Haftungsfolgen von Garantieverletzungen sind vorprogrammiert. Der Investor ist im Rahmen der Vertragsverhandlungen dann regelmäßig nicht bereit, den Inhalt eines unaufgeräumten Datenraums als bekannt zu akzeptieren.
Fazit: Neue Herausforderung bei der Due Diligence in digitalisierten Unternehmen
Die Digitalisierung verschiebt auch das Playing Field bei der Due Diligence, da sie eine Vielzahl neuer Rechts- und Verfahrensfragen mit sich führt und stellt damit die Anwälte im Transaktionsgeschäft vor neue Herausforderungen.
