30. Januar 2019
M&A Datenschutz
Automotive Mergers & Acquisitions (M&A)

M&A und DSGVO – Wirtschaftssektoren in der digitalen Transformation besonders betroffen

Datenschutz-Compliance spielt bei M&A-Prozessen eine zunehmend wichtige Rolle. Dies gilt in besonderem Maße für Branchen, die einer digitalen Transformation unterliegen.

Automotive, Healthcare und Financial Services sind Musterbeispiele für Wirtschaftssektoren, die sich im digitalen Wandel befinden. Bewährte und erfolgreiche Geschäftsmodelle ändern sich radikal oder werden durch andere Geschäftsmodelle ersetzt. Unternehmen begegnen diesen Herausforderungen oft auch durch externe Zukäufe. Produkte und Apps der Transaktionsziele beinhalten häufig persönliche Daten von Kunden oder Nutzern. Daher stellen sich hier bei M&A-Prozessen besondere Anforderungen.

In der Vergangenheit wurden datenschutzrechtliche Themen bei der Strukturierung von M&A-Prozessen oftmals nur am Rande berücksichtigt. Dies lag sicherlich auch an den bisher signifikant geringeren Sanktionen. Mittlerweile spielt der Datenschutz auch hier eine zentrale Rolle. Denn bei Verstößen gegen die EU Datenschutz-Grundverordnung (DSGVO) drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten jährlichen Unternehmensumsatzes.

Besondere Bedeutung von Datenschutz bei Automotive, Fintech und Healthcare

Die DSGVO findet immer dann Anwendung, wenn die Verarbeitung personenbezogener Daten von sog. natürlichen Personen, also Menschen, betroffen ist. Bei Unternehmenstransaktionen kommt dies insbesondere bei Mitarbeiter-, Lieferanten- und Kundendaten in Betracht, einschließlich Daten von Nutzern von Apps oder anderer digitaler Dienstleistungen. Im Bereich Automotive spielt dies z. B. bei Carsharing eine Rolle, wo insbesondere Bewegungsprofile erstellt, Zahlungsverhalten registriert und geahndete Verkehrsverstöße gespeichert werden können. Hoch sensibel sind auch Gesundheitsdaten, die von Healthcare Apps verwaltet werden. Entsprechendes gilt für finanzielle Informationen im Bereich von Fintechs.

Bei Beteiligung großer Player im Markt potenzieren sich die Datenmengen. Fusionen sind in diesen Bereichen – wie der Zusammenschluss von Drive Now (BMW) und Car2go (Daimler) – selbstverständlich weiter zu erwarten. Beim Aufsetzen des M&A-Prozesses sollten frühzeitig datenschutzrechtliche Gesichtspunkte beachtet und dokumentiert werden, um unter Compliance-Gesichtspunkten Risiken eines DSGVO-Verstoßes auszuschließen oder wenigstens zu minimieren.

Legal Tech zur Unterstützung der Datenschutzcompliance

So kann die Personenbezogenheit von Daten und damit die Anwendbarkeit des Datenschutzrechts durch Schwärzung von Dokumenten eliminiert werden. Aus Kosten- und Zeitgründen unterstützt hier zunehmend Legal Tech.

In jedem Fall sollten zur Risikominimierung Maßnahmen zur Gewährleistung der Vertraulichkeit ergriffen werden. Dies betrifft einen begrenzten Datenraumzugang, eine verschlüsselte Datenübermittlung, die Pflicht zur Löschung von Daten bei Transaktionsbeendigung und entsprechende Vertragsstrafen. Zudem ist mit Datenraumanbietern, vor allem solchen mit Sitz oder Servern außerhalb der EU, abzuklären, ob die Einhaltung der DSGVO gewährleistet ist.

Der Weg und das Ergebnis einer datenschutzrechtlichen Interessenabwägung für die Datenübermittlung sollte für jeden Milestone (Due Diligence, post-Signing, post-Closing) unter Berücksichtigung der Anforderungen aufgrund der gewählten Transaktionsstruktur (Asset Deal, Share Deal, Umwandlungsmaßnahme) dokumentiert und durch erfahrene Berater begleitet werden. Entsprechendes gilt für die Prüfung, ob und in welchem Stadium die betroffenen Mitarbeiter, Kunden, Lieferanten oder Nutzer über die mögliche Transaktion informiert werden müssen.

Hier kann die „CMS Checkliste M&A und DSGVO“ helfen.

Dieser Beitrag ist Teil unserer Serie „M&A im Zeichen des Wandels der Automobilindustrie“. Erschienen sind Beiträge zur M&A und DSGVO – Wirtschaftssektoren in der digitalen Transformation″, zu der „Automobilbranche in China″ sowie Tipps zur Automotive M&A in unberechenbaren Zeiten. Zuletzt erschien der Beitrag zum Acqui-Hire - Know-how auf Knopfdruck für die Automobilbranche.

Tags: Automotive Datenschutzrecht & Recht der IT-Sicherheit DSGVO m&a