Das jüngst gegen Marriott Hotels angekündigte Bußgeld von GBP 99 Mio. macht besonders deutlich: Datenschutz ist auch bei Unternehmenstransaktionen einzuhalten.
Ein gutes Jahr nach Inkrafttreten hat die DSGVO unmittelbare Auswirkungen auf nahezu jede M&A-Transaktion. Mit Beschluss vom 24. Mai 2019 hat die deutsche Datenschutzkonferenz zu der Frage Stellung genommen, welche Daten im Rahmen eines Asset Deals übermittelt werden können.
Die Aufsichtsbehörde in Großbritannien hat nun aufgrund einer zu beanstandenden Due Diligence ein Bußgeld in Höhe von GBP 99 Mio. angekündigt.
Bußgeld für Marriott Hotels
Laut einer Mitteilung des UK Information Commissioner’s Office (ICO) sieht sich Marriott Hotels voraussichtlich einem Bußgeld von GBP 99 Mio. ausgesetzt. Der eigentliche Datenschutzverstoß erfolgte bereits 2014 durch die Starwood Hotel Kette, die versehentlich über 300 Mio. Kundendaten offengelegt hatten. Marriott Hotels hatte die Starwood Hotel Kette erst zwei Jahre später erworben.
Das ICO kündigt an, Marriott Hotels zur Kasse zu bitten, da im Rahmen der Transaktion insbesondere keine ordnungsgemäße Due Diligence (sufficient due diligence) durchgeführt worden sei.
Due Diligence in der Praxis: Einhaltung des Datenschutzes auch bei Zielgesellschaft prüfen
DSGVO und M&A bilden ein explosives Spannungsfeld. Einerseits gilt es unter Compliance-Gesichtspunkten die eigene Geschäftsleitung zu schützen. Denn es drohen Bußgelder von bis zu EUR 20 Millionen oder 4 Prozent des weltweiten Jahresumsatzes. Die jüngste Ankündigung zeigt, dass es sich hier nicht um theoretische Hausnummern handelt.
Im Rahmen von Unternehmenstransaktionen ist damit gesteigerter Wert auf eine ausführliche Due Diligence im Bereich der Datenschutz-Compliance zu legen.
Dies betrifft einerseits den technischen Due Diligence-Prozess: Welche Daten dürfen wann in welchem Umfang offengelegt werden? Inwieweit sind Daten zu schwärzen? Welche Vorkehrungen können sonst getroffen werden, um weitere Compliance-Risiken zu minimieren, ohne den M&A-Prozess zu sehr zu verkomplizieren? Hier kann unsere Checkliste wertvolle Hilfestellung sein.
Andererseits sind im Rahmen einer Due Diligence etwaige Datenschutzverstöße der Zielgesellschaft aufzudecken. Art und Umfang der Due Diligence sind den Umständen des Einzelfalls geschuldet. Für Marriott ist bemerkenswert, dass es sich seinerzeit um eine öffentliche Übernahme handelte. Hier ist eine umfassende Due Diligence oftmals nicht möglich.
Werden Risiken möglicher Datenschutzverstöße identifiziert oder ist eine Due Diligence nicht oder nur eingeschränkt möglich, sollte der Käufer auf Absicherungsmechanismen im Unternehmenskaufvertrag drängen. Hier kommen Garantien oder Freistellungen in Betracht. Alternativ kann das Risiko in den Kaufpreis reduzierend eingepreist werden. In jedem Fall muss sichergestellt werden, dass Datenschutzverstöße spätestens nach Übernahme unverzüglich behoben werden.