Die EU-Datenschutz-Grundverordnung (DSGVO) findet auch auf M&A-Prozesse Anwendung. Datenschutzrechtliche Verstöße sind unter anderem mit Bußgeldern von bis zu EUR 20 Millionen oder 4 % des weltweiten Jahresumsatzes sanktioniert. Aus Compliance-Gründen sind datenschutzrechtliche Vorgaben im M&A-Prozess möglichst frühzeitig zu beachten und zu dokumentieren, um Haftungsrisiken auszuschließen oder jedenfalls zu minimieren.
Es empfiehlt sich generell, dass Mandanten bereits im Vorfeld von Transaktionen ihre Datenschutzerklärungen dahingehend erweitern, dass personenbezogene Daten auch im Rahmen einer Veräußerung von Vermögenswerten, einer Sanierung, eines Zusammenschlusses oder eines Verkaufs übermittelt werden dürfen („Erweiterung der Zweckerklärung“). Auch sollte beraterseitig geprüft und ggf. darauf hingewirkt werden, dass in einem Konzern Regelungen zur konzerninternen Datenübermittlung und -verarbeitung bestehen („Datenverarbeitungsvereinbarungen“).
Die nachfolgende Checkliste erleichtert einen datenschutzkonformen M&A-Prozess, kann aber eine professionelle Begleitung im Einzelfall nicht ersetzen. Zu beachten ist, dass eine professionelle Gewichtung und Abwägung der einzelnen Maßnahmen vorzunehmen und zu dokumentieren ist. Das bedeutet, dass die bloße Umsetzung einer in der nachfolgenden Liste vorgeschlagenen Handlung nicht allein dazu führt, dass die Vorgaben der DSGVO zutreffend eingehalten und umgesetzt werden. Es sollte zudem für jeden an einem M&A-Prozess Beteiligten (Verkäufer, Käufer, Berater, Dienstleister) die individuelle Rolle und Verantwortlichkeit im Sinne der DSGVO festgestellt werden, um die Pflichten im Umgang mit den bereitgestellten Daten konkret zu bestimmen und deren Einhaltung sicherzustellen.
