Due Diligence (Unternehmensverkauf)

Eine Due Diligence-Prüfung ist die genaue Analyse eines Unternehmens anlässlich seines (Teil-)Verkaufs oder auch seines Börsengangs. Due Diligence heisst übersetzt gebührende oder gebotene (due) Sorgfalt (diligence). Eine Due Diligence-Prüfung wird üblicherweise durch die Käuferin veranlasst.

Zweck einer Due Diligence-Prüfung ist das Herausfinden des Werts eines Unternehmens(teils), also im Grunde die Festlegung des Kaufpreises. Dazu muss eine sorgfältige Analyse, Prüfung und Bewertung all seiner wertbehafteten Bestandteile (Assets) vorgenommen werden. Es liegt in der Natur der Sache, dass hierbei zahlreiche Daten verarbeitet werden, die je nachdem auch einen Personenbezug aufweisen.

Die üblichsten personenbezogenen Daten, die im Rahmen einer Due Diligence-Prüfung verarbeitet werden, sind:

• Daten von Mitarbeitenden/Beschäftigten
• Daten von Geschäftsführung/Vorstand/Management
• Kundendaten
• Lieferantendaten

Dabei können insbesondere die Datensätze von Mitarbeitenden, aber gegebenenfalls auch von Kunden, sehr umfangreich sein und nebst Namen und Kontaktdaten auch Geburtsdaten, Kennnummern, Funktionsbezeichnungen, Lohnangaben, Fachkenntnisse etc. umfassen.

Bei einer Due Diligence-Prüfung stehen sich deshalb oft widerstreitende Interessen gegenüber. Auf Seiten der Käuferin und des verkaufenden Unternehmens besteht ein nachvollziehbares Interesse an möglichst grosser Transparenz, während auf Seiten der Betroffenen (insb. Mitarbeitende sowie Kundinnen und Kunden) ein ebenso nachvollziehbares Interesse am Schutz ihrer personenbezogenen Daten besteht. Die Notwendigkeit der Offenlegung und Übermittlung von Daten von bestimmten Mitarbeitenden oder Kunden hängt jedoch stets vom Einzelfall ab.

Ganz generell haben die Verantwortlichen im Rahmen einer Due Diligence-Prüfung den datenschutzrechtlichen Grundsatz der Datenminimierung und Verhältnismässigkeit zu achten (Art. 5 Abs. 1 Bst. c DSGVO). Wie bereits erwähnt, kann ein erhebliches Interesse daran bestehen, umfangreiche Datensätze, einschliesslich personenbezogener Daten, offenzulegen. Dem darf jedoch nur so weit nachgegeben werden, als eine entsprechende Offenlegung für die Zwecke der geplanten Due Diligence-Prüfung unerlässlich sowie verhältnismässig ist («auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt») und mit den übrigen datenschutzrechtlichen Anforderungen in Einklang gebracht werden kann.

Zudem gilt: Jede Verarbeitung von personenbezogenen Daten benötigt eine Rechtsgrundlage. Im Falle eines Unternehmensverkaufs und der damit einhergehenden Offenlegung und Übertragung von personenbezogenen Daten im Rahmen der Due Diligence-Prüfung ist dies regelmässig das berechtigte Interesse des verkaufenden Unternehmens und der Käuferin gemäss Art. 6 Abs. 1 Bst. f DSGVO.

Um sich auf das berechtigte Interesse berufen zu können, muss ein Verantwortlicher jedoch zuvor eine sorgfältige Interessenabwägung vornehmen. Nur wenn im konkreten Fall die geplante Datenverarbeitung zur Wahrung seines berechtigten Interesses erforderlich ist und die schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen, darf Art. 6 Abs. 1 Bst. f DSGVO als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Somit ist anhand des konkreten Einzelfalls vor der Verarbeitung und Übermittlung von personenbezogenen Daten eine Abwägung der widerstreitenden Interessen von Verantwortlichen (Unternehmen/Käuferin) und Betroffenen (Mitarbeitende, Kunden, etc.) vorzunehmen. Kommt diese vorgängige Interessenabwägung zum Schluss, dass die Verarbeitung und Übermittlung zum Zweck der Durchführung einer Due Diligence-Prüfung nicht absolut notwendig ist, müssen die Daten anonymisiert oder aggregiert (oder mindestens pseudonymisiert) werden. Dies entspricht der Verpflichtung des Verantwortlichen, jeweils das «gelindeste Mittel» der Datenverarbeitung zu wählen. Alternativ muss auf eine andere Rechtsgrundlage ausgewichen und die Einwilligung der Betroffenen gemäss Art. 6 Abs. 1 Bst. a DSGVO eingeholt werden.
 

Faustregel: Reduzieren, Aggregieren, Anonymisieren!

Wenn immer möglich sollte bei der Durchführung einer Due Diligence-Prüfung die Verarbeitung von personenbezogenen Daten (und damit die Anwendung der DSGVO) vermieden werden, sei dies durch Reduktion, Aggregation oder auch durch eine Anonymisierung der Daten. Alles, was sich reduzieren, anonymisieren (bspw. Name und Geburtsdatum weglassen) und aggregieren (bspw. Gesamtlohnsumme statt Einzellöhne ausweisen) lässt, kann ohne datenschutzrechtlichen Mehraufwand verarbeitet werden. Oft genügen auch rein statistische Daten für die Zwecke einer Due Diligence-Prüfung und sind nur in begründeten Einzelfällen individuelle Angaben erforderlich.

Beispiel: Detaillierte Angaben zu einzelnen Mitarbeitenden sind im Rahmen von Due Diligence-Prüfungen häufig nur zum obersten Management oder zu Personal in Führungspositionen erforderlich. Die Daten der übrigen Mitarbeitenden können oft als statistische oder anonymisierte Übersicht angegeben werden, z.B. Anzahl, Altersstruktur, Kenntnisse, Funktionen etc. Regelmässig dürfte eine solche Anonymisierung der Daten oder die Erstellung von aggregierten, statistischen Durchschnittswerten zur Befriedigung des Informationsinteresses der Käuferin genügen (z.B. Informationen zum Durchschnittsalter, zur durchschnittlichen Dauer der Anstellungsverhältnisse oder zum Durchschnittslohn).

Können die Daten nicht vollständig anonymisiert werden, kommt auch eine Pseudonymisierung als Massnahme zum Datenschutz in Frage. Im Gegensatz zu anonymisierten Daten handelt es sich bei pseudonymisierten Daten jedoch nach wie vor um personenbezogene Daten im Sinne der DSGVO und ist diese somit vollumfänglich einzuhalten. Wenn sich eine Anonymisierung nicht durchführen lässt, so kann die Pseudonymisierung jedoch Risiken reduzieren und beispielsweise die Interessenabwägung bei der Nutzung berechtigter Interessen als Rechtsgrundlage erleichtern (Art. 6 Abs. 1 Bst. f DSGVO). Ebenso kann die Pseudonymisierung dazu beitragen, die Vereinbarkeit der Datenverarbeitung zu Due Diligence-Zwecken mit dem ursprünglichen Zweck zu gewährleisten (Art. 6 Abs. 4 DSGVO).

Hinweis: Es liegt in der Natur der Sache, dass die Grösse des verkaufenden Unternehmens eine Rolle spielt. So kann eine Anonymisierung oder auch eine Pseudonymisierung von Mitarbeitendendaten schwierig bis unmöglich sein, wenn die Anzahl der Beschäftigten so gering ist, dass auch ohne die Angabe von Namen klar ist, wer dahintersteht. Kleine Unternehmen sollen jedoch nicht aufgrund der DSGVO unverkäuflich werden. Hier kann auf Grund der Schwierigkeit, ein «gelinderes» Mittel der Datenverarbeitung zu finden, eine Interessenabwägung gemäss Art. 6 Abs. 1 Bst. f DSGVO deshalb wohl dennoch zugunsten des Unternehmens ausfallen.

Bei grenzüberschreitenden Sachverhalten ist der Sitz der Verantwortlichen (Unternehmen/Käuferin) zu beachten. Befinden sich alle im EU/EWR-Raum, so gilt überall die DSGVO und das Datenschutzniveau ist folglich dasselbe. Befindet sich eine Partei jedoch in einem Drittstaat, so sind zusätzlich die Regeln aus Kapitel V DSGVO zum internationalen Datentransfer zu beachten.

Nach Abschluss einer Due Diligence-Prüfung kommt es im besten Fall zum geplanten Kauf bzw. Verkauf eines Unternehmens oder von Teilen davon. Datenschutzrechtlich macht es einen Unterschied, ob es sich beim angestrebten Kauf/Verkauf um einen sogenannten Share Deal oder einen Asset Deal handelt. Bei einem Share Deal werden nur Anteile (Shares) an einem Unternehmen übertragen und bleibt das Unternehmen als rechtliche Einheit bestehen, (nur bei Kapitalgesellschaften möglich). Der datenschutzrechtlich Verantwortliche bleibt somit derselbe. In vielen Fällen wird daher bei unveränderter Unternehmensfortführung zunächst keine Anpassung der datenschutzrechtlichen Informationen und Dokumentation erforderlich sein.

Bei einem Asset Deal hingegen werden einzelne Vermögensgegenstände (Assets), beispielsweise Grundstücke, Maschinen, Rechte oder auch Datenbestände wie ein Kundenstamm, verkauft bzw. an einen neuen Eigentümer übertragen (insb. bei der Übertragung von Einzelunternehmen/Personengesellschaften, aber auch bei gezielten Verkäufen von Assets). Dadurch ändert sich der Verantwortliche für die betroffenen Personen und womöglich in der Folge auch andere datenschutzrechtliche Aspekte wie der Verarbeitungszweck etc. In diesem Fall müssen die datenschutzrechtlichen Verpflichtungen sorgfältig überprüft werden. Besonders zu beachten sind dabei die Rechtsgrundlage(n), aber auch die Transparenzanforderungen gegenüber den Betroffenen. Ausserdem müssen vor einem geplanten Übertrag eines Kundestammes die betroffenen Kunden darüber informiert werden und sie müssen mit der Übertragung einverstanden sein bzw. es muss ihnen zumindest aktiv die Möglichkeit zum opt-out (z.B. via Vertragsauflösung) gegeben werden. Danach muss der neue Eigentümer (Verantwortliche) die übertragenen Kunden mit einer neuen Information gemäss Art. 13 und 14 DSGVO über seine Verarbeitung ihrer personenbezogenen Daten informieren.

Da sich die Sachverhalte jedoch sehr unterschiedlich zeigen können, steht die Datenschutzstelle für eine Beratung zu den datenschutzrechtlichen Pflichten im konkreten Einzelfall zur Verfügung.