Datenschutz- und Cybersicherheitspraktiken der Zielunternehmen werden im Rahmen des Due-Diligence-Prozesses bei M&A-Transaktionen zunehmend unter die Lupe genommen. Insbesondere möchten Käufer das Risiko und den Wert verstehen, die den Datenbeständen der Verkäufer innewohnen, und Verkäufer möchten Transaktions- und Post-Closing-Risiken verwalten.
Im Zuge ihrer Datenschutz- und Cybersicherheits-Due-Diligence-Prüfung sollten Käufer bei der Bewertung der mit dem Kauf eines Unternehmens verbundenen Risiken Folgendes berücksichtigen:
- Erstens: Wie robust sind die Datensicherheits- und Informationstechnologie-(IT)-Praktiken des Unternehmens? Dies ist besonders wichtig, wenn das Unternehmen stark auf Daten oder IT-Ressourcen angewiesen ist oder daraus einen erheblichen Wert zieht. Wenn das Unternehmen nicht über zeitnahe Richtlinien und zugehörige Schulungen verfügt oder keine regelmäßigen Tests durch Dritte durchführt (z. B. Schwachstellen- und Penetrationstests), ist ein Käufer möglicherweise mit der Gefährdung des Unternehmens durch Cybersicherheit nicht zufrieden. Verkäufer können davon ausgehen, dass Käufer versuchen, dieses Risiko in den Zusicherungen und Garantien sowie den damit verbundenen Freistellungsverpflichtungen in ihren Geschäftsunterlagen zuzuordnen.
- Zweitens: Wie ernst nimmt das Unternehmen die Einhaltung der Datenschutzbestimmungen? Während Verkäufer den Wert und die Komplexität ihrer digitalen Vermögenswerte (zu denen häufig auch personenbezogene Daten gehören) anerkennen, bergen die Weiterentwicklung und zunehmende Komplexität der Datenschutzgesetze weltweit Risiken selbst für die umsichtigsten Verkäufer. Käufer sollten vorrangig verstehen, wie Unternehmen personenbezogene Daten sammeln, wo sich die Informationen befinden, an wen sie weitergegeben werden und ob diese Praktiken tatsächlich mit den Datenschutzrichtlinien des Unternehmens und den geltenden Gesetzen übereinstimmen. Ein Käufer kann dann beurteilen, inwieweit sich etwaige Compliance-Probleme künftig auf den Wert der Daten für den Käufer auswirken, oder eine sorgfältigere Risikozuordnung in der Geschäftsdokumentation fordern.
Um die Sorgfaltspflicht des Käufers in Bezug auf Datenschutz und Cybersicherheit zu erleichtern, sollten Verkäufer Folgendes berücksichtigen:
- Erstens: Wie können Verkäufer Risiken mindern, die durch schlechte Datenschutz- oder Cybersicherheitspraktiken oder Sicherheitsereignisse, die außerhalb der Kontrolle des Unternehmens liegen, entstehen? In vielen Fällen deckt die Due-Diligence-Prüfung im Bereich Datenschutz und Cybersicherheit Lücken in der Compliance eines Unternehmens auf. Wenn diese Lücken als unerheblich erachtet werden, kann die „Bereinigung“ der Compliance zu einem nachträglichen Anliegen für den Käufer werden, und der Käufer kann versuchen, solche Lücken zu schließen, indem er im Kaufvertrag eine spezifische Entschädigung mit den Verkäufern aushandelt, je nachdem die Einschätzung des Käufers zum Risikoniveau. In einigen Fällen kam es jedoch bei Unternehmen zu Datenschutzverstößen oder zu Verstößen gegen Datenschutzgesetze, was zu größeren Risiken führte. Für die Parteien ist es wichtig, diese Probleme frühzeitig anzugehen, da bestimmte Käufer möglicherweise nicht bereit sind, mit der Transaktion fortzufahren, eine Neuverhandlung des Kaufpreises anstreben oder aufgrund solcher Probleme möglicherweise erhebliche Entschädigungsverpflichtungen von den Verkäufern verlangen . Verkäufer können versuchen, Rückblickszeiträume oder Wissens- oder Wesentlichkeitskriterien in die Zusicherungen und Gewährleistungen in Bezug auf Datenschutz- und Sicherheitsfragen zu integrieren, um ihr Risiko in Bezug auf diese Angelegenheiten zu begrenzen.
- Zweitens: Wie können Verkäufer aus Prozesssicht die Informationen, die sie einem potenziellen Käufer im Rahmen des Due-Diligence-Prozesses offenlegen, am besten schützen? In der Regel werden Geheimhaltungsvereinbarungen getroffen, um die Daten zu schützen, die Verkäufer im Rahmen der Due Diligence an potenzielle Käufer weitergeben, und um die geltenden Datenschutzgesetze einzuhalten. Verkäufer sollten auch darüber nachdenken, wie und wann Informationen in Datenräumen präsentiert werden, und versuchen, unnötige Offenlegungen zu minimieren. Beispielsweise sollten personenbezogene Daten von Kunden oder Mitarbeitern eines Unternehmens geschwärzt oder nur notwendige Proben weitergegeben werden. Je nach Kontext können auch zusätzliche Maßnahmen erforderlich sein. Beispielsweise kann es ratsam sein, klare Teamvereinbarungen zu treffen, um spezifische Verfahren für die Weitergabe hochsensibler Informationen festzulegen.
Angesichts der Verbreitung der Digitalisierung und des Werts von Daten in praktisch allen Branchen werden Datenschutz- und Cybersicherheitsfragen bei der Transaktions-Due-Diligence immer wichtiger. Die Parteien sollten sich mit ihrem Rechtsbeistand beraten und sicherstellen, dass sie diesen komplexen Bereich im Hinblick auf die Bewältigung ihrer jeweiligen Risiken angehen.