Daten Assets spielen in M&A-Transaktionen eine immer größere Rolle. Zum einen, wenn die Daten bei (Tech-)Akquisitionen das eigentliche Core-Asset darstellen und damit wesentlicher Beweggrund für die Transaktion selbst sind. Zum anderen sind Daten aber auch für die Transaktionsgestaltung von erheblicher Relevanz; einerseits weil die Einhaltung gesetzlicher Rahmenbedingungen sichergestellt werden muss, andererseits aber auch um beispielsweise in Carve-Out Szenarien die (weitere) Funktionsfähigkeit von verkaufendem und verkauftem Unternehmen zu gewährleisten.
Hintergrund
Daten Assets können insbesondere im Tech Sektor ein wesentlicher Bestandteil des Unternehmenswerts darstellen und M&A-Transaktionen überhaupt erst bedingen. Beispielhaft zu nennen sind etwa Bild-, Video- oder Ton-Datenbanken, die zum Training von KI-Software verwendet werden und dafür besonders aufbereitet sind. Ebenso relevant sind oftmals Kunden-, Nutzer- oder Vertriebsdaten, wie auch Preislisten, Produktionsinformationen, interne Geschäftsberichte etc., die als Geschäftsgeheimnisse i.S.d. § 2 Nr. 1 GeschGehG zu Gunsten des Zielunternehmens geschützt sind. Daneben werden zahlreiche weitere Daten-Felder ebenfalls tangiert: Daten der Mitarbeiter des Zielunternehmens, Daten der Buchhaltung, die den gesetzlichen Aufbewahrungspflichten des § 257 HGB / § 147 AO unterliegen, Daten in Bezug auf Mobilien oder Immobilien des Zielunternehmens und sonstige Daten, die für die Fortführung von dessen Geschäftsbetrieb erforderlich sind.
Zwar gibt es kein Eigentumsrecht an Daten. Geschützt sind hingegen Datenbanken durch das Urheberrecht bzw. urheberrechtliche Leistungsschutzrechte. Daten selbst können z.B. als Know-how oder Geschäftsgeheimnisse geschützt sein. Bei einer unberechtigten Nutzung von Daten (auch bei einfachen Datenansammlungen, sog. „Datenhaufen“) können daher unter Umständen Abwehr- und Unterlassungsansprüche drohen. Beim Umgang mit personenbezogenen Daten sind die gesetzlichen Rahmenbedingungen insbesondere der DSGVO einzuhalten, sonst drohen Datenschutzverstöße mit u.U. empfindlichen Geldbußen. Eine punktgenaue Abgrenzung der Daten, die im Zuge der M&A Transaktion übertragen werden sollen, und solcher Daten, die (auch) beim Verkäufer verbleiben sollen, ist daher von entscheidender Bedeutung.
Dieser Beitrag nimmt sowohl den klassischen 100 % Share Deal als auch den Asset Deal in den Blick. Ausgeklammert bleiben Joint-Venture Konstellationen und Fragen im Vorfeld des Vollzugs der M&A-Transaktion wie beispielsweise die Behandlung und Zugänglichmachung von Daten im Rahmen des Due Diligence Prozesses.
Share Deal
Übertragung des Rechtsträgers als Inhaber der Daten
Beim Share Deal wird das Zielunternehmen als Inhaber der Daten übertragen. Dabei müssen grundsätzlich alle Daten übergeben werden bzw. im Zielunternehmen verbleiben, die für den gegenwärtigen Geschäftsbetrieb benötigt werden und/oder die das Zielunternehmen aufgrund von zwingenden gesetzlichen Vorschriften aufzubewahren hat. Mit umfasst sind dabei auch die historischen Daten (auch dann, wenn die Aufbewahrungsfristen bereits abgelaufen sind).
Der Verkäufer darf Daten nur dann zurückbehalten, wenn dies in der Transaktionsdokumentation entsprechend vereinbart ist und keine gesetzlichen Vorgaben entgegenstehen.
- Soweit es sich um nicht-personenbezogene Daten handelt, sind entsprechende vertragliche Regelung grundsätzlich möglich. Allerdings sind beispielsweise kartellrechtliche Anforderungen zu beachten (relevant können auch HR Daten sein, Stichwort: „Wettbewerb um die besten Köpfe“), da der Zugang zu wettbewerbsrelevanten Daten die Marktmacht eines Unternehmens beeinflussen kann (vgl. § 18 Abs. 3 Nr. 3 GWB). Neben der möglichen Untersagung der M&A-Transaktion an sich können auch Auflagen ergehen, den Austausch bestimmter Daten zu unterlassen und gewisse Daten nicht mit dem Unternehmen zu übertragen. Beschränkungen können sich etwa auch aus dem Außenwirtschaftsrecht ergeben.
- Für personenbezogene Daten des Zielunternehmens gilt hingegen, dass der Verkäufer nur dann Daten zurückbehalten, auf diese zugreifen und/oder diese verarbeiten darf, soweit eine solche Nutzung vom Datenschutzrecht gedeckt ist. Möglich wäre etwa die Verarbeitung durch den Verkäufer für das Zielunternehmen im Rahmen einer Auftragsdatenverarbeitung, z.B. als Teil eines Transitional Service Agreements (also einer Vereinbarung über die Erbringung von Interim-Leistungen nach Vollzug einer Transaktion) oder einer anderen Leistungsbeziehung.
Korrespondierende Löschungspflichten beim Verkäufer insbesondere in Carve-Out Szenarien
Sind beim Share Deal Daten, welche die Zielgesellschaft betreffen, (auch) beim Verkäufer gespeichert und keine besonderen Regelungen in der Transaktionsdokumentation getroffen, bestehen ggf. Löschungspflichten beim Verkäufer. Dabei ist grundsätzlich zwischen nicht-personenbezogenen und personenbezogenen Daten zu unterscheiden:
Nicht-personenbezogene Daten
Soweit bei nicht-personenbezogene Daten im Kaufvertrag keine Zurückbehaltungsrechte für den Verkäufer vereinbart sind und auch sonst keine Zugriffs- und Nutzungsrechte des Verkäufers auf Daten des Zielunternehmens vereinbart wurden, ist u.a. Folgendes zu beachten:
- Der Zugriff auf und die Nutzung von Daten bzw. Datenbanken, die als Geschäftsgeheimnisse i.S.d. § 2 Nr. 1 GeschGehG oder als gewerbliche Schutzrechte zu Gunsten des verkauften Unternehmens geschützt sind, hat nach Vollzug des Unternehmensverkaufs durch den Verkäufer zu unterbleiben.
- Der Käufer kann darüber hinaus auch die Löschung von geschützten Daten verlangen, die sich beim Verkäufer befinden, es sei denn, der Verkäufer ist aufgrund von gesetzlichen Vorschriften zur Aufbewahrung solcher geschützten Daten verpflichtet (z.B. Aufbewahrungspflichten nach § 257 HGB / § 147 AO).
Personenbezogene Daten
Auf personenbezogene Daten des Zielunternehmens darf der Verkäufer nach Vollzug des Unternehmenskaufs grundsätzlich nicht mehr zugreifen oder diese verarbeiten (d.h. insbesondere speichern, abfragen, vervielfältigen, übermitteln etc.). Alle personenbezogenen Daten des Zielunternehmens, die sich beim Verkäufer befinden und nicht z.B. für die Erfüllung eines Transitional Services Agreement erforderlich sind (siehe sogleich), sind an das verkaufte Unternehmen zu übergeben bzw. zu löschen.
Haben Verkäufer und Käufer ein Transitional Services Agreement mit einer entsprechenden Auftragsdatenverarbeitungsvereinbarung geschlossen, ist eine Verarbeitung von personenbezogenen Daten durch den Verkäufer für die Erbringung der Leistungen unter dem Transitional Services Agreement grundsätzlich erlaubt, jedoch nur soweit die Verarbeitung von personenbezogenen Daten hierfür erforderlich ist (z.B. für IT-Dienstleistungen, HR-Dienstleistungen, etc.).
Es gelten die folgenden Maßgaben:
- Zugriff dürfen nur die Mitarbeiter des Verkäufers nehmen, die mit der Erbringung der jeweiligen Leistungen unter dem Transitional Services Agreement betraut sind und die den Zugriff benötigen, um die Leistungen erbringen zu können (sog. „need to know-Prinzip“).
- Personell ist bei kartellrechtlich sensiblen Daten auch im Rahmen des „need to know-Prinzips“ darauf zu achten, dass die Personen, die Zugang zu den Daten haben, nicht vergleichbare operative Funktionen beim Verkäufer ausüben (z.B. im Fall der HR Daten im Recruiting arbeiten).
- Technisch ist stets darauf zu achten, dass die Daten des verkauften Unternehmens zumindest logisch getrennt (in der Regel abgesichert durch entsprechende Berechtigungskonzepte) von den Daten des Verkäufers verarbeitet werden. Weitere technische Anforderungen an die Datenverarbeitung ergeben sich aus den der Auftragsverarbeitung in der Regel beigefügten sogenannten technischen und organisatorischen Maßnahmen („TOMs“).
Eine darüber hinaus gehende Verarbeitung von personenbezogenen Daten durch den Verkäufer darf nur erfolgen, soweit dieser dazu aufgrund von anwendbarem EU oder nationalem Recht verpflichtet oder berechtigt ist. Über eine solche gesetzliche Pflicht ist das verkaufte Unternehmen vor einer Verarbeitung grundsätzlich zu informieren.
Behandlung der Daten in der Transaktion
Wird beim Share Deal keine besondere Regelung getroffen, verbleiben Daten der Zielgesellschaft bei dieser. Beim Verkäufer dürfen im Grundsatz weder an den zum aktuellen Geschäftsbetrieb des Unternehmens gehörenden Daten noch an den historischen Daten des Zielunternehmens Rechte zurückbleiben, sodass die Daten mit dem Zielunternehmen zu übergeben sind. Regelungsbedarf besteht vor diesem Hintergrund insbesondere in den folgenden Konstellationen:
Umgang mit Daten des Zielunternehmens auf den Servern des Verkäufers
Wenn Daten des Zielunternehmens auf den Servern des Verkäufers liegen sind im Kaufvertrag Regelungen zum IT Carve-Out zu treffen:
Daten die nicht beim Verkäufer zurückbleiben sollen
Soweit Daten nicht beim Verkäufer zurückbleiben sollen, sind diese bis zum Closing zu separieren und an das Zielunternehmen gegebenenfalls unter Regelung von Formatvorgaben zu übertragen (sogenannte physische Trennung).
Ist eine physische Trennung bis zum Closing nicht umsetzbar, können die Daten weiterhin zumindest logisch von anderen Daten getrennt in den Systemen gespeichert werden. Die logische Trennung erfolgt in der Regel durch die Umsetzung von entsprechenden Berechtigungskonzepten. Besteht keine logische Trennung, drohen bei personenbezogenen Daten Datenschutzverstöße mit u.U. empfindlichen Geldbußen. Der Zugriff des Zielunternehmens auf die Daten nach Closing wird in der Regel über ein Transitional Service Agreement geregelt, kann aber z.B. auch über einen auf längere Zeit angelegten Dienstleistungsvertrag erfolgen (jeweils einschließlich einer Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag, soweit auch personenbezogene Daten betroffen sind).
Parallel sollte ein Migrationsprojekt aufgesetzt werden, um die physische Datentrennung bis spätestens zum Ende des Transitional Services Agreement umzusetzen. Die Eckpunkte des Migrationsprojekts und die Verteilung der Kosten für die Migration auf Käufer und Verkäufer sind in einem Migrationsplan festzulegen, der Anlage zum Kaufvertrag oder zum Transitional Services Agreement werden kann.
Daten die beim Verkäufer zurückbleiben sollen
Wenn Daten des Zielunternehmens auf den Servern des Verkäufers (ausschließlich) beim Verkäufer verbleiben sollen, muss dies im Kaufvertrag – wie oben ausgeführt vorbehaltlich gesetzlicher Regelungen – explizit geregelt werden. Solche Regelungen können z.B. zeitlich zu beschränkende Auskunftsrechte des Zielunternehmens und besonderen Anforderungen an die Datenspeicherung beim Verkäufer umfassen (Berechtigungskonzepte, Need to know Prinzip, etc.):
- Für personenbezogene Daten müssen diese Regelungen auf solche Fälle beschränkt werden, bei denen zum Zeitpunkt des Vollzugs der Transaktion ein Erlaubnistatbestand zur Verarbeitung solcher personenbezogenen Daten zu Gunsten des Verkäufers greift (insbesondere gesetzliche Aufbewahrungspflicht).
- Soweit der Verkäufer personenbezogene Daten zu einem späteren Zeitpunkt benötigt, für diese aber zum Zeitpunkt des Vollzugs der Transaktion kein Erlaubnistatbestand greift, kann der Unternehmenskaufvertrag Herausgabepflichten des Käufers für den Fall regeln, dass der Verkäufer solche Daten später benötigt. Zunächst müssen solche personenbezogenen Daten allerdings vom Verkäufer gelöscht werden.
- Für nicht-personenbezogene Daten, einschließlich anonymisierter Daten (die Anonymisierung setzt voraus, dass sich der Personenbezug nur mit einem unverhältnismäßig großen Aufwand wiederherstellen lässt, wobei an eine solche Anonymisierung hohe Anforderungen gestellt werden), steht es den Parteien grundsätzlich frei, Regelungen über den Zugriff und die Nutzung solcher Daten durch den Verkäufer zu treffen. Um eine technisch gegebenenfalls aufwendige Übertragung und / oder Löschung von Daten so weit wie möglich zu vermeiden, ist hinsichtlich solcher Daten eine Vereinbarung nach dem oben dargestellten Modell allerdings vorzugswürdig, da bei dieser Lösung die Daten beim Verkäufer verbleiben können.
Umgang mit Daten auf den Servern des Zielunternehmens, die beim Verkäufer bleiben sollen
Befinden sich auf den Servern des Zielunternehmens noch Daten, die beim Verkäufer verbleiben sollen, bedarf es eines Reverse Daten-Carve-Outs.
Dies könnte rein faktisch durch entsprechende Migration der Daten vor dem Closing umgesetzt werden. Sinnvoll dürfte es in dieser Konstellation vor dem Verkauf des Zielunternehmens aber sein, einen Datenübertragungsvertrag zwischen dem Zielunternehmen und dem Verkäufer zu schließen, wobei ggf. zeitlich beschränkte Auskunftsrechte zu Gunsten des Zielunternehmens eingeräumt werden können.
Alternativ kann auch eine entsprechende Regelung im Kaufvertrag selbst aufgenommen werden, die klarstellt, welche Daten nicht Teil der Transaktion sind und daher im Vorfeld des Vollzugs auf den Verkäufer übertragen werden.
Eine Zurückbehaltung durch bzw. Übertragung von personenbezogenen Daten an ein Gruppenunternehmen ist selbstverständlich wiederum nur im Rahmen der gesetzlichen Datenschutzbestimmungen möglich (z.B. Zustimmungserfordernis der jeweiligen Kunden zur Übertragung der Kundendaten).
Asset Deal
Übertragung der Daten als Asset
Beim Asset Deal ist die Übertragung von Daten Assets im Kaufvertrag im Einzelnen zu regeln.
Stellen die Daten das Core-Asset der Transaktion dar, sind im Kaufvertrag die wesentlichen Regelungen zu der bereits oben dargestellten physischen Trennung der Daten und der entsprechenden Übertragung an den Käufer zu treffen. Auch hier sollte ein detailliertes Migrationsprojekt aufgesetzt werden, um die physische Datentrennung umzusetzen.
Auch im Übrigen sind bei einem Asset Deal diejenigen Daten an den Käufer zu übertragen, die sich auf die übertragenen Assets beziehen. Die Übertragung ist allerdings auf diese Daten beschränkt. Insbesondere sind:
- Daten von Mitarbeitern nur insoweit zu übertragen, als Mitarbeiter im Rahmen des Asset Deals gemäß § 613a BGB übernommen werden und die Daten für die Fortsetzung des Arbeitsverhältnisses mit dem Käufer erforderlich sind;
- Daten der Buchhaltung nur insoweit zu übertragen, soweit den Käufer gesetzliche Aufbewahrungspflichten treffen § 257 HGB / § 147 AO; z.B. bei Übernahme von Kundenverträgen.
Die Übertragung personenbezogener Daten im Rahmen eines Asset Deals erfordert nach der DS-GVO eine Rechtsgrundlage. Für die Weitergabe der Daten von Mitarbeitern, deren Beschäftigungsverhältnisse gemäß § 613a BGB auf den Käufer übergehen, ergibt sich die Rechtsgrundlage aus § 26 Abs. 1 BDSG (Durchführung des Arbeitsvertrages). Auch in anderen Fällen, in denen der Käufer in bestehende Vertragsverhältnisse des Verkäufers mit einer natürlichen Person eintritt, bildet der Vertrag die Basis für die Datenübermittlung (Art. 6 Abs. 1 lit. b) DS-GVO). Abseits bestehender Verträge mit den betroffenen Personen kann das berechtigte Interessen der an der Transaktion beteiligten Parteien eine Datenübermittlung rechtfertigen, wenn nicht überwiegende Interessen der Betroffenen entgegenstehen (Art. 6 Abs. 1 lit. f) DS-GVO). Greift keine gesetzliche Rechtsgrundlage, bleibt zur Rechtfertigung der Weitergabe von personenbezogenen Daten nur die Einwilligung der betroffenen Person Art. 6 Abs. 1 lit. a) DS-GVO. Deren Einholung scheitert in der Praxis allerdings meist schon aus Praktikabilitätsgründen. Eine generelle Vorabeinwilligung bei der Datenerhebung genügt regelmäßig nicht den gesetzlichen Anforderungen, da die Einwilligung keinen pauschalen Charakter haben darf, sondern vielmehr die Einwilligung zu einer konkreten und zweckgebundenen Verarbeitung der personenbezogenen Daten erteilt werden muss, wobei insbesondere ersichtlich sein muss, wer diese Daten verarbeitet.
Greifen keine gesetzlichen Erlaubnistatbestände ein, hat die Übertragung der personenbezogenen Daten zu unterbleiben
Korrespondierende Löschungspflichten beim Verkäufer
Hinsichtlich des Bestehens von Löschungspflichten ist auch beim Asset Deal zwischen nicht-personenbezogenen Daten und personenbezogenen Daten zu differenzieren.
Nicht-personenbezogene Daten
Der Zugriff auf und die Nutzung von Daten, die sich auf die übertragenen Assets beziehen, insbesondere von solchen die als Geschäftsgeheimnisse i.S.d. § 2 Nr. 1 GeschGehG oder als gewerbliche Schutzrechte geschützt sind, ist grundsätzlich zu unterlassen, es sei denn im Kaufvertrag ist ausdrücklich etwas anderes geregelt.
Personenbezogene Daten
Personenbezogene Daten in Bezug auf die übertragenen Assets müssen grundsätzlich gelöscht werden. Der Verkäufer darf diese nur dann weiterhin aufbewahren, wenn und soweit ein Erlaubnistatbestand des Art.6 DSGVO – insbesondere gesetzliche Aufbewahrungspflichten und das Recht zu Verarbeitung bei einem legitimen Interesse – greift:
- Soweit im Rahmen eines Asset-Deals Mitarbeiter übergehen, könnten sich insbesondere Aufbewahrungspflichten und -rechte in Bezug auf Mitarbeiterdaten ergeben (z.B. in Bezug auf Arbeitszeitnachweise zwecks Kontrolle der Einhaltung von Arbeitszeitregelungen nach § 16 Abs. 2 ArbZG oder in Bezug auf die Abwicklung des Arbeitsverhältnisses etwa zur Erteilung von Zeugnissen und/oder in Bezug auf potentielle noch nicht verjährte Ansprüche von Mitarbeitern gegen den Verkäufer als ehemaliger Arbeitgeber).
- Ferner kommen Aufbewahrungspflichten für Daten der Buchhaltung aus § 257 HGB / § 147 AO in Betracht (z.B. Handelsbücher, Bilanzen einschließlich etwaiger Arbeitsanweisungen und Organisationsunterlagen, Handels- und Geschäftsbriefe einschließlich etwaiger E-Mails und Korrespondenz mit Geschäftspartnern, Buchungsbelege etc.), da die Anteile an dem Unternehmen bei einer Asset Deal Konstellation vom Verkäufer weiterhin gehalten werden.
Behandlung der Daten in der Transaktion
Beim Asset Deal werden nur diejenigen Assets übertragen, die im Kaufvertrag aufgeführt sind (sog. Bestimmtheitsgrundsatz). Werden keine anderen Regelungen getroffen, verbleiben damit im Grundsatz alle nicht geregelten Daten beim Verkäufer. Sollen Daten, die sich auf die übertragenen Assets beziehen beim Verkäufer verbleiben – soweit gesetzlich zulässig –, muss dies im Kaufvertrag gesondert geregelt werden. Insofern gelten die oben beim Share Deal dargestellten Grundsätze zu Daten, die beim Verkäufer verbleiben sollen.
Insbesondere in Fällen, in denen nicht spezifische Daten Assets übertragen werden, bei denen konkrete Regelungen naturgemäß im entsprechenden Kaufvertrag erfolgen, und im Kaufvertrag zu Daten nichts geregelt ist, wird eine etwaige Übertragung der Daten allerdings auch durch Vertragsauslegung bestimmt. Eine solche Vertragsauslegung kann z.B. ergeben, dass bei einer Übertragung von Schutzrechten auch sämtliche im Zusammenhang mit den übertragenen Schutzrechten gespeicherten Daten auf den Käufer übergehen sollen. Eine Konkretisierung der zu übertragenen Daten ist daher geboten.
Behandlung der Daten Assets in der Transaktionsdokumentation
Absicherung der Daten Assets
Insbesondere wenn ein Daten Asset als Core Asset im Zentrum der Transaktion steht, aber auch in allen anderen Fällen von Daten Assets in M&A Transaktionen, ist sowohl beim Share Deal als auch beim Asset Deal besonderes Augenmerk auf die vertragliche Absicherung der Daten Assets zu legen. Erfahrungsgemäß kommt insoweit der technischen und operativen Prüfung des Datenbestands und seiner Verwendbarkeit besondere Bedeutung zu. Neben dieser technischen und operativen Prüfung stehen aus rechtlicher Sicht im Zentrum:
- Bei nicht-personenbezogenen Daten im Regelfall insbesondere die Nutzbarkeit und ggf. Nutzungsrechte.
- Bei personenbezogenen Daten die Rechtmäßigkeit der Datenerhebung, die Verwendbarkeit im Rahmen des Geschäftsbetriebs wie auch ggf. eine mögliche spätere Übertragbarkeit und Nutzbarkeit für weitere Zwecke besondere Relevanz.
Insoweit sind bekannte und unbekannte Risiken aus Sicht des Käufers durch Garantien und Freistellungen abzudecken, wohingegen aus Verkäufersicht wesentlich ist, durch die betreffenden Daten Assets keinen unkalkulierbaren Risiken ausgesetzt zu sein.
Absicherung der Behandlung der Daten
Im Interesse beider Seiten ist darauf zu achten, dass die Behandlung der Daten im jeweiligen Einzelfall und zugeschnitten auf die konkrete M&A-Transaktion im Kaufvertrag eindeutig und interessengerecht gestaltet wird. Die betrifft zum einen die Frage, welche Daten konkret zu übertragen sind, also die Gestaltung der konkreten vertraglichen Pflichten der Parteien. Dies betrifft aber auch die Einhaltung der relevanten gesetzlichen Anforderungen zur Sicherstellung und damit der Sicherstellung von Compliance Pflichten.