Die Auswirkungen der DSGVO auf die M&A-Due-Diligence

Die EU-Datenschutzgrundverordnung (DSGVO) ist anderthalb Jahre in Kraft. Umso wichtiger ist es für M&A-Akteure, das Thema ernst zu nehmen. Unternehmen müssen ihren Datenschutz und ihre Richtlinien sowohl in Bezug auf die Zielunternehmen als auch auf die Käufer verstärken, damit die Transaktionen erfolgreich durchgeführt werden können. Der weltweit führende SaaS-Anbieter von technischen Lösungen für den M&A-Prozess, Merrill Corporation, hat mit einer Studie die Auswirkungen der Verordnung auf die Due Diligence untersucht.

Autor Markus Schiller ist Head of DACH und CEE für die Merrill Germany GmbH. Zuvor war er als Sales Manager für Trading Technologies und als Kundenbetreuer für Thomson Reuters tätig. Er hat an der Purdue Universität in Indiana Betriebswirtschaft studiert und mit MBA abgeschlossen.

Auswirkungen in Deutschland

Für die Studie „M&A Due Diligence: The Impact of GDPR“ wurden über 500 M&A-Experten in ganz EMEA befragt, um herauszufinden, wie sich die DSGVO auf ihre Arbeit auswirkt. Die Ergebnisse sind verblüffend: Mehr als die Hälfte (55 Prozent) gaben an, dass sie an M&A-Transaktionen gearbeitet haben, die aufgrund von Bedenken bezüglich des Datenschutzes eines Zielunternehmens und seiner Einhaltung der DSGVO nicht vorangekommen sind. Und 73 Prozent der deutschen Befragten gaben an, sich vor diesem Hintergrund von Transaktionen zurückgezogen zu haben – der höchste Prozentsatz aller Länder in EMEA. Darüber hinaus gaben 57 Prozent der deutschen M&A-Experten (zweiter Platz nach Großbritannien mit 58 Prozent) an, dass die Datensicherheit zu ihren drei Top-Prioritäten bei der Due-Diligence-Prüfung zählt.

Neues Bußgeld-Modell

Die deutsche Datenschutzkonferenz (DSK) hat als gemeinsames Gremium der deutschen Datenschutzaufsichtsbehörden im Oktober 2019 ein neues Modell zur Berechnung von DSGVO-Bußgeldern veröffentlicht. Dieses neue Modell kann zu deutlich höheren Bußgeldern führen, als sie bisher von den deutschen Behörden verhängt wurden. Vor diesem Hintergrund sind die Verkäufer eines Unternehmens oder einer Beteiligung grundsätzlich, aber gerade im Hinblick auf eine reibungslose Due Diligence, noch stärker gehalten, die DSGVO einzuhalten. Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen. Auf Basis pauschalisierter Bemessungen des Umsatzes wird jetzt ein Tagessatz ermittelt, der mit einem Faktor multipliziert wird. Dieser Faktor ist an die Schwere der Tat gekoppelt und der Wert wird dann an die Umstände des Verstoßes angepasst.

Technologiebedarf

Abbildung 1: M&A-Deals in der DSGVO; Quelle: Merrill Corporation

Was kann getan werden, um die Einhaltung der Vorschriften sicherzustellen? Obwohl die DSGVO eine Due-Diligence-Prüfung komplexer und zeitaufwendiger macht, sollten sich die Beteiligten auf die Daten konzentrieren und die Einhaltung der DSGVO sollte als laufende Investition betrachtet werden. Daher sind neue Technologien nicht nur in Schlüsselbereichen des Due-Diligence-Prozesses hilfreich: Technologien wie integrierte Q&A, automatisiertes Schwärzen und Analysen sind jetzt in DatasiteOne, Merrills Due Diligence-Lösung, verfügbar und helfen zusätzlich bei der Einhaltung der DSGVO. Sie sind in den virtuellen Datenraum integriert, so dass man nicht mehr zwischen Softwareanwendungen hin- und herwechseln muss. Dies minimiert das Risiko von Sicherheits- und Datenschutzverletzungen.

Automatisches Schwärzen

Q&A während des Due-Diligence-Prozesses können zu Sicherheitsverstößen und Fehlern führen, wenn sie beispielsweise per E-Mail und Tabellenkalkulation durchgeführt werden. Automatisiertes Schwärzen beispielsweise ermöglicht Vorschläge für zu schwärzende Wörter, Sätze und Bilder zu suchen und sie über alle Dokumente und Dateitypen hinweg zu bearbeiten. Außerdem können innerhalb von Sekunden die Schwärzungen in einem gesamten Projekt aufgehoben werden, sobald die Genehmigung durch die Rechtsabteilung vorliegt. Das spart nicht nur Zeit sondern trägt auch dazu bei, Fehler zu minimieren und die Compliance zu verbessern.

Darüber hinaus verlangt die DSGVO nach aktuellem Stand ein schriftliches Protokoll über die Verarbeitung, die Datenschutzfolgenabschätzungen, das Führen von Aufzeichnungen über Verstöße und unter bestimmten Bedingungen die Ernennung eines Datenschutzbeauftragten (DSB). In diesem Umfeld können KI-gestützte Tools und Analysen äußerst hilfreich sein, um die Einhaltung der Vorschriften in dieser Phase des Due-Diligence-Prozesses sicherzustellen.

Fazit: DSGVO-Compliance ist eine Reise, kein Ziel und ist daher nichts was man nebenher macht. Unternehmen implementieren kontinuierlich neue Technologien und sehen sich bei der Einführung jedes Mal mit den ausdrücklichen Verpflichtungen konfrontiert, die DSGVO einzuhalten und zu gewährleisten. Merrill Corporation arbeitet daran, dem Nutzer die besten technologischen Tools an die Hand zu geben, um deren M&A-Prozess zu vereinfachen und sie dem aktuellen Rechtsstandard anzupassen.

Abbildung 2: Stellenwert von Datensicherheit in der Due Diligence. Quelle: Merrill Corporation

Weitere Informationen unter:
https://www.merrillcorp.com/de