Was bei Unternehmensfusionen hinsichtlich Datenschutz zu beachten ist

Bei der Fusion oder Übernahme von Unternehmen werden umfassende Datenbestände übermittelt. Dabei darf der Datenschutz nicht zu kurz kommen.

Fusionen und Übernahmen von Unternehmen sind an der Tagesordnung – so vermittelt es die Wirtschaftspresse. Die Risiken für eine Firma, die eine andere übernimmt oder mit einem anderen Unternehmen eine gemeinsame Gesellschaft gründet, sind allerdings enorm und keineswegs alltäglich. 

Vor jedem „Mergers & Acquisitions“-Projekt (M&A-Projekt) sollte deshalb eine ausführliche Prüfung der Compliance-Vorgaben stehen. Dabei geht es nicht nur um Fragen des Kartell- oder Wettbewerbsrechtes. Auch der Schutz personenbezogener Daten muss dabei in den Fokus, sowohl auf Seiten des Käuferunternehmens als auch auf Seiten des Unternehmens, das übernommen wird.

Schon seit Jahren warnt die Software-Initiative Deutschland e.V. (SID) die deutsche Wirtschaft vor unbedachtem Umgang mit vertraulichen Unterlagen in M&A-Transaktionen, wie zum Beispiel Finanzdaten, Vorstandsverträge, technische Dokumentationen, Umweltgutachten oder Preislisten mit Großkunden und Zulieferern. Aktuelle Umfragen zeigen allerdings, dass diese Warnung bei vielen Unternehmen noch nicht angekommen ist.

Datenschutz kommt oft zu kurz

Laut einer Umfrage von Drooms werden in Europa bei 55 Prozent der M&A-Transaktionen die Vorgaben aus dem Datenschutz nur bedingt eingehalten, fünf Prozent halten die Datenschutzforderungen gar nicht ein. 

Vor jedem Mergers & Acquisitions-Projekt sollte eine Prüfung der Compliance-Vorgaben stehen.

Als wichtigste Datenschutzmaßnahmen sehen die Umfrageteilnehmer die Definition von Verantwortlichkeiten und Zugriffsrechten (77 Prozent), Regeln für die Datenkontrolle (65 Prozent) sowie die Strukturierung und Klassifizierung von Dokumenten nach ihrer Schutzbedürftigkeit (58 Prozent). 

Genannt wurden auch die Einhaltung nationaler Datenschutzbestimmungen (54 Prozent), die Anonymisierung von Daten (49 Prozent) und die Pflicht zur Vernichtung beziehungsweise zur Rückgabe von Informationen für den Fall, dass ein Unternehmenskauf nicht zustande kommt (52 Prozent).

Transparenz und Datenschutz erforderlich

Die genannten Datenschutzmaßnahmen scheinen teilweise im Widerspruch zu stehen zu dem nachvollziehbaren Interesse eines Käuferunternehmens, möglichst viel über das andere Unternehmen, seine Mitarbeiter, seine Kunden und Lieferanten zu erfahren. 

Tatsächlich verhindert der Datenschutz dies aber nicht. Was allerdings auch bei M&A-Projekten gefordert ist, ist die Beschränkung der Datenzugriffe auf das für den Zweck der Unternehmensprüfung notwendige Maß. Die Interessen der betroffenen Mitarbeiter, Kunden und Lieferanten müssen dabei abgewogen werden, so will es das Bundesdatenschutzgesetz (BDSG).

Datenzugriffe müssen zweckmäßig beschränkt werden

Wenn im Rahmen einer Unternehmensprüfung (Due Dilligence) auf die IT-Systeme und Datenbestände des zu erwerbenden Unternehmens zugegriffen werden soll, darf dies nicht ungeregelt geschehen. Vielmehr muss vorab genau überlegt werden, welche Datenzugriffe wirklich erforderlich sind und welche Daten nicht offenbart werden müssen. 

Die Prüfer des Käuferunternehmens müssen dann durch Verschlüsselung der nicht erforderlichen Daten, genaue Berechtigungsvergaben und durch eine Protokollierung der Zugriffe überwacht werden. Dabei sollten jeweils geeignete Mitarbeiter des zu verkaufenden Unternehmens in einer Kontrollfunktion beteiligt sein. 

Es empfiehlt sich zudem, dass die Datenschutzbeauftragten der beteiligten Unternehmen von Beginn an in das M&A-Projekt einbezogen werden. Die Verpflichtung auf das Datengeheimnis für alle Beteiligten ist dabei ebenso einzufordern wie eine Vertraulichkeitsvereinbarung.

Datenaustausch muss abgesichert werden

Auch wenn viele Prüfungen bei einem M&A-Projekt vor Ort stattfinden, ist regelmäßig ein umfangreicher Datenaustausch zu erwarten. Gerade vor dem Beginn des eigentlichen Projektes werden Daten ausgetauscht, um eine Sondierung zu ermöglichen. Zudem werden auch im späteren Verlauf zum Beispiel externe Berater einbezogen, die dann ebenfalls Daten zur Prüfung erhalten.

Ein „Spaziergang“ der Prüfer durch die IT-Systeme des angebotenen Unternehmens darf nicht möglich sein.

Entscheidend ist dabei neben der Datensparsamkeit, dem Datengeheimnis und der Beschränkung auf die wirklich erforderlichen Daten auch eine sichere Datenweitergabe durch starke Verschlüsselung, sicheren Datenträgertransport und eine zuverlässige Löschung der Daten nach deren Zweckerfüllung. 

Soll eine Cloud für den Datenaustausch eingesetzt werden, sind hier entsprechend sehr hohe Anforderungen an den Datenschutz in der Cloud zu stellen.

Die Fusion oder der Verkauf von Unternehmen muss also auch aus Datenschutzsicht mit größter Sorgfalt vorbereitet werden. Ein „Spaziergang“ der Prüfer durch die IT-Systeme des angebotenen Unternehmens darf nicht möglich sein, auch wenn es absehbar ist, dass das Unternehmen alleine nicht mehr lange bestehen kann. Der Datenschutz hat trotzdem Bestand.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheitsanbieter-Management: Verhandlung, Kostenplanung, Übernahmen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close