Unter Due Diligence wird die Prüfung von Unternehmen im Vorfeld eines Unternehmenserwerbs verstanden. Gründe dafür gibt es viele, vor allem aber geht es um die Bewertung des zu erwerbenden Unternehmens und die Aufdeckung von Risiken, die einem Investment oder einer Übernahme entgegenstehen. Datenschutz spielt hierbei eine immer größere Rolle. Sucht etwa ein Startup nach Investoren, wollen diese neben den Finanzen, dem geistigen Eigentum (wie etwa dem Quellcode des Software-Produkts), den Geschäfts- und Kund:innenbeziehungen, auch über potenzielle Haftungsrisiken bei der Verarbeitung personenbezogener Daten aufgeklärt werden. Zudem wird der Wert des Unternehmens zunehmend auch durch seinen Datenbestand bestimmt. Eine der zentralen Aufgaben der Due Diligence Prüfung im Bereich Datenschutz ist es, den Status der Datenschutz-Organisation im Zielunternehmen zu beurteilen. Wenn ein Unternehmen nachhaltig gewirtschaftet hat, gelingt die Due Dilligence Prüfung und der anschließende Unternehmenskauf reibungsloser. Ein Element nachhaltigen Wirtschaftens ist die Nutzung von Datenschutzmanagement-Software (DSMS).

duedilligence dsms caralegal

Vorteile des Einsatzes von DSMS

Der Einsatz von einer Datenschutzmanagement-Software bietet unabhängig von der Größe des Unternehmens,vom Startup bis zum Großkonzern, zahlreiche Vorteile im Falle einer Due-Diligence Prüfung und dem anschließenden Unternehmenskauf – und zwar seitens der Käufer:innen und Verkäufer:innen.

Folgende Vorteile ergeben sich insbesondere während der Due-Diligence Prüfung:

1. Investoren können den Stand des Datenschutzes im Unternehmen unkompliziert ablesen und bewerten, indem sie mit einen Blick in das DSMS sowohl wesentliche Datenschutz Kennzahlen (KPI) auf einen Blick ablesen können, als auch Zugriff auf geordnete und konsistente Datenschutzdokumentation haben (hier v.a. auf das Verzeichnis von Verarbeitungstätigkeiten).

Ein Blick auf die KPIs gibt ihnen einen ersten Überblick über die Anzahl der Verarbeitungstätigkeiten, die Anzahl der Auftragsverarbeiter oder die Kategorien verarbeiteter Daten (z.B. ob das Unternehmen im großen Maße besonders sensible Gesundheitsdaten verarbeitet).

Darüber hinaus erhalten sie ein vollständiges Bild der verarbeiteten Daten (Data Mapping), d.h. sie können erkennen, welche personenbezogenen Daten wo, wie, zu welchem Zweck und auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden und welche technischen und organisatorischen Maßnahmen (TOM) zu ihrem Schutz implementiert wurden.

Dank des DSMS gelingt die datenschutzrechtliche Due-Diligence Prüfung effizient. Datenschutzrechtliche Anforderungen, etwa höhere Auflagen der künftigen Muttergesellschaft können direkt identifiziert und im weiteren Verlauf berücksichtigt werden. Auch trägt ein DSMS erheblich zu einem positiven Gesamteindruck bei den Investierenden bei. Gerade Unternehmen mit datengetriebenen Geschäftsmodellen müssen hier ihre Hausaufgaben machen und sollten bereits bei der Due Diligence zeigen, dass sie ihre datenschutzrechtlichen Pflichten im Griff haben. Zusätzlich kann ein voll implementiertes und genutztes DSMS auch in die Bewertung des Unternehmenswertes, sprich den Kaufpreis, einfließen.

2. Bei Unternehmen, die ihre Datenschutz-Dokumentation vollumfänglich über ein DSMS führen, ist das Haftungsrisiko der Investierenden gering und überschaubar. Da eine vollständige Datenschutz-Dokumentation in DSMS vorliegt, sind alle Prozesse, die (auch) die Verarbeitung personenbezogener Daten zum Gegenstand haben im Verarbeitungsverzeichnis dokumentiert und die Investierenden haben Einblick in alle relevanten (Kern-)prozesse der Datenverarbeitung. Sie können durch den “Blick unter die Motorhaube” auch die haftungsträchtigen Datenverarbeitungsvorgänge ablesen. Unsere Partnerkanzlei SRD gibt einen Überblick darüber, welche (Haftungs-)risiken beim Unternehmenskauf bestehen und wie sie sich vermeiden lassen.

Sobald der konkrete Unternehmenskauf ansteht, kann ein DSMS vor allem in diesem Bereich für einen schnellen und reibungslosen Übergang sorgen:

3. Die Skalierbarkeit des DSMS ermöglicht es, flexibel auf Größenveränderungen eines Unternehmens – etwa neu hinzukommende oder wegfallende Unternehmensteile – zu reagieren. Die Phase des Unternehmensübergangs, die z.B. mit der Übertragung von Kund:innendaten, der Integration der Auftragsverarbeiter und Änderungen der Unternehmensabläufe einhergeht, gelingt mithilfe der Software aus datenschutzrechtlicher Perspektive unkompliziert.

4. Weiterer Vorteil ist, dass die Schulung der neu hinzukommenden Mitarbeiter und Mitarbeiterinnen ohne viel Aufwand gelingt. Anbieter von DSMS haben häufig auch eLearning Module zur Mitarbeiter:innenschulung in ihrem Angebot. Neue Mitarbeitende können hierdurch sofort in diesem Bereich geschult werden und sind direkt von Beginn an mit dem Thema Datenschutz und den unternehmensinternen Vorgaben und Richtlinien vertraut.