Das von der UK Information Commissioner aktuell beabsichtigte Bußgeld gegen Marriott Hotels zeigt: Im Rahmen von M&A Transaktionen ist zukünftig noch mehr Wert auf eine ordentliche datenschutzrechtliche Due Diligence zu legen.

Bußgeld für Marriott Hotels

Die UK Information Commissioner – die Datenschutzbeauftragte des Vereinigten Königreichs – plant gegenüber Marriott Hotels ein Bußgeld von 99 Mio. Pfund (!) zu verhängen. Grund ist eine Datenschutzverletzung der Starwood Hotel Kette, welche im Jahre 2016 durch Marriott Hotels erworben wurde. Auch wenn der Datenschutzverstoß bereits im Jahre 2014 und mithin vor dem Erwerb durch Marriott Hotels auftrat, soll – so die UK Information Commissioner – Marriott Hotels zur Verantwortung gezogen werden, weil sie hätten einen „ordentlichen Due Diligence Prozess durchführen müssen“. Im Rahmen des Verstoßes wurden ca. 339 Mio. Kundenkonten versehentlich offengelegt. Ungefähr 30 Mio. dieser Konten betrafen Einwohner der 31 Länder des Europäischen Wirtschaftsraums.

Warum ein solch hohes Bußgeld?

Das potentielle Bußgeld basiert auf der Datenschutz-Grundverordnung (DSGVO). Diese sieht, je nach Art des jeweiligen Datenschutzverstoßes, Geldbußen von bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens – je nachdem, welcher Betrag höher ist –  vor.

Was kann ich tun?

• Im Rahmen einer ordentlichen Datenschutz Due Diligence sollten unbedingt etwaige Datenschutzverstöße der Zielgesellschaft erfragt und geprüft werden, sodass zumindest bekannte Datenschutzverstöße aufgedeckt werden können. Dazu bietet es sich insbesondere an, als Teil der Dokumenten- und Informationsanfragen oder aber des F&A Prozesses das Folgende zu erfragen:

Angaben zu wesentlicher Korrespondenz, Verwaltungsverfahren, Ermittlungen, Zusagen, Sanktionen oder Vollstreckungsmaßnahmen einer Behörde (z.B. einer Datenschutzbehörde) oder eines Dritten (z.B. eines Betroffenen) in Bezug auf Datenschutz in den letzten sechs Jahren, einschließlich der Weitergabe von Informationen an Datenschutzbehörden bei unrechtmäßiger Kenntniserlangung von Daten (Selbstanzeigeverfahren).

• Bei unbekannten Datenschutzverstößen können sogenannte Penetrationstests im Wege einer technischen Due Diligence (durchgeführt von beauftragten spezialisierten Drittanbietern – wir können Ihnen insofern entsprechende Anbieter empfehlen) weiterhelfen. In jedem Fall sollten aber im Rahmen der regulären Datenschutz Due Diligence auch die Ergebnisse bereits durchgeführter Penetrationstests zur Einsicht verlangt werden. Ist ein solcher Test bei der Zielgesellschaft bisher nicht erfolgt, sollten die „Alarmglocken läuten“. Außerdem ist es in diesem Zusammenhang nützlich zu erfahren, ob die Zielgesellschaft über Angriffserkennungssysteme (Intrusion Detection Systems) und Schutzsysteme gegen den unerwünschten Abfluss von Daten (Data Loss Prevention) verfügt.
• Zudem gilt es im Kaufvertrag etwaige Garantien dahingehend zu vereinbaren, dass bei der Zielgesellschaft keine materiellen Datenschutzverletzungen vorliegen. Sind hingegen im Rahmen der Due Diligence Datenschutzverletzungen bekannt geworden, sollten zumindest Freistellungsklauseln und Verpflichtungen zur Beseitigung solcher Verletzungen aufgenommen werden. Im Falle von schwerwiegenden Datenschutzverletzungen sollte zudem eine Kaufpreisreduzierung bedacht oder gar in Erwägung gezogen werden, von der Unternehmenstransaktion insgesamt Abstand zu nehmen. Das Bußgeldrisiko könnte die Ratio des Unternehmenskaufs insgesamt in Frage stellen.
• Schließlich sollte auch nach Abschluss des Erwerbsprozesses die Datenschutzstruktur der Zielgesellschaft weiter überprüft und identifizierte nötige Anpassungen vorgenommen werden. Dies kann insbesondere helfen etwaige Due Diligence Prüfungen, für die während der Transaktion nicht genügend Zeit war, nachzuholen. Zu denken ist dabei insbesondere an Systeme, die beispielsweise während der technischen Due Diligence schlichtweg vergessen wurden. Weiterhin zu beachten ist, dass die im Kaufvertrag vereinbarten Garantien mit der Zeit verjähren, sodass zum Zwecke der Risikominimierung eine fortlaufende Überprüfung des Datenschutzes geboten ist.  

Schlussfolgerung

Auch wenn die obigen Maßnahmen Marriott Hotels nur bedingt geholfen hätten – es handelte sich um eine öffentliche Übernahme mit eingeschränktem Due Diligence Prozess und der Datenschutzverstoß war zum Übernahmezeitpunkt nicht bekannt –, so sind diese Schritte aus einer ordentlich durchgeführten Due Diligence zukünftig kaum noch wegzudenken. Dass dies mit zahlreichen Schwierigkeiten verbunden sein kann, liegt auf der Hand: Eine umfassende Datenschutz Due Diligence ist unter Umständen sehr zeit- und kostenintensiv und kann schnell in eine umfangreiche „DSGVO Auditierung“ ausarten, die zur Aufdeckung einer hohen Zahl an Missständen führt. Hier wird es essentiell sein einen der jeweiligen Transaktion entsprechenden Mittelweg zu finden.

Auch wenn in diesem Artikel nicht weiter beschrieben, so gibt es über die eigentliche Datenschutz Due Diligence hinaus weitere datenschutzrechtliche Themen, die es im Rahmen von M&A Transaktionen zu beachten gilt:

• Welche personenbezogenen Daten darf der Verkäufer offenlegen?
  Unterschiedliche Datenschutz-Schwerpunkte in Share und Asset Deal.
• Verarbeitung personenbezogener Daten im Rahmen eines Transitional Service Agreement.

Weitere Informationen in englischer Sprache finden Sie hier.