Due Diligence

Maximilian Schnebbe

Издательство:

Автор

Серия:

Betriebs-Berater Schriftenreihe/ Wirtschaftsrecht

Жанры:

адвокатура

Книги этой серии:

Internationales Kauf-, Liefer- und Vertriebsrecht

Unternehmenskaufvertrag

Все книги серии

Книжный блогЧитать новые статьи

Последние статьи блога

Как выучить 50 билетов за день

Как быстро выучить номенклатуру по географии

Как быстро выучить чеченский язык

Как быстро выучить тренд

Аннотация

Читать онлайн

Cкачать на Литрес

-
100%
+

III. Allgemeines zum Datenschutzrecht

Seit dem 25.5.2018 gilt die DSGVO. Das Datenschutzrecht wurde mit der Verordnung jedoch, anders als die Überschriften unzähliger Medienberichte damals vermuten ließen, nicht neu erfunden. Es handelt sich beim europäischen Datenschutzrecht vielmehr um ein über Jahrzehnte gewachsenes Regelungssystem,26 dessen evolutiver Entwicklungsprozess in der DSGVO nunmehr seinen aktuellsten Stand gefunden hat.

Den Ausgangspunkt jeglicher datenschutzrechtlicher Vorschriften bietet seit jeher das europäische Primärrecht. Dort haben Art. 8 Grundrechtecharta und Art. 16 AEUV den Schutz personenbezogener Daten zum Inhalt. So wurde vor Einführung der DSGVO das Datenschutzrecht im Rahmen mitgliedstaatlicher Vorschriften auf Grundlage der RL 95/46/EG (EG-Datenschutzrichtlinie)27 normiert. Wenngleich der europäische Datenschutz nunmehr als EU-Verordnung geregelt ist, bleiben die datenschutzrechtlichen Grundprinzipien weitgehend unverändert.28 Ein Unterschied besteht jedoch darin, dass das europäische Datenschutzrecht als EU-Verordnung in jedem Mitgliedstaat unmittelbare Anwendung findet. Ziel ist es, auf diesem Wege das Datenschutzrecht, ob der zahlreichen grenzüberschreitenden Sachverhalte, weiter zu vereinheitlichen. Allerdings erlauben diverse Öffnungsklauseln29 den Mitgliedstaaten, die DSGVO mit nationalen Regeln zu erweitern oder detaillierter festzulegen.

Die Umsetzung von Öffnungsklauseln erfolgt in Deutschland maßgeblich durch das novellierte BDSG.

1. Anwendungsbereich

Hinsichtlich der Frage, ob die DSGVO überhaupt Anwendung findet, macht diese in deren Art. 2 und 3 eindeutige Angaben. Danach müssen bei der Durchführung der Due-Diligence-Prüfung der räumliche und sachliche Anwendungsbereich der Verordnung eröffnet sein.

Zentrale Anforderung ist in jedem Fall, dass personenbezogene Daten verarbeitet werden. Dies sind gemäß Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Das Merkmal des Personenbezugs ist dabei weit zu verstehen.30 So besteht auch dann ein Personenbezug, wenn sich aus den Daten kein unmittelbarer Rückschluss auf die betroffene Person ziehen lässt, sondern sich anhand bestehender Informationen diese Person ermitteln lässt.31 Als Möglichkeiten zur Identifizierung nennt Art. 4 Nr. 1 DSGVO etwa eine Kennnummer oder Standortdaten.

a) Sachlicher Anwendungsbereich

Gemäß Art. 2 Abs. 1 DSGVO ist der sachliche Anwendungsbereich eröffnet, sofern die personenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden. Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legal definiert. Eine Definition, ab wann die Verarbeitung automatisiert stattfindet, ist der Verordnung gleichwohl nicht zu entnehmen. Der Begriff der automatisierten Verarbeitung ist allerdings technikneutral zu verstehen.32 Maßgeblich ist, dass die Verarbeitung nach vorgegebenen Parametern, ohne aktive Mitwirkung eines Menschen, abläuft.33 Da auch bei teilweise automatisierter Verarbeitung der sachliche Anwendungsbereich eröffnet wird, ist es insofern unerheblich, ob einzelne Schritte von Menschen durchgeführt werden.34 Auf Grundlage dessen ist der sachliche Anwendungsbereich bei jeder ganz oder teilweise rechnergestützten Verarbeitungstätigkeit eröffnet.35 Ausweislich der Norm ist der sachliche Anwendungsbereich gleichermaßen eröffnet, sofern die Daten nicht automatisiert verarbeitet werden, solange sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Bei einem sogenannten Dateisystem handelt es sich um strukturierte Sammlungen personenbezogener Daten.36 So fallen hierunter etwa Akten oder Karteisysteme.37 Bei unsortierten Zettelsammlungen oder Einzeldokumenten handelt es sich hingegen nicht um ein Dateisystem.38

Im Ergebnis ist es also unerheblich, ob die Due Diligence digital oder rein analog auf Grundlage von Akten stattfindet. Der sachliche Anwendungsbereich ist in jedem Fall eröffnet.

Auf eine Eröffnung des sachlichen Anwendungsbereiches kommt es gar nicht an, sofern der Personenbezug der verarbeiteten Daten durch Anonymisierung aufgehoben wird.39 Für eine Anonymisierung müssen die Daten dergestalt verändert werden, dass der Personenbezug nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand wiederhergestellt werden kann. Eine Anonymisierung kann etwa schon durch Schwärzen entsprechender Textpassagen erfolgen.40 Gleichwohl ist zu bedenken, dass bei umfangreichen Unternehmenstransaktionen mit der Anonymisierung der Daten ein relativ großer Aufwand einhergeht. Außerdem kann eine Due Diligence mit anonymisierten Daten im Widerspruch zum eigentlichen Zweck der Prüfung stehen.41

b) Räumlicher Anwendungsbereich

Gemäß Art. 3 Abs. 1 DSGVO ist der räumliche Anwendungsbereich eröffnet, sofern der datenschutzrechtliche Verantwortliche im Rahmen seiner Tätigkeiten eine Niederlassung in der Union hat, unabhängig davon, ob dort auch die Verarbeitung stattfindet. Sofern also das Zielunternehmen oder der Kaufinteressent eine Niederlassung in der Union hat, ist der Anwendungsbereich der DSGVO jeweils eröffnet.

Ob der Anwendungsbereich auch eröffnet ist, wenn der Verantwortliche mit Niederlassung außerhalb der Union personenbezogene Daten von Unionsbürgern verarbeitet, hängt gem. Art. 3 Abs. 2 lit. a) DSGVO davon ab, ob die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. Für die Durchführung einer Due Diligence ist diese Variante in der Praxis jedoch zu vernachlässigen.

Entscheidend ist zunächst, ob die Due Diligence zur Vorbereitung eines Asset Deals oder eines Share Deals durchgeführt wird. Nach dem sogenannten Marktortprinzip gemäß Art. 3 Abs. 2 lit. a) DSGVO ist der räumliche Anwendungsbereich eröffnet, wenn der Verantwortliche mit Niederlassung außerhalb der Union Daten von Personen innerhalb der Union verarbeitet. Dies gilt jedoch nur, sofern die Verarbeitung in einem Zusammenhang zu einem Angebot von Waren und Dienstleistungen steht, unabhängig davon, ob von der betroffenen Person eine Zahlung zu leisten ist. Die Formulierung „im Zusammenhang“ ist weit zu verstehen. Unter diesen Begriff fällt die Kaufvorbereitung mit Hilfe einer Due-Diligence-Prüfung.42 Bei dem zu kaufenden Objekt handelt es sich um eine Ware i.S.d Art. 3 Abs. 2 lit. a) DSGVO, sofern bewegliche körperliche Gegenstände gekauft werden sollen.43 Entscheidend ist also, ob die Due-Diligence-Prüfung zur Vorbereitung eines Asset- oder Share Deals durchgeführt wird. Bei einem Share Deal werden Unternehmensanteile gekauft. Diese sind keine beweglichen Sachen. Folglich handelt es sich um keine Ware i.S.d. Norm, weswegen letztlich der räumliche Anwendungsbereich nicht eröffnet ist. Bei einem Asset Deal kommt es auf die zu kaufenden Wirtschaftsgüter an. Bei Grundstücken, Gebäuden oder Patenten etwa handelt es sich um keine beweglichen Gegenstände, mithin gilt dasselbe wie für den Share Deal. Werden hingegen (z.B.) Maschinen verkauft, handelt es sich um bewegliche Sachen, respektive Ware, weswegen in diesem Fall der räumliche Anwendungsbereich eröffnet ist. Eine Auslegung des Art. 3 Abs. 2 lit. a) DSGVO dahingehend, dass den Betroffenen der Due Diligence ein Angebot gemacht wird, da diese mittelbar von dem Asset Deal profitieren, dürfte dem Wortlaut nicht zu entnehmen sein.

2. Allgemeine Grundsätze für die Verarbeitung

Art. 5 DSGVO normiert ausweislich seiner Überschrift die „Grundsätze für die Verarbeitung personenbezogener Daten“. Die dort enthaltenen Grundsätze leiten sich aus dem Primärrecht ab und machen diese Grundsätze für den Anwender schon deshalb verbindlich.44 Deren Wertungen ziehen sich durch die gesamte DSGVO und sind bei der Anwendung und Auslegung der Normen der DSGVO stets zu berücksichtigen.45 Art. 5 Abs. 1 lit. a) DSGVO schreibt vor, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise, verarbeitet werden. Konsequenz dieses Grundsatzes ist es u.a., dass die Verarbeitung von personenbezogenen Daten stets durch eine Rechtsgrundlage legitimiert werden muss.46 Gemäß Art. 5 Abs. 1 lit. b) Hs. 1 DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Aus dem Umkehrschluss ergibt sich etwa, dass personenbezogene Daten nicht zu noch unbekannten Zwecken erhoben werden.47 Art. 5 Abs. 1 lit. c) DSGVO normiert den Grundsatz der Datenminimierung. Danach muss die Datenverarbeitung auf das notwendige Maß beschränkt werden, welches erforderlich ist, um eine Due Diligence durchzuführen. Art. 5 Abs. 1 lit. d) DSGVO gibt vor, dass die Verarbeitung auf Grundlage von richtigen und aktuellen Daten beruhen soll. Der Grundsatz der Speicherbegrenzung findet seinen Niederschlag in Art. 5 Abs. 1 lit. e) DSGVO. Dieser korrespondiert mit dem Zweckbindungsgrundsatz und regelt, dass eine Verbindung zu bestimmten personenbezogenen Daten nur so lange bestehen darf, so lange dies für den Zweck der Verarbeitung erforderlich ist.48 Schließlich normiert der Grundsatz der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f) DSGVO, dass personenbezogene Daten nur auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

3. Rechtmäßigkeit der Verarbeitung

Ein elementarer Grundsatz des Datenschutzrechts ist das „Verbotsprinzip mit Erlaubnisvorbehalt“. Dieser ergibt sich unmittelbar aus Art. 8 Abs. 2 Satz 1 Grundrechtecharta und wurde innerhalb der DSGVO in Art. 5 Abs. 1 lit. a), 6 implementiert.49 Nach diesem Prinzip ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Eine Verarbeitung kann jedoch durch den Betroffenen dadurch legitimiert werden, dass dieser in die Verarbeitung einwilligt oder eine sonstige Rechtsgrundlage einschlägig ist.50 Die Einwilligung sowie die gesetzlichen Erlaubnistatbestände sind innerhalb der DSGVO in den Art. 6 bis 10 geregelt.51

Um die Datenverarbeitung im Rahmen einer Due Diligence rechtfertigen zu können, kommen freilich nicht alle gesetzlichen Erlaubnistatbestände in Frage. Insofern soll sich die folgende Kurzvorstellung der Rechtsgrundlagen der DSGVO nur auf solche beschränken, welche für die Due Diligence von Relevanz sind.

a) Einwilligung

Von zentraler Bedeutung für die Legitimierung der Datenverarbeitung ist die Einwilligung des Betroffenen. Sie gestattet eine unmittelbare Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung, da sie dem Betroffenen zugesteht, autonom über das „ob“ und „wie“ der Verarbeitung „seiner“ personenbezogenen Daten zu entscheiden.52

Die Einwilligung ist in den Art. 4 Nr. 11, 6 Abs. 1 lit. a) und Art. 7 DSGVO geregelt. In dieser Zusammenschau finden sich diverse Vorgaben zur Einholung einer wirksamen Einwilligung. So muss die Einwilligung freiwillig und auf Grundlage einer transparenten, vollumfänglichen Belehrung erfolgen.53 Die Vorrausetzungen für eine wirksame Einwilligung verschärfen sich, sofern in die Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 Abs. 1 DSGVO eingewilligt werden soll. Sodann werden gemäß Art. 9 Abs. 2 lit. a) DSGVO deutlich strengere Anforderungen an die Einwilligung gestellt.54 Selbiges gilt für die Einwilligung von Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber, welche in § 26 Abs. 1 DSGVO geregelt ist. Mit dieser nationalen Norm wurde von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht.

b) Verarbeitung erforderlich für Erfüllung des Vertrages

Ein gesetzlicher Erlaubnistatbestand liegt gem. Art. 6 Abs. 1 lit. b) DSGVO darin, dass die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person darstellt, erforderlich ist. Die Daseinsberechtigung dieses Erlaubnistatbestandes normiert scheinbar eine Selbstverständlichkeit: Denn dass eine Datenverarbeitung erlaubt sein muss, die für die Erfüllung eines Schuldverhältnisses erforderlich ist, liegt schon in der Natur der Sache.55 Gleichwohl ist hinsichtlich des Merkmals der Erforderlichkeit eine enge Auslegung indiziert. Auf diese Weise wird verhindert, dass der Erlaubnistatbestand durch zu weit gefasste (vermeintliche) vertragliche Leistungen ausgehebelt wird.56 Die Verarbeitung von Beschäftigtendaten ist gem. § 26 Abs. 1 Satz 1 BDSG rechtmäßig, sofern dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

c) Berechtigtes Interesse

Ein zentraler Erlaubnistatbestand im Bereich der Durchführung einer Due-Diligence-Prüfung findet sich in Art. 6 Abs. 1 lit. f) DSGVO wieder. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Ausweislich der Norm ist jedoch zuvor eine Interessenabwägung durchzuführen. Gemäß Art. 6 Abs. 1 lit. f) DSGVO ist das Interesse des Verantwortlichen nur zu berücksichtigen, soweit nicht die Interessen oder Grundrechte und -freiheiten der betroffenen Person hinsichtlich ihrer personenbezogenen Daten überwiegen.57

26 Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2, Rn. 1. 27 RL 95/46/EG des europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 28 Buchner, Wirtschaftsinformatik & Management 2019, 43, 43. 29 Abhängig von der Zählweise, mindestens jedoch 50. 30 Vgl. auch Forgó/Helfrich/Schneider, in: Forgó/Helfrich/Schneider, Teil I. Kap. 1 Rn. 48. 31 Gola, in: Gola, Art. 4 Rn. 5. 32 Martens, PinG 2015, 213, 214. 33 Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 34 Schmidt, in: Taeger/Gabel, Art. 2 Rn. 9. 35 V. Lewinski, in: Auernhammer, Art. 2 Rn. 5. 36 Siehe Legaldefinition in Art. 4 Nr. 6 DSGVO. 37 Außer Akten, die nicht nach bestimmten Kriterien geordnet sind, Erwägungsgrund 15 DSGVO. 38 Bäcker, in: BeckOK DatenschutzR, Art. 2 Rn. 4. 39 Erwägungsgrund 26. 40 Bach, EuZW 2020, 175, 175. 41 Zur Anonymisierung im Detail Kapitel 2 Rn. 181ff. 42 Vgl. Hornung, in: NK DatenschutzR, Art. 3 Rn. 52. 43 Abgestellt wird auf die vom EuGH zur Warenverkehrsfreiheit aus Art. 28ff. AEUV vertretene Interpretation des Warenbegriffs. 44 Albrecht/Jotzo, in: Albrecht/Jotzo, Kapitel 2 Rn. 1. 45 Herbst, in: Kühling/Buchner, Art. 5 Rn. 1. 46 Dazu Kapitel 2 Rn. 141ff. 47 Voigt, in: Taeger/Gabel, Art. 5 Rn. 22. 48 Frenzel, in: Paal/Pauly, Art. 6 Rn. 43. 49 Kramer, in: Auernhammer, Art. 5 Rn. 10. 50 So auch in Erwägungsgrund 40 DSGVO. 51 Im Rahmen der Öffnungsklauseln steht es auch dem nationalen Gesetzgeber zu, eigene Erlaubnistatbestände zu normieren bzw. bestehende der DSGVO weiter auszuführen. So wurde bspw. in § 26 BDSG die Verarbeitung von Beschäftigtendaten weiterführend geregelt. 52 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 17. 53 Für detaillierte Ausführungen zu den Wirksamkeitsvoraussetzungen im Rahmen der Due Diligence siehe Kapitel 2 Rn. 141ff. 54 Vgl. Rn. 143. 55 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 56 Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 26. 57 Hierzu im Detail Kapitel 2 Rn. 171ff.

IV. Risiken

Die Risiken, welche mit Verstößen gegen das Datenschutzrecht einhergehen können, sind divers und teilweise nicht ex ante kalkulierbar. Das zentrale Risiko stellt hierbei die Forderung nach etwaigen Geldzahlungen dar. Derartige Forderungen können diesbezüglich von zwei unterschiedlichen „Anspruchstellern“ kommen. Zum einen können die Aufsichtsbehörden bei Verstößen Bußgelder (nach Inkrafttreten der DSGVO in nunmehr kolossaler Höhe) verhängen. Zum anderen können auch Betroffene, die durch entsprechende Datenschutzverstöße in ihren Rechten verletzt wurden, Schadensersatzforderungen an die Verantwortlichen richten.

1. Bußgelder

Eine wesentliche Neuerung hat das Datenschutzrecht hinsichtlich der Höhe der Bußgelder erfahren. Die in Art. 83 DSGVO normierten Bußgelder, welche durch die zuständigen Aufsichtsbehörden erteilt werden können, stellen eine drastische Verschärfung der Sanktionen bei Verstößen im Vergleich zum alten Datenschutzrecht dar. So sieht der Katalog des Art. 83 Abs. 5 DSGVO vor, dass Bußgelder in Höhe von bis zu 20.000.000 EUR und bei Unternehmen sogar bis zu 4 % des Vorjahresumsatzes verhängt werden können. Es ist neben der Verhältnismäßigkeit gemäß Art. 84 Abs. 1 Satz 2 DSGVO ein erklärtes Ziel, dass die Bußgelder abschreckend sind, mithin eine ausreichende Präventionswirkung entfalten.58 Darüber hinaus sind fast alle materiellen Pflichten, die sich aus der DSGVO ergeben, durch den Katalog des Art. 83 DSGVO bußgeldbewehrt.59

Dass die Behörden diesen Bußgeldrahmen auch tatsächlich ausschöpfen, zeigt die Praxis. So wurde beispielsweise gegen H&M ein Bußgeld in Höhe von 35 Mio. EUR durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wegen schwerwiegenden Verstößen gegen den Beschäftigtendatenschutz verhängt.

Bezüglich der Maßstäbe für die Festlegung der Höhe der Bußgelder bietet Art. 83 Abs. 2 DSGVO einen umfangreichen Kriterienkatalog für die Bemessung der Geldbußen.60 Dieser enthält jedoch nur Vorgaben hinsichtlich des „Wie“ der Bußgeldverhängung. Regelungen bezüglich des „Ob“ macht die Norm den Behörden nicht.61 So ist die Höhe des Bußgeldes gemäß Art. 84 Abs. 2 lit. a) DSGVO von der Art, Schwere und Dauer des Verstoßes abhängig. Auch kommt es auf die Kategorien der personenbezogenen Daten an oder etwa auf den Umfang der Zusammenarbeit mit den Aufsichtsbehörden, um dem Verstoß abzuhelfen, Art. 83 Abs. 2 lit. g) und f) DSGVO.

Von besonderer Relevanz für eine Due-Diligence-Prüfung ist Art. 82 Abs. 2 lit. e) DSGVO. Danach wird bei der Festlegung der Höhe des Bußgeldes berücksichtigt, ob bereits frühere Verstöße des Verantwortlichen bei der Aufsichtsbehörde bekannt sind. Bei einer Unternehmenstransaktion tritt der Käufer an die Stelle des bisherigen datenschutzrechtlichen Verantwortlichen. Insofern muss er sich die Datenschutzverstöße seines Vorgängers bei der Bemessung eines Bußgeldes gemäß Art. 83 Abs. 2 lit. e) DSGVO zurechnen lassen. In diesem Lichte ist bei der Durchführung einer Due-Diligence-Prüfung insbesondere darauf zu achten, ob gegen das zu prüfende Unternehmen in der Vergangenheit bereits Bußgelder verhängt wurden.

2. Schadensersatz

Ein weiteres Novum der DSGVO liegt darin, dass die Verordnung den Betroffenen bei Datenschutzverstößen gemäß Art. 82 Abs. 1 DSGVO expressis verbis einen immateriellen Schadensersatzanspruch zuschreibt. Das deutsche Schadensersatzrecht zielt primär auf den Ersatz materieller Vermögenschäden ab, vergleiche § 253 BGB. Art. 82 Abs. 1 DSGVO verpflichte Verantwortliche und Auftragsverarbeiter hingegen dazu, auch den immateriellen Schaden des Betroffenen zu ersetzen. In Anbetracht dessen, dass Art. 82 DSGVO im Gegensatz zu den Bußgeldern keine Maximalhöhe des immateriellen Schadens nennt und bei einer Datenpanne zumeist eine Vielzahl von Personen betroffen sein können, stellen Schadensersatzforderungen durch Betroffene ein durchaus schwer zu kalkulierendes Risiko dar. Hinzu kommt, dass der Schadensbergriff weit auszulegen ist.62 Mithin begründet schon der Verstoß gegen datenschutzrechtliche Vorschriften einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Unter Berücksichtigung des effet utile sollen Schadensersatzforderungen darüber hinaus auch eine abschreckende Wirkung entfalten und über das Maß eines symbolischen Schadensersatzes hinausgehen.63

Gerade in der jüngsten Vergangenheit zeichnete sich durchaus die Tendenz ab, dass Gerichte diese Auslegungskriterien berücksichtigen und Schadensersatzforderungen entsprechend stattgeben.64

Schließlich ist es nicht ausgeschlossen, dass Betroffene neben ihrem Schadensersatzanspruch auch von ihrem Melderecht gemäß Art. 77 Abs. 1 DSGVO bei der zuständigen Aufsichtsbehörde Gebrauch machen und letztlich neben Schadensersatzforderungen auch ein Bußgeld zu zahlen ist.

3. Abmahnung

Bisweilen wurde höchstrichterlich nicht abschließend geklärt, ob Datenschutzverstöße auch von Mitbewerbern, etwa auf Grundlage des UWG, abgemahnt werden können. Diese Frage hat der BGH mit Beschluss vom 28.5.2020 dem EuGH als Vorabentscheidung vorgelegt.65 Die nationalen Gerichte entschieden bisweilen uneinheitlich.66 Maßgeblich für die Frage der Anwendbarkeit des UWG ist die Entscheidung, ob es sich bei den Vorschriften der DSGVO um sogenannte „Marktverhaltensregeln“ i.S.d. § 3a UWG handelt.67 In diesem Zusammenhang ist ferner streitig, ob das UWG neben der DSGVO anwendbar oder ob letztere vielmehr abschließend ist. Sofern die Vorschriften des UWG Anwendung finden, könnten Mitbewerber i.S.d. § 8 Abs. 3 Nr. 1 UWG entsprechende Forderungen geltend machen. In Anbetracht dessen, dass noch keine Entscheidung durch den EuGH vorliegt, sollte das Risiko einer Abmahnung zumindest berücksichtigt und keinesfalls unterschätzt werden.

4. Vertrag unwirksam/Gewährleistungsansprüche

Tritt einer der vorgenannten Fälle ein, besteht ein nachvollziehbares Interesse des Kaufinteressenten, Gewährleistungs- und Schadenersatzansprüche gegenüber dem Zielunternehmen durchzusetzen. Dies gilt jedenfalls, sofern der Käufer während der Due-Diligence-Prüfung nicht selbst einen Verstoß begeht und ein Regress ausgeschlossen ist. An dieser Stelle konkretisiert sich ein weiteres Ziel der Due Diligence, die Ausgestaltung der Gewährleistung. In der Regel wird bei Abschluss eines Unternehmenskaufvertrages versucht, die Gewährleistung weitreichend auszuschließen. Dies kann natürlich nicht im Interesse des Kaufinteressenten liegen, schon gar nicht angesichts der erheblichen Folgen bei einem Verstoß gegen datenschutzrechtliche Vorschriften, insbesondere die der DSGVO. Die Gewährleistung in Deutschland, die vertraglichen Individualvereinbarungen der Kaufvertragsparteien einmal unbeachtet, richtet sich im Kaufvertragsrecht nach den Regelungen der §§ 434ff. BGB.68 Grundsätzlich haftet der Verkäufer dafür, dass der Kaufgegenstand die Sollbeschaffenheit aufweist und nicht mit Rechtsmängeln behaftet ist. Die Sollbeschaffenheit ist dabei vertraglich definiert oder wird objektivierend beurteilt. Rechtlich relevant ist bei der Frage der Gewährleistung die Norm des § 442 BGB. Nach § 442 Abs. 1 Satz 1 BGB sind die Rechte des Käufers ausgeschlossen, wenn er den Mangel bei Abschluss des Vertrages kennt. Isoliert betrachtet könnte man den Eindruck gewinnen, dass die Durchführung einer Due Diligence kontraproduktiv ist.69 Erwartungsgemäß werden bei dieser Prüfung gerade Mängel aufgedeckt, die dann als bekannt zu werten wären und zu einem Gewährleistungsausschluss führen würden. § 442 Abs. 1 BGB regelt in Satz 2 erschwerend noch weiter, dass ein Käufer etwaige Rechte wegen eines Mangels, der ihm infolge grober Fahrlässigkeit unbekannt geblieben ist, nur geltend machen kann, wenn der Verkäufer den Mangel arglistig verschwiegen oder eine Garantie für die Beschaffenheit der Sache übernommen hat. Hieraus wird teilweise geschlossen, dass derjenige, der eine Due Diligence durchführt und Mängel in grober Fahrlässigkeit verkennt, seine Gewährleistungsrechte verlieren soll.70 Ob dabei die Kenntnis des Beraters des Käufers bei der Due-Diligence-Prüfung zugerechnet werden kann, wird streitig behandelt.71 Jedenfalls würde die Gefahr, etwas bei der Prüfung zu übersehen und folglich die Gewährleistungsansprüche zu verlieren, gegen die Durchführung einer Due Diligence sprechen. Gleichwohl würde es paradox anmuten, wenn derjenige, der keine Prüfung vornimmt, Mängel damit weder kennt noch grob fahrlässig übersieht, gerade aus diesem Grunde seine Gewährleistungsrechte behalten soll. Eine Verpflichtung zur Durchführung einer Due Diligence gibt es jedenfalls nicht.72 Möglicherweise muss man eine grobe Fahrlässigkeit aber auch gerade dann bejahen, wenn, trotz Möglichkeit, Unterlagen zu prüfen, keine Due Diligence durchgeführt würde. Der Untätige wäre dann in jedem Fall seiner Gewährleistungsrechte verlustig.

<123>