Die Datenschutz- und Cybersicherheitspraktiken der Zielunternehmen werden während des Due-Diligence-Prozesses bei M&A-Transaktionen zunehmend geprüft. Käufer möchten insbesondere das Risiko und den Wert verstehen, die den Datenbeständen der Verkäufer innewohnen, und Verkäufer möchten Transaktions- und Post-Closing-Risiken managen.
Im Zuge ihrer Datenschutz- und Cybersicherheits-Due Diligence sollten Käufer bei der Bewertung der mit dem Kauf eines Unternehmens verbundenen Risiken Folgendes berücksichtigen:
- Erstens, wie robust sind die Datensicherheits- und Informationstechnologie (IT)-Praktiken des Unternehmens? Dies ist besonders wichtig, wenn das Unternehmen stark auf Daten oder IT-Ressourcen angewiesen ist oder einen erheblichen Wert daraus zieht. Wenn das Unternehmen nicht über zeitnahe Richtlinien und entsprechende Schulungen verfügt oder regelmäßige Tests durch Dritte (z. B. Schwachstellen- und Penetrationstests) durchführt, ist ein Käufer möglicherweise nicht zufrieden mit dem Cybersicherheitsrisiko des Unternehmens. Verkäufer können davon ausgehen, dass Käufer versuchen, dieses Risiko innerhalb der Zusicherungen und Gewährleistungen und damit verbundenen Freistellungsverpflichtungen in ihren Geschäftsunterlagen zuzuordnen.
- Zweitens, wie ernst nimmt das Unternehmen die Einhaltung der Datenschutzbestimmungen? Während Verkäufer den Wert und die Komplexität ihrer digitalen Vermögenswerte anerkennen (die häufig personenbezogene Daten enthalten), stellen die sich entwickelnde Natur und die zunehmende Komplexität der Datenschutzgesetze weltweit selbst für die umsichtigsten Verkäufer Risiken dar. Käufer sollten vorrangig verstehen, wie Unternehmen personenbezogene Daten sammeln, wo sich die Daten befinden, mit wem sie geteilt werden und ob diese Praktiken tatsächlich den Datenschutzrichtlinien des Unternehmens und den geltenden Gesetzen entsprechen. Ein Käufer kann dann beurteilen, inwieweit Compliance-Probleme den Wert der Daten für den Käufer in Zukunft beeinflussen, oder eine sorgfältigere Risikozuweisung in der Geschäftsdokumentation verlangen.
Um die Datenschutz- und Cybersicherheits-Due-Diligence des Käufers zu erleichtern, sollten Verkäufer Folgendes berücksichtigen:
- Erstens, wie können Verkäufer Risiken mindern, die durch schlechte Datenschutz- oder Cybersicherheitspraktiken oder Sicherheitsereignisse außerhalb der Kontrolle des Unternehmens ausgelöst werden? In vielen Fällen deckt die Datenschutz- und Cybersicherheits-Due-Diligence Lücken in der Compliance eines Unternehmens auf. Wenn diese Lücken als unwesentlich angesehen werden, kann die „Bereinigung“ der Compliance für den Käufer nach dem Abschluss zu einem Anliegen werden, und der Käufer kann versuchen, solche Lücken durch Aushandlung einer bestimmten Entschädigung mit den Verkäufern im Kaufvertrag zu schließen oder nicht, je nachdem die Risikoeinschätzung des Käufers. In einigen Fällen haben Unternehmen jedoch Datenschutzverletzungen erlebt oder Datenschutzgesetze nicht eingehalten, was zu größeren Risiken geführt hat. Es ist wichtig, dass die Parteien diese Probleme direkt und frühzeitig angehen, da bestimmte Käufer möglicherweise nicht bereit sind, mit der Transaktion fortzufahren, möglicherweise versuchen, den Kaufpreis neu zu verhandeln, oder aufgrund solcher Probleme erhebliche Entschädigungsverpflichtungen von den Verkäufern verlangen können . Verkäufer können versuchen, Lookback-Zeiträume oder Wissens- oder Wesentlichkeitskriterien in die Zusicherungen und Garantien in Bezug auf Datenschutz- und Sicherheitsangelegenheiten zu integrieren, um ihre Risikoexposition in Bezug auf diese Angelegenheiten zu begrenzen.
- Zweitens, wie können Verkäufer aus Prozesssicht die Informationen, die sie einem potenziellen Käufer im Laufe des Due-Diligence-Prozesses offenlegen, am besten schützen? In der Regel werden Geheimhaltungsvereinbarungen getroffen, um die Daten zu schützen, die Verkäufer im Rahmen der Due Diligence mit potenziellen Käufern teilen, und um geltende Datenschutzgesetze einzuhalten. Verkäufer sollten auch darüber nachdenken, wie und wann Informationen in Datenräumen präsentiert werden, und versuchen, unnötige Offenlegungen zu minimieren. Beispielsweise sollten personenbezogene Daten von Kunden oder Mitarbeitern eines Unternehmens unkenntlich gemacht oder nur notwendige Muster geteilt werden. Je nach Kontext können auch zusätzliche Maßnahmen erforderlich sein. Beispielsweise kann es ratsam sein, Clean-Team-Vereinbarungen einzuführen, um spezifische Verfahren für den Austausch hochsensibler Informationen festzulegen.
Angesichts der Verbreitung der Digitalisierung und des Wertes von Daten in praktisch allen Branchen werden Fragen des Datenschutzes und der Cybersicherheit bei der Transaktions-Due-Diligence immer wichtiger. Die Parteien sollten sich mit ihrem Anwalt beraten und sicherstellen, dass sie sich diesem komplexen Bereich im Hinblick auf das Management ihrer jeweiligen Risiken nähern.