Generell ist viel Bewegung im Merger and Acquisitions (M&A) Markt. Transaktionen wie Merger, Veräußerungen oder Zukäufe von Geschäftsbereichen finden sich zuhauf in den Nachrichten. Der wirtschaftliche Druck während der Pandemie hat sein Übriges dazu getan. M&A Projekte sind langwierige und komplexe Vorhaben. Die Themen Datensicherheit, Wettbewerbs- und Kartellrecht und Compliance-Regeln sind in solchen Projekten nicht neu. In den vergangenen Jahren ist aber mit der Datenschutzgrundverordnung (DSGVO) ein völlig neuer Fokus auf das Thema geworfen worden – mit umfangreichen zusätzlichen Anforderungen für die IT.

Kurz & knapp

  • Die IT spielt in M&A Programmen, die als Querschnittsbereich einen Großteil aller Unternehmensprozesse unterstützt, eine besondere Rolle.
  • Datenschutzrechtliche Verstöße können mit hohen Bußgeldern mit bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens bestraft werden.
  • Die entsprechenden Maßnahmen zur Risikovermeidung oder -minimierung spiegeln sich vorrangig in Systemseparationen, Restriktion von Systemzugängen und –Berechtigungen oder Datenmigrationen wider.

Tobias Radtke ist IT-Projektleiter im Merger & Acquisitons (M&A) Umfeld. Dabei koordiniert er die IT-Aktivitäten in den einzelnen Projektphasen von der Due Diligence, über die Planung bis hin zur Vertragserstellung und Transition.

 

 

Ob Merger, Akquisition oder Carve-Out – M&A Programme sind hochkomplexe Projekte, die einer Menge Auflagen, Sicherheitsanforderungen, vertraglicher Grundlagen und auch Restriktionen unterliegen. Eine besondere Rolle spielt hierbei die IT, die als Querschnittsbereich einen Großteil aller Unternehmensprozesse unterstützt. In den letzten Jahren sind zu dieser Komplexität verschärfte Anforderungen hinsichtlich des Schutzes personenbezogener Daten, allem voraus durch die DSGVO dazugekommen. Datenschutzrechtliche Verstöße können mit hohen Bußgeldern mit bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens bestraft werden.

Auch wenn der Schwerpunkt bei der Definition der DSGVO sicherlich nicht auf der Strukturierung von Unternehmenstransaktionen lag, gibt es inzwischen einige Risiko-Analysen zu Datenschutzanforderungen in M&A-Transaktionen. Die Einhaltung dieser Anforderungen wird durch die erhöhte Komplexität in M&A Projekten erschwert, bspw. durch Geheimhaltungspflichten, unterschiedliche Compliance-Anforderungen der Stakeholder (Käufer-und Verkäufergesellschaft) und dem Eigentumsübergang und damit auch der wechselnden Datenhoheit. Die Umsetzung der entsprechenden Maßnahmen liegt nicht selten in der IT-Organisation bzw. im IT-Projekt. Personenbezogene Daten machen einen wesentlichen Teil der Daten in den meisten M&A Projekten aus, bspw. in Form von HR-Daten, Debitoren, Kreditoren, Bankdaten oder Adressbuchdetails. Die entsprechenden Maßnahmen zur Risikovermeidung spiegeln sich vorrangig in der Restriktion von Systemzugängen und -berechtigungen oder Systemseparationen und Datenmigrationen wider. Durch die DSGVO-Anforderungen sind zusätzliche Zugriffskontrollen auf Dokumente und Datenräume während der gesamten Projektlaufzeit notwendig.

Doch wie geht man aus IT-Sicht wirklich effektiv, sinnvoll und strukturiert an das Thema Datenschutz und Compliance in M&A Projekten?

Vier konkrete Handlungsempfehlungen

  1. Zu Beginn sollte bereits analysiert werden, welche personenbezogenen Daten in welchen Systemen sichtbar sind bzw. gespeichert werden. Nur so lässt sich technisch bewerten, welche Maßnahmen jeweils notwendig sind.
  2. Frühzeitige Einbindung der relevanten Unternehmensfunktionen: Datenschutzbeauftragte, Compliance und IT-Security Verantwortliche im Unternehmen sollten bereits zu Beginn der Due Diligence einbezogen werden und über den Projektfortschritt auf dem Laufenden gehalten bzw. in den Abstimmungen mit einbezogen werden.
  3. Genaue Festlegung der Day-1 Aktivitäten mit Hinblick auf Datenschutz und Compliance. Der Day-1 beschreibt den Übergang aller Rechte und Pflichten beim Kauf/Verkauf eines Unternehmens(-teils) (Eigentumsübergang). Daher sollten die IT-Aktivitäten sorgfältig geprüft und von erfahrenen BeraterInnen begleitet werden, um den Anforderungen bzgl. Datenschutz und Compliance rund um den Day-1 gerecht zu werden. Durch umfassendes Wissen und Erfahrungen zu kritischen M&A IT-Aktivitäten lassen sich Risiken im IT-Projekt minimieren oder vermeiden. Eine IT Security Exception sollte der letzte Ausweg sein und nur in absoluten Ausnahmefällen zeitlich limitiert ausgesprochen werden.
  4. Datenschutzrechtliche und Compliance Anforderungen sollten vertraglich z.B. im Transitional Service Agreement (TSA) festgelegt werden, um Grundsätze und dedizierte Maßnahmen in den Projektphasen von Anfang an zu planen.

Sie wollen mehr erfahren? Kontaktieren Sie uns oder lernen Sie mehr über das mgm M&A IT Portfolio auf https://www.mgm-cp.com/leistungen/merger-und-carve-out-management/

Ähnliche ArtikelMehr vom Autor