Ein Beitrag von Anne Leßner, Rechtsanwältin bei der Kanzlei Vogel Heerma Waitz in Berlin
Finanzierungsrunden beginnen gewöhnlich mit einer Due Diligence des Investors. Denn dieser hat ein Interesse daran, sich einen Überblick über die rechtlichen Verhältnisse der Gesellschaft zu verschaffen. Das Ergebnis der Due Diligence beeinflusst den Kaufpreis, die Bedingungen des Deals – oder ob dieser überhaupt zustande kommt. Was genau im Startup an Unterlagen vorliegt, weiß der Investor vorher nicht und fordert deswegen meist eine Vielzahl an Verträgen und Übersichten an.
Das bedeutet viel Arbeit für die Gründer, die sie neben dem operativen Geschäft leisten müssen. Und das verleitet viele dazu, ungeprüft alle möglichen Dokumente in den Datenraum zu stellen, im schlimmsten Fall mit einem einfachen Link ohne Passwortschutz. In den Datenräumen finden sich dann zum Beispiel lange Listen mit Name, Alter, Gehalt und Anschrift aller Angestellten.
Solche Informationen über bestimmte oder bestimmbare Menschen sind personenbezogene Daten. Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass das Startup sie nur weitergeben darf, wenn es dafür eine rechtliche Grundlage gibt. Bei der Due Diligence kommen nur zwei Rechtsgrundlagen in Frage: die Einwilligung der betroffenen Person oder das berechtigte Interesse des Startups und des Investors.
Das berechtigte Interesse geht dabei aber nur soweit, wie die Datenweitergabe „erforderlich“ ist, um dem Investor seine Investitionsentscheidung und den Parteien die Vertragsgestaltung zu ermöglichen. Das ist in der Praxis für jede Art von Dokumenten und Daten eine Abwägungsfrage. Die folgenden Fallgruppen sollen daher grobe Anhaltspunkte geben, welche Dokumente in welchem Detailgrad an den Investor weitergegeben werden dürfen.
Welche Daten braucht der Investor wirklich?
- Daten über Gründer und Geschäftsführer: Der Upload ihrer Daten (zum Beispiel Name, Adresse, Kontaktdaten, Gehalt, Lebenslauf) ist in aller Regel ohne Anonymisierungen zulässig. Wenn sie den Deal initiiert haben und den Upload im Datenraum mit steuern können, kann man von ihrer Einwilligung ausgehen. Auch wenn das nicht der Fall ist (zum Beispiel bei Gründern, die Minderheitsgesellschafter sind und nur über einen normalen Arbeitsvertrag verfügen), wird man sich auf berechtigte Interessen stützen können, da die Daten über diese Personen (Gehalt, vorherige Berufserfahrung etc.) in der Regel die Investitionsentscheidung maßgeblich beeinflussen.
- Arbeitnehmer- und Freelancerdaten: Konkrete Daten wie Name, Adresse, Alter, Kontaktdaten, Gehalt und Lebenslauf einzelner Personen interessieren den Investor in der Regel nicht. Diese Daten sollten daher in allen hochgeladenen Verträgen und Listen geschwärzt sein. Ausnahmen gelten nur, soweit eine konkrete Person (zum Beispiel ein Lead Software Architect) von besonderem Interesse für den Investor ist. Der Investor hat jedoch ein Interesse, zumindest eine anonymisierte Liste von Arbeitnehmern zu empfangen, auf der er sehen kann, wie viele Arbeitnehmer es gibt, welche Funktion sie haben, welches Gehalt beziehungsweise welche Boni sie beziehen, oder wie viele Kündigungen in jüngster Zeit erfolgt sind. Auf keinen Fall sollten Startups besonders sensible Daten von Arbeitnehmern (etwa über Krankheiten, Religion oder Gewerkschaftszugehörigkeiten) in den Datenraum stellen.
- Kontaktdaten von Personen in Kunden- und Lieferantenverträgen: Für Standardverträge mit Kunden (vor allem Verbrauchern) oder Lieferanten reicht es in der Regel, einen nicht mit einer konkreten Person abgeschlossenen Mustervertrag in den Datenraum zu stellen. Nur bei wichtigen Verträgen kann es auch einmal wichtig sein, dass die konkrete Person bei Vertragsabschluss (Wichtige Frage: Hatte sie Vertretungsmacht?) und ihre Unterschrift (Blieb der Vertrag nicht nur ein Entwurf?) zu sehen sind. Auf keinen Fall braucht ein Investor konkrete Daten aus Mailing-Listen für Newsletter, Teilnehmerlisten von Veranstaltungen oder Kopien aller E-Mail-Kommunikation.
Richtige Auswahl und Sicherung des Datenraumes
Startups sind nicht nur dafür verantwortlich, dass es eine Rechtsgrundlage für die Informationsweitergabe gibt. Nach der Datenschutzgrundverordnung müssen sie auch organisatorisch sicherstellen, dass die Daten vor unberechtigem Zugriff geschützt sind.
Die Gründer sollten also einen Datenraumanbieter wählen, der die Datenschutzanforderungen einhalten kann. Der Anbieter des Datenraumes wird datenschutzrechtlich als sogenannter „Auftragsverarbeiter“ tätig, also als eine Art technischer Helfer des Startups. Datenschutzrechtlich verantwortlich für die Sicherheit der Daten bleibt das Startup. Mit einem Auftragsverarbeiter muss ein entsprechender Vertrag abgeschlossen werden.
Da in Deutschland noch unklar ist, in welcher Form dieser Vertrag wirksam ist, sollte er am besten von beiden Parteien eigenhändig unterschrieben oder mittels qualifizierter elektronischer Signatur signiert werden. Die meisten Anbieter von Datenräumen halten einen Mustervertrag vor, der auf ihrer Website abgerufen werden kann oder auf Anfrage erhältlich ist.
Achtung bei US-Anbietern: An Datenräume, die ihre Server in den USA betreiben, dürfen Daten nur unter besonderen Anforderungen übermittelt werden, etwa bei einer Zertifizierung nach dem „EU U.S. Privacy Shield“.
Enorm wichtig ist außerdem, den Datenraum mit einem guten Passwort zu schützen und dieses nur dem Investor und seinen mit der Due Diligence betrauten Beratern zur Verfügung zu stellen.
Streng geheim
Viele Verträge enthalten Klauseln, nach denen Informationen, die in der Zusammenarbeit ausgetauscht werden, geheim gehalten werden müssen (sogenannte Vertraulichkeitsverpflichtungen oder Non-Disclosure-Agreements, kurz NDAs). Das Thema gehört zwar nicht im juristischen Sinne zum Datenschutz (weil es hier nicht mehr um natürliche Personen geht), wirft aber ähnliche praktische Probleme für Gründer auf. Auch in diesem Zusammenhang passieren in der Due Diligence viele vermeidbare Fehler.
Was wegen der DSGVO noch auf Gründer zukommt, hat die Rechtsanwältin Christina Bauer bereits vor Kurzem in unserem Webinar erklärt:
Denn das Verbot, Informationen über ein Unternehmen weiterzugeben, umfasst manchmal auch den Inhalt des Vertrages selbst oder seine bloße Existenz. Teilweise werden bei einem Verstoß hohe Vertragsstrafen fällig. Vor dem Upload der Verträge sollten Gründer daher überprüfen, ob der Upload überhaupt gestattet ist – und anderenfalls den Vertragspartner um Einwilligung bitten. Wenn Vertraulichkeitsvereinbarungen abgeschlossen werden, bietet es sich deswegen an, eine Ausnahme vom Weitergabeverbot für Due Diligences mit aufzunehmen.
Datenschutz als Visitenkarte
Angesichts der vielen Pflichten in einer Finanzierungsrunde wollen Gründer die Due Diligence und den Datenschutz verständlicherweise effizient betreiben. Die Mühe lohnt sich allerdings nicht nur gegenüber den eigenen Arbeitnehmern und den Behörden. Der Ablauf und Organisationsgrad der Due Diligence sind eine Art Visitenkarte gegenüber dem Investor: Wenn Gründer nur relevante Dokumente einstellen und zeigen, dass sie dabei den Datenschutz beachten, trägt das erheblich zu einem positiven Gesamteindruck bei. Gerade, wenn das Geschäftsmodell des Startups datengetrieben ist, wird der Investor ohnehin die Datenschutz-Compliance prüfen. Die Due Diligence ist dann die erste Arbeitsprobe.