Deutsch DE
English English EN Türkçe Türkçe TR Deutsch Deutsch DE Español Español ES 中文 中文 ZH
Kontakt & Beratung
DE

Aktuelle Entscheidung des Verfassungsgerichts betont die Bedeutung des Datenschutzes bei M&A-Transaktionen

Eine aktuelle Entscheidung des türkischen Verfassungsgerichts zeigt, warum Datenschutz-Due-Diligence bei M&A-Transaktionen in der Türkei zentral ist.

Von Ali Yurtsever · · 10 Min. Lesezeit

In der heutigen türkischen Geschäftswelt hat die Rolle von Regelwerken zum Datenschutz bei M&A-Transaktionen eine bislang unerreichte Bedeutung erlangt, insbesondere im Bereich von Fusionen und Übernahmen (M&A). Diese gestiegene Bedeutung wird durch den zunehmenden Trend ausländischer Unternehmen getragen, über Akquisitionen in den türkischen Markt einzutreten.

Solche Transaktionen, die häufig komplexe Datenübermittlungen und Integrationsprozesse umfassen, rücken den Datenschutz in den Mittelpunkt strategischer Überlegungen. Ein wirksames Management datenschutzrechtlicher Fragen wird nicht nur als Compliance-Anforderung entscheidend, sondern auch als zentraler Faktor, der den Gesamterfolg und die Rechtmäßigkeit von M&A-Transaktionen beeinflusst.

Der Anstieg von M&A-Aktivitäten in der Türkei mit ihrer besonderen rechtlichen und kulturellen Landschaft bringt verschiedene Herausforderungen und Chancen mit sich. Die Übertragung und Integration sensibler Daten, oft grenzüberschreitend, erfordert ein differenziertes Verständnis sowohl lokaler als auch internationaler Datenschutzgesetze.

Wie auch in einer jüngeren Entscheidung des Verfassungsgerichts hervorgehoben wurde, ist dies besonders kritisch angesichts der potenziellen Risiken und Haftungen, die sich aus Nichteinhaltung oder Datenschutzverletzungen ergeben können. In diesem Kontext sind M&A-Transaktionen nicht nur finanzielle oder strategische Entscheidungen, sondern beinhalten auch eine sorgfältige Berücksichtigung von Datenschutz und Datensicherheit, wodurch diese zu maßgeblichen Faktoren für Bewertung und Erfolg solcher Transaktionen werden.

I. Datenschutzgesetzgebung und -regeln in der Türkei

Der Eckpfeiler der Datenschutzgesetzgebung in der Türkei ist das Gesetz Nr. 6698 zum Schutz personenbezogener Daten (LPDP), das einen umfassenden Rahmen für den Umgang mit personenbezogenen Daten geschaffen hat. Das LPDP war ein wichtiger Schritt zur Annäherung des türkischen Rechts an internationale Datenschutzstandards, insbesondere an die Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Zu den zentralen Bestimmungen des LPDP gehören das Erfordernis ausdrücklicher Einwilligung für die Datenverarbeitung, Rechte der betroffenen Personen sowie Pflichten von Verantwortlichen und Auftragsverarbeitern.

Nach dem LPDP erfordern sowohl inländische als auch grenzüberschreitende Datenübermittlungen grundsätzlich die vorherige ausdrückliche Einwilligung des Dateneigentümers. Gleichwohl sieht das LPDP Ausnahmen von diesem Erfordernis vor, die für personenbezogene Daten und personenbezogene Daten besonderer Art gelten, wie in Artikel 5/2 beziehungsweise Artikel 6/3 geregelt. Für personenbezogene Daten erlaubt Artikel 5/2 die Verarbeitung und Übermittlung an Dritte ohne ausdrückliche Einwilligung in folgenden Fällen:

  • wenn sie gesetzlich vorgeschrieben oder erforderlich ist,
  • wenn sie zum Schutz des Lebens oder der körperlichen Unversehrtheit einer Person erforderlich ist, die keine Einwilligung erteilen kann,
  • wenn sie für die Erbringung vertraglich vorgesehener Leistungen wesentlich ist,
  • wenn sie erforderlich ist, damit der Verantwortliche seine rechtlichen Pflichten erfüllen kann,
  • wenn sie vom Dateneigentümer öffentlich gemacht wurde,
  • wenn sie für die Begründung, Ausübung oder den Schutz von Rechten zwingend erforderlich ist, oder
  • wenn sie für die berechtigten Interessen des Verantwortlichen erforderlich ist, sofern dadurch die Grundrechte und Grundfreiheiten des Dateneigentümers nicht verletzt werden.

Das Verständnis dieser Regeln ist für Unternehmen, die an M&A-Transaktionen beteiligt sind, entscheidend, da Datenschutz-Compliance zu einem kritischen Bestandteil des Due-Diligence-Prozesses wird. Verstöße gegen das LPDP können erhebliche rechtliche und finanzielle Folgen haben, was die Bedeutung eines gründlichen Verständnisses und der Umsetzung dieser Grundsätze in allen Geschäftsaktivitäten mit personenbezogenen Daten unterstreicht.

Weitere detaillierte Informationen zum LPDP und zu den Grundsätzen rechtmäßiger Datenverarbeitung finden Sie in den ASY-Legal-Artikeln zu Datenschutz in der Türkei und den 8 Grundsätzen rechtmäßiger Verarbeitung personenbezogener Daten.

2. Bedeutung des Datenschutzes bei M&A-Transaktionen

Eine der zentralen Herausforderungen bei M&A-Transaktionen ist die Sicherung von Daten in Datenräumen, die für Due-Diligence-Prozesse unerlässlich sind. Diese virtuellen Räume, in denen sensible Unternehmensinformationen gespeichert und geteilt werden, werden häufig von Dritten wie potenziellen Käufern und Rechtsberatern genutzt. Diese Zugänglichkeit birgt ein erhebliches Risiko von Datenschutzverletzungen, weshalb die Sicherheit solcher Datenräume von höchster Bedeutung ist.

Neben den Risiken während der Due-Diligence-Phase impliziert die Natur von M&A-Transaktionen, die die Übertragung von Eigentum und Kontrolle über Unternehmen umfassen, zwangsläufig auch eine Datenübertragung. Diese Übertragung wirft erhebliche Fragen des Datenschutzes auf, da Daten, die von einer Einheit (der Zielgesellschaft) erhoben und kontrolliert wurden, auf eine andere Einheit (die Erwerbergesellschaft) übergehen. Sicherzustellen, dass dieser Übergang den Datenschutzgesetzen entspricht, insbesondere beim Umgang mit personenbezogenen Daten, ist ein komplexer und wesentlicher Aspekt der Transaktion.

Darüber hinaus ist es in der Integrationsphase nach Abschluss einer M&A-Transaktion entscheidend, die Datenschutzrichtlinien der zusammengeführten Einheiten aufeinander abzustimmen. Die erwerbende Gesellschaft muss nicht nur die Datenschutzpraktiken der Zielgesellschaft verstehen, sondern diese Praktiken auch nahtlos in ihren bestehenden Rahmen integrieren. Diese Integration umfasst die Angleichung unterschiedlicher Protokolle für Datenhandhabung, Speicherung und Verarbeitung und stellt die fortlaufende Einhaltung des LPDP und anderer relevanter Datenschutzvorschriften sicher.

Grenzüberschreitende Zusammenschlüsse fügen eine weitere Komplexitätsebene hinzu. Das LPDP in der Türkei regelt grenzüberschreitende Datenübermittlungen, indem es grundsätzlich eine ausdrückliche Einwilligung verlangt, außer unter bestimmten Bedingungen. Eine erhebliche Herausforderung ergibt sich jedoch daraus, dass der Datenschutzrat (DPB) keine endgültige Liste von Ländern veröffentlicht hat, die als Länder mit ausreichenden Datenschutzmaßnahmen gelten.

Dieses Fehlen bedeutet, dass die üblicherweise nach Artikel 9/2 LPDP zulässigen Ausnahmen nicht anwendbar sind, einschließlich für Länder, die der Datenschutz-Grundverordnung (DSGVO) unterliegen, was grenzüberschreitende Datenübermittlungen erschwert. Weitere Informationen finden Sie in unseren früheren Artikeln zu diesem Thema hier.

3. Jüngere Verfassungsgerichtsentscheidung unterstreicht die Bedeutung der Due Diligence

Im Bereich von Fusionen und Übernahmen kann die Bedeutung einer gründlichen Due Diligence nicht überschätzt werden, insbesondere wenn die Zielgesellschaft einer Hochrisiko-Datengruppe angehört. Solche Unternehmen, etwa Hotels, Tourismusagenturen und Krankenhäuser, verarbeiten große Mengen personenbezogener Daten und sind anfällig für Datenschutzverletzungen und Rechtsverstöße. Die Folgen solcher Verstöße werden bei M&A-Transaktionen besonders kritisch, da sie zuvor möglicherweise nicht vom Datenschutzrat erkannt wurden. Dieses Versäumnis kann nach dem Erwerb erhebliche Herausforderungen verursachen, wenn der neue Eigentümer wegen Handlungen des Rechtsvorgängers mit Verwaltungsbußgeldern konfrontiert wird.

Ein einschlägiger Fall, der diese Risiken veranschaulicht, betrifft die Erfahrung einer globalen Hotelkette in der Türkei. Der vom türkischen Verfassungsgericht entschiedene Fall verdeutlicht die Komplexität und die rechtlichen Folgen solcher Konstellationen.

a. Überblick über den Fall und Hintergrund

Die Entscheidung des Verfassungsgerichts vom 12.10.2023 (Nr. 2020/7518), veröffentlicht im Amtsblatt am 15.12.2023, betraf ein von der Datenschutzbehörde (DPA) gegen eine globale Hotelkette verhängtes Verwaltungsbußgeld. Die DPA sanktionierte die Kette wegen der unterlassenen Sicherstellung der Datensicherheit, was zugleich in die Eigentumsrechte des Unternehmens eingriff.

Der Sachverhalt nahm am 08.09.2018 seinen Ausgang, als eine Datenschutzverletzung in der Gäste-Reservierungsdatenbank eines 2016 erworbenen Unternehmens entdeckt wurde. Diese Verletzung betraf personenbezogene Daten von 500 Millionen Kunden und war seit Beginn des unbefugten Zugriffs im Juli 2014 unentdeckt geblieben. Der neue Eigentümer der Hotelkette meldete die Verletzung 2019 der DPA, da türkische Staatsangehörige betroffen waren.

b. Entscheidung der DPA und Bußgeld

Nach sorgfältiger Prüfung entschied die DPA, gegen die Hotelkette ein Bußgeld in Höhe von insgesamt 1.450.000 TRY zu verhängen. Dieses setzte sich zusammen aus 1.100.000 TRY wegen unterlassener Datensicherung gemäß Artikel 12/1 des Datenschutzgesetzes (PDPL) und 350.000 TRY wegen verspäteter Meldung der Datenschutzverletzung (Artikel 12/5 PDPL). Die DPA berücksichtigte das Argument der Hotelkette nicht, dass die Verletzung vor dem Erwerb stattgefunden habe, und behandelte das erworbene Unternehmen daher nicht als maßgeblichen Verantwortlichen.

c. Rechtliche Anfechtung und Gerichtsentscheidungen

Die Hotelkette focht dieses Bußgeld an und machte mehrere Punkte geltend, darunter die fehlerhafte Anwendung des PDPL, eine unzureichende Mitteilung der DPA-Entscheidung und die Verhängung des Bußgelds am oberen Schwellenwert. Ihr zentrales Argument war jedoch, dass die Verstöße vor dem Erwerb und während der Amtszeit des früheren Eigentümers erfolgt seien.

Daraus folgerte sie, dass solche Sanktionen aufgrund des Grundsatzes der Individualität von Strafen gegen diejenige Partei verhängt werden müssten, die zum Zeitpunkt der Verletzung verantwortlich gewesen sei. Die Hotelkette argumentierte ferner, dass sie die Verletzung nicht verspätet an die DPA gemeldet habe, da im LPDP keine definierten Fristen oder Zeitlimits für solche Meldungen und Erklärungen vorgesehen seien.

Das 1. Friedensstrafgericht Istanbul-Anatolien und anschließend das 2. Friedensstrafgericht Istanbul-Anatolien prüften den Rechtsbehelf und wiesen diese Einwände zurück, wodurch sie die Entscheidung der DPA bestätigten. Die Gerichte gaben jedoch keine ausreichende Begründung für ihre Entscheidungen und lieferten nicht einmal eine tragfähige Rechtfertigung dafür, weshalb der Rechtsbehelf zurückgewiesen wurde.

d. Entscheidung des Verfassungsgerichts

Der Fall wurde später von der Hotelkette dem Verfassungsgericht vorgelegt. Das Verfassungsgericht betonte im Rahmen seiner Prüfung das Eigentumsrecht, die Notwendigkeit verhältnismäßiger Eingriffe in solche Rechte und das Erfordernis detailliert begründeter Entscheidungen, aus denen hervorgeht, weshalb ein bestimmtes Ergebnis von den zuständigen Gerichten getroffen wurde. Das Verfassungsgericht sah daher in der fehlenden ordnungsgemäßen Würdigung der Einwände der Hotelkette gegen die DPA-Entscheidung eine Verletzung dieses Rechts. Das Gericht ordnete eine erneute Verhandlung an und betonte die Notwendigkeit einer wirksamen gerichtlichen Kontrolle von DPA-Entscheidungen.

e. Künftige Auswirkungen auf Datenschutz bei M&A-Transaktionen

Dieser Fall unterstreicht die zentrale Rolle wirksamer gerichtlicher Kontrolle bei Entscheidungen über Verwaltungsbußgelder im Zusammenhang mit Datenschutz. Die Entscheidung unterstützt seit Langem geäußerte Kritik an der Unzulänglichkeit der Friedensstrafgerichte bei der Behandlung solcher Angelegenheiten und spricht für die Zuständigkeit von Verwaltungsgerichten.

Gleichwohl ist an dieser Stelle wichtig zu betonen, dass die Entscheidung des Verfassungsgerichts nicht bedeutet, dass das von der DPA verhängte Verwaltungsbußgeld rechtswidrig war; vielmehr stellte das Gericht tatsächlich fest, dass das Bußgeld innerhalb der gesetzlichen Parameter lag. Stattdessen gab das Gericht dem Antrag wegen der unzureichenden Begründungen und Entscheidungen der erstinstanzlichen Gerichte statt.

Die Auswirkungen dieser Entscheidung auf M&A-Transaktionen sind tiefgreifend und weitreichend. Da das Verfassungsgericht tatsächlich feststellte, dass von der DPA verhängte Bußgelder innerhalb der Grenzen des Gesetzes liegen, hebt die Entscheidung die entscheidende Bedeutung einer sorgfältigen Due Diligence bei der Bewertung der Datenschutzpraktiken von Zielgesellschaften hervor. Dies ist besonders wichtig für Unternehmen in Hochrisiko-Datengruppen, bei denen potenzielle Verstöße erhebliche rechtliche und finanzielle Folgen haben können.

Die in diesem Fall verhängten erheblichen Bußgelder dienen als deutliche Erinnerung an die möglichen Konsequenzen. Erwerber sind daher gehalten, die Datensicherheitsmaßnahmen potenzieller Zielgesellschaften streng zu prüfen. Dies hilft nicht nur bei der Risikominderung, sondern gewährleistet auch die strikte Einhaltung von Datenschutzgesetzen und schützt den Erwerber vor möglichen Haftungen und Bußgeldern.

4. Verwaltungsbußgelder bei Datenschutzverstößen

Der jüngste Fall vor dem Verfassungsgericht zeigt die erhebliche Rolle, die Verwaltungsbußgelder bei Datenschutzverstößen spielen; je nach Art des Verstoßes können sie bis zu 10.000.000 TRY betragen. Die Datenschutzbehörde verfügt bei der Festlegung der konkreten Bußgeldhöhe über Ermessensspielraum und berücksichtigt Faktoren wie die Besonderheiten des Einzelfalls, die Art der Rechtsverletzung und die wirtschaftliche Lage des Täters, was Anfechtung und Aufhebung äußerst schwierig macht.

Für M&A-Transaktionen ist es entscheidend zu wissen, dass Verstöße gegen Datenschutzvorschriften zu hohen Bußgeldern führen können. In bestimmten Fällen können diese Bußgelder 3 Millionen TRY pro Verstoß oder Fall der Nichteinhaltung überschreiten. Dies unterstreicht die Bedeutung sicherzustellen, dass die Zielgesellschaft Datenschutzgesetze strikt einhält, um solche Sanktionen zu vermeiden.

Verwaltungsbußgelder können gerichtlich angefochten werden, und jüngere Gerichtsentscheidungen deuten darauf hin, dass einige von der DPA verhängte Bußgelder die Art der Verstöße oder die wirtschaftlichen Verhältnisse der Verantwortlichen/Auftragsverarbeiter möglicherweise nicht ausreichend berücksichtigen. Folglich wächst die Betonung der Notwendigkeit einer fairen und verhältnismäßigen Verhängung von Bußgeldern, die die Besonderheiten jedes Einzelfalls widerspiegelt. Wie in der vorherigen Fallbesprechung hervorgehoben, kann die Anfechtung solcher Bußgelder ein langwieriger Prozess sein. Selbst wenn ein Bußgeld gerichtlich angefochten wird, muss das sanktionierte Unternehmen zunächst zahlen und die gerichtliche Entscheidung über eine mögliche Erstattung abwarten, was erhebliche Herausforderungen mit sich bringt.

5. Sicherstellung der Compliance während und nach M&A-Transaktionen

Aufgrund der bestehenden Risiken ist die Sicherstellung der Einhaltung von Datenschutzgesetzen während und nach Fusionen und Übernahmen (M&A) entscheidend, um potenzielle Verwaltungsbußgelder und rechtliche Probleme zu vermeiden. Dies umfasst mehrere zentrale Strategien:

  1. Strenge Due Diligence: Durchführung gründlicher Prüfungen der Datenschutzrichtlinien und -praktiken der Zielgesellschaft. Dies umfasst die Überprüfung ihrer Compliance-Historie, Datenverarbeitungsverfahren und etwaiger früherer Datenschutzverletzungen oder rechtlicher Probleme im Zusammenhang mit Datenschutz.
  2. Umfassende Datenaudits: Bewertung der im M&A-Prozess übertragenen Daten, um sensible oder regulierte Daten zu identifizieren und sicherzustellen, dass sie in Übereinstimmung mit den gesetzlichen Anforderungen behandelt werden.
  3. Schulung und Training von Mitarbeitern: Schulung aller Personen, die Zugang zu sensiblen Daten haben werden, in ordnungsgemäßer Datenhandhabung und Compliance-Verfahren. Dieser Schritt ist entscheidend, um unbeabsichtigte Datenschutzverletzungen oder Nichteinhaltung zu verhindern.
  4. Implementierung robuster Datenschutzrichtlinien: Entwicklung und Umsetzung robuster Datenschutzrichtlinien, die den aktuellen rechtlichen Standards entsprechen. Diese Richtlinien sollten klar kommuniziert und in der zusammengeführten Einheit durchgesetzt werden.
  5. Regelmäßige Compliance-Überprüfungen: Nach der Fusion regelmäßige Überprüfung und Aktualisierung der Datenschutzpraktiken zur Sicherstellung fortlaufender Compliance. Dies umfasst die Beobachtung von Änderungen der Datenschutzgesetze und die entsprechende Anpassung der Richtlinien.
  6. Einbindung von Datenschutzexperten: Einbindung von Rechtsexperten oder Datenschutzbeauftragten, um laufende Beratung und Unterstützung bei der Aufrechterhaltung der Compliance bereitzustellen.

Diese Schritte tragen dazu bei, die Risiken im Zusammenhang mit datenschutzrechtlicher Nichteinhaltung zu minimieren und einen reibungslosen Übergang während und nach dem M&A-Prozess sicherzustellen.

Diese Übersetzung dient ausschließlich Informationszwecken und kann vom Originaltext abweichen.

Weiterlesen

Verwandte Insights

Diese Website ist auf wpml.org als Entwicklungsseite registriert. Wechseln Sie zu einem Produktions-Website-Schlüssel, um remove this banner.