Die datenschutzrechtliche Due Diligence: Ein praxisorientierter Leitfaden

Der vorliegende Beitrag ist an Personen gerichtet, die sich mit der Prüfung der datenschutzrechtlichen Compliance von Unternehmen, insbesondere im Zuge von M&A-Transaktionen, befassen. Dem Leser soll ein Leitfaden an die Hand gegeben werden, mit dem die aus Sicht der Autoren wichtigsten Punkte systematisch abgefragt und geprüft werden können. Die Prüfpunkte sind nach Themenkreisen gegliedert und mit Red Flags ergänzt, wie sie nach Erfahrung der Autoren bei datenschutzrechtlichen Due Diligence-Prüfungen häufig identifiziert werden. Grundsätzlich richtet sich dieser Leitfaden nach dem Standard der EU-Datenschutz- Grundverordnung (DSGVO). Wo sinnvoll wird auch auf das geltende und künftige Schweizer Recht (DSG und revDSG) Bezug genommen, insbesondere bei den Ausführungen zur grenzüberschreitenden Datenübermitt- lung. Zu beachten ist, dass das geltende DSG einen geringeren Datenschutzstandard als die DSGVO aufweist, aber im Gegensatz zur DSGVO auch die Personendaten von juristischen Personen schützt. Mit der Revision des DSG wird ein dem der DSGVO gleichwertiger Schutzstandard eingeführt, aber gleichzeitig auf den Schutz von Personendaten juristischer Personen verzichtet.