(Stefan Höfling und Jonathan Meisse)
Im Zuge der Covid-19-Krise und ihrer Nachwirkungen sind zahlreiche Unternehmen vor die Herausforderung gestellt, Konsolidierungsmaßnahmen zu treffen oder vorzuziehen. Geschäftsprozesse sind, um die Wettbewerbsfähigkeit zu erhalten, deutlich schneller zu digitalisieren als ggf. bisher geplant. Dies gilt z.B. für eine kurzfristige Errichtung einer Infrastruktur für das „Homeoffice“ oder auch das Online-Angebot von Waren und Dienstleistungen des eigenen Unternehmens. Für viele Unternehmen ist diese (beschleunigte) Transformation spätestens jetzt zur Aufrechterhaltung ihrer wirtschaftlichen Tätigkeit, und um nicht den Anschluss an den Wettbewerb zu verlieren, unabdingbar. Bei der Umsetzung offenbaren sich dabei mancherorts jedoch, vielfach schon in ihren Ursachen länger bestehende, Effizienz- und Digitalisierungsdefizite.
Eine Krise führt betroffenen Unternehmen einerseits vorhandenen Nachholbedarf, andererseits aber auch die großen Chancen einer jetzt forcierten digitalen Transformation vor Augen. Diese betrifft z.B. die Sicherung von Wettbewerbsvorteilen oder die Vermeidung von Nachteilen durch verbesserte Effizienz von Prozessen, Stabilitätsgewinne durch eine – gegenüber umweltbedingten physischen und lokalen Einflüssen, wie z.B. den Auswirkungen der Covid-19-Krise auf den stationären Einzelhandel widerstandsfähige – operative und digitale Geschäftsstruktur sowie den Absatz von Waren und Dienstleistungen online und über Landesgrenzen hinaus. Ebenso ist diese digitale Transformation auch für die Steigerung der Attraktivität als Arbeitgeber z.B. durch zeitgemäße Arbeitsmodelle im andauernden, gerade von der Digitalisierung betroffenen sog. „War-for-Talents“ relevant. Die Bewältigung der Herausforderungen eröffnet Chancen, die es für Unternehmen jetzt zweifelsohne zu nutzen gilt.
Beschleunigte Digitalisierung als Stresstest für die digitale Compliance
Gerade eine beschleunigte Digitalisierung macht es allerdings erforderlich, auch die mit ihr einhergehenden rechtlichen Fragen rasch zu beantworten und unter Zugrundelegung der jeweils neusten Rechtslage die Einhaltung gesetzlicher Vorgaben, beispielsweise zum Datenschutz oder zum Verbraucherschutz im Onlinehandel, sicherzustellen. Im Zuge dessen treten auch hier oftmals schon länger bestehende Defizite zutage. So rückte zwar z.B. die Datenschutzgrundverordnung („DSGVO“) spätestens seit ihrer Geltung ab Ende Mai 2018 datenschutzrechtliche Themen verstärkt in den Fokus. Es zeigt sich jedoch, dass nach wie vor viele Unternehmen aus unterschiedlichsten Gründen noch keine ausreichenden Compliance-Vorkehrungen in diesem, mit der Digitalisierung eng verknüpften, Rechtsbereich getroffen haben. Daher sollte spätestens im Zuge von infolge der Covid-19-Krise angestoßener Digitalisierungs- und Konsolidierungsprozesse auch die „digitale Compliance“ im Unternehmen insgesamt nochmals einer Revision unterzogen werden, um das eigene Unternehmen zukunftsfest zu machen. Dies gilt sowohl hinsichtlich der Implementierung einer „digitalen Compliance“ überhaupt als auch ggf. hinsichtlich einer ersten Nachjustierung von in der Vergangenheit getroffenen Maßnahmen, z.B. wegen neuer Rechtsprechung im Zusammenhang mit den relevanten Rechtsgrundlagen. So hat zum Beispiel der Bundesgerichtshof nach der Vorlage eines Sachverhalts beim Europäischen Gerichtshof und dessen darauffolgender Rechtsprechung jüngst im Mai 2020 die Anforderungen an die Einwilligung von Besuchern von Internetseiten in die Verwendung von Cookies konkretisiert (vgl. BGH, Urteil vom 28. Mai 2020, Az. I ZR 7/16, „Cookie-Einwilligung II“; EuGH, Urteil vom 1. Oktober 2019, Az. C673/17). Infolge der neuen Rechtsprechung dürften nicht wenige zuvor implementierter Cookie-Banner einer Revision bedürfen.
E-Commerce: Einstieg in den Onlinehandel
Angetrieben durch den krisenbedingten Einbruch der Umsätze im konventionellen Warenvertrieb beginnen oder planen zumindest zahlreiche Unternehmen, ihre Waren komplementär zu ihrem bisherigen Vertriebsmodell auch online, entweder über die großen, allseits bekannten Plattformen, oder aber über firmeneigene E-Commerce-Websites, direkt an den Endkunden zu vertreiben.
Bei der Eröffnung eines eigenen Webshops stellen sich auch heute noch zahlreiche Fragen, deren Beantwortung teils erhebliche rechtliche Auswirkungen hat. Deshalb sollten schon zu Beginn bei der operativen Gestaltung und Umsetzung des eigenen Onlinehandels nicht allein kaufmännische Erwägungen in Betracht gezogen werden, sondern diese immer auch im Zusammenspiel mit den jeweils rechtlichen Anforderungen analysiert und abgewogen werden. Dies gilt umso mehr, wenn das eigene Unternehmen z.B. mit einem eigenen Webshop erstmals mit dem direkten Vertrieb an den Endverbraucher in Kontakt kommt. Hier gilt es im Vorfeld, rechtliche Themen, z.B. Verbraucherschutzrechte, die Jurisdiktion bei grenzüberschreitendem Warenabsatz etc. zu beantworten und möglichst früh auch in die kaufmännische Abwägung miteinzubeziehen, z.B.:
- Von wo aus soll eine E-Commerce-Website erreichbar sein; richtet sich das Angebot nur an nationale Kunden oder soll ein grenzüberschreitendes Angebot eröffnet werden?
- Welche nationalen Vorschriften sind in den verschiedenen Jurisdiktionen einzuhalten, zum Beispiel in Bezug auf den Verbraucherschutz im Onlinehandel und die Produktsicherheit?
- Wie sollten demnach die Nutzungs- und Geschäftsbedingungen für eine E-Commerce-Website gestaltet werden?
- Welche personenbezogenen Daten von Online-Kunden werden auf welche Weise, wo und durch wen verarbeitet? Erfolgt eine Verarbeitung solcher Daten im Zusammenhang mit der Website zu weiteren, zum Beispiel zu Marketingzwecken? Wird auf der Website zu diesem Zweck Drittanbietersoftware, wie beispielshalber „Facebook Custom Audiences“ oder „Google AdWords“, eingebunden? Werden die Marken Dritter verletzt?
- Kommt es zum Transfer von personenbezogenen Daten in Drittstaaten mit abweichender Datenschutzjurisdiktion, und welche Maßnahmen sind zu treffen, um dann den jeweiligen datenschutzrechtlichen Anforderungen zu genügen? In diesem Zusammenhang ist z.B. auch die jüngste Rechtsprechung des EuGHs vom 16. Juli 2020 zum sog. „Privacy Shield“ (Rs. C-311/18) von hoher Relevanz (vgl. hierzu unseren detaillierten Bericht vom 23. Juli 2020 – Europäischer Gerichtshof kippt „Privacy Shield“ – Was nun?).
- Welche Cookies werden auf einer E-Commerce-Website verwendet und welche rechtlichen Anforderungen werden an die Cookie-Nutzung gestellt?
Die Vielzahl der relevanten Aspekte, die sowohl in der rechtlichen als auch der technischen Umsetzung einer E-Commerce-Website und damit letztlich auch in der kaufmännischen Abwägung Niederschlag finden müssen, macht den Einstieg in den Onlinehandel für Unternehmen zu einer nicht zu unterschätzenden Herausforderung. Die individuellen Unterschiede angebotener Waren und Dienstleistungen sowie die individuellen unternehmerischen Voraussetzungen und operativen Geschäftsziele machen eine individuelle operative, geschäftliche und rechtliche Analyse sowie die dauernde Begleitung eines solchen Projektes unabdingbar. Bei fehlerhafter Umsetzung drohen neben dem kaufmännischen Risiko erhebliche Sanktionen bei Rechtsverstößen sowie sonstige rechtliche Nachteile. Solche sind von Beginn an möglichst auszuschließen bzw. im Rahmen einer fundierten Risikoabwägung auf ein vertretbares Maß zu minimieren.
Ein Projekt kann dabei zugleich oftmals den Weg in die Implementierung einer „digitalen Compliance“ im Unternehmen insgesamt weisen. Nicht selten fördern die berührten Fragen zutage, was ohnehin, und z.B. nicht nur in Bezug auf einen neu eingeführten eigenen Onlinehandel, schon länger des Augenmerks bedurft hätte.
Unternehmenskonsolidierung: Folgen für die digitale Compliance und den Datenschutz
Infolge der Krise oder aus anderen Gründen werden bei vielen Unternehmen für die nahe Zukunft Konsolidierungsmaßnahmen geplant. Die aktuelle Lage erhöht dabei auch bei namhaften Unternehmen bisweilen die Dringlichkeit der Umsetzung von Lösungen von schon vorher vorhandenen Problemen.
Konsolidierende Maßnahmen können z.B. in der Zusammenlegung von Funktionsbereichen eines Konzerns in „Servicecentern“ bestehen, wie einer zentralen konzernweiten Personalabteilung oder Marketingeinheit. Eine andere Maßnahme stellt auch die Fusion kleinerer Konzerngesellschaften dar, wenn dadurch bspw. Doppelstrukturen abgebaut werden können. Auch das Outsourcing von bisher unternehmensintern gesteuerten Resorts und Dienstleistungen, wie z.B. der Betrieb der firmeneigenen IT-Infrastruktur, des Vertragsmanagements und/oder der allgemeinen Datenspeicherung, -verarbeitung und -sicherung, gehören dazu. Nicht zuletzt wird es im Zuge der Krise ggf. auch infolge der zu erwartenden Marktkonsolidierung verstärkt zu Übernahmen nicht mehr rentabler Unternehmen durch Wettbewerber oder Dritte kommen, die damit typischerweise auch einen rechtmäßig und effizient zu implementierenden Datenbestand der übernommenen Unternehmen erwerben.
Solche Konsolidierungsprozesse haben – teilweise erhebliche – Auswirkungen auf die digitale Struktur und Datenverarbeitung im eigenen Unternehmen. Damit entstehen neue Herausforderungen an die Compliance. Dies gilt insbesondere, aber nicht nur, unter datenschutzrechtlichen Aspekten. Es stellen sich hier z.B. folgende Fragen:
- Ist die Verarbeitung von personenbezogenen Daten in einer neuen Struktur noch von demselben Zweck gedeckt, für den die Daten ursprünglich erhoben wurden?
- Hat sich die Person des Datenverarbeitenden verändert, zum Beispiel weil das ursprüngliche Unternehmen in einem anderen aufgegangen ist?
- Decken für die Verarbeitung einstmals eingeholte Einwilligungserklärungen von Betroffenen die Fortsetzung der Verarbeitung in einer neuen Struktur?
- Welche Regeln sind beim Outsourcing von Datenverarbeitungen zu beachten?
- Welche zusätzlichen Anforderungen sind ggf. in einer neuen Unternehmensstruktur zu erfüllen; muss etwa ein Datenschutzbeauftragter benannt oder ein Verzeichnis über Datenverarbeitungstätigkeiten geführt werden?
- Dürfen Daten der Mitarbeiter nach einer Unternehmensübernahme ohne weiteres weiterverwendet werden?
Werden z.B. die vorstehenden Fragen bei Konsolidierungsmaßnahmen nicht beantwortet, kann dies dazu führen, dass selbst zuvor rechtlich zulässige Datenverarbeitungen unzulässig werden. Besondere Probleme birgt der Umstand, dass im Nachhinein oft nicht mehr einfach aufzuklären ist, woher z.B. Daten ursprünglich stammen, welche Einwilligungen eingeholt wurden etc. Im schlimmsten Fall droht dann, dass die gesamten Daten, z.B. der gesamte Kundenstamm eines Unternehmens – nicht selten der wertvollste Unternehmensgegenstand überhaupt – nicht mehr in rechtlich zulässiger Weise verwendet werden dürfen.
Der angeregte Beschleunigungseffekt in der Umsetzung darf nicht dazu führen, dass Maßnahmen nur „halbherzig“ oder „nicht zu Ende gedacht“ implementiert werden. Das Risiko nachteiliger wirtschaftlicher oder rechtlicher Folgen bei einer fehlerhaften, zu hastigen Umsetzung ist evident.
Datenübernahme bei Unternehmenskäufen: Due Diligence
Wer plant, Unternehmen in der Krise zu übernehmen, muss im Rahmen einer Due Diligence sorgfältig prüfen, ob übernommene Datenbestände, z.B. Kunden- und Beschäftigtendaten, in der Vergangenheit rechtmäßig erhoben wurden, verarbeitet werden durften und ob und wie die Zulässigkeit der zukünftigen Weiterverarbeitung sichergestellt werden kann. Es stellen sich dieselben Fragen, wie bei einer Unternehmenskonsolidierung. Andernfalls läuft ein Erwerber Gefahr, einen wertbildenden Teil des Unternehmens, miterworbenen Unternehmensgegenstand im Nachhinein nicht wertschöpfend gebrauchen zu dürfen. Es drohen erhebliche Haftungsrisiken. So sieht z.B. die DSGVO Bußgelder in Höhe von bis zu 4% des unternehmensweiten Jahresumsatzes für Verstöße vor. Wird für Zwecke der Bußgeldzumessung dem Unternehmensbegriff gefolgt, welcher auch im Kartellrecht Anwendung findet – wofür auf Basis der relevanten Rechtsgrundlagen manches spricht – so käme als Bemessungsgrundlage der Gesamtumsatz des Erwerbers bzw. des Unternehmensverbundes/Konzerns, dem der Erwerber angehört, zum Tragen. Selbst wenn also ein datenschutzrechtlicher Verstoß „nur“ in kleinen, zugekauften Unternehmen geschieht, drohen dem Käufer u.U. massive Geldbußen. Es gilt somit, derartige Risiken rechtzeitig zu identifizieren, dem Verkäufer geeignete Garantien bzw. Einstandspflichten abzuverlangen, einen Teil des Kaufpreises als Sicherheit zurückzubehalten etc.
Fazit
Es zeigt sich, dass ein beschleunigter Digitalisierungs- und Konsolidierungsschub in Unternehmen eine möglichst frühzeitige Implementierung bzw. ein Update der „digitalen Compliance“ erfordert. Dabei empfiehlt sich in Anbetracht der individuellen Anforderungen jedes einzelnen Unternehmens, insbesondere zur Vermeidung frustrierter Aufwendungen, eine frühzeitige rechtliche und wirtschaftliche Analyse etwaiger Auswirkungen von Non-Compliance mit insbesondere den daten- und verbraucherschutzrechtlichen Vorschriften, um die Einhaltung rechtlicher Rahmenbedingungen wirtschaftlich effizient zu gewährleisten und die Folgen von Verstößen in kaufmännisch vertretbarem Rahmen zu halten.
Zudem sollte nicht verkannt werden, welche Auswirkungen ein vorbildliches proaktives Verhalten z.B. auch auf die positive Wahrnehmung eines Unternehmens im Markt haben kann. Ein vorbildlicher Umgang mit personenbezogenen Daten, die transparente Einhaltung von Verbraucherschutzregeln u.a. kann im Rahmen einer mittelfristigen Prognose erheblich zu nachhaltigem wirtschaftlichen Erfolg und durch ein hohes Ansehen des Unternehmens und damit auch dessen Produkten und Dienstleistungen in der öffentlichen Wahrnehmung beitragen.
Es bedarf jeweils einer tatsächlichen und rechtlichen Würdigung von geplanten oder schon getroffenen Maßnahmen und deren operativer und technischer Umsetzung im Einzelfall. Die aufgezeigten Parameter haben keinen Anspruch auf Vollständigkeit und ersetzen daher keine individuelle Rechtsberatung. Für Ihre Fragen und Anregungen rund um das Thema stehen wir Ihnen gerne jederzeit zur Verfügung.
