Im Rahmen der Due Diligence müssen Unternehmen eine Vielzahl sensibler Dokumente offenlegen. Viele dieser Dokumente enthalten jedoch Informationen, die für den Prüfprozess nicht relevant sind oder – was noch wichtiger ist – die dem Datenschutz unterliegen, insbesondere der DSGVO. Dazu gehören personenbezogene Daten (Namen, Geburtsdaten, Adressen) oder sensible Geschäftsgeheimnisse, die nicht an externe Parteien weitergegeben werden dürfen.
Die Schwärzungsfunktion (auch Redlining genannt) im Virtuellen Datenraum (VDR) ist das unverzichtbare Werkzeug, um die Vertraulichkeit und die Compliance (insbesondere die DSGVO-Konformität) zu sichern, während gleichzeitig die notwendige Transparenz für die Transaktion gewährleistet wird.
1. Warum Schwärzung notwendig ist
Das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt, dass nur die Daten verarbeitet werden dürfen, die für den Zweck (hier: die Due Diligence) unbedingt erforderlich sind.
Schutz personenbezogener Daten: In Arbeitsverträgen, Gehaltslisten oder Kundenakten müssen Namen, private Kontaktdaten oder Sozialversicherungsnummern geschwärzt werden, bevor sie in den Datenraum gelangen.
Schutz von Geschäftsgeheimnissen: Details zur Produktkalkulation oder zu spezifischen Lieferantenpreisen, die nicht Teil des Deals sind, können ebenfalls geschwärzt werden, um die Wettbewerbsfähigkeit zu sichern.
Einhaltung rechtlicher Vorgaben: In manchen Jurisdiktionen kann die unkontrollierte Weitergabe bestimmter Daten rechtlich untersagt sein.
2. Die sichere Schwärzungsfunktion im VDR
Die Schwärzung muss technisch absolut zuverlässig sein. Das bloße Überdecken von Text mit einem schwarzen Balken in einem herkömmlichen Bildbearbeitungsprogramm ist nicht sicher, da der Text im digitalen Layer oft noch lesbar ist.
Ein professioneller Datenraum bietet daher folgende Funktionen:
Permanente, Layer-basierte Schwärzung: Die Schwärzung muss den Text nicht nur überdecken, sondern den darunter liegenden digitalen Text dauerhaft und irreversibel entfernen. Die geschwärzte Information muss aus der Datei gelöscht werden.
Volltextsuche-Integrität: Der VDR muss sicherstellen, dass die Volltextsuche (OCR) die geschwärzten Wörter nicht mehr findet.
Massen-Schwärzung: Bei sehr großen Datenmengen (z. B. Hunderte von Mitarbeiterverträgen) sollte der VDR die Möglichkeit bieten, automatisch nach bestimmten Mustern (z. B. Sozialversicherungsnummern) oder Stichworten zu suchen und diese zur Schwärzung vorzuschlagen.
3. Effizienter Workflow und Kontrolle
Die Schwärzungsfunktion ist eng mit der Nutzerrechteverwaltung verbunden:
Administrator-Kontrolle: Nur autorisierte Administratoren oder Content Manager sollten die Berechtigung zur Schwärzung haben.
Versionskontrolle: Das Originaldokument bleibt im Datenraum für interne Zwecke erhalten, während eine neue, geschwärzte Version für die externen Prüfer freigegeben wird. Die Versionskontrolle muss beide Zustände sicher dokumentieren.
Audit-Trail: Jede Schwärzung und jede Freigabe der geschwärzten Version muss lückenlos im Audit-Trail protokolliert werden.
4. Fazit
Die Schwärzungsfunktion ist ein Pflicht-Tool für jeden Datenraum, der im deutschen und europäischen Raum genutzt wird. Sie ermöglicht es Unternehmen, die notwendige Transparenz für eine Transaktion zu schaffen, ohne dabei die strengen Anforderungen des Datenschutzes und des Geheimnisschutzes zu verletzen. Die sichere, permanente und nachvollziehbare Schwärzung ist somit ein wesentlicher Pfeiler der Compliance und Datensicherheit im VDR.