Die Beteiligung an einem Start-up bietet für einen Corporate Investor viele Vorteile, kann aber auch dazu führen, dass er sich Compliance-Risiken einkauft. Die Compliance Due Diligence kann dieses Risiko stark vermindern, wenn ein paar zentrale Punkte berücksichtigt werden.
Beteiligt sich ein etabliertes Unternehmen an einem Start-up, so prallen in vielerlei Hinsicht Welten aufeinander. Nicht nur bei Unternehmenskultur, Hierarchien und Kreativität – auch beim Thema Compliance unterscheiden sich die beiden Partner in der Regel grundlegend. Die für Start-ups typische Risikofreude und ihr schnelles Wachstum führen dazu, dass die Ressourcen in erster Linie in die technische und wirtschaftliche Entwicklung investiert werden. Interne Kontrollsysteme sowie Rechts- und Steuerberatung werden meist nur so weit vorangetrieben, wie unbedingt nötig. Hinzu kommt, dass Compliance in Start-ups oft schwieriger umzusetzen ist als in anderen Unternehmen, denn Start-ups arbeiten dezentraler als andere Unternehmen. Das Schlagwort lautet Enterprise Agility. Unternehmerisch ist das nachvollziehbar, aber für den Corporate Investor birgt es ein Risiko, denn Compliance-Verstöße können sich konzernweit auswirken und das Image schädigen.
Ein Corporate Investor sollte sich deshalb zwei Fragen stellen, bevor er sich an einem Start-up beteiligt oder es sogar komplett übernimmt: Kaufe ich mir mit meinem Investment Compliance-Risiken und/oder -Verstöße ein? Und wie kann ich für die Zukunft die Compliance im Zielunternehmen sicherstellen? Hier wird es bei technologiebasierten Start-ups regelmäßig insbesondere auf die Bereiche Datenschutz und geistiges Eigentum ankommen.
Compliance Due Diligence und vertragliche Risikoallokation
Die Compliance Due Diligence erfasst häufig Themen wie Antikorruption, Kartellrecht und Geldwäsche. Je nach Geschäftsmodell des Zielunternehmens können weitere Bereiche hinzukommen, etwa Außenwirtschaftsrecht, Produktsicherheit, Datenschutz und gewerbliche Schutzrechte. Außerdem sollten sogenannte risikoerhöhende Umfeldfaktoren mit erhoben und berücksichtigt werden, also etwa die geografische Einordnung der Geschäftstätigkeit in Abgleich mit dem Korruptionswahrnehmungsindex, der Grad der Regulierung des Geschäftsmodells, der Anteil öffentlicher Aufträge am Gesamtgeschäftsvolumen oder die Existenz von Bargeschäften.
Die Ergebnisse der Due Diligence müssen in die Verträge einfließen, die die Beteiligung oder Übernahme regeln. Infrage kommen insbesondere Garantien der Gründer oder Verkäufer, die den Investor vor unerkannten Risiken schützen, sowie Freistellungen, die ihn von bereits bekannten Risiken entlasten. Verhaltenspflichten stellen sicher, dass zwischen der Unterzeichnung des Vertrags und seinem Vollzug keine für den Investor nachteiligen Veränderungen in die Wege geleitet werden. Und schließlich verpflichten Vollzugsbedingungen die Parteien dazu, einen vorher definierten Zustand herbeizuführen und das Unternehmen auf diesem Wege übernahme- bzw. investitionsfähig zu machen.
Compliance-Management im Start-up
Die Umsetzung eines Compliance-Systems in einem Start-up folgt anderen Regeln als in traditionellen Unternehmen. Nach den Regeln von Enterprise Agility organisieren sich Start-ups typischerweise über Wertschöpfungsketten. Diese Kennzeichen muss auch die Compliance-Organisation nachvollziehen, wenn sie das Unternehmen nicht lähmen soll. Die nötige Compliance-Struktur lässt sich am besten mit „Compliance Agility“ bezeichnen. Dabei geht es in der Hauptsache um drei Themen:
Das Unternehmen braucht eine Compliance-Kultur, denn Compliance ist in erster Linie eine Einstellung, insbesondere in dezentralen Strukturen, in denen wenig zentrale Kontrolle ausgeübt und dokumentiert wird. Dazu kommt eine Governance- und Organisationsstruktur, die dem Subsidiaritätsgrundsatz folgt und horizontale sowie vertikale Delegation klar und eindeutig regelt. Schließlich sollte die dezentrale Compliance durch Legal-Tech-Anwendungen unterstützt werden, wie etwa ein IT-basiertes Vertragsmanagement. Hier kann auch eine externe Vergabe bestimmter Compliance-Aufgaben entlasten und zusätzliche Rechtssicherheit bringen, zum Beispiel ein Hinweisgebersystem oder Geschäftspartnerprüfungen als Managed Services.
Für ein Start-up, das eine Beteiligung durch einen Corporate Investor anstrebt, ergibt sich daraus die Notwendigkeit, seine Compliance-Organisation so auszurichten, dass sie einer Compliance Due Diligence Stand hält. Außerdem sollten sowohl Investor als auch Start-up ihre Compliance so flexibel ausrichten, dass eine spätere Integration die Agilität und Innovationsstärke des Start-ups nicht gefährden.
Datenschutz
Für viele Start-ups der Digitalwirtschaft gehört der Umgang mit personenbezogenen Daten zum Kernbereich ihres Geschäftsmodells, so dass sie die 2018 in Kraft getretene DSGVO zu berücksichtigen haben. Art. 6 Abs. 1 DSGVO stellt den Grundsatz des Verbots mit Erlaubnisvorbehalt auf – für jede Verarbeitung personenbezogener Daten muss deshalb eine entsprechende Rechtsgrundlage existieren. Dazu kommen weitere Grundsätze der Datenverarbeitung sowie Dokumentations- und Rechenschaftspflichten. In digitalen Geschäftsmodellen muss nahezu jeder Schritt von der Geschäftspartnerauswahl über die Marktbearbeitung bis hin zum Kundenkontakt datenschutzrechtlich vorgedacht werden. Im Einzelfall kann eine vollständige Datenschutzfolgenabschätzung erforderlich werden.
Die Anforderungen an Organisation und Dokumentation laufen der dezentralen Struktur eines Start-ups eher zuwider. Will man also keine zentrale Stelle einrichten, die sämtliche Vorgänge der Datenverarbeitung prüft und über eine Genehmigung entscheidet, so kann die Antwort nur in der Aufgabendelegation liegen – Compliance wird dabei von verschiedenen Personen wahrgenommen und verantwortet. Die Basis dafür müssen die Vermittlung von Know-how durch Schulungen und Unterlagen sowie der Einsatz von IT-Tools oder externen Dienstleistern bilden.
Geistige Eigentumsrechte
In vielen Start-ups spielt geistiges Eigentum eine tragende Rolle, also technische Schutzrechte, Marken, Designs, Urheberrechte oder Geschäftsgeheimnisse. Sie machen oft den Großteil des Geschäftsvermögens aus. Aus Compliance-Sicht können hier zwei Probleme zum Tragen kommen. Zum einen kann das Start-up die Rechte Dritter verletzen. Diese Gefahr besteht insbesondere bei technologiebasierten Unternehmen, weshalb hier ein höherer Sorgfaltsmaßstab anzulegen ist. Auch hier sollten interne Schulungen das nötige Problembewusstsein schärfen und Rechteverletzungen möglichst schon im Vorfeld ausschließen. Eine Überprüfung durch externe Dienstleister kann dann weitere Rechtssicherheit bringen.
Zum anderen müssten Start-ups und/oder ihre Investoren auch den Schutz der eigenen Rechte des Unternehmens im Blick haben. Häufig stellen solche Rechte das eigentliche Motiv für die geplante Übernahme/Beteiligung dar, so dass Investoren hellhörig werden, wenn sich diesbezüglich Probleme abzeichnen. Will ein Corporate Investor solche Rechte nutzen, muss sichergestellt sein, dass die Rechte dem Start-up und nicht etwa seinen Gründern/Inhabern, Arbeitnehmern, Freelancern oder sonstigen Dritten zustehen. Die Voraussetzungen des Rechteerwerbs durch das Start-up – etwa das Bestehen eines Arbeitsverhältnisses, die Entwicklung als Teil der Arbeitsaufgabe oder die Inanspruchnahme einer Erfindung nach den Vorschriften des Arbeitnehmererfindungsgesetzes – müssen lückenlos dokumentiert sein.
Partner
Standortleiter Stuttgart
Leiter Compliance & Wirtschaftsstrafrecht
Theodor-Heuss-Straße 5
70174 Stuttgart
tel: 0711 781923418
bfedermann@kpmg-law.com
Partner
Standortleiter Nürnberg
Bahnhofstraße 30
90402 Nürnberg
tel: : +49 911 8009299 55
chensel1@kpmg-law.com
© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.
KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.