Da­ten­räu­me: Alles über digitale und analoge Data Rooms

In Da­ten­räu­men können Un­ter­neh­men anderen Firmen ver­trau­li­che Dokumente zur Verfügung stellen. Data Rooms kommen bei­spiels­wei­se vor Fusionen, Verkäufen oder anderen Ge­schäfts­ab­schlüs­sen zum Einsatz. Un­ter­schie­den wird dabei zwischen digitalen und orts­ge­bun­de­nen Da­ten­räu­men.

Die Praktik der Da­ten­räu­me stammt aus dem Bereich der Due-Diligence-Prüfung. Diese be­schreibt eine sorg­fäl­ti­ge Prüfung beim Kauf eines Un­ter­neh­mens, von Un­ter­neh­mens­be­tei­li­gun­gen, einer Immobilie oder vor einem Bör­sen­gang. Beide Parteien, also Verkäufer und Käufer, un­ter­su­chen dabei alle vor­han­de­nen Daten und Angaben, um Risiken und Probleme vor dem Kauf zu iden­ti­fi­zie­ren und möglichst aus­zu­räu­men. Zu diesem Zweck werden Da­ten­räu­me ein­ge­setzt.

Ur­sprüng­lich handelte es sich dabei um tat­säch­lich physische Da­ten­räu­me, in denen die beiden Parteien sowie unter Umständen Externe wie Steuer- und Un­ter­neh­mens­be­ra­ter und -be­ra­te­rin­nen oder Wirt­schafts­prü­fer und -prü­fe­rin­nen alle vor­han­de­nen Un­ter­la­gen sorg­fäl­tig und ohne Ein­schrän­kun­gen oder äußere Ab­len­kun­gen über­prü­fen konnten. Da diese Data Rooms al­ler­dings orts­ge­bun­den sind, gibt es mitt­ler­wei­le auch digitale Da­ten­räu­me, die eine ähnliche Funktion erfüllen und dabei der Glo­ba­li­sie­rung und den ver­än­der­ten An­sprü­chen der Ge­schäfts­welt gerecht werden. Ziel eines jeden digitalen Da­ten­raums ist es, beiden Parteien einen fairen und un­ein­ge­schränk­ten Zugang zu allen wichtigen Do­ku­men­ten zu bieten und gleich­zei­tig die hin­ter­leg­ten Daten vor un­er­laub­ten Zugriffen zu schützen.

Da­ten­räu­me lassen sich also in zwei Gruppen un­ter­tei­len. Teilweise gibt es zwar Über­schnei­dun­gen und Son­der­fäl­le, die gängigen Be­zeich­nun­gen für Data Rooms sind al­ler­dings folgende:

Die ur­sprüng­li­chen Da­ten­räu­me waren physische Data Rooms, zu denen alle be­rech­tig­ten Be­tei­lig­ten Zugang erhielten. Auch heute finden diese Da­ten­räu­me nach wie vor Ver­wen­dung, da sie zum einen den per­sön­li­chen Kontakt er­mög­li­chen und zum anderen sicher vor Hacking und anderen digitalen An­griffs­for­men sind. Häufig werden Da­ten­räu­me an einem neutralen Ort ein­ge­rich­tet, um maximale Trans­pa­renz und Aus­ge­wo­gen­heit zu ge­währ­leis­ten. Diese Data Rooms gibt es bei­spiels­wei­se im Büro einer be­tei­lig­ten An­walts­kanz­lei. Sämtliche re­le­van­ten Un­ter­la­gen werden dann für die Dauer des Due-Diligence-Ver­fah­rens in diesem Datenraum auf­be­wahrt und von allen be­rech­tig­ten Personen genau überprüft. Über die genauen Regeln ver­stän­di­gen sich die Parteien im Vorfeld.

Die Praktik der orts­ge­bun­de­nen Da­ten­räu­me ist al­ler­dings nicht für alle Ge­le­gen­hei­ten vor­teil­haft. Gerade wenn zwei Parteien räumlich von­ein­an­der getrennt sind und viel­leicht in ver­schie­de­nen Ländern oder sogar Kon­ti­nen­ten agieren, führt der Einsatz eines phy­si­schen Da­ten­raums zu Problemen und eventuell massiven Ver­zö­ge­run­gen. Aus diesem Grund setzen viele Un­ter­neh­men mitt­ler­wei­le auf virtuelle Da­ten­räu­me. Diese erfüllen prin­zi­pi­ell dieselben An­for­de­run­gen wie orts­ge­bun­de­ne Räume.

Bei digitalen Da­ten­räu­men steht der Si­cher­heits­aspekt an erster Stelle. Die zum Einsatz kommende Cloud-Lösung muss si­cher­stel­len können, dass lediglich be­rech­tig­te Personen Zugriff auf die teils sehr sensiblen In­for­ma­tio­nen haben. Weder der un­er­laub­te Zugriff von außen noch eine un­zu­läs­si­ge Ver­viel­fäl­ti­gung oder Wei­ter­ga­be von Do­ku­men­ten sind daher in einem solchen Datenraum möglich. Durch eine starke Si­cher­heits­ar­chi­tek­tur, geeignete Ver­schlüs­se­lungs­ver­fah­ren, strikte Zu­gangs­rech­te und guten Pass­wort­schutz wird si­cher­ge­stellt, dass der virtuelle Datenraum ebenso sicher und zu­ver­läs­sig ist wie sein phy­si­sches Pendant. Vorher bestimmte Ad­mi­nis­tra­to­rin­nen bzw. Ad­mi­nis­tra­to­ren erhalten außerdem um­fang­rei­che Be­fug­nis­se und bekommen eine Übersicht über sämtliche Ak­ti­vi­tä­ten innerhalb des Da­ten­raums.

Für digitale und physische Da­ten­räu­me wird eine weitere Un­ter­tei­lung vor­ge­nom­men, die sich vor allem auf den genauen Ablauf der Nutzung sowie die un­ter­schied­li­chen Be­rech­ti­gun­gen bezieht. Man spricht hierbei von einem grünen oder roten Datenraum.

Grüne Da­ten­räu­me sind grund­sätz­lich jederzeit allen an der möglichen Trans­ak­ti­on be­tei­lig­ten Personen zu­gäng­lich. Diese un­ter­schrei­ben in der Regel eine Ver­schwie­gen­heits­er­klä­rung, werden in das genaue Prozedere und die Pflichten und Ein­schrän­kun­gen ein­ge­führt und können dann auf alle Un­ter­la­gen zugreifen. Bei einem phy­si­schen Datenraum erhalten sie un­ein­ge­schränk­ten Zutritt, im digitalen Raum werden ihnen alle re­le­van­ten Zu­gangs­be­rech­ti­gun­gen und Pass­wör­ter zur Verfügung gestellt. Je nachdem, wie die Regeln im Vorfeld fest­ge­legt wurden, kann es sein, dass die An­we­sen­heit einzelner Personen und ihre Dauer in einem An­we­sen­heits­pro­to­koll hin­ter­legt wird.

Anders verhält es sich mit dem roten Datenraum. In diese Data Rooms dürfen im Nor­mal­fall nur wenige Personen eintreten. Der Zugang ist stark limitiert und wird häufig fast aus­schließ­lich Personen gewährt, die von Berufs wegen bereits zur Ver­schwie­gen­heit ver­pflich­tet sind. Das gilt u. a. für Rechts­an­wäl­tin­nen und -anwälte, Wirt­schafts­prü­fe­rin­nen und -prüfer oder Steu­er­be­ra­te­rin­nen und -berater.

Möglich ist auch ein Modell, bei dem ein roter Datenraum erst zu einem relativ späten Zeitpunkt einer Trans­ak­ti­on geöffnet wird. Zugang erhalten dann nur aus­ge­wähl­te Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter, die für die letzten Schritte auf dem Weg zu einem er­folg­rei­chen Ge­schäfts­ab­schluss benötigt werden. Dies hilft dabei, die Details einer Trans­ak­ti­on unter Ver­schluss zu halten.

Bevor ein Datenraum geöffnet werden kann, müssen einige Schritte un­ter­nom­men werden. Regeln, Inhalte sowie Nut­ze­rin­nen und Nutzer der Da­ten­räu­me werden bestimmt und von allen be­tei­lig­ten Parteien bestätigt. Dieses Vorgehen ist für virtuelle und physische Da­ten­räu­me wichtig und sorgt für einen rei­bungs­lo­sen und vor allem auch rechts­si­che­ren Ablauf. Folgende Vor­keh­run­gen sind vor der Nutzung eines Da­ten­raums besonders wichtig:

Wenn die Nutzung eines Da­ten­raums ver­ein­bart wird, sollten zunächst gültige Regeln etabliert werden, an die sich alle Parteien zu jedem Zeitpunkt halten. So werden die Abläufe einfacher und fairer für beide Seiten. Die Regeln werden un­ter­schrie­ben und sind bindend. Eine Änderung ist im Nach­hin­ein nicht mehr möglich.

Zu den gängigen Regeln in Da­ten­räu­men gehören etwa die Eta­blie­rung einer An­we­sen­heits­lis­te oder ein Verbot von Kopien und Fotos. Lediglich Ab­schrif­ten der Un­ter­la­gen sind erlaubt. Auch dürfen keine Dokumente aus dem Datenraum entnommen oder später hin­zu­ge­fügt werden. Bei orts­ge­bun­de­nen Da­ten­räu­men stellt eine neutrale Auf­sichts­per­son sicher, dass die Regeln ein­ge­hal­ten werden.

Auch der ei­gent­li­che Inhalt eines Data Rooms wird im Vorfeld unter allen be­tei­lig­ten Personen fest­ge­legt. Nor­ma­ler­wei­se gehören geprüfte und be­glau­big­te Jah­res­ab­schluss­be­rich­te, Ge­sell­schafts­ver­trä­ge oder eine aktuelle Übersicht über die Mit­ar­bei­ter und Mit­ar­bei­te­rin­nen zu diesem Inhalt. Eine in­ter­es­sier­te Partei soll so einen um­fang­rei­chen und be­last­ba­ren Überblick über das Un­ter­neh­men auf der Ab­ga­ben­sei­te bekommen. Trotzdem müssen dabei bestimmte Ge­schäfts­ge­heim­nis­se gewahrt bleiben, um ins­be­son­de­re dann keine Wett­be­werbs­nach­tei­le zu riskieren, wenn ein Verkauf nicht zustande kommt. So sind bei­spiels­wei­se Um­satz­ren­di­ten häufig nicht Teil der Un­ter­la­gen in Da­ten­räu­men. Über den genauen Umfang der In­for­ma­tio­nen beraten die Parteien und Ihre Ver­tre­te­rin­nen und Vertreter vor der Ein­rich­tung.

Welche Personen Zugang zu einem Datenraum erhalten, muss ebenfalls vorher fest­ge­legt und fest­ge­hal­ten werden. Das betrifft meistens nicht nur die be­tei­lig­ten Un­ter­neh­men selbst, sondern auch externe Be­ra­te­rin­nen und Berater sowie mög­li­cher­wei­se Sach­ver­stän­di­ge, die sie be­auf­tra­gen. Alle Be­tei­lig­ten werden vor der Due Diligence fest­ge­legt, mit den Regeln vertraut gemacht und müssen un­ter­schrei­ben, dass sie diese einhalten werden. Auch eine Ver­schwie­gen­heits­er­klä­rung gehört zum üblichen Prozedere.

Physische und virtuelle Da­ten­räu­me bieten glei­cher­ma­ßen zahl­rei­che Vorteile und sind daher nach wie vor eine gängige Methode, die bei bzw. vor Ge­schäfts­ab­schlüs­sen an­ge­wen­det wird. Da­ten­räu­me sorgen dafür, dass alle be­tei­lig­ten Parteien sich über ver­bind­li­che Regeln ver­stän­di­gen und mit denselben struk­tu­rier­ten Da­ten­sät­zen arbeiten. Durch die neutrale Umgebung sowie eine un­ab­hän­gi­ge Kon­troll­in­stanz kann es nicht zu Re­gel­ver­stö­ßen kommen. Durch die An­we­sen­heits­ver­mer­ke ist es außerdem möglich, die genauen Ar­beits­schrit­te zu re­kon­stru­ie­ren und so ef­fek­ti­ver zu arbeiten.

Digitale Da­ten­räu­me bieten dazu eine große Fle­xi­bi­li­tät und Un­ab­hän­gig­keit. Un­ter­schied­li­che Teams können gleich­zei­tig oder un­ab­hän­gig von­ein­an­der und ohne räumliche Ein­schrän­kun­gen Un­ter­la­gen über­prü­fen. Diese Daten können dabei optimal struk­tu­riert auf­be­rei­tet und zur Verfügung gestellt werden. Die Her­aus­for­de­rung ist hier eine optimale Cloud-Si­cher­heit, die ver­hin­dert, dass Unbefugte Zugang zu sensiblen In­for­ma­tio­nen erhalten.

Es gibt zahl­rei­che ver­schie­de­ne An­wen­dungs­fäl­le für digitale und analoge Da­ten­räu­me. Vor allem im Bereich M&A (Mergers & Ac­qui­si­ti­ons), also vor allem Fusionen und Un­ter­neh­mens­ver­käu­fe, ist der Datenraum nach wie vor eine ge­schätz­te und erprobte Praxis. Auch Bör­sen­gän­ge, In­sol­venz­ver­fah­ren oder Neu­struk­tu­rie­run­gen von Firmen können durch Da­ten­räu­me optimal vor­be­rei­tet werden. Darüber hinaus kommen Data Rooms bei In­ves­to­ren-Re­portings, Trans­ak­tio­nen von Im­mo­bi­li­en oder vor der Be­auf­tra­gung eines Un­ter­neh­mens zum Einsatz. Das Modell ist immer dann eine gute Wahl, wenn sensible Daten einer be­stimm­ten Per­so­nen­grup­pe unter Wahrung größt­mög­li­cher Si­cher­heits­stan­dards zur Verfügung gestellt werden sollen.