Due Diligence Fortrolighedsaftale (M&A NDA) Danmark

Due diligence fortrolighedsaftalen i Danmark — også kaldet M&A NDA, data room NDA eller DD-NDA — er den specialiserede fortrolighedsaftale, der beskytter de fortrolige oplysninger og forretningshemmeligheder, der udveksles i forbindelse med en due diligence-undersøgelse ved virksomhedsoverdragelse, fusion, kapitalinvestering eller strategisk partnerskabsvurdering. Aftalen er et uundværligt instrument i enhver M&A-transaktion i Danmark og adskiller sig fra en generisk NDA ved sin tilpasning til de specifikke risici og informationstyper, der er involveret i en due diligence-proces.

En due diligence-undersøgelse indebærer systematisk gennemgang af en virksomheds juridiske, finansielle, skattemæssige og operationelle forhold. Dokumenter, der deles under due diligence, inkluderer historiske regnskaber og skatterevisioneoplysninger, alle erhvervsmæssige kontrakter og aftaler, medarbejderdata, HR-politikker og lønsystemer, kunderegistre og leverandørdata, patenter, varemærker og software-kildekode, tilladelser og myndighedsgodkendelser, og strategiplaner og budgetprognoser. Disse oplysninger er i sagens natur af den allermest følsomme kategori — afsløring over for en konkurrent eller forkert part kan ødelægge virksomhedens konkurrencemæssige stilling irreversibelt.

Due diligence fortrolighedsaftalen er forankret i lov om forretningshemmeligheder (lov nr. 309 af 25. april 2018), der implementerer EU-direktiv 2016/943. Lovens § 2 fastslår betingelserne for forretningshemmelighedsstatus, herunder kravet om aktive hemmeligholdelsesforanstaltninger. En velstruktureret due diligence-aftale med klare adgangsbegrænsninger, need-to-know-principper og datarum-protokoller (virtuelt datarum, VDR) er en central foranstaltning, der aktiverer lovens beskyttelse.

GDPR og databeskyttelsesloven (lov nr. 502 af 23. maj 2018) stiller særskilte krav til behandling af personoplysninger under due diligence. Medarbejderdata, kundeoplysninger, lønoplysninger og HR-data er personoplysninger, der kræver lovlig hjemmel til behandling i due diligence-sammenhæng. Datatilsynet anbefaler anonymisering af personoplysninger, inden de stilles til rådighed i due diligence-processen, og kræver i visse tilfælde en databehandleraftale, hvis en ekstern rådgiver (advokat, revisor, finansiel rådgiver) behandler personoplysningerne på sælgers vegne. Datatilsynet kan udstede bøder på op til 4 % af den globale omsætning eller 20 mio. euro ved overtrædelse af GDPR artikel 28.

Virtuelle datarum (VDR) — platforme som Intralinks, Datasite, Merrill DatasiteOne og ShareVault — er standardinstrumentet til adgangskontrol under due diligence-processen. VDR giver sælger mulighed for at kontrollere præcist, hvem der ser hvilke dokumenter, og genererer en komplet audit trail. Due diligence fortrolighedsaftalen regulerer de juridiske forpligtelser, mens VDR'en håndhæver dem teknisk.

Sø- og Handelsretten i København behandler visse erhvervstvister om forretningshemmeligheder og M&A og har specialiseret erfaring med komplicerede erhvervstransaktioner. Voldgiftsinstituttet (Danish Arbitration) og voldgiftsloven (lov nr. 553 af 24. juni 2005) anvendes hyppigt ved internationale transaktioner, fordi voldgift er fortrolig og undgår eksponering af sagens indhold i offentlige retssager.

Due diligence fortrolighedsaftalen i Danmark er obligatorisk i enhver M&A-transaktion, investering eller fusion, hvor en potentiel køber eller investor modtager adgang til fortrolige oplysninger om en målvirksomhed.

Første og hyppigste situation er aktiekøb og aktivkøb (virksomhedsoverdragelse). En potentiel køber af samtlige eller en del af anparterne/aktierne i et dansk ApS eller A/S — reguleret af selskabsloven (lovbekendtgørelse nr. 1168 af 01/09/2023) — skal gennemføre en due diligence-undersøgelse inden den endelige aftale. Inden adgang til finansielle oplysninger, kontrakter, skatteakter og IP-dokumentation gives, underskrives en due diligence-fortrolighedsaftale.

Anden situation er kapitalrunder og venture-investering. En kapitalfond eller business angel gennemfører due diligence forud for en investering i et vækstselskab. Due diligence-fortrolighedsaftalen beskytter startuppets kildekode, algorit-mer, forretningsplan og kundedata under den finansielle og juridiske gennemgang.

Tredje situation er fusioner og sammenlægninger. To virksomheder overvejer at fusionere. Due diligence gennemføres sideløbende af begge virksomheders rådgivere, og en gensidig due diligence-fortrolighedsaftale — der forpligter begge Parter symmetrisk — er nødvendig, fordi begge sider afslører fortrolige oplysninger om sig selv.

Fjerde situation er private equity-buyouts og management buyouts (MBO). En kapitalfond overvejer et leveraged buyout (LBO) af en målvirksomhed. Finansieringsbanker, juridiske rådgivere og finansielle rådgivere involveres i due diligence-processen. Due diligence-fortrolighedsaftalen regulerer adgangen for samtlige disse rådgivere, der pålægges en tilsvarende fortrolighedsforpligtelse.

Femte situation er grænseoverskridende fusioner og internationale transaktioner. En udenlandsk køber overvejer et dansk datterselskab. Due diligence-fortrolighedsaftalen regulerer lovvalg (dansk ret), behandling af personoplysninger i overensstemmelse med GDPR, og overførsel af data til lande uden for EU/EØS — overførsler til usikre tredjelande kræver særligt retsgrundlag efter GDPR artikel 46.

Sjette situation er strategiske partnerskabsvurderinger. En virksomhed overvejer at indgå et eksklusivt distributionspartnerskab, en licensaftale eller et langvarigt samarbejde, og gennemfører en forkortet due diligence-proces for at vurdere partnerens finansielle stabilitet, IP-rettigheder og kontraktforpligtelser. Due diligence-fortrolighedsaftalen beskytter de afslørede oplysninger.

En effektiv due diligence fortrolighedsaftale i Danmark adskiller sig fra en generisk NDA ved en række specifikke elementer, der er tilpasset M&A-transaktionens særlige karakter.

Klar partsidentifikation med præcis betegnelse er første element. Sælger (den oplysende part, ejer af målselskabet) og Køber (den modtagende part, den potentielle køber eller investor) identificeres fuldt ud med firmanavn, selskabsform, adresse og CVR-nummer. Angiv desuden om aftalen gælder for Købers moderselskab, datterselskaber og rådgivere.

Klar definition af DD-oplysninger er central. Due diligence-materialet dækker et bredt spektrum — alle finansielle, skattemæssige, juridiske, operationelle og kommercielle dokumenter og oplysninger om Sælger. Definitionen bør være bred og inkludere oplysninger uanset medium (skriftlige dokumenter, elektroniske filer, mundtlige præsentationer i management møder og datarum).

Adgangsbegrænsning til en navngiven kreds er en central adskillelse fra en generisk NDA. Due diligence-fortrolighedsaftalen angiver præcist, hvem hos Køber der er godkendt til adgang — typisk 3-5 navngivne personer inkl. eventuelle eksterne rådgivere (advokat, revisor, finansrådgiver). Alle godkendte persons pålægges skriftlig fortrolighedsforpligtelse. forms-legal.com stiller et komplet due diligence NDA til rådighed gratis og uden tilmelding.

Datarum-protokol og VDR-brug regulerer, hvordan materialet stilles til rådighed — virtuelt datarum (VDR), fysisk datarum eller krypteret e-mail. Sælger kontrollerer adgangen, og Køber må ikke reproducere, downloade eller kopiere DD-oplysningerne ud over det minimum, der er nødvendigt for due diligence-analysen.

Særlig regulering af personoplysninger og GDPR er obligatorisk. Medarbejder- og kundedata anonymiseres i videst muligt omfang inden overlevering. Resterende personoplysninger behandles i overensstemmelse med GDPR og databeskyttelsesloven. Sælger er dataansvarlig; eventuel ekstern rådgiver hos Køber er databehandler, og databehandleraftale indgås.

Fortrolighedsperiode efter transaktionens ophør er typisk 5-10 år i M&A. Selv hvis transaktionen ikke gennemføres, gælder fortrolighedspligten for de udvekslede DD-oplysninger.

Høj konventionalbod pr. overtrædelse er standard i M&A — typisk 100.000-500.000 kr. pr. enkelttilfælde med ret til kumulativt mertab. Den høje bod afspejler den potentielt irreversible skade ved et brud.

Tilbageleverings- og destruktionspligt regulerer afslutningen af due diligence-processen: alle dokumenter og kopier destrueres eller tilbageleveres inden 7-10 arbejdsdage. Digitale data slettes dokumenterbart, og Købers rådgivere bekræfter sletning fra alle systemer. Relaterede dokumenter: hensigtserklæringen (LOI) som forstadie til due diligence og term sheet ved kapitalinvestering.

Udfyldelse af due diligence fortrolighedsaftalen i Danmark kræver koordination mellem sælger, køber og begge parters rådgivere inden due diligence-processen igangsættes.

Trin 1 — underskriv aftalen inden adgang gives: Due diligence-fortrolighedsaftalen skal underskrives inden det første fortrolige dokument deles — ikke under eller efter. Dette er den hyppigste fejl i M&A-processer. Igangsæt underskriftsprocessen digitalt via MitID-baserede underskriftsplatforme (Penneo, Visma Addo) for hurtig gennemførelse.

Trin 2 — identificér begge Parter og alle relevante enheder fuldstændigt: Angiv sælgers og købers fulde firmanavn, selskabsform, adresse og CVR-nummer. Overvej om aftalen skal dække Købers moderselskab og datterselskaber, der deltager i transaktionsprocessen. Regulér udtrykkeligt om Købers eksterne rådgivere (advokat, revisor, finansrådgiver) er dækket af aftalen eller kræver separate underskrifter.

Trin 3 — formulér formålet specifikt og afgrænsende: Formålet er det retlige grundlag for fortrolighedsforpligtelsen. Anfør den konkrete transaktion: „Potentiel erhvervelse af 100 % af anparterne i Nordic Solutions ApS af Acquisition Capital A/S”. Et vagt formål udvander formålsbindingen.

Trin 4 — fastlæg adgangspersonernes kreds nøje: Angiv de specifikke navne eller kategorier af persons, der er godkendt hos Køber. Begræns antallet til det strengt nødvendige — typically 3-5 direktionsmedlemmer og 1-2 rådgivere. Sørg for at alle godkendte persons skriftligt tilslutter sig fortrolighedsforpligtelsen inden adgang gives.

Trin 5 — vælg og opret due diligence-datarum: Beslut om et virtuelt datarum (VDR) som Intralinks eller Datasite er nødvendigt, eller om krypteret e-mail og SharePoint er tilstrækkeligt afhængigt af transaktionens kompleksitet. VDR er standard ved større transaktioner og giver en komplet audit trail over hvem der har set hvad og hvornår.

Trin 6 — anonymisér personoplysninger inden upload: Gennemgå alle dokumenter, der uploades til datarummet, for personoplysninger. Anonymisér medarbejder-CPR-numre, kundenavne, lønoplysninger og HR-data i det omfang, der er teknisk muligt. Dokumentér anonymiseringsprocessen som led i GDPR-compliance.

Trin 7 — dimensionér konventionalboden til transaktionens størrelse: En konventionalbod på 100.000-500.000 kr. pr. overtrædelse er sædvanlig ved M&A-transaktioner. Bod og mertab bør kumuleres — et brud på en due diligence-NDA kan have konsekvenser i mange millioner kr., og boden skal signalere seriøsitet.

Trin 8 — fastlæg destruktionsproceduren klart: Angiv fristen for destruktion — typisk 7-10 arbejdsdage efter transaktionens ophør — og kræv skriftlig bekræftelse fra Køber og alle godkendte rådgivere om, at destruktionen er gennemført. Digitale data skal slettes og overskrives, ikke blot fjernes fra papirkurv.

Due diligence fortrolighedsaftalen i Danmark er underlagt lov om forretningshemmeligheder, aftaleloven og GDPR samt regler om hvidvask og kapitalmarkedsret.

Lov om forretningshemmeligheder og beskyttelsesvilkår: Lov om forretningshemmeligheder (lov nr. 309 af 25/04/2018) kræver, at de beskyttede oplysninger opfylder betingelserne i § 2 — ikke almindeligt tilgængelige, handelsværdi, og aktive hemmeligholdelsesforanstaltninger. En due diligence-NDA med VDR-adgangskontrol og need-to-know-begrænsninger er en central foranstaltning. Aftalen giver desuden kontraktlige håndhævelsesinstrumenter som supplement til lovens beføjelser i §§ 12-15.

Aftaleloven og rimelighedscensur: Aftalelovens § 36 (generalklausulen) kan tilsidesætte urimelige klausuler. Konventionalbøder, der er åbenbart urimelige i forhold til virksomhedens størrelse, kan nedsættes. Afgrænsningen af de beskyttede oplysninger og forbudte handlinger bør ikke gå videre end nødvendigt for at beskytte den oplysende parts berettigede interesser.

GDPR og databeskyttelsesloven: GDPR og databeskyttelsesloven (lov nr. 502 af 23/05/2018) stiller krav til behandling af personoplysninger i due diligence. Sælger er dataansvarlig for de personoplysninger, der videregives til Køber. Køber og eventuelle rådgivere er enten selvstændig dataansvarlig eller databehandler, afhængigt af behandlingens karakter. En databehandleraftale i medfør af GDPR artikel 28 er nødvendig, hvis en ekstern rådgiver behandler personoplysningerne på Sælgers vegne. Anonymisering anbefales. Datatilsynet fører tilsyn, og bøder kan udgøre op til 4 % af global omsætning eller 20 mio. euro.

Insider-regler og kapitalmarkedsret: Ved transaktioner, der involverer børsnoterede selskabers aktier, er de modtagne due diligence-oplysninger insideroplysninger i medfør af EU's markedsmisbrugsforordning (MAR, forordning 596/2014). Uautoriseret videregivelse eller handel på baggrund af insideroplysninger er en overtrædelse af MAR og kan udløse bøde og fæng-sel. Finanstilsynet fører tilsyn.

Hvidvaskloven: Advokater og revisorer, der deltager i due diligence-processen, er underlagt hvidvasklovens krav om kundekendskab (KYC) og risikovurdering. Manglende overholdelse kan indberettes til Statsadvokaten for Særlig Kriminalitet (SSK). Hvidvaskloven (lov nr. 930 af 06/09/2019) og Finanstilsynet er relevante reguleringsrammer.

Selskabsloven og ejerbog: Overdragelse af anparter i et ApS eller A/S kræver opdatering af ejerbogen (selskabsloven § 50) og registrering i Det Offentlige Ejerregister (§§ 55-58) ved ejerandele ≥5 %. Due diligence-processen foregår inden disse selskabsretlige skridt.

Voldgift og fortrolighed: Voldgift ved Voldgiftsinstituttet (Danish Arbitration) er særlig velegnet til tvister om due diligence-NDA, fordi voldgiftssagen er fortrolig — en offentlig retssag ved byret eller Sø- og Handelsretten ville risikere yderligere eksponering af de forretningshemmeligheder, der netop er genstand for tvisten.

Fejl ved due diligence fortrolighedsaftaler i Danmark leder til brud, der kan afsløre kritiske forretningshemmeligheder og personoplysninger — med potentielt katastrofale kommercielle og retlige konsekvenser.

Fejl 1 — NDA underskrives efter at adgang er givet: Den hyppigste og mest kostbare fejl er, at fortrolighedsaftalen underskrives, efter at Køber allerede har fået adgang til fortrolige dokumenter — for eksempel ved at ledelsen præsenterer forretningsplanen for Køber på et møde inden NDA'en er underskrevet. Oplysningerne mangler da kontraktlig beskyttelse i den mellemliggende periode. Det korrekte er uundgåeligt: underskriv NDA'en inden det første fortrolige dokument eller den første fortrolige information deles.

Fejl 2 — for bred adgangspersonkreds: En due diligence-NDA, der tillader alle hos Køber og alle Købers rådgivere at se DD-materialet, giver et enormt spredningspotentiale. Hver person udgør en potentiel lækagerisiko. Det korrekte er en minimums-kreds af navngivne adgangspersoner med specifik need-to-know, og krav om at alle underskriver en fortrolighedspåtegning.

Fejl 3 — personoplysninger videregives uanonymiseret: Virksomheders HR-data, lønlister og medarbejder-CPR-numre overlades ofte i due diligence-processen uden anonymisering, i strid med GDPR. Datatilsynet kan udstede bøder. Det korrekte er en systematisk anonymiseringsproces inden upload til datarummet, og en klar GDPR-klausul i aftalen.

Fejl 4 — ingen klar destruktionsprocedure: Mange due diligence-NDA'er angiver, at materialet skal destrueres efter transaktionens ophør, men beskriver ikke præcist, hvordan og inden for hvilken frist. Digitale data kræver en særlig procedure — de slettes og overskrives, ikke blot flyttes til papirkurv. Det korrekte er en klar destruktionsprocedure med bekræftelsespligt inden for en konkret frist (7-10 arbejdsdage).

Fejl 5 — ingen regulering af brug til kontakt med kunder og medarbejdere: Mange due diligence-NDA'er forbyder alene videregivelse af oplysningerne, men forbyder ikke Købers direkte kontakt med Sælgers kunder, leverandører og nøglemedarbejdere under due diligence. En sådan kontakt — selv om den ikke videregiver fortrolige oplysninger — kan forstyrre forretningsrelationerne og skade Sælger. Det korrekte er en udtrykkelig klausul om, at Køber ikke må kontakte Sælgers kunder, leverandører og medarbejdere direkte uden forudgående skriftligt samtykke.

Fejl 6 — insider-regler og MAR overses: Ved transaktioner, der involverer børsnoterede selskaber, er de modtagne due diligence-oplysninger typisk insideroplysninger efter MAR. Købers interne spredning af disse oplysninger til ikke-autoriserede medarbejdere udgør en MAR-overtrædelse. Det korrekte er at opretholde en klar information barrier (Chinese wall) hos Køber, og sikre at due diligence-oplysninger ikke tilgår Købers handel og øvrige investeringsaktiviteter.