DS-GVO & Due Diligence

Bevor Sie mit einer Due Diligence beginnen, sollten Sie diesen Beitrag zur Datenschutzgrundverordnung (DS-GVO) lesen.

Datenschutzgrundverordnung (DS-GVO) & Due Diligence

Unternehmenstransaktionen sind vielschichtig und komplex – und das gleich von Anfang an. Denn meist wird der Erwerber vor der tatsächlichen Transaktion die Stärken, Schwächen und Risiken einer Zielgesellschaft analysieren, also eine Due Diligence durchführen wollen.  Sind von einer solchen Due Diligence aber personenbezogene Daten betroffen, etwa von Arbeitnehmern oder Kunden, ist der Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) und ab dem 25. Mai 2018 der Datenschutzgrundverordnung (DS-GVO) eröffnet. Dieser Beitrag wird sich auf die Durchführung einer datenschutzkonformen Due Diligence unter Beachtung der Vorschriften der Datenschutzgrundverordnung konzentrieren.

Die Datenschutzgrundverordnung

Bisher existierte kein einheitliches europäisches Datenschutzrecht, sondern nur eine Datenschutz-Richtlinie die von den einzelnen Mitgliedstaaten der europäischen Union in nationale Gesetze umgesetzt werden musste. In Deutschland fand die Datenschutz-Richtlinie Einzug in das Bundesdatenschutzgesetz und Telemediengesetz. Durch die Datenschutzgrundverordnung soll das Datenschutzrecht in der EU nunmehr harmonisiert werden. Die EU-Kommission erhofft sich dadurch einen einheitlichen Rahmen der den heutigen digitalen Anforderungen besser gerecht wird.

Zu diesem Zweck ist die Datenschutzgrundverordnung bereits am 24. Mai 2016 nach ihrer Veröffentlichung in Kraft getreten und gilt nach Ablauf einer zweijährigen Übergangsphase ab dem 25. Mai 2018 in allen Mitgliedstaaten der europäischen Union.

Aufbau und Systematik der Datenschutzgrundverordnung

Die Datenschutzgrundverordnung setzt sich aus 99 Artikeln und 173 Erwägungsgründen zusammen. Die Erwägungsgründe dienen der Interpretation und sollen dem Rechtsanwender eine Hilfe sein, denn sie erläutern einzelne Tatsachen der Verordnung und zeigen auf, welche Überlegungen der EU-Kommission zu den einzelnen Vorschriften geführt haben. Die Ziele der Datenschutzgrundverordnung werden gleich zu Beginn in Art. 1 Abs. 1 und 2 DS-GVO erläutert: Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie der freie Verkehr dieser Daten.

Die Datenschutzgrundverordnung ist dabei, wie bereits das Bundesdatenschutzgesetz, der Systematik nach ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DS-GVO). Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und ausnahmsweise nur dann erlaubt ist, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene in die Datenverarbeitung eingewilligt hat. Zwar sind sich die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz demnach in Aufbau und Systematik sehr ähnlich. Dennoch müssen alle Unternehmen, die personenbezogene Daten verarbeiten, strukturelle Prozesse im Datenschutzmanagement überarbeiten um nach Ablauf der Übergangsphase nicht gegen Datenschutzvorschriften zu verstoßen.

Übermittlung von Arbeitnehmerdaten für Zwecke der Due Diligence

Während des Beschäftigungsverhältnisses wird der Arbeitgeber eine Vielzahl von personenbezogenen Daten seiner Beschäftigten erheben. Hierzu gehören etwa Name, Familienstand, Adresse, Religions- und Gewerkschaftszugehörigkeit, Ausbildungsstand, Leistungsverhalten und Gehaltsniveau. Sollen diese personenbezogenen Daten im Rahmen einer Due Diligence an den Erwerber übermittelt werden, handelt es sich um eine Verarbeitung personenbezogener Daten die einer Legitimationsgrundlage bedarf, gem. Art. 6 Abs. 1 DS-GVO durch Gesetz oder Einwilligung.

Legitimation durch Einwilligung

Zur Legitimation einer Übermittlung von Arbeitnehmerdaten an einen Erwerber kommt zunächst die Einwilligung gem. Art. 6 Abs. 1 Satz 1 lit. a DS-GVO in Betracht. An die Einwilligung im Rahmen der Datenschutzgrundverordnung sind aber hohe Anforderungen geknüpft. Denn sie muss gem. Art. 4 Nr. 11 DS-GVO freiwillig, in informierter Weise und unmissverständlich erfolgen sowie durch Erklärung oder eine sonstige eindeutige bestätigende Handlung erklärt werden. Das bedeutet etwa auch, dass der Arbeitnehmer vor der Erklärung seiner Einwilligung über den Zweck, den Datenumfang sowie dem Empfänger seiner Daten aufgeklärt werden muss. Schließlich muss die Einwilligung durch den Arbeitnehmer jederzeit für die Zukunft widerrufen werden können, darüber ist der Arbeitnehmer auch vor Beginn der Datenübermittlung zu informieren. Das die Einwilligung unter Beachtung aller dieser Vorschriften wirksam erklärt worden ist, muss der Datenverarbeiter dokumentieren um dies im Bedarfsfall gem. Art. 7 Abs. 1 DS-GVO nachweisen zu können.

Das Einholen einer wirksamen Einwilligung eines jeden einzelnen Arbeitnehmers hat damit einen enormen organisatorischen Aufwand für den Veräußerer zur Folge. Wollen die Verhandlungspartner die Verhandlungen Geheim halten, scheidet die Einwilligung als Legitimation sogar gänzlich aus.

Legitimation durch Gesetz

Die Übermittlung von Beschäftigtendaten könnte im Rahmen einer Due Diligence aber durch Gesetz legitimiert sein, etwa durch die Vorschrift des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO. Die Verarbeitung personenbezogener Daten ist demnach zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und entgegenstehende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Möchte der Veräußerer die Übermittlung von Arbeitnehmerdaten im Rahmen einer Due Diligence durch den gesetzlichen Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO legitimieren, muss er also zunächst eine Interessenabwägung durchführen die häufig schwierig und meist rechtsunsicher ist, da Sie im Streitfall der Interpretation der Gerichte unterliegt.

Eine weitere Rechtsgrundlage für die Legitimation durch Gesetz, die zudem ohne Interessenabwägung auskommt, könnte Art. 6 Abs. 4 DS-GVO liefern. Denn nach dieser Vorschrift dürfen die einmal erhobenen Daten auch für andere Zwecke genutzt werden, sofern die neue Verwendung mit dem ursprünglichen Zweck der Erhebung vereinbar ist (sog. Zweckkompatibilität). Ein vollständiger Austausch des Zwecks ist zwar auch in Zukunft unzulässig. Eine bloße Ergänzung bzw. Weiterentwicklung des Ursprungszwecks dürfte hingegen erlaubt sein. Ob der neue Zweck mit dem alten vereinbar ist, soll sich insbesondere daran messen lassen, ob eine Verbindung zwischen den Zwecken besteht, welche Folgen den Betroffenen durch die beabsichtigte Weiterverarbeitung erwarten und ob geeignete Sicherheitsvorkehrungen (z.B. Verschlüsselung) getroffen worden sind.

Sofern der Veräußerer bei der Übermittlung der Daten die Verschlüsselung der Arbeitnehmerdaten gewährleistet und eine Geheimhaltungs- und Löschungspflicht bei einer gescheiterten Unternehmenstransaktion von dem Erwerber einfordert, sollte Art. 6 Abs. 4 DS-GVO daher die notwendige Legitimationsgrundlage liefern. Schließlich wird der Betrieb im Anschluss zur Unternehmenstransaktion zumeist fortgeführt. Der neue Zweck (Unternehmenstransaktion) ist also mit dem ursprünglichen Zweck (Begründung des Beschäftigungsverhältnisses) vereinbar, da Arbeitsplätze in aller Regel erhalten bleiben.

Kundendaten

Bei einer Unternehmenstransaktion sind häufig auch die Kundendaten von großem Interesse. Hier bietet es sich an, dem potentiellen Erwerber im Rahmen einer Due Diligence ausschließlich pseudonymisierte Daten zur Verfügung zu stellen. So ist gewährleistet, dass sich der Erwerber während der Due Diligence einen aussagekräftigen Eindruck über die Kundenstruktur der Zielgesellschaft verschaffen kann, ohne das der Anwendungsbereich der Datenschutzgrundverordnung eröffnet wird.

Denn personenbezogene Daten sind Informationen, die sich auf eine bestimmte – einzelne – natürliche Person beziehen (z. B. Vorname, Familienname, Adresse, Inhaberbenennende E-Mail-Adresse) oder dazu geeignet sind, dass ein Bezug zu einer konkreten Person hergestellt werden kann. Einzelangaben sind demnach dann nicht mehr gegeben, wenn diese nicht auf eine Einzelperson “durchschlagen”, also nicht einer bestimmten Person zugeordnet werden können. Werden Kundendaten also vor einer Weitergabe an den Erwerber pseudonymisiert, handelt es sich nicht mehr um personenbezogene Daten und die Übermittlung kann ohne datenschutzrechtliche Bedenken durchgeführt werden. Das Pseudonymisieren ist dabei gem. Art. 4 Nr. 5 DS-GVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Wir empfehlen daher die Kundendaten vor einer Übermittlung an den Erwerber automatisiert zu pseudonymisieren. Also etwa den Namen und E-Mail-Adressen zu entfernen oder durch Ersatzbezeichnungen zu ersetzen die keine Rückschlüsse auf die hinter diesen Daten stehende Person zulassen.

Fazit

Eine Due Diligence ist immer spannend und aufwendig. Dennoch sollten Sie bei der Übermittlung von personenbezogenen Daten an einen Erwerber während der Due Diligence auf die Zulässigkeit dieser Verarbeitung achten. Denn ein Verstoß  gegen die Vorschriften der Datenschutzgrundverordnung können gem. Art. 83 DS-GVO zukünftig Geldbußen von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens oder 20.000.000 EUR verhängt werden – je nachdem, welcher der Beträge höher ist.

Gerne unterstützen wir Sie bei der Durchführung einer datenschutzkonformen Due Diligence. Auch in der Kommunikation mit potentiellen Erwerbern und der organisatorischen Umsetzung sind wir Ihnen gerne behilflich. Nehmen Sie hierzu einfach Kontakt zu uns auf.