Datenschutz im Rahmen von Unternehmenstransaktionen

Medien, Technologie und Kommunikation co-publishingDatenschutz im Rahmen von UnternehmenstransaktionenVon Dr. Lars Lensdorf und Titus Walek, Heymann & Partner, Frankfurt am MainHeymann & Partner ist eine unabhängigeKanzlei und wurde im April 2005 gegründet.Heute umfasst sie ca. 17 Anwälte, davonsechs Partner. Kerngebiete sind dieBereiche Mergers & Acquisitions, PrivateEquity und Gesellschaftsrecht; IT, Outsourcingund Intellectual Property sowie Restrukturierungenund Vergaberecht.Dr. Lars LensdorfTitus WalekDr. Lars Lensdorf istPartner bei Heymann& Partner und berätschwerpunktmäßig in denBereichen IT, Outsourcing,Datenschutz, AGB-Recht und Vergaberecht.Titus Walek ist Partnerbei Heymann & Partnerund berät schwerpunktmäßigin den BereichenMergers & Acquisitions,Private Equity, VentureCapital und Gesellschaftsrecht.Weitere Informationen im Kanzleiprofilam Ende des Handbuchs.Bei Unternehmenstransaktionen spielentypischerweise eine ganze Reihe unterschiedlicherRechtsbereiche eine wichtigeRolle. Im Scheinwerferlicht der Beachtungstehen dabei traditionell Fragen ausdem Gesellschafts-, Steuer-, Arbeits- oderKartellrecht sowie Probleme aus dem Bereichdes gewerblichen Rechtsschutzes.Etwas zu kurz kommen nicht selten Aspektedes Datenschutzrechts. Dies verwundert,gilt doch nach § 4 Abs. 1 BDSGfür die Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten ein Verbotmit Erlaubnisvorbehalt und ist dersachliche Anwendungsbereich des BDSGmit dem weiten Verständnis von personenbezogenenDaten in der Regel rechtschnell eröffnet, wie der nachfolgendeBeitrag anhand einiger Beispiele illustrierenwird. Neben den Vorschriften desBDSG können im Verlaufe einer Unternehmenstransaktionweitere gesetzlicheVorschriften zum Schutze von personenbezogenenDaten (insbesondere § 203StGB) relevant werden, worauf im nachfolgendenBeitrag jedoch nicht weitereingegangen werden soll.Vorbereitende TätigkeitenIm Vorfeld einer Unternehmenstransaktionkönnen datenschutzrechtliche Aspekte beispielsweiseim Zusammenhang mit demAbschluss einer Vertraulichkeitsvereinbarungrelevant werden. Nicht selten wird vonden an einer Unternehmenstransaktion aufKäuferseite Beteiligten verlangt, dass sieauf Anforderung Auskunft darüber erteilen,welchen ihrer Arbeitnehmer sie vertraulicheInformationen zur Verfügung gestellt haben.Eine Erlaubnis nach § 32 BDSG zur Offenlegungder Identität der betroffenen Mitarbeiterscheidet aus, da die angeforderteAuskunft nichts mit der Begründung,Durchführung oder Beendigung des Beschäftigungsverhältnisseszu tun hat. Denkbarist eine Zulässigkeit der Übermittlungnach § 28 Abs. 1 Nr. 2 BDSG, der neben§ 32 BDSG grundsätzlich Anwendung findenkann. Bei § 28 BDSG handelt es sichum eine zentrale Erlaubnisnorm des BDSG.Von den verschiedenen Erlaubnistatbeständendieser Vorschrift besitzt der nach § 28Abs. 1 Nr. 2 BDSG wiederum eine sehr großepraktische Relevanz. Danach ist das Erheben,Speichern, Verändern oder Übermittelnpersonenbezogener Daten oder ihreNutzung als Mittel für die Erfüllung eigenerGeschäftszwecke zulässig, soweit es zurWahrung berechtigter Interessen der verantwortlichenStelle erforderlich ist und keinGrund zu der Annahme besteht, dass dasschutzwürdige Interesse des Betroffenen andem Ausschluss der Verarbeitung oder Nutzungüberwiegt. Erforderlich ist somit eineentsprechende Einzelfallprüfung, die fürDritte nachvollziehbar zu dokumentierenist.Due Diligence und SigningMit der regelmäßig durchgeführten Due Diligencekann auf vielfältige Weise die Offenlegungpersonenbezogener Daten verbundensein. Typische Beispiele sind dieOffenlegung von Beschäftigtendaten sowiedie Offenlegung von Kundendaten.Auch hier kommt dem bereits angesprochenen§ 28 Abs. 1 Nr. 2 BDSG häufig einebesondere Bedeutung zu. Eine auf § 28Abs. 1 Nr. 2 BDSG gestützte Übermittlungsetzt voraus, dass die Daten zur Beurteilungvon wesentlichen Aspekten des Zielunternehmenserforderlich sind. Die Erforderlichkeitkann daran scheitern, dass dem mitder Offenlegung der personenbezogenenDaten verfolgten Zweck auch durch eineAnonymisierung oder Pseudonymisierungder Daten Rechnung getragen werden kann.So wird man beispielsweise Beschäftigtendateneinfacher Angestellter, insbesonderein einer Frühphase einer Due Diligence, inder Regel nur anonymisiert bzw. aggregiertzur Verfügung stellen können. Etwas andereskann in Bezug auf Personen in Führungspositionen,insbesondere Personen derGeschäftsführung gelten, deren Tätigkeitfür das Zielunternehmen von besondererBedeutung ist.Besondere Aufmerksamkeit ist datenschutzrechtlichdann geboten, wenn besondereArten personenbezogener Daten (§ 3Abs. 9 BDSG) offengelegt werden sollen,beispielsweise Angaben über die Religionszugehörigkeit,zur Gesundheit oder die Gewerkschaftszugehörigkeitvon Beschäftigten.Eine Erlaubnis der Offenlegung dieserDaten nach § 28 Abs. 1 BDSG scheidet re-192 2012/2013 Juve Handbuch

co-publishing Medien, Technologie und Kommunikationgelmäßig aus und ist nur unter den sehr vielengeren Voraussetzungen des § 28 Abs. 6-9BDSG oder einer Einwilligung der jeweilsBetroffenen zulässig.Wird die Due Diligence mittels einesvirtuellen Datenraums durchgeführt, kannes vorkommen, dass der Server, auf dem diebereitgestellten Informationen gespeichertsind, in einem Staat außerhalb des EuropäischenWirtschaftsraums – einem sogenanntenDrittstaat – steht und betrieben wirdoder aber, dass der Server zwar in einemStaat des Europäischen Wirtschaftsraumssteht, jedoch von Personen in einem Drittstaatbetrieben und administriert wird, dievon dort aus auch Zugriff auf die personenbezogenenDaten haben. In diesen Fällen istneben der Prüfung, ob die Übermittlung (§ 3Abs. 4 Nr. 3 BDSG) der personenbezogenenDaten überhaupt zulässig ist (Prüfungsstufe1), zusätzlich zu prüfen, ob der Drittstaatüber ein angemessenes Datenschutzniveauverfügt (Prüfungsstufe 2), § 4b Abs. Satz 2BDSG. Sollte der Drittstaat nicht über einangemessenes Datenschutzniveau verfügen,so kann dieses Manko zwar beispielsweisedurch den Abschluss von EU-Standardvertragsklauselnbehoben werden. Der damitverbundene Aufwand und die damit einhergehendezeitliche Komponente dürfen jedochnicht unterschätzt werden.Auch in der Transaktionsdokumentationselbst können personenbezogene Daten offengelegtwerden, sofern dies auf das zurWahrung des berechtigten Interesses Erforderlichebeschränkt wird (§ 28 Abs. 1 Nr. 2BDSG).Zeitraum zwischen Signing/ClosingKommt es zu einem Betriebsübergang nach§ 613a BGB, so stellt sich die Frage, obbzw. wenn ja, welche Daten an das übernehmendeUnternehmen vor dem Vollzugdes Betriebsübergangs zu dessen Vorbereitungübermittelt werden können. Dies insbesonderedann, wenn die Widerspruchsfristnach § 613a Abs. 6 BGB noch nicht abgelaufenist. Hinsichtlich einer Übermittlungauf Grundlage von § 32 BDSG könnte mansich auf den Standpunkt stellen, dass dieArbeitsverhältnisse erst mit dem Vollzugübergehen und vorher eine Datenverarbeitungfür Zwecke des Beschäftigungsverhältnissesmithin ausscheidet. Folgt man dieserAuffassung, so kommt als Erlaubnisnormgrundsätzlich erneut § 28 Abs. 1 Nr. 2 BDSGin Betracht. Hierbei ist jedoch ganz genauzu prüfen, welche Daten aus der Personalakteder jeweils betroffenen Mitarbeiter fürdie Vorbereitung des Betriebsübergangs erforderlichsind. Im Übrigen sind auch hierwiederum die Besonderheiten hinsichtlichder Übermittlung besonderer Arten personenbezogenerDaten (§ 3 Abs. 9 BDSG) zuberücksichtigen.ClosingDer Vollzug eines Share Deal ist datenschutzrechtlichunproblematisch, da keineÜbertragung oder sonstige Verarbeitungvon Daten stattfindet; „verantwortlicheStelle“ ist auch nach Vollzug die Zielgesellschaft.Im Falle eines Asset Deals liegen dieDinge etwas komplizierter, da hier Einzelrechtsübertragungenstattfinden. Für denwichtigen Fall des Betriebsübergangsschafft § 613a BGB i.V.m. § 32 BDSG insoweitEntlastung: Der Erwerber tritt kraftGesetzes in das bestehende Arbeitsverhältnisein und wird, vorbehaltlich eines wirksamenWiderspruchs, somit automatisch zurneuen „verantwortlichen Stelle“. Außerhalbdes § 613a BGB wird eine Übermittlungpersonenbezogener Daten häufig auf § 28Abs. 1 Nr. 2 BDSG zu stützen sein. Besonderheitenkönnen sich dann ergeben, wennlaufende Verträge übertragen werden unddie dem Vertrag zuzuordnenden Datendurch das BDSG geschützt werden. In diesemFall ist für die Übernahme des Vertragesunter Ausscheiden des Veräußerersschon zivilrechtlich die Zustimmung desdurch das BDSG geschützten Vertragspartnerserforderlich, soweit nicht besondereVereinbarungen getroffen werden. In diesemFall sollte die Einholung der Zustimmungzur Vertragsübernahme mit der Einholungeiner datenschutzrechtlichenEinwilligung gemäß § 4a BDSG verbundenwerden. Dies insbesondere wiederum dann,wenn besondere Arten personenbezogenerDaten betroffen sind.Im Falle einer Verschmelzung liegt nacheiner teilweise vertretenen Auffassung aufGrund der im Gesetz angeordneten Gesamtrechtsnachfolgekeine Übermittlung vonpersonenbezogenen Daten vor. Nach andererAnsicht kommt es in diesem Fall zu einerDatenübermittlung, die aber auf § 28Abs. 1 Nr. BDSG bzw. § 28 Abs. 1 Nr. 2BDSG gestützt werden kann.Zu beachten ist schließlich, dass unabhängigvon der Zulässigkeit einer Datenübermittlungim Rahmen des Vollzugs einerTransaktion Hinweispflichten gegenüberden Betroffenen gemäß § 33 BDSG bestehenkönnen.Post Closing IntegrationNach dem Closing wird der Erwerber häufigdaran interessiert sein, Daten (beispielsweiseBeschäftigtendaten) konzernweit zubündeln. Hierbei ist zu berücksichtigen,dass es innerhalb des Konzerns keine datenschutzrechtlichePrivilegierung gibt, d.h.die datenschutzrechtlichen Vorgänge zwischenKonzernunternehmen nicht andersbeurteilt werden als zwischen nicht konzernangehörigenUnternehmen. Soweit essich bei der Bündelung nicht um eine Auftragsdatenverarbeitunggemäß § 11 BDSGhandelt, die ihrerseits nur unter bestimmtenVoraussetzungen möglich bzw. zulässig ist,müssen mithin die Voraussetzungen für eineÜbermittlung gegeben sein. ◾Kernaussagen▪ Datenschutzrechtliche Fragen könnenin allen Phasen einer Unternehmenstransaktioneine wichtige Rollespielen.▪ Die Übermittlung personenbezogenerDaten bedarf regelmäßig einer entsprechendenErlaubnis.▪ Im Rahmen von Unternehmenstransaktionenkommt § 28 Abs. 1 Nr. 2BDSG eine besondere Bedeutung alsErlaubnisnorm zu. Wichtig ist, dasseine einzelfallbezogene Abwägungvorgenommen und diese auch dokumentiertwird. Das Ergebnis des Abwägungsprozesseskann für jedender einzelnen Transaktionsabschnitteunterschiedlich ausfallen.▪ Besondere Aufmerksamkeit ist beider Übermittlung besonderer Artenpersonenbezogener Daten an den Tagzu legen.Juve Handbuch 2012/2013193