Weihnachtszeit ist Einkaufzeit. Denken sich vielleicht auch so manche Unternehmen und überlegen daher auf Shoppingtour zu gehen. Das Objekt der Begierde: ein anderes Unternehmen. Aber auch hier macht die DSGVO keinen Halt und will beachtet werden.
Der Inhalt im Überblick
Datenschutz auch in der Welt des Unternehmenskaufs?
Diese Frage muss mit einem ganz klaren ja beantwortet werden. Wie bei jedem Kauf schaut sich der Interessent das Produkt an, welches er erwerben möchte. Da es beim Unternehmenskauf selten um geringe Beträge geht, werden sehr aufwendige Analysen durchgeführt. Man möchte schließlich nicht die Katze im Sack kaufen. Bei solchen Analysen werden umfangreiche Daten verarbeitet. Von den wirtschaftlichen Verhältnissen bis hin zu steuerlichen und finanziellen Verhältnissen, jeder Stein wird umgedreht. Mittendrin: die personenbezogenen Daten wie z.B. Beschäftigten- und Kundendaten. Letztere nehmen als Bestandteil des Vermögens eines Unternehmens mittlerweile für die potentiellen Interessenten eine wichtige Rolle ein. Oft handelt es sich bei einem Kundenstamm sogar um das einzig werthaltige Asset für den Käufer. Kundendaten sind dann im wahrsten Sinne des Wortes Gold wert! Spätestens nach dem DSGVO-Bußgeld gegen Marriott dürfte zudem auch ein prüfender Blick auf die Datenschutz-Compliance des Unternehmens angebracht sein, welches man zu erwerben gedenkt.
Unternehmenskauf seit Mai 2018
Nach dem bisher Gesagten sollte es für die Beteiligten mehr als klar sein, dass – auch wenn die Väter und Mütter der DSGVO weniger die Abwicklung von Unternehmenstransaktionen im Sinn hatten – dem Datenschutz auch hier eine zentrale Rolle zuzuweisen ist. Und so müssen richtigerweise viele der „Greatest Hits“ der DSGVO abgespielt werden: Rechtmäßigkeit, Zweckbindung und Transparenz. Insbesondere die Zweckbindung kann hier Probleme bereiten, wenn man sich mal die Situation um die Mitarbeiterdaten anschaut. Der Grund für die Verarbeitung von Mitarbeiterdaten liegt in der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses. Die Verarbeitung der personenbezogenen Daten der Mitarbeiter zum Zweck einer Unternehmenstransaktion wäre hingegen eine Zweckänderung. Eine Zweckänderung ist grundsätzlich nicht möglich und nur unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO ausnahmsweise zulässig, soweit die betroffene Person entweder eingewilligt hat, die Datenverarbeitung durch andere gesetzliche Rechtsgrundlagen zugelassen ist oder, wenn der neu verfolgte mit dem ursprünglichen Zweck vereinbar ist.
Kopfschmerzen bei der Einwilligung
Wie immer stellt die Einwilligung die sicherste Rechtsgrundlage dar. Sie ist aber genauso oft nicht praktikabel genug. Je nach Mitarbeiterzahl steigt der Aufwand für den Arbeitgeber die Einwilligungen einzuholen. Außerdem können Einwilligungen jederzeit widerrufen werden. Hinzu kommt noch, dass eine abstrakte Vorab-Einwilligung über einen Arbeitsvertrag unwirksam wäre. Für die Beteiligten der Transaktion bleibt somit nur der schwere Gang über die berechtigten Interessen. Die Abwägung ist hierbei stets bezogen auf den Einzelfall vorzunehmen und wird je nach Transaktionsphase unterschiedlich ausfallen.
Der Vorzug kann den Unternehmerinteressen gegeben werden, wenn folgende Punkte bedacht werden:
- Aufgrund der Datensparsamkeit erfolgt der Datenaustausch nur im erforderlichen Umfang.
- Es besteht eine Vertraulichkeitsvereinbarung zwischen den Parteien.
- Technische und organisatorische Maßnahmen sind hinreichend gewährleistet und die Zugriffsrechte sind beschränkt.
- Es werden keine sensiblen Daten nach Art. 9 DSGVO ausgetauscht.
Kollision der Pflichten
Bei der Durchführung der Transaktionen kollidieren auch regelmäßig die Informationspflichten des Verantwortlichen mit seinen Geschäftsinteressen. Aus Art. 13 Abs. 3 DSGVO ergibt sich die Verpflichtung gegenüber dem Betroffenen, diesen noch vor der Weiterverarbeitung über den geänderten Zweck zu informieren. Besonders relevant ist hier die Kollision mit den Geheimhaltungspflichten und dem daraus resultierenden Vertraulichkeitsinteresse der beteiligten Unternehmen. Unternehmenskäufe werden üblicherweise über längere Zeit und unter Ausschluss der Öffentlichkeit vorbereitet. Jede Information über den Stand der Dinge, die nach außen dringt, kann sich wirtschaftlich auswirken und den Unternehmenskauf selbst in Gefahr bringen. Das Gesetz hilft in dieser Situation nicht weiter, da eine wie in § 33 Abs. 2 S. 1 Nr. 7 b BDSG a.F. vorgesehene Ausnahmevorschrift nicht existiert. Die sich daraus ergebenden schweren Hürden müssen gleichwohl datenschutzrechtskonform gemeistert werden.
Die Anonymisierung als Allheilmittel?
Um sich den Hindernisparcours der DSGVO zu ersparen, mag der findige und gut beratene Geschäftsmann sich denken, dass man doch einfach die Offenlegung der Beschäftigtendaten durch eine anonymisierte Verarbeitung „entschärfen“ könnte. Man würde in diesem Fall aus dem Anwendungsbereich der DSGVO herausfallen und hätte kein datenschutzrechtliches „Problem“ mehr. So gut die Idee auch klingt, in der Praxis ist sie nicht zu realisieren. Denn die Anforderungen an eine Anonymisierung sind sehr hoch und setzen in diesem Fall voraus, dass die Datenraum-Unterlagen geschwärzt werden. Zudem wird gefordert, dass die in den Unterlagen enthaltenen personenbezogenen Daten auch bei allen Verantwortlichen anonymisiert werden, die mit diesen Daten Umgang pflegen. Ein solches Vorgehen ist aber nicht möglich, denn die Datenraum-Unterlagen, beispielsweise Arbeitsverträge, Kundenverträge oder Lieferantenverträge, müssen auch weiterhin in nicht anonymisierter Form genutzt werden können.
Unternehmenskauf muss gut geplant werden
Mit der DSGVO sind Unternehmenskäufe sicherlich nicht leichter geworden. Sowohl rechtlich als auch technisch stellen sie eine große Herausforderung dar. Aber sie sind auch nicht unmöglich. Ist man sich dieser Herausforderung bewusst, sollte die Planung strukturiert und vor allem dokumentiert ablaufen. Jeder Gedankengang, jede Abwägung und jedes Ergebnis müssen in jeder Phase der Transaktion festgehalten und durch erfahrene Berater begleitet werden. Nur so kann das Risiko eines Bußgeldes auf ein Minimum reduziert werden. Denn mit der Anwendung der DSGVO kommen auch die Bußgeldvorschriften ins Spiel. Und das kann aus einem schönen Weihnachtskauf eine weniger schöne Bescherung auslösen.
Hallo!
Wie sieht es denn indem Fall aus, wenn ein gesamtes Wohnhaus mit 10 Wohneinheiten den Eigentümer wechselt? Wann dürfen die Mieterdaten (Name, Kontaktdaten, Miethöhe, Mietkaution etc.) weiter gegeben werden? Gilt hier überhaupt die DSGVO, wenn ein Privatmensch sein Eigentum an einen Investeor verkauft?
Viele Grüße
Frau Wolke
Interessante Frage. Nach obigem Beitrag dürften die Mieterdaten bei Anbahnung nur anonymisiert herausgegeben werden, was wenig Sinn macht, und erst nach vollzogenem Kauf und erneuter Einwilligung der Mieter, mit Klarnamen wersehen werden.
Nach § 566 BGB (Kauf bricht Miete nicht) tritt der Erwerber an die Stelle des alten Vermieters. Alle Rechten und Pflichten aus den Mietverträgen treffen nun den Erwerber/ neuen Vermieter. Die Mieterdaten müssen also zwangsläufig weitergegeben werden.
Bleiben wir bei dem von Ihnen gebildeten Beispiel, dass ein Wohnhaus mit 10 Wohnungseinheiten veräußert wird, ist zumindest fraglich, ob der Veräußerer tatsächlich noch als Privatmensch geschäftlich tätig wird. Bei so einer Größenordnung müsste man ein rein private Tätigkeit verneinen.