Bei Unternehmenstransaktionen gibt der Veräußerer dem Interessenten in der Due Diligence einen umfassenden Einblick in die wirtschaftliche Situation des Unternehmens – und offenbart dabei auch Informationen über die beschäftigten Mitarbeiter. Kommt es im Zuge dessen zu einem Datenschutzverstoß, so können Bußgelder gegen die Parteien der Transaktion verhängt werden. Daher gilt es, bei der Offenlegung von Beschäftigtendaten in der Due Dilligence die datenschutzrechtlichen Vorgaben zu beachten. Verraten und verkauft? Beschäftigtendaten im Fokus Im Zuge von Unternehmenstransaktionen kommt der Due-Diligence-Prüfung eine große Bedeutung zu: Um das Risiko der Transaktion einschätzen und einen angemessenen Kaufpreis ermitteln zu können, prüft der Kaufinteressent das Unternehmen in einer umfassenden wirtschaftlichen Analyse. Zu dem Zweck stellt der Veräußerer zahleiche Informationen zur Prüfung zur Verfügung. Von besonderem Interesse sind dabei auch die Beschäftigtendaten: • Wieviele Mitarbeiter zählt die Belegschaft? • Zu welchen Konditionen erfolgen die Beschäftigungen? • Und wie sind die Beschäftigungsverhältnisse des Managements und der leitenden Angestellten ausgestaltet? Die Antworten auf diese Fragen beeinflussen die Kaufentscheidung grundlegend. Der Veräußerer stellt daher umfangreiches Datenmaterial auch über die Beschäftigten zur Verfügung – Datenmaterial, bei dem es sich in vielen Fällen um personenbezogene Daten handelt. Für den Veräußerer gilt es daher, bei Offenlegung die Vorgaben des Datenschutzrechts zu beachten. Denn der Beschäftigtendatenschutz hat gerade in jüngster Zeit immer mehr Beachtung gefunden – und bei Verstößen gegen datenschutzrechtliche Vorgaben drohen beiden Parteien empfindliche Geldbußen. BDSG und DSGVO setzen rechtlichen Rahmen Für die Verarbeitung von Beschäftigtendaten hat der deutsche Gesetzgeber im Bundesdatenschutzgesetz (BDSG) eine der EU-Datenschutz-Grundverordnung (DSGVO) vorrangige Regelung getroffen: Nach § 26 Abs. 1 BDSG dürfen personenbezogene Daten von Beschäftigten "für Zwecke des Beschäftigungsverhältnisses" verarbeitet werden. Die Befugnis hierzu ergibt sich aus der Öffnungsklausel des Art. 88 Abs. 1 DSGVO. Danach können die Mitgliedsstaaten Regelungen zum „Schutz der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigungskontext” treffen. Dies bedeutet: Je nachdem, um welche Beschäftigtendaten es sich handelt und zu welchem konkreten Zweck sie verarbeitet werden, bestimmt sich die Rechtmäßigkeit ihrer Verarbeitung entweder nach § 26 BDSG oder nach den Regelungen der DSGVO. Beschäftigtendaten zur Wertermittlung elementar Um den Wert des Unternehmens zu bestimmen, fordern Interessen Beschäftigtendaten der Mitarbeiter, der leitenden Angestellten, der Führungskräfte und der Geschäftsführung an und verlangen Einblick in Arbeitsverträge, Daten zu Lohnzahlungen, Informationen über die Dauer der Betriebszugehörigkeit, Daten über individuelle Qualifikationen, Alter und Schwerbehinderteneigenschaft der Mitarbeiter oder zurückliegende Fehlzeiten im Betrieb. Sofern solche Daten nicht anonymisiert bereitgestellt werden, handelt es sich um personenbezogene Beschäftigtendaten gemäß Art. 4 Nr. 1 DSGVO und § 26 BDSG. Jede Übermittlung solcher – nicht anonymisierter Daten – durch den Veräußerer an Interessenten ist eine Übermittlung personenbezogener Daten an Dritte gemäß Art. 4 Nr. 2 DSGVO, die von einer Rechtsgrundlage gedeckt sein muss. Rechtsgrundlagen für Offenlegung von Beschäftigtendaten Nicht abschließend geklärt ist die Frage, ob Unternehmenstransaktionen dem „Beschäftigungskontext“ im Sinne von § 26 BDSG zuzuordnen sind. Ordnet man Unternehmensverkäufe als erwartbaren Teil der Lebenswirklichkeit von Unternehmen dem Beschäftigungskontext zu, richtet sich die Zulässigkeit der Übermittlung von Beschäftigtendaten durch den Veräußerer in der Due Dilligence nach § 26 BDSG. Anderenfalls wären mögliche Rechtsgrundlagen für die Datenübermittlung des Veräußerers Art. 6 bzw. Art. 9 DSGVO, und hier insbesondere die Datenübermittlung durch den Veräußerer mit Einwilligung der Mitarbeiter, aufgrund von Regelungen im Rahmen von Betriebsvereinbarungen oder wegen eines eigenen berechtigten Interesses. Einwilligungen der Mitarbeiter
Grundsätzlich kann eine Einwilligung der Beschäftigten eine Datenübermittlung rechtfertigen (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO bzw. Art. 9 Abs. 2 a) DSGVO bzw. § 26 Abs. 2 BDSG). In der Praxis werden solche Einwilligungslösungen aber nahezu nicht genutzt. Grund ist der erhebliche administrative Aufwand. Hinzu kommt die Rechtsunsicherheit, inwiefern eine solche Lösung auch langfristig eine Übermittlung erlaubt, da Beschäftigte jederzeit ihre Einwilligung widerrufen können. Auch sprechen oft Geheimhaltungsinteressen auf Seiten des Veräußerers in der frühen Phase von Unternehmenstransaktionen gegen Einwilligungslösungen für die Due Diligence. Betriebsvereinbarungen Ordnet man Unternehmenstransaktionen dem Beschäftigungskontext im Sinne des BDSG zu, können auch Betriebsvereinbarungen eine Datenübermittlung an Interessenten erlauben. Gemäß § 26 Abs. 4 BDSG bzw. Art. 88 Abs. 2 DSGVO können die Betriebsparteien Erlaubnistatbestände für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis durch Kollektivvereinbarungen – wie Betriebsvereinbarungen – schaffen. Doch auch die Betriebsvereinbarung wird im Rahmen der Due Dilligence nicht oft als Handlungsermächtigung herangezogen, da hierzu oft im Vorfeld längere Verhandlungen zwischen Arbeitgeber und Betriebsrat nötig sind. Zudem werden auch hier die Geheimhaltungsinteressen von Veräußerer und Interessent häufig als Hinderungsgrund entgegenstehen. Gesetzliche Erlaubnistatbestände – § 26 BDSG, Art. 6 und 9 DSGVO In den meisten Fällen ergibt sich die Erlaubnis für die Übermittlung von Beschäftigtendaten durch den Veräußerer daher aus den gesetzlichen Erlaubnistatbeständen, entweder aus § 26 BDSG oder aus Art. 6 Abs. 1 lit. f) DSGVO. • Ordnet man Unternehmenstransaktionen dem Beschäftigungskontext im Sinne des BDSG zu, wäre § 26 BDSG anwendbar. Nach § 26 Abs. 1 S. 1 BDSG dürfen Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung des Beschäftigungsvererforderlich ist. Um die Frage der Erforderlichkeit zu beantworten, sind im Rahmen einer Verhältnismäßigkeitsprüfung das Interesse des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht der Beschäftigten so in Ausgleich zu bringen, dass beide Interessen möglichst weitgehend berücksichtigt werden. • Anderenfalls wäre das berechtigte Interesse mögliche Rechtsgrundlage für die Datenübermittlung des Veräußerers nach Art. 6 Abs. 1 lit. f) DSGVO: Danach ist eine Datenübermittlung zulässig, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder des Empfängers erforderlich ist und kein Grund zur Annahme besteht, dass schutzwürdige Interessen der Betroffenen an einem Ausschluss der Verarbeitung überwiegen. Offenlegung datenschutzkonform? Es kommt drauf an. In jedem Fall, also bei Anwendung von § 26 BDSG oder auch von Art. 6 Abs. 1 f) DSGVO, müssen die Interessen des Veräußerers, dem Interessenten einen angemessenen Überblick über die Beschäftigungsverhältnisse im Unternehmen zu verschaffen, mit den entgegenstehenden Interessen der Betroffenen am Schutz der informationellen Selbstbestimmung ins Verhältnis gestellt und zu einem schonenden Ausgleich gebracht werden. Hierzu ist daher eine differenzierte Betrachtung vorzunehmen, die sich insbesondere an den Gruppen von Beschäftigten, deren Funktionen im Unternehmen, der Unternehmensgröße und der Unternehmensstruktur orientiert. • Grundsätzlich dürfen nur solche Beschäftigtendaten übermittelt werden, die der Interessent zwingend für die Prüfung in personalisierter Form benötigt und ohne die in der Regel davon auszugehen ist, dass sich die Transaktion nicht realisieren lässt. • Für Arbeitnehmer in Schlüsselfunktionen im Unternehmen kann ein solches überwiegendes berechtigtes Interesse des Veräußerers bestehen. Je herausgehobener die Stellung einzelner Beschäftigter ist, desto höher ist das Interesse an dem Austausch personalisierter Informationen. Dies betrifft typischerweise Beschäftigte in der Geschäftsführung und im Management des Unternehmens und deren Daten, etwa im Hinblick auf Qualifikation, Vergütung oder konkrete Ausgestaltung der Anstellungsverträge. Aber auch bei diesen Beschäftigten in herausgehobenen Positionen gilt, dass es nicht zulässig ist, ungefiltert vollständige Personalakten zur Verfügung zu stellen. • Informationen über andere Mitarbeiter dürfen hingegen regelmäßig nur in anonymisierter Form zur Verfügung gestellt werden, da eine namentliche Übermittlung für die Unternehmensbewertung in der Regel nicht erforderlich ist. Dies sind etwa Informationen über Beschäftigte untergeordneter Hierarchieebenen des Unternehmens. Hier genügt es regelmäßig, aggregierte Informationen etwa zur Anzahl der Beschäftigten, Alters- und Gehaltsstruktur der Belegschaft sowie verwendete Musterarbeitsverträge auszutauschen. • Besonders hohe Anforderung stellen BDSG und DSGVO an die Übermittlung von sensiblen Beschäftigtendaten. Solche Daten im Sinne von Art. 9 DSGVO ("besondere Kategorien personenbezogener Daten") können insbesondere in den Personalakten zu finden sein, etwa in Form von Krankmeldungen, Informationen zur Gewerkschaftszugehörigkeit oder zu Schwerbehinderungen. Abgesehen von der Möglichkeit der Einholung einer Einwilligung gibt es in aller Regel keine Rechtfertigungsmöglichkeit über Art. 6 Abs. 1 DSGVO, da sowohl die in Art. 9 Abs. 2 DSGVO als auch die in § 26 Abs. 3 BDSG enthaltenen Erlaubnistatbestände im Rahmen einer Unternehmenstransaktion regelmäßig nicht eingreifen. Für die Due Diligence ist daher dringend zu empfehlen, besondere personenbezogene Daten herauszufiltern und nicht zu übermitteln. Verkauf, aber nicht verraten Um im Zuge von Unternehmenstransaktionen in der Due Dilligence nicht in die Bußgeldfalle zu tappen, sollten beteiligte Unternehmen bei der Offenlegung von Beschäftigtendaten die Vorgaben des Datenschutzrechts besonders im Blick haben, ihre erforderlichen Prozesse zur Übermittlung und Offenlegung der Daten überprüfen und wenn notwendig anpassen. Um den Zweck der Due-Dilligence-Prüfung zu erreichen und zugleich im Rahmen der datenschutzrechtlichen Grenzen zu handeln, wird in vielen Praxisfällen eine detaillierte Offenlegung von Beschäftigtendaten die Ausnahme bleiben können und eine Übermittlung in anonymisierter Form ausreichen. Beitrag hier kommentieren |