Soll ein Unternehmen ein anderes Unternehmen aufkaufen, wird in der Regel eine due diligence-Prüfung durchgeführt: Das zu kaufende Unternehmen wird auf alle denkbaren Aspekte hin durchleuchtet.

Von den wirtschaftlichen Verhältnissen bis hin zu steuerlichen und finanziellen Verhältnissen – alles wird „mit der im Verkehr gebotenen Sorgfalt“ analysiert.

Die Prüfung ermöglicht dem potentiellen Käufer, die Qualität und den Wert des Zielunternehmens zu ermitteln und eventuelle Risiken zu erkennen.

Dass bei der umfassenden Prüfung auch im umfassenden Umfang Daten zum Vorschein kommen, lässt sich denken. Insbesondere Beschäftigtendaten werden offengelegt: Personallisten, Arbeitsverträge, Gehaltsangaben werden unter die Lupe genommen.

Hier stellt sich die Frage, inwieweit die Übermittlung von personenbezogenen Daten zwecks einer due diligence-Prüfung eigentlich zulässig ist.

Sofern die Offenlegung der Beschäftigtendaten anonymisiert durchgeführt wird, besteht kein datenschutzrechtliches Problem. Die Daten so zu anonymisieren, dass tatsächlich kein Personenbezug mehr herzustellen ist, ist allerdings gar nicht so einfach und zumindest in kleineren Unternehmen aufgrund der möglichen Reindividualisierung schwierig umzusetzen.

Eine Einwilligung der Beschäftigten einzuholen, wäre wenig praktikabel, zumal Vertragsverhandlungen in der Regel unter strenger Geheimhaltung erfolgen. Eine abstrakte Vorab-Einwilligung über den Arbeitsvertrag wäre unwirksam.

Grundsätzlich wird die Weitergabe von Beschäftigtendaten nicht für die Durchführung der Beschäftigungsverhältnisse des Verkäuferunternehmens erforderlich sein, sodass der Weg über § 26 Abs. 1 S. 1 BDSG-neu als Rechtsgrundlage ebenso nicht eingeschlagen werden kann.

Viel eher kann die Rechtfertigung über Art. 6 Abs. 1 lit. f) oder Art. 4 Abs. 4 DSGVO erfolgen: Beide Parteien haben ein berechtigtes Interesse an eine Offenlegung der Daten.

Im Rahmen der Interessenabwägung sollten Interessen betroffener Personen nicht entgegenstehen, sofern einige zu beachtende Punkte vorliegen:

  • Aufgrund der Datensparsamkeit erfolgt der Datenaustausch nur im erforderlichen Umfang.
  • Es besteht eine Vertraulichkeitsvereinbarung zwischen den Parteien.
  • Technische und organisatorische Maßnahmen sind hinreichend gewährleistet und die Zugriffsrechte sind beschränkt.
  • Es werden keine sensiblen Daten nach Art. 9 DSGVO ausgetauscht.

Außerdem wird zu prüfen sein, ob nicht auch anonymisierte Daten ausreichen und wenn das verneint wird, ob nicht zumindest pseudonymisierte Daten den gegebenen Zweck erreichen können.  Es wird also auch hier, wie grundsätzlich im Datenschutzrecht, dem milderen Mittel der Vorrang gewährt.

Datenschutzhinweise

Fußt die Datenverarbeitung erstmal auf einer Rechtsgrundlage, müssen die betroffenen Personen nach Art. 12 bis 14 DSGVO informiert werden.

Steht die Transaktion unter strenger Geheimhaltung, kann § 32 Abs.1 Ziff. 4 BDSG-neu zur Geltung kommen. Auch hier müsste eine Abwägung mit der Fragestellung stattfinden, ob das Interesse der Parteien an einer Geheimhaltung dem Interesse der betroffenen Person überwiegen. Die oben genannten Punkte bieten sich hier ebenfalls als Abwägungskriterien an.

Sollte das Geheimhaltungsinteresse wegfallen, so etwa bei Abschluss der Vertragsverhandlungen, müssen die Informationen sodann innerhalb von zwei Wochen nachgeholt werden (§ 32 Abs.3 BDSG-neu).

Fazit

Wenn die Belange der Arbeitnehmer und die Grundsätze des Datenschutzrechtes hinreichend berücksichtigt werden, kann ein Datentransfer im erforderlichen Umfang gestattet sein.