Datenschutz beim Unternehmenskauf und Due Diligence: Beschäftigtendaten sind personenbezogene Daten!
Käufer fordern Verkäufer im Rahmen der Due Diligence und anlässlich des Abschlusses eines Unternehmenskaufvertrages regelmäßig dazu auf, bestimmte Daten der Arbeitnehmer und Beschäftigten offenzulegen. Dieser Blogbeitrag widmet sich den dabei zu beachtenden datenschutzrechtlichen Rahmenbedingungen.
Bei der Vorbereitung und Durchführung von Unternehmensakquisitionen hat der Kaufinteressent ein Interesse daran, möglichst detaillierte Informationen über die Belegschaft der Zielgesellschaft zu erhalten. Daneben sind Informationen über die Beschäftigungsbedingungen des Managements und der leitenden Angestellten (z.B. Angaben zu Gehalt, Vertragslaufzeit, Wettbewerbsverbote) für den Kaufinteressenten von zentraler Bedeutung.
Häufig wird verkannt, dass es sich bei den zu übermittelnden Informationen über die Beschäftigten um personenbezogene Daten handeln kann und in diesem Fall im Rahmen des Unternehmenskaufs und der vorangehenden Due Diligence datenschutzrechtliche Regelungen zu beachten sind.
Das Thema gewinnt mit Blick auf die ab Mai 2018 für alle Unternehmen in der EU geltende Datenschutzgrundverordnung („DSGVO″) an Relevanz. Die DSGVO wird den Sanktionsrahmen gegenüber dem aktuell geltenden Bundesdatenschutzgesetz (BDSG) drastisch erhöhen, so dass datenschutzrechtliche Risiken künftig deutlich höher zu bewerten sein werden als es aktuell der Fall ist.
Aber wie läuft nun die Übermittelung von Beschäftigtendaten bei einem Unternehmenskauf ab?
Due Diligence-Phase – Offenlegung der Daten vor dem Unternehmenskauf
Bei fast jedem Unternehmenskauf untersucht der Kaufinteressent vor Vertragsschluss die zu erwerbende Gesellschaft. Ein Kaufinteressent möchte im Rahmen der Prüfung regelmäßig wissen, welche Personen die Zielgesellschaft beschäftigt und zu welchen Konditionen. Je nach Transaktion und Größe der Belegschaft kann sogar das Hauptaugenmerk des Kaufinteressenten auf der Übernahme der Belegschaft liegen (sog. „Acqui Hire„). Sind für das Geschäftsmodell der Zielgesellschaft – wie in den meisten Fällen – einzelne Mitarbeiter von besonderer Bedeutung (sogenannte „Key Employees″, wie z.B. Geschäftsführer, Entwickler, Einkaufs- oder Vertriebsleiter), interessiert sich der Käufer vor allem auch für deren Vertragsverhältnisse.
Die Informationen über die Belegschaft (z.B. Arbeitsverträge, Personallisten, statistische Informationen) werden üblicherweise auf Veranlassung des Verkäufers in einem Datenraum für die Zwecke der Überprüfung durch die Anwälte und sonstigen Berater des Kaufinteressenten offen gelegt (sog. „Due Diligence″ Prüfung). Ohne eine solche Offenlegung der wesentlichen Informationen zur Belegschaft ist eine Zielgesellschaft im heutigen M&A Umfeld nur schwer verkäuflich. Auch der Verkäufer hat daher ein Interesse an der Offenlegung der wirtschaftlich relevanten Beschäftigtendaten.
Sowohl dem Verkäufer als auch dem Käufer ist in dieser Transaktionsphase daran gelegen, die Due Diligence und die ersten Vertragsverhandlungen geheim zu halten. Der Verkäufer möchte die Belegschaft erst informieren, wenn der Unternehmensverkauf in trockenen Tüchern ist, um keine Unruhe in sein Unternehmen zu bringen. Auch kann das Image der Zielgesellschaft darunter leiden, wenn ein frühzeitig bekannt gewordener Verkauf scheitert – ein Risiko, das der Verkäufer in der Due Diligence Phase nicht eingehen möchte. Der Käufer möchte wiederum vermeiden, dass andere potentielle Kaufinteressenten von dem geplanten Erwerb erfahren, bevor die Transaktion für ihn gesichert ist.
Vertragsschluss-Phase (Signing-Phase) – Interesse an den Daten des Zielunternehmens steigt
Je näher der Vertragsschluss rückt, desto größer ist das Informationsinteresse des Kaufinteressenten. Dies gilt in besonderem Maße, wenn die Transaktion als Asset Deal (d.h. als Verkauf einzelner Vermögensgegenstände) strukturiert ist. Denn diese Informationen sind für die Bestimmung des Kaufgegenstandes – also für die Frage, welche Unternehmensteile übergehen sollen – wichtig.
Beim Share Deal (der Käufer erwirbt die Anteile an der Zielgesellschaft) gilt letztlich nichts anderes, da der Kaufinteressent sich Klarheit über den Zustand der Zielgesellschaft verschaffen möchte. Dieser „Soll-Zustand″ wird in der Regel über Verkäufergarantien und ‑freistellungen abgesichert.
Sollen im Kaufvertrag – wie in den meisten Fällen – Verkäufergarantien bezüglich der bestehenden Arbeitsverhältnisse abgegeben werden, stellt sich oftmals die Frage, ob auf eine beigefügte Personalliste Bezug genommen werden darf.
Was sollten die Handelnden nun aus datenschutzrechtlicher Sicht beachten bevor Beschäftigtendaten übermittelt werden?
Statistische oder anonymisierte Daten können offengelegt werden
Vor einer Übermittlung von Beschäftigtendaten sollten sich die Handelnden auf beiden Seiten (d.h. auf Seiten der Zielgesellschaft und auf Seiten des Käufers) vergewissern, dass die beabsichtigte Datenübermittlung aus datenschutzrechtlicher Sicht keinen Bedenken ausgesetzt ist, vor allem um das Risiko einer Bußgeldverhängung zu vermeiden.
Die Übermittlung oder Offenlegung von Beschäftigtendaten beim Unternehmenskauf ist unkritisch, sofern lediglich Daten ohne Personenbezug übermittelt werden. In diesem Fall findet das Datenschutzrecht keine Anwendung. Die Zielgesellschaft kann also ohne weiteres statistische Daten (z.B. Durchschnittsgehälter, durchschnittliches Alter, durchschnittliche Betriebszugehörigkeit), gegebenenfalls gestaffelt nach Funktion und Tätigkeitsgebiet oder Einsatzort der Beschäftigten, zur Verfügung stellen. In vielen Fällen werden einem Käufer diese Informationen für die regulären Beschäftigten, bei denen es sich nicht um das Management oder um Schlüsselmitarbeiter handelt, ausreichen.
Es besteht außerdem die Möglichkeit, den Personenbezug der Daten durch eine Anonymisierung aufzuheben. Dies kann im Falle der Übermittlung einer Personalliste z.B. durch Schwärzung oder Weglassen aller Angaben, die einen Personenbezug ermöglichen, erfolgen. Zu beachten ist, dass eine Anonymisierung im datenschutzrechtlichen Sinne nur vorliegt, wenn eine Re-Individualisierung, d.h. eine Zuordnung der Datensätze zu einzelnen Personen, für den Käufer nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Eine Re-Individualisierung ist beispielsweise möglich, wenn aufgrund der Zusammenschau mehrerer Informationen erkennbar ist, auf wen sich die Daten beziehen. Man denke an folgendes Beispiel: In einem großen Zielunternehmen gibt es am Standort Berlin nur einen Mitarbeiter, der im PR-Bereich (z.B. als Pressesprecher) tätig ist. Ergibt sich nun aus der geschwärzten Mitarbeiterliste, dass ein bestimmter Mitarbeiter im Bereich PR in Berlin tätig ist und kann der Käufer ohne größere Schwierigkeiten die Identität dieses Mitarbeiters herausfinden (z.B. anhand der Angaben auf der Website der Zielgesellschaft), liegt insoweit trotz Schwärzung des Vor- und Nachnamens und des Geburtsdatums keine Anonymisierung vor.
In Fällen, in denen eine Anonymisierung tatsächlich nicht möglich oder für den Käufer unzureichend ist (z.B. beim Management und Schlüsselmitarbeitern), hängt die Zulässigkeit der Datenübermittlung an den Unternehmenskäufer von einer datenschutzrechtlichen Interessenabwägung ab.
Datenschutzrechtliche Interessenabwägung für die Datenübermittlung
Die Zustimmung der Beschäftigten zur Offenlegung ihrer Daten einzuholen ist gerade bei großen Unternehmen wenig praktikabel und schon deswegen in der Regel keine Option. Die Zulässigkeit der Datenübermittlung ohne Einholung der Zustimmung der Beschäftigten hängt von einer Interessenabwägung ab. Hierbei sind die berechtigten Interessen des Verkäufers (als Gesellschafter der Zielgesellschaft, der seine Beteiligung verkaufen möchte) und die schutzwürdigen Interessen der betroffenen Beschäftigten gegeneinander abzuwägen. Die Abwägung ist hierbei stets bezogen auf den Einzelfall vorzunehmen und wird je nach Transaktionsphase unterschiedlich ausfallen. Folgende grobe Leitlinien prägen die vorzunehmende Interessenabwägung normalerweise:
Bei der Interessenabwägung spielt es eine entscheidende Rolle, ob ein schützenswertes Informationsinteresse des Kaufinteressenten auf Veranlassung des Verkäufers von der Zielgesellschaft zu befriedigen ist und ob die Datenübermittlung zur Wahrung dieses Interesses „erforderlich″ ist. Es ist hierbei der Frage nachzugehen, ob in der aktuellen Phase der Transaktion bei objektiver Betrachtung ein Weniger an Informationen nicht eine zumutbare Alternative darstellt, um dem Informationsinteresse des Kaufinteressenten, und damit dem Interesse des Verkäufers an der Durchführung der Transaktion, gerecht zu werden.
Man denke an folgendes Beispiel: Eine Zielgesellschaft, bei der es sich um eine Supermarktkette mit 2.500 Mitarbeitern handelt, soll verkauft werden. Ein Kaufinteressent fragt während der Due Diligence-Phase eine vollständige Liste aller Arbeitnehmer der Zielgesellschaft mit Angaben zum jeweiligen Jahresbruttogehalt, Geburtsdatum, Urlaubsanspruch, Befristung, und gegebenenfalls weiterer Daten an. Hier stellt sich die Frage, ob dem Informationsinteresse nicht in ausreichender Weise Genüge getan werden kann, wenn zunächst nur Angaben zu Führungskräften mit den angefragten Daten offengelegt werden und im Übrigen statistische Durchschnittswerte mitgeteilt werden (z.B. zur Anzahl der Kassierer(innen), dem Durchschnittsbruttogehalt, Durchschnittsalter, usw.).
Zu berücksichtigen ist auch das besondere Geheimhaltungsinteresse eines Arbeitnehmers bezüglich besonders sensibler Daten. Zu diesen Daten gehören beispielsweise Behinderung, Schwangerschaft, Krankheit und Gewerkschaftszugehörigkeit.
Tendenziell lässt sich sagen, dass die Arbeitnehmerinteressen in der Due Diligence-Phase höheres Gewicht haben, während die Verkäufer- und Käuferinteressen in der Signing-Phase an Gewicht gewinnen.
Auch in der Signing-Phase kann die Offenlegung bestimmter Arbeitnehmerdaten aber nur damit gerechtfertigt werden, dass Verkäufer und Käufer ein besonderes Interesse an der Offenlegung haben. Denkbar ist in dieser Phase insbesondere die Offenlegung von Informationen zu weiteren Key Employees oder gegebenenfalls weiterer Angaben zu diesen.
DSGVO bringt höhere Risiken für die Akteure im Falle eines Datenschutzrechtsverstoßes
Kommt es im Rahmen eines Unternehmenskaufs zu einem Datenschutzverstoß, so können Bußgelder gegenüber der Zielgesellschaft und gegenüber dem Käufer verhängt werden. Auch die Geschäftsführung der Zielgesellschaft und des Käufers kann gegebenenfalls in die Haftung genommen werden.
Das Datenschutzrecht wird durch die DSGVO eine erheblich höhere Bedeutung erlangen als bisher. Einer der Kernpunkte der europäischen Datenschutzreform ist die Einführung stärkerer Sanktionen für Datenschutzverstöße. Der Bußgeldrahmen steigt für Unternehmen auf bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes an (der höhere Betrag ist maßgeblich). Hinzu kommt, dass Sanktionen von Datenschutzverstößen in Form von Bußgeldern künftig nach der Intention des Verordnungsgesetzgebers nicht mehr die Ausnahme, sondern die Regel sein sollen. Dies müssen Unternehmen künftig in ihre Risikobewertung einbeziehen.
In der Folge ist zu erwarten, dass auch im Bereich von Unternehmenstransaktionen die Sensibilität für das Thema Datenschutz weiter steigen wird. Der Geschäftsführung von Zielgesellschaften und von Kaufinteressenten ist dringend zu empfehlen, ihre Prozesse zur Offenlegung und Abfrage von Beschäftigtendaten zu überprüfen und erforderlichenfalls anzupassen. Due Diligence Checklisten und Fragelisten sollten dringend an die aktuellen datenschutzrechtlichen Vorgaben und die ab Mai 2018 in Kraft tretende DSGVO angepasst werden.