Was ist zu beachten, wenn Sie die Unternehmensnachfolge regeln wollen?
Planen Sie die Übernahme bzw. den Erwerb von Unternehmens-Anteilen?
Bei der Unternehmensnachfolge spielen viele Faktoren eine Rolle. Allerdings sollten auch die datenschutzrechtlichen Faktoren von vornherein beachtet werden, um finanzielle Risiken oder auch Risiken eines Image-Schadens bereits zu Projektbeginn bewerten oder ausschließen zu können.
Je nach Art der Unternehmensnachfolge müssen unterschiedliche Aspekte beachtet werden und liegen unterschiedlich hohe Risiken vor. Im folgenden Artikel lesen Sie, welche Aspekte der Datenschutz mit sich bringt.
Datenschutzfragen stellen sich für Unternehmer : innen immer dann, wenn personenbezogene Daten Gegenstand ihres Handelns sind. Dies gilt auch und insbesondere für die Situation der Übernahme eines anderen Unternehmens. Kundendaten sind in der Regel von zentralem Interesse für die Käufer : in. So kann der Kundenstamm das Kapital der Vertragsverhandlungen darstellen.
Die datenschutzrechtlichen Anforderungen an eine solche Übernahme sollten daher Bestandteil jeder Due-Diligence-Prüfung sein. Werden die Voraussetzungen sorgfältig geprüft und die rechtlichen Vorgaben umgesetzt, ist die Unternehmensnachfolge in rechtskonformer Art und Weise möglich. Beziehen Sie frühzeitig Ihre Datenschutzbeauftragte / Ihren Datenschutzbeauftragten ein.
Kontaktformular WIEMER ARNDT
Arten von Unternehmensnachfolge
Nicht jede Unternehmensnachfolge ist aus datenschutzrechtlicher Sicht gleich zu bewerten. Wir zeigen hier einige gängige Arten auf, wie eine Unternehmensnachfolge bzw. eine Unternehmensübernahme bewertet werden kann.
Share Deal
Aus datenschutzrechtlicher Sicht ist diese Art der Unternehmensnachfolge bzw. -übernahme unproblematisch, denn dabei handelt es sich um die Übernahme von Gesellschaftsanteilen eines anderen Unternehmens.
In einer solchen Situation bleibt das eigentliche Unternehmen rechtlich unverändert bestehen – es ändert sich lediglich die Gesellschafterstruktur. Eine Weitergabe personenbezogener Daten findet nicht statt. Es liegt danach kein datenschutzrechtlich relevanter Vorgang vor. Dies gilt sowohl nach den Vorschriften des heutigen BDSG als auch nach der DSGVO.
Etwas anderes gilt selbstverständlich dann, wenn z. B. Kundendaten des übernommenen Unternehmens mit bestehenden Datenbeständen des übernehmenden Unternehmens zusammengeführt werden sollten, also doch eine Übermittlung von einem Unternehmen auf das andere stattfände.
Asset Deal
Bei einem Asset Deal liegt ein datenschutzrechtlicher Übermittlungsvorgang vor, da einzelne oder auch alle Vermögenswerte des Unternehmens überführt bzw. übernommen werden, und soweit dies auch den Kundenstamm betrifft. Eine sorgfältige Analyse (Due-Diligence-Prüfung) sollte vorgenommen werden. So kann für bestehende Vertragsverhältnisse auch künftig Art. 6 Abs. 1 b DSGVO an Ansatz gebracht werden.
Anders wird der Kundenstamm ehemaliger Kunden bewertet. Hier geht es um Daten zur Vertragshistorie bis hin zu ausgefeilten Kundenprofilen. Diese Informationen über das Verhalten und die Vorlieben ehemaliger Kund : innen sind für das übernehmende Unternehmen essentiell wichtig. Die Weitergabe ist allerdings nur auf Grundlage einer Interessenabwägung möglich. Hierbei ist darauf zu achten, dass besondere Kategorien personenbezogener Daten keinesfalls aufgrund berechtigter Interessen übermittelt werden dürfen!
Verschmelzung von juristischen Personen
Sofern eine Verschmelzung nach § 20 UmwG durchgeführt und das übernommene Unternehmen vollständig durch die Käufer : in fortgeführt wird, ergeben sich ebenfalls datenschutzrechtliche Aspekte, die berücksichtigt werden müssen.
Datenschutzrechtliche Aspekte bei der Nachfolge
Grundsätzlich sollten Sie bei der Unternehmensnachfolge bzw. einer Übernahme folgende Fragestellungen, vor berücksichtigen.
Due Diligence:
Werden vor der Übernahme / Übergabe bereits personenbezogene Daten offengelegt? Ist für diese Zwecke eine Interessenabwägung durchgeführt worden aufgrund der Zweckänderung gem. Art. 6 Abs. 4 DSGVO?
Eine Due-Diligence-Prüfung bei der Unternehmensbewertung muss auch die Risiken aus möglichen Missständen bezüglich des Datenschutz-Managements beinhalten. So sind für fehlende bzw. unvollständige oder veraltetet Compliance-Regelungen Rückstellungen für die Zukunft zu bilden. Auch müssen Datenschutzverstöße aus der Vergangenheit bewertet werden.
Betroffeneninformation:
Der Informationspflicht gem. Art. 13 DSGVO ist nachzukommen. Sofern durch ext. Partner Zugriff auf personenbezogene Daten stattgeben wird bzw. diese an solche Partner weitergegeben werden, sind Betroffene zu informieren.
Beschäftigtendatenschutz:
Sofern ein Betriebsarztwechsel stattfindet, sind die Akten der Mitarbeiter : innen verschlossen an den neuen Betriebsarzt / die neue Betriebsärztin zu übergeben und nur mit Einwilligung der Mitarbeiter : innen zu nutzen. Das Arzt-Patienten-Geheimnis ist zu wahren. Eine Ausnahme stellen Stammdaten dar.
Kollektivvereinbarungen:
Welche Regelungen werden bezüglich der bestehenden Rechtsgrundlagen für die Datenverarbeitung im Beschäftigungsverhältnis getroffen? Gibt es bereits eine Einberufung eines Kontrollgremiums (BR, DS, GF, IT)?
Betriebliches Eingliederungsmanagement (BEM):
Sofern es einen implementieren Prozess zur Eingliederung von Mitarbeiter : innen gibt, muss auch dieser gglfs. angepasst werden. Der Umgang mit der BEM-Dokumentation wird gesondert von der Personal-Akte aufbewahrt. Wie ist die Übergabe an angedacht?
Mitarbeiterjahresgespräche:
Die Protokolle der Jahresgespräche, die Vorgesetzte in ihrem Verantwortungsbereich mit ihren Mitarbeiter : innen führen, sind nur mit Einwilligung der Mitarbeiter : innen in die Personalakte aufzunehmen. Sollten diese bei der / dem direkten Vorgesetzten lagern. Ist geklärt inwiefern künftig darauf zugegriffen werden darf bei Wechsel der Verantwortlichkeit?
Kunden- / Patientendatenschutz:
Fortführung von Verträgen (Patient : innen bzw. Klient : innen). Wer prüft die Anwendung des Berufsgeheimnisses gem. § 203 StGB. Werden z. B. Leistungen nach SGB durch durch Mitarbeiter : innen erbracht?
Umgang mit Bestandsdaten:
Sofern der Kundenstamm ehemaliger Kund : innen bzw. Mitarbeiter : innen nicht durch die Unternehmensnachfolge bereits geregelt ist, muss festgelegt werden, wie mit dem „Archiv“ umgegangen wird. Haben Sie die Löschfristen und das Löschkonzept sowie die datenschutzkonforme Aufbewahrung geregelt?
Datensicherheit:
Die Zuständigkeit für die IT-Infrastruktur muss festgelegt werden. Es müssen gglfs. die bestehende und die neue IT-Infrasturktur in Einklang gebracht werden. Darüber hinaus müssen in der Regel die Unternehmens-Website, Technischen und Organisatorischen Maßnahmen gem. Art. 32 DSGVO sowie weitere Themen wie Datensicherung etc. festgelegt werden. Bei diesen Maßnahmen muss das bestehende Schutzniveau beachtet und nicht durch die Zusammenführung unterschritten werden.
Verträge zur Datenverarbeitung:
Die Prüfung der aktuellen Auftragsverarbeitungsverhältnisse muss durchgeführt und auf die neue Unternehmensstruktur angepasst werden.
Hinweise zur Regelung der Nachfolge
Die oben aufgeführte Aufzählung ist nicht abschließend zu verstehen. Soll aber einen kurzen Einblick in die datenschutzrechtlichen Aspekte bei einer Unternehmensnachfolge gegeben haben. Wir als Datenschutzberater : innen mit langjähriger Erfahren können Sie bei der Prüfung und Bewertung eines möglichen Risikos bei der Unternehmensübernahme unterstützen.
Gern beraten und begleiten wir Sie, damit Ihr Projekt datenschutzkonform umgesetzt wird. Kontaktieren Sie uns gerne.