In aller Regel wird vor der Übernahme oder dem Kauf eines Unternehmens eine sorgfältige Unternehmensprüfung – auch Due Diligence Investigation genannt – durchgeführt.
Da niemand gerne die Katze im Sack kauft, wird dabei auch eine Überprüfung der Mitarbeiter und vor allem der Führungskräfte durchgeführt. Wie lässt sich das aber mit den geltenden Datenschutzregeln vereinbaren?
Überprüfung von Mitarbeitern jeglicher Ebene und Offenlegung der Daten bedeutet in der Regel die Verarbeitung personenbezogener Daten. Hierbei greift die volle Breitseite der DSGVO. Man kann sich natürlich auch mit Durchschnittsprofilen z.B. zu Altersstruktur, Rangstruktur und Einkommen zufriedengeben, die sich aus den anonymisierten Mitarbeiterdaten gewinnen lassen. Das hilft, die komplexen Datenschutz-Spielregeln zu vermeiden.
Werden aber gerade zu Personen in wichtigen fachlichen oder hierarchischen Positionen detaillierte Informationen benötigt, kommt man um die komplette Einhaltung der im Art. 5 und evtl. Art. 9,1 der DSGVO benannten Bedingungen nicht herum. Die DSGVO ebenso wie das Bundesdatenschutzgesetz (BDSG) beruhen auf den Prinzipien der „informationellen Selbstbestimmung“ und des „Verbotes mit Erlaubnisvorbehalt“. Das bedeutet vor allem, für jede Verarbeitung personenbezogener Daten wird eine Rechtsgrundlage benötigt und sind umfangreiche Informations- und Dokumentationsmaßnahmen zu beachten.
Gerade letzteres würde bedeuten, dass Personen in betrieblichen Schlüsselpositionen sehr frühzeitig von Kauf- oder Übernahmeabsichten erfahren müssten, was wohl kaum im Interesse der beteiligten Parteien liegen dürfte. Genau dieses verhindert auch die Einholung einer expliziten Einwilligung der betroffenen Mitarbeiter und Führungskräfte.
Was bleibt also? Art. 6,1 b der DSGVO und §32, 1 S1 des BDSG werden gerne in den Ring geworfen, sind aber nicht belastbar, da beide ein Vertragsverhältnis zwischen den betroffenen Personen und dem „neuen“ Verantwortlichen zugrunde legen.
Vorstellbar wäre noch als Rechtsgrundlage die Zweckänderung. Nach Art 5 DSGVO ist die Verarbeitung personenbezogener Daten nur mit einer Zweckbindung zulässig. Lt. Art 6, Abs. 4 kann unter bestimmten Bedingungen eine Zweckänderung erfolgen. Dazu muss aber eine sorgfältige Vereinbarkeitsprüfung der Zwecke und zur Ermittlung des Schutzinteresses eine entsprechende Interessenabwägung durchgeführt und dokumentiert werden. Unvermeidbar bleibt jedoch die Informationspflicht gegenüber den betroffenen Personen, die zum Zeitpunkt der Datenweitergabe oder -erhebung erfolgen muss. Da die Unternehmensprüfungen i.d.R. aber bereits in einem frühen Stadium der Übernahmeverhandlungen erfolgen, dürfte dies alles eher nicht im Interesse der beteiligten Parteien liegen.
The way out? Eigentlich bleiben nur zwei Wege aus dieser Zwickmühle: entweder die Übergabe der personenbezogenen Daten erfolgt zu einem so späten Zeitpunkt, dass die Information der Betroffenen vertretbar ist und Art 6 Abs.4 der DSGVO oder §32 des BDSG als Rechtsgrundlage herangezogen werden können, oder es erfolgt eine Beschränkung auf mit Hilfe anonymisierter Daten hergestellter Durchschnittsprofile.
Guido Feuerriegel, Der Datenschützer vom Ammersee, www.dsb-5seenland.de