Im Rahmen der Unternehmensnachfolge und der Zusammenarbeit mit einem M&A-Berater (Mergers & Acquisitions) sind mehrere datenschutzrechtliche Aspekte zu beachten.
Grundsatz der Datenminimierung
Es sollte sichergestellt werden, dass nur die personenbezogenen Daten weitergegeben werden, die für die Durchführung des Verkaufsprozesses unbedingt notwendig sind. Dabei ist das Prinzip der Datenminimierung zu beachten.
Vertraulichkeit
Vor dem Austausch von Informationen mit dem M&A-Berater oder potenziellen Käufern sollten Vertraulichkeitsvereinbarungen (Non-Disclosure Agreements, NDAs) abgeschlossen werden, die auch Datenschutzaspekte abdecken. Diese Vereinbarungen sollten Regelungen enthalten, die sicherstellen, dass die Daten nur für den Zweck des Unternehmensverkaufs verwendet und nicht unbefugt weitergegeben werden dürfen.
Informationspflichten
Gemäß Art. 13 und 14 DSGVO sind die betroffenen Personen (z.B. Mitarbeiter, Kunden) über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies beinhaltet insbesondere die mit dem Unternehmensverkauf verbundene Datenweitergabe.
Sichere Speicherung
Es muss darauf geachtet werden, dass personenbezogene Daten sicher übertragen und gespeichert werden, insbesondere beim Austausch mit Interessenten und Beratern. Dazu gehören geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten.
Falls der M&A-Berater Zugriff auf personenbezogene Daten erhält und diese im Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich. Dieser regelt die datenschutzkonforme Verarbeitung der Daten durch den Dienstleister.
Spezialthema: Informationspflichten!
Die Informationspflichten gegenüber den Beschäftigten bei einem geplanten Verkauf eines Unternehmens sind eine Gratwanderung zwischen dem Schutz personenbezogener Daten nach der Datenschutz-Grundverordnung (DSGVO) und praktischen Erwägungen, wie der Vermeidung von Unruhe innerhalb der Belegschaft.
Hier einige Optionen und Überlegungen:
Spätestmögliche Information
Gemäß der DSGVO müssen die Beschäftigten „rechtzeitig“ informiert werden, wenn ihre personenbezogenen Daten verarbeitet werden. Dies bedeutet, dass die Information erfolgen sollte, bevor die Verarbeitung beginnt. Im Kontext eines Unternehmensverkaufs könnte dies bedeuten, dass die Mitarbeiter informiert werden müssen, bevor ihre Daten mit potenziellen Käufern geteilt werden. Der genaue Zeitpunkt hängt jedoch von den spezifischen Umständen des Verkaufsprozesses ab.
Phasenweise Information
Eine Möglichkeit besteht darin, die Information in Phasen vorzunehmen. Anfangs könnte die Information allgemein gehalten sein, ohne spezifische Details zum Verkauf oder zu den potenziellen Käufern zu nennen. Spätere Informationen könnten konkreter sein, sobald der Verkaufsprozess weiter fortgeschritten ist und die Unsicherheit geringer ist.
Anonymisierung und Pseudonymisierung
Soweit möglich, sollten Daten, die in den frühen Phasen des Verkaufsprozesses mit potenziellen Käufern geteilt werden, anonymisiert oder pseudonymisiert werden. Dies kann dazu beitragen, die Notwendigkeit der Information der Beschäftigten zu einem frühen Zeitpunkt zu umgehen, da keine personenbezogenen Daten offengelegt werden.
Rechtsgrundlage ohne Einwilligung
Es sollte geprüft werden, ob für die Datenverarbeitung im Rahmen des Unternehmensverkaufs eine Rechtsgrundlage besteht, die keine vorherige Einwilligung der Beschäftigten erfordert. Beispielsweise könnte die Verarbeitung zur Wahrung berechtigter Interessen des Unternehmens erforderlich sein, solange die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen.
Fazit
Letztlich hängt der optimale Zeitpunkt und die Art der Kommunikation mit den Beschäftigten von den spezifischen Umständen des Unternehmensverkaufs, den betroffenen Daten und den rechtlichen Anforderungen ab. Die Strategie sollte darauf abzielen, die Rechte der Beschäftigten zu wahren, während gleichzeitig die Integrität des Verkaufsprozesses geschützt wird.