Datenweitergabe im Rahmen von Unternehmenszusammenschlüssen

Unternehmensfusionen sind in der Wirtschaft an der Tagesordnung. In den verschiedenen Reorganisations- und Zusammenlegungsprozessen werden Personendaten übertragen und mannigfach bearbeitet. Dabei besteht vor allem das Risiko, dass Unberechtigte Zugriff auf personenbezogene Informationen erhalten, dass zu viele Daten (zu früh oder den falschen Personen) bekannt gegeben werden, oder dass die Personendaten plötzlich zweckentfremdet eingesetzt werden.

Unternehmenszusammenschlüsse und die Veräusserung von Unternehmensteilen sind in der Wirtschaft alltägliche Vorgänge, die sich grundsätzlich in zwei Phasen unterscheiden lassen. In der Vorbereitungs- und Vertragsabschlussphase finden Verhandlungen zwischen den Fusionspartnern bzw. dem Käufer und dem Veräusserer des Unternehmens oder Unternehmensteils statt, die in einen Fusions- oder Kaufvertrag münden. In der Übernahmephase findet dann der eigentliche Zusammenschluss der Unternehmen oder die Übernahme des Unternehmensbereichs statt.

Da in Unternehmen so gut wie immer personenbezogene Daten bearbeitet werden, sind auch bei Unternehmenszusammenschlüssen die Bestimmungen des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) zu berücksichtigen.

Im Laufe der Vertragsverhandlungen mit potentiellen Käufern führen die Unternehmen in der Regel eine Due Dilligence, also eine sorgfältige Kaufprüfung durch, in welcher den Käufern die Möglichkeit gegeben wird, sich ein Bild von der geschäftlichen Lage und damit dem Wert des Unternehmens zu machen. Hierdurch versucht der Käufer, neben den vorhandenen Aktiven des Unternehmens auch mögliche Synergien und Risiken zu identifizieren, um einschätzen zu können, welchen Nutzen ein Kauf bzw. eine Fusion erbringen würde. Aus diesem Grund ist der Käufer bestrebt, möglichst viele und möglichst umfangreiche Informationen zu erhalten.

Nach abgeschlossenem Fusions- oder Kaufvertrag werden die Unternehmensteile übernommen und integriert. In diesem Zusammenhang werden in der Regel die Geschäftsbereiche neu organisiert und zusammengelegt. Hierbei werden auch Personendaten in andere Geschäftsbereiche übertragen, um im neu strukturierten Unternehmen gewinnbringend eingesetzt zu werden. Aus datenschutzrechtlicher Sicht ist dabei zu beachten, dass die Personendaten auch nach der Fusion noch gemäss den Bestimmungen des DSG bearbeitet werden.

Risiken

Die datenschutzrechtliche Hauptgefahr im Rahmen von Unternehmenszusammenschlüssen liegt in einer unberechtigten Datenbearbeitung und -weitergabe. In der Vorbereitungs- und Vertragsabschlussphase besteht die Gefahr, dass im Rahmen der Due Dilligence der Umfang der Weitergabe von Personendaten zu weit reicht und die potentiellen Käufer Kenntnis von mehr personenbezogener Information erhalten, als es für den Unternehmenskauf notwendig ist. Im Laufe der Integration der Unternehmen bzw. der Unternehmensteile könnten personenbezogene Daten in andere Abteilungen transferiert oder zu einem anderen Zweck verwendet werden als bei der Erhebung angegeben. Aus diesen Gründen müssen im Rahmen von Fusionen und Unternehmenskäufen die datenschutzrechtlichen Risiken analysiert und ausreichend berücksichtigt werden.

Risiken in der Vorbereitungs- und Vertragsabschlussphase

Im Rahmen einer Due Dilligence richten Unternehmen in der Regel einen «Information Room» ein, in dem sämtliche für die Unternehmensbewertung relevanten Informationen bereitgestellt werden. Die potentiellen Käufer bekommen Zugang zu diesem Raum, können die Unterlagen einsehen und sich handschriftliche Notizen machen. Üblicherweise handelt es sich um Informationen über Lieferanten, Kunden, Arbeitnehmer und andere Geschäftspartner.

Eine unberechtigte Datenweitergabe kann folgendermassen zustande kommen:

• Es können Käufer auftreten, die kein eigentliches Kaufinteresse, sondern lediglich ein Interesse an den von der Unternehmung in der Due Dilligence zur Verfügung gestellten Informationen haben.
• Es kann vorkommen, dass das Unternehmen (sei es aus Unachtsamkeit oder um einen höheren Verkaufserlös zu erzielen) mehr personenbezogene Informationen zur Verfügung stellt als unbedingt notwendig.

In beiden Fällen kann es zu Datenschutzverletzungen kommen, weshalb Unternehmen bereits in der Vorbereitungsphase für datenschutzrechtliche Belange sensibilisiert werden sollten.

Risiken in der Übernahmephase

Während der Übernahme des Unternehmensteils oder des Zusammenschlusses der Unternehmen werden verschiedene Geschäftsbereiche restrukturiert und zusammengelegt, Arbeiten ausgelagert und Datenbestände miteinander abgeglichen und zusammengeführt. Bei solchen Restrukturierungsmassnahmen wird häufig von Grund auf geprüft, wie der Geschäftsbetrieb effizienter und gewinnbringender gestaltet werden kann. Dabei kann es vorkommen, dass Bestände von Personendaten zwischen Geschäftsbereichen transferiert und dort zu anderen Zwecken verwendet werden, als dies bei der Erhebung der Daten den betroffenen Personen kommuniziert worden war. In den meisten Fällen erfolgt eine solche Datenschutzverletzung nicht aus Böswilligkeit der Unternehmen, sondern es wird oft im Rahmen der Restrukturierung schlichtweg vergessen, zu welchem Zweck die Daten ursprünglich gesammelt wurden.

Massnahmen und Empfehlungen

Bei Unternehmenszusammenschlüssen müssen die Grundsätze der Datenbearbeitung gemäss Art. 4 DSG eingehalten werden. Ist dies der Fall und bestehen entsprechende Rechtfertigungsgründe gemäss Art. 13 DSG, dürfen im Rahmen einer Fusion Personendaten gegen den ausdrücklichen Willen der betroffenen Person bearbeitet und besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt gegeben werden. Ein solcher Grund liegt vor bei Einwilligung des Verletzten, bei einem überwiegenden privaten oder öffentlichen Interesse oder wenn ein Gesetz die Datenbearbeitung vorsieht (Art. 13 Abs. 1 DSG). Das Gesetz nennt beispielsweise ausdrücklich den Abschluss oder die Abwicklung eines Vertrages als Rechtfertigungsgrund zur Bearbeitung von Personendaten (Art. 13 Abs. 2 lit. a DSG).

Zudem existieren im Unternehmensumfeld oft spezifische berufliche oder gesetzliche Schweigepflichten, denen Rechnung getragen werden muss, da ein Verstoss gegen sie meist strafrechtliche Konsequenzen nach sich zieht. Hierunter fallen insbesondere Art. 35 DSG (Verletzung der beruflichen Schweigepflicht) und Art. 47 des Bundesgesetzes über die Banken und Sparkassen (Bankgeheimnis; BankG, SR 952.0). Solche gesetzlichen Geheimhaltungsverpflichtungen müssen auch im Rahmen eines Unternehmenszusammenschlusses in jedem Fall eingehalten werden.

Bei der grenzüberschreitenden Bekanntgabe muss beachtet werden, dass Personendaten nicht ins Ausland übermittelt werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Abs. 1 DSG).

Massnahmen im Rahmen der Vorbereitungs- und Vertragsabschlussphase

Während der Vorbereitungs- und Vertragsabschlussphase kann eine Datenbekanntgabe an Dritte im Rahmen einer Due Dilligence mit Art 13 Abs. 2 lit. a DSG gerechtfertigt werden, da ja der Käufer sämtliche vertraglichen Rechte und Pflichten übernimmt und damit Vertragspartei der Kunden seines Kaufobjekts wird. So muss er diesen Kunden gewährleisten, dass die durch die gekaufte Unternehmung eingegangenen vertraglichen Verpflichtungen erfüllt werden. Um überhaupt abschätzen zu können, welche Risiken in diesen Verpflichtungen stecken und ob er diese Abmachungen gewährleisten kann, werden Käufer im Rahmen einer Due Dilligence entsprechend informiert. Die Datenweitergabe ist hier als «in unmittelbaren Zusammenhang mit [...] der Abwicklung eines Vertrages» mit den Kunden des kaufenden Unternehmens zu verstehen (Art. 13. Abs. 2 lit. a DSG). Dies gilt für personenbezogene Daten sowohl von Kunden als auch von Mitarbeiterinnen und Mitarbeitern. Dennoch dürfen diese Informationen in der Regel nicht personenbezogen an den potenziellen Käufer übermittelt werden. Dies wäre ja auch nicht im Interesse des Verkäufers, da er sonst damit rechnen müsste, dass ihm der potentielle Käufer nach einem Scheitern der Fusionsverhandlungen Kunden bzw. Mitarbeiter abzuwerben versucht. Vor diesem Hintergrund ist vor der Weitergabe von personenbezogenen Daten an den (potentiellen) Käufer eine Information an die betroffenen Personen notwendig, so dass diese eine Möglichkeit haben, sich der Datenweitergabe zu widersetzen. In jedem Fall muss der Verkäufer darauf achten, dass die potentiellen Käufer immer nur in diejenigen personenbezogenen Daten Einblick erhalten, welche sie auch tatsächlich benötigen.

Massnahmen im Rahmen der Übernahmephase

Im Rahmen der Übernahme der Unternehmensteile ist strikt darauf zu achten, dass die übergebenen Personendaten weiterhin nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen war (Art. 4 Abs. 2 DSG). Daher müssen Unternehmen gewährleisten, dass nur berechtigte Personen Zugriff auf die Daten erhalten und dass die Zweckbestimmung in jedem Moment eingehalten wird. Daher empfiehlt es sich, den Zweck einer jeden internen Datensammlung zu definieren und die zulässigen Bearbeitungsmöglichkeiten festzuhalten, so dass keine Missverständnisse innerhalb des Unternehmens entstehen.

Empfehlungen

In der Vorbereitungs- und Vertragsabschlussphase

Um den betroffenen Personen auch im Rahmen einer Due Dilligence einen ausreichenden Datenschutz bieten zu können, empfiehlt der EDÖB die folgenden Massnahmen:

1. Dem potentiellen Käufer und seinen Beratern sollten keine personenbezogenen Daten übergeben werden. Er sollte lediglich die Möglichkeit haben, die für ihn relevanten Daten vor Ort einsehen zu können (Einrichten eines «Information Rooms»).
2. Bei der Auswahl der potentiellen Käufer, denen Zutritt zum Information Room gewährt wird, ist strikt darauf zu achten, dass nur diejenigen Personen zugelassen werden, die ein tatsächliches Interesse an der Übernahme oder der Fusion haben.
3. Nur ein beschränkter Personenkreis darf Zugang zum Informationsraum erhalten. Die Personen müssen sich vertraglich verpflichten, nach einem allfälligen Scheitern der Verhandlungen die Information nicht weiter zu verwenden und sie grundsätzlich zu vernichten.
4. Die offen gelegten Informationen sind immer auf das erforderliche und aufgrund der Interessensabwägung gerechtfertigte Mass zu beschränken und soweit möglich zu anonymisieren oder zu aggregieren, so dass kein Personenbezug hergestellt werden kann.
5. Der Umfang der bereitgestellten Personendaten muss dem Verfahrensstadium angemessen sein, wobei umso mehr Informationen offen gelegt werden dürfen, je näher der Vertragsabschluss rückt und je wahrscheinlicher das Geschäft zustande kommt.
6. Zur zusätzlichen Sicherheit sollten im Rahmen der Due Dilligence so genannte «Non Disclosure Agreements» (NDAs) mit entsprechenden Datenschutzklauseln abgeschlossen werden, mittels welchen sich die potentiellen Käufer und ihre Berater zur Einhaltung des Datenschutzes verpflichten. Diese bieten einen gewissen Schutz, doch bleibt ein Restrisiko bestehen.
7. Spezifische gesetzliche Geheimhaltungsvorschriften (z.B. Art. 35 DSG; Art. 47 BankG, etc.) müssen unbedingt eingehalten werden.

Im Rahmen der Übernahmephase

Im Rahmen der Übernahmephase empfiehlt der EDÖB die folgenden Massnahmen:

1. Die Datenbestände des gekauften Unternehmens sollten vor ihrer Verwendung im neuen Unternehmen dahingehend geprüft werden, ob der bei der Erhebung angegebene oder ersichtliche Zweck mit der geplanten zukünftigen Datenbearbeitung in Einklang steht.
2. Der Zugriff auf die Datenbestände beider Unternehmen muss so geregelt werden, dass nur diejenigen Mitarbeiter innerhalb des zusammengeschlossenen Unternehmens eine Berechtigung erhalten, die eine solche auch tatsächlich benötigen.
3. Im Zweifelsfall (wenn unklar ist, ob eine geplante Datenbearbeitung rechtlich möglich ist) sollten die betroffenen Personen über die durch die Fusion bedingte neue Datenbearbeitung informiert und gegebenenfalls um ihr Einverständnis gebeten werden.
4. Spezifische gesetzliche Geheimhaltungsvorschriften (z.B. Art. 35 DSG; Art. 47 BankG, etc.) müssen unbedingt eingehalten werden.

Zuletzt aktualisiert: März 2010