Ein Betriebsübergang ist für alle Beteiligten ein sensibler Vorgang. Neben arbeitsrechtlichen Fragen rückt zunehmend auch der Datenschutz in den Fokus. Denn mit dem Übergang eines Betriebs oder Betriebsteils wechseln regelmäßig nicht nur Arbeitsverhältnisse, sondern auch umfangreiche personenbezogene Daten den Verantwortlichen.
Was ist ein Betriebsübergang?
Von einem Betriebsübergang spricht man, wenn ein Unternehmen oder ein Betriebsteil durch Rechtsgeschäft auf einen neuen Inhaber übergeht und die wirtschaftliche Einheit im Wesentlichen fortbesteht. Typische Konstellationen sind Unternehmenskäufe, Ausgliederungen oder Umstrukturierungen.
Mit dem Übergang gehen regelmäßig bestehende Vertragsbeziehungen über. Das betrifft nicht nur Arbeitsverhältnisse, sondern auch Kunden und Lieferantenverträge. Damit stellt sich automatisch die Frage, wie mit den damit verbundenen personenbezogenen Daten umzugehen ist.
Welche Daten sind beim Betriebsübergang betroffen?
In der Praxis betrifft der Datenschutz beim Betriebsübergang insbesondere:
- Personaldaten von Beschäftigten, etwa Stammdaten, Gehaltsdaten oder Vertragsunterlagen
- Bewerberdaten
- Kundendaten, einschließlich Vertrags und Abrechnungsinformationen
- Daten von Lieferanten und sonstigen Geschäftspartnern
Je nach Branche können auch besonders sensible Daten, etwa Gesundheitsdaten, Teil der Datenbestände sein.
Dürfen personenbezogene Daten einfach übermittelt werden?
Im Kontext eines Betriebsüberganges kommt regelmäßig eine gesetzliche Erlaubnisnorm in Betracht, wenn die Datenübermittlung für die Fortführung des Betriebs erforderlich ist. Entscheidend ist dabei stets der konkrete Zweck der Verarbeitung und die Frage der Erforderlichkeit.
Eine pauschale oder anlasslose Weitergabe von Daten ohne Bezug zur Betriebsfortführung ist datenschutzrechtlich nicht gedeckt.
Wer ist datenschutzrechtlich verantwortlich?
Sowohl der bisherige als auch der neue Betriebsinhaber unterliegen den Vorgaben der Datenschutzgrundverordnung sowie den einschlägigen nationalen Datenschutzbestimmungen.
Zu den zentralen Pflichten zählen insbesondere:
- transparente Information der betroffenen Personen über die Datenverarbeitung
- Sicherstellung geeigneter technischer und organisatorischer Schutzmaßnahmen
- Beschränkung der Datenübermittlung auf das erforderliche Maß
- ordnungsgemäße Dokumentation der Verarbeitungsvorgänge
Bereits im Vorfeld einer Transaktion, etwa im Rahmen einer Due-Diligence-Prüfung, sind datenschutzrechtliche Anforderungen zu beachten.
Welche Rechte haben Beschäftigte und Kunden?
Betroffene Personen behalten auch im Falle eines Betriebsüberganges ihre datenschutzrechtlichen Rechte. Dazu zählen insbesondere:
- das Recht auf Auskunft
- das Recht auf Berichtigung unrichtiger Daten
- unter bestimmten Voraussetzungen das Recht auf Löschung oder Einschränkung der Verarbeitung
- das Recht auf Widerspruch gegen bestimmte Verarbeitungen
Diese Rechte richten sich grundsätzlich gegen den jeweils datenschutzrechtlich Verantwortlichen.