Unternehmensausgründung und Datenschutz

Eine Unternehmensausgründung birgt eine Menge Herausforderungen. Über tarif- und steuerrechtliche Fragestellungen darf der Datenschutz aber nicht vergessen werden. „Oftmals geht es bei einem Ausgründungsprozess um personenbezogene Daten, die schutzbedürftig sind“, weiß Datenschutzexperte Dr. Jörn Voßbein aus Erfahrung. Um die Bestimmungen des Datenschutzrechtes einzuhalten, ist ein seriöses Vorgehen erforderlich. „Aber die Wahrung des Datenschutzes ist machbar und sicher kein Hexenwerk.“ Wirft man einen Blick auf die Definition des betriebswirtschaftlichen Begriffes ‚Ausgründung‘, findet sich z. B. im Gabler Wirtschaftslexikon Folgendes: „Überführung eines Teilbetriebs oder eines Betriebsteils […] in eine dafür neu gegründete Gesellschaft.“ Was gilt es hierbei aus Sicht des Datenschutzes zu beachten? Daten von Beschäftigten, die in das ausgegründete Unternehmen wechseln, dürfen grundsätzlich beim Übergang in das neue Unternehmen übermittelt werden. Eine Prüfung dieser Aussage anhand der §§ 4, 28 und 32 des Bundesdatenschutzgesetzes ergibt die Rechtmäßigkeit eines solchen Handelns, weil personenbezogene Daten eines Beschäftigten für die Zwecke eines Beschäftigungsverhältnisses erhoben, verarbeitet und genutzt werden dürfen.
Aber: Daten von Mitarbeitern, die im bisherigen Unternehmen verbleiben, dürfen auf Basis dieser Rechtsgrundlage nicht übermittelt werden. Gerade eine exakte Trennung zwischen den Daten vom Betriebsübergang betroffener und nicht betroffener Mitarbeiter kann in der gelebten Praxis zu Schwierigkeiten führen. Im Grundsatz liegen drei Gruppen von Daten vor:

• Eindeutig einer Person zugeordnete und separat abgelegte Daten/Unterlagen – Beispiel: Personalakten.
• Daten, die einer Person zugeordnet werden können, aber nicht systematisch nach Personen angelegte Dateien oder Unterlagen – Beispiele: elektronische Korrespondenz oder Datenbanken.
• Listen und Aufstellungen von Mitarbeitern – Beispiel: Teilnehmerlisten

Die erste Gruppe ist unproblematisch. Hier ist Rechtskonformität am einfachsten herzustellen. Es werden nur die Daten weitergegeben, die eindeutig einer vom Übergang betroffenen Person zugeordnet werden können. Ausnahmen stellen Daten dar, die auch vom bisherigen Unternehmen beispielsweise aus Steuer- und Handelsrechtsvorgaben noch vorzuhalten sind. „Mischdaten“ sind in der zweiten und dritten Gruppe eine größere Herausforderung. Möglicherweise sind Daten nicht zu trennen oder nur mit großem Aufwand. Beispiel: Teilnehmerlisten bei internen Schulungen. Hier müssten die Teilnehmer, die im bisherigen Unternehmen verbleiben, geschwärzt werden - ein immenser Aufwand. Wie geht man nun mit diesem Datenbestand von Mischdaten datenschutzrechtlich korrekt um? Variante eins: Es findet keinerlei Übermittlung solcher Mischdaten an das neue Unternehmen statt. Folglich gibt es keine unzulässige Datenübermittlung. Aber: Die Nicht-Übermittlung ist keine pragmatische Lösung, da bestimmte Informationen auch im neuen Unternehmen vorliegen müssen bzw. sollten. Variante zwei: Datenübermittlung aller Mischdaten, also auch von den Mitarbeitern, die nicht vom Übergang betroffen sind. Rechtlich ist dies durchaus problematisch, da keine Rechtsgrundlage zur Datenübermittlung vorhanden ist. Diese Vorgehensweise sollte ausschließlich bei unkritischen Daten gewählt werden. Bei Variante drei fände eine tatsächliche Trennung der Daten statt. Dies kann zu entsprechendem Aufwand insbesondere im bisherigen Unternehmen führen, beinhaltet aber ein geringes Risiko unzulässigen Datentransfers. UIMC empfiehlt im Vorfeld mindestens eine grobe Strukturierung der Daten und Unterlagen vorzunehmen, um auf Basis einer Risikoanalyse insbesondere sehr sensible Daten von der Übermittlung auszunehmen. Allerdings steht fest, dass eine vollkommen datenschutzkonforme Lösung kaum umsetzbar ist, da es sich nicht vermeiden lässt, dass auch Mischdaten im neuen Unternehmen ankommen. Dr. Jörn Voßbein bezieht hierzu klar Stellung: „Zielsetzung muss es bei einer Ausgründung daher sein, so datenschutzkonform zu arbeiten, wie möglich.“ Das Ziel ist mit Bewusstsein für den Datenschutz, Sensibilität beim Umgang mit personenbezogenen Unterlagen und rechtzeitiger und konsequenter Datentrennung unter Risikogesichtspunkten erreichbar.