Aber: Daten von Mitarbeitern, die im bisherigen Unternehmen verbleiben, dürfen auf Basis dieser Rechtsgrundlage nicht übermittelt werden. Gerade eine exakte Trennung zwischen den Daten vom Betriebsübergang betroffener und nicht betroffener Mitarbeiter kann in der gelebten Praxis zu Schwierigkeiten führen. Im Grundsatz liegen drei Gruppen von Daten vor:
- Eindeutig einer Person zugeordnete und separat abgelegte Daten/Unterlagen Beispiel: Personalakten.
- Daten, die einer Person zugeordnet werden können, aber nicht systematisch nach Personen angelegte Dateien oder Unterlagen Beispiele: elektronische Korrespondenz oder Datenbanken.
- Listen und Aufstellungen von Mitarbeitern Beispiel: Teilnehmerlisten
Die erste Gruppe ist unproblematisch. Hier ist Rechtskonformität am einfachsten herzustellen. Es werden nur die Daten weitergegeben, die eindeutig einer vom Übergang betroffenen Person zugeordnet werden können. Ausnahmen stellen Daten dar, die auch vom bisherigen Unternehmen beispielsweise aus Steuer- und Handelsrechtsvorgaben noch vorzuhalten sind. „Mischdaten“ sind in der zweiten und dritten Gruppe eine größere Herausforderung. Möglicherweise sind Daten nicht zu trennen oder nur mit großem Aufwand. Beispiel: Teilnehmerlisten bei internen Schulungen. Hier müssten die Teilnehmer, die im bisherigen Unternehmen verbleiben, geschwärzt werden – ein immenser Aufwand. Wie geht man nun mit diesem Datenbestand von Mischdaten datenschutzrechtlich korrekt um? Variante eins: Es findet keinerlei Übermittlung solcher Mischdaten an das neue Unternehmen statt. Folglich gibt es keine unzulässige Datenübermittlung. Aber: Die Nicht-Übermittlung ist keine pragmatische Lösung, da bestimmte Informationen auch im neuen Unternehmen vorliegen müssen bzw. sollten. Variante zwei: Datenübermittlung aller Mischdaten, also auch von den Mitarbeitern, die nicht vom Übergang betroffen sind. Rechtlich ist dies durchaus problematisch, da keine Rechtsgrundlage zur Datenübermittlung vorhanden ist. Diese Vorgehensweise sollte ausschließlich bei unkritischen Daten gewählt werden. Bei Variante drei fände eine tatsächliche Trennung der Daten statt. Dies kann zu entsprechendem Aufwand insbesondere im bisherigen Unternehmen führen, beinhaltet aber ein geringes Risiko unzulässigen Datentransfers. UIMC empfiehlt im Vorfeld mindestens eine grobe Strukturierung der Daten und Unterlagen vorzunehmen, um auf Basis einer Risikoanalyse insbesondere sehr sensible Daten von der Übermittlung auszunehmen. Allerdings steht fest, dass eine vollkommen datenschutzkonforme Lösung kaum umsetzbar ist, da es sich nicht vermeiden lässt, dass auch Mischdaten im neuen Unternehmen ankommen. Dr. Jörn Voßbein bezieht hierzu klar Stellung: „Zielsetzung muss es bei einer Ausgründung daher sein, so datenschutzkonform zu arbeiten, wie möglich.“ Das Ziel ist mit Bewusstsein für den Datenschutz, Sensibilität beim Umgang mit personenbezogenen Unterlagen und rechtzeitiger und konsequenter Datentrennung unter Risikogesichtspunkten erreichbar.