Einleitung

Auf der Ebene der übernommenen Unternehmen wird die neue Muttergesellschaft oft mit einem Kleinaktionär einer börsennotierten Aktiengesellschaft verwechselt. Man geht (irrtümlicherweise) davon aus; dass sie die Dividende kassieren, ab und zu bei den Hauptversammlungen erscheinen und ansonsten still sein wird. Die Probleme beginnen aber dann, wenn die neue Muttergesellschaft in die Betriebsabläufe der übernommenen Unternehmen zunehmend eingreift. Dann ist nämlich die Überraschung groß. Das sollte aber nicht der Fall sein, da man üblicherweise in einer Unternehmensgruppe die so genannten Synergie-Effekte nutzen möchte. Aus diesem Grund werden erfahrungsgemäß die Zuständigkeiten in bestimmten Bereichen (bspw. Einkauf, Vertrieb, IT, HR) an die Muttergesellschaft übertragen. Dadurch können sich die datenschutzrechtlichen Rollen ändern (bspw. die Tochtergesellschaft wird keine Verantwortliche mehr sein bzw. Änderungen auf der Ebene der Auftragsverarbeiter). Solche Zuständigkeitsänderungen ziehen gravierende Folgen im Datenschutzbereich nach sich (bspw. die Ergänzungen/ Aktualisierung von: Verfahrensverzeichnissen, Informationsblättern nach Art. 13 DSGVO, Auftragsverarbeitungsverträgen, TOMs, internen Richtlinien usw.).

Datenschutzrechtliche To-Dos im Post-Merger-Stadium

Eine klare Aufteilung der Zuständigkeiten zwischen der Mutter- und der Tochtergesellschaft

Damit die DSGVO-Umsetzung im Konzern reibungslos verläuft, ist eine klare Aufteilung der Kompetenzen zwischen der Mutter- und der Tochtergesellschaft extrem wichtig (siehe Beispiele unten). Auf deren Basis werden dann die datenschutzrechtlichen Rollen der Gesellschaften festgelegt. Danach wird die bereits oben genannte datenschutzbezogene Dokumentation aktualisiert.

Es ist empfehlenswert; dass ein Dienstleistungsvertrag zwischen den Gesellschaften abgeschlossen wird, in welchem die geschuldeten Dienstleistungen und die Zuständigkeiten sehr genau beschrieben werden. In diesem Zusammenhang ist zwischen den Gesellschaften ein Intra-Group-Agreement abzuschließen (siehe unten).

Konzerndatenschutzbeauftragter

Erfahrungsgemäß haben die Muttergesellschaft sowie die Tochtergesellschaften eigene Datenschutzbeauftragten. Der Datenschutzbeauftragte von der Muttergesellschaft wird oft als Konzerndatenschutzbeauftragter bezeichnet. Somit ist empfehlenswert, am Anfang der Post-Merger-Periode ein Meeting mit dem Konzerndatenschutzbeauftragten zwecks des gegenseitigen Kennenlernens sowie der Besprechung der weiteren Vorgehensweise im Zusammenhang mit der Synchronisierung der Datenschutzmaßnahmen zu organisieren.

Die beiden Datenschutzbeauftragten sollen sich u.a. folgenden Themen widmen:

• Zuständigkeiten: Klärung der Aufgabenbereiche, für welche der Konzerndatenschutzbeauftragter bzw. der Datenschutzbeauftragte der Tochtergesellschaft zuständig sind. (beispielsweise Verfahrensverzeichnisse: Hat jede Konzerngesellschaft das eigene Verfahrensverzeichnis selbst zu führen oder wird auf der Konzernebene ein Verfahrensverzeichnis für alle Konzernmitglieder geführt?).
• Intra-Group-Agreement: Gibt es bereits einen Vertrag bzw. muss ein Vertrag erstellt werden?
• Vorzunehmende Aktualisierungen: Auf Basis der Kompetenzaufteilung, welche zwischen der Mutter- und der Tochtergesellschaft getroffen wurde, sind die durch die Unternehmensakquise verursachten Änderungen festzustellen und die weitere Vorgehensweise hinsichtlich der Aktualisierung der datenschutzbezogenen Dokumentation (Verfahrensverzeichnisse, Informationspflichten, Auftragsverarbeitungsverträge, Berechtigungskonzept usw.) ist festzulegen.

Intra-Group-Agreement

Da die Gesellschaften eines Konzerns Dienstleistungen aneinander erbringen, werden dabei die personenbezogenen Daten übermittelt. Damit die Daten DSGVO-konform verarbeitet werden, wird von den Konzerngesellschaften ein so genannter Intra-Group-Agreement abgeschlossen. Dadurch sollen solche Themen wie: die datenschutzrechtlichen Rollen (Verantwortlicher/ Auftragsverarbeiter), Datenverarbeitungszwecke (bspw. Lohnverrechnung usw.), Datenarten (Bspw. Kontaktdaten, Gesundheitsdaten), Betroffene (Mitarbeiter, Bewerber, Ansprechpartner der Kunden bzw. Interessenten oder Geschäftspartner) im Zusammenhang mit den konzerninternen Datenverarbeitungstätigkeiten uno actu geregelt werden. Somit wäre im Laufe der Post-Merger-Verhandlungen zu fragen, ob so ein Dokument vorhanden bzw. zu erstellen ist.

Vertrieb

Es ist festzulegen, ob die Tochtergesellschaft Vertragspartei der bestehenden Kundenverträge bleibt und ob sie künftig die Kundenverträge abschließen wird. Wenn das übernommene Unternehmen als Auftragsverarbeiter iSd. Art. 28 DSGVO tätig ist, dann ist es zu prüfen, ob sich u.a. die Sub-Auftragsverarbeiter nicht geändert haben. In diesem Zusammenhang ist auf Art. 28 Abs. 2 DSGVO hinzuweisen: „Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben“. Im Fall der Änderung der Sub-Auftragsverarbeiter (bspw. durch die Erbringung der Dienstleistungen durch die neue Muttergesellschaft) sind die Kunden diesbezüglich zu informieren und die Auftragsverarbeitungsverträge anzupassen.

Einkauf

Hier ist zu klären, ob und welche Dienstleistungen künftig konzernintern erbracht werden. Auf dieser Basis wird entschieden, mit welchen externen Dienstleistern weiter zusammengearbeitet wird. Die weitere Frage ist, ob die Muttergesellschaft die Tochtergesellschaft als Vertragspartei ersetzen wird. Wenn die Vertragsparteien gleichbleiben, ist im Fall der Auftragsverarbeitung gemäß Art. 28 DSGVO zu prüfen, ob die Tochtergesellschaft (Verantwortliche) zur Auftragsverarbeiterin der Muttergesellschaft wird. In so einem Fall ist die Frage rund um die Geltendmachung der Kontrollrechte zu klären und die Auftragsverarbeitungsverträge sind dementsprechend anzupassen.

HR

Hier ist zu klären, ob der Bewerbungsprozess über die Muttergesellschaft laufen wird bzw. ob die Tochtergesellschaft weiterhin für eigenes Bewerbungsverfahren zuständig sein wird. Weiter ist zu klären, ob die Daten der Bewerber konzernintern übermittelt werden. Der weitere Themenbereich ist Personalmanagement. Hier sind Einzelheiten hinsichtlich der Führung der Personalakte, Lohnverrechnung usw. zu regeln. Im Fall von Änderungen auf dieser Ebene sind u.a. die Informationen nach Art. 13, 14 DSGVO dementsprechend anzupassen.

Marketing

Hier ist u.a. zu klären, welche Gesellschaft für die Homepage und die Social-Media-Präsenz zuständig sein wird (Im Fall einer Änderung sind u.a. die Informationen nach Art. 13 DSGVO – Datenschutzerklärung – dementsprechend zu ändern).

IT

Hier ist die Frage der künftigen Zusammenarbeit mit den externen Dienstleistern sowie den Konzerngesellschaften (Muttergesellschaft bzw. Schwestergesellschaften) zu klären (siehe „Kundenverträge“ und „Dienstleisterverträge“). Das weitere wichtige Thema sind die potenziellen Änderungen an der bestehenden IT-Infrastruktur (Rechenzentren, Firewalls, Entsorgung der Datenträger usw.). Im Fall der Änderungen müssen aus der datenschutzrechtlichen Perspektive folgende Dokumente (TOMs, IT-Richtlinien, Berechtigungskonzept usw.) angepasst werden.

Buchhaltung

Eine klare Kompetenzabgrenzung ist nicht nur aus der datenschutzrechtlichen Perspektive wichtig. Da auch konzerninternen Dienstleistungen entgeltlich sind, wird die Zuständigkeitstransparenz bei der Festlegung des Umfangs der geschuldeten Dienstleistungen sowie der Höhe des geschuldeten Entgelts vom Vorteil sein.

Schlussfolgerung

Erfahrungsgemäß stellt die transparente Kompetenzaufteilung zwischen der neuen Mutter- und der neuen Tochtergesellschaft das Fundament des gelungenen Post-Merger-Prozesses dar. Ansonsten besteht die Gefahr der künftigen Zuständigkeitsstreitigkeiten, welche zur mangelhaften DSGVO-Umsetzung bis sogar hin zur Störung der Geschäftsabläufe der neuen Tochtergesellschaft führen könnten. Die weitere Empfehlung ist, die neue Zuständigkeitsabgrenzung auf der Abteilungsebene der Tochtergesellschaft der Belegschaft klar zur kommunizieren.