Kapitalrücklage im Tresor: Da es im Datenschutzrecht bisher keinen „Finanzierungsvorbehalt“ gibt, sollten Geschäftsleitung oder Sanierungsberater im Rahmen der Liquiditätsplanung schon frühzeitig „Sondermittel“ bilden, um eine datenschutzkonforme Sanierung verwirklichen zu können.

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Datenschutz als Sanierungs­hindernis?

Komplikationen für Unternehmen

15. November 2022, von Christian Weiß und Till Hafner, LL.M. (Duke)

Beitrag als PDF (Download)

Unternehmenssanierungen begegnen bekanntlich einer langen Reihe von Herausforderungen. Der nachfolgende Beitrag beschäftigt sich mit der Frage, welche Implikationen aus datenschutzrechtlichen Bestimmungen für Unternehmenssanierungen u.a. resultieren können.

Problemaufriss

„DSGVO-Bußgelder knacken 2021 die Milliardengrenze“ lautet eine Statista-Überschrift (siehe hier). Sodann werden grafisch die Strafen aufgrund von DSGVO-Verstößen dargestellt. Demnach sollen 2021 insgesamt 434 Strafen aufgrund von Datenschutzverstößen verhängt worden sein; Gesamtvolumen rd. 1.277 Millionen Euro! Während zwei Jahre zuvor lediglich rd. 1/3, nämlich 151 Strafen, und Bußgelder i.H.v. insgesamt nur 73 Millionen Euro verhängt wurden.
Die höchsten Bußgelder wurden demnach 2021 gegen Amazon bzw. WhatsApp (immerhin 225 Millionen Euro), und zwar wegen Nichteinhaltung der allgemeinen Datenschutzgrundsätze bzw. der Informationspflichten, verhängt. Man sieht: Selbst die Basics des Datenschutzes werden regelmäßig – unnötigerweise oder evtl. gar bewusst – auch von global operierenden Großkonzernen verletzt.
Dieses Verhalten wird dann aber zu Recht und in empfindlichem Maße pönalisiert. Die Zahlen belegen: Der Datenschutz wirkt, Betroffene sind sensibilisiert – und die Datenschutzbehörden werden mitunter empfindlich sanktionierend tätig.
Datenschutzrechtliche Bestimmungen stellen indes nicht nur eine Herausforderung für gesunde Unternehmen, wie etwa Amazon, sondern – und das vielleicht noch in größerem Maß – auch für Unternehmen in Krisen- bzw. Sondersituationen dar.
Während wirtschaftlich gesunde Unternehmen die bisweilen erheblichen Sach- und Personalaufwendungen für datenschutzrelevante Strukturen und Abläufe budgetieren, aufbringen und in ihre Organisationen integrieren können, ist dies für Unternehmen in Sanierungssituationen aus verschiedenen Gründen ungleich schwerer. Das hängt insbesondere mit den Prioritäten zusammen. Ein Unternehmen in der Krise wird jede nicht für unmittelbar überlebenswichtig erachtete Aufwendung möglichst vermeiden. Die Einstellung von qualifiziertem Datenschutzpersonal (z.B. Datenschutzbeauftragten, zusätzlichen Mitarbeitern in der IT-Abteilung), die Beschaffung bzw. Entwicklung zusätzlicher Software sowie die Anpassung bestehender Strukturen und Arbeitsabläufe kosten Geld, Zeit und Managementkapazität. Alle diese Voraussetzungen sind in der Unternehmenskrise regelmäßig besonders knapp. Zudem sind diese Aufwendungen regelmäßig nicht dafür geeignet, kurz- bis mittelfristig zusätzliche Liquidität zu genieren. Gerade darauf kommt es bei einer Unternehmenssanierung aber an. Dabei wird häufig die Gefahr der zunehmend empfindlichen Geldbußen für Datenschutzverstöße ausgeblendet oder zumindest zurückgestellt. Zudem sind die allermeisten Unternehmenssanierer regelmäßig weder Datenschutzexperten noch in dieser Hinsicht besonders sensibel. Und nicht jeder gute Datenschutzexperte heuert gerne bei einem Krisenunternehmen an.

Stellt der Datenschutz an sich denn auch ein Sanierungshindernis dar?

„… Sanierung ist ein komplexer Prozess und bedarf einer strukturierten Vorgehensweise, da Störungen und Konflikte ein Unternehmen in seinem Bestand und am Markt gefährden können. Insbesondere der hohe Zeitdruck und die damit einhergehende Abnahme des Handlungsspielraums erfordern ein krisenspezifisches Handeln …“, sagt zutreffend Reineke in seiner Definition von „Sanierungsberatung“ (siehe hier). Dementsprechend bzw. daran anknüpfend können selbstredend gerade derart empfindliche Bußgelder aufgrund von Datenschutzverstößen wie etwa den eingangs genannten auch Unternehmenssanierungen wirtschaftlich belasten oder sogar vereiteln.
Unsicherheiten im Datenbestand des Sanierungsbetriebs oder gar Datenschutzverstöße dort können daneben auch das übliche, zeitkritische Doing im Rahmen einer Sanierung – auch an dieser Stelle unnötig – belasten: Sanierungsprozesse sind immer Eilverfahren. Datenschutzunsicherheiten können leicht zu Verzögerungen im Sanierungsvorhaben führen. Hier gilt es also von Seiten der Sanierungsberatung auch ein Augenmerk auf die IT zu haben und eine Due Diligence unter Einbeziehung entsprechender (IT-/Datenschutz-)Spezialisten von extern oder aus dem Sanierungsunternehmen vorzunehmen – sprich den Datenbestand sowie die EDV insgesamt zurückliegend und aktuell zu beleuchten.
Doch noch viel mehr: In nahezu jedem Unternehmen sind Mitarbeiter- und Kundendaten letztlich immer auch Gegenstand von Sanierungsmaßnahmen – bis hin zum klassischen und altbewährten Assetdeal, also der sog. übertragenden Sanierung. Dann ist die datenschutzkonforme Pflege der Mitarbeiter- und insbesondere der Kundendaten auch wirtschaftlich im Rahmen dieser Sanierung für dieses Asset unerlässlich! Ihr Wert sinkt sonst rapide bzw. geht gar in Richtung null – sofern der „Datenwert“ nicht aufgrund von Aufwand oder, wie zuvor dargestellt, empfindlichen Bußgeldern sogar ins Negative umschlägt. Je länger das Sanierungsverfahren dauert und Daten, weil sie nicht richtig gepflegt werden, „veralten“, desto geringer sind ihre Aussagekraft und damit auch ihr Wert.

Beachtenswerte (Datenschutz-)Punkte könnten vor bzw. im Rahmen einer Sanierung z.B. sein:

  • Welche Hard- und insbesondere Software verwendet das zu sanierende Unternehmen? Soll diese, sofern lizenzrechtlich überhaupt zulässig, mitübertragen werden? Um ein Beispiel zu nennen, warum diese Fragen geklärt werden müssen: Der mutmaßliche Standardsoftwarehersteller Microsoft ist zuletzt mit seinem Programm „Office 365“ in Datenschutzkritik geraten, und zwar derart massiv bzw. massiv genug, dass sich das Unternehmen nun im September 2022 immerhin dazu entschloss, eine Neufassung seiner Datenschutzverarbeitungsvereinbarung (siehe hier) zu veröffentlichen. Unter anderem wurden dazu die entsprechenden Standardklauseln, aber auch Punkte wie die sogenannte Drittlandsübermittlung von Daten modifiziert. Für eine Sanierungsberatung wäre hier allein schon die (Jahres-)Version der von dem Unternehmen genutzten Software Beginn für eine erste datenschutzrechtliche Erhebung und Einordnung.
  • Um was für eine Art von Daten handelt es sich insbesondere bei Mitarbeiter- oder Kundendaten des Unternehmens im Übrigen? Sind es gar „besondere Kategorien personenbezogener Daten“ i.S.v. Art. 9 DSGVO wie z.B. Daten über die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Mitarbeitern des Betriebs? Deren Verarbeitung überhaupt und somit grundsätzlich auch im Rahmen einer Sanierung ist bis auf die Ausnahmen in Art. 9 Abs. 2–4 DSGVO untersagt (Art. 9 Abs. 1 DSGVO a.E.), weil es sich um besondere Kategorien personenbezogener Daten handelt.
  • Wie wurden die (Kunden-)Daten durch das zu sanierende Unternehmen gewonnen? Insbesondere sogenannte Callcenterdaten bedürfen grundsätzlich einer gesonderten datenschutzrechtlichen Betrachtung.
  • Sind erteilte Einwilligungen der Betroffenen, also z.B. von Unternehmenskunden, wirksam und fortwirkend? Hier gilt es u.a. Art. 7 DSGVO zu beachten, wonach eine Einwilligung nachweislich und freiwillig erfolgt sein muss. Problematisch kann insbesondere die Einwilligung von Mitarbeitern des Sanierungsunternehmens sein, jedenfalls dann, wenn man der Auffassung folgt, dass die Einwilligung in einem Beschäftigungsverhältnis aufgrund des grundsätzlichen Abhängigkeitsverhältnisses zwischen Arbeitnehmer und Arbeitgeber eher nicht freiwillig im datenschutzrechtlichen Sinn sein kann. Somit würde die Einwilligung theoretisch als Rechtfertigungsgrund i.S.v. Art. 6 Abs. 1 lit. a) DSGVO scheitern. Bei einer längeren Nichtnutzung der seinerzeit erteilten Einwilligung kann diese unter Umständen zudem zu wiederholen sein (siehe hier).
  • Gab es in der Vergangenheit im Unternehmen bereits Datenschutzverstöße, insbesondere in Form von Hackerangriffen, oder interne Vorkommnisse in dem Bereich? Ist z.B. EDV oder sind Festplatten/Sticks abhandengekommen?
  • Auch personifizierte Unternehmensdomains sind Daten und inzwischen unstreitig bei Insolvenzen/der Insolvenzmasse bzw. Sanierungen/der Sanierungsmasse grundsätzlich mit gegenständlich (siehe dazu bereits grundlegend Heyn/Kreuznach/Voß, Arbeitshilfen für Insolvenzsachbearbeiter, 4. A., C7, Rz. 67, bzw. vertiefend zu Domains Müller/Obermüller/Weiß, Domainverwertung – eine modernere Art der Massegenerierung, ZInsO 2012, 780 ff.).
Diesem anhand obiger bzw. weiterer Punkte ermittelten „Ist-Status“ entsprechend, sollten ergänzend zu dem althergebrachten Sanierungsprozedere die korrespondierenden erforderlichen Schritte in die Wege geleitet werden, um zugunsten der Sanierung i.w.S. EDV und Datenbestand des Betriebs im Zuge dieser Maßnahmen auch in Zukunft wie geplant zur Sanierung nutzen, nämlich letztendlich veräußern zu können.

Der Datenschutz muss kein Sanierungs­hindernis darstellen. Ganz im Gegenteil!

Mit wenigen Maßnahmen und im Bedarfsfall unter Einbeziehung der (betriebs-)eigenen oder ggf. gar konsiliarisch externen Datenschutzbeauftragten/-berater sollte eine weitestgehend datenschutzkonforme Sanierung gut möglich sein. Man sollte sich zudem, und ohne dass damit eine „Einladung zum laxen Umgang mit dem Datenschutz“ verbunden sein soll, von der Vorstellung freimachen, dass es eine 100 %ige Datenschutzkonformität oder gar Garantie in diese Richtung gebe: Mit den technischen Erfordernissen und der permanenten Entwicklung der Datenschutztechnik sind auch Daten und somit letztlich das in der Sanierung zu beachtende Datenschutzrecht stets im Wandel. Und dass die Bedrohung durch Hacker und Onlinebetrüger gerade in Coronazeiten an Bedeutung gewonnen hat, zeigt, dass auch der Datenschutz immer eine Art „Wettrennen“ zwischen „den Guten und den Bösen“ war, ist und bleiben wird.
Da es im Datenschutzrecht aber bis dato keinen „Finanzierungsvorbehalt“ gibt, sollten Geschäftsleitung oder/und Sanierungsberater im Rahmen der Liquiditätsplanung hier schon frühzeitig „Sondermittel“ bilden, um eine datenschutzkonforme Sanierung, soweit möglich und nötig, auch tatsächlich verwirklichen zu können.
Dass der für potentielle Interessenten eingerichtete Datenraum, dem „Stand der Technik“ entsprechend, gegen unbefugte Externe und Hackerangriffe zu sichern ist, versteht sich von selbst. Professionelle Datenraumanbieter sollten mit den Sicherheitsanforderungen vertraut sein. Bereits die datenschutzrechtlichen Postulate der Anonymisierung bzw. Pseudonymisierung schützen den Sanierungsfall vor datenschutzrechtlichen Komplikationen. Denn in der Regel dürfte es für Erwerbsinteressenten zunächst zur Entscheidungsfindung pro/kontra Übernahme des Betriebs oder nur Datenbestands genügen zu wissen, wie viele Arbeitnehmer wie lange und mit welchem Behinderten-/Betriebsratszugehörigkeitsstatus o.Ä. überhaupt im Unternehmen sind, ohne deren vollständige Namen, Adressen, Abteilung o.Ä. identifizieren zu können.
Was sich ein zu sanierendes Unternehmen oder der Berater jedenfalls nicht leisten darf, ist, vorhandene Datenschutzmängel nicht abzustellen: So hat z.B. die Berliner Datenschutzbehörde gegen die Tochtergesellschaft eines Konzerns ein Bußgeld i.H.v. 525.000 Euro verhängt, weil Interessenkonflikte des betrieblichen Datenschutzbeauftragten vorlagen – und letztlich trotz Abmahnung nicht behoben wurden (siehe hier). Demnach hatte das Unternehmen einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er aber  selbst in einer anderen Funktion getroffen hatte. Das Datenschutzrecht fordert aber – dem diametral entgegenstehend – einen Datenschutzbeauftragen in einer Position/Situation, der gemäß Art. 38 Abs. 6 Satz 2 DSGVO eben keinen Interessenkonflikten durch andere Aufgaben unterliegt.

Fazit

Werden Daten richtig gepflegt und auch in der Sanierungsphase datenschutzkonform verarbeitet, kommt dies der Aussagekraft und damit dem Wert der Daten und des zu sanierenden Unternehmens insgesamt zugute. Die Bedeutung von Daten nimmt in der Gesellschaft wie in der Wirtschaft stark zu. Letztlich sollten Daten schlicht wie andere Vermögenswerte eines Unternehmens behandelt werden. Dazu gehört notwendigerweise eine entsprechende datenschutzrechtliche Compliance, auch bei der Sanierung.

Fehlende Compliance wirkt preismindernd, existierende Compliance wirkt preisstabilisierend.

Themen

Aktuelle Beiträge

Die Regelungen zum Pre-Pack-Verfahren lassen sich in die bestehende Struktur des deutschen Insolvenzrechts einfügen, insbesondere in das Vorverfahren. Ein separates Gesetz wird hierfür nicht unbedingt erforderlich sein.
RestructuringBusiness
Das Pre-Pack-Verfahren Richtlinienentwurf für die Harmonisierung von bestimmten Aspekten des Insolvenzrechts weiterlesen
Ein Delisting und die damit verbundene Vereinfachung kapitalmarktrechtlicher Pflichten kann nur durch einen eigenen Antrag der Schuldnerin oder einen Widerruf der Börsenzulassung von Amts wegen erreicht werden.
RestructuringBusiness
Die börsennotierte Aktiengesellschaft in der Insolvenz Kapitalmarktrechtliche Pflichten und Börsennotierung bleiben unberührt weiterlesen
Schutz vor Insolvenz bietet die Deutsche Reisesicherungsfonds GmbH: Nach der gesetzlichen Zielvorgabe soll der Fonds bis Oktober 2027 ein Haftungskapital von 750 Millionen Euro ansparen und danach vorhalten, um auch Großinsolvenzen ohne staatliche Zuwendungen regulieren zu können.
RestructuringBusiness
Herausforderungen bei ­Reiseinsolvenzen Der Musterfall Thomas Cook und der neue Reisesicherungsfonds weiterlesen
© 2023 Deutscher AnwaltSpiegel