Internationale Buyout-Datenflows und Datenschutz

Internationale Buyout-Datenflows und Datenschutz

Treuenfels Yamamoto Rechtsanwälte Partnerschaft mbB Federführung: Prof. Dr. Adalbert von Sompeh-Ostermann, LL.M. (Oxford) Kyoto-Büro-Beteiligung: Yuki Yamamoto-Brennecke (APPI/PIPC-Expertise)

Rechtsgrundlagen

• DSGVO Art. 9 (Besondere Kategorien personenbezogener Daten — u.a. Gesundheitsdaten, biometrische Daten)
• DSGVO Art. 6 (Rechtmäßigkeit der Verarbeitung — Interessenabwägung, Vertrag, rechtliche Verpflichtung)
• DSGVO Art. 46 (Drittlandübermittlung — Standardvertragsklauseln SCC; Binding Corporate Rules BCR)
• DSGVO Art. 28 (Auftragsverarbeitungsvertrag — AV-Vertrag mit Versicherer/Buyout-Partner)
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• EU-US Data Privacy Framework (DPF, seit 10.7.2023) — neuer Angemessenheitsbeschluss USA
• DSGVO Art. 13/14 (Informationspflichten bei Datenerhebung/-weitergabe — Berechtigte informieren)
• DSGVO Art. 30 (Verarbeitungsverzeichnis)
• APPI (Act on the Protection of Personal Information, Japan — 個人情報の保護に関する法律): letzte Novelle 2022 (vierte Überarbeitung); PIPC (Personal Information Protection Commission — 個人情報保護委員会) als Aufsichtsbehörde
• § 26 BDSG (Beschäftigtendatenschutz — Deutschland)
• VAG § 10a (Schweigepflicht Versicherungsunternehmen; Datenweitergabe)
• BetrVG § 87 Abs. 1 Nr. 6 (Mitbestimmung Einführung technischer Einrichtungen zur Überwachung)

Vorgehen

Schritt 1: Datenkategorien bei Pension Buyout — Bestandsaufnahme

Bei jedem Pension Buyout (Buy-in, Buy-out, Longevity Swap) werden hochsensible personenbezogene Daten der Versorgungsberechtigten verarbeitet:

Betroffene Datenkategorien:

Achtung: Sterblichkeitsdaten und Invaliditätsdaten fallen unter Art. 9 DSGVO als Gesundheitsdaten (Schluss aus Sterbetafeln auf Gesundheitszustand). Erhöhter Schutz.

Schritt 2: Rechtsgrundlagen für Datenverarbeitung

Intern (Vorbereitung Transaktion):

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — BAV-Vertrag) und lit. c (rechtliche Verpflichtung — § 14 BetrAVG)
• § 26 Abs. 1 BDSG (Beschäftigtendatenschutz — Verarbeitung für Zwecke des Beschäftigungsverhältnisses)
• Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG für Gesundheitsdaten im Beschäftigungsverhältnis

Gegenüber Versicherer/Buyout-Partner:

• AV-Vertrag nach Art. 28 DSGVO (Auftragsverarbeitungsvertrag)
• Alternativ: gemeinsame Verantwortlichkeit (Art. 26 DSGVO) wenn Versicherer eigene Verarbeitungszwecke verfolgt — prüfen!

Informationspflichten:

• Arbeitnehmer/Rentner sind über Datenweitergabe an Versicherer gem. Art. 13/14 DSGVO zu informieren
• Praxis: Ergänzung Datenschutzerklärung + separate Information im Rahmen der Buyout-Kommunikation

Schritt 3: Drittlandtransfers

Deutschland → USA

Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren. Aktuell: EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss vom 10.7.2023 (Beschluss 2023/1795). US-Unternehmen, die sich selbst-zertifiziert haben, gelten als ausreichend geschützt. Risiko: Schrems III — politische Stabilität des DPF ungewiss. Empfehlung: Parallel immer EU-SCC (Standard Contractual Clauses) als Fallback.

Transfer Impact Assessment (TIA) für SCC:

• Risikoanalyse des lokalen US-Rechts (NSA-Überwachung nach FISA § 702, EO 12333)
• Praxistipp: In der Regel SCC ausreichend für normale Pensionsdaten-Transfers zu zertifizierten US-Unternehmen; bei Gesundheitsdaten (Art. 9 DSGVO) erhöhte Sorgfalt.

Deutschland → Japan

DSGVO Art. 46: Japan hat einen Angemessenheitsbeschluss der EU-Kommission (Beschluss 2019/419, seither fortlaufend); Transfer zu japanischen Empfängern ohne SCC zulässig.

APPI-Anforderungen (Japan → EU und umgekehrt): Japan APPI (最終改正 2022年, 施行 2022年4月) schreibt vor:

• Bei Übermittlung personenbezogener Daten ins Ausland: Information des Betroffenen + Einwilligung, es sei denn Ausnahmetatbestand (Art. 24 APPI a.F. / Art. 28 APPI n.F.)
• PIPC-Richtlinien: Drittlandtransfer nur in Länder mit ausreichendem Schutzniveau (Japan hat EU auf diese Liste gesetzt) oder mit vertraglicher Absicherung
• Yuki Yamamoto-Brennecke koordiniert APPI-Compliance für das Kyoto-Büro

Versicherer-Datenraum Japan: Bei Einbindung japanischer Versicherungsgesellschaften in einen globalen Buyout ist zu beachten:

• Japanische Versicherungsunternehmen unterliegen Versicherungsgeschäftsgesetz (保険業法 hokengyohoo) §§ 117 ff. (Datenschutzpflichten)
• PIPC-Meldepflicht bei Datenschutzverstößen (Art. 26 APPI n.F.)

Deutschland → UK (post-Brexit)

• Angemessenheitsbeschluss UK: Gültig bis 2025; Verlängerung unter Vorbehalt
• UK GDPR als nationales Recht weiterhin auf EU-Standard — praktisch kaum Unterschied für normale Pensionsdaten

Schritt 4: Datenraum-Strukturierung für Buyout

Anforderungen sicherer Datenraum:

1. Zugangskontrolle: Rollenbasierte Berechtigungen (need-to-know); Wasserzeichen auf Dokumenten
2. Anonymisierung: Daten für Indikationsphase anonymisieren/pseudonymisieren; vollständige Identifikation erst nach NDA und fortgeschrittener Due Diligence
3. Löschfristen: Daten aus Datenraum werden nach Abschluss der Transaktion oder bei Abbruch gelöscht (Dokumentation der Löschung gem. Art. 5 Abs. 2 DSGVO)
4. Verarbeitungsverzeichnis (Art. 30 DSGVO): Aktenzeichen, Zweck, Empfänger, Löschfristen
5. Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO): Obligatorisch bei systematischer Verarbeitung besonderer Kategorien (Art. 9) — Gesundheitsdaten der Rentner

Templates

Template 1: Auftragsverarbeitungsvertrag BAV-Buyout (Kernklauseln)

AUFTRAGSVERARBEITUNGSVERTRAG (AV-VERTRAG)
gem. Art. 28 DSGVO

zwischen
[Konzern Muster AG] (nachfolgend "Verantwortlicher")

und
[Versicherungsgesellschaft / Buyout-Partner] (nachfolgend "Auftragsverarbeiter")

§ 1 Gegenstand und Zweck
Der Auftragsverarbeiter verarbeitet personenbezogene Daten der Versorgungs-
berechtigten des Verantwortlichen ausschließlich zum Zweck der Durchführung
der Pension-Buyout-Transaktion und der nachgelagerten Versorgungsleistungserbringung.

§ 2 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich
auf dokumentierte Weisung des Verantwortlichen.

§ 3 Technisch-organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter implementiert TOMs gem. Art. 32 DSGVO:
- Verschlüsselung (AES-256 oder gleichwertig)
- Pseudonymisierung während der Analysephase
- Zugangskontrolle (Zwei-Faktor-Authentifizierung)
- Löschkonzept nach Transaktionsabschluss (max. [X] Jahre)

§ 4 Drittlandtransfer
Sofern der Auftragsverarbeiter Daten in ein Drittland (außerhalb EWR) übermittelt,
geschieht dies nur mit ausreichender Garantie gem. Art. 46 DSGVO (SCC oder
Angemessenheitsbeschluss). Japan: Angemessenheitsbeschluss 2019/419 gilt;
USA: EU-US DPF-Zertifizierung oder EU-SCC erforderlich.

§ 5 Unterstützung Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung
von Auskunfts-, Löschungs- und Berichtigungsansprüchen (Art. 15–22 DSGVO)
innerhalb von zehn Werktagen nach Anfrage.

§ 6 Meldepflicht bei Datenpannen
Der Auftragsverarbeiter meldet Datenschutzverletzungen unverzüglich, spätestens
jedoch innerhalb von 24 Stunden nach Feststellung, an den Verantwortlichen.

Template 2: Checkliste Drittlandtransfer Pension Buyout

CHECKLISTE DRITTLANDTRANSFER DSGVO Art. 46
Treuenfels Yamamoto · Dr. von Sompeh-Ostermann

Empfängerland USA:
□ Empfänger im EU-US DPF-Register eingetragen? (www.dataprivacyframework.gov)
  Wenn Ja: Kein SCC erforderlich; TIA trotzdem empfohlen für Gesundheitsdaten
  Wenn Nein: EU-SCC (Standard Contractual Clauses 2021) verwenden
□ Transfer Impact Assessment (TIA) für Gesundheitsdaten (Art. 9 DSGVO) durchgeführt?
□ Schrems-II-Zusatzklauseln im AV-Vertrag aufgenommen?

Empfängerland Japan:
□ Angemessenheitsbeschluss EU-Kommission 2019/419 für Japan: Gültig (Stand 2024)
□ APPI-Compliance des japanischen Empfängers bestätigt?
□ Yuki Yamamoto-Brennecke (Kyoto-Büro) für PIPC-Fragen eingebunden?

UK:
□ UK GDPR Angemessenheitsbeschluss gültig?
  (Überprüfung empfohlen — Laufzeit bis Mitte 2025)

Allgemein:
□ Datenschutz-Folgenabschätzung (DSFA Art. 35 DSGVO) durchgeführt?
□ AV-Vertrag gem. Art. 28 DSGVO abgeschlossen?
□ Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisiert?
□ Information der Betroffenen gem. Art. 13/14 DSGVO?
□ Betriebsrat über Datenverarbeitung informiert (§ 87 Abs. 1 Nr. 6 BetrVG)?

Fallstricke

1. Sterblichkeitsdaten als Art. 9-Daten: Auch wenn Sterbetafeln statistisch aggregiert erscheinen, können aus individuellen Gesundheitsinformationen (Invaliditätsstatus, Krebserkrankung) Schlüsse gezogen werden. Diese sind als Art. 9-Daten einzustufen — erhöhter Schutz und DSFA-Pflicht.

2. Schrems II — Risiko fortbestehend: Das EU-US Data Privacy Framework kann erneut vom EuGH für ungültig erklärt werden (Schrems III). Parallel immer SCC verwenden und TIA dokumentieren.

3. Japan APPI 2022 — Verschärfung: Die APPI-Novelle 2022 hat die Anforderungen an Drittlandtransfers erheblich verschärft (Art. 28 APPI n.F.). Altverträge aus vor 2022 müssen überprüft werden.

4. Betriebsrats-Mitbestimmung: Wenn ein elektronisches Datenraum-System eingesetzt wird, greift § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung technischer Überwachungseinrichtungen). Betriebsrat muss eingebunden werden — vor Eröffnung des Datenraums.

Querverweise zu anderen Skills

• → pension-buyout-strukturierung-und-de-risking — Buyout-Transaktion allgemein
• → buyout-im-ma-deal-asset-vs-share — Datenräume im M&A-Kontext
• → country-by-country-benefits-matrix-konzern — lokale Datenschutzanforderungen je Land
• → japan-bav-und-corporate-pension-iorp — APPI Japan im Detail

Aktuelle Rechtsprechung und Leitsaetze (Ergaenzung v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Quellenregel

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.