internationale-buyout-datenflows-und-datenschutz
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/internationale-buyout-datenflows-und-datenschutzNavigate cross-border pension buyout data flows under GDPR and APPI.
- Map GDPR Art. 9 and Art. 46 compliance for health data transfers.
- Apply Schrems II workarounds and EU-US Data Privacy Framework rules.
- Integrate Japanese APPI/PIPC regulations into international transaction strategies.
- Generate transfer impact assessments and binding corporate rule recommendations.
SKILL.md
.github/skills/internationale-buyout-datenflows-und-datenschutzView on GitHub ↗
--- name: internationale-buyout-datenflows-und-datenschutz description: "Datenschutz bei internationalen Pension Buyouts: Art-9-DSGVO sensible Gesundheitsdaten Drittlandtransfer Art-46-SCC Versicherer-Datenraum APPI-PIPC Japan US-Daten Schrems-II-Workaround fuer grenzueberschreitende BAV-Transaktionen und Datenraeume." --- # Internationale Buyout-Datenflows und Datenschutz **Treuenfels Yamamoto Rechtsanwälte Partnerschaft mbB** Federführung: Prof. Dr. Adalbert von Sompeh-Ostermann, LL.M. (Oxford) Kyoto-Büro-Beteiligung: Yuki Yamamoto-Brennecke (APPI/PIPC-Expertise) --- ## Rechtsgrundlagen - DSGVO Art. 9 (Besondere Kategorien personenbezogener Daten — u.a. Gesundheitsdaten, biometrische Daten) - DSGVO Art. 6 (Rechtmäßigkeit der Verarbeitung — Interessenabwägung, Vertrag, rechtliche Verpflichtung) - DSGVO Art. 46 (Drittlandübermittlung — Standardvertragsklauseln SCC; Binding Corporate Rules BCR) - DSGVO Art. 28 (Auftragsverarbeitungsvertrag — AV-Vertrag mit Versicherer/Buyout-Partner) - EuGH C-311/18 (Schrems II, 16.7.2020) — EU-US Privacy Shield für ungültig erklärt; SCC bleiben gültig mit TIA (Transfer Impact Assessment) - EU-US Data Privacy Framework (DPF, seit 10.7.2023) — neuer Angemessenheitsbeschluss USA - DSGVO Art. 13/14 (Informationspflichten bei Datenerhebung/-weitergabe — Berechtigte informieren) - DSGVO Art. 30 (Verarbeitungsverzeichnis) - APPI (Act on the Protection of Personal Information, Japan — 個人情報の保護に関する法律): letzte Novelle 2022 (vierte Überarbeitung); PIPC (Personal Information Protection Commission — 個人情報保護委員会) als Aufsichtsbehörde - § 26 BDSG (Beschäftigtendatenschutz — Deutschland) - VAG § 10a (Schweigepflicht Versicherungsunternehmen; Datenweitergabe) - BetrVG § 87 Abs. 1 Nr. 6 (Mitbestimmung Einführung technischer Einrichtungen zur Überwachung) --- ## Vorgehen ### Schritt 1: Datenkategorien bei Pension Buyout — Bestandsaufnahme Bei jedem Pension Buyout (Buy-in, Buy-out, Longevity Swap) werden hochsensible personenbezogene Daten der Versorgungsberechtigten verarbeitet: **Betroffene Datenkategorien:** | Kategorie | DSGVO-Einordnung | Sensitivität | |-----------|-----------------|-------------| | Name, Geburtsdatum, Adresse | Art. 6 DSGVO | Standard | | Versorgungsanspruch/Rentenhöhe | Art. 6 DSGVO | Standard (aber vertraulich) | | Sterblichkeitsdaten (historisch/erwartet) | Art. 9 DSGVO — Gesundheitsdaten | Hoch | | Invaliditätsstatus | Art. 9 DSGVO — Gesundheitsdaten | Hoch | | Familienstand, Hinterbliebene | Art. 6 DSGVO | Standard | | Bankkontodaten | Art. 6 DSGVO | Standard (vertraulich) | | Sozialversicherungsnummer | Ggf. Art. 87 DSGVO / § 39 BDSG | Mittel | **Achtung:** Sterblichkeitsdaten und Invaliditätsdaten fallen unter Art. 9 DSGVO als Gesundheitsdaten (Schluss aus Sterbetafeln auf Gesundheitszustand). Erhöhter Schutz. ### Schritt 2: Rechtsgrundlagen für Datenverarbeitung **Intern (Vorbereitung Transaktion):** - Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — BAV-Vertrag) und lit. c (rechtliche Verpflichtung — § 14 BetrAVG) - § 26 Abs. 1 BDSG (Beschäftigtendatenschutz — Verarbeitung für Zwecke des Beschäftigungsverhältnisses) - Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG für Gesundheitsdaten im Beschäftigungsverhältnis **Gegenüber Versicherer/Buyout-Partner:** - AV-Vertrag nach Art. 28 DSGVO (Auftragsverarbeitungsvertrag) - Alternativ: gemeinsame Verantwortlichkeit (Art. 26 DSGVO) wenn Versicherer eigene Verarbeitungszwecke verfolgt — prüfen! **Informationspflichten:** - Arbeitnehmer/Rentner sind über Datenweitergabe an Versicherer gem. Art. 13/14 DSGVO zu informieren - Praxis: Ergänzung Datenschutzerklärung + separate Information im Rahmen der Buyout-Kommunikation ### Schritt 3: Drittlandtransfers #### Deutschland → USA **Historisch:** EU-US Privacy Shield (bis Schrems II, EuGH C-311/18, 16.7.2020) — für ungültig erklärt. **Aktuell:** EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss vom 10.7.2023 (Beschluss 2023/1795). US-Unternehmen, die sich selbst-zertifiziert haben, gelten als ausreichend geschützt. **Risiko:** Schrems III — politische Stabilität des DPF ungewiss. Empfehlung: Parallel immer EU-SCC (Standard Contractual Clauses) als Fallback. **Transfer Impact Assessment (TIA) für SCC:** - Risikoanalyse des lokalen US-Rechts (NSA-Überwachung nach FISA § 702, EO 12333) - Praxistipp: In der Regel SCC ausreichend für normale Pensionsdaten-Transfers zu zertifizierten US-Unternehmen; bei Gesundheitsdaten (Art. 9 DSGVO) erhöhte Sorgfalt. #### Deutschland → Japan **DSGVO Art. 46:** Japan hat einen Angemessenheitsbeschluss der EU-Kommission (Beschluss 2019/419, seither fortlaufend); Transfer zu japanischen Empfängern ohne SCC zulässig. **APPI-Anforderungen (Japan → EU und umgekehrt):** Japan APPI (最終改正 2022年, 施行 2022年4月) schreibt vor: - Bei Übermittlung personenbezogener Daten ins Ausland: Information des Betroffenen + Einwilligung, es sei denn Ausnahmetatbestand (Art. 24 APPI a.F. / Art. 28 APPI n.F.) - PIPC-Richtlinien: Drittlandtransfer nur in Länder mit ausreichendem Schutzniveau (Japan hat EU auf diese Liste gesetzt) oder mit vertraglicher Absicherung - Yuki Yamamoto-Brennecke koordiniert APPI-Compliance für das Kyoto-Büro **Versicherer-Datenraum Japan:** Bei Einbindung japanischer Versicherungsgesellschaften in einen globalen Buyout ist zu beachten: - Japanische Versicherungsunternehmen unterliegen Versicherungsgeschäftsgesetz (保険業法 hokengyohoo) §§ 117 ff. (Datenschutzpflichten) - PIPC-Meldepflicht bei Datenschutzverstößen (Art. 26 APPI n.F.) #### Deutschland → UK (post-Brexit) - Angemessenheitsbeschluss UK: Gültig bis 2025; Verlängerung unter Vorbehalt - UK GDPR als nationales Recht weiterhin auf EU-Standard — praktisch kaum Unterschied für normale Pensionsdaten ### Schritt 4: Datenraum-Strukturierung für Buyout **Anforderungen sicherer Datenraum:** 1. Zugangskontrolle: Rollenbasierte Berechtigungen (need-to-know); Wasserzeichen auf Dokumenten 2. Anonymisierung: Daten für Indikationsphase anonymisieren/pseudonymisieren; vollständige Identifikation erst nach NDA und fortgeschrittener Due Diligence 3. Löschfristen: Daten aus Datenraum werden nach Abschluss der Transaktion oder bei Abbruch gelöscht (Dokumentation der Löschung gem. Art. 5 Abs. 2 DSGVO) 4. Verarbeitungsverzeichnis (Art. 30 DSGVO): Aktenzeichen, Zweck, Empfänger, Löschfristen 5. Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO): Obligatorisch bei systematischer Verarbeitung besonderer Kategorien (Art. 9) — Gesundheitsdaten der Rentner --- ## Templates ### Template 1: Auftragsverarbeitungsvertrag BAV-Buyout (Kernklauseln) ``` AUFTRAGSVERARBEITUNGSVERTRAG (AV-VERTRAG) gem. Art. 28 DSGVO zwischen [Konzern Muster AG] (nachfolgend „Verantwortlicher") und [Versicherungsgesellschaft / Buyout-Partner] (nachfolgend „Auftragsverarbeiter") § 1 Gegenstand und Zweck Der Auftragsverarbeiter verarbeitet personenbezogene Daten der Versorgungs- berechtigten des Verantwortlichen ausschließlich zum Zweck der Durchführung der Pension-Buyout-Transaktion und der nachgelagerten Versorgungsleistungserbringung. § 2 Weisungsgebundenheit Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. § 3 Technisch-organisatorische Maßnahmen (TOMs) Der Auftragsverarbeiter implementiert TOMs gem. Art. 32 DSGVO: - Verschlüsselung (AES-256 oder gleichwertig) - Pseudonymisierung während der Analysephase - Zugangskontrolle (Zwei-Faktor-Authentifizierung) - Löschkonzept nach Transaktionsabschluss (max. [X] Jahre) § 4 Drittlandtransfer Sofern der Auftragsverarbeiter Daten in ein Drittland (außerhalb EWR) übermittelt, geschieht dies nur mit ausreichender Garantie gem. Art. 46 DSGVO (SCC oder Angemessenheitsbeschluss). Japan: Angemessenheitsbeschluss 2019/419 gilt; USA: EU-US DPF-Zertifizierung oder EU-SCC erforderlich. § 5 Unterstützung Betroffenenrechte Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Auskunfts-, Löschungs- und Berichtigungsansprüchen (Art. 15–22 DSGVO) innerhalb von zehn Werktagen nach Anfrage. § 6 Meldepflicht bei Datenpannen Der Auftragsverarbeiter meldet Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Feststellung, an den Verantwortlichen. ``` ### Template 2: Checkliste Drittlandtransfer Pension Buyout ``` CHECKLISTE DRITTLANDTRANSFER DSGVO Art. 46 Treuenfels Yamamoto · Dr. von Sompeh-Ostermann Empfängerland USA: □ Empfänger im EU-US DPF-Register eingetragen? (www.dataprivacyframework.gov) Wenn Ja: Kein SCC erforderlich; TIA trotzdem empfohlen für Gesundheitsdaten Wenn Nein: EU-SCC (Standard Contractual Clauses 2021) verwenden □ Transfer Impact Assessment (TIA) für Gesundheitsdaten (Art. 9 DSGVO) durchgeführt? □ Schrems-II-Zusatzklauseln im AV-Vertrag aufgenommen? Empfängerland Japan: □ Angemessenheitsbeschluss EU-Kommission 2019/419 für Japan: Gültig (Stand 2024) □ APPI-Compliance des japanischen Empfängers bestätigt? □ Yuki Yamamoto-Brennecke (Kyoto-Büro) für PIPC-Fragen eingebunden? UK: □ UK GDPR Angemessenheitsbeschluss gültig? (Überprüfung empfohlen — Laufzeit bis Mitte 2025) Allgemein: □ Datenschutz-Folgenabschätzung (DSFA Art. 35 DSGVO) durchgeführt? □ AV-Vertrag gem. Art. 28 DSGVO abgeschlossen? □ Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisiert? □ Information der Betroffenen gem. Art. 13/14 DSGVO? □ Betriebsrat über Datenverarbeitung informiert (§ 87 Abs. 1 Nr. 6 BetrVG)? ``` --- ## Fallstricke 1. **Sterblichkeitsdaten als Art. 9-Daten:** Auch wenn Sterbetafeln statistisch aggregiert erscheinen, können aus individuellen Gesundheitsinformationen (Invaliditätsstatus, Krebserkrankung) Schlüsse gezogen werden. Diese sind als Art. 9-Daten einzustufen — erhöhter Schutz und DSFA-Pflicht. 2. **Schrems II — Risiko fortbestehend:** Das EU-US Data Privacy Framework kann erneut vom EuGH für ungültig erklärt werden (Schrems III). Parallel immer SCC verwenden und TIA dokumentieren. 3. **Japan APPI 2022 — Verschärfung:** Die APPI-Novelle 2022 hat die Anforderungen an Drittlandtransfers erheblich verschärft (Art. 28 APPI n.F.). Altverträge aus vor 2022 müssen überprüft werden. 4. **Betriebsrats-Mitbestimmung:** Wenn ein elektronisches Datenraum-System eingesetzt wird, greift § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung technischer Überwachungseinrichtungen). Betriebsrat muss eingebunden werden — vor Eröffnung des Datenraums. --- ## Querverweise zu anderen Skills - → `pension-buyout-strukturierung-und-de-risking` — Buyout-Transaktion allgemein - → `buyout-im-ma-deal-asset-vs-share` — Datenräume im M&A-Kontext - → `country-by-country-benefits-matrix-konzern` — lokale Datenschutzanforderungen je Land - → `japan-bav-und-corporate-pension-iorp` — APPI Japan im Detail ## Aktuelle Rechtsprechung und Leitsaetze (Ergaenzung v14.2) - **EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II)**, NJW 2020, 2613 — Privacy Shield ungueltig; SCC bleiben gueltig aber erfordern Transfer Impact Assessment (TIA); bei Pension-Buyouts mit US-Versicherer SCC + TIA obligatorisch. - **EuGH, Urt. v. 04.05.2023 — C-60/22 (Meta)**, NZA 2023, 912 (Datenschutz-Grundsatzentscheidung) — Verhaltens- und Interessenabwaegung bei Datenverarbeitung; bei Gesundheitsdaten nach Art. 9 DSGVO erhoehte Pruefpflichten auch bei vertraglich vereinbarter Verarbeitung. - **BAG, Urt. v. 26.08.2021 — 8 AZR 253/20**, NZA 2022, 219 — Informationspflichten nach Art. 13/14 DSGVO bei Weitergabe von Beschaeftigtendaten an Dritte; Versorgungsberechtigte sind ueber Datenweitergabe an Buyout-Versicherer zu informieren. ## Kommentarliteratur (Ergaenzung) - Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 46 Rn. 1 ff. (SCC, Drittlandtransfer, TIA-Anforderungen) - Kühling/Buchner, DSGVO/BDSG, 4. Aufl. 2024, Art. 9 Rn. 1 ff. (besondere Kategorien, Gesundheitsdaten)