Stellen Sie sich vor, Sie investieren in ein deutsches Unternehmen. Sie haben die Standortwahl getroffen, die Gewerbeanmeldung läuft, und plötzlich stehen Sie vor einem Berg von Datenschutzfragen. Ihre deutschen Mitarbeiter haben Rechte, die Sie vielleicht nicht erwarten. Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) stellen strenge Anforderungen – und die Nichteinhaltung kann teuer werden. Ich erinnere mich an einen Fall Anfang 2022: Ein US-amerikanischer Investor hatte in ein mittelständisches Unternehmen in Bayern investiert und die Personalakten wurden noch per E-Mail ohne Verschlüsselung an die Zentrale in den USA geschickt. Das gab richtig Ärger mit der Aufsichtsbehörde. Also, lassen Sie uns gemeinsam anschauen, was Sie konkret beachten müssen.
## Rechtsgrundlage und ErlaubnisvorbehaltRechtsgrundlage für Datenverarbeitung
Der erste und vielleicht wichtigste Punkt ist die Rechtsgrundlage. Nach Art. 6 DSGVO benötigen Sie für jede Verarbeitung personenbezogener Daten Ihrer Mitarbeiter eine Rechtsgrundlage. Das kann die Einwilligung des Mitarbeiters sein, die Erfüllung eines Vertrags oder eine gesetzliche Verpflichtung. Klingt einfach, oder? Aber die Praxis zeigt: Viele Unternehmen scheitern bereits hier. Nehmen Sie das Beispiel der Gehaltsabrechnung. Die Verarbeitung von Gehaltsdaten ist durch § 26 BDSG gedeckt, weil sie für das Beschäftigungsverhältnis erforderlich ist. Aber was ist mit der Speicherung von Krankheitsdaten? Das ist schon heikler. Sie brauchen hier eine spezifische Rechtsgrundlage, oft die Einwilligung oder gesetzliche Vorschriften wie das Entgeltfortzahlungsgesetz.
Ich hatte mal einen Mandanten, ein chinesisches Unternehmen, das in Düsseldorf eine Niederlassung eröffnete. Der Geschäftsführer wollte alle Mitarbeiterdaten – inklusive Gesundheitsdaten – auf einem Server in Shanghai speichern. „Das ist doch unser Konzern, das muss gehen“, meinte er. Aber nein, das geht so nicht. Wir mussten ihm erklären, dass die Übermittlung in Drittländer besonderen Beschränkungen unterliegt. Die Rechtsgrundlage allein reicht nicht – die Daten müssen auch im Unternehmen bleiben oder zumindest innerhalb der EU oder in sicheren Drittstaaten verarbeitet werden. Das war eine harte Lektion für ihn, aber er hat es verstanden, nachdem wir die möglichen Bußgelder aufgezeigt haben.
Für Investoren ist es daher entscheidend: Prüfen Sie vor Investitionsbeginn, ob das Zielunternehmen eine ordentliche Verarbeitungsübersicht hat. Fehlt diese, sollten Sie Alarm schlagen. Die Aufsichtsbehörden werden bei Prüfungen zuerst diese Übersicht verlangen. Ich empfehle immer, einen externen Datenschutzbeauftragten zu beauftragen – das kostet vielleicht ein paar tausend Euro im Jahr, aber es spart im Zweifel Millionen an Strafen.
## Informationspflichten und TransparenzInformationspflichten gegenüber Mitarbeitern
Zweitens: Sie müssen Ihre Mitarbeiter umfassend informieren. Art. 13 und 14 DSGVO schreiben vor, dass Sie klar und verständlich darlegen müssen, welche Daten Sie erheben, zu welchem Zweck, auf welcher Rechtsgrundlage, und wie lange Sie sie speichern. Das klingt nach Bürokratie – und ja, das ist es auch – aber es ist absolut notwendig. Ich rate immer zu einer zweistufigen Information: Einmal eine Kurzfassung im Arbeitsvertrag oder in der Betriebsvereinbarung, und dann eine ausführliche Datenschutzerklärung, die der Mitarbeiter unterschreibt.
Ein Klassiker aus meiner Praxis: Ein japanisches Unternehmen im Raum Stuttgart hatte eine deutsche Tochter übernommen und die Personalabteilung in Japan wollte alle Mitarbeiterdaten für ein weltweites HR-System zentralisieren. Die deutschen Mitarbeiter wurden nicht informiert – das war ein grober Fehler. Die Folge war eine Abmahnung durch den Betriebsrat und letztlich eine einstweilige Verfügung. Information ist der Schlüssel zur Vertrauensbildung, und ohne Vertrauen läuft gar nichts. Die Mitarbeiter haben ein Recht zu wissen, was mit ihren Daten passiert – und wenn Sie dieses Recht ignorieren, werden Sie früher oder später Ärger bekommen.
Ich sage meinen Mandanten immer: Stellen Sie sich vor, Sie wären selbst der Mitarbeiter. Würden Sie wollen, dass Ihre Personalakte ohne Ihr Wissen nach Peking oder Mumbai transferiert wird? Wahrscheinlich nicht. Also behandeln Sie Ihre Mitarbeiterdaten so, wie Sie Ihre eigenen behandelt haben möchten. Das ist nicht nur rechtlich korrekt, sondern auch menschlich klug. Übrigens: Die Information muss in einer klaren und einfachen Sprache erfolgen. Kein Juristendeutsch. Ein guter Tipp ist, die Datenschutzerklärung von einem Muttersprachler gegenlesen zu lassen – ich habe schon Texte gesehen, die selbst ich als Deutschsprachiger kaum verstanden habe.
## Datensparsamkeit und ZweckbindungDatensparsamkeit und Zweckbindung
Der dritte Aspekt ist die Datensparsamkeit. Das Prinzip ist einfach: Erheben Sie nur die Daten, die Sie für den konkreten Zweck wirklich brauchen. Keine Daten auf Vorrat, keine „mal sehen, ob die später nützlich sein könnten“-Mentalität. Die DSGVO ist hier sehr strikt. Ein Beispiel aus der Praxis: Ein Unternehmen wollte von allen Mitarbeitern die Religionszugehörigkeit erheben – für die Feiertagsplanung, wie sie sagten. Aber das geht nur mit ausdrücklicher Einwilligung, denn die Religionszugehörigkeit ist eine besondere Kategorie personenbezogener Daten (Art. 9 DSGVO). Die meisten Mitarbeiter haben die Einwilligung verweigert – und dann stand das Unternehmen ohne Lösung da.
Die Zweckbindung ist eng damit verbunden. Sie dürfen die Daten nicht für andere Zwecke nutzen, als für die sie erhoben wurden. Klingt logisch, oder? Aber ich erlebe ständig, dass Unternehmen Mitarbeiterdaten für Marketing oder andere Nebenaktivitäten nutzen. Das ist ein absolutes No-Go. Ich erinnere mich an einen Fall aus dem Jahr 2019: Ein Logistikunternehmen in Nordrhein-Westfalen hatte Mitarbeiterdaten genutzt, um ein internes Bewertungssystem aufzubauen – ohne die Mitarbeiter zu informieren. Das Ergebnis war eine Klage des Betriebsrats und eine Geldstrafe von 500.000 Euro. Ein teurer Fehler!
Für Investoren gilt: Prüfen Sie bei der Due Diligence, ob das Unternehmen eine klare Datenstrategie hat. Werden Daten gelöscht, wenn der Zweck entfällt? Gibt es Löschkonzepte? Wenn nicht, ist das ein Warnsignal. Ich empfehle, einen Data Protection Check durchzuführen – das ist wie ein Gesundheitscheck für Ihre Datenverarbeitung. Kostet etwas Zeit, aber es lohnt sich. Und glauben Sie mir: Die Aufsichtsbehörden werden immer genauer hinschauen. Die Zeiten, wo Datenschutz nur ein lästiges Anhängsel war, sind vorbei.
## Rechte der MitarbeiterRechte der Mitarbeiter gewährleisten
Viertens: Die Mitarbeiter haben weitreichende Rechte. Auskunftsrecht (Art. 15 DSGVO), Berichtigungsrecht (Art. 16), Löschrecht (Art. 17) – das sind nur einige. Und diese Rechte müssen innerhalb eines Monats erfüllt werden. In der Praxis ist das Auskunftsrecht der häufigste Fall. Ein Mitarbeiter verlangt eine Kopie aller seiner Daten – und das kann buchstäblich Tausende von Dokumenten umfassen. Ich hatte einen Mandanten, einen großen Automobilzulieferer, bei dem ein ehemaliger Mitarbeiter Auskunft über 12 Jahre Betriebszugehörigkeit verlangte. Das war ein Riesenaufwand, aber wir mussten liefern.
Besonders knifflig ist das Löschrecht. Wenn ein Mitarbeiter kündigt, verlangt er oft die Löschung aller Daten. Aber: Einige Daten müssen aus rechtlichen Gründen aufbewahrt werden, z.B. nach dem Handelsgesetzbuch (HGB) für 6 oder 10 Jahre. Hier müssen Sie eine schwierige Abwägung treffen. Die Praxis zeigt: Eine gute Dokumentation ist die halbe Miete. Wenn Sie nachvollziehen können, welche Daten zu welchem Zweck gespeichert sind und wann sie gelöscht werden müssen, haben Sie die Hälfte der Arbeit schon erledigt. Ich rate zu einer Data Mapping-Tabelle, in der alle Datenflüsse festgehalten sind. Das klingt lästig, aber es spart später viel Ärger.
Ein weiterer Punkt: Die Mitarbeiter haben das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Das heißt, sie können verlangen, dass ihre Daten in einem maschinenlesbaren Format ausgehändigt werden. Für Investoren ist das relevant, weil Sie bei der Integration neuer Systeme sicherstellen müssen, dass dieses Recht erfüllt werden kann. Wenn Ihre IT-Infrastruktur das nicht hergibt, haben Sie ein Problem. Ich empfehle, bei der Systemauswahl von Anfang an auf DSGVO-Kompatibilität zu achten.
## Technische und organisatorische MaßnahmenTechnische und organisatorische Maßnahmen
Fünftens: Sie müssen angemessene technische und organisatorische Maßnahmen (TOMs) ergreifen. Das klingt nach einem Fachbegriff aus dem IT-Security-Bereich, aber es ist eigentlich recht einfach: Sie müssen Ihre Daten so schützen, dass unbefugter Zugriff, Verlust oder Missbrauch verhindert wird. Die DSGVO gibt keine genauen Vorgaben, sondern sagt: „angemessen unter Berücksichtigung des Risikos“. Das ist ein bisschen schwammig, aber die Praxis hat gezeigt, was üblich ist: Verschlüsselung, Zugangskontrollen, Firewalls, regelmäßige Backups, und ein Incident-Response-Plan.
Ich hatte mal einen Fall, da hat ein Unternehmen die Mitarbeiterdaten auf einem ungeschützten Server gespeichert – der war sogar über das Internet erreichbar. Das war ein gefundenes Fressen für Hacker. Zum Glück ist nichts passiert, aber die Aufsichtsbehörde hat bei einer Prüfung die Sicherheitslücke entdeckt und eine saftige Strafe verhängt. Das Besondere an TOMs ist: Sie müssen dokumentieren, was Sie getan haben. Ein reines „das machen wir schon“ reicht nicht. Sie brauchen ein TOM-Dokument, das die Maßnahmen beschreibt und regelmäßig aktualisiert wird. Ich empfehle jährliche Überprüfungen – die IT-Landschaft ändert sich schnell, und mit ihr die Risiken.
Für Investoren ist wichtig: Prüfen Sie die TOMs des Zielunternehmens. Gibt es ein Notfallmanagement für Datenpannen? Wie schnell wird eine Datenschutzverletzung gemeldet? Die DSGVO schreibt vor, dass Sie eine Verletzung innerhalb von 72 Stunden melden müssen. Wenn das Unternehmen keinen Plan hat, ist das ein ernstes Risiko. Ich sage immer: Investieren Sie in Datenschutz wie in eine Versicherung – es kostet etwas, aber es verhindert, dass Sie im Schadensfall alles verlieren. Und glauben Sie mir, die Bußgelder können existenzbedrohend sein. Das höchste Bußgeld in Deutschland lag bisher bei über 35 Millionen Euro – für Datenschutzverstöße. Das will kein Investor riskieren.
## Auftragsverarbeitung und DrittlandtransferAuftragsverarbeitung und Drittlandtransfer
Sechstens: Wenn Sie externe Dienstleister einsetzen – etwa eine Cloud-Lösung für die Personalverwaltung oder einen Anwalt, der Arbeitsverträge prüft – müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das ist ein Muss nach Art. 28 DSGVO. Der AVV regelt, wer für was verantwortlich ist, welche Daten verarbeitet werden, und wie die Sicherheit gewährleistet wird. In der Praxis sehe ich oft, dass Unternehmen das vernachlässigen. „Ach, das ist doch unser Steuerberater, dem vertrauen wir“, heißt es dann. Aber Vertrauen allein schützt nicht vor der Aufsichtsbehörde.
Besonders kritisch ist der Drittlandtransfer. Wenn Sie Mitarbeiterdaten in die USA, nach China oder ein anderes Land außerhalb des EWR übermitteln, brauchen Sie entweder einen Angemessenheitsbeschluss der EU-Kommission (die USA haben seit 2023 das EU-US Data Privacy Framework) oder geeignete Garantien wie Standardvertragsklauseln (SCCs). Das ist ein Minenfeld für ausländische Investoren. Ich habe erlebt, dass ein chinesisches Unternehmen monatelang an einem Datentransfermodell gearbeitet hat, nur um dann festzustellen, dass die SCCs nicht ausreichen, weil chinesische Behörden jederzeit Zugriff verlangen können. Das hat die ganze Investition verzögert.
Ein Tipp aus meiner Erfahrung: Vermeiden Sie, wo möglich, den Drittlandtransfer. Nutzen Sie lokale Rechenzentren in der EU oder der Schweiz. Das ist einfacher und rechtssicherer. Wenn der Transfer unvermeidbar ist, investieren Sie in eine ordentliche Datenschutzfolgenabschätzung (DSFA). Die DSFA ist zwar aufwendig, aber sie zeigt der Aufsichtsbehörde, dass Sie sich Gedanken gemacht haben. Und das ist die halbe Miete, wenn es zu einer Prüfung kommt. Denken Sie dran: Die Beweislast liegt bei Ihnen, nicht bei der Behörde.
## Betriebsrat und MitbestimmungBetriebsrat und Mitbestimmung
Siebtens: Der Betriebsrat spielt eine wichtige Rolle beim Mitarbeiterdatenschutz. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung von technischen Einrichtungen, die das Verhalten oder die Leistung der Mitarbeiter überwachen können. Das betrifft praktisch jedes HR-System, das Daten über Mitarbeiter erfasst – von Zeiterfassung über CRM-Systeme bis hin zu Videoüberwachung. Ein Unternehmen, das den Betriebsrat nicht einbezieht, riskiert, dass die getroffenen Maßnahmen unwirksam sind.
Ich hatte einen Fall, wo ein Unternehmen ein neues Zeiterfassungssystem mit Gesichtserkennung einführen wollte – ohne den Betriebsrat zu fragen. Der Betriebsrat klagte, und das System durfte nicht in Betrieb genommen werden. Das Unternehmen stand dann ohne funktionierende Zeiterfassung da und musste ein teures Interimssystem aufbauen. Der Betriebsrat ist kein Gegner, sondern ein Partner, wenn es um Datenschutz geht. Eine gute Betriebsvereinbarung kann Klarheit schaffen und beide Seiten schützen. Ich empfehle immer, frühzeitig das Gespräch zu suchen – das spart Zeit und Nerven.
Für Investoren bedeutet das: Prüfen Sie, ob das Zielunternehmen eine funktionierende Betriebsratstruktur hat. Fehlt eine Betriebsvereinbarung zu Datenschutzfragen, ist das ein Risiko. In vielen Branchen ist es üblich, dass Betriebsvereinbarungen jährlich aktualisiert werden – wenn das nicht passiert, sind die Prozesse veraltet. Investieren Sie in die Modernisierung, sonst stehen Sie vor bösen Überraschungen. Und denken Sie dran: Der Betriebsrat kann bei Datenschutzverstößen sogar ein Klagerecht haben – das ist in § 23 BetrVG geregelt. Also besser vorsorgen, als die Klage zu riskieren.
## Löschung und DatenaufbewahrungLöschung und Datenaufbewahrung
Und der achte Punkt: Die Löschung von Daten. Die DSGVO verlangt, dass personenbezogene Daten nicht länger gespeichert werden, als für den Zweck erforderlich. Das klingt einfach, aber in der Praxis ist es eine Herausforderung. Nehmen Sie die Personalakte eines Mitarbeiters, der vor 10 Jahren gekündigt hat. Nach dem HGB müssen Lohn- und Gehaltsunterlagen 6 Jahre aufbewahrt werden, aber die Personalakte selbst? Hier gibt es keine einheitliche Regel. Gerichte haben entschieden, dass nach Beendigung des Arbeitsverhältnisses die Daten gelöscht werden müssen, es sei denn, es gibt einen konkreten Grund für die Aufbewahrung (z.B. ein laufender Rechtsstreit).
Ich erlebe oft, dass Unternehmen Daten einfach behalten, weil „man ja nie weiß“. Das ist gefährlich. Eine nicht gelöschte Datenmenge ist eine tickende Zeitbombe. Stellen Sie sich vor, es kommt zu einem Datenleck – dann haben Sie nicht nur die aktuellen, sondern auch die Altlasten an der Backe. Ich empfehle ein gestaffeltes Löschkonzept: Nach 3 Jahren werden die meisten Daten gelöscht, außer den gesetzlich vorgeschriebenen. Nach 6 Jahren folgt die nächste Löschwelle. Das muss im Unternehmen klar kommuniziert und umgesetzt werden. Ein gutes Tool ist die Löschliste, die regelmäßig aktualisiert wird.
Für Investoren: Fragen Sie bei der Due Diligence nach dem Löschkonzept. Wenn es keins gibt, sehen Sie rot. Die Aufsichtsbehörden legen immer mehr Wert darauf, dass Daten nicht ewig gespeichert werden. In einigen Bundesländern, wie z.B. in Hessen, gibt es schon spezielle Prüfschwerpunkte zur Löschung. Investieren Sie in ein automatisiertes System, das die Löschfristen überwacht – das lohnt sich auf Dauer. Und noch ein Tipp: Löschen Sie nicht einfach Daten in der Cloud, sondern stellen Sie sicher, dass sie auch aus den Backups entfernt werden. Sonst haben Sie das Problem nur halb gelöst.
## Zusammenfassung und AusblickMeine Damen und Herren, der Schutz persönlicher Mitarbeiterdaten ist kein reines Bürokratieproblem, sondern eine strategische Notwendigkeit. Die acht Aspekte, die wir besprochen haben – Rechtsgrundlage, Informationspflichten, Datensparsamkeit, Mitarbeiterrechte, TOMs, Auftragsverarbeitung, Betriebsrat und Löschung – sind wie die Säulen eines Gebäudes. Fehlt eine Säule, stürzt das ganze Gebäude ein. Denken Sie dran: Datenschutz ist kein Kostenfaktor, sondern eine Investition in Vertrauen und Rechtssicherheit. Aus meiner 26-jährigen Erfahrung kann ich Ihnen sagen: Die Unternehmen, die früh in Datenschutz investieren, haben langfristig die geringeren Risiken und die zufriedeneren Mitarbeiter.
Die Zukunft wird zeigen, dass der Datenschutz noch wichtiger wird. Die EU plant neue Regelungen für den Arbeitsplatz, und die Digitalisierung schreitet voran. Künstliche Intelligenz in der Personalarbeit wird neue Fragen aufwerfen – etwa: Darf ein Algorithmus entscheiden, wer befördert wird? Ich persönlich glaube, dass der Mensch im Mittelpunkt bleiben muss. Die Technologie sollte den Menschen dienen, nicht umgekehrt. Investoren, die das verstehen, werden langfristig die Nase vorn haben. Also packen Sie das Thema an – ich wünsche Ihnen viel Erfolg dabei!
## Einsichten von Jiaxi Steuer- und Finanzberatung Bei der Jiaxi Steuer- und Finanzberatungsgesellschaft haben wir in den letzten 14 Jahren unzählige ausländische Unternehmen bei der Einhaltung deutscher Datenschutzvorschriften begleitet. Unsere Erfahrung zeigt: Viele Investoren unterschätzen den bürokratischen Aufwand, den der Schutz persönlicher Mitarbeiterdaten mit sich bringt. Dabei ist es gar nicht so kompliziert, wenn man die Struktur versteht. Wir empfehlen unseren Mandanten immer, vor der Investition eine Datenschutz-Due-Diligence durchzuführen – das kostet vielleicht 5.000 bis 10.000 Euro, aber es verhindert, dass Sie später in eine Kostenfalle tappen. Denken Sie daran: Die deutsche Datenschutzauditpraxis ist eine der strengsten weltweit. Die Aufsichtsbehörden arbeiten eng mit dem Betriebsrat zusammen, und Sie müssen auf beiden Ebenen überzeugen. Bei Jiaxi haben wir ein spezielles Audit-Tool entwickelt, das Ihre Datenflüsse abbildet und die Einhaltung der DSGVO sicherstellt. Investieren Sie in professionelle Beratung – das ist günstiger als ein Bußgeld.