---
name: internationale-buyout-datenflows-und-datenschutz
description: "Datenfluesse bei internationalem bAV-Buyout datenschutzrechtlich absichern: DSGVO, Drittlandtransfers. Normen: DSGVO Art. 44 ff., BDSG. Prüfraster: Datenkategorie, Transfermechanismen, Einwilligung vs. Vertrag. Output: Datenschutz-Memo internationaler bAV-Buyout. Abgrenzung: nicht Datenverarbeitu..."
---

# Internationale Buyout-Datenflows und Datenschutz

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: BetrAVG § 1b Unverfallbarkeitsfrist 3 Jahre/21. Lebensjahr, § 16 Anpassungsprüfung 3 Jahre, EStG § 3 Nr. 63 Beitragsgrenze 8 % BBG, PSV-Beitrag jährlich.
- Tragende Normen verifizieren: BetrAVG §§ 1, 1a, 1b, 2, 3, 7, 9, 11, 16, 17, 17b, 18, EStG §§ 3 Nr. 63, 4d, 4e, 6a, 19 Abs. 2, KStG § 5 (Pensionsfonds), VAG (Pensionskassen), HGB § 246 Abs. 2 S. 2, IDW RS HFA 30 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Arbeitgeber, Arbeitnehmer, Pensionskasse, Pensionsfonds, Versicherer, Versorgungsträger, PSVaG (Insolvenzsicherung), Versorgungsausgleichskasse, Betriebsrat (§ 87 Abs. 1 Nr. 10 BetrVG).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Versorgungsordnung, Pensionszusage, Entgeltumwandlungsvereinbarung, PSV-Anzeige, IFRS/HGB-Pensionsgutachten, versicherungsmathematisches Gutachten, Betriebsvereinbarung bAV — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Fachkern: Internationale Buyout-Datenflows und Datenschutz

- **bAV-Problem:** DSGVO, Drittlandtransfers. Normen: DSGVO Art. 44 ff., BDSG. Prüfraster: Datenkategorie, Transfermechanismen, Einwilligung vs. Vertrag. Output: Datenschutz-Memo internationaler bAV-Buyout. Abgrenzung: nicht Datenverarbeitung im laufenden bAV-Betrieb.
- **Normenanker:** BetrAVG, EStG/LSt, SGB IV, HGB/IFRS-Bilanzierung, InsO, ArbGG und arbeitsrechtliche Zusage-/Änderungsdogmatik je nach Durchführungsweg prüfen.
- **Entscheidende Weiche:** Zusageart, Durchführungsweg, Unverfallbarkeit, Anpassung, PSV-Schutz, Steuer-/SV-Folge und M&A-/Insolvenzrisiko getrennt ausweisen.
- **Arbeitsprodukt:** bAV-Entscheidungsvorlage mit Leistungsversprechen, Zahlenbasis, Risikoampel, HR-/Finance-To-dos und belastbarer Kommunikationslinie.

## Rechtsgrundlagen

- DSGVO Art. 9 (Besondere Kategorien personenbezogener Daten — u.a. Gesundheitsdaten, biometrische Daten)
- DSGVO Art. 6 (Rechtmäßigkeit der Verarbeitung — Interessenabwägung, Vertrag, rechtliche Verpflichtung)
- DSGVO Art. 46 (Drittlandübermittlung — Standardvertragsklauseln SCC; Binding Corporate Rules BCR)
- DSGVO Art. 28 (Auftragsverarbeitungsvertrag — AV-Vertrag mit Versicherer/Buyout-Partner)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- EU-US Data Privacy Framework (DPF, seit 10.7.2023) — neuer Angemessenheitsbeschluss USA
- DSGVO Art. 13/14 (Informationspflichten bei Datenerhebung/-weitergabe — Berechtigte informieren)
- DSGVO Art. 30 (Verarbeitungsverzeichnis)
- APPI (Act on the Protection of Personal Information, Japan — 個人情報の保護に関する法律): letzte Novelle 2022 (vierte Überarbeitung); PIPC (Personal Information Protection Commission — 個人情報保護委員会) als Aufsichtsbehörde
- § 26 BDSG (Beschäftigtendatenschutz — Deutschland)
- VAG § 10a (Schweigepflicht Versicherungsunternehmen; Datenweitergabe)
- BetrVG § 87 Abs. 1 Nr. 6 (Mitbestimmung Einführung technischer Einrichtungen zur Überwachung)

---

## Vorgehen

### Schritt 1: Datenkategorien bei Pension Buyout — Bestandsaufnahme

Bei jedem Pension Buyout (Buy-in, Buy-out, Longevity Swap) werden hochsensible personenbezogene Daten der Versorgungsberechtigten verarbeitet:

**Betroffene Datenkategorien:**

| Kategorie | DSGVO-Einordnung | Sensitivität |
|-----------|-----------------|-------------|
| Name, Geburtsdatum, Adresse | Art. 6 DSGVO | Standard |
| Versorgungsanspruch/Rentenhöhe | Art. 6 DSGVO | Standard (aber vertraulich) |
| Sterblichkeitsdaten (historisch/erwartet) | Art. 9 DSGVO — Gesundheitsdaten | Hoch |
| Invaliditätsstatus | Art. 9 DSGVO — Gesundheitsdaten | Hoch |
| Familienstand, Hinterbliebene | Art. 6 DSGVO | Standard |
| Bankkontodaten | Art. 6 DSGVO | Standard (vertraulich) |
| Sozialversicherungsnummer | Ggf. Art. 87 DSGVO / § 39 BDSG | Mittel |

**Achtung:** Sterblichkeitsdaten und Invaliditätsdaten fallen unter Art. 9 DSGVO als Gesundheitsdaten (Schluss aus Sterbetafeln auf Gesundheitszustand). Erhöhter Schutz.

### Schritt 2: Rechtsgrundlagen für Datenverarbeitung

**Intern (Vorbereitung Transaktion):**
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — BAV-Vertrag) und lit. c (rechtliche Verpflichtung — § 14 BetrAVG)
- § 26 Abs. 1 BDSG (Beschäftigtendatenschutz — Verarbeitung für Zwecke des Beschäftigungsverhältnisses)
- Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG für Gesundheitsdaten im Beschäftigungsverhältnis

**Gegenüber Versicherer/Buyout-Partner:**
- AV-Vertrag nach Art. 28 DSGVO (Auftragsverarbeitungsvertrag)
- Alternativ: gemeinsame Verantwortlichkeit (Art. 26 DSGVO) wenn Versicherer eigene Verarbeitungszwecke verfolgt — prüfen!

**Informationspflichten:**
- Arbeitnehmer/Rentner sind über Datenweitergabe an Versicherer gem. Art. 13/14 DSGVO zu informieren
- Praxis: Ergänzung Datenschutzerklärung + separate Information im Rahmen der Buyout-Kommunikation

### Schritt 3: Drittlandtransfers

#### Deutschland → USA
**Aktuell:** EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss vom 10.7.2023 (Beschluss 2023/1795). US-Unternehmen, die sich selbst-zertifiziert haben, gelten als ausreichend geschützt.
**Risiko:** Schrems III — politische Stabilität des DPF ungewiss. Empfehlung: Parallel immer EU-SCC (Standard Contractual Clauses) als Fallback.

**Transfer Impact Assessment (TIA) für SCC:**
- Risikoanalyse des lokalen US-Rechts (NSA-Überwachung nach FISA § 702, EO 12333)
- Praxistipp: In der Regel SCC ausreichend für normale Pensionsdaten-Transfers zu zertifizierten US-Unternehmen; bei Gesundheitsdaten (Art. 9 DSGVO) erhöhte Sorgfalt.

#### Deutschland → Japan
**DSGVO Art. 46:** Japan hat einen Angemessenheitsbeschluss der EU-Kommission (Beschluss 2019/419, seither fortlaufend); Transfer zu japanischen Empfängern ohne SCC zulässig.

**APPI-Anforderungen (Japan → EU und umgekehrt):**
Japan APPI (最終改正 2022年, 施行 2022年4月) schreibt vor:
- Bei Übermittlung personenbezogener Daten ins Ausland: Information des Betroffenen + Einwilligung, es sei denn Ausnahmetatbestand (Art. 24 APPI a.F. / Art. 28 APPI n.F.)
- PIPC-Richtlinien: Drittlandtransfer nur in Länder mit ausreichendem Schutzniveau (Japan hat EU auf diese Liste gesetzt) oder mit vertraglicher Absicherung
- Japan-/Datenschutz-Team koordiniert APPI-Compliance für das Kyoto-Büro

**Versicherer-Datenraum Japan:**
Bei Einbindung japanischer Versicherungsgesellschaften in einen globalen Buyout ist zu beachten:
- Japanische Versicherungsunternehmen unterliegen Versicherungsgeschäftsgesetz (保険業法 hokengyohoo) §§ 117 ff. (Datenschutzpflichten)
- PIPC-Meldepflicht bei Datenschutzverstößen (Art. 26 APPI n.F.)

#### Deutschland → UK (post-Brexit)
- Angemessenheitsbeschluss UK: Gültig bis 2025; Verlängerung unter Vorbehalt
- UK GDPR als nationales Recht weiterhin auf EU-Standard — praktisch kaum Unterschied für normale Pensionsdaten

### Schritt 4: Datenraum-Strukturierung für Buyout

**Anforderungen sicherer Datenraum:**
1. Zugangskontrolle: Rollenbasierte Berechtigungen (need-to-know); Wasserzeichen auf Dokumenten
2. Anonymisierung: Daten für Indikationsphase anonymisieren/pseudonymisieren; vollständige Identifikation erst nach NDA und fortgeschrittener Due Diligence
3. Löschfristen: Daten aus Datenraum werden nach Abschluss der Transaktion oder bei Abbruch gelöscht (Dokumentation der Löschung gem. Art. 5 Abs. 2 DSGVO)
4. Verarbeitungsverzeichnis (Art. 30 DSGVO): Aktenzeichen, Zweck, Empfänger, Löschfristen
5. Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO): Obligatorisch bei systematischer Verarbeitung besonderer Kategorien (Art. 9) — Gesundheitsdaten der Rentner

---

## Templates

### Template 1: Auftragsverarbeitungsvertrag BAV-Buyout (Kernklauseln)

```
AUFTRAGSVERARBEITUNGSVERTRAG (AV-VERTRAG)
gem. Art. 28 DSGVO

zwischen
[Konzern Muster AG] (nachfolgend "Verantwortlicher")

und
[Versicherungsgesellschaft / Buyout-Partner] (nachfolgend "Auftragsverarbeiter")

§ 1 Gegenstand und Zweck
Der Auftragsverarbeiter verarbeitet personenbezogene Daten der Versorgungs-
berechtigten des Verantwortlichen ausschließlich zum Zweck der Durchführung
der Pension-Buyout-Transaktion und der nachgelagerten Versorgungsleistungserbringung.

§ 2 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich
auf dokumentierte Weisung des Verantwortlichen.

§ 3 Technisch-organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter implementiert TOMs gem. Art. 32 DSGVO:
- Verschlüsselung (AES-256 oder gleichwertig)
- Pseudonymisierung während der Analysephase
- Zugangskontrolle (Zwei-Faktor-Authentifizierung)
- Löschkonzept nach Transaktionsabschluss (max. [X] Jahre)

§ 4 Drittlandtransfer
Sofern der Auftragsverarbeiter Daten in ein Drittland (außerhalb EWR) übermittelt,
geschieht dies nur mit ausreichender Garantie gem. Art. 46 DSGVO (SCC oder
Angemessenheitsbeschluss). Japan: Angemessenheitsbeschluss 2019/419 gilt;
USA: EU-US DPF-Zertifizierung oder EU-SCC erforderlich.

§ 5 Unterstützung Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung
von Auskunfts-, Löschungs- und Berichtigungsansprüchen (Art. 15–22 DSGVO)
innerhalb von zehn Werktagen nach Anfrage.

§ 6 Meldepflicht bei Datenpannen
Der Auftragsverarbeiter meldet Datenschutzverletzungen unverzüglich, spätestens
jedoch innerhalb von 24 Stunden nach Feststellung, an den Verantwortlichen.
```

### Template 2: Checkliste Drittlandtransfer Pension Buyout

```
CHECKLISTE DRITTLANDTRANSFER DSGVO Art. 46
bAV-Projektteam · fachliche Leitung

Empfängerland USA:
□ Empfänger im EU-US DPF-Register eingetragen? (www.dataprivacyframework.gov)
 Wenn Ja: Kein SCC erforderlich; TIA trotzdem empfohlen für Gesundheitsdaten
 Wenn Nein: EU-SCC (Standard Contractual Clauses 2021) verwenden
□ Transfer Impact Assessment (TIA) für Gesundheitsdaten (Art. 9 DSGVO) durchgeführt?
□ Schrems-II-Zusatzklauseln im AV-Vertrag aufgenommen?

Empfängerland Japan:
□ Angemessenheitsbeschluss EU-Kommission 2019/419 für Japan: Gültig (Stand 2024)
□ APPI-Compliance des japanischen Empfängers bestätigt?
□ Japan-/Datenschutz-Team (Kyoto-Büro) für PIPC-Fragen eingebunden?

UK:
□ UK GDPR Angemessenheitsbeschluss gültig?
 (Überprüfung empfohlen — Laufzeit bis Mitte 2025)

Allgemein:
□ Datenschutz-Folgenabschätzung (DSFA Art. 35 DSGVO) durchgeführt?
□ AV-Vertrag gem. Art. 28 DSGVO abgeschlossen?
□ Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisiert?
□ Information der Betroffenen gem. Art. 13/14 DSGVO?
□ Betriebsrat über Datenverarbeitung informiert (§ 87 Abs. 1 Nr. 6 BetrVG)?
```

---

## Fallstricke

1. **Sterblichkeitsdaten als Art. 9-Daten:** Auch wenn Sterbetafeln statistisch aggregiert erscheinen, können aus individuellen Gesundheitsinformationen (Invaliditätsstatus, Krebserkrankung) Schlüsse gezogen werden. Diese sind als Art. 9-Daten einzustufen — erhöhter Schutz und DSFA-Pflicht.

2. **Schrems II — Risiko fortbestehend:** Das EU-US Data Privacy Framework kann erneut vom EuGH für ungültig erklärt werden (Schrems III). Parallel immer SCC verwenden und TIA dokumentieren.

3. **Japan APPI 2022 — Verschärfung:** Die APPI-Novelle 2022 hat die Anforderungen an Drittlandtransfers erheblich verschärft (Art. 28 APPI n.F.). Altverträge aus vor 2022 müssen überprüft werden.

4. **Betriebsrats-Mitbestimmung:** Wenn ein elektronisches Datenraum-System eingesetzt wird, greift § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung technischer Überwachungseinrichtungen). Betriebsrat muss eingebunden werden — vor Eröffnung des Datenraums.

---

## Querverweise zu anderen Skills

- → `pension-buyout-strukturierung-und-de-risking` — Buyout-Transaktion allgemein
- → `buyout-im-ma-deal-asset-vs-share` — Datenräume im M&A-Kontext
- → `country-by-country-benefits-matrix-konzern` — lokale Datenschutzanforderungen je Land
- → `japan-bav-und-corporate-pension-iorp` — APPI Japan im Detail

## Aktuelle Rechtsprechung und Leitsaetze (Ergaenzung v14.2)