---
name: internationale-buyout-datenflows-und-datenschutz
description: "Datenschutz bei internationalen Pension Buyouts: Art-9-DSGVO sensible Gesundheitsdaten Drittlandtransfer Art-46-SCC Versicherer-Datenraum APPI-PIPC Japan US-Daten Schrems-II-Workaround fuer grenzueberschreitende BAV-Transaktionen und Datenraeume."
---

# Internationale Buyout-Datenflows und Datenschutz

**Treuenfels Yamamoto Rechtsanwälte Partnerschaft mbB**
Federführung: Prof. Dr. Adalbert von Sompeh-Ostermann, LL.M. (Oxford)
Kyoto-Büro-Beteiligung: Yuki Yamamoto-Brennecke (APPI/PIPC-Expertise)

---

## Rechtsgrundlagen

- DSGVO Art. 9 (Besondere Kategorien personenbezogener Daten — u.a. Gesundheitsdaten, biometrische Daten)
- DSGVO Art. 6 (Rechtmäßigkeit der Verarbeitung — Interessenabwägung, Vertrag, rechtliche Verpflichtung)
- DSGVO Art. 46 (Drittlandübermittlung — Standardvertragsklauseln SCC; Binding Corporate Rules BCR)
- DSGVO Art. 28 (Auftragsverarbeitungsvertrag — AV-Vertrag mit Versicherer/Buyout-Partner)
- EuGH C-311/18 (Schrems II, 16.7.2020) — EU-US Privacy Shield für ungültig erklärt; SCC bleiben gültig mit TIA (Transfer Impact Assessment)
- EU-US Data Privacy Framework (DPF, seit 10.7.2023) — neuer Angemessenheitsbeschluss USA
- DSGVO Art. 13/14 (Informationspflichten bei Datenerhebung/-weitergabe — Berechtigte informieren)
- DSGVO Art. 30 (Verarbeitungsverzeichnis)
- APPI (Act on the Protection of Personal Information, Japan — 個人情報の保護に関する法律): letzte Novelle 2022 (vierte Überarbeitung); PIPC (Personal Information Protection Commission — 個人情報保護委員会) als Aufsichtsbehörde
- § 26 BDSG (Beschäftigtendatenschutz — Deutschland)
- VAG § 10a (Schweigepflicht Versicherungsunternehmen; Datenweitergabe)
- BetrVG § 87 Abs. 1 Nr. 6 (Mitbestimmung Einführung technischer Einrichtungen zur Überwachung)

---

## Vorgehen

### Schritt 1: Datenkategorien bei Pension Buyout — Bestandsaufnahme

Bei jedem Pension Buyout (Buy-in, Buy-out, Longevity Swap) werden hochsensible personenbezogene Daten der Versorgungsberechtigten verarbeitet:

**Betroffene Datenkategorien:**

| Kategorie | DSGVO-Einordnung | Sensitivität |
|-----------|-----------------|-------------|
| Name, Geburtsdatum, Adresse | Art. 6 DSGVO | Standard |
| Versorgungsanspruch/Rentenhöhe | Art. 6 DSGVO | Standard (aber vertraulich) |
| Sterblichkeitsdaten (historisch/erwartet) | Art. 9 DSGVO — Gesundheitsdaten | Hoch |
| Invaliditätsstatus | Art. 9 DSGVO — Gesundheitsdaten | Hoch |
| Familienstand, Hinterbliebene | Art. 6 DSGVO | Standard |
| Bankkontodaten | Art. 6 DSGVO | Standard (vertraulich) |
| Sozialversicherungsnummer | Ggf. Art. 87 DSGVO / § 39 BDSG | Mittel |

**Achtung:** Sterblichkeitsdaten und Invaliditätsdaten fallen unter Art. 9 DSGVO als Gesundheitsdaten (Schluss aus Sterbetafeln auf Gesundheitszustand). Erhöhter Schutz.

### Schritt 2: Rechtsgrundlagen für Datenverarbeitung

**Intern (Vorbereitung Transaktion):**
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — BAV-Vertrag) und lit. c (rechtliche Verpflichtung — § 14 BetrAVG)
- § 26 Abs. 1 BDSG (Beschäftigtendatenschutz — Verarbeitung für Zwecke des Beschäftigungsverhältnisses)
- Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG für Gesundheitsdaten im Beschäftigungsverhältnis

**Gegenüber Versicherer/Buyout-Partner:**
- AV-Vertrag nach Art. 28 DSGVO (Auftragsverarbeitungsvertrag)
- Alternativ: gemeinsame Verantwortlichkeit (Art. 26 DSGVO) wenn Versicherer eigene Verarbeitungszwecke verfolgt — prüfen!

**Informationspflichten:**
- Arbeitnehmer/Rentner sind über Datenweitergabe an Versicherer gem. Art. 13/14 DSGVO zu informieren
- Praxis: Ergänzung Datenschutzerklärung + separate Information im Rahmen der Buyout-Kommunikation

### Schritt 3: Drittlandtransfers

#### Deutschland → USA
**Historisch:** EU-US Privacy Shield (bis Schrems II, EuGH C-311/18, 16.7.2020) — für ungültig erklärt.
**Aktuell:** EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss vom 10.7.2023 (Beschluss 2023/1795). US-Unternehmen, die sich selbst-zertifiziert haben, gelten als ausreichend geschützt.
**Risiko:** Schrems III — politische Stabilität des DPF ungewiss. Empfehlung: Parallel immer EU-SCC (Standard Contractual Clauses) als Fallback.

**Transfer Impact Assessment (TIA) für SCC:**
- Risikoanalyse des lokalen US-Rechts (NSA-Überwachung nach FISA § 702, EO 12333)
- Praxistipp: In der Regel SCC ausreichend für normale Pensionsdaten-Transfers zu zertifizierten US-Unternehmen; bei Gesundheitsdaten (Art. 9 DSGVO) erhöhte Sorgfalt.

#### Deutschland → Japan
**DSGVO Art. 46:** Japan hat einen Angemessenheitsbeschluss der EU-Kommission (Beschluss 2019/419, seither fortlaufend); Transfer zu japanischen Empfängern ohne SCC zulässig.

**APPI-Anforderungen (Japan → EU und umgekehrt):**
Japan APPI (最終改正 2022年, 施行 2022年4月) schreibt vor:
- Bei Übermittlung personenbezogener Daten ins Ausland: Information des Betroffenen + Einwilligung, es sei denn Ausnahmetatbestand (Art. 24 APPI a.F. / Art. 28 APPI n.F.)
- PIPC-Richtlinien: Drittlandtransfer nur in Länder mit ausreichendem Schutzniveau (Japan hat EU auf diese Liste gesetzt) oder mit vertraglicher Absicherung
- Yuki Yamamoto-Brennecke koordiniert APPI-Compliance für das Kyoto-Büro

**Versicherer-Datenraum Japan:**
Bei Einbindung japanischer Versicherungsgesellschaften in einen globalen Buyout ist zu beachten:
- Japanische Versicherungsunternehmen unterliegen Versicherungsgeschäftsgesetz (保険業法 hokengyohoo) §§ 117 ff. (Datenschutzpflichten)
- PIPC-Meldepflicht bei Datenschutzverstößen (Art. 26 APPI n.F.)

#### Deutschland → UK (post-Brexit)
- Angemessenheitsbeschluss UK: Gültig bis 2025; Verlängerung unter Vorbehalt
- UK GDPR als nationales Recht weiterhin auf EU-Standard — praktisch kaum Unterschied für normale Pensionsdaten

### Schritt 4: Datenraum-Strukturierung für Buyout

**Anforderungen sicherer Datenraum:**
1. Zugangskontrolle: Rollenbasierte Berechtigungen (need-to-know); Wasserzeichen auf Dokumenten
2. Anonymisierung: Daten für Indikationsphase anonymisieren/pseudonymisieren; vollständige Identifikation erst nach NDA und fortgeschrittener Due Diligence
3. Löschfristen: Daten aus Datenraum werden nach Abschluss der Transaktion oder bei Abbruch gelöscht (Dokumentation der Löschung gem. Art. 5 Abs. 2 DSGVO)
4. Verarbeitungsverzeichnis (Art. 30 DSGVO): Aktenzeichen, Zweck, Empfänger, Löschfristen
5. Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO): Obligatorisch bei systematischer Verarbeitung besonderer Kategorien (Art. 9) — Gesundheitsdaten der Rentner

---

## Templates

### Template 1: Auftragsverarbeitungsvertrag BAV-Buyout (Kernklauseln)

```
AUFTRAGSVERARBEITUNGSVERTRAG (AV-VERTRAG)
gem. Art. 28 DSGVO

zwischen
[Konzern Muster AG] (nachfolgend „Verantwortlicher")

und
[Versicherungsgesellschaft / Buyout-Partner] (nachfolgend „Auftragsverarbeiter")

§ 1 Gegenstand und Zweck
Der Auftragsverarbeiter verarbeitet personenbezogene Daten der Versorgungs-
berechtigten des Verantwortlichen ausschließlich zum Zweck der Durchführung
der Pension-Buyout-Transaktion und der nachgelagerten Versorgungsleistungserbringung.

§ 2 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich
auf dokumentierte Weisung des Verantwortlichen.

§ 3 Technisch-organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter implementiert TOMs gem. Art. 32 DSGVO:
- Verschlüsselung (AES-256 oder gleichwertig)
- Pseudonymisierung während der Analysephase
- Zugangskontrolle (Zwei-Faktor-Authentifizierung)
- Löschkonzept nach Transaktionsabschluss (max. [X] Jahre)

§ 4 Drittlandtransfer
Sofern der Auftragsverarbeiter Daten in ein Drittland (außerhalb EWR) übermittelt,
geschieht dies nur mit ausreichender Garantie gem. Art. 46 DSGVO (SCC oder
Angemessenheitsbeschluss). Japan: Angemessenheitsbeschluss 2019/419 gilt;
USA: EU-US DPF-Zertifizierung oder EU-SCC erforderlich.

§ 5 Unterstützung Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung
von Auskunfts-, Löschungs- und Berichtigungsansprüchen (Art. 15–22 DSGVO)
innerhalb von zehn Werktagen nach Anfrage.

§ 6 Meldepflicht bei Datenpannen
Der Auftragsverarbeiter meldet Datenschutzverletzungen unverzüglich, spätestens
jedoch innerhalb von 24 Stunden nach Feststellung, an den Verantwortlichen.
```

### Template 2: Checkliste Drittlandtransfer Pension Buyout

```
CHECKLISTE DRITTLANDTRANSFER DSGVO Art. 46
Treuenfels Yamamoto · Dr. von Sompeh-Ostermann

Empfängerland USA:
□ Empfänger im EU-US DPF-Register eingetragen? (www.dataprivacyframework.gov)
  Wenn Ja: Kein SCC erforderlich; TIA trotzdem empfohlen für Gesundheitsdaten
  Wenn Nein: EU-SCC (Standard Contractual Clauses 2021) verwenden
□ Transfer Impact Assessment (TIA) für Gesundheitsdaten (Art. 9 DSGVO) durchgeführt?
□ Schrems-II-Zusatzklauseln im AV-Vertrag aufgenommen?

Empfängerland Japan:
□ Angemessenheitsbeschluss EU-Kommission 2019/419 für Japan: Gültig (Stand 2024)
□ APPI-Compliance des japanischen Empfängers bestätigt?
□ Yuki Yamamoto-Brennecke (Kyoto-Büro) für PIPC-Fragen eingebunden?

UK:
□ UK GDPR Angemessenheitsbeschluss gültig?
  (Überprüfung empfohlen — Laufzeit bis Mitte 2025)

Allgemein:
□ Datenschutz-Folgenabschätzung (DSFA Art. 35 DSGVO) durchgeführt?
□ AV-Vertrag gem. Art. 28 DSGVO abgeschlossen?
□ Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisiert?
□ Information der Betroffenen gem. Art. 13/14 DSGVO?
□ Betriebsrat über Datenverarbeitung informiert (§ 87 Abs. 1 Nr. 6 BetrVG)?
```

---

## Fallstricke

1. **Sterblichkeitsdaten als Art. 9-Daten:** Auch wenn Sterbetafeln statistisch aggregiert erscheinen, können aus individuellen Gesundheitsinformationen (Invaliditätsstatus, Krebserkrankung) Schlüsse gezogen werden. Diese sind als Art. 9-Daten einzustufen — erhöhter Schutz und DSFA-Pflicht.

2. **Schrems II — Risiko fortbestehend:** Das EU-US Data Privacy Framework kann erneut vom EuGH für ungültig erklärt werden (Schrems III). Parallel immer SCC verwenden und TIA dokumentieren.

3. **Japan APPI 2022 — Verschärfung:** Die APPI-Novelle 2022 hat die Anforderungen an Drittlandtransfers erheblich verschärft (Art. 28 APPI n.F.). Altverträge aus vor 2022 müssen überprüft werden.

4. **Betriebsrats-Mitbestimmung:** Wenn ein elektronisches Datenraum-System eingesetzt wird, greift § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung technischer Überwachungseinrichtungen). Betriebsrat muss eingebunden werden — vor Eröffnung des Datenraums.

---

## Querverweise zu anderen Skills

- → `pension-buyout-strukturierung-und-de-risking` — Buyout-Transaktion allgemein
- → `buyout-im-ma-deal-asset-vs-share` — Datenräume im M&A-Kontext
- → `country-by-country-benefits-matrix-konzern` — lokale Datenschutzanforderungen je Land
- → `japan-bav-und-corporate-pension-iorp` — APPI Japan im Detail