19. März 2021
Newsletter Technology März 2021 – 3 von 5 Insights
Im (vorläufigen) Insolvenzverfahren ist es die Aufgabe des Insolvenzverwalters, für den Schutz personenbezogener Daten zu sorgen. Er übernimmt anstelle des ursprünglichen Geschäftsführers/Inhabers die Führung des Unternehmens und wird damit gemäß Art. 4 Nr. 7 Datenschutzgrundverordnung (DSGVO) datenschutzrechtlich verantwortlich. Das gilt nicht nur, wenn personenbezogene Daten für die Zwecke des Insolvenzverfahrens verarbeitet werden, sondern betrifft alle Verarbeitungsvorgänge im schuldnerischen Unternehmen. Ein „Insolvenzprivileg“ kennt das Datenschutzrecht dabei nicht. Im Folgenden werden die Voraussetzungen der datenschutzrechtlichen Verantwortlichkeit des Insolvenzverwalters und praxisrelevante Konstellationen dargestellt, in denen der Insolvenzverwalter im Laufe des Verfahrens das Datenschutzrecht beachten muss.
Das charakteristische Merkmal der datenschutzrechtlichen Verantwortlichkeit ist die Entscheidungshoheit über die Zwecke und Mittel der Datenverarbeitung (vgl. Art. 4 Nr. 7 DSGVO). Ursprünglich trug diese Entscheidungshoheit der Schuldner. Mit der Eröffnung des Insolvenzverfahrens geht sie jedoch auf den Insolvenzverwalter über: Gemäß § 80 Abs. 1 Insolvenzordnung (InsO) übernimmt der Insolvenzverwalter per Gerichtsbeschluss die Verfügungs- und Verwaltungsbefugnis über die Insolvenzmasse. Die datenschutzrechtliche Verantwortlichkeit setzt dabei nicht zwingend voraus, dass der Insolvenzverwalter tatsächlicher Besitzer der Datenträger ist. Erforderlich ist, dass er nicht nur rechtlich, sondern auch tatsächlich über die Datenverarbeitung entscheiden kann, während die Daten auch bei einem Dritten im Auftrag des Insolvenzverwalters gehostet werden können.
Im Gegensatz zum sog. schwachen vorläufigen Insolvenzverwalter i. S. d. § 22 Abs. 2 InsO, bei dessen Bestellung die Entscheidungshoheit über die Datenverarbeitung (noch) beim Schuldner verbleibt, ist der starke vorläufige Insolvenzverwalter ist – wie ein endgültiger Verwalter – als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO einzuordnen, da ihm nach § 22 Abs. 1 S. 1 InsO schon vor Eröffnung des Insolvenzverfahrens die Verwaltungs- und Verfügungsbefugnis zukommt. Er haftet damit als solcher für die Einhaltung datenschutzrechtlicher Pflichten im Rahmen seiner Aufgaben sowie des schuldnerischen Unternehmens.
Als Folge der datenschutzrechtlichen Verantwortlichkeit können Aufsichtsbehörden bei Datenschutzverstößen gegen den Verantwortlichen gemäß Art. 83 DSGVO Bußgelder in empfindlicher Höhe verhängen. Sofern die Bußgelder Masseverbindlichkeiten darstellen, kommt eine Haftung des Insolvenzverwalters jedenfalls nach § 60 InsO in Betracht. Noch ungeklärt ist, ob der Insolvenzverwalter für Bußgelder auch unmittelbar persönlich haftet.
Spätestens mit Übernahme der Verwaltungs- und Verfügungsbefugnis nach § 80 Abs. 1 InsO wird der Insolvenzverwalter sog. Verantwortlicher im Sinne der DSGVO. Um das Haftungsrisiko einschätzen zu können, sollte sich der Insolvenzverwalter daher zeitnah einen Überblick über die Verarbeitungstätigkeiten im schuldnerischen Unternehmen verschaffen. Vor allem bei hohen Erfolgsaussichten des Sanierungsverfahrens sollte frühestmöglich für umfassende Datenschutz-Compliance gesorgt werden.
Im Zuge des Insolvenzverfahrens kann es notwendig sein, Daten des schuldnerischen Unternehmens zu untersuchen, um Anhaltspunkte für Forderungen der Masse zu finden. Eine Rechtfertigung für die Datenverarbeitung ist erforderlich, wenn der Datensatz personenbezogene Daten enthält. Dafür ist bereits ausreichend, lediglich auf E-Mails zuzugreifen, deren Adresse, Absender oder Inhalte Informationen zu natürlichen Personen und damit personenbezogene Daten enthalten. Bei der Auswertung sollten folgende Aspekte beachtet werden:
Abhängig von der Art des Unternehmens können Kundendaten wichtige Assets sein, die Erwerber übernehmen möchten. Die Übertragung solcher Daten bedarf als Datenverarbeitung stets einer Rechtfertigung nach Art. 6 Abs. 1 S. 1 DSGVO. Dabei muss nach Ansicht der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) im Grundsatz zwischen fünf Fallgruppen unterschieden werden (vgl. https://www.datenschutzkonferenz-online.de/media/dskb/20190524_dskb_asset_deal.pdf):
Eine längere Version dieses Beitrags erscheint im SanB 2021/01.
19. March 2021
19. March 2021
29. March 2021
von mehreren Autoren
von Dr. Axel Frhr. von dem Bussche, LL.M. (L.S.E.), CIPP/E und Dr. Paul Voigt, Lic. en Derecho, CIPP/E
von mehreren Autoren