Das charakteristische Merkmal der datenschutzrechtlichen Verantwortlichkeit ist die Entscheidungshoheit über die Zwecke und Mittel der Datenverarbeitung (vgl. Art. 4 Nr. 7 DSGVO). Ursprünglich trug diese Entscheidungshoheit der Schuldner. Mit der Eröffnung des Insolvenzverfahrens geht sie jedoch auf den Insolvenzverwalter über: Gemäß § 80 Abs. 1 Insolvenzordnung (InsO) übernimmt der Insolvenzverwalter per Gerichtsbeschluss die Verfügungs- und Verwaltungsbefugnis über die Insolvenzmasse. Die datenschutzrechtliche Verantwortlichkeit setzt dabei nicht zwingend voraus, dass der Insolvenzverwalter tatsächlicher Besitzer der Datenträger ist. Erforderlich ist, dass er nicht nur rechtlich, sondern auch tatsächlich über die Datenverarbeitung entscheiden kann, während die Daten auch bei einem Dritten im Auftrag des Insolvenzverwalters gehostet werden können.
Im Gegensatz zum sog. schwachen vorläufigen Insolvenzverwalter i. S. d. § 22 Abs. 2 InsO, bei dessen Bestellung die Entscheidungshoheit über die Datenverarbeitung (noch) beim Schuldner verbleibt, ist der starke vorläufige Insolvenzverwalter ist – wie ein endgültiger Verwalter – als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO einzuordnen, da ihm nach § 22 Abs. 1 S. 1 InsO schon vor Eröffnung des Insolvenzverfahrens die Verwaltungs- und Verfügungsbefugnis zukommt. Er haftet damit als solcher für die Einhaltung datenschutzrechtlicher Pflichten im Rahmen seiner Aufgaben sowie des schuldnerischen Unternehmens.

Als Folge der datenschutzrechtlichen Verantwortlichkeit können Aufsichtsbehörden bei Datenschutzverstößen gegen den Verantwortlichen gemäß Art. 83 DSGVO Bußgelder in empfindlicher Höhe verhängen. Sofern die Bußgelder Masseverbindlichkeiten darstellen, kommt eine Haftung des Insolvenzverwalters jedenfalls nach § 60 InsO in Betracht. Noch ungeklärt ist, ob der Insolvenzverwalter für Bußgelder auch unmittelbar persönlich haftet.

Beginn des Insolvenzverfahrens

Spätestens mit Übernahme der Verwaltungs- und Verfügungsbefugnis nach § 80 Abs. 1 InsO wird der Insolvenzverwalter sog. Verantwortlicher im Sinne der DSGVO. Um das Haftungsrisiko einschätzen zu können, sollte sich der Insolvenzverwalter daher zeitnah einen Überblick über die Verarbeitungstätigkeiten im schuldnerischen Unternehmen verschaffen. Vor allem bei hohen Erfolgsaussichten des Sanierungsverfahrens sollte frühestmöglich für umfassende Datenschutz-Compliance gesorgt werden.

• Quick Check: Auf welchem Stand befindet sich die gegenwärtige Datenschutz-Compliance des Unternehmens. Die Erfahrung zeigt, dass gerade kriselnde Unternehmen an der Datenschutz-Compliance sparen. Wenn z.B. kein Verarbeitungsverzeichnis nach Art. 30 DSGVO existiert, das eine Übersicht über alle Verarbeitungstätigkeiten bietet, ist es im ersten Schritt sinnvoll, ein solches Verzeichnis zu erstellen. Auch sollte geprüft werden, ob Informationspflichten nach Artikel 13 und 14 DSGVO gegenüber Kunden und Beschäftigten sowie Vertragsverhältnisse mit Dritten im Einklang mit den aktuellen Bestimmungen des Datenschutzrechts sind .
• Risikoanalyse und Nutzenabwägung: Wo drohen aktuell die größten Risiken? Zunächst sind diejenigen Risiken zu ermitteln, die den Geschäftsbetrieb bzw. die Betroffenenrechte am stärksten gefährden und die Gefahr hoher Bußgelder mit sich bringen.
• Umsetzung: Wie werden Datenschutzpflichten umgesetzt? Unter Berücksichtigung des mit den zuvor ermittelten Maßnahmen verbundenen wirtschaftlichen Aufwands sollten die zu treffenden Maßnahmen priorisiert und umgesetzt werden. Ihre Umsetzung sollte dokumentiert werden (Rechenschaftspflicht), u.a zwecks Nachweises der Einhaltung von Datenschutzvorgaben gegenüber den Aufsichtsbehörden. Datenschutz-Compliance stellt darüber hinaus bei der Veräußerung von Unternehmensteilen ein wertvolles Asset dar: Potentielle Erwerber haben ein Interesse daran, keine datenschutzrechtlichen Haftungsrisiken des insolventen Unternehmens zu übernehmen.
  
  

Datenverarbeitung für die Zwecke des Insolvenzverfahrens

Im Zuge des Insolvenzverfahrens kann es notwendig sein, Daten des schuldnerischen Unternehmens zu untersuchen, um Anhaltspunkte für Forderungen der Masse zu finden. Eine Rechtfertigung für die Datenverarbeitung ist erforderlich, wenn der Datensatz personenbezogene Daten enthält. Dafür ist bereits ausreichend, lediglich auf E-Mails zuzugreifen, deren Adresse, Absender oder Inhalte Informationen zu natürlichen Personen und damit personenbezogene Daten enthalten. Bei der Auswertung sollten folgende Aspekte beachtet werden:

• Rechtsgrundlage der Datenverarbeitung

  Die Datenverarbeitung für die Zwecke des Insolvenzverfahrens kann regelmäßig auf Art. 6 Abs. 1 S. 1 lit. c DSGVO (Erfüllung einer gesetzlichen Pflicht) gestützt werden. Diese ist als Rechtsgrundlage einschlägig, soweit der Insolvenzverwalter Daten verarbeitet, weil dies zur Erfüllung seiner gesetzlichen Pflichten erforderlich ist. Das Gesetz statuiert viele konkrete Pflichten des Insolvenzverwalters, für deren Erfüllung er Daten verarbeiten muss: Gemäß § 151 InsO hat er z.B. ein Verzeichnis der einzelnen Gegenstände der Insolvenzmasse aufzustellen. Gemäß § 152 InsO muss er ein Verzeichnis aller Schuldner erstellen und dazu insbesondere Bücher und Geschäftspapiere des Schuldners auswerten.
  Zusätzlich kann der Insolvenzverwalter die Datenverarbeitung jedenfalls auf Art. 6 Abs. 1 S. 1 lit. f DSGVO und damit die Wahrung berechtigter Interessen stützen. Insbesondere hat der Insolvenzverwalter ein berechtigtes Interesse daran, Daten zu verarbeiten, um seinen insolvenzrechtlichen Pflichten nachzukommen. Dies ist regelmäßig auch im Interesse des Schuldners sowie der Gläubiger. Im Einzelfall ist hier stets eine Abwägung der berechtigten Interessen von Insolvenzverwalter und Gläubigern mit den möglicherweise entgegenstehenden Interessen sowie Grundrechten und Grundfreiheiten der betroffenen Person bezogen auf die jeweilige Datenverarbeitung notwendig.

• Grundsatz der Datenminimierung (Erforderlichkeit)

  Nach dem in Art. 5 Abs. 1 lit. c DSGVO kodifizierten Grundsatz der Datenminimierung muss die Datenverarbeitung auf das erforderliche Maß beschränkt sein. Dieser Grundsatz ist auch in den Verarbeitungsgrundlagen des Art. 6 Abs. 1 S. 1 DSGVO verankert, die jeweils voraussetzen, dass die Verarbeitung erforderlich ist. Ein typisches Problem stellt sich, wenn es geboten erscheint, die E-Mail-Kommunikation des Unternehmens auszuwerten, diese jedoch nicht nur geschäftliche, sondern auch private E-Mails enthält. Zu beachten ist hierbei insbesondere, dass private Kommunikation der Mitarbeiter des schuldnerischen Unternehmens für die Zwecke des Insolvenzverfahrens im Regelfall ohne Relevanz ist. Sie darf deshalb grundsätzlich nicht ausgewertet werden und muss im Voraus aussortiert werden.

• Einbeziehung von Dritten

  Es ist möglich, Dritte in die Auswertung einzubeziehen. Rechtsanwälte, Steuerberater und Wirtschaftsprüfer sind aufgrund ihrer berufsrechtlichen Unabhängigkeit selbst i.d.R. datenschutzrechtliche Verantwortliche. Eine Übermittlung an sie bedarf daher einer eigenen datenschutzrechtlichen Rechtfertigung. Unterstützende IT-Dienstleister hingegen werden regelmäßig als Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO tätig. Abhängig vom Status des Empfängers unterscheiden sich die weiteren datenschutzrechtlichen Anforderungen an eine Übermittlung.

• Informationspflicht gegenüber Betroffenen

  Aus den Artikeln 13 und 14 DSGVO ergibt sich, dass Betroffene über die Verarbeitung ihrer personenbezogenen Daten informiert werden müssen. Das gilt auch, wenn diese für die Zwecke des Insolvenzverfahrens verarbeitet werden. Nur im Einzelfall können Ausnahmetatbestände wie § 29 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) einschlägig sein, aus denen sich eine Einschränkung der Informationspflicht ergibt.

Abhängig von der Art des Unternehmens können Kundendaten wichtige Assets sein, die Erwerber übernehmen möchten. Die Übertragung solcher Daten bedarf als Datenverarbeitung stets einer Rechtfertigung nach Art. 6 Abs. 1 S. 1 DSGVO. Dabei muss nach Ansicht der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) im Grundsatz zwischen fünf Fallgruppen unterschieden werden (vgl. https://www.datenschutzkonferenz-online.de/media/dskb/20190524_dskb_asset_deal.pdf):

• Fallgruppe 1: Daten von Kunden mit laufender Vertragsbeziehung:

  Solche Daten können nach Art. 6 Abs. 1 S. 1 lit. b (Vertragserfüllung) oder lit. f DSGVO (Wahrung berechtigter Interessen) übertragen werden. Für den Übergang des Vertragsverhältnisses selbst ist jeweils eine Zustimmung des Kunden erforderlich. Der DSK zu Folge liegt in der vertragsrechtlichen Zustimmung auch eine „datenschutzrechtliche Zustimmung“, welche dann auch die Übermittlung der Daten legitimiert.

• Fallgruppe 2: Daten von Altkunden mit einer beendeten Vertragsbeziehung vor mehr als drei Jahren:

  Die Daten von Kunden, deren Verträge älter als drei Jahre sind, können nach Ansicht der DSK nur zur Wahrung gesetzlicher Aufbewahrungsfristen übertragen werden. Anderenfalls sind sie zu löschen.

• Fallgruppe 3: Daten von Kunden mit einer beendeten Vertragsbeziehung aus den letzten drei Jahren oder mit einer fortgeschrittenen Vertragsanbahnung:

  Solche Daten können nach der Ansicht der DSK aufgrund berechtigter Interessen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO übertragen werden. Voraussetzung ist, dass (i) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen und (ii) der Kunde der Übertragung jedenfalls nicht innerhalb einer zuvor bestimmten Frist widersprochen hat. Dogmatisch steht diese Widerspruchslösung zwar auf wackeligen Beinen, da die DSGVO das Konzept eines Opt-Outs nicht kennt. Es ist jedoch grds. zulässig, einen unterlassenen Widerspruch im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zu berücksichtigen. Dies indiziert jedenfalls, dass kein überwiegendes Interesse des jeweiligen Betroffenen besteht, die den Verantwortlichen zwingen, von einer Übermittlung der personenbezogenen Daten abzusehen. Die Widerspruchslösung ist allerdings nur Teil der Interessenabwägung und darf nicht dazu führen, dass gar keine Abwägung mehr durchgeführt wird.

• Fallgruppe 4: Kundendaten im Falle offener Forderungen:

  Bei offenen Forderungen ist eine Übertragung von Kundendaten gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO zulässig, sofern kein Abtretungsverbot vereinbart wurde.

• Fallgruppe 5: Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO:

  Für die Übertragung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) ist eine Einwilligung nach Art. 7 DSGVO einzuholen.

Eine längere Version dieses Beitrags erscheint im SanB 2021/01.