Zu datenschutzrechtlichen Auswirkungen bei Asset Deals im Insolvenzumfeld.
Das Datenschutzrecht hat spätestens seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) zum 25. Mai 2018 immens an Bedeutung gewonnen. Auch im Zusammenhang mit Sanierungs- und Insolvenzverfahren müssen datenschutzrechtliche Vorgaben beachtet werden.
Dementsprechend ist das Datenschutzrecht auch zu berücksichtigen, wenn Kundendaten in der Insolvenz eines Unternehmens verkauft bzw. gekauft werden sollen. Ein Insolvenzverwalter ist regelmäßig dann als datenschutzrechtlich Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO zu bewerten, wenn nicht nur die Verwaltungs- und Verfügungsbefugnis hinsichtlich des zur Insolvenzmasse gehörenden Vermögen nach § 80 Abs. 1 InsO auf ihn übergegangen, sondern auch das zur Insolvenzmasse gehörende Vermögen durch ihn in Besitz genommen worden ist, vgl. § 148 InsO.
Im Übrigen ist hinsichtlich des Adressaten der Pflichten aus der DSGVO im Zusammenhang mit Insolvenzverfahren nach der jeweiligen verfahrensrechtlichen Situation und Stellung des (ggf. eigenverwaltenden) Schuldners, des Sachwalters oder Insolvenzverwalters zu differenzieren.
Datenschutzrechtlich relevante Verarbeitung beim Asset-Deal
Der jeweils datenschutzrechtlich Verantwortliche hat jedenfalls den von der DSGVO vorgesehenen Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Personenbezogene Daten meint dabei
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Eine Verarbeitung dieser Daten stellen alle in Art. 4 Nr. 2 DSGVO aufgeführten Abläufe dar. Hierunter fallen auch die Übermittlung oder die Erhebung personenbezogener Daten. Werden Kundendaten in einem (Regel-)Insolvenzverfahren im Wege des Asset Deals vom Insolvenzverwalter auf einen Erwerber übertragen, liegt darin regelmäßig eine Verarbeitung personenbezogener Daten im Sinne der DSGVO. Denn der Insolvenzverwalter übermittelt personenbezogene Daten der Kunden, die sodann vom Erwerber erhoben werden.
Folge der Verarbeitung personenbezogener Daten im Rahmen des Asset-Deals ist, dass die umfangreichen Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 ff. DSGVO beachtet werden müssen. Insbesondere ist die Verarbeitung personenbezogener Daten nur auf Basis einer der in Art. 6 DSGVO genannten Rechtsgrundlagen zulässig.
Keine datenschutzrechtlich relevante Verarbeitung beim Share-Deal
Anders als beim Asset-Deal kommt es beim Share-Deal nicht zu einer datenschutzrechtlich relevanten Änderung der Verarbeitung personenbezogener Daten. Es fehlt an einer Übermittlung der Daten an einen Dritten im Sinne der DSGVO (vgl. Art. 4 Nr. 10 DSGVO). Es werden lediglich die Gesellschaftsanteile am zu erwerbenden Rechtsträger auf den Erwerber übertragen. Die Kundendaten verbleiben somit beim ursprünglichen Rechtsträger und werden – über die bisherige Verarbeitung hinaus – weder an einen Dritten übertragen noch von einem Dritten erhoben.
Im Insolvenzumfeld ist ein solcher Erwerb von Gesellschaftsanteilen regelmäßig aber nur dann wirtschaftlich sinnvoll, wenn der zu erwerbende, insolvente Rechtsträger vor Durchführung der Transaktion – bspw. mittels Insolvenzplan – entschuldet wurde.
Asset-Deal häufig einzige Verwertungsmöglichkeit
Gelingt die Entschuldung des insolventen Rechtsträgers im Insolvenzumfeld nicht, verbleibt regelmäßig nur die Durchführung eines Asset-Deals mit einem Dritten i.S.d. Art. 4 Nr. 10 DSGVO als Erwerber.
Regelungen für eine rechtmäßige Verwertung bzw. Verarbeitung von Kundendaten enthalten wie erwähnt Art. 5 ff. DSGVO. In Art. 6 Abs. 1 DSGVO werden mehrere Bedingungen genannt, bei deren Erfüllung die Datenverarbeitung rechtmäßig sein kann.
Einwilligung als Rechtsgrundlage für Datenverarbeitung
Die Verarbeitung personenbezogener Daten ist zulässig, wenn eine betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat (Art. 6 Abs. 1 a) DSGVO). Eine datenschutzrechtlich ausreichende Einwilligung ist nach einer Legaldefinition im Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Da die betroffenen Kunden im Rahmen der Erhebung ihrer Kundendaten in der Regel keine ausreichend konkrete Einwilligung zur Datenübermittlung in der Insolvenz abgegeben haben können, müsste der Insolvenzverwalter bei jedem einzelnen Kunden eine Einwilligung zur Übertragung der Kundendaten einholen, wenn die Datenverarbeitung auf Grundlage einer Einwilligung erfolgen soll. Zumindest bei großen Kundendatenbeständen und zeitsensitiven Insolvenzverfahren ist die Einwilligungslösung in der Praxis schwer umsetzbar. Jedenfalls sind eine sehr gute Vorbereitung und optimale Umsetzungsstrategie erforderlich.
Dessen ungeachtet ist die Datenverarbeitung auf Grundlage einer Einwilligung bei größeren Kundendatenbeständen kaum praktikabel, da die betroffene Person die Einwilligung – so sie überhaupt erteilt wird – jederzeit ohne Angabe von Gründen widerrufen kann. Diese rechtlichen Anforderungen lassen eine aus Verwaltersicht wirtschaftlich sinnvolle Übermittlung von Kundendaten an einen Dritten kaum zu.
Rechtfertigung wegen Vertragserfüllung
Ferner ist die Datenverarbeitung zulässig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist (Art. 6 Abs. 1 b) DSGVO). Damit die Anforderungen dieser Rechtsgrundlage erfüllt sind, müssen die zu übertragenden Kundendaten und der (Kunden-)Vertrag, auf den sie sich beziehen, aber nicht nur im Rahmen des Asset-Deals übertragen werden. Sondern der Insolvenzverwalter müsste im Rahmen der ihm zustehenden Wahlrechte nach §§ 103 ff. InsO wohl auch Erfüllung hinsichtlich der jeweiligen Verträge gewählt haben.
Sofern die Voraussetzungen der Rechtfertigung wegen Vertragserfüllung aber vorliegen, kann der Erwerber die Kundendaten grundsätzlich im selben Umfang wie das insolvente Unternehmen zuvor für die Vertragserfüllung nutzen.
Rechtfertigung bei Wahrung berechtigter Interessen
Als weitere Rechtsgrundlage für die Datenverarbeitung kommt Art. 6 Abs. 1 S. 1 lit. f) DSGVO in Betracht. Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der Interessen des (datenschutzrechtlich) Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen.
Die vom Verantwortlichen oder einem Dritten verfolgten berechtigten Interessen sind notwendiger Bestandteil der für alle Datenverarbeitungen geltenden Informationspflichten des Verantwortlichen (vgl. Art. 13 Abs. 1 lit. d / Art. 14 Abs. 2 lit. b).
Im Rahmen der vorzunehmenden Abwägung sind die Umstände des jeweiligen Einzelfalls entscheidend. Die Wahl des eingeleiteten Insolvenzverfahrens (Eigenverwaltung / Regelinsolvenz) kann insoweit Auswirkungen haben, weil die datenschutzrechtlich vorzunehmende Einordnung des Verantwortlichen durch dessen verfahrensrechtliche Stellung bestimmt wird. Jedenfalls erscheint eine umfassende und möglichst detailliert dokumentierte Interessenabwägung ratsam. Der relativ weite Spielraum der vorzunehmenden Interessenabwägung bietet leider nur bedingt Rechtssicherheit.
Widerspruchslösung bei Nutzung nicht nur zu Werbezwecken
Wohl etwas mehr Rechtssicherheit wollte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) noch vor dem Inkrafttreten der DSGVO durch eine Entscheidung zu § 28 Abs. 2 BDSG a.F. und die so genannte „Widerspruchslösung“ entwickeln.
Nach Ansicht des BayLDA wären die Interessen eines Insolvenzverwalters und eines Erwerbers in einem konkreten Fall allenfalls dann als im Vergleich zu den Betroffenen überwiegend anzusehen gewesen, wenn die von einer Datenübertragung betroffenen Unternehmenskunden vom Insolvenzverwalter und dem Erwerber über die geplante Übertragung informiert worden wären, ihnen eine Frist von circa 3 Wochen zum Widerspruch eingeräumt und der Ablauf dieser Frist ohne entsprechenden Widerspruch abgewartet worden wäre.
Da die Widerspruchslösung von den Parteien des Asset-Deals nicht berücksichtigt wurde, verhängte das BayLDA gegen den Insolvenzverwalter und den Erwerber ein Bußgeld in fünfstelliger Höhe.
Erhebliche Haftungsrisiken
Unter Geltung der DSGVO sind für ähnliche Verstöße, wie sie ausweislich einer Pressemitteilung des BayLDA Gegenstand des dortigen Verfahrens waren, nach Art. 83 Abs. 5 DSGVO Geldbußen von
bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes
möglich. Zusätzlich greifen über Art. 84 Abs. 1 S. 1 DSGVO auch die nationalen Strafvorschriften wie § 42 BDSG, welcher die unrechtmäßige Datenverarbeitung unter bestimmten Voraussetzungen zu einem Vergehen erhebt und mit einer Freiheitsstrafe von bis zu drei Jahren belegt.
Letztlich muss im jeweiligen Einzelfall untersucht werden, ob ein ausreichendes Maß an Rechtssicherheit für die Parteien erreicht werden kann und wie die finanziellen Risiken bei einer Übertragung von Kundendaten im Insolvenzumfeld verteilt werden können. Darüber hinaus sind Hinweise der Datenaufsichtsbehörden zu beachten. Diese haben sich auf einen Katalog von Fallgruppen verständigt, die im Rahmen einer Interessabwägung nach Art. 6 Abs. 1 S. 1 lit. f bei einem Asset-Deal zu berücksichtigen sein sollen.
Angesichts der auch und gerade mit der datenschutzrechtlichen Interessenabwägung verbundenen rechtlichen Risiken könnte de lege ferenda ein kodifiziertes Restrukturierungsprivileg im Zusammenhang mit der Übertragung von Kundendaten im Speziellen und den Anforderungen an die Einhaltung datenschutzrechtlicher Vorschriften im Allgemeinen im Insolvenzumfeld sinnvoll sein. Dabei müssten die möglichen Risiken für die Rechte und Freiheiten betroffener Personen zu einem angemessenen Ausgleich mit den wirtschaftlichen Interessen geschädigter Gläubiger gebracht werden.
Unsere Beitragsreihe informiert rund um die Restrukturierung eines Unternehmens innerhalb und außerhalb einer Insolvenz. Den Auftakt machte eine Einführung in die Unternehmensinsolvenz und -restrukturierung. In den folgenden Beiträgen beleuchteten wir die Haftung von Geschäftsführern bei Insolvenzverfahren in Eigenverwaltung sowie das Insolvenzgeld und die Insolvenzgeldvorfinanzierung in der Praxis. Des Weiteren widmeten wir uns der Reform zum neuen Insolvenzanfechtungsrecht, der Insolvenzantragspflicht und den Insolvenzgründen für Unternehmen. Anschließend berichteten wir über die Entscheidung des EuGH zum Beihilfecharakter der Sanierungsklausel sowie die Vorverlagerung des Zeitpunkts der Zahlungsunfähigkeit. Daraufhin setzten wir uns mit dem Ablauf des Insolvenzantrags und des Insolvenzeröffnungsverfahrens und dem Insolvenzantrag durch Gläubiger auseinander. Danach wurde die Insolvenzforderung vs. Masseforderung, Verkürzung des Schutzes durch D&O – Versicherungen und Forderungen und Gesellschafterdarlehen in der Insolvenz betrachtet. Weiter erschienen Beiträge zum Insolvenzantrag bei drohender Zahlungsunfähigkeit – Entmachtung des Gesellschafters oder Haftungsfalle für die Geschäftsführung, zu Gläubigerrechten in der Krise oder Insolvenz des Schuldners, zu Gläubigerausschuss und Gläubigerversammlung sowie zu Pensionsansprüchen des beherrschenden GmbH-Gesellschafter-Geschäftsführers in der GmbH-Insolvenz. Es folgten Beiträge zum Schutz vor der Insolvenzanfechtung durch Bargeschäfte und der Steuerfreiheit für Sanierungsgewinne. Anschließend erschien ein Beitrag zum Wahlrecht des Insolvenzverwalters sowie Beiträge zum fehlenden Fiskusprivileg in der vorläufigen Eigenverwaltung, der ESUG Evaluation und zur Mindestbesteuerung in der Insolvenz. Auch erschienen Beiträge zur Aufrechnung in der Insolvenz, zu Aus- und Absonderungsrechten und zum Insolvenzplanverfahren sowie zum Lieferantenpool. Weiter haben wir zu Folgen und Wirkungen der Eröffnung eines Insolvenzverfahrens, über das Konzerninsolvenzrecht und die Treuepflichten in der Krise sowie Cash Pooling als Finanzierungsinstrument im Konzern berichtet. Zuletzt klärten wir über die Haftung von Geschäftsführern und Vorständen für Zahlungen in der Krise, über das französische Insolvenzverfahren, die Procédure de Sauvegarde und Sauvegarde financière accélérée, sowie die Forderungsanmeldung und Haftung von Geschäftsleitern für Verletzungen von Steuerpflichten auf. Ebenfalls zeigen wir die Grundlagen von Sanierungskonzepten und Sanierungsgutachten auf und gehen auf das Verhältnis von Kurzarbeiter- und Insolvenzgeld ein. Zuletzt haben wir uns mit dem Datenschutz im Asset-Deal beschäftigt.
