12. Dezember 2019
Insolvenzverwalter Datenschutz
Restrukturierung und Insolvenz Datenschutzrecht

„Verantwortlicher″ wider Willen? – Der Insolvenzverwalter als Datenschützer

Für viele Insolvenzverwalter mag Datenschutz ein Gebiet nachrangigen Interesses darstellen. Dabei sind auch sie gut beraten, sich der Thematik anzunehmen.

Datenschutz spielt eine immer wichtigere Rolle. Davon ist auch die Insolvenzverwaltung betroffen. Wurde die gesamte Thematik in der Vergangenheit häufig noch stiefmütterlich behandelt, sollte sich das spätestens seit der Umsetzung der DSGVO geändert haben.

Daten stellen oftmals Vermögenswerte dar, so dass sich die Frage nach der Verwertbarkeit für den Insolvenzverwalter stellt. Auf der anderen Seite muss sich der Insolvenzverwalter in Folge der Einführung der DSGVO auch zunehmend mit seiner Rolle als „Verantwortlicher″ im Sinne der Verordnung und des Schutzes personenbezogener Daten auseinandersetzen. Dieser Beitrag soll einen knappen Überblick über die Pflichten und Risiken geben, die sich aus der DSGVO für die Insolvenzverwaltung ergeben.

Einführung und Auswirkungen der DSGVO

Die Datenschutz-Grundverordnung, die seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten gilt, wurde primär zum Schutz natürlicher Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten verabschiedet.

Laut Begründung der Verordnung erfordere ein unionsweiter wirksamer Schutz personenbezogener Daten „die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden″. Die DSGVO ist in jüngerer Vergangenheit für viele Unternehmen ein beherrschendes Thema gewesen und wird dies auch in Zukunft noch sein.

Neu sind vor allem die Bußgelder – nicht so sehr die Regelungen an sich, die sich zum großen Teil bereits vor der DSGVO so oder in ähnlicher Form im Bundesdatenschutzgesetz (BDSG) fanden. Drohende Bußgelder in Höhe von bis zu vier Prozent des Umsatzes zwingen große wie kleine Unternehmen, sich mit den Regelungen auseinanderzusetzen.

Aufgaben des Insolvenzverwalters

Es gehört zu den maßgeblichen Aufgaben des Insolvenzverwalters, die Insolvenzmasse zum Zweck der Befriedigung der Insolvenzgläubiger zu verwalten und zu verwerten. Hierzu hat der Insolvenzverwalter die Insolvenzmasse von schuldnerfremden Vermögenspositionen zu bereinigen und um schuldnereigene Positionen zu erweitern. Grundziel eines jeden Insolvenzverfahrens ist es, das Vermögen des Schuldners – soweit noch vorhanden – unter den Gläubigern aufzuteilen.

Daten und Datenschutz in der Insolvenz

Der Umgang mit Daten in der Insolvenz ist bereits seit einiger Zeit Gegenstand von Diskussionen. Für den Insolvenzverwalter von Belang ist vor allem die Verwertung von Daten bzw. die Handhabung der Daten bei der Verwertung von Vermögenswerten, bei denen zwangsläufig auch Daten mit übertragen werden müssen (z. B. der Kundenstamm eines Unternehmens oder die Übertragung bestehender Aufträge).

Der Insolvenzverwalter haftet gemäß § 60 InsO für die Verletzung insolvenzspezifischer Pflichten, zu denen auch die Aussonderung nach § 47 InsO gehört. Daher hat der Insolvenzverwalter bei der Verwertung von Daten gründlich zu prüfen, wem diese Daten zustehen. Dies ist jedoch eine Frage der Datenverwertbarkeit und nicht unmittelbar eine Frage des Datenschutzes. Diesbezüglich hat die DSGVO also nur mittelbare Auswirkungen auf die Verwertung von Daten in der Insolvenz.

Allerdings werden durch die DSGVO neue Haftungsfragen aufgeworfen. Der Insolvenzverwalter ist „Verantwortlicher″ im Sinne von Art. 4 Nr. 7 DSGVO. Jedes Unternehmen ist – in welcher Form auch immer – im Besitz persönlicher Daten von Personen, seien es Mitarbeiter-, Kunden- oder andere Daten. Da der Anwendungsbereich der DSGVO gemäß Art. 4 Nr. 2 DSGVO durch eine „Verarbeitung″ eröffnet wird und dieser Begriff sehr weit auszulegen ist (umfasst werden beispielsweise bereits das reine Abfragen oder Speichern personenbezogener Daten), greifen die Regelungen der DSGVO de facto in jedem Unternehmen. Sie spielen damit auch in beinahe jeder Insolvenz eine Rolle.

Da die Verwaltungs- und Verfügungsbefugnis über die Insolvenzmasse gemäß § 80 InsO mit der Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter übergeht, wird der Insolvenzverwalter mit seiner Bestellung zwangsläufig und automatisch „Verantwortlicher″ im datenschutzrechtlichen Sinne und dadurch direkter Adressat der Pflichten, die sich aus der DSGVO ergeben. Hierzu gehören u.a. die Datenverarbeitung, Informations – und Meldepflichten.

Ordnungsgemäß dokumentierte Datenverarbeitung

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten richtet sich nach Art. 6 DSGVO. Nur unter den dort genannten Voraussetzungen ist eine Datenverarbeitung überhaupt erlaubt. Geregelt sind dort auch Rechtfertigungsgründe wie Vertragsausnahmen und eine Interessenabwägung.

Den Insolvenzverwalter trifft eine umfassende Nachweispflicht für die Einhaltung der Grundsätze ordnungsgemäßer Datenverarbeitung. Außerdem besteht eine Dokumentationspflicht über sämtliche Vorgänge der Datenverarbeitung. Sofern also bei Eröffnung des Insolvenzverfahrens noch kein Verarbeitungsverzeichnis nach Art. 30 DSGVO im Unternehmen vorhanden war, ist der Insolvenzverwalter gut beraten, ein solches umgehend zu erstellen.

Benachrichtigungs- und Meldepflichten

Stellt der Insolvenzverwalter fest, dass es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist, ist er als Verantwortlicher verpflichtet, diese Verletzung den Behörden und unter Umständen auch den Betroffenen mitzuteilen. Als Anlass hierfür genügt jede unbefugte Offenlegung personenbezogener Daten gegenüber Dritten. Bereits der Versand eines E-Mail-Newsletters mit einem offenen – d. h. einsehbaren – Verteiler kann eine solche anzeigepflichtige Verletzung darstellen.

Für den Insolvenzverwalter sind in diesem Zusammenhang fortgesetzte Verletzungen von großer Bedeutung. Er ist gehalten, bei Einleitung des Insolvenzverfahrens zu prüfen, ob bereits Verstöße vorliegen. Stellt er sie fest, muss er sie umgehend beenden.

Pflichten gegenüber Betroffenen

Gegenüber den von der Datenverarbeitung betroffenen Personen treffen den Insolvenzverwalter als den im Sinne der DSGVO Verantwortlichen klar normierte Pflichten. Er muss die Betroffenen beispielsweise vollumfänglich über die Datenverarbeitung an sich informieren und auf Antrag Einzelner Auskunft über das Ausmaß der Datenverarbeitung erteilen. Ebenfalls auf Antrag der betroffenen Person muss der Insolvenzverwalter die Daten, soweit die Umstände dies erfordern, löschen oder auch berichtigen (Art. 16-18 DSGVO).

In jedem Fall hat der Insolvenzverwalter sämtliche diesbezügliche Anfragen betroffener Personen zu bearbeiten, die nach seiner Bestellung eingehen.

Sanktionen bei Verstößen gegen die DSGVO

Bei Verstößen gegen die umfassenden Regelungen der DSGVO drohen nicht nur Sanktionen und Bußgelder (in teils drastischer Höhe) seitens der Behörden, sondern auch eine Inanspruchnahme durch Betroffene.

Von Verstößen betroffene Privatpersonen können deshalb nach Art. 82 Abs. 1 DSGVO einen Schadensersatzanspruch gegen den Verantwortlichen, ggf. also gegen den Insolvenzverwalter persönlich, geltend machen. Größere praktische Erfahrungen hierzu fehlen derzeit noch. Die Datenschutzbehörden halten sich derzeit tendenziell mit der Verhängung von Sanktionen noch zurück. Das wird sich in Zukunft aber sicher ändern.

Weitere Verwaltungs- und Überwachungspflichten des Insolvenzverwalters mit der DSGVO

Die Vorschriften der DSGVO stellen den Insolvenzverwalter vor neue Aufgaben. Sie gehen zudem mit zusätzlichen Belastungen für den Verwalter einher.

Mit Übernahme der Verwaltungs- und Verfügungsbefugnis treffen den Insolvenzverwalter sämtliche datenschutzrechtlichen Verantwortlichkeiten. Er sollte daher unbedingt die Einhaltung der Vorschriften der DSGVO aufmerksam überwachen und sich schnellstmöglich nach seiner Bestellung einen Überblick darüber verschaffen, wo und wie im schuldnerischen Unternehmen personenbezogene Daten verarbeitet werden. In der Praxis verfügten die meisten Unternehmen über einen Datenschutzbeauftragten. Dieser wird in diesem Zusammenhang ein wichtiger Ansprechpartner des Insolvenzverwalters sein.

Unsere Beitragsreihe informiert rund um die Restrukturierung eines Unternehmens innerhalb und außerhalb einer Insolvenz. Den Auftakt machte eine Einführung in die Unternehmensinsolvenz und -restrukturierung. In den folgenden Beiträgen beleuchteten wir die Haftung von Geschäftsführern bei Insolvenzverfahren in Eigenverwaltung sowie das Insolvenzgeld und die Insolvenzgeldvorfinanzierung in der Praxis. Des Weiteren widmeten wir uns der Reform zum neuen Insolvenzanfechtungsrecht, der Insolvenzantragspflicht und den Insolvenzgründen für Unternehmen. Anschließend berichteten wir über die Entscheidung des EuGH zum Beihilfecharakter der Sanierungsklausel sowie die Vorverlagerung des Zeitpunkts der Zahlungsunfähigkeit. Daraufhin setzten wir uns mit dem Ablauf des Insolvenzantrags und des Insolvenzeröffnungsverfahrens und dem Insolvenzantrag durch Gläubiger auseinander. Danach wurde die Insolvenzforderung vs. Masseforderung, Verkürzung des Schutzes durch D&O – Versicherungen und Forderungen und Gesellschafterdarlehen in der Insolvenz betrachtet. Weiter erschienen Beiträge zum Insolvenzantrag bei drohender Zahlungsunfähigkeit – Entmachtung des Gesellschafters oder Haftungsfalle für die Geschäftsführung, zu Gläubigerrechten in der Krise oder Insolvenz des Schuldners, zu Gläubigerausschuss und Gläubigerversammlung sowie zu Pensionsansprüchen des beherrschenden GmbH-Gesellschafter-Geschäftsführers in der GmbH-Insolvenz. Es folgten Beiträge zum Schutz vor der Insolvenzanfechtung durch Bargeschäfte und der Steuerfreiheit für Sanierungsgewinne. Anschließend erschien ein Beitrag zum Wahlrecht des Insolvenzverwalters sowie Beiträge zum fehlenden Fiskusprivileg in der vorläufigen Eigenverwaltung, der ESUG Evaluation und zur Mindestbesteuerung in der Insolvenz. Auch erschienen Beiträge zur Aufrechnung in der Insolvenz, zu Aus- und Absonderungsrechten und zum Insolvenzplanverfahren sowie zum Lieferantenpool. Weiter haben wir zu Folgen und Wirkungen der Eröffnung eines Insolvenzverfahrens, über das Konzerninsolvenzrecht und die Treuepflichten in der Krise sowie Cash Pooling als Finanzierungsinstrument im Konzern berichtet. Zuletzt klärten wir über die Haftung von Geschäftsführern und Vorständen für Zahlungen in der Krise, über das  französische Insolvenzverfahren, die Procédure de Sauvegarde und Sauvegarde financière accélérée, sowie die Forderungsanmeldung und Haftung von Geschäftsleitern für Verletzungen von Steuerpflichten auf. Ebenfalls zeigen wir die Grundlagen von Sanierungskonzepten und Sanierungsgutachten, die Grundlagen der Insolvenzanfechtungauf und informieren über Grenzüberschreitende Insolvenzen und die reformierte EuInsVO. Zuletzt sind wir auf die Eigenverwaltung und die Bestellung sowie die Aufgaben des Sachwalters in der Eigenverwaltung und die Geschäftsführerhaftung für Verletzung von Steuerpflichten eingegangen. 

Tags: Datenschutzrecht & Recht der IT-Sicherheit DSGVO Insolvenzverfahren Insolvenzverwalter Pflicht Verantwortlicher