Datenschutz bei Firmeninsolvenz: Was passiert mit Geschäftsdaten?

Ein Aspekt, der hierbei angesichts der Einführung der DSGVO im Mai 2018 zunehmend an Relevanz gewinnt, ist der Umgang mit Geschäftsdaten und dergleichen während des Insolvenzverfahrens. Was geschieht eigentlich damit und welche Punkte gilt es zu beachten? HÄMMERLE klärt über die wichtigsten Punkte auf.

Elementar auch als Datenschutzgrundlage bei Insolvenzverfahren: Die Zweckbindung von Daten

Die Schwierigkeit besteht u.a. darin, dass es verschiedene Maßnahmen gibt, bei denen Angaben einer Öffentlichkeit zugänglich gemacht werden. Bevor wir uns also den Geschäftsdaten widmen, geben wir zunächst einen Überblick über die grundsätzlichen Informationen, die durch das Insolvenzgericht veröffentlicht werden.

Aus der Insolvenzordnung (InsO) ergibt sich, dass u.a. folgende Vorgänge „der Öffentlichkeit“ zugänglich gemacht werden:

•  
  Abweisung des Antrags auf Eröffnung des Insolvenzverfahrens mangels Masse
•  
  Anordnungen oder Aufhebungen sog. Sicherungsmaßnahmen, die das zuständige Insolvenzgericht ergreift
•  
  Beschlüsse zur Festsetzung von Vergütungen, die dem Insolvenzverwalter, einem Treuhänder oder den Mitgliedern des Gläubigerausschusses zustehen
•  
  Entscheidungen hinsichtlich der Aufhebung oder Einstellung des Insolvenzverfahrens
•  
  Bei Privatinsolvenz: Ankündigung, Erteilung bzw. Versagung der sog. Restschuldbefreiung nach der „Wohlverhaltensphase“
•  

Das Insolvenzgericht hat also durch die InsO in die Pflicht, bestimmte Vorgänge publik zu machen und damit einen geregelten Ablauf des Insolvenzverfahrens sicherzustellen. Aus § 3 InsOBekV ergeben sich insbesondere Löschfristen, die es bei der Veröffentlichung einer Privatinsolvenz einzuhalten gilt. Demnach soll spätestens sechs Monate nach Aufhebung oder Einstellung des Verfahrens eine Löschung der sog. Insolvenzbekanntmachungen erfolgen.

Spezialfall Kunden- und Geschäftsdaten während eines Insolvenzverfahrens

Was in Bezug auf Veröffentlichungen und Co. gilt, lässt sich natürlich nicht 1:1 auf den Umgang mit Geschäfts- und Betriebsdaten übertragen. Mit Einführung der DSGVO ergeben sich aber hier und da Änderungen bzw. Präzisierungen, die relevant sind.

•  
  Bereits das BDSG hat datenschutzrechtliche Pflichten definiert, darunter u.a. die Pflicht zum Führen eines Verzeichnisses über Verarbeitungstätigkeiten. In bestimmten Fällen musste zudem ein Datenschutzbeauftragter bestellt werden. Die DSGVO konkretisiert hier und da die bereits vorher geltenden Regelungen, erweitert aber im Besonderen die Höhe möglicher Regressansprüche sowie zu verhängender Bußgelder.
•  
  Durch die neue DSGVO ist es im Insolvenzverfahren beispielsweise so, dass sämtliche so definierten „Datenschutzvorgänge“ einer ausführlichen Dokumentation bedürfen. Daraus ergibt sich beispielsweise die Verpflichtung, gegenüber der Aufsichtsbehörde einen Nachweis über ergriffene Maßnahmen zu erbringen und darzulegen, aufgrund welcher rechtlichen Grundlage dies geschah.
•  
  Ebenso ist der Insolvenzverwalter verpflichtet, seinen Informationspflichten nachzukommen. Darunter werden ganz allgemein die Aufklärungspflichten verstanden, die gegeben sind, wenn es um die Verarbeitung personenbezogener Daten geht. Dem Ganzen sind außerdem Informationen zu den Rechten des Betroffenen beizulegen.

Kurzum: Der Großteil der Handlungspraxis, die ein Insolvenzverwalter umsetzen muss, wird mit hoher Wahrscheinlichkeit in solchen Informationspflichten liegen.

Die DSGVO definiert ein „Recht auf Vergessen“ in Artikel 17

Welche Rechte all jene haben, die durch ein Insolvenzverfahren betroffen sind, ergibt sich vor allem aus den Regelungen der Artikel 12 ff. DSGVO. Wichtig ist in diesem Zusammenhang gerade das in Artikel 17 maßgebliche „Recht auf Vergessenwerden“, das im engen zeitlichen Ablauf mit einem Urteil des Europäischen Gerichtshofes aus dem Jahre 2014 steht. Damit ist das „Löschrecht“, was es bereits im BDSG gab, konkretisiert und in anderer Qualität eingebracht worden.

Probleme, die sich dabei abzeichnen, lassen sich aber nur ansatzweise skizzieren:

•  
  In Artikel 4 Nummer 7 DSGVO ist von der „verantwortlichen Stelle“ die Rede, der gerade bei Anfragen rund um Datenschutz eine Bedeutung zukommt. Fraglich ist hier insbesondere, ab wann ein (vorläufiger) Insolvenzverwalter diese Rolle einnimmt und sich entsprechend an die Vorgaben halten muss. Das Problem ist durchaus praktischer Natur, denn der (vorläufige) Insolvenzverwalter wird nur in wenigen Fällen direkten Zugriff auf Daten oder Datenträger haben, die aber wichtig wären, um damit entsprechend umgehen zu können.
•  
  Kundenbezogene Daten oder Geschäftsdaten allgemein sind in Zeiten der Digitalisierung immer auch Vermögenswerte, gerade in wissensaffinen Bereichen und Branchen. Ob und in welcher Form der Insolvenzverwalter diese Daten verwerten kann, hängt beispielsweise von der Art der Daten ab, aber ebenso von der ursprünglichen Erhebungsform sowie dem Zweck, denen diese Informationen dienen. Wird ein Asset Deal angestrebt und gibt es Daten, die nach Artikel 9 DSGVO nur mit „ausdrücklicher Einwilligung“ weiterverarbeitet werden dürfen, so ist dies hier zu berücksichtigen.

Es bleibt also abzuwarten, wie deutsche Gerichte in konkreten Einzelfällen die Handhabung des DSGVO-Rechts handhaben und an welche Bedingungen das Ganze geknüpft wird. Klar ist aber, dass dieses Thema in jedem Fall die nötige Sensibilität des Insolvenzverwalters einfordert, da ansonsten Haftungsrisiken drohen.

Sichere Datenlöschung für Datenträger im Insolvenzverfahren

Damit sensible Daten im Insolvenzfall nicht in falsche Hände geraten, müssen Sie sicher gelöscht werden. Wir bieten unseren Auftraggebern daher die zertifizierte Datenlöschung mit Löschprotokoll oder alternativ die Vernichtung von Datenträgern mit Nachweis an.

Nach der professionellen Datenlöschung können die Geräte, zum Beispiel im Rahmen einer Insolvenzversteigerung verkauft und weiterverwendet werden, ohne eine Verletzung der Datenschutzbestimmungen befürchten zu müssen.

Bildnachweis: (© BillionPhotos.com – stock.adobe.com)