Diese Webseite verwendet Cookies

Wir und bestimmte Dritte verwenden Cookies. Einzelheiten zu den Arten von Cookies, ihrem Zweck und den beteiligten Stellen finden Sie unten und in unserem Cookie Hinweis. Bitte willigen Sie in die Verwendung von Cookies ein, wie in unserem Cookie Hinweis beschrieben, indem Sie auf „Alle erlauben“ klicken, um die bestmögliche Nutzererfahrung auf unseren Webseiten zu haben. Sie können auch Ihre bevorzugten Einstellungen vornehmen oder Cookies ablehnen (mit Ausnahme unbedingt erforderlicher Cookies). Cookie Hinweis und weitere Informationen
published on 30.03.2021

Der Insolvenzverwalter als Verantwortlicher im Sinne der DSGVO

Im eröffneten Insolvenzverfahren wird die Aufmerksamkeit eines Insolvenzverwalters von vielen Themen in Beschlag genommen. Das Thema Datenschutz spielt hierbei naturgemäß eine untergeordnete Rolle und erfuhr deswegen in der Vergangenheit zumeist auch eine recht stiefmütterliche Behandlung. Doch hier ist Vorsicht geboten, auch wenn zweifelsohne andere Themen weiterhin die meiste Aufmerksamkeit binden, ist man als Insolvenzverwalter gut beraten, sich der Thematik Datenschutz spätestens seit Inkrafttreten der DSGVO mit der gebotenen Ernsthaftigkeit zu widmen.

Auswirkungen der DSGVO seit der Einführung 2018

Mit der EU-weiten Einführung der Datenschutz-Grundverordnung, kurz DSGVO, im Mai 2018 machte der Gesetzgeber Ernst in Bezug auf die Ausweitung und Verschärfung der Pflichten zum Schutz personenbezogener Daten. Die DSGVO und der damit verbundene (neue) Bußgeldkatalog sind ein scharfes Schwert und für viele Unternehmen immer mehr ein ernstzunehmendes Risiko. Rechtlich hat sich zwar gegenüber dem Bundesdatenschutzgesetz nicht viel geändert, d. h. diejenigen Unternehmen, die dem Datenschutz auch schon vor 2018 die gebührende Aufmerksamkeit gewidmet haben, haben auch weiterhin wenig zu befürchten. Bei Verstößen drohen mittlerweile jedoch schwindelerregende Bußgelder in Höhe von bis zu vier Prozent des (weltweiten) Jahresumsatzes. Dies macht es für nunmehr alle Unternehmen unumgänglich, sich endgültig und nachhaltig mit der Thematik Datenschutz zu befassen.

 

Datenschutz und Insolvenz: Der alte Status Quo

Bisher waren die Berührungspunkte des Insolvenzverwalters zum Datenschutz vor allem auf das Handling von Daten bei der Verwertung des schuldnerischen Vermögens und den damit in Verbindung stehenden Datenübertragungen (beispielsweise die Anforderungen einer rechtmäßigen Übertragung von Kundendaten eines Unternehmens oder der Übergang bestehender Auftragsvolumina) beschränkt. Dieser Sachverhalt ist zwar eher auf die insolvenzspezifische Verwertbarkeit der Daten gerichtet (d.h. wem stehen diese Daten zu), dennoch zeigen sich auch an dieser Stelle die Auswirkungen auf die Verwertung von Daten in der Insolvenz.

 

Der Insolvenzverwalter als verantwortliche Stelle

Allerdings, und jetzt wird es haarig, rücken durch die DSGVO auch Haftungsfragen in Bezug auf den Umgang mit personenbezogenen Daten für den Insolvenzverwalter in den Blickpunkt. Der Insolvenzverwalter gilt als „Verantwortlicher″ im Sinne von Art. 4 Nr. 7 DSGVO. Und da in jedem Unternehmen personenbezogene Daten in den unterschiedlichsten Formen vorliegen, seien es nun Mitarbeiterdaten in der Personalakte oder Kundendaten im CRM-System, bleibt der rechtskonforme Umgang mit den vorhandenen Daten dem Insolvenzverwalter ebenso wenig erspart wie dem Unternehmer oder sonstigen Verantwortlichen im normalen Geschäftsbetrieb. Allen noch so kleinteiligen Formaten muss dabei mit dem gleichen Maß an Sorgfalt begegnet werden. Der Anwendungsbereich der DSGVO wird gemäß Art. 4 Nr. 2 DSGVO durch die sog. „Verarbeitung″ definiert. Darin eingeschlossen sind bereits das Abfragen oder Speichern personenbezogener Daten („das Erheben, das Erfassen“ etc.), womit die Regelungen der DSGVO faktisch in jedem Unternehmen Anwendung finden und damit auch in nahezu jeder Insolvenz zum Tragen kommen.

 

Pflichten des Insolvenzverwalters nach der DSGVO

Somit ist klar, spätestens ab Eröffnung des Verfahrens ist der Insolvenzverwalter datenschutzrechtlich Verantwortlicher für die unter seiner Verantwortung stehenden personenbezogenen Daten. Damit einher geht u.a. eine ausführliche Nachweispflicht für die Einhaltung der Grundsätze ordnungsgemäßer Datenverarbeitung. Nach Art. 30 DSGVO besteht außerdem eine umfassende Dokumentationspflicht über alle datenbezogenen Verarbeitungsvorgänge, welche mit der Führung eines vollständigen Verarbeitungsverzeichnisses im Unternehmen erfüllt werden kann.

Liegt eine Verletzung der Sicherheit personenbezogener Daten vor, ist der Insolvenzverwalter verpflichtet, diese gemäß den engen zeitlichen Vorgaben der DSGVO den Behörden und gegebenenfalls auch den betroffenen Parteien anzuzeigen. Der Insolvenzverwalter ist daher bereits bei Einleitung des Insolvenzverfahrens dazu angehalten eine umfassende Bestandsaufnahme des Status Quo durchzuführen und mögliche, bereits vorliegende Verstöße zu untersuchen und abzustellen. Zur Wahrung der Betroffenenrechte im Rahmen eines Insolvenzverfahrens muss sich der Insolvenzverwalter mit einem ganzen Bündel an aus der DSGVO resultierenden Pflichten beschäftigen. So muss er die Anspruchsgruppen über alle die sie betreffenden Datenverarbeitungsvorgänge informieren, Auskunftsgesuche von Betroffenen erfüllen, deren Daten berichtigen, löschen oder die Verarbeitung einschränken. Unterlässt er es, diesen Begehren nachzukommen, drohen dem Insolvenzverwalter Schadensersatzansprüche und Geldbußen nach Art. 82 und Art. 83 DSGVO.

 

Besondere Haftungsrisiken in der Insolvenz

Haftungsrisiken von beträchtlichem Ausmaß entstehen in besonderem Maße dann, wenn Kundendaten ein zentrales Asset des werthaltigen Vermögens eines schuldnerischen Unternehmens darstellen. Sollen beispielsweise Kundendaten im Wege eines Asset Deals veräußert werden, bedarf es hierfür i.d.R. einer datenschutzrechtlichen Einwilligung der Betroffenen. Das bedeutet, dass der Insolvenzverwalter vor der Übertragung der Kundendaten an den neuen Rechtsträger alle betroffenen Kunden kontaktieren und ihnen Gelegenheit geben muss, Widerspruch gegen die Übertragung einzulegen. Nicht selten bedeutet dies für den Insolvenzverwalter je nach Anzahl der Kundendaten einen immensen logistischen und personellen Aufwand, der im laufenden Betrieb durch ihn selbst nur schwer zu bewältigen ist. Auch im Fall einer Unternehmensabwicklung und dem Verkauf einzelner Assets ist Vorsicht geboten. Soll zum Beispiel die IT-Ausstattung eines insolventen Betriebes verkauft werden, müssen vorhandene Daten auf Festplatten oder anderen Datenträgern technisch richtig und in Einklang mit den Richtlinien des BSI dauerhaft und unwiederbringlich von den zu veräußernden IT-Systemen entfernt werden. Hierzu muss der Insolvenzverwalter ein datenschutzkonformes Löschkonzept vorlegen, welches die Methode protokolliert, mit der die Informationen auf dem Gerät gelöscht werden.

 

Strafen bei Verstößen gegen die DSGVO

Verstöße gegen die Bestimmungen DSGVO können einerseits durch Sanktionen und Bußgelder der Behörden geahndet werden, andererseits eröffnet Art. 82 Abs. 1 DSGVO den von Verstößen betroffenen Personen auch die Möglichkeit einer Inanspruchnahme des Verantwortlichen - also des Insolvenzverwalters - persönlich. Dies schlägt sich seit einiger Zeit auch erkennbar in der Rechtsprechung und einem klaren Trend zu höheren Schadensersatzansprüchen bei DSGVO-Verstößen nieder. Gerade im Unternehmensbereich entfalten Datenpannen und andere Verstöße gegen das Datenschutzrecht zumeist einen großen Wirkungsradius mit einer Vielzahl von betroffenen Kunden oder anderen Personen. Aus diesem Grund sind Datenpannen großer Unternehmen beispielsweise für Verbraucheranwälte ein ziemlich attraktives Betätigungsfeld. Und gerade in der Insolvenz könnte die DSGVO für enttäuschte Stakeholder ein willkommenes Einfallstor sein, ihren Unmut entsprechend zu kompensieren. Um sich vor derartigen Ansprüchen zu schützen, ist es daher für den Insolvenzverwalter von großer Bedeutung, das Thema DSGVO im insolventen Unternehmen so früh wie möglich, spätestens aber mit Eröffnung des Verfahrens in allen relevanten Aspekten zu beleuchten und - sofern kein Datenschutzbeauftragter bestellt ist - eigenständig ein entsprechendes Risikomanagement aufzusetzen.

 

 

Autoren:

Christof Schmutzer, Elias Steinhauser

Christof Schmutzer ist Geschäftsführer der ES Real Estate GmbH, TÜV-zertifizierter Datenschutzbeauftragter und spezialisiert auf die Be- und Verwertung von Immobilien jedweder Art und Größe, insbesondere in wirtschaftlichen Sondersituationen. Ein weiterer Beratungsschwerpunkt stellt die DSGVO dar, insbesondere die Tätigkeit als externer Datenschutzbeauftragter in Insolvenzverfahren.

Elias Steinhauser ist Senior Consultant bei der ES Real Estate GmbH und ebenfalls TÜV-zertifizierter Datenschutzbeauftragter. Sein Beratungsschwerpunkt liegt ebenso in der DSGVO, insbesondere wird auch er als externer Datenschutzbeauftragter in Insolvenzverfahren eingesetzt.

 

Bildnachweis: (©  fotomek - stock.adobe.com)

 



 Back to overview