Wie wirkt sich die DSGVO auf Daten von Unternehmen in der Insolvenz aus?

Die EU-Datenschutz-Grundverordnung (DSGVO) feierte gerade erst ihren zweiten Geburtstag. Aber noch immer kämpfen viele Unternehmen mit ihrer Umsetzung, getrieben von den hohen drohenden Bußgeldern von bis zu 4 Prozent des weltweiten Konzernumsatzes, die selbst internationalen Großunternehmen Kopfzerbrechen bereiten.

Die weltweite Corona-Krise hingegen dauert erst ein paar Monate an, aber die wirtschaftlichen Folgen der Pandemie sind bereits jetzt erschreckend. Die Aktienmärkte taumeln, der Ölpreis schießt in die Höhe und Unternehmen quer durch sämtliche Industriezweige und Branchen verlieren massiv Umsätze, weil ihre Lieferketten reißen oder ihre Kundschaft aufgrund der Gegenmaßnahmen andere Sorgen hat, als Produkte und Dienstleistungen zu konsumieren. Vor diesem Hintergrund sehen Experten alle Anzeichen einer sich andeutenden europa- oder sogar weltweiten Rezession am Horizont.

In diesem Kontext werden Unternehmensinsolvenzen und -übernahmen drastisch in die Höhe schnellen. Nachdem aber in praktisch allen Branchen heutzutage die Verarbeitung von Daten eine unabdingbare Grundlage des geschäftlichen Erfolgs ist, stellt sich in diesen Fällen immer auch die drängende Frage nach dem Umgang mit diesen Daten, wenn das Unternehmen in die Insolvenz geht.

Im Folgenden wird daher dargestellt, welche Regeln im Insolvenzverfahren unter dem Regime der DSGVO bestehen und wie man mit diesen Themen angemessen umgehen kann.

Spezielle gesetzliche Regelungen für personenbezogene Daten

Das Datenschutzrecht und speziell die DSGVO regeln in ihrem Kern nicht den Schutz der Daten an sich, sondern richten sich eigentlich auf den Schutz der natürlichen Personen – genauer gesagt von deren Persönlichkeitsrecht – bei der Verarbeitung ihrer Daten.

Die Anwendbarkeit des Datenschutzrechts ist demnach auf solche Informationen beschränkt, die sich auf bestimmte oder bestimmbare natürliche Personen beziehen. Dies kann auch Kundendaten im B2B-Bereich erfassen, und je nach Konstellation sind sogar reine Maschinendaten davon betroffen, wenn sie beispielsweise die Benutzung einer Maschine durch einen identifizierbaren Arbeiter dokumentieren. Der Rahmen des Personenbezugs – so lehrt einen die Erfahrung speziell der letzten Jahre – wird zudem durch die Aufsichtsbehörden und die Gerichte konsequent ausgedehnt, und da wohl jedes produktive Unternehmen zumindest Mitarbeiterdaten verarbeitet, sollte immer davon ausgegangen werden, dass datenschutzrechtliche Bestimmungen relevant sein können.

Personenbezogene Daten als verwertungsfähiges Wirtschaftsgut

Die Frage nach dem richtigen Umgang mit Daten im Falle einer Insolvenz ist keine neue Thematik, und die Probleme beginnen, bereits lange bevor man sich in die Tiefen des Insolvenzrechts vorgearbeitet hat.

So wird schon lange diskutiert, ob und inwieweit Daten – und speziell personenbezogene Daten – als Wirtschaftsgut eigentumsfähig und damit in der Insolvenz relevant sind. Daten sind schon einmal keine Sachen, da ihnen meist eine Körperlichkeit fehlt, die aber Voraussetzung für ein Sacheigentum an ihnen wäre, vgl. § 90 BGB.

Daten „als solche“ – und zwar ganz unabhängig von ihrer Personenbeziehbarkeit – sind weiterhin auch immaterialgüterrechtlich nicht geschützt. Abgesehen von einem theoretisch möglichen urheberrechtlichen Schutz der in ihnen verborgenen Informationen und dem seltenen Fall, dass ein spezifischer Datenbankschutz im Sinne der §§ 87a bis 87e UrhG besteht, sind Daten kaum schutzfähig. In der Praxis wird daher die Frage nach dem Wert von Daten in erster Linie unter Ansehung ihrer Nutzungs- bzw. Verwendungsmöglichkeiten und damit im Wesentlichen schuldrechtlich zu beantworten sein.

Im Falle einer Insolvenz wird diese Problematik natürlich schnell im Rahmen der Verwertung relevant, und zwar auch für den Insolvenzverwalter selbst. Gemäß § 60 InsO haftet er für die Verletzung insolvenzspezifischer Pflichten, zu denen insbesondere auch die Aussonderung nach § 47 InsO gehört. Das heißt, der Verwalter muss sehr sorgfältig zuerst prüfen, ob eine wirtschaftliche Verwertbarkeit von Daten besteht, und dann, wem diese konkret zusteht.

Hierbei handelt es sich aber nicht um eine rein datenschutzrechtliche Fragestellung, und die DSGVO hat ausnahmsweise hier nur sehr beschränkte tatsächliche Auswirkungen auf die sachlichen Probleme.

Der Insolvenzverwalter als „Verantwortlicher“ i. S. v. Art. 4 Nr. 7 DSGVO

Von größerer datenschutzrechtlicher Relevanz ist hingegen die Frage, wer eigentlich verantwortlich dafür ist, dass die Bedingungen und Regeln der DSGVO auch im Insolvenzfall eingehalten werden. Die vielfältigen Pflichten der DSGVO richten sich in erster Linie an den für die Datenverarbeitung „Verantwortlichen“. Hierunter wird aufgrund der Definition in Art. 4 Nr. 7 DSGVO die Stelle verstanden, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Vor der Insolvenz war diese Frage vielleicht schon nicht ganz einfach zu beantworten; mit der Insolvenz wird aber in der Regel eher noch schwieriger festzustellen sein, wer hierunter fällt.

Ausschlaggebend ist dabei immer die tatsächliche Entscheidungshoheit bezüglich der Daten. Die Verwaltungs- und Verfügungsbefugnis über die Insolvenzmasse – und damit auch über die darin enthaltenen personenbezogenen Daten – geht jedoch mit Eröffnung des Insolvenzverfahrens gem. § 80 I InsO auf den Verwalter über. Er wird damit im Zuge der Inbesitznahme (§ 148 I InsO) der Daten bzw. Datenträger „Verantwortlicher“ im datenschutzrechtlichen Sinne und damit Adressat der Pflichten aus der DSGVO.

Umso mehr gilt dies natürlich, wenn der Verwalter selbst die personenbezogenen Daten verarbeitet, etwa durch Verwendung der Kundendatenbank des Schuldners, um potenzielle Kaufinteressenten für einzelne Massegegenstände zu finden. Für diesen Verarbeitungsvorgang ist der Verwalter eindeutig der datenschutzrechtlich Verantwortliche.

Wenn der Insolvenzverwalter im Einzelfall entweder keinen Besitz begründet, diesen später wieder aufgibt oder von der Möglichkeit einer (echten) Freigabe von Massegegenständen Gebrauch macht, ist – etwa für ausgesonderte Datenträger – entweder der jeweilige Empfänger oder ansonsten der Insolvenzschuldner datenschutzrechtlich verantwortlich.

Verantwortlichkeit des vorläufigen Insolvenzverwalters

Bevor das Insolvenzverfahren offiziell eröffnet worden ist, kann ein vorläufiger Insolvenzverwalter bestellt werden. Auch gelten die gerade ausgeführten Maßstäbe, also der tatsächliche Einfluss auf die Datenverarbeitungsvorgänge. Hierbei ist zwischen einem starken und einem schwachen (vorläufigen) Insolvenzverwalter zu unterscheiden:

• Der vorläufige Insolvenzverwalter ist grundsätzlich zur sichernden Inbesitznahme des schuldnerischen Vermögens verpflichtet. Auf einen starken vorläufigen Insolvenzverwalter geht die Verwaltungs- und Verfügungsbefugnis nach Maßgabe des § 22 I Nr. 1 InsO über. Aufgrund des Umstandes, dass der Schuldner seine Rechtsmacht im gleichen Umfang verliert, tritt der vorläufige Insolvenzverwalter insofern in dessen Rechtsstellung ein und ist daher wie der endgültige Insolvenzverwalter datenschutzrechtlich Verantwortlicher.
• Der sogenannte schwache vorläufige Insolvenzverwalter ist hingegen nur für diejenigen Verarbeitungsvorgänge datenschutzrechtlich Verantwortlicher, die in seinen ihm vom Insolvenzgericht gem. § 22 II Nr. 1 InsO zugewiesenen Verwaltungs- und Verfügungsbereich fallen. Das bedeutet im Ergebnis, dass er für Datenverarbeitungsvorgänge aus der Sphäre des Schuldners ebenso wenig verantwortlich ist wie für solche, die einem Zustimmungsvorbehalt nach § 21 II Nr. 2 Var. 2 InsO unterliegen und bei denen dem Insolvenzverwalter folglich kein eigenes Entscheidungsrecht zusteht.

Praktische Schwierigkeiten

Auf der anderen Seite bedeutet das auch, dass in diesen Fällen der Schuldner verantwortlich bleibt und selbst auf die Einhaltung der gesetzlichen Anforderungen achten muss. Das wird insbesondere dann schnell praxisrelevant, wenn es um die Erfüllung von Informationspflichten oder um Haftung geht. Vor dem Hintergrund des gerade Ausgeführten dürfte klar sein, dass hier dann im Einzelfall vorrangig geprüft werden muss, zu welchem Zeitpunkt ein haftungsauslösender Datenschutzverstoß begangen wurde. Das klingt einfacher, als es in der Praxis meistens ist, vor allem dann, wenn ein Datenschutzverstoß – etwa eine unbeabsichtigte Offenbarung der Daten durch falsch definierte Zugriffsberechtigungen oder eine nicht ordnungsgemäße Auftragsverarbeitung – unter der Ägide des Schuldners seinen Anfang nimmt und dann über den Zeitpunkt der Verfahrenseröffnung und Inbesitznahme des Insolvenzverwalters andauert.

Aus Sicht eines Betroffenen könnte es in einem solchen Fall sinnvoll erscheinen, zunächst den Insolvenzverwalter zu verklagen, um eine Anmeldung der eigenen Ansprüche und damit das wirtschaftliche Risiko zu umgehen. Für die Frage, wer in diesen Fällen der richtige Verantwortliche – und damit Anspruchsgegner nach Art. 84 DSGVO – ist, gibt es jedoch keine einfache Antwort. Zu viel hängt im Einzelfall von der konkreten Art des Verstoßes und den Umständen seiner Begehung ab. Sicher ist nur, dass eine gemeinsame Verantwortung von Insolvenzverwalter und Schuldner – so sinnvoll sie auch auf den ersten Blick erscheinen mag – aus gesetzlichen Gründen nicht möglich ist. In der Praxis wird sich aller Erwartung nach früher oder später eine Lösung herausbilden, die eine vernünftige Verteilung der Risiken bedeutet. Es wird dabei wohl danach zu differenzieren sein, ob das Unternehmen nach Maßgabe des Gläubigerbeschlusses nach § 157 InsO fortgeführt werden soll oder nicht. Es erscheint nachvollziehbar, dass der Insolvenzverwalter im Falle einer geplanten Fortführung so schnell wie möglich sicherstellen muss, dass dabei – gegebenenfalls mit einer gewissen Karenzfrist – geltendes Datenschutzrecht eingehalten wird. Soll das Unternehmen hingegen abgewickelt werden, wird in der Regel auch zukünftig keine Datenverarbeitung mehr stattfinden. In dem Fall erscheint es angemessen, dem Insolvenzverwalter nur noch die Pflicht der datenschutzrechtlichen Abwicklung aufzuerlegen – also sicherzustellen, dass sämtliche personenbezogenen Daten ordnungsgemäß gelöscht werden.

Ergebnis

Der korrekte Umgang mit personenbezogenen Daten im Rahmen des Insolvenzverfahrens ist nicht einfach. Neben der ganz praktischen Fragestellung, wann eigentlich wer für welche Pflichten Verantwortung trägt, gibt es auch Unsicherheiten im Hinblick auf die Haftungssituation und die Sicherstellung der rechtskonformen Umsetzung der datenschutzrechtlichen Anforderungen. Die sorgfältige Prüfung dieser Aspekte ist also gerade auch oder immer noch im Falle eines Insolvenzverfahrens hochrelevant und sollte gut dokumentiert und überwacht werden. Wir helfen Ihnen gerne dabei, sprechen Sie uns einfach an.

Kurzcheckliste: Datenschutz in der Insolvenz

1. Grundfrage: Ist laut Gläubigerbeschluss eine Fortführung des Unternehmens geplant?
   Wenn nein, dann ist der Insolvenzverwalter zwar verantwortlich, aber nur in reduziertem Umfang. Der Großteil der Verantwortung liegt nach wie vor beim Schuldner. Ist die Fortführung hingegen beabsichtigt, gehen spätestens mit dem Eröffnungsbeschluss die datenschutzrechtlichen Pflichten komplett auf den Insolvenzverwalter über.
   
   
2. Ist die Umsetzung und Dokumentation der ordnungsgemäßen Datenverarbeitung sichergestellt?
   Darunter fallen insbesondere die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die Einhaltung der Nachweispflichten über die Einhaltung der Grundsätze rechtmäßiger Datenverarbeitung (Art. 5 II DSGVO) und die Dokumentationspflicht über alle relevanten Verarbeitungsvorgänge (Art. 30 DSGVO). Außerdem darf eine Insolvenz auch nicht dazu führen, dass die Sicherheit der Verarbeitung in Mitleidenschaft gezogen wird; also müssen die notwendigen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO umgesetzt werden.
   
   
3. Gibt es ein Verarbeitungsverzeichnis nach Art. 30 DSGVO?
   Wenn ein solches nicht existiert, sollte der Verwalter in jedem Fall und quasi als erste Amtshandlung auf die zeitnahe Erstellung eines solchen hinwirken. Nur so kann der Status quo dokumentiert und der Umfang der datenschutzrechtlichen Verantwortlichkeit des Verwalters festgestellt werden.
   
   
4. Ist sichergestellt, dass die gesetzlichen Melde- und Benachrichtigungspflichten eingehalten werden?
   Wenn es beispielsweise zu einer Verletzung der Sicherheit personenbezogener Daten i. S. v. Art. 4 Nr. 12 DSGVO gekommen ist, muss der Verwalter bzw. der Verantwortliche gem. Art. 33 DSGVO die Behörden und gem. Art. 34 DSGVO unter Umständen die Betroffenen benachrichtigen. Dies kann gegebenenfalls schon bei einem versehentlichen Versand einer E-Mail mit einem Newsletter erforderlich werden.
   
   
5. Werden die Rechte der betroffenen Personen nahtlos gewährleistet?
   Den Verantwortlichen – und ggf. den Verwalter – treffen die in Art. 12 bis 23 DSGVO normierten Pflichten gegenüber den Betroffenen. Dazu gehören die Pflichten, die Betroffenen umfassend über die Datenverarbeitung zu informieren und auf Anfrage Auskunft zu erteilen (Art. 12 bis 15 DSGVO) sowie die Daten auf Antrag der Betroffenen zu berichtigen, zu löschen bzw. ihre Verarbeitung einzuschränken (Art. 16 bis 18 DSGVO).