Datenschutz und Insolvenzverfahren

Der Insolvenzverwalter als Verantwortlicher.

Die Wirtschaft leidet unter den Auswirkungen der Covid-19-Pandemie und nicht alle Unternehmen werden die Krise überleben.
Der deutschen Wirtschaft drohe die »Zombiefizierung, da Corona-Hilfen massenhaft marode Firmen künstlich am Leben hielten, warnen Experten und befürchten eine Insolvenzwelle im 2. Halbjahr 2021.

 

Der Insolvenzverwalter
Zu den Aufgaben des Insolvenzverwalters gehört es, die Insolvenzmasse zu ermitteln, ein Verzeichnis mit allen Gläubigern zu erstellen und die Masse unter den Gläubigern aufzuteilen. Er fällt die Entscheidung über die Zukunft des zahlungsunfähigen Unternehmens: Sanierung oder Liquidierung. Er übt nach Verfahrenseröffnung z.B. die Rechte des insolventen Gesellschafters einer GmbH in deren Gesellschafterversammlung oder das Veranlagungswahlrecht von Ehepartnern nach § 26 EStG aus.

Das Insolvenzverfahren
In einem Insolvenzverfahren ist es die Aufgabe des Insolvenzverwalters für den Schutz personenbezogener Daten zu sorgen. Der Insolvenzverwalter ist im Sinne des Art. 4 Nr. 7 DS-GVO verantwortlich. Dies gilt für alle Verarbeitungsvorgänge im schuldnerischen Unternehmen und betrifft nicht nur personenbezogenen Daten, welche im Rahmen des Insolvenzverfahrens verarbeitet werden. Der Insolvenzverwalter tritt an die Stelle der (bisherigen) obersten Unternehmensleitung und wird Verantwortlicher. Dies spätestens mit der Übernahme der Verwaltungs- und Verfügungsbefugnis nach § 80 Abs. 1 InsO (Insolvenzordnung): „Durch die Eröffnung des Insolvenzverfahrens geht das Recht des Schuldners, das zur Insolvenzmasse gehörende Vermögen zu verwalten und über es zu verfügen, auf den Insolvenzverwalter über.“

Der Verantwortliche
Durch die Eröffnung des Insolvenzverfahrens geht die Verantwortlichkeit i.S.d. Datenschutzrechte vom Schuldner auf den Insolvenzverwalter über. Art. 4 Nr. 7 DS-GVO: […]„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; […]

Der Insolvenzverwalter bestimmt und entscheidet über die Zwecke und Mittel der Verarbeitung mit Eröffnung des Insolvenzverfahrens. Es liegt keine „Gemeinsame Verantwortlichkeit“ i.S.d. Art. 26 DS-GVO vor, da gemäß § 148 Abs. 1 InsO der Insolvenzverwalter das gesamte zur Insolvenzmasse gehörende Vermögen sofort in Besitz nimmt. Der Schuldner hat keine Entscheidungsbefugnisse mehr.

Personenbezogene Daten im Insolvenzverfahren

Im Datenschutzrecht gibt es kein „Insolvenzprivileg“ (wie es auch kein „Konzernprivileg“ gibt). Die datenschutzrechtlichen Vorgaben sind unverändert, auch in einem Insolvenzverfahren. Das Datenschutzrecht ist ein Verbotsgesetz mit Erlaubnisvorbehalt, d.h. im Umgang mit den personenbezogenen Daten durch den Insolvenzverwalter als Verantwortlicher bedarf es einer Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 lit. a – f DS-GVO (sog. Erlaubnistatbestände).

Rechte der Betroffenen
Der Insolvenzverwalter ist für die Einhaltung der Betroffenenrechte nach Artt. 12 ff. DS-GVO verantwortlich und hat diese zu gewährleisten. Als Verantwortlicher muss er über die Verarbeitungen der personenbezogenen Daten gemäß Artt. 13 und 14 DS-GVO informieren (Informationspflichten) wie auch die Betroffenenrechte (Artt. 15 – 18, 20 – 21 DS-GVO) umsetzen.

 

Rechenschaftspflicht
Aus Sicht der Gläubiger und auch des Insolvenzverwalters ist ein maximaler Verwertungserlös zu erreichen. Ungeachtet dessen sind auch im Insolvenzverfahren die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 und 2 DS-GVO einzuhalten. Der Insolvenzverwalter, muss wie jeder andere Verantwortliche auch, prüfen, ob eine Verarbeitung der personenbezogenen Daten rechtmäßig ist und die Einhaltung nachweisen.
Der Zugriff durch den Insolvenzverwalter auf die Daten des schuldnerischen Unternehmens ist sehr umfassend. Bei der Auswertung und Verarbeitung von personenbezogenen Daten sind insbesondere zu beachten:

  • Rechtmäßigkeit der Verarbeitung, z.B. bei Weiterleitung an Dritte
  • Durchführung einer Datenschutz-Folgenabschätzung
  • Erforderlichkeit und Datenminimierung
  • Informationspflichten und Betroffenenrechte
  • Meldepflichten (Artt. 33, 34 DS-GVO)

Zusammenfassung:
Bei (Verdacht auf) Verletzungen des Schutzes personenbezogener Daten hat die Meldung an die zuständige Aufsichtsbehörde (Art. 33 DS-GVO) durch den Insolvenzverwalter zu erfolgen. Ebenso ist er für die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34 DS-GVO) verantwortlich.

Im Rahmen des Insolvenzverfahrens ist der Insolvenzverwalter ebenfalls für die Nachweise der Einhaltung der Datenschutzvorgaben (Art. 5 Abs. 1 – 2 DS-GVO) Verantwortlicher. Da er, wie oben ausgeführt, die Funktion der obersten Unternehmensleitung (Schuldners) übernimmt.

Eine enge Zusammenarbeit mit dem Datenschutzbeauftragten durch den Insolvenzverwalter ist unerlässlich. Der DSB ist mit den Verarbeitungen, den bestehenden Datenschutzprozessen und auch den Datenschutzrisiken des Schuldners vertraut. Ist im Unternehmen kein Datenschutzbeauftragter (mehr) benannt bzw. zusätzliche Fachkunde erforderlich, wird der Insolvenzverwalter einen externen Datenschutzexperten hinzuziehen.

Datenschutz-Compliance ist auch bei der Veräußerung von Unternehmen(steilen) ein wertvolles Asset. Mögliche Unternehmenskäufer möchten keine datenschutzrechtlichen und unkalkulierbaren Haftungsrisiken übernehmen.

 

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.

16. März 2021