Datenschutz in der Insolvenz

Gerade in Zeiten der Beeinträchtigung der Wirtschaft durch Gesetze und Verordnungen zur Eindämmung der Verbreitung des Covid-19-Virus sehen sich viele Unternehmen mit dem Thema Insolvenz konfrontiert.

Auch wenn es wegen der verzögerten Auszahlung von Corona-Soforthilfen eine „Schonfrist“ durch das COVID-19-Insolvenzaussetzungsgesetz gab, wird es mit dessen Auslaufen zum Ende April 2021 erneut viele Insolvenzanträge geben.

Doch was soll das mit Datenschutz zu tun haben? Hier erfahren Sie die Grundlagen.

Was passiert bei einer Insolvenz?

Wird ein Unternehmen zahlungsunfähig oder ist es überschuldet, ist es nach § 15a InsO verpflichtet, einen Insolvenzantrag beim Insolvenzgericht zu stellen. Das Gericht kann dann das Insolvenzverfahren eröffnen. Ziel ist es, das noch vorhandene Vermögen bestmöglich zu verwerten und gleichmäßig an die Gläubiger zu verteilen. Das Gericht kann von dem Unternehmen (dem Schuldner) alle notwendigen (Vermögens-)Auskünfte einfordern.

Gegenstand des Insolvenzverfahrens ist die Insolvenzmasse. Dies ist nach § 35 InsO das gesamte Vermögen, das dem Schuldner zur Zeit der Eröffnung des Verfahrens gehört und das er während des Verfahrens erlangt. Bezüglich diesem wird der Schuldner nun in seiner Verfügungsmacht beschränkt. Für die Verwertung der Insolvenzmasse bestellt das Gericht stattdessen einen Insolvenzverwalter (§56 I InsO).

In der heutigen Gesellschaft gehören auch Daten schon lange zu wirtschaftlich realisierbaren Rechtsgütern und somit zur Insolvenzmasse, die verwertete werden soll. Gemäß § 36 II Nr. 1 InsO findet ein Massebeschlag statt. Es werden zunächst alle (personenbezogenen) Daten in die Insolvenzmasse übertragen, die der Schuldner verarbeitet, egal ob diese für ihn oder für Dritte verarbeitet wurden und in welcher Form diese beim Schuldner auffindbar sind. Handelt es sich nicht um Daten, an denen der Schuldner eine gewisse Inhaberschaft hat, er sie also nur für Dritte verarbeitet (Art. 4 Nr. 8, Art. 28 DSGVO), werden diese nachträglich aussortiert.

Betroffen sind dabei nicht nur die Daten der Gläubiger (z.B. Kunden eines Unternehmens), sondern auch Daten des betroffenen Schuldners.

Und hier kommt das Datenschutzrecht ins Spiel.

Was darf der Insolvenzverwalter?

Aufgabe des Insolvenzverwalters ist es, die Insolvenzmasse zur bestmöglichen und gleichmäßigen Befriedigung der Gläubiger zu verwerten. Dazu nimmt er das vorhandene Vermögen in Besitz (§ 148 I InsO) und es gehen alle Verwaltungs- und Verfügungsrechte daran auf ihn über (§ 80 I InsO). Darunter fallen wie schon erwähnt auch alle enthaltenen Daten, sodass sich datenschutzrechtliche Folgefragen stellen:

Ist der Insolvenzverwalter Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO?

Bei dem Insolvenzverwalter könnte es sich bezüglich der personenbezogenen Daten in der Insolvenzmasse um einen Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO handeln. Dann hätten alle von der Datenverarbeitung Betroffene die entsprechenden Rechte aus Art. 12 ff. DSGVO gegenüber dem Insolvenzverwalter.

Sobald der Insolvenzverwalter vom Gericht bestellt wurde, hat er umfassende Befugnisse bezüglich der Insolvenzmasse. Alle laufenden Datenverarbeitungen im Unternehmen des Schuldners werden nun ihm und nicht mehr dem Schuldner zugerechnet. Schließlich fehlt dem Schuldner ab diesem Zeitpunkt die Möglichkeit der Einflussnahme, um weiter Verantwortlicher zu sein. Der Schuldner ist dann nur noch Dritter nach Art. 4 Nr. 10 DSGVO.

In der Insolvenzmasse enthalten sind von Natur aus nicht nur Daten des Schuldners, sondern auch Daten von Gläubigern, die zu Geld gemacht werden können (z.B. ein Kundenstamm). Inwiefern hier die DSGVO zum Tragen kommt, ist getrennt zu beurteilen:

…gegenüber dem Schuldner bezüglich Daten über den Schuldner?

Mit der Einsetzung des Insolvenzverwalters durch das Gericht verliert der Schuldner jegliche Entscheidungsbefugnisse über sein Unternehmen und alles, was dazu gehört. Mangels vertraglicher Vereinbarung zwischen Insolvenzverwalter und Schuldner ist der Insolvenzverwalter als datenschutzrechtlicher Einzelverantwortlicher zu betrachten. Ihn treffen die entsprechenden Pflichten.

…gegenüber den Gläubigern oder Kunden bezüglich deren Daten?

Der Insolvenzverwalter verfügt natürlich auch über die Daten Dritter, die als wirtschaftlich realisierbare Rechtsgüter in der Insolvenzmasse enthalten sind. Meist handelt es sich hierbei um Daten aus dem Kundenstamm.

Wird das Unternehmen im Rahmen eines Asset Deals verkauft, um aus dem Erlös die Gläubiger zu befriedigen, gehen diese Daten auf den Käufer des Unternehmens über.

Hier können die Betroffenen eindeutig ihre Rechte aus Art. 12 ff. DSGVO geltend machen. Sie müssen über die Verarbeitung informiert werden, Auskünfte erhalten können und ihre Daten berichtigen, löschen oder in der Verarbeitung einschränken lassen können. Ist dies nicht der Fall, drohen dem Insolvenzverwalter als Verantwortlichen Bußgeld oder Schadensersatzforderungen nach Art. 82 f. DSGVO.

Bei einem Asset Deal wird der Erwerber als Dritter im Sinne des Art. 4 Nr. 10 DSGVO gesehen. Werden Gläubigerdaten an ihn übertragen, stellt das eine Übermittlung nach Art. 4 Nr. 2 DSGVO dar. Ob diese zulässig ist (Art. 6 I DSGVO), ist danach zu beurteilen, ob eine Einwilligung vorliegt oder sie sonst rechtlich erlaubt ist. Handelt es sich um die Übertragung von Gläubigerdaten aus einem laufenden Vertragsverhältnis, ist der Erwerber ab der Vertragsübertragung (erfordert eine Vereinbarung zwischen Gläubiger, Schuldner und Erwerber) nicht mehr Dritter und darf die Daten verarbeiten. Im Rückschluss ist dann auch die Übermittlung zulässig.

Dies kann in der Praxis sehr langwierig sein (z.B. kann eine Anpassung der AGB erforderlich sein und es muss die Zustimmung aller Gläubiger abgewartet werden), weshalb es sich anbietet, dies mit der Einräumung einer angemessenen Widerspruchsfrist für den Gläubiger zu umgehen (so auch DSK und BayLDA).

Eine Einwilligung wird trotzdem benötigt, wenn die Datenverarbeitung über das bisherige Vertragsverhältnis hinausgehen soll.

Übergang und Verarbeitung von Beschäftigtendaten ist wegen § 613a BGB sowieso zulässig.

Werden keine bestehenden Verträge, sondern nur einzelne Daten übertragen, muss eine freiwillige und informierte Einwilligung erfolgen, an die hohe Anforderungen zu stellen ist. Ohne Einwilligung ist die Übertragung nach Art. 6 I 1 lit. f DSGVO nur bei Vorliegen eines berechtigten Interesses zulässig. Dieses muss auch sorgfältig mit den Interessen des Betroffenen abgewogen werden, was einzelfallabhängig zu bestimmen ist, weshalb dieses Vorgehen in der Praxis sehr risikoreich ist.

Kann der Insolvenzverwalter Auskunftsansprüche geltend machen, die den Schuldner betreffen?

Die Stellung als datenschutzrechtlicher Verantwortlicher räumt dem Insolvenzverwalter aber natürlich noch keine umfänglichen Auskunftsansprüche ein. Er ist schließlich dadurch nicht Betroffener im Sinne des Art. 15 DSGVO. Dieser Auskunftsanspruch gilt als höchstpersönliches Recht und geht nicht mit der Insolvenzmasse über, da dieser nicht unmittelbar zur Befriedigung der Gläubiger führen kann. Dies wird auch in der Rechtsprechung so bestätigt (OVG Lüneburg, Urteil vom 26.06. 2019, 11 LA 274/1).

Denkbar wäre allenfalls, dass der Schuldner im Rahmen seiner Mitwirkungspflichten gegenüber dem Insolvenzverwalter aus § 97 InsO verpflichtet wäre, diesen entsprechend zu bevollmächtigen, sodass der Insolvenzverwalter die benötigten Auskünfte selbst im Namen des Schuldners einholen könnte.

Verhältnis von DSGVO und Insolvenzordnung (InsO)

In der DSGVO bestehen keine Sonderregelungen zum Insolvenzverfahren. Der Insolvenzverwalter findet sich regelmäßig in einem Spannungsverhältnis zwischen seinen Aufgaben aus der InsO und seinen Pflichten aus der DSGVO wieder.

Für alle Betroffenen ist fachkundige Beratung in diesem vielschichtigen Themenkreis unerlässlich.

DSB buchen
de_DEDeutsch