Datenschutz in der Insolvenz – Wie lassen sich Unternehmensdaten vor Mitnahme schützen?

Während es im ersten Teil des Interviews um das Verhältnis DS-GVO/BDSG zur InsO ging, beantworten unsere Interviewpartner Nico Reisener und Christian Weiß nun konkrete Fragen zum Schutz von Daten im Rahmen einer Insolvenz.

Herr Reisener, Herr Weiß: Wie lassen sich Unternehmensdaten vor Mitnahme schützen?

Wirtschaftsjurist
Nico Reisener LL.M.

Reisener: Ein solches Problem hat nicht nur der Insolvenzverwalter, sondern jedes andere Unternehmen ebenso. Der bestmögliche Schutz der Daten muss mittels der vorgenommenen technischen und organisatorischen Maßnahmen erreicht werden. Hier ist der Verantwortliche – gleich ob Unternehmensinhaber,-leiter oder eben Insolvenzverwalter gefordert, Maßnahmen zu ergreifen, um diese Daten zu schützen. 100-prozentigen Schutz kann auch der Insolvenzverwalter nicht bieten. Einzig die Möglichkeit sämtliche Daten vollständig in seinen Besitz zu bringen, bietet einen relativ sicheren Schutz vor einer unberechtigten Nutzung der Unternehmensdaten.

Wie ist das Verhältnis des Insolvenzverwalters zum Datenschutzbeauftragten des insolventen Unternehmens?

Reisener: Dieser ist für das Thema Datenschutz ein wichtiger Ansprechpartner innerhalb des insolventen Unternehmens für den Insolvenzverwalter. Der Datenschutzbeauftragte des insolventen Unternehmens kann wichtige Hilfestellung für den Insolvenzverwalter bieten, um sich z.B. ein Überblick über die datenschutzrechtlichen Gegebenheiten innerhalb des insolventen Unternehmens zu verschaffen.

Weiß: Hier ergeben sich also – ausnahmsweise – grds. keine Besonderheiten zu sonstigen, für den Insolvenzverwalter/sein Team wichtigen Mitarbeitern.

Rechtsanwalt, Fachanwalt Insolvenzrecht
Christian Weiß

Reisener: Der Datenschutzbeauftragte hat in einem Insolvenzverfahren aber ebenso, wie z.B. Betriebsratsmitglieder, weiterhin einen besonderen Kündigungsschutz.

(Kunden-)Daten stellen oftmals Vermögenswerte dar, die der Insolvenzverwalter z.B. im Rahmen eines Asset-Deals zu verwerten hat. Wie kann hier eine datenschutzkonforme Abwicklung ablaufen?

Reisener: Diese Frage ist nicht einfach zu beantworten und es ist zwangsläufig immer abhängig vom Einzelfall. Zunächst ist zu betrachten, welche Art von Daten vorhanden sind, zu welchem Zwecke diese Daten ursprünglich erhoben wurden und ob diesen Daten bestimmte datenschutzrechtlicher Voraussetzungen immanent sind. Es gibt einzelne Daten, wie z.B. besondere Daten gemäß Art. 9 DSGVO, die ausschließlich nur mit einer ausdrücklichen Einwilligung verarbeitet werden dürfen. Eine solche notwendige Einwilligung bezieht sich in diesem Zusammenhang auch auf einen möglichen Asset Deal, im Rahmen dessen die Daten übertragen werden müssen.

Weiß: Sehr illustrativ dazu die Entscheidung des OLG Frankfurt/M. v. 24.01.2018 – 13 U 165/16.

Reisener: Es gibt grundsätzlich drei Rechtsgrundlagen, nach denen der Insolvenzverwalter Daten im Rahmen eines Asset Deals veräußern kann.

Zum einen auf der Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. a DSGVO aufgrund einer Einwilligung der Betroffenen. Inwieweit hier auch die Nutzung einer Widerspruchslösung, wie sie seitens der bayerischen Aufsichtsbehörde entwickelt wurde, infrage kommt, wird von den einzelnen Landesdatenschutzbehörden unterschiedlich beurteilt. Eine entsprechende gerichtliche Entscheidung zu der Widerspruchslösung liegt nicht vor.

Eine weitere Rechtsgrundlage für die Übertragung von personenbezogenen Daten könnte ebenso, bei Vorliegen der entsprechenden Voraussetzungen, in Art. 6 Abs. 1 S. 1 lit. c DSGVO liegen, wenn die Übertragung dieser Daten für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Dies könnte u.a. in Betracht gezogen werden, wenn Verträge durch den Insolvenzverwalters übertragen werden sollen, und zur Erfüllung dieser Verträge diese Daten notwendig sind. Hier kommen z.B. Wartungsverträge in Betracht. Zwangsläufig ist für die Übertragung der Verträge naturgemäß die Zustimmung des Vertragspartners notwendig, so dass dessen Rechte hinsichtlich der personenbezogenen Daten weiterhin gewahrt sind.

Letztlich kann der Insolvenzverwalter eine Übertragung von Daten im Rahmen eines Asset Deals auch auf Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen und diese Daten aufgrund des berechtigten Interesses des Insolvenzverwalters bzw. des Dritten übertragen, sofern die Grundrechte und Grundfreiheiten der betroffenen Personen diesem Interesse nicht überwiegen. Eine Übertragung nach dieser Rechtsgrundlage bedarf einer Interessenabwägung zwischen den Interessen des Insolvenzverwalters bzw. des Dritten und den Interessen des Betroffenen durch den Insolvenzverwalter, welche genau zu dokumentieren ist. Auch diese Übertragung ist stark vom jeweiligen Einzelfall abhängig und bedarf immer einer Betrachtung des zu Grunde liegenden Sachverhalts.

Weiß: Nach meiner – und vermutlich i. E. auch unserer Überzeugung und zwar auch nach Diskussionen mit Teilnehmern im Rahmen unserer Vorträge – spricht derzeit i. E. auch über den asset-deal hinaus viel dafür, auf die Zulässigkeitsnorm des Art. 6. Abs. 1 S. 1 lit. f) DSGVO für ein Insolvenz(eröffnungs)Verfahren insgesamt abzustellen: Jedenfalls, sofern der Insolvenzverwalter in dem jeweiligen Insolvenz-Verfahrensabschnitt entsprechend mit den benötigten personenbezogenen Daten des Schuldners/Dritter umgeht, werden berechtigte Interessen im Sinne Datenschutzrechts u. E. im Wege einer praktische Konkordanz in der Insolvenzverwaltung gewahrt: Argumentations-Stichpunkte in dem Zusammenhang sind Gesamtvollstreckung im Gläubigerinteresse (Art. 14 Abs. 1 GG), übertragende Sanierung, Restschuldbefreiung nach der Intention des InsO-Gesetzgebers, Ordnungsfunktion eines Insolvenzverfahrens.

Reisener: Zum berechtigten Interesse hat auch das OLG München in einem Teilurteil vom 24.10.2018, Az. 3 U 1551/17 ausgeführt und klargestellt, dass auch wirtschaftliche und ideelle Interessen im Rahmen der Interessensabwägung Berücksichtigung finden müssen.

Auch Arzt- oder Psychotherapiepraxen können insolvent werden. Die DSGVO verstärkt den strengen Schutz von Patientendaten, soweit diese Aussagen z.B. über dessen Gesundheit enthalten. Inwieweit darf ein Insolvenzverwalter im Rahmen seiner Tätigkeit vertrauliche Patientendaten in Besitz und zur Kenntnis nehmen und welche Patientendaten darf der Praxisbetreiber im Insolvenzverfahren offenbaren?

Reisener: Grundsätzlich ist der Insolvenzverwalter gesetzlich verpflichtet alle Vermögenswerte zu sichern. Zählen zu diesen Vermögenswerten auch Patientendaten, sind auch heute noch diese zunächst in Besitz zu nehmen, sofern eine solche Inbesitznahme nicht die Insolvenzmasse gefährdet oder schmälert. Da der Insolvenzverwalter spätestens mit Verfahrenseröffnung grds. (eine Differenzierung würde das Interview-Format überschreiten) als Verantwortlicher auch über die Unternehmensdaten anzusehen ist, sofern er den Zweck und die Mittel der Verarbeitung der Person bezogenen Daten bestimmen oder diese beeinflussen kann, sprich, wenn er im tatsächlichen Besitz dieser Daten ist, muss er sich ebenso um diese Daten kümmern. Da der Insolvenzverwalter in aller Regel selber kein Arzt ist, kann er die Daten naturgemäß nicht ihren ursprünglichen Erhebungszweckes zu führen. Gegebenenfalls kann er verpflichtet sein, wenn keine Einwilligung der Patienten vorliegt, die Daten zu übertragen, die vorhandenen Daten zu löschen, sofern ihm keine weiteren Aufbewahrungspflichten aufgrund anderer gesetzlicher Vorschriften treffen.

Herr Reisener, Herr Weiß, wir danken Ihnen für das Gespräch!

 

 

Weiß/Reisener
Datenschutz in der Insolvenzkanzlei
2019, 350 Seiten
Softcover ca. € 68,00 inkl. MwSt.
RWS Verlag ISBN 978-3-8145-8242-9

 

 

 

 

Rechtsanwalt Christian Weiß ist Insolvenzverwalter und Fachanwalt für Insolvenzrecht am Kölner Standort von LEONHARDT RATTUNDE. Zudem ist er in der Insolvenzberatung, Prozess- und Verhandlungsführung tätig.

Nico Reisener, LL.M., ist Wirtschaftsjurist bei LEONHARDT RATTUNDE in Berlin und im Bereich Unternehmensfortführung, Restrukturierung pp. bundesweit tätig. Daneben ist er zertifizierter und betrieblicher Datenschutzbeauftragter.

Ein Praktiker-Seminar zum Datenschutz in der Insolvenzverwalterkanzlei bieten die Autoren am 26. März in Köln an. Nähere Informationen dazu finden Sie hier.

 

Lesen Sie im ersten Teil des Interviews welche Änderungen die DS-GVO im Insolvenzverfahren gebracht hat: