Downloads
In unserem Downloadbereich stellen wir Ihnen regelmäßig aktuelle Dokumente und Formulare zur Verfügung.
Initiative:
13.03.2019
Die 10 Mitglieder des Ausschusses haben sich nach umfangreichen Vorbereitungen zu drei meist ganztägigen Sitzungen getroffen, um die grundlegenden Fragen des Datenschutzes in Insolvenzverfahren zu erörtern. VID-Vorstand Dr. Ulf Martini leitete den Ausschuss Datenschutz.
Seit der Ablösung des alten deutschen Datenschutzrechts durch die neue Datenschutzgrundverordnung (DS-GVO) sehen sich Gerichte, Insolvenzverwalter, Sachwalter und Treuhänder mit neuen Regelungen konfrontiert. Dieses neue Regelwerk wirft zahlreiche Fragen zu seiner Anwendung im Kontext von Insolvenzverfahren auf. Im hier vorgelegten Eckpunktepapier hat sich der Ausschuss Datenschutz des VID dieser Fragen angenommen. Sie schlägt für Praxis und Gesetzgebung Lösungen vor und differenziert dabei nach den unterschiedlichen Verfahrensstadien sowie den dort gesetzlich vorgesehenen Zuständigkeiten.
Die DSGVO und das BDSG regeln den Umgang mit personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Das Insolvenzverfahren dient gemäß § 1 InsO dazu, die Gläubiger eines Schuldners gemeinschaftlich zu befriedigen. Zusätzlich verfolgt ein Insolvenzverfahren ordnungspolitische Ziele. Hierzu zählen etwa die Aufarbeitung von Vermögensverhältnissen, die Regelung von Vertragsverhältnissen (z. B. Arbeits- und Mietverträge), die Erfüllung steuerrechtlicher Pflichten und die Wahrnehmung sozialrechtlicher Aufgaben (wie z. B. die Erstellung von Insolvenzgeldbescheinigungen, etc.).
In den seltensten Fällen genügt das Vermögen des Insolvenzschuldners, um alle Gläubiger vollständig zu befriedigen und der Insolvenzverwalter muss Entscheidungen i.d.R. unter erheblichem Zeitdruck treffen. In dieser prekären Situation stellt sich die Frage, wie sich die Belange des Datenschutzes in der Insolvenz auf die Beteiligten auswirken.
Es bedarf deshalb einer gesetzlichen Klarstellung, welchen Grad der datenschutzrechtlichen Verantwortung der Insolvenzverwalter in seiner jeweiligen Rolle als Sachverständiger, (vorläufiger) Insolvenzverwalter, und (vorläufiger) Sachwalter zu tragen hat. Der VID fordert daher die Verwirklichung der nachfolgend (1) – (12) formulierten Eckpunkte.
Häufig beginnt das Insolvenzverfahren mit der Beauftragung eines Sachverständigen gemäß §§ 402 ff. ZPO, der durch ein schriftliches Gutachten dem Insolvenzgericht die Grundlage für die Eröffnungsentscheidung liefern soll.
Bei der Erstellung des Gutachtens werden vom Sachverständigen zwingend personenbezogene Daten erhoben und dem Insolvenzgericht übermittelt.
Derzeit ergibt sich weder aus der DSGVO und dem BDSG noch aus der InsO oder der ZPO, ob der insolvenzrechtliche Sachverständige selbst Verantwortlicher oder Auftragsverarbeiter des Gerichts und in dieser Funktion als Teil der justiziellen Tätigkeit der Gerichte einzuordnen ist.
(1) Der gerichtlich bestellte Sachverständige unterfällt der justiziellen Tätigkeit der Gerichte. Wie die Gerichte selbst, steht auch der Sachverständige deshalb außerhalb der datenschutzrechtlichen Aufsicht der jeweiligen Datenschutzbehörde. Der Sachverständige handelt als Auftragsverarbeiter der Gerichte.
(2) Die Art. 55 Abs. 3, 83 Abs. 7 DSGVO i.V.m. § 43 Abs. 3 BDSG müssen auch für den Sachverständigen als Auftragsverarbeiter gelten, da dieser der gerichtlichen Aufsicht untersteht.
(3) Die Stellung als Auftragsverarbeiter i.S.d der DSGVO bedingt eine entsprechende einzelvertragliche Vereinbarung mit dem Insolvenzgericht oder eine gesetzliche Regelung, Art. 28 Abs. 3 DSGVO. Im Interesse der Rechtssicherheit und Rechtsklarheit sollte eine gesetzliche Regelung geschaffen werden, die das datenschutzrechtliche Auftragsverhältnis zwischen Sachverständigem und Gericht zumindest in Grundzügen beschreibt.
Der vorläufige Insolvenzverwalter kann gemäß § 21 Abs. 2 Nr. 2 InsO die Verfügungsgewalt über das schuldnerische Vermögen durch das Gericht erhalten oder zustimmungsberechtigt hinsichtlich Vermögensverfügungen der Schuldnerin sein. Man spricht vom vorläufig starken und vorläufig schwachen Insolvenzverwalter.
(4) Der vorläufig schwache Insolvenzverwalter ist kein Verantwortlicher i.S.d. DSGVO weil die Verfügungsgewalt über die schuldnerischen Daten und damit die Entscheidung über Zweck und Mittel der Datenverarbeitung alleine beim Schuldner verbleibt.
(5) Die Verwaltungs- und Verfügungsbefugnis über das schuldnerische Vermögen geht gemäß § 22 Abs. 1 S. 1 InsO auf den vorläufig starken Insolvenzverwalter über. Alleine hierdurch wird er jedoch noch nicht Verantwortlicher i.S.d. Art. 7 Satz 1 Nr. 7 DSGVO für die vom Schuldner verarbeiteten personenbezogenen Daten. Vielmehr bedarf es zusätzlich einer aktiven Inbesitznahme der schuldnerischen Daten durch den vorläufig starken Insolvenzverwalter, die dieser analog § 148 Abs. 1 InsO ohne schuldhaftes Zögern vorzunehmen hat. Mit der Übertragung der Verwaltungs- und Verfügungsbefugnis, der Inbesitznahme der personenbezogenen Daten wird der vorläufig starke Insolvenzverwalter für alle von ihm bewusst initiierten Datenverarbeitungsvorgänge Verantwortlicher i.S.d. DSGVO.
(6) Der vorläufige Sachwalter nimmt gegenüber dem in Eigenverwaltung fortgeführten Unternehmen lediglich eine Prüfungs- und Überwachungsrolle ein. Eine datenschutzrechtliche Verantwortlichkeit des Sachwalters, insbesondere eine Entscheidung über den Zweck und die Mittel der Datenverarbeitung beim Schuldner, ist nicht gegeben. Der vorläufige Sachwalter tritt allenfalls als Auftragsverarbeiter auf.
(7) Die Verwaltungs- und Verfügungsbefugnis über das schuldnerische Vermögen geht gemäß § 80 InsO auf den Insolvenzverwalter über. Alleine hierdurch wird er aber noch nicht Verantwortlicher i.S.d. DSGVO. Vielmehr bedarf es neben einer aktiven Inbesitznahme der vom Schuldner verarbeiteten personenbezogenen Daten durch den Insolvenzverwalter, die dieser analog § 148 Abs 1 InsO ohne schuldhaftes Zögern vorzunehmen hat, auch einer vom Willen des Insolvenzverwalters getragenen neuen Datenverarbeitung.
Nach Eröffnung eines Insolvenzverfahrens wird der Insolvenzverwalter durch das Insolvenzgericht regelmäßig nach § 8 InsO beauftragt Arbeiten durchzuführen, die eigentlich vom Insolvenzgericht zu erfüllen sind.
So wird der Insolvenzverwalter regelmäßig mit der Zustellung von gerichtlichen Beschlüssen, der Entgegennahme von Forderungsanmeldungen und der Erstellung der Insolvenztabelle beauftragt, § 8 Abs. 3, 174 Abs. 1, 175 Abs. 1 InsO.
Aus den oben genannten Gründen ist der Insolvenzverwalter bei der Ausführung der vorbezeichneten Tätigkeiten zumindest nicht als Verantwortlicher zu qualifizieren. Er ist vielmehr Auftragsverarbeiter und in dieser Funktion der justiziellen Tätigkeit der Gerichte zuzuordnen.
(8) Da die nach § 8 InsO vom Gericht übertragenen Aufgaben justizielle Tätigkeiten sind, unterliegen sie ausschließlich der Aufsicht des Insolvenzgerichts. Wäre der Insolvenzverwalter für diese Tätigkeiten nicht der justiziellen Tätigkeit zuzuordnen, so hätte dies weitreichende Konsequenzen für die Tätigkeit des Insolvenzverwalters, welche die DSGVO nicht vorgesehen hat. Die Datenschutzbehörden hätten alleine Zugriff auf den Auftragsverarbeiter. Er wäre Adressat sämtlicher Maßnahmen, die eine Datenschutzaufsichtsbehörde im Normalfall gegen den Verantwortlichen richten würde und müsste. Trotz auftragsgemäßer Erfüllung könnte der Auftragsverarbeiter bei einem datenschutzrechtlichen Verstoß der Gerichte nicht einmal dieses in Regress nehmen.
Es müssen die Art. 55 Abs. 3, 83 Abs. 7 DSGVO i.V.m. § 43 Abs. 3 BDSG für die vorbenannten Tätigkeiten daher auch für den gerichtlich beauftragten Insolvenzverwalter gelten.
Auch der Sachwalter übt lediglich eine Prüfungs- und Überwachungsrolle gegenüber dem schuldnerischen Unternehmen aus. Der Sachwalter ist datenschutzrechtlich nicht als Verantwortlicher anzusehen.
(9) Stellt der Insolvenzverwalter fest, dass vorinsolvenzliche massebefangenen personenbezogenen Datenbeständen nicht den Anforderungen der DSGVO und des BDSG genügen, so ist er berechtigt diese vom Beschlag der Insolvenzmasse freizugeben. Hiermit kommt er seiner Aufgabe gemäß § 1 InsO und seiner Verpflichtung, die Insolvenzmasse vor unnötigen Kosten zu schützen, nach. Über die erfolgte Freigabe soll die Aufsichtsbehörde nachrichtlich durch den Verwalter informiert werden.
(10) Die Verwertung und Übertragbarkeit personenbezogener Daten im Insolvenzverfahren ist gegenwärtig mit großen Unsicherheiten und unterschiedlichen Auslegungen der Aufsichtsbehörden behaftet.
Die Verwertung personenbezogener Daten im Wege der Veräußerung an Dritte schafft aber den Vorteil, dass ein Verantwortlicher i.S.d. DSGVO fortbesteht. Sie ist daher Bestandteil der dem Insolvenzverwalter zur Verfügung stehenden Mittel.
(11) Der Datenschutz stellt die Insolvenzverwaltung vor eine Reihe von Herausforderungen. Auch das neue datenschutzrechtliche Regelwerk hat zu keiner Klärung der Einordung der in einem Insolvenzverfahren Beteiligten in die datenschutzrechtliche Terminologie geführt.
Dem Insolvenzverwalter müssen von Gesetzes wegen zeitliche und inhaltliche Erleichterungen im Umgang mit schuldnerischen Daten eingeräumt werden. Insbesondere in schuldnerischen Unternehmen, in denen der Datenschutz nicht regelkonform umgesetzt wurde, stellen ein zu schaffendes Verarbeitungsverzeichnis, die ggf. notwendige Bestellung eines Datenschutzbeauftragten und die Einführung eines Datenschutzmanagementsystems den Insolvenzverwalter vor organisatorische Herausforderungen, die mit dem zügigen Fortgang eines Insolvenzverfahrens nicht im Einklang stehen.
(12) Um den Zielen der InsO, vorrangig der gemeinschaftlichen Befriedigung aller Gläubiger, aber auch dem Anspruch der DSGVO gerecht zu werden, bedarf es in Bezug auf die Verwertung von personenbezogenen Daten einer gesetzlichen Regelung in Form eines Sanierungsprivilegs.
Es bedarf zudem einheitlicher Vorgaben von Rahmenbedingungen durch die jeweiligen Aufsichtsbehörden, um bundesweit gleiche Sanierungsbedingungen zu schaffen.
. PDF Eckpunktepapier Datenchutz