Downloads
In unserem Downloadbereich stellen wir Ihnen regelmäßig aktuelle Dokumente und Formulare zur Verfügung.
Stellungnahme:
28.01.2019
Der vorliegende Regierungsentwurf dient der Umsetzung der Richtlinie (EU) 2016/680 und der Anpassung des bereichsspezifischen Datenschutzrechts an die Datenschutz-Grundverordnung. So sind für den Bereich des Strafverfahrens- und des übrigen Verfahrensrechts sowie in einzelnen Bereichen des Justizverwaltungsrechts Umsetzungsmaßnahmen vorgesehen.
Regelungen zum insolvenzrechtlichen Verfahren sind im vorliegenden Entwurf nicht enthalten. Diese Lücke ist unverständlich und sollte in den parlamentarischen Beratungen geschlossen werden.
Mit rund 20.100 Unternehmensinsolvenzen und 72.000 Verbraucherinsolvenzen[1] sind insolvenzrechtliche Verfahren stets von einer Vielzahl von Verarbeitungsvorgängen personenbezogener Daten geprägt.
Bereits 2016 hatte der VID darauf hingewiesen[2], dass das nationale Datenschutzrecht im Sinne eines modernen und funktionsfähigen Insolvenzrechts[3] anzupassen sei. So müsse bei der Übertragung von (hoheitlichen) Aufgaben auf den Insolvenzverwalter aus Gründen der Rechtssicherheit ersichtlich sein, in welcher datenschutzrechtlichen Funktion dieser auftrete.
Nachdem im Rahmen der Novellierung des BDSG zunächst mögliche Spielräume für den Bereich der öffentlichen Stellen in Bezug auf die Tätigkeit des Insolvenzverwalters ungenutzt blieben, lässt der vorliegende Regierungsentwurf nun auch Konkretisierungen im bereichsspezifischen Datenschutz vermissen. Dabei fehlt es weiterhin an der notwendigen Klarstellung zur datenschutzrechtlichen Verantwortlichkeit des Verwalters – in seiner jeweiligen Rolle[4] als Sachverständiger, (vorläufiger) Insolvenzverwalter, (vorläufiger) Sachwalter, Treuhänder, bzw. Sonderinsolvenzverwalter – gegenüber Gericht, Schuldner, Insolvenzgläubigern und Dritten.
Die aktuelle Rechtsunsicherheit wird zum einen dadurch gefördert, dass – mangels gesetzlicher Regelung – seitens der einzelnen Landesdatenschutzbeauftragten[5] keine ausreichende Differenzierung der datenschutzrechtlichen Verantwortlichkeit des Verwalters nach seiner jeweiligen Rolle im einzelnen Verfahrensstadium erfolgt. Mithin sind die mit einer etwaigen Verantwortlichkeit verbundenen Pflichten gegenüber Betroffenen unklar. Zum anderen sind die datenschutzrechtlichen Anforderungen der einzelnen Landesdatenschutzbeauftragten an die Verwalter aufgrund des föderalen Systems unterschiedlich[6], so dass die Voraussetzungen einer rechtskonformen Sanierung, bspw. beim sog. Asset-Deal, derzeit in Abhängigkeit vom jeweiligen Bundesland stehen. Dies stellt ein ernsthaftes Sanierungshindernis dar und gefährdet den Erhalt von Arbeitsplätzen.
Die Einordnung des Verwalters hat anhand der Begriffsbestimmungen des Art. 4 DSGVO zu erfolgen. Der Verwalter kann danach – je nach Rolle und Verfahrensstadium – entweder nur als Verantwortlicher, bzw. gemeinsam Verantwortlicher, Auftragsverarbeiter oder Dritter tätig sein.
„Verantwortlicher“ i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedsstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten vorgesehen werden.
„Auftragsverarbeiter“ i.S.d. Art. 4 Satz 1 Nr. 8 DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Satz 1 Nr. 8 DSGVO).[7]
„Dritter“ ist nach Art. 4 Satz 1 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Die Abgrenzung des Verantwortlichen[8] vom Auftragsverarbeiter erfolgt mithin danach, wer über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Die Fähigkeit der Entscheidung über den „Zweck“ der Verarbeitung, die Folge rechtlicher und/oder faktischer Gegebenheiten sein kann, bedingt die Einstufung als (de facto) für die Verarbeitung Verantwortlicher. Dagegen kann eine Entscheidung über die „Mittel“ der Verarbeitung von dem für die Verarbeitung Verantwortlichen in Bezug auf technische oder organisatorische Fragen delegiert werden.
Die Existenz des Auftragsverarbeiters hängt von der Entscheidung des für die Verarbeitung Verantwortlichen ab. Dieser kann beschließen, die Daten entweder innerhalb seiner Organisation zu verarbeiten oder die Verarbeitungstätigkeiten ganz oder teilweise an eine externe Organisation zu delegieren. Für eine Einstufung als Auftragsverarbeiter muss eine Organisation zwei grundlegende Bedingungen erfüllen: Sie muss in Bezug auf den für die Verarbeitung Verantwortlichen rechtlich eigenständig sein und sie muss personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten. Diese Verarbeitungstätigkeit kann auf eine ganz spezielle Aufgabe oder einen speziellen Kontext beschränkt sein oder dem Auftragsverarbeiter einen gewissen Ermessensspielraum einräumen. Der Ermessenspielraum bezieht sich auf die Frage, wie der Auftragsverarbeiter den Interessen des für die Verarbeitung Verantwortlichen am besten gerecht wird und kann ihm die Wahl der geeigneten technischen und organisatorischen Mittel überlassen. Hilfreiche Kriterien für die datenschutzrechtliche Einordnung der Akteure wurden nicht nur im Hinblick auf die Ausführlichkeit der von dem für die Verarbeitung Verantwortlichen erteilten Weisungen, die den Handlungsspielraum des Auftragsverarbeiters bestimmen, definiert. Ferner können die Überwachung der Erbringung der Dienstleistung durch den für die Verarbeitung Verantwortlichen, der Eindruck, den der für die Verarbeitung Verantwortliche den betroffenen Personen vermittelt, und die hieraus resultierenden Erwartungen der betroffenen Personen sowie die die traditionelle Rolle und Fachkompetenz der Parteien, die die Einstufung des Dienstleisters als für die Verarbeitung Verantwortlicher bedingen können, als Kriterien herangezogen werden.[9]
Die nachfolgenden Ausführungen zur datenschutzrechtlichen Einordnung des Verwalters orientieren sich daher an der Rolle des Verwalters im jeweiligen Verfahrensstadium und seinen (gesetzlichen) Aufgaben nach der Insolvenzordnung (nachfolgend InsO).
Bei jährlich rund 20.100 Unternehmensinsolvenzen werden regelmäßig Sachverständige nach § 5 Abs. 1 Satz 1 und 2 InsO bestellt und mit der Erstattung eines Gutachtens beauftragt. Damit gehören die in Insolvenzverfahren bestellten Sachverständigen zur Gruppe der häufig bestellten Sachverständigen in Deutschland. Die Anzahl der gerichtlichen Sachverständigengutachten in Zivil-, Arbeits-, Finanz- und Verwaltungsgerichten sowie in FamFG-Verfahren wird auf jährlich 300.000 geschätzt, davon 30.000 in Zivil-, Arbeits-, Finanz- und Verwaltungsgerichtsverfahren sowie 270.000 in FamFG-Verfahren zzgl. weiterer 95.000 Gutachten in sozialgerichtlichen Verfahren, insgesamt mithin 395.000 Sachverständigengutachten pro Jahr.[10]
Grundsätzlich handelt es sich beim Insolvenzverfahren um ein Amtsermittlungs- und kein Parteiverfahren, d. h. das Insolvenzgericht hat von Amts wegen alle Umstände zu ermitteln, die für das Insolvenzverfahren von Bedeutung sind (§ 5 Abs. 1 Satz 1 InsO). Das Insolvenzgericht wird im Regelfall auf die Beiziehung eines Sachverständigen dann nicht verzichten können, wenn die Bemühungen des Insolvenzgerichts um eine Klärung der Zulässigkeitsvoraussetzungen oder des Insolvenzgrundes keinen Erfolg haben, bzw. es sich bei dem Schuldnerunternehmen um ein größeres Unternehmen handelt.[11] Der Sachverständige wird dabei regelmäßig mit der Prüfung beauftragt, ob ein Insolvenzgrund besteht und eine die Verfahrenskosten deckende Masse vorhanden ist[12], bzw. ob Sicherungsmaßnahmen, wie bspw. die vorläufige Insolvenzverwaltung oder Vollstreckungsschutz, anzuregen sind. Die Bestellung des Sachverständigen i.S.d. § 5 Abs. 1 InsO erfolgt durch (unanfechtbaren) gerichtlichen Beschluss, welcher den Gutachterauftrag genau zu bezeichnen hat. Der Sachverständige ist dabei Helfer des Insolvenzgerichts.[13] Er ist nicht befugt, seinen Aufgabenbereich selbständig zu erweitern, selbst dann nicht, wenn dies dringend geboten erscheint.[14]
Da sich der Sachverständige bei der Erstellung des Gutachtens nicht allein auf die Angaben des Schuldners verlassen darf, ist er berechtigt und verpflichtet eigene Ermittlungen anzustellen. Die Auskunfts- und Mitwirkungspflichten des Schuldners bestehen im Eröffnungsverfahren jedoch nur gegenüber dem Gericht und dem vorläufigen Insolvenzverwalter (vgl. §§ 20, 22 Abs. 3 Satz 3, 97 InsO), so dass der Sachverständige grundsätzlich auf die Mitwirkung des Schuldners angewiesen ist. Das Gericht gibt dem Schuldner im Beweisbeschluss daher regelmäßig auf, dem Sachverständigen als „verlängertem Arm“ des Gerichts alle zur Aufklärung seiner Einkommens- und Vermögensverhältnisse erforderlichen Auskünfte zu erteilen. Dies vor dem Hintergrund, dass der Schuldner die Kooperation mit dem Sachverständigen nicht mit der Begründung, er sei nur gegenüber dem Gericht selbst auskunftspflichtig, verweigern kann.[15]
Verweigert der Schuldner jedoch die freiwillige Mitwirkung, hat der Sachverständige keine Möglichkeit zur zwangsweisen Durchsetzung.[16] Vermag der Sachverständige mit den ihm zur Verfügung stehenden Mitteln keine hinreichend tatsächliche Grundlage für das in Auftrag gegebene Gutachten zu schaffen, nimmt der Sachverständige regelmäßig Rücksprache mit dem zuständigen Richter. So können bei mangelnder Kooperationsbereitschaft des Schuldners die richterliche Vernehmung, die Anordnung von Zwangsmaßnahmen und/oder der Erlass von Sicherungsmaßnahmen in Betracht kommen. Jedoch entscheidet allein das Gericht, welche konkreten Maßnahmen zu treffen sind.[17]
Die Rechtsstellung des gerichtlichen Sachverständigen im Insolvenzeröffnungsverfahren weicht damit teilweise von der des Sachverständigen im Zivilprozess ab, da vielfach nicht die besondere Sachkunde, sondern die Ermittlungstätigkeit im Vordergrund steht[18]. So ist der Sachverständige – anders als im Zivilprozess – kein Beweismittel, sondern Ermittlungsorgan des Gerichts.[19]
Der gerichtlich bestellte Sachverständige im Insolvenzeröffnungsverfahren (der nicht zugleich vorläufiger Verwalter ist) ist danach (ausschließlich) als Auftragsverarbeiter des Gerichts i.S.d. Art. 4 Satz 1 Nr. 8 DSGVO einzuordnen. So hat das Gericht mit der Bestellung des Sachverständigen entschieden, die Verarbeitungstätigkeiten zu delegieren. Die Verarbeitungstätigkeit des insolvenzrechtlichen Sachverständigen ist dabei streng an den im gerichtlichen Beschluss definierten Gutachterauftrag gebunden. So geben das Gericht, bzw. die Insolvenzordnung die zu klärenden Fragen, d. h. das „Ob“ und „Was“ explizit vor. Dass dem Sachverständigen dabei überlassen bleibt, wie und auf welche Weise er im Einzelfall Feststellungen trifft, steht einer Einordnung als Auftragsverarbeiter nicht entgegen. So kann insbesondere eine Entscheidung über die „Mittel“ der Verarbeitung, d. h. das „Wie“, von dem für die Verarbeitung Verantwortlichen in Bezug auf technische oder organisatorische Fragen delegiert werden. Auch die Fachkompetenz des Sachverständigen im Insolvenzeröffnungsverfahren allein führt nicht zu einer pauschalen Einordnung als Verantwortlichem. Dies insbesondere vor dem Hintergrund, dass bei diesem vielfach nicht die besondere Sachkunde, sondern die Ermittlungstätigkeit im Vordergrund steht. So hat bspw. das AG Köln eine detaillierte Handreichung u. a. auch im Hinblick auf die Erstellung des insolvenzrechtlichen Gutachtens herausgegeben.[20]
Für die gerichtlich bestellten Sachverständigen sieht § 404a ZPO[21] bereits heute vor, dass das Gericht die Tätigkeit des Sachverständigen zu leiten hat und ihm für Art und Umfang seiner Tätigkeit Weisungen erteilen kann (Abs. 1).
Der Sachverständige ist danach weisungsgebundener Gehilfe, bzw. Berater des Gerichts bei sachkundiger Auswertung der ihm vorgegebenen Tatsachen. „Dementsprechend ist das Gericht verpflichtet, den Sachverständigen in den Grund, Inhalt und Zweck des Gutachtensauftrages vollständig und unmissverständlich einzuweisen.“[22]
Ein Vergleich zum österreichischen Recht zeigt, dass dort die justizielle Tätigkeit der Gerichte alle Tätigkeiten umfasst, die zur Erfüllung der Aufgaben in Angelegenheiten der ordentlichen Gerichtsbarkeit erforderlich sind (§ 83 Abs. 2 GOG i.d.F. BGBl I 32/2018). Befundaufnahme und Gutachtenserstattung der gerichtlich bestellten Sachverständigen sind ausweislich der Gesetzesmaterialien[23] Teil des gerichtlichen Beweisverfahrens und gehören somit in diesem Umfang zur justiziellen Tätigkeit der Gerichte[24] (a.A. BVwG vom 27.09.2018, W214 2196366-2/6E).
Sofern im Schwerpunkt nicht bereits darauf abgestellt wird, dass die Verarbeitung personenbezogener Daten ohnehin stets (nur) auf Veranlassung des Gerichts erfolgt und dieses über den Umfang der Pflichten des vorläufigen Verwalters nach gemäß § 22 Abs. 2 Satz 1 InsO entscheidet, ist wie folgt zu differenzieren:
Mit der Bestellung als Sachverständiger erfolgt in der Praxis häufig die gleichzeitige Bestellung zum vorläufigen Insolvenzverwalter. Die rechtliche Stellung des vorläufigen Insolvenzverwalters ist davon abhängig, ob der vorläufige Insolvenzverwalter als sog. schwacher oder starker Verwalter bestellt wird. Bei Bestellung des sog. starken vorläufigen Verwalters wird dem Schuldner ein allgemeines Verfügungsverbot auferlegt und die Verwaltungs- und Verfügungsbefugnis über das Vermögen des Schuldners geht auf den vorläufigen Verwalter über (§ 22 Abs. 1 Satz 1 InsO).
Dieser Übergang der Verwaltungs- und Verfügungsbefugnis auf den vorläufigen Verwalter ist das maßgebliche Abgrenzungskriterium zu den Formen der schwachen vorläufigen Insolvenzverwaltung.
Der vorläufig schwache Insolvenzverwalter mit Zustimmungsvorbehalt (§ 21 Abs. 2 Nr. 2 InsO) oder Einzelermächtigung(en) (§ 22 Abs. 2 Satz 1 InsO) ist kein Verantwortlicher i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO. Er ist schon deshalb – je nach Besonderheit des einzelnen Verfahrens – lediglich als Auftragsverarbeiter, bzw. Dritter einzuordnen, weil die Bestellung eines vorläufigen Verwalters mit Zustimmungsvorbehalt nichts anderes bedeutet, als dass der Schuldner verfügungsberechtigt bleibt, jedoch die Wirksamkeit von Verfügungen von der Zustimmung des vorläufigen Insolvenzverwalters abhängig gemacht wird.[25]
So wird durch den Zustimmungsvorbehalt weder die Verfügungsbefugnis des Schuldners beseitigt, noch erfasst dieser die Geschäftsführung außerhalb von Verfügungen[26]. Die Entscheidung über das „Ob“ und „Wie“ der Verarbeitung personenbezogener Daten liegt mithin nicht beim vorläufigen Verwalter.
Nichts anderes kann für den vorläufig schwachen Insolvenzverwalter mit Einzelermächtigungen gelten, bei dem das Gericht gemäß § 22 Abs. 2 Satz 1 InsO die Pflichten des vorläufigen Verwalters bestimmt.
Wird dem Schuldner ein allgemeines Verfügungsverbot auferlegt, geht die Verwaltungs- und Verfügungsbefugnis über das Vermögen des Schuldners auf den vorläufig starken Insolvenzverwalter über (§§ 22 Abs. 1, 80 Abs. 1 InsO). Die Eigentumsrechte an den zur Insolvenzmasse (§ 35 InsO) gehörenden Gegenständen werden vom Verlust der Verwaltungs- und Verfügungsbefugnis nicht berührt. Der Schuldner, bzw. das schuldnerische Unternehmen bleibt Eigentümer der insolvenzbefangenen Sachen und Inhaber der in die Masse fallenden Rechte und Forderungen.[27]
Der vorläufig starke Insolvenzverwalter hat das Vermögen des Schuldners zu sichern und zu erhalten, das schuldnerische Unternehmen bis zur Entscheidung über die Eröffnung des Insolvenzverfahrens fortzuführen soweit nicht das Gericht einer Stilllegung zustimmt und zu prüfen, ob das Vermögen des Schuldners die Kosten des Verfahrens decken wird (§ 22 Abs. 1 Satz 2 Nr. 1-3 InsO). Bei den in § 22 Abs. 1 Satz 2 Nr. 3 InsO festgelegten Prüfungspflichten handelt es sich um gesetzliche Prüfungspflichten, die nicht etwa in gesetzliche und gerichtliche Gutachterpflichten aufgeteilt werden können.[28]
Sofern die Entscheidung über den Zweck der Verarbeitung personenbezogener Daten auch bei Übergang der Verwaltungs- und Verfügungsbefugnis nicht schon aufgrund der gerichtlichen Bestellung und der Übertragung (der vorgenannten gesetzlich geregelten) Aufgaben determiniert bleibt, ist nach rechtlicher und tatsächlicher Herrschaftsmacht über die Daten zu differenzieren.
Der vorläufige Insolvenzverwalter mit Verfügungsbefugnis ist berechtigt und im Regelfall verpflichtet, das Vermögen des Schuldners in Besitz zu nehmen, vor allem, wenn ein entsprechendes Sicherungsbedürfnis besteht oder wenn die Betriebsfortführung dies erfordert.[29]
Im Hinblick auf die (etwaige) Besitzergreifung an Datenbeständen/Datenträgern beim Insolvenzschuldner ist der Argumentation von Thole [30] zu folgen, wonach die Besitzergreifung und die Betriebsfortführung (allein) sichernden Charakter haben und insolvenzrechtlich keine Verantwortlichkeit oder Haftung für etwaige Pflichten bezogen auf lediglich irgendwo beim Schuldner vorhandene Daten begründen. Vielmehr können lediglich die neuen vom Insolvenzverwalter kraft bewusster Entscheidung gesteuerten, Datenverarbeitungsvorgänge zur Verantwortlichkeit und Bindung der Masse führen. Diese Einordnung berücksichtigt auch, dass anstelle der rechtlichen Zuordnung oft die tatsächlichen Verhältnisse darüber entscheiden, welche Akteure Daten verwenden können. So werden Daten zwar durch unterschiedliche Regelungsregime, wie bspw. im Datenschutz-, Urheberrecht-, Strafrecht oder allgemeinen Zivilrecht geschützt, diese Regime haben jedoch unterschiedliche Voraussetzungen, Schutzumfänge, und Verfügungsberechtigte, die je nach Ziel gegenläufige Zuordnungen vorsehen und unter Umständen im Widerspruch zueinander stehen.[31]
Für den vorläufigen Sachwalter kommt eine Verantwortlichkeit i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO ebenfalls nicht in Betracht. So folgt dessen Rechtsstellung aus § 270a Abs. 1 Satz 2 InsO i.V.m. §§ 274 und 275 InsO. Die dort angelegte Überwachungsrolle des Sachwalters schließt eine eigenständige Entscheidung über Mittel und Zwecke der Datenverarbeitung aus.
Durch die Eröffnung des Insolvenzverfahrens geht die Verwaltungs- und Verfügungsbefugnis über das schuldnerische Vermögen auf den Insolvenzverwalter über (§ 80 Abs. 1 InsO) und der Verwalter hat das gesamte zur Insolvenzmasse gehörende Vermögen sofort in Besitz und Verwaltung zu nehmen (§ 148 Abs. 1 InsO).
Die Besitzergreifung vollzieht sich dabei nicht kraft Gesetzes (wie etwa im Rahmen des § 857 BGB), sondern setzt – wie dem von § 80 Abs. 1 abweichenden Wortlaut des § 148 Abs. 1 InsO und der Vollstreckungsmöglichkeit durch § 148 Abs. 2 InsO zu entnehmen ist – die Erlangung der tatsächlichen Gewalt (§ 854 BGB) durch den Insolvenzverwalter voraus.[32]
Die Pflicht, die Gegenstände der Insolvenzmasse in Besitz und Verwaltung zu nehmen, vollzieht sich in der Praxis regelmäßig in zwei Schritten. So nimmt der Verwalter zunächst die gesamte sog. „Ist-Masse“, d. h. alle beim Schuldner vorgefundenen Vermögenswerte, in Besitz, um diese dann zur sog. „Soll-Masse“ zu bereinigen. Dies nimmt wegen der notwendigen Prüfung in der Regel einige Zeit in Anspruch.[33]
Der Insolvenzverwalter darf jedoch davon absehen, an massefremden Gegenständen Besitz zu begründen, die er nicht für die Masse zu nutzen beabsichtigt[34], bzw. an solchen, die für die Masse keinen Wert haben oder wegen ihrer Belastung mit Absonderungsrechten keinen Überschuss für die Masse versprechen.[35]
Sofern die Entscheidung über den Zweck der Verarbeitung personenbezogener Daten auch bei Übergang der Verwaltungs- und Verfügungsbefugnis nicht schon aufgrund der gerichtlichen Bestellung und der Übertragung (der gesetzlich geregelten) Aufgaben determiniert bleibt, ist auch insoweit der Argumentation von Thole[36] zu folgen. Danach kann eine datenschutzrechtliche Verantwortlichkeit des Insolvenzverwalters nach Art. 4 Satz 1 Nr. 7 DSGVO im eröffneten Verfahren überhaupt nur dann angenommen werden kann, wenn die rechtliche Verfügungsbefugnis auch mit der tatsächlichen Herrschaft über die Daten einhergeht. Dazu müssen die Daten dem Insolvenzverwalter zumindest im Sinne eines mittelbaren Besitzes zugänglich sein und er muss faktisch darauf zugreifen können. Bei Besitzverlust endet die Eigenschaft als verantwortliche Stelle, weil die betreffende Person dann in tatsächlicher Hinsicht keine Möglichkeit mehr hat, auf den Verarbeitungsvorgang einzuwirken.[37]
Eine Einordnung des Insolvenzverwalters als Verantwortlicher i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO kommt trotz Vorliegens rechtlicher Verfügungsbefugnis und tatsächlicher Herrschaft über die Daten jedoch dann nicht in Betracht, wenn der Verwalter für das Gericht die Erstellung der Tabelle (§§ 174, 175 InsO) und die Durchführung von Zustellungen (§ 8 Abs. 3 InsO) übernimmt.
Die Erstellung der Tabelle ist seit Inkrafttreten der InsO dem Insolvenzverwalter übertragen (§§ 174, 175 InsO).[38] Unter der Konkursordnung oblag sie dem Insolvenzgericht. So war die Anmeldung der Forderung schriftlich bei Gericht, bzw. zu Protokoll der Geschäftsstelle anzubringen (§ 139 KO). Der Urkundsbeamte der Geschäftsstelle hatte die Forderung dann in die Tabelle einzutragen (§ 140 Abs. 2 KO). Mit Einführung der InsO wurde für das Insolvenzgericht daneben die Möglichkeit geschaffen, den Insolvenzverwalter mit Zustellungen gem. § 8 Abs. 1 InsO zu beauftragen (§ 8 Abs. 3 InsO).[39] Zustellungen durch den Insolvenzverwalter lösen, wie Zustellungen durch das Gericht, Handlungsobliegenheiten, bzw. Handlungspflichten aus.
Wurde der Verwalter vom Gericht mit der Erstellung der Tabelle (§§ 174, 175 InsO) und der Durchführung von Zustellungen beauftragt, fehlt es an einer eigenen Entscheidung über Zweck und Mittel der Verarbeitung von personenbezogener Daten. Das „Ob“ und „Wie“ der Datenverarbeitung ist durch die Insolvenzordnung explizit vorgegeben.
Eine Verantwortlichkeit des Sachwalters i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO kann ebenfalls nicht in Betracht kommen. Die Rechtsstellung und die Aufgaben des vom Gericht bestellten Sachwalters (gem. § 270c Satz 1 und den §§ 274 und 275 InsO) erschöpfen sich in einer Prüfungs- und Überwachungsrolle. Diese schließt eine eigenständige Entscheidung über Zwecke und Mittel der Datenverarbeitung aus. § 280 InsO steht dieser grundsätzlichen Annahme nicht entgegen, da es sich hierbei um eine ausnahmsweise Durchbrechung des Grundsatzes handelt, die Verwaltungs- und Verfügungsbefugnis beim Schuldner zu belassen[40].
Von dem Fall, dass der (vorläufig starke) Insolvenzverwalter den Gegenstand von vornherein mangels Besitzergreifung nicht massebefangen macht, ist die sog. Freigabe zu unterscheiden.
Auch wenn die Freigabe, d. h. die Rückgabe des dem Insolvenzbeschlag unterliegenden Gegenstandes in das insolvenzfreie Schuldnervermögen durch den Insolvenzverwalter, gesetzlich nicht ausdrücklich geregelt ist, ist die Möglichkeit der Freigabe unter der Geltung der InsO ebenso anerkannt wie unter der früheren Konkursordnung.[41] Auch bei Gesellschaften wird die Möglichkeit der Freigabe heute überwiegend befürwortet.[42]
Die Freigabeerklärung erfolgt dabei regelmäßig durch einseitige empfangsbedürftige Willenserklärung gegenüber dem Schuldner, bzw. den Organen des Schuldnerunternehmens und bedarf keiner besonderen Form. Auch ist eine Zustimmung des Schuldners, bzw. des schuldnerischen Unternehmens nicht erforderlich.[43]
Stellt der (vorläufig starke) Insolvenzverwalter fest, dass die massebefangenen (personenbezogenen) Datenbestände „kontaminiert“ sind, d. h. nicht den Anforderungen der DSGVO und des BDSG genügen, ist zu klären, wie er sich von diesen trennen kann. Dies vor dem Hintergrund, dass die kontaminierten Datenbestände nicht für die Masse nutzbar sind, bzw. die Aufarbeitung aus Kostengründen nicht in Betracht kommt. Regelmäßig wird sich der Verwalter zu einer Freigabe immer dann entschließen, wenn die Kosten der Verwaltung und Verwertung den voraussichtlichen Verwertungserlös übersteigen werden.[44]
Es stellt sich die Frage, ob im Hinblick auf „kontaminierte“ Datenbestände Parallelen zu den sog. Altlastenfällen im Umweltrecht zu ziehen sind. So wurde in der Vergangenheit bei kontaminierten Grundstücken die Möglichkeit der Freigabe genutzt, um den Insolvenzverwalter, bzw. die von diesem verwaltete Insolvenzmasse von der ordnungsrechtlichen, insbesondere umweltrechtlichen Haftung zu befreien.[45]
Das Bundesverwaltungsgericht geht davon aus, dass der Insolvenzverwalter, der die kontaminierten Grundstücke aus der Masse freigegeben hat, nach BBodSchG nicht mehr für die Sanierung in Anspruch genommen werden darf.[46] Das Gericht verwies in diesem Zusammenhang darauf, dass die Schonung der Masse mit dem Ziel, eine möglichst hohe Quote für die Insolvenzgläubiger zu erzielen, Pflicht des Insolvenzverwalters sei. Mithin könne die Freigabe von Masse belastenden Vermögenswerten durchaus eine Amtspflicht des Verwalters nach § 60 InsO sein.[47]
Streitig war bei den sog. Altlastenfällen jedoch, ob der Insolvenzverwalter grundsätzlich zunächst als Zustandsverantwortlicher für eine Sanierung in Pflicht genommen werden kann. Das Bundesverwaltungsgericht (sowie andere Verwaltungsgerichte) und der BGH verfolgen dazu unterschiedliche Ansätze. „Die Rechtsprechung der Verwaltungsgerichte geht von dem Grundsatz aus, dass den Insolvenzverwalter die Pflicht zur Beseitigung der Störung treffe. Diese Ordnungspflicht sei, da es sich um eine Zustandsstörung handele, als Masseverbindlichkeit anzusehen und daher nicht nur eine reine Insolvenzforderung, und zwar unabhängig davon, ob die jeweilige Altlast oder Gefahr bereits bei Verfahrenseröffnung bestanden hatte oder sie erst nach Verfahrenseröffnung verursacht wurde. Das Ordnungsrecht entscheide, unter welchen Voraussetzungen die Ordnungspflicht einsetzt. Ob dafür die Inbesitznahme eines Grundstücks oder eines Gegenstands durch den Verwalter ausreicht oder ob es eines darüber hinausgehenden Verhaltens des Verwalters bedarf, ist nach der jeweiligen Norm zu entscheiden. (…) Ist eine Ordnungspflicht nach diesen Maßstäben entstanden, bewertet die verwaltungsgerichtliche Rechtsprechung sie als Masseverbindlichkeit, auch wenn die Störungsursache bereits vor Verfahrenseröffnung gelegt war. Allerdings kann sich der Verwalter durch Freigabe und Besitzaufgabe grundsätzlich von den öffentlich-rechtlichen Pflichten befreien. “[48]
Nach Ansicht des BGH[49] begründet die sicherstellende Inbesitznahme störender Sachen des Gemeinschuldners durch einen Insolvenzverwalter allein noch keine Haftung der Masse für die Kosten der Störungsbeseitigung.[50] „Der Verwalter hat zwar möglicherweise künftige Gefahren für oder durch die in seinem Besitz befindlichen Sachen abzuwenden, nicht aber allein kraft seines Besitzes entsprechende Pflichtverletzungen aus der Zeit vor der Insolvenzeröffnung für die von ihm verwaltete Masse auszugleichen. Allenfalls wenn der Verwalter als Ergebnis seiner Prüfung die fraglichen Sachen für die Masse nutzt oder verwertet, könnte er durch sein Verhalten möglicherweise eine Haftung (…) auslösen.“[51]
Eine Freigabe (kontaminierter) Datenbestände durch den Insolvenzverwalter ist danach grundsätzlich möglich.
Eine Haftung des (vorläufig starken) Insolvenzverwalters als Zustandsstörer für Daten, die bereits vor Verfahrenseröffnung „kontaminiert“ waren, kommt sowohl nach dem Ansatz der Verwaltungsgerichte als auch nach dem Ansatz des BGH nicht in Betracht. So ist – wie unter B. 2. a) ausgeführt – für eine datenschutzrechtliche Verantwortlichkeit des (vorläufig starken) Insolvenzverwalters nicht nur die rechtliche Verfügungsbefugnis, sondern auch die tatsächliche Sachherrschaft über die Datenbestände/Datenträger notwendig. Ferner kann im Hinblick auf die Besitzbegründung der (allein) sichernde Charakter derselben insolvenzrechtlich keine Verantwortlichkeit oder Haftung für etwaige Pflichten, bezogen auf lediglich irgendwo beim Schuldner vorhandene Daten, begründen. Lediglich die neuen, vom Insolvenzverwalter kraft bewusster Entscheidung gesteuerten, Datenverarbeitungsvorgänge können zur Verantwortlichkeit und Bindung der Masse führen.[52] Liegen solche nicht vor, kommt auch eine Haftung als Zustandsstörer nach dem Ansatz der Verwaltungsgerichte nicht in Betracht.
In der Praxis sollte die Freigabe daher künftig gegenüber dem Schuldner, bzw. den Organen des schuldnerischen Unternehmens durch einseitige empfangsbedürftige Willenserklärung erklärt werden können. Handelt es sich bei dem Schuldner um eine juristische Person, deren handelnde Organe für den Empfang der Freigabeerklärung tatsächlich nicht mehr zur Verfügung stehen, sollte der (vorläufig starke) Insolvenzverwalter diese Erklärung öffentlich zustellen lassen können. Bei der Freigabe von Datenbeständen sollte der (vorläufig starke) Insolvenzverwalter nachrichtlich die zuständige Datenschutzbehörde informieren.
Zunächst ist festzuhalten, dass die Veräußerung von Unternehmen, bzw. Unternehmensteilen kein insolvenzrechtliches Spezifikum darstellt, sondern zum „Tagesgeschäft“ einer funktionierenden Marktwirtschaft gehört. Vom Veräußerungsvorgang sind dabei häufig auch personenbezogene Daten i.S.d. Art. 4 Satz 1 Nr. 1 DSGVO betroffen.
Das Insolvenzverfahren – was typischerweise dadurch gekennzeichnet ist, dass die vorhandenen Ressourcen nicht zur Befriedigung aller Verfahrensbeteiligten ausreichen – dient dazu, die Gläubiger eines Schuldners gemeinschaftlich zu befriedigen, indem das Vermögen des Schuldners verwertet und der Erlös verteilt oder in einem Insolvenzplan eine abweichende Regelung insbesondere zum Erhalt des Unternehmens getroffen wird (vgl. § 1 Satz 1 InsO).
Das Insolvenzrecht sieht dabei die Möglichkeit der übertragenden Sanierung vor. Vorhandene Vermögenswerte des schuldnerischen Unternehmens, bzw. Teile davon, werden dabei auf einen anderen Rechtsträger übertragen (sog. Asset-Deal[53]). Dabei sind für potentielle Erwerber, insb. im Hinblick auf die Höhe des Veräußerungserlöses, bspw. auch Informationen über das Bestell- und Zahlungsverhalten der Kunden des Insolvenzschuldners von wesentlicher Bedeutung. In der Praxis gehören deshalb die Kundendaten des Unternehmens, insb. bei sog. Start-Ups, zu den zentralen Assets des schuldnerischen Unternehmens.
Bereits nach BDSG a.F. gab es in der zeitlich gedrängten Situation eines Unternehmensverkaufes in der Insolvenz erhebliche rechtliche Unsicherheiten[54]. Diese lagen darin begründet, dass die einzelnen Landesdatenschutzbeauftragten unterschiedliche Anforderungen an eine rechtskonforme Gestaltung des Asset-Deals stellten. So forderte bspw. der Thüringer Landesbeauftragte eine Einwilligungslösung[55] der Betroffenen, während das Bayerische Landesamt für Datenschutzaufsicht die sog. „Widerspruchslösung“ [56] für ausreichend hielt.
Die Chancen einer Sanierung von Unternehmen standen damit in Abhängigkeit vom Unternehmensstandort.
Die dringend notwendige bundeseinheitliche Lösung sollte den Unternehmensverkauf in der Insolvenz nicht unnötig behindern. So stünde ein Scheitern der Übertragung und damit der Verlust von Arbeitsplätzen und Sanierungschancen aufgrund datenschutzrechtlicher Belange im Widerspruch zur Intention des Gesetzgebers, der mit dem Gesetz zur weiteren Erleichterung der Sanierung von Unternehmen (ESUG) gerade Impulse zum Erhalt von Unternehmen geben wollte. Auch der europäische Gesetzgeber zeigt mit der Einführung eines vorinsolvenzlichen Sanierungsverfahrens[57], dass der Fokus auf dem Erhalt und der Sanierung von Unternehmen liegt.
1.
Es bedarf einer gesetzlichen Klarstellung, welchen Grad der datenschutzrechtlichen Verantwortung der Insolvenzverwalter in seiner jeweiligen Rolle als Sachverständiger, (vorläufiger) Insolvenzverwalter, (vorläufiger) Sachwalter, bzw. Treuhänder und Sonderinsolvenzverwalter zu tragen hat.
In seiner Rolle als Sachverständiger, vorläufig schwacher Insolvenzverwalter sowie als (vorläufiger) Sachwalter ist der Insolvenzverwalter dabei nicht als Verantwortlicher i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO einzuordnen.
Sofern die Entscheidung über Zweck (und Mittel) der Verarbeitung personenbezogener Daten auch bei Übergang der Verwaltungs- und Verfügungsbefugnis nicht schon aufgrund der gerichtlichen Bestellung und der Übertragung gesetzlich geregelter Aufgaben determiniert bleibt, sind bei der datenschutzrechtlichen Einordnung des (vorläufig starken) Insolvenzverwalters als Verantwortlichem i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO die sich aus der Insolvenzordnung ergebenden Ausnahmen (Tabelle/Zustellung) vollumfänglich zu berücksichtigen.
2.
In den Fällen, in denen nach Ziff. 1 die Verarbeitung personenbezogener Daten im Auftrag des Gerichts erfolgt, ist als Grundlage der Auftragsverarbeitung ein Rechtsinstrument nach Art. 28 III DSGVO zu schaffen. Die zu schaffende Regelung sollte in der InsO verortet werden.[58]
3.
Die Freigabe von (kontaminierten) Datenbeständen ist gesetzlich zu regeln.
4.
Bei der Veräußerung von Unternehmen, bzw. Unternehmensteilen im Rahmen des sog. Asset-Deals ist eine bundeseinheitliche Lösung zu schaffen, die eine Veräußerung nicht unnötig behindert.
Beim Asset-Deal konkurriert der staatliche Verwertungsauftrag des Insolvenzverwalters aus der Insolvenzordnung mit dem Datenschutzrecht. Es ist Aufgabe des Gesetzgebers hier eine praktische Konkordanz herzustellen.
Sofern die Rechtmäßigkeit der Verarbeitung nach neuem Recht nicht bereits nach Art. 6 Abs. 1b) DSGVO für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, bzw. nach Art. 6 Abs. 1c) DSGVO zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist, sollte die Verwertung im Rahmen eines Asset-Deals stets von Art. 6 Abs. 1f) DSGVO gedeckt sein. So ist die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1f) DSGVO zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Der Gesetzgeber sollte klarstellen, dass die Verwertung personenbezogener Daten durch den Insolvenzverwalter im Rahmen des Asset-Deals stets zur Wahrung der berechtigten Interessen des Verantwortlichen, bzw. Dritten erforderlich ist.
Es ist insoweit Härting [59]zu folgen, der keine Grundlage für ein ergänzendes schutzwürdiges Interesse des Kunden an einer Verhinderung der Datenweitergabe gemäß Art. 6 Abs. 1f) DSGVO sieht, da mit jeder Datenverarbeitung kraft „berechtigter Interessen“ jetzt ein unabdingbares Widerrufsrecht des Betroffenen i.S.d. Art. 21 DSGVO verbunden ist. Zum anderen beruht die Verarbeitung von Kundendaten vielfach auf einer Einwilligung des Kunden, die dieser fortan jederzeit ohne Begründung und mit sofortiger Wirkung widerrufen kann (Art. 7 Abs. 3 DSGVO).
[1] 2017: 20.093 Unternehmensinsolvenzen und 71.896 Verbraucherinsolvenzverfahren zzgl. 23.643 Verfahren übriger Schuldner wie ehemals selbständig Tätige, natürliche Personen als Gesellschafter sowie Nachlässe (Quelle: Statistisches Bundesamt, abrufbar unter: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHandwerk/Insolvenzen/Tabellen/AnzahlderbeantragtenInsolvenzverfahren.html;jsessionid=8409E569B4AC1E04484E5006E4AC17B8.InternetLive2).
[2] Vgl. VID-Stellungnahme zum 1. Datenschutzanpassungsgesetz vom 07.12.2016, abrufbar unter https://www.vid.de/stellungnahmen/stellungnahme-des-vid-zum-referentenentwurf-eines-gesetzes-zur-anpassung-des-datenschutzrechts-an-die-verordnung-eu-2016679-und-zur-umsetzung-der-richtlinie-eu-2016680-dsanpug-eu/
[3] Vgl. dazu Art. 23 Abs. 1 e) und f) DSGVO, wonach durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, einzelne Pflichten und Rechte aus der DSGVO im Wege von Gesetzgebungsmaßnahmen beschränkt werden können, sofern die Beschränkung (…) eine notwendige und verhältnismäßige Maßnahme darstellt, die den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses des Mitgliedsstaates, insb. eines wichtigen wirtschaftlichen oder finanziellen Interesses des Mitgliedsstaates, bzw. den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren sicherstellt.
[4] Differenzierend bspw. auch Thole in ZIP 2018, 1001 (1003 ff.), Bornheimer/Park in NZI 22/2018, 877 (878 ff), Schmitt/Heil in NZI 22/2018, 865 (866 f.).
[5] So ordnet das Bayer. Landesamt für Datenschutzaufsicht den „Insolvenzverwalter“ pauschal als sog. Verantwortlichen i.S.d. Art. 4 Satz 1 Nr. 7 DSGVO ein.
[6] So forderte bspw. der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit beim sog. Asset-Deal nach BDSG a.F. eine Einwilligungslösung der Betroffenen, während das Bayerische Landesamt für Datenschutzaufsicht eine Widerspruchslösung für ausreichend hielt.
[7] Die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrages oder eines anderen Rechtsinstruments nach (dem Unionsrecht oder) dem Recht der Mitgliedsstaaten, der, bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegt (Art. 28 III 1 DSGVO). Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sein denn, dass sie nach (dem Unionsrecht) oder dem Recht der Mitgliedsstaaten zur Verarbeitung verpflichtet sind (Art. 29 DSGVO).
[8] Die Art.-29-Datenschutzgruppe (Stellungnahme 1/2010, WP 169, dort S. 27) verwies bereits darauf, dass das Unvermögen, alle Verpflichtungen eines für die Verarbeitung Verantwortlichen direkt zu erfüllen, z. B. das Recht auf Information oder Auskunft zu gewährleisten, die Einstufung als für die Verarbeitung Verantwortlicher nicht ausschließt. So sei es möglich, dass diese Verpflichtungen in der Praxis problemlos durch andere Parteien, die manchmal ein engeres Verhältnis mit der betroffenen Partei haben, im Auftrag des für die Verarbeitung Verantwortlichen erfüllt werden können.
[9] Ausführlich zu den Abgrenzungskriterien: Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ der WP 169 der Artikel-29-Datenschutzgruppe, angenommen am 16.02.2010, 00264/10/DE, S. 30 ff.
[10] BR-Drs. 438/15: Gesetz zur Änderung des Sachverständigenrechts und zur weiteren Änderung des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit, S. 3.
[11] Vgl. Pape in Uhlenbruck, InsO-KO, 15. Auflage., § 5 Rn. 10 m.w.N.
[12] Vgl. Rüther in Hamburger-KO zur InsO, 7. Aufl. 2019, § 5, Rn. 16.
[13] Vgl. Pape a.a.O. § 5 Rn. 13.
[14] Vallender in ZinsO 2010, S. 1457 ff. (1462).
[15] Vgl. Rüther in Hamburger-KO zur InsO, 7. Aufl. 2019, § 5, Rn. 17.
[16] Vgl. Pape, a.a.O., § 5, Rn. 10, 14.
[17] Vallender a.a.o., S. 1462.
[18] Vgl. Pape a.a.O. § 5 Rn. 13 m.w.N.
[19] Vallender in ZinsO 2010, S. 1458.
[20] „Kölner Leitlinien zur Zusammenarbeit mit dem Insolvenzgericht“, abgedruckt in ZInsO 2017, 637 ff.
[21] Die Regelungen der ZPO finden über § 4 InsO Anwendung.
[22] Greger in Zöller, ZPO-KO, 32. Aufl. 2018, § 404a, Rn. 1.
[23] abrufbar unter: https://www.parlament.gv.at/PAKT/VHG/XXVI/I/I_00065/fname_686351.pdf., S. 150.
[24] In der österr. Literatur wird daher die Auffassung vertreten, dass vom Gericht im Rahmen der Verfahrensführung beigezogene Sachverständige bei ihrer Tätigkeit im Umfang des Bestellungsbeschlusses als Auftragsverarbeiter zu qualifizieren sind und Verantwortlicher für die Datenverarbeitung bei justizieller Tätigkeit das jeweils verfahrensführende Gericht ist; im Streitfall sei die Frage der datenschutzrechtlichen Einordnung der Tätigkeit der gerichtlichen Sachverständigen durch die Rechtsprechung zu entscheiden (vgl. Handout StA Mag. Michael Reiter, stv. Abteilungsleiter in der Legislativabteilung für freie Rechtsberufe, Sachverständige, Dolmetscher und Amtshaftungsachen im Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz (abrufbar unter https://wien.gerichts-sv.at/fileadmin/user_upload/Aktuelles/Datenschutz_SV.pdf).
[25] Vallender in Uhlenbruck, InsO-KO, 15. Aufl., § 21, Rn. 18.
[26] Vgl. auch Bornheimer/Park in NZI 22/2018, S. 877 (879).
[27] Mock in Uhlenbruck, InsO-KO, 15. Aufl., § 80, Rn. 11 ff.
[28] Vallender, a.a.O., § 22, Rn. 253 m.w.N.
[29] Vallender, a.a.O., § 22, Rn. 23 m.w.N.
[30] Dazu ausführlich Thole in ZIP 2017, 1001 ff. (1009).
[31] Schulz in PinG 02.2018, 74-75 m.w.N., der darauf hinweist, dass im geltenden Recht kein homogenes „Dateneigentum“, sondern ein „Flickenteppich“ divergierender Schutzrechte besteht.
[32] BGH (IX ZR 84/07) in ZIP 2008, 1736, Rn. 19: „Für diese rechtliche Würdigung spricht auch die dem Insolvenzverwalter bei einer schuldhaften Verzögerung der Inbesitznahme drohende Schadensersatzpflicht, die bei Annahme eines ohnehin bestehenden gesetzlichen Besitzerwerbs nie zum Tragen käme.“
[33] Sinz in Uhlenbruck, InsO-KO, 15. Aufl., § 148, Rn. 1.
[34] BGH (IX ZR 84/07) in ZIP 2008, 1738, Rn. 20.
[35] Sinz in Uhlenbruck, a.a.O., § 148, Rn. 2.
[36] Thole in ZIP 2018, 1001 ff. (1003).
[37] Thole a.a.O. mit Verweis unter anderem auf OLG Hamburg v. 2.8.2011 – 7 U 134/10.
[38] Der ursprüngliche Entwurf der Insolvenzordnung, die 1999 die Konkursordnung ablöste, sah zunächst ebenfalls eine gleich lautende Regelung vor. Erst durch die Beschlussempfehlung des Rechtsausschusses des Deutschen Bundestages wurde vorgesehen, dass die Übertragung dieser hoheitlichen Aufgaben nunmehr vom Gericht auf den Insolvenzverwalter erfolgen sollte (vgl. BT-DS 12/7302, S. 75 zu §§ 201, 202).
[39] Der Rechtsausschuss des Deutschen Bundestages begründete seine Beschlussempfehlung zur Aufgabenverlagerung vom Gericht auf den Insolvenzverwalter im Jahr 1994 wie folgt: „Vorbild für den vom Rechtsausschuß vorgeschlagenen Absatz 3 ist § 6 Abs. 3 GesO. Danach obliegt in Gesamtvollstrekkungsverfahren dem Verwalter die Zustellung des Eröffnungsbeschlusses an die ihm bekannten Gläubiger. Die positiven Erfahrungen mit dieser Regelung gaben den Anstoß für eine weiterreichende Möglichkeit der Aufgabenverlagerung vom Insolvenzgericht auf den Insolvenzverwalter. Es obliegt dem pflichtgemäßen Ermessen des Gerichts, dem Insolvenzverwalter alle oder einen Teil der Zustellungen zu übertragen. Maßgeblich für eine solche richterliche Entscheidung wird häufig die damit verbundene erhebliche Entlastung des Gerichts sein.“ (BT-DS 12/7302, S. 155 zu § 8).
[40] Vgl. Zipperer in Uhlenbruck, InsO-KO, § 280, Rn. 1.
[41] Hirte/Praß in Uhlenbruck, InsO-KO, § 35, Rn. 71 m.w.N. (BGH, RG und BVerwG).
[42] Hirte/Praß, a.a.O., § 35, Rn. 72 m.w.N.
[43] Hirte/Praß, a.a.O., § 35, Rn. 73 m.w.N. (BGH, RG).
[44] Hirte/Praß, a.a.O., § 35, Rn. 74 m.w.N. (BGH und BVerwG).
[45] Hirte/Praß, a.a.O., § 35, Rn. 74 m.w.N.
[46] BVerwG, Urteil vom 23.09.2004, AZ 7 C 22.03, 2. Leitsatz, veröffentlicht in ZIP 2004, 2145 ff.
[47] BVerwG, Urteil vom 23.09.2004, AZ 7 C 22.03, a.a.O, S. 2147.
[48] Thole in ZIP 2018, 1001 ff. (1007).
[49] Zwar nicht zur öffentlichen-rechtlichen Pflicht, jedoch zu Andienungsrechten und Freistellungsansprüchen bzgl. abbruchreifer Gebäude gem. SachenRBerG als Gesamtvollstreckungs- bzw. Insolvenzforderung.
[50] Verweis des BVerwG (Urteil vom 23.09.2004, AZ 7 C 22.03, a.a.O., S. 2146) auf BGHZ 150, 305, 311.
[51] BGH, Urt. v. 18.04.2002 – IX ZR 161/01 (= BGHZ 150, 305 ff) in ZIP 2002, 1043 (1045).
[52] wie unter B. 1. b) bb) bereits ausgeführt.
[53] Anders beim sog. Share Deal, bei dem das erwerbende Unternehmen in die Rechtsposition des Erwerbers eintritt.
[54] Ausführlich Eckhardt / Menz, ZInsO 2016, 1917 ff. (Datenschutz bei der Übertragung von Kundendaten in der Insolvenz) m.w.N.
[55] Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit, 2. Tätigkeitsbericht zum Datenschutz: nicht-öffentlicher Bereich 2014/2015, S. 353 f.
[56] Pressemitteilung des BayLDA v. 30.7.2015
[57] Proposal for a Directive of the European Parliament and of the Council on preventive restructuring frameworks, second chance and measures to increase the efficiency of restructuring, insolvency and discharge procedures and amending Directive 2012/30-Confirmation of the final compromise text with a view to agreement, EU Com (2016) 723 final, abrufbar unter: https://data.consilium.europa.eu/doc/document/ST-15556-2018-INIT/en/pdf.
[58] Vgl. auch Gesetzentwurf der Bundesregierung Zweites Datenschutz-Anpassungs-und Umsetzungsgesetz EU – 2. DSAnpUG-EU zur geplanten Änderung des AZR-Gesetzes, Ziff. 2 (S. 63): § 1 Absatz 1 Satz 2 wird wie folgt gefasst: „Das Bundesverwaltungsamt verarbeitet die gespeicherten Daten im Auftrag und nach Weisung des Bundesamtes für Migration und Flüchtlinge, soweit das Bundesamt für Migration und Flüchtlinge die Daten nicht selbst verarbeitet.“ sowie § 2 Abs. 5 S. 2 Bundeskriminalamtgesetz („Die Verarbeitung von personenbezogenen Daten in den Fällen von Satz 1 Nummer 3 und 4 erfolgt nach den Weisungen der Polizeien des Bundes und der Länder und nach deren Vorschriften über die Auftragsverarbeitung“)
[59] Härting in CR 2017, 724 ff. (727) „Kundendaten beim Unternehmenskauf nach DSGVO“.