Insolvenzverwalter und die DSGVO – eine schwierige Beziehung

Artikel von Dr. Datenschutz·11. Oktober 2019

Die Insolvenzbekanntmachung des Reiseanbieters Thomas Cook ging kürzlich durch die Presse. Viele Urlauber befürchten nun, auf ihren Kosten sitzen zu bleiben. Die letzte Hoffnung der sich im Schockzustand entgangener Urlaubsfreuden befindlichen Gläubiger: der Insolvenzverwalter! Ob dieser hilfreich sein kann, zumindest einen kleinen Teil der Reisekosten erstattet zu bekommen, richtet sich auch nach datenschutzrechtlichen Vorgaben.

Der Inhalt im Überblick

Aufgaben des Insolvenzverwalters
Der Insolvenzverwalter als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO
- Keine gemeinsame Verantwortlichkeit mit dem Schuldner
- Wahrung der Betroffenenrechte durch Verantwortlichen
Die DSGVO-Rechte des Insolvenzschuldners
- Kein Auskunftsrecht des Insolvenzverwalters
- Die Entscheidung des OVG
Spannungsverhältnis zwischen DSGVO und InsO

Aufgaben des Insolvenzverwalters

Zu den Kernaufgaben des Insolvenzverwalters gehört die Verwaltung und Verwertung der Insolvenzmasse zum Zwecke der Befriedigung der Insolvenzgläubiger. Hierzu hat er die Insolvenzmasse von schuldnerfremden Vermögenspositionen zu bereinigen und um schuldnereigene Positionen zu erweitern. Ziel ist es, das Vermögen des Schuldners, soweit noch vorhanden, unter den Gläubigern aufzuteilen.

Der Insolvenzverwalter als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO

Umstritten ist seit jeher, wie der Insolvenzverwalter in Ausübung seiner Tätigkeit zu definieren ist. Nach § 20 Abs. 1 InsO hat der Schuldner die Auskünfte, die zur Entscheidung über den Insolvenzantrag erforderlich sind, gegenüber dem Insolvenzgericht zu erteilen. Das Insolvenzgericht bestellt gemäß § 56 Abs. 1 InsO den Insolvenzverwalter und überträgt ihm von Amts wegen weitreichende Befugnisse. In Betracht kommt daher eine eigene datenschutzrechtliche Verantwortlichkeit des Insolvenzverwalters i.S.d Art. 4 Nr. 7 DSGVO.

Keine gemeinsame Verantwortlichkeit mit dem Schuldner

Der Verantwortliche entscheidet nach Art. 4 Nr. 7 DSGVO über die „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“. Nach der Eröffnung des Insolvenzverfahrens hat der Insolvenzverwalter das gesamte zur Insolvenzmasse gehörende Vermögen sofort in Besitz zu nehmen (§ 148 Abs. 1 InsO) und das Recht des Schuldners, das Vermögen zu verwalten und hierüber zu verfügen geht auf ihn über (§ 80 Abs. 1 InsO). Der Schuldner verliert daher die Entscheidungsbefugnis über die betrieblichen Abläufe. Eine gemeinsame „Festlegung der Zwecke und Mittel“ sowie ein zwingendes Vertragswerk i.S.d Art. 26 Abs. 1 DSGVO zwischen Verwalter und Schuldner erscheint abwegig. Jedenfalls ab Eröffnung des Verfahrens ist der Insolvenzverwalter daher datenschutzrechtlich Einzelverantwortlicher für die unter seinem Zugriff und Einfluss stehenden personenbezogenen Daten.

Wahrung der Betroffenenrechte durch Verantwortlichen

Ferner hat der Insolvenzverwalter nunmehr, mitunter die Rechte der Betroffenen Insolvenzgläubiger nach Art. 12 ff. DSGVO umfassend zu beachten. Er muss daher über sämtliche Datenverarbeitungen informieren, Auskünfte an Betroffene erteilen oder ihre Daten berichtigen, löschen oder ihre Verarbeitung einschränken. Kommt er diesen nicht nach, drohen auch gegen den Insolvenzverwalter unter Umständen Bußgelder und Schadensersatzansprüche nach Art. 82 und Art. 83 DSGVO.

Hohe Haftungsrisiken bestehen insbesondere dann, wenn Kundendaten einen wesentlichen Teil des werthaltigen Vermögens eines Schuldners ausmachen. Werden Kundendaten im Wege eines Asset Deals auf einen neuen Rechtsträger übertragen, bedarf es hierfür einer datenschutzrechtlichen Rechtfertigung. Eine Einwilligung der Kunden mag bei Einräumung eines Widerspruchsrechts laut DSK entbehrlich sein. Gleichwohl muss der Insolvenzverwalter auch bei der Übermittlung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO die Kunden über ihr bestehendes Widerspruchsrecht ausdrücklich informieren und die gebotene Interessenabwägung durchführen.

Im Falle von Thomas Cook werden dies zehntausende sein. Ein Teil der Reisenden sind sodann anspruchsberechtigte Gläubiger als auch Gegenstand des werthaltigen Assets (der Kundenstamm) zugleich.

Die DSGVO-Rechte des Insolvenzschuldners

Die Interessen der Gläubiger sind klar: maximaler Verwertungserlös! Hierfür müssen dem Insolvenzverwalter größtmögliche Informationen bezüglich der Insolvenzmasse zur Verfügung stehen. Doch wie verhält es sich mit den Rechten des Insolvenzschuldners? Auch der Insolvenzschuldner hat originär eigene Betroffenenrechte gegenüber datenverarbeitende Dritte nach der DSGVO. Fraglich ist, ob diese Rechte ebenfalls vollumfänglich auf den Insolvenzverwalter übergegangen sind.

Kein Auskunftsrecht des Insolvenzverwalters

Das OVG Lüneburg hatte im Sommer entschieden, dass ein Insolvenzverwalter nicht berechtigt ist, Auskunftsansprüche des Insolvenzschuldners nach Art. 15 Abs. 1 DSGVO geltend zu machen (Beschluss vom 26.06.2019, 11 LA 274/1). Der klagende Insolvenzverwalter begehrte von der zuständigen Finanzbehörde über das Vermögen des Insolvenzschuldners einen Auszug sowie Akteneinsicht in dessen Steuerkonto. Die beklagte Behörde verweigerte dies.

Die Entscheidung des OVG

Das OVG vertritt die Ansicht, dass der Insolvenzverwalter zur Geltendmachung eines Auskunftsanspruches nach Art. 15 Abs. 1 DSGVO nicht berechtigt ist. Er sei nicht „Betroffener“ im Sinne der Vorschrift. Schutzobjekt der Norm sei ausschließlich die betroffene Person selbst und nicht potenzielle „Dritte“. Auskunft könne schon dem Wortlaut nach nur über eigene personenbezogene Daten verlangt werden.

Zur Insolvenzmasse gehören nur die einer Person zustehenden geldwerten Rechte. Der datenschutzrechtliche Auskunftsanspruch könne als höchstpersönliches Recht des Betroffenen aber nicht unmittelbar zur Befriedigung des Geldanspruchs der Gläubiger führen und sei daher nicht Teil der Insolvenzmasse i.S.d § 36 Abs. 1 S. 1 InsO.

Das Gegenargument, dass ein Auskunftsanspruch zumindest mittelbar auch vermögensrelevante Auswirkungen für die Insolvenzgläubiger haben könnte ließ das Gericht nicht zu.

Spannungsverhältnis zwischen DSGVO und InsO

Das Urteil verdeutlicht, wie schwierig es für den Insolvenzverwalter sein kann, die Vorgaben des Datenschutzrechts zu beachten und gleichzeitig den Gläubigern zu ihrem Geld zu verhelfen.

Das Auskunftsrecht mag zwar höchstpersönlicher Natur sein, die Abfrage durch einen Bevollmächtigten ist jedoch grundsätzlich nicht ausgeschlossen. Denkbar ist daher, dass Auskunfts- und Mitwirkungspflichten nach § 97 InsO den Schuldner verpflichten könnten, den Insolvenzverwalter zu bevollmächtigen, die geforderte Auskunft einzuholen. Die Auskunftspflicht des Schuldners nach der Insolvenzordnung ist eine sehr umfassende, wenn man bedenkt, dass sich die Verpflichtung auch auf Tatsachen erstreckt, welche geeignet sind, eine Strafverfolgung des Schuldners herbeizuführen. Dies ist ein mögliches Indiz dafür, dass dem Schuldner auch bezüglich seiner höchstpersönlichen Rechtsposition nach Art. 15 Abs. 1 DSGVO ein eigenes bzw. ein bevollmächtigtes Auskunftsersuchen abverlangt werden kann, sofern die Interessen der Insolvenzgläubiger betroffen sind.

Aktuell gelten jedoch auch für Insolvenzverfahren keine Sonderregelungen, die DSGVO kommt unmittelbar zur Anwendung. Der Gesetzgeber hätte gleichwohl die Möglichkeit aufgrund der Öffnungsklausel des Art. 23 Abs. 1 DSGVO korrigierend einzugreifen.

- Auskunftsbegehren
  Typische Fallstricke bei der Erfüllung des AuskunftsrechtsFachbeitrag·11. Januar 2024
- Schadensersatz wegen nicht erteilter AuskunftUrteil·16. November 2023
- EuGH zum Schadensersatz, Recht auf Kopie und mehrUrteil·10. Mai 2023
Mehr zum Thema
- Auskunftspflicht
  Schadensersatz wegen nicht erteilter AuskunftUrteil·16. November 2023
- LG Bonn: Auch Vorbekanntes vom Auskunftsanspruch umfasstUrteil·2. September 2022
- 300 Euro Schmerzensgeld wegen unzulässiger E-Mail-WerbungUrteil·28. September 2021
Mehr zum Thema
- Betroffenenrechte
  EuGH Schufa-Scoring-Urteil & seine Folgen für VerbraucherUrteil·10. Januar 2024
- Schadensersatz wegen „verspäteter“ Auskunft nach 19 TagenUrteil·4. Januar 2024
- Datenschutzbeschwerde per Deal vermeidenFachbeitrag·6. November 2023
Mehr zum Thema
- Insolvenz
  OVG Bremen zur Höchstpersönlichkeit des DSGVO AuskunftsanspruchsUrteil·8. Februar 2023
- Schufa & Co. – Längere Speicherung von Daten rechtmäßigUrteil·18. Mai 2022
- Wie lange darf die Schufa Insolvenzdaten speichern?Urteil·26. Juli 2021
Mehr zum Thema
- Urteil
  EuGH: TOMs und Schadensersatz bei CyberangriffenUrteil·13. März 2024
- Auskunftsersuchen ja, aber bitte nur konkretUrteil·14. Februar 2024
- Schadensersatz wegen „verspäteter“ Auskunft nach 19 TagenUrteil·4. Januar 2024
Mehr zum Thema
- Verantwortlicher
  Freelancer und ihre datenschutzrechtliche VerantwortungFachbeitrag·31. Januar 2024
- EuGH zur Einstufung als (gemeinsam) Verantwortlicher qua nationalem RechtUrteil·15. Januar 2024
- Verantwortliche sind für die Umsetzung der DSGVO zuständigFachbeitrag·3. November 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Hallo Dr. Datenschutz,

vielen Dank für den interessanten Beitrag. Ebenfalls interessant wäre die Frage, wie sich die Rechte des Insolvenzverwalters und dessen datenschutzrechtlicher Status bei der vorläufigen Verwaltung gestalten. Gerade in diesem Stadium, das Betriebsfortführungen ermöglicht, werden in besonderem Umfang personenbezogene Daten durch den Verwalter verarbeitet.

FJ am 14. Oktober 2019, 13:10 Uhr

Antworten
Hallo, dazu kann man auf das Buch [gelöscht] verweisen, dass das Thema umfassend beleuchtet. [Link gelöscht]

VG
rn

Rn am 15. Oktober 2019, 22:59 Uhr

Antworten
- Bitte beachten Sie unsere Nutzungsbedingungen.
  
  Dr. Datenschutz am 17. Oktober 2019, 10:12 Uhr
  
  Antworten