Insolvenzverwalter und die DSGVO – eine schwierige Beziehung

Fachbeitrag

Die Insolvenzbekanntmachung des Reiseanbieters Thomas Cook ging kürzlich durch die Presse. Viele Urlauber befürchten nun, auf ihren Kosten sitzen zu bleiben. Die letzte Hoffnung der sich im Schockzustand entgangener Urlaubsfreuden befindlichen Gläubiger: der Insolvenzverwalter! Ob dieser hilfreich sein kann, zumindest einen kleinen Teil der Reisekosten erstattet zu bekommen, richtet sich auch nach datenschutzrechtlichen Vorgaben.

Aufgaben des Insolvenzverwalters

Zu den Kernaufgaben des Insolvenzverwalters gehört die Verwaltung und Verwertung der Insolvenzmasse zum Zwecke der Befriedigung der Insolvenzgläubiger. Hierzu hat er die Insolvenzmasse von schuldnerfremden Vermögenspositionen zu bereinigen und um schuldnereigene Positionen zu erweitern. Ziel ist es, das Vermögen des Schuldners, soweit noch vorhanden, unter den Gläubigern aufzuteilen.

Der Insolvenzverwalter als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO

Umstritten ist seit jeher, wie der Insolvenzverwalter in Ausübung seiner Tätigkeit zu definieren ist. Nach § 20 Abs. 1 InsO hat der Schuldner die Auskünfte, die zur Entscheidung über den Insolvenzantrag erforderlich sind, gegenüber dem Insolvenzgericht zu erteilen. Das Insolvenzgericht bestellt gemäß § 56 Abs. 1 InsO den Insolvenzverwalter und überträgt ihm von Amts wegen weitreichende Befugnisse. In Betracht kommt daher eine eigene datenschutzrechtliche Verantwortlichkeit des Insolvenzverwalters i.S.d Art. 4 Nr. 7 DSGVO.

Keine gemeinsame Verantwortlichkeit mit dem Schuldner

Der Verantwortliche entscheidet nach Art. 4 Nr. 7 DSGVO über die „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“. Nach der Eröffnung des Insolvenzverfahrens hat der Insolvenzverwalter das gesamte zur Insolvenzmasse gehörende Vermögen sofort in Besitz zu nehmen (§ 148 Abs. 1 InsO) und das Recht des Schuldners, das Vermögen zu verwalten und hierüber zu verfügen geht auf ihn über (§ 80 Abs. 1 InsO). Der Schuldner verliert daher die Entscheidungsbefugnis über die betrieblichen Abläufe. Eine gemeinsame „Festlegung der Zwecke und Mittel“ sowie ein zwingendes Vertragswerk i.S.d Art. 26 Abs. 1 DSGVO zwischen Verwalter und Schuldner erscheint abwegig. Jedenfalls ab Eröffnung des Verfahrens ist der Insolvenzverwalter daher datenschutzrechtlich Einzelverantwortlicher für die unter seinem Zugriff und Einfluss stehenden personenbezogenen Daten.

Wahrung der Betroffenenrechte durch Verantwortlichen

Ferner hat der Insolvenzverwalter nunmehr, mitunter die Rechte der Betroffenen Insolvenzgläubiger nach Art. 12 ff. DSGVO umfassend zu beachten. Er muss daher über sämtliche Datenverarbeitungen informieren, Auskünfte an Betroffene erteilen oder ihre Daten berichtigen, löschen oder ihre Verarbeitung einschränken. Kommt er diesen nicht nach, drohen auch gegen den Insolvenzverwalter unter Umständen Bußgelder und Schadensersatzansprüche nach Art. 82 und Art. 83 DSGVO.

Hohe Haftungsrisiken bestehen insbesondere dann, wenn Kundendaten einen wesentlichen Teil des werthaltigen Vermögens eines Schuldners ausmachen. Werden Kundendaten im Wege eines Asset Deals auf einen neuen Rechtsträger übertragen, bedarf es hierfür einer datenschutzrechtlichen Rechtfertigung. Eine Einwilligung der Kunden mag bei Einräumung eines Widerspruchsrechts laut DSK entbehrlich sein. Gleichwohl muss der Insolvenzverwalter auch bei der Übermittlung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO die Kunden über ihr bestehendes Widerspruchsrecht ausdrücklich informieren und die gebotene Interessenabwägung durchführen.

Im Falle von Thomas Cook werden dies zehntausende sein. Ein Teil der Reisenden sind sodann anspruchsberechtigte Gläubiger als auch Gegenstand des werthaltigen Assets (der Kundenstamm) zugleich.

Die DSGVO-Rechte des Insolvenzschuldners

Die Interessen der Gläubiger sind klar: maximaler Verwertungserlös! Hierfür müssen dem Insolvenzverwalter größtmögliche Informationen bezüglich der Insolvenzmasse zur Verfügung stehen. Doch wie verhält es sich mit den Rechten des Insolvenzschuldners? Auch der Insolvenzschuldner hat originär eigene Betroffenenrechte gegenüber datenverarbeitende Dritte nach der DSGVO. Fraglich ist, ob diese Rechte ebenfalls vollumfänglich auf den Insolvenzverwalter übergegangen sind.

Kein Auskunftsrecht des Insolvenzverwalters

Das OVG Lüneburg hatte im Sommer entschieden, dass ein Insolvenzverwalter nicht berechtigt ist, Auskunftsansprüche des Insolvenzschuldners nach Art. 15 Abs. 1 DSGVO geltend zu machen (Beschluss vom 26.06.2019, 11 LA 274/1). Der klagende Insolvenzverwalter begehrte von der zuständigen Finanzbehörde über das Vermögen des Insolvenzschuldners einen Auszug sowie Akteneinsicht in dessen Steuerkonto. Die beklagte Behörde verweigerte dies.

Die Entscheidung des OVG

Das OVG vertritt die Ansicht, dass der Insolvenzverwalter zur Geltendmachung eines Auskunftsanspruches nach Art. 15 Abs. 1 DSGVO nicht berechtigt ist. Er sei nicht „Betroffener“ im Sinne der Vorschrift. Schutzobjekt der Norm sei ausschließlich die betroffene Person selbst und nicht potenzielle „Dritte“. Auskunft könne schon dem Wortlaut nach nur über eigene personenbezogene Daten verlangt werden.

Zur Insolvenzmasse gehören nur die einer Person zustehenden geldwerten Rechte. Der datenschutzrechtliche Auskunftsanspruch könne als höchstpersönliches Recht des Betroffenen aber nicht unmittelbar zur Befriedigung des Geldanspruchs der Gläubiger führen und sei daher nicht Teil der Insolvenzmasse i.S.d § 36 Abs. 1 S. 1 InsO.

Das Gegenargument, dass ein Auskunftsanspruch zumindest mittelbar auch vermögensrelevante Auswirkungen für die Insolvenzgläubiger haben könnte ließ das Gericht nicht zu.

Spannungsverhältnis zwischen DSGVO und InsO

Das Urteil verdeutlicht, wie schwierig es für den Insolvenzverwalter sein kann, die Vorgaben des Datenschutzrechts zu beachten und gleichzeitig den Gläubigern zu ihrem Geld zu verhelfen.

Das Auskunftsrecht mag zwar höchstpersönlicher Natur sein, die Abfrage durch einen Bevollmächtigten ist jedoch grundsätzlich nicht ausgeschlossen. Denkbar ist daher, dass Auskunfts- und Mitwirkungspflichten nach § 97 InsO den Schuldner verpflichten könnten, den Insolvenzverwalter zu bevollmächtigen, die geforderte Auskunft einzuholen. Die Auskunftspflicht des Schuldners nach der Insolvenzordnung ist eine sehr umfassende, wenn man bedenkt, dass sich die Verpflichtung auch auf Tatsachen erstreckt, welche geeignet sind, eine Strafverfolgung des Schuldners herbeizuführen. Dies ist ein mögliches Indiz dafür, dass dem Schuldner auch bezüglich seiner höchstpersönlichen Rechtsposition nach Art. 15 Abs. 1 DSGVO ein eigenes bzw. ein bevollmächtigtes Auskunftsersuchen abverlangt werden kann, sofern die Interessen der Insolvenzgläubiger betroffen sind.

Aktuell gelten jedoch auch für Insolvenzverfahren keine Sonderregelungen, die DSGVO kommt unmittelbar zur Anwendung. Der Gesetzgeber hätte gleichwohl die Möglichkeit aufgrund der Öffnungsklausel des Art. 23 Abs. 1 DSGVO korrigierend einzugreifen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

3 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz,

    vielen Dank für den interessanten Beitrag. Ebenfalls interessant wäre die Frage, wie sich die Rechte des Insolvenzverwalters und dessen datenschutzrechtlicher Status bei der vorläufigen Verwaltung gestalten. Gerade in diesem Stadium, das Betriebsfortführungen ermöglicht, werden in besonderem Umfang personenbezogene Daten durch den Verwalter verarbeitet.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.