Insolvenzverwalter und die DSGVO: Wer muss Auskunft erteilen?

Die DSGVO verpflichtet Unternehmen dazu, betroffenen Personen Auskunft über die gespeicherten personenbezogenen Daten zu geben. Diese Pflicht bleibt auch bei einer Insolvenz bestehen. Doch wer muss diese Anfragen beantworten? Der ursprüngliche Verantwortliche oder der Insolvenzverwalter?

Die Datenschutzaufsichtsbehörden, darunter das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), haben hierzu eine klare Position:

• Ein „starker" vorläufiger Insolvenzverwalter übernimmt mit der gerichtlichen Anordnung eines allgemeinen Verfügungsverbots die Verwaltungs- und Verfügungsbefugnis über das Unternehmen. Damit wird er datenschutzrechtlich als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO eingestuft.
• Ein „schwacher" vorläufiger Insolvenzverwalter hingegen hat keine vollständige Entscheidungsbefugnis. In diesen Fällen bleibt der Insolvenzschuldner (also das ursprüngliche Unternehmen) verantwortlich.
• Sobald das Insolvenzverfahren offiziell eröffnet wird, tritt der Insolvenzverwalter vollständig in die Rolle des Verantwortlichen ein und muss damit auch Auskunftsersuchen erfüllen.

Sobald ein Insolvenzverwalter die Kontrolle über die Daten eines insolventen Unternehmens übernimmt, muss er sich um Datenschutzanfragen kümmern. Dies bedeutet konkret:

• Bearbeitung von Auskunftsersuchen: Betroffene Personen haben das Recht, eine Kopie ihrer gespeicherten Daten zu erhalten und zu erfahren, wie ihre Daten verarbeitet werden.
• Einhaltung von Fristen: Nach der DSGVO müssen Anfragen in der Regel innerhalb eines Monats beantwortet werden.
• Einschränkungen der Auskunftspflicht: In bestimmten Fällen kann die Auskunft verweigert oder eingeschränkt werden, etwa wenn die Offenlegung der Daten die Insolvenzmasse erheblich schmälern würde (Art. 15 Abs. 4 DSGVO).

Insolvenzverwalter argumentieren häufig, dass sie keine datenschutzrechtlichen Verantwortlichen seien. Sie verweisen beispielsweise auf ein Urteil des Amtsgerichts Hamburg (15.11.2021 - 11 C 75/21), das besagt, dass der Insolvenzverwalter lediglich eine „überwachende Funktion" habe und deshalb nicht unter die DSGVO falle. Zudem wird oft darauf hingewiesen, dass eine Verpflichtung zur Auskunftserteilung die Insolvenzmasse gefährden könnte.

Das BayLDA hält jedoch dagegen:

• Die DSGVO findet Anwendung, da der Insolvenzverwalter über die Daten verfügen kann und somit die Kontrolle über deren Verarbeitung hat.
• Die bloße „Datenlagerung" reicht nicht aus, um sich der Verantwortlichkeit zu entziehen. Sobald der Insolvenzverwalter mit den personenbezogenen Daten arbeitet, ist er für deren Schutz verantwortlich.

Personen, die von einer Insolvenz betroffen sind und Auskunft über ihre gespeicherten Daten verlangen, sollten sich direkt an den Insolvenzverwalter wenden. Falls eine Antwort ausbleibt, kann eine Beschwerde bei der zuständigen Datenschutzbehörde eingereicht werden.

Falls die Insolvenzverwaltung sich auf Ausnahmen beruft, kann eine rechtliche Prüfung erforderlich sein, um festzustellen, ob die Weigerung gerechtfertigt ist.

Zusammenfassend lässt sich sagen, dass Insolvenzverwalter nach der DSGVO als Verantwortliche gelten, sobald sie die Kontrolle über die Daten übernehmen. Sie sind daher verpflichtet, Auskunftsersuchen zu bearbeiten – es sei denn, es gibt gewichtige rechtliche Gründe für eine Einschränkung.

Betroffene sollten sich über ihre Rechte bewusst sein und im Zweifel rechtliche Unterstützung in Anspruch nehmen. Gleichzeitig sollten Insolvenzverwalter sicherstellen, dass sie die datenschutzrechtlichen Anforderungen erfüllen, um Bußgelder und rechtliche Auseinandersetzungen zu vermeiden.

Haben Sie Fragen zur DSGVO und Insolvenz? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Quelle: BayLDA Tätigkeitsbericht 2024