Skip to main content

Datenschutzvorschriften findet bei Insolvenzen Anwendung. Daher muss der Insolvenzverwalter die Datenschutzvorschriften beachten, die bei der Erfüllung seiner Aufgabe gelten, etwa die Datenschutz-Grundverordnung („DSGVO“). In einem früheren Blog wurde die Bedeutung des Schutzes personenbezogener Daten seitens des Insolvenzverwalters bereits erörtert.

Datenschutzvorschriften sehen jedoch nicht immer eine eindeutige Antwort auf die Frage vor, wie ein Insolvenzverwalter mit personenbezogenen Daten (von Dritten) umzugehen hat. Zur Klärung einiger Unklarheiten hat der INSOLAD Prüfungsausschuss (der „Prüfungsausschuss“) kürzlich in der Entscheidung 2021/5 eine Reihe von Best Practices auf dem Gebiet der Verarbeitung von personenbezogenen Daten im Insolvenzverfahren für Insolvenzverwalter entwickelt. In diesem Blog werden die Best Practices erläutert.

Personenbezogene Daten Dritter bei der Untersuchung von Unregelmäßigkeiten

Ein erstes Problem für Insolvenzverwalter kann bei der Frage entstehen, inwieweit ein Insolvenzverwalter personenbezogene Daten von (möglicherweise haftbaren) Dritten verifizieren oder im Rahmen seiner Untersuchung von Unregelmäßigkeiten anfordern darf.

Darf ein Insolvenzverwalter z.B. finanzielle (personenbezogene) Daten von Geschäftsführern einer Insolvenzgesellschaft bei der Bank für Rückgriffsprüfungen anfordern oder verifizieren? Gemäß der folgenden Best Practice-Regel nicht.Ein Insolvenzverwalter darf personenbezogene Daten verarbeiten, wenn dies für die Erfüllung seiner Aufgabe zur Untersuchung von Unregelmäßigkeiten erforderlich ist. Zu dieser Aufgabe gehört auch die Untersuchung der Rückgriffsmöglichkeiten von (möglicherweise haftbaren) Dritten. Bei dieser Rückgriffsprüfung hat sich ein Insolvenzverwalter – soweit es um Dritte geht – auf Informationen aus öffentlich zugänglichen Quellen zu beschränken. Ein Insolvenzverwalter muss sich demnach auf die Konsultation z.B. des Handelsregisters der Handelskammer (Kamer van Koophandel) oder des Grundbuchamts beschränken.

Verarbeitung strafrechtlicher personenbezogener Daten

Auch die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten (von Dritten) kann problematisch sein. Die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten unterliegt nämlich aufgrund von Artikel 10 der DSGVO weit reichenden Einschränkungen. Dies wirft zum Beispiel die Frage auf, ob ein Insolvenzverwalter von empfangenen strafrechtlichen personenbezogenen Daten (von Dritten) Kenntnis nehmen darf.

Gemäß Artikel 10 DSGVO darf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten (von Dritten) nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.[1] Das Unionsrecht und das Recht der Mitgliedstaaten ergänzen dies, indem festgelegt wird, dass personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (von Dritten) verarbeitet werden können, wenn dies für die Erhebung, Ausübung oder Begründung einer Klage erforderlich ist.[2] Daraus könnte ein Insolvenzverwalter seine Befugnis zur Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten (von Dritten) ableiten.

Erhält ein Insolvenzverwalter jedoch strafrechtliche Informationen von der Staatsanwaltschaft zur Weiterleitung, ist es Best Practice, dass der Insolvenzverwalter sich an die Staatsanwaltschaft wendet, soweit er diese Daten einsehen möchte oder sie nutzen möchte.

Die Verwendung personenbezogener Daten in öffentlichen Insolvenzberichten

Ein anderer wichtiger Aspekt, über den Unklarheiten bei Insolvenzverwaltern bestehen können, ist die Verwendung von Namen in öffentlichen Insolvenzberichten.

Das nach den RECOFA-Richtlinien vorgeschriebene Muster für öffentlich Insolvenzberichte schreibt (bezüglich juristischer Personen) vor, dass Informationen über die Geschäftsleitung, Organisation, Rechtmäßigkeitsaspekte und Namen der jeweiligen Gegenparteien in Verfahren zur Verfügung gestellt werden. Bei der Verwendung von Namen in öffentlichen Insolvenzberichten stellt sich die Frage, ob dies der DSGVO entspricht.

Nach der Best Practice-Bestimmung ist es für Insolvenzverwalter möglicherweise erforderlich, personenbezogene Daten in öffentlichen Insolvenzberichten zu verwenden, um als Verantwortlicher die gesetzliche Verpflichtung aus Artikel 73a niederländisches Insolvenzgesetz (faillissementswet) zu erfüllen.[3] Damit könnte die Verwendung von Namen in öffentlichen Insolvenzberichten gerechtfertigt werden.

Randbemerkung

Allerdings wird hierzu angemerkt, dass ein Insolvenzverwalter bei der Verwendung personenbezogener Daten in öffentlichen Insolvenzberichten immer eine Abwägung unter Berücksichtigung der Grundsätze, die die DSGVO vorschreibt, vornehmen muss, da die RECOFA-Richtlinien eine derartige Abwägung unzureichend umschreiben.

Best Practice ist, dass der Insolvenzverwalter bei der Aufnahme personenbezogener Daten in seine öffentlichen Insolvenzberichte Zurückhaltung übt und Anonymität gewährleistet bzw. Pseudonyme verwendet.

Verkauf von Datenträgern und personenbezogenen Daten

Schließlich wurde für den Verkauf von Datenträgern und personenbezogenen Daten eine Best Practice entwickelt.

Ein Insolvenzverwalter wird oft versuchen, die in einer Insolvenzmasse vorhandenen Laptops, Telefone, Kassensysteme usw. in einem Aktivaverkauf zu verkaufen. Wie muss ein Insolvenzverwalter in so einem Fall mit der Möglichkeit umgehen, dass sich personenbezogene Daten auf diesen Datenträgern befinden können?

Die Best Practice lautet, dass der Insolvenzverwalter die personenbezogenen Daten vom Datenträger löschen muss, bevor er den Datenträger verkauft. So muss sich der Insolvenzverwalter davon überzeugen (lassen), dass die Datenträger keine personenbezogenen Daten (mehr) enthalten, weil alle vorhandenen Daten auf den Datenträgern in professioneller Weise gelöscht wurden.

Wiegen die diesbezüglichen Kosten nicht gegen die Erträge auf, muss der Insolvenzverwalter vom Verkauf absehen und die Datenträger in professioneller Weise vernichten (lassen).

Schlussfolgerung

Insolvenzverwalter können auf vielfältige Weise mit der Verarbeitung personenbezogener Daten (von Dritten) im Rahmen eines Insolvenzverfahrens konfrontiert werden, wobei nicht immer klar ist, welche Strategie dabei zu befolgen ist. Mit der Formulierung von Best Practices hat der Prüfungsausschuss versucht, einige Unklarheiten für Insolvenzverwalter zu verdeutlichen.

Es ist Best Practice, dass sich ein Insolvenzverwalter bei Rückgriffsprüfungen gegenüber Dritten auf öffentliche Informationen und strafrechtlich relevante personenbezogene Daten (von Dritten) beschränkt, wenn dies für die Erhebung, Ausübung oder Begründung von Klagen erforderlich ist.

Ferner wird einem Insolvenzverwalter empfohlen, bei der Verwendung von Namen in öffentlichen Insolvenzberichten so weit wie möglich Zurückhaltung zu üben und Anonymität zu wahren bzw. Pseudonyme zu verwenden. Schließlich muss ein Insolvenzverwalter feststellen (lassen), dass zu verkaufende Datenträger keine personenbezogenen Daten (mehr) enthalten, weil er alle vorhandenen Daten auf den Datenträgern auf professionelle Weise gelöscht hat oder löschen lässt. Wenn die damit verbundenen Kosten die Erträge übersteigen, muss er vom Verkauf absehen.

Weitere Informationen

Sie haben Fragen oder wünschen weitere Informationen? Wenden Sie sich bitte an Michiel PeetersRobbert van Roij oder einem der anderen Mitglieder des Teams Insolvenz und Sanierung von Boels Zanders Advocaten. 

 

 

 

Dezember 2021