Die Datenschutzgesetze müssen auch im Falle der Insolvenz eingehalten werden. Doch was bedeutet das genau? Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat Informationen zur Klarstellung der für Insolvenzverwalter/innen geltenden Vorschriften herausgegeben. In diesem Beitrag möchte ich einige Ausgangspunkte erläutern.
Einhaltung der DSGVO durch Insolvenzverwalter/innen
Wird eine (juristische) Person für insolvent erklärt, wird gerichtlich ein/e Insolvenzverwalter/in bestellt. Der oder die Insolvenzverwalter/in ist mit der Verwaltung und der Liquidation der Insolvenzmasse betraut. Unter anderem verwaltet und veräußert der/die Insolvenzverwalter/in die Vermögenswerte. Der Erlös daraus wird dann unter allen Gläubigern verteilt. Unter Umständen haben es Insolvenzverwalter/innen mit großen Mengen an personenbezogenen Daten zu tun. Zum Beispiel mit Kundendaten, Daten von (ehemaligen) Arbeitnehmerinnen und Arbeitnehmern, Mailinglisten und Gesundheitsdaten. Bei der Ausübung ihrer Tätigkeit müssen Insolvenzverwalter/innen daher geltendes Datenschutzrecht, darunter die Datenschutz-Grundverordnung (DSGVO), einhalten. Die niederländische Datenschutzbehörde AP betont, dass auch bei Insolvenz sorgfältig mit personenbezogenen Daten umzugehen ist. Ab dem Insolvenzdatum sind Insolvenzverwalter/innen kraft ihrer Eigenschaft nämlich die Verantwortlichen für die Datenverarbeitung. Insolvenzverwalter/innen müssen in jedem Fall für den guten Schutz aller vorgefundenen personenbezogenen Daten sorgen. Zudem müssen sie bei der Angabe von personenbezogenen Daten in (öffentlichen) Insolvenzberichten zum Fortgang der Insolvenz sorgfältig vorgehen.
Kundendaten
Möglicherweise finden Insolvenzverwalter/innen bei Insolvenzen natürlicher oder juristischer Personen Kundendaten vor. Zum Beispiel in Form der Kundenkartei eines Onlineshops oder eines Reiseunternehmens. Die Kundenkartei ist ein Wert und kann somit auch von dem/der Insolvenzverwalter/in veräußert werden. Die Kundenkartei enthält jedoch personenbezogene Daten wie etwa den Namen, die Kontaktdaten und Anschriften von Kundinnen und Kunden. Deshalb müssen sich Insolvenzverwalter/innen bei der Veräußerung von Kundenkarteien an die DSGVO halten. Die niederländische Datenschutzbehörde AP bestätigt, dass die Veräußerung von Kundendaten durch Insolvenzverwalter/innen an Dritte nur dann zulässig ist, falls der/die betreffende Kunde/in dem zuvor zugestimmt hat. Ohne diese Zustimmung dürfen die Kundendaten nicht veräußert werden. An eine solche Zustimmung sind einige Voraussetzungen geknüpft. Der Kunde oder die Kundin muss in jedem Fall frei sein, die Zustimmung (nicht) zu erteilen. Zudem muss für die Kundin bzw. den Kunden klar sein, wozu die Zustimmung erteilt wird. Dies muss hinreichend ausgelegt und erläutert werden. Insolvenzverwalter/innen können Kundendaten somit nicht einfach an den Höchstbietenden veräußern.
Datenträger
Kundendaten oder andere personenbezogene Daten können auch auf Datenträgern wie etwa Computern, Laptops, Tablets oder Telefonen vorhanden sein. Auch solche Gegenstände wird der oder die Insolvenzverwalter/in veräußern wollen. Zuvor hat der/die Insolvenzverwalter/in jedoch dafür zu sorgen, dass keine personenbezogenen Daten mehr auf dem Datenträger gespeichert sind. Die personenbezogenen Daten müssen sorgfältig gelöscht werden. Dafür werden in der Regel Fachkräfte hinzugezogen.
Weitere Informationen
Sie haben Fragen oder wünschen weitere Informationen? Dann wenden Sie sich an die Anwältinnen und Anwälte aus unserem Team Insolvenz und Sanierung oder unserem Team Datenschutz.
März 2020
