das Magazin für  Insolvenzverwalter, Gerichte, Dienstleister, Wissenschaft, Banken, Versicherungen und alle, die am Thema Insolvenz interessiert sind
Ein Produkt der » Verlag INDat GmbH

Titelthema | INDat Report 02_2018 | April 2018

Ab 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO)
mit hohen Bußgeldern uneingeschränkt

Köln. Die zum 25.05.2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) erfindet den Datenschutz nicht neu, wenngleich sie im Umgang mit personenbezogenen Daten einige Neuerungen und Konkretisierungen, aber auch deutliche Verschärfungen mit sich bringt. Die EU-Vorgaben erwecken vor allem deswegen den Eindruck eines Damoklesschwerts, da bei Verstößen erhebliche Bußgelder in Millionenhöhe drohen können, gegen die man sich nicht absichern kann. Ganz zu schweigen von den allgemeinen Risiken der sog. Abmahnindustrie, die leicht erkennbaren Versäumnissen, z. B. im Internetauftritt, nachgehen wird. Für die Insolvenz- und Restrukturierungspraxis sind es drei Komponenten, die ab Stichtag im Mai einwandfrei funktionieren müssen. 1. Die (Verwalter)kanzlei hat wie jedes andere Unternehmen den neuen Datenschutzregularien im Umgang mit personenbezogenen Daten zu folgen und einen Datenschutzbeauftragten (DSB) einzusetzen, wenn mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
2. Bei Betriebsfortführungen hat der Verwalter die insolventen Unternehmen in Bezug auf den Datenschutz zu überprüfen und fit zu machen. 3.  Die EU-Vorgaben sind in die Spezifika der Insolvenz­verwaltung und deren Abläufe, in die der Datenschutz hineinwirkt, zu implementieren. Das sind vor allem das Gläubigermanagement, die Auftragsdatenverarbeitung und der Asset Deal. Insgesamt ist erstaunlich, dass Fortbildungen für die spezifischen Datenschutzanpassungen in der Insolvenzpraxis rar gesät sind und erst wenige Monate vor der Scharfstellung der Verordnung überhaupt in den Programmen auftauchen. Leichte Aufgabe oder auf die leichte Schulter genommen? Wie gesagt, die DSGVO erfindet den Datenschutz nicht neu, rückt ihn aber so stark ins Bewusstsein, dass Versäumnisse aus der Vergangenheit plötzlich ans Tageslicht kommen können und die To-do-Liste ungeahnt vergrößern, die bis zum 25.05.2018 komplett abgehakt sein muss.

Nach zweijähriger Übergangsfrist gilt vom 25.05.2018 an ohne Schonfrist die Datenschutz-Grundverordnung der EU (DSGVO). Die neuen Regeln sollen den Umgang mit Daten innerhalb der Europäischen Union vereinheitlichen, bringen aber auch in einigen Punkten Neuerungen und Verschärfungen, die in der Insolvenz- und Restrukturierungspraxis zu Erschwernissen führen können. Der neue erweiterte Datenschutz könnte also noch stärker als Bremsklotz wirken und eine Betriebsfortführung und einen Asset Deal unter ungünstigen Umständen behindern, im schlechtesten Fall sogar verhindern. Denn in einem Insolvenzverwalter könne man »durchaus eine ›Datenkrake‹ im kleinen Rahmen sehen«, spitzt Dipl.-Rechtspfleger Christian Stoffler zu, Datenschutzbeauftragter der Kanzlei Gerloff Liebler Rechtsanwälte, der selbst als Insolvenzverwalter tätig ist. Die Kanzlei bestellt seit zehn Jahren einen Datenschutzbeauftragten gem. §  4 f BDSG. Generell sind Insolvenzverwalterkanzleien gut beraten zu überprüfen, ob ihre Arbeitsabläufe den neuen Datenschutzbestimmungen entsprechen, da erhebliche Folgen für die Abwicklung von Insolvenzverfahren zu erwarten sind. Dies betrifft sowohl die Situation beim insolventen Unternehmen als auch die Arbeit in der Insolvenzkanzlei selbst.
Bei insolventen Unternehmen sieht die Praxis oft anders aus. Diese hätten häufig den Datenschutz nicht oder nicht hinreichend umgesetzt, sagt RA Marcus Vorast (Michels Insolvenzverwaltung Restrukturierung). Die Kanzlei hat seit Oktober 2015 einen Datenschutzbeauftragten bestellt. »Da die Schieflage des Unternehmens üblicherweise nicht über Nacht kommt, liegt der Fokus der Geschäftsführung vor Insolvenzanmeldung in der Regel auf operativen Themen, aber nicht auf Compliance-Themen, wie sie die Umsetzungspflichten des Datenschutzes mit sich bringen – erst recht nicht bei Umsetzungspflichten einer recht jungen Verordnung bzw. eines recht jungen Gesetzes. Datenschutzlecks können dann eine Betriebsfortführung unmöglich machen.«

Weitergabe von Personal-
daten bei Due Diligence

Für den Insolvenzverwalter kommt die ganz besondere Schwierigkeit dazu, dass er dies grundsätzlich nach Eröffnung eines Insolvenzverfahrens und dem Übergang der Verwaltungs- und Verfügungsbefugnis gem. § 80 InsO auch in den verwalteten Unternehmen überwachen und ggf. nachhalten muss. Stoffler: »Obgleich in diesem Zusammenhang unstreitig sein dürfte, dass dem Verwalter immer ein dem jeweiligen Verfahren angemessener Zeitraum zur Verfügung stehen muss, hier Maßnahmen zu ergreifen. Gleichwohl sollte man als Verwalter zu Beginn eines Verfahrens nicht über die Maßen zögern, Angaben zum Datenschutzmanagement im Unternehmen abzufragen.« Denn eigentlich zählen die Daten zu den wichtigen Assets eines Unternehmens. Zum Beispiel Kundendaten. Gerade hier liegen die größten Herausforderungen des Datenschutzes, der durch die neue DSGVO nun komplexer wird. Denn selbst wenn der Unternehmenserhalt erreichbar scheint und ein Asset Deal im Rahmen der Insolvenz angestrebt wird, besteht die Gefahr, dass sich der Datenschutz als hohe Hürde herausstellt. Relativ unproblematisch sollte ein Unternehmenserhalt im Rahmen eines Insolvenzplanverfahrens sein, da der Rechtsträger erhalten bleibt. Dadurch ergebe sich keine datenschutzrechtliche Fragestellung, weil sich auch in der Regel der vereinbarte Verarbeitungszweck der Daten nicht ändert, argumentiert RA Dr. Christian Gerloff (Gerloff Liebler Rechtsanwälte). Aber schon die Weitergabe oder Übermittlung von Personaldaten im Rahmen von Investorenprozessen erweist sich als ein echter »Dauer­brenner«. »Grundsätzlich unterliegen erhobene Daten einem Verarbeitungsverbot für nicht festgelegte, eindeutige und legitime Zwecke. Insoweit ergeben sich durch die DSGVO leider keine klärenden Regelungen. Die für den Verwalter sicherste Variante dürfte eine Einwilligungserklärung der betroffenen Arbeitnehmer sein«, so Stoffler. Viele Insolvenzverwalter befürchten jedoch mit Blick auf einen »enormen Zeitdruck«, der bei einer Unternehmensinsolvenz fast immer herrscht, dass Einwilligungen der von einer Datenspeicherung betroffenen Personen für etwa eine Due Diligence kaum einzuholen sind. »Der Aufwand für Anschreiben an eine Vielzahl von Personen ist groß, die Anzahl der Rückmeldungen wird gering sein«, glaubt Vorast. »Sollte sich die sog. Einwilligungs­lösung durchsetzen, kann die übertragende Sanierung in manchen Fällen aufgrund des logistischen Aufwands nicht mehr möglich sein.«

(…)

Diese Ausgabe bestellen » Bestellformular (PDF)

Ihr Draht zu uns

Sie wollen ein Probeheft, ein Abo oder ein Handbuch bestellen?

Ihr Unternehmen möchte eine Anzeige in einer unserer Publikationen schalten?

Schreiben Sie uns eine Mail
kundenservice@indat-report.de