Datenschutz nicht nur in der Insolvenzverwalterkanzlei: Warum drehen eigentlich alle durch? Ein Beitrag von Christian Weiß

DSGVO: Datenschutz in der Insolvenzverwalterkanzlei
Bild: Fotolia

Die Datenschutz-Grundverordnung (DSGVO) findet seit dem 25. Mai 2018 vollumfänglich Anwendung. Der Autor dieses Beitrags befasst sich u. a. als Referent von – wie man sich vorstellen kann – zur Zeit gut besuchten Seminaren auf der einen Seite „theoretisch“, aber mit Kanzlei-Kollegen auch praktisch seit geraumer Zeit mit dem Thema Datenschutz – insbesondere in der Schnittmenge zur Insolvenzverwaltung. Seiner Auffassung nach zeigt sich im Besonderen: Ein höherer Sanktionsrahmen von bis zu 20 Millionen Euro bzw. 4 % des Vorjahresumsatzes scheint dazu zu führen, dass das Thema Datenschutz neuerdings landläufig ernst genommen wird. Und zwar in einer Ausprägung, dass man sich fragen muss, ob es bis dato kein Bundesdatenschutzgesetz gegeben hat? Es verwundert zudem, dass der 25. Mai 2018 scheinbar „aus heiterem Himmel“ über Deutschland insgesamt und die hiesigen Insolvenzverwalter im Besonderen hereingebrochen zu sein scheint. Dabei ist die DSGVO bereits im April 2016 in Kraft getreten!

Und nicht nur über Deutschland. Über ganz Europa und auch unsere Nachbarn in der Schweiz: Ein Schweizer IT-Dienstleister hat seine Kunden zutreffenderweise darauf hingewiesen, dass selbst dort die erhöhten Anforderungen über die Behandlung personenbezogener Daten der DSGVO zu beachten seien, sofern die dort gehosteten Webseiten auch in Europa abrufbar seien. Das Internet ist gar weltweit! Vielleicht ein erstes Anzeichen dafür, dass die Intention des DSGVO-Gesetzgebers und die Realität eklatant auseinanderfallen? Dies nicht so ganz. Möglicherweise müssen wir uns an die mit der DSGVO eingetretene, vermeintlich neue, eher verschärfte, jedenfalls noch ungewohnte Datenschutz-Realität erst gewöhnen. Oder ist das neue Datenschutzrecht vielleicht kaum oder nur schwer räumlich und rechts-tatsächlich eingrenzbar? Alles Sträuben nützt nichts. Das Datenschutzrecht in Ausprägung der DSGVO und des BDSG 2018 ist zu beachten wie jedes andere Gesetz auch!

Fakt 1: Seit dem Inkrafttreten der DSGVO gab es nahezu zwei Jahre Zeit, die Kanzleien und deren Abläufe auf den 25. Mai 2018 vorzubereiten. Um dieses „gefährliche“ Datum herum war aber gar eine gewisse Art von „Stichtags-Aktionismus“ zu beobachten – und zwar branchenübergreifend: Banken, Versicherungen, größere Unternehmen, Apotheken, kleine Werbeagenturen und sonstige Freiberufler, (Reit-) Vereine… alle meinten sich plötzlich vor den 20 Millionen-Strafen schützen zu müssen. Nur wie? Teilweise wurden (selbst von einer Rechtsanwaltskammer) Webseiten einfach offline genommen, so als sei man sonst „infiziert“?! Die Politik forderte – gleichsam auch eine Art Aktionismus – am 24. Mai 2018 gar den Schutz vor Abmahnungen auf Grundlage der DSGVO bzw. vor Abmahnungen wegen Wettbewerbsverstößen. Theoretisch stellt sich in dem Zusammenhang bereits die Frage, wo der von einem Wettbewerber abzumahnende Wettbewerbsvorteil des anderen per Verstoß gegen Datenschutz-Normen sein soll. Dies dürfte nicht nur Einzelfallbetrachtung sein. Bereits nach altem Datenschutzrecht war darüber hinaus schon streitig, ob bzw. wegen welchen Datenschutzverstößen überhaupt abgemahnt werden konnte. Zwar soll es seit dem 25. Mai 2018 bereits einige „DSGVO-Abmahnungen“ gegeben haben, die Art. 77 ff. DSGVO enthalten jedoch eine abschließende Regelung zur Ahndung von datenschutzrechtlichen Verstößen. Im Ergebnis dürfte daher nach neuem Datenschutzrecht eher keine Flut von UWG-Abmahnungen zu erwarten sein.

Die sukzessive, fortschreibende und konkret individuelle Befassung mit dem Datenschutzrecht neuer Ausprägung ist jedoch mehr als ratsam: In den entsprechenden Artikeln der DSGVO sind bis zu 70 Öffnungsklauseln für das nationale Recht enthalten. Diese gestatten es den jeweiligen EU-Mitgliedsstaaten bspw. in den Bereichen Datenschutzbeauftragter (Art. 37 Abs. 4 DSGVO) oder Informationspflichten/Widerspruchsrechte pp. (Art 23 DSVO) konkretisierende, ergänzende oder/und abweichende Vorschriften zu normieren. Dies bedeutet letztlich, dass in der Insolvenzverwalterkanzlei zukünftig auch die Vorschriften des neuen Bundesdatenschutzgesetzes (BDSG 2018) ergänzend zu beachten sind; in vorgenannten Bereichen also insbesondere die §§ 32ff. BDSG 2018.

Was aber, wenn in der Insolvenzmasse bspw. Vermögenswerte in Österreich sind oder dort eine Niederlassung/Tochtergesellschaft eines insolventen deutschen Betriebes vorhanden ist? Österreich hat beispielsweise den Datenschutz (rechtzeitig vor Inkrafttreten der DSGVO) entschärft. Kurz gefasst sollen die meisten Datenschutzverstöße straffrei bleiben. Das „Abmahnwesen“ entsprechender öffentlicher Stellen wurde zudem finanziell „kalt gestellt“.

Wir werden als erstes Zwischenergebnis ganz im Zeichen eines vereinten Europa den neuen Gesetzesrahmen im Umgang mit personenbezogenen Daten kennenlernen, uns gar an ihn und ggf. in Ausprägung der jeweiligen nationalen Bundesdatenschutzgesetze zu gewöhnen haben. Jeder von uns. Unternehmer, Anwälte, Insolvenzverwalter und deren Mitarbeiter.

Fakt 2: Vieles steht heutzutage in datenschutzrechtlicher Hinsicht noch nicht fest. Kann es auch noch nicht: Google, Facebook und Co., Unternehmen wie DHL, Post, Ottoversand u. a. haben ganz andere unternehmerische Zuschnitte und Bezüge zu personenbezogenen Daten wie ein niedergelassener Apotheker, ein Reitlehrer oder eine Anwalts- bzw. Steuerberaterkanzlei. Es ist mit dem neuen Datenschutzrecht wie so oft im Leben: Dieses ist von den Unternehmen/Unternehmern, Insolvenzverwalterkanzleien pp. wie eine weitere Säule des Qualitätsmanagements einmal aufzusetzen und dann immer weiter fortzuentwickeln. Dies muss denknotwendigerweise in einem Team aus IT-ler, ggf. dem Qualitäts- und dem, sofern erforderlich und vorhanden, Datenschutzbeauftragten erfolgen.

Denn grundsätzlich als relativ sicher ist u. a. die Ausgestaltung als „Verbot mit Erlaubnisvorbehalt“: Personenbezogene Daten zu verwenden ist nach dem neuen Datenschutzrecht verboten – es sei denn, es ist ausnahmsweise zulässig (siehe Grafik oben, Stichwort „Zulässigkeit“).

Es empfiehlt sich zudem, zunächst die tatsächlichen technischen Gegebenheiten und Erfordernisse zu ermitteln. Was nützt mir bspw. ein Datenschutzhinweis zu einem Kontaktformular der Kanzlei, wenn sie auf der Webseite kein solches vorhält? Dies gilt entsprechend für Cookies, Facebook, Twitter und co. Verwendet die konkrete Kanzlei diese Social-Media-Kommunikations-Ebenen überhaupt? Nur dann müssen sie datenschutzrechtlich auch beachtet werden. Und zwar nach dem jeweiligen Stand der Technik; was auch für Verschlüsselungstechniken, Firewalls und Passwörter u. v. m. gilt (siehe Grafik oben, Stichwort „Standards/Zertifizierung“).

Daneben sollte jeder sensibel, jedenfalls sensibler, für den Umgang mit personenbezogenen Daten wie Namen, Geburtsdaten, aber auch personenbezogenen E-Mail-Adressen werden. Dem Stichwort „Organisation“ in der Grafik oben kann z. B. entnommen werden, dass Zugangs- und Zugriffvorkehrungen zu treffen sind. Dies kann „Marginalien“ wie die Entfernung des Schriftzuges „Server-Raum“ an eben diesem meinen, insbesondere aber auch die Implementierung von Passwortrichtlinien u. v. m.

Fakt 3: In Insolvenzverwalterkanzleien – da ist sich der Autor sicher – werden Daten und der Datenschutz auch in Zukunft dauerhaft einen besonderen Stellenwert finden: Daten sind heutzutage aus den schuldnerischen Betrieben nicht mehr wegzudenken. Oftmals stellen sie auch Vermögenswerte dar, die der Insolvenzverwalter (im Rahmen eines Asset-Deals) zu verwerten hat. Letztlich wird die datenschutzkonforme Abwicklung von Insolvenzverfahren sicherlich auch Gradmesser für eine qualitätsbewusste Insolvenzverwaltung auch bei den Gerichten sein. Kann dabei der sich nach dem Datenschutzrecht ordnungswidrig oder gar strafbar verhaltende Insolvenzverwalter sogar als „verbrannt“ gelten? Wir werden sehen. Ob dem Insolvenzverwalter bzw. seinem Team die Beschwerderechte des Betroffenen Schuldners/dessen Mitarbeiters nach der DSGVO die Abwicklung von Insolvenzverfahren erschweren, bleibt abzuwarten.

Hier ist ebenfalls vieles in Diskussion bzw. im Fluss. Beispielsweise die Frage, ob bzw. ab wann ein (vorläufiger) Insolvenzverwalter verantwortliche Stelle i. S. v. Art. 4 Nr. 7 DSGVO sein kann (dazu jüngst Thole, Der (vorläufige) Insolvenzverwalter als Verantwortlicher i. S. d. Art 4 Nr. 7 DSGVO – Insbesondere bei fehlender Inbesitznahme oder Freigabe von Daten und Datenträgern, ZIP 2018, 1001). Fragen über Fragen über weitere Fragen: Beispielsweise zur verschlüsselten Übersendung der Insolvenztabelle per E-Mail. Dazu kann auf Vorstehendes (Stichwort „Stand der Technik“) verwiesen und empfohlen werden, sich gemeinsam mit dem Kanzlei-IT-Verantwortlichen und entsprechenden Stellen am jeweiligen Insolvenzgericht in Verbindung zu setzen – und Lösungen zu erarbeiten. Man muss auch dort das Rad nicht neu erfinden. Beispielsweise bieten der Deutsche Anwaltverein u. a. Muster an, auf die man gut und gerne aufsetzen kann.

Fazit: Wir sind nun einmal im digitalen Zeitalter angekommen. Es ist an uns (Insolvenz-) Juristen, diese Herausforderung auch im Bereich des Datenschutzrechtes anzunehmen und mit zu entwickeln. Viel Erfolg und wenig unnötigen Aktionismus!

Über den Autor:

Christian Weiß ist Rechtsanwalt, Insolvenzverwalter und Fachanwalt für Insolvenzrecht am Kölner Standort von LEONHARDT RATTUNDE. Zudem ist er in der Insolvenzberatung, Prozess- und Verhandlungsführung tätig. Er ist Autor einer Vielzahl von Fachpublikationen, Kommentator im Nerlich/Römermann und Referent für Rechtsanwaltskammern, die Universität Lausanne u.a.

 

 

Buchtipp:

Weiß/Reisener
Datenschutz in der Insolvenzkanzlei
ZIP-Praxisbuch
2019. 322 Seiten
Broschur € 68,00
ISBN 978-3-8145-8242-9

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

%d Bloggern gefällt das: