Titelthema | INDat Report 02_2018 | April 2018
Ab 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO) mit hohen Bußgeldern uneingeschränkt
Köln. Die zum 25.05.2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) erfindet den Datenschutz nicht neu, wenngleich sie im Umgang mit personenbezogenen Daten einige Neuerungen und Konkretisierungen, aber auch deutliche Verschärfungen mit sich bringt. Die EU-Vorgaben erwecken vor allem deswegen den Eindruck eines Damoklesschwerts, da bei Verstößen erhebliche Bußgelder in Millionenhöhe drohen können, gegen die man sich nicht absichern kann. Ganz zu schweigen von den allgemeinen Risiken der sog. Abmahnindustrie, die leicht erkennbaren Versäumnissen, z. B. im Internetauftritt, nachgehen wird. Für die Insolvenz- und Restrukturierungspraxis sind es drei Komponenten, die ab Stichtag im Mai einwandfrei funktionieren müssen. 1. Die (Verwalter)kanzlei hat wie jedes andere Unternehmen den neuen Datenschutzregularien im Umgang mit personenbezogenen Daten zu folgen und einen Datenschutzbeauftragten (DSB) einzusetzen, wenn mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
2. Bei Betriebsfortführungen hat der Verwalter die insolventen Unternehmen in Bezug auf den Datenschutz zu überprüfen und fit zu machen. 3. Die EU-Vorgaben sind in die Spezifika der Insolvenzverwaltung und deren Abläufe, in die der Datenschutz hineinwirkt, zu implementieren. Das sind vor allem das Gläubigermanagement, die Auftragsdatenverarbeitung und der Asset Deal. Insgesamt ist erstaunlich, dass Fortbildungen für die spezifischen Datenschutzanpassungen in der Insolvenzpraxis rar gesät sind und erst wenige Monate vor der Scharfstellung der Verordnung überhaupt in den Programmen auftauchen. Leichte Aufgabe oder auf die leichte Schulter genommen? Wie gesagt, die DSGVO erfindet den Datenschutz nicht neu, rückt ihn aber so stark ins Bewusstsein, dass Versäumnisse aus der Vergangenheit plötzlich ans Tageslicht kommen können und die To-do-Liste ungeahnt vergrößern, die bis zum 25.05.2018 komplett abgehakt sein muss.
Nach zweijähriger Übergangsfrist gilt vom 25.05.2018 an ohne Schonfrist die Datenschutz-Grundverordnung der EU (DSGVO). Die neuen Regeln sollen den Umgang mit Daten innerhalb der Europäischen Union vereinheitlichen, bringen aber auch in einigen Punkten Neuerungen und Verschärfungen, die in der Insolvenz- und Restrukturierungspraxis zu Erschwernissen führen können. Der neue erweiterte Datenschutz könnte also noch stärker als Bremsklotz wirken und eine Betriebsfortführung und einen Asset Deal unter ungünstigen Umständen behindern, im schlechtesten Fall sogar verhindern. Denn in einem Insolvenzverwalter könne man »durchaus eine ›Datenkrake‹ im kleinen Rahmen sehen«, spitzt Dipl.-Rechtspfleger Christian Stoffler zu, Datenschutzbeauftragter der Kanzlei Gerloff Liebler Rechtsanwälte, der selbst als Insolvenzverwalter tätig ist. Die Kanzlei bestellt seit zehn Jahren einen Datenschutzbeauftragten gem. § 4 f BDSG. Generell sind Insolvenzverwalterkanzleien gut beraten zu überprüfen, ob ihre Arbeitsabläufe den neuen Datenschutzbestimmungen entsprechen, da erhebliche Folgen für die Abwicklung von Insolvenzverfahren zu erwarten sind. Dies betrifft sowohl die Situation beim insolventen Unternehmen als auch die Arbeit in der Insolvenzkanzlei selbst.
Bei insolventen Unternehmen sieht die Praxis oft anders aus. Diese hätten häufig den Datenschutz nicht oder nicht hinreichend umgesetzt, sagt RA Marcus Vorast (Michels Insolvenzverwaltung Restrukturierung). Die Kanzlei hat seit Oktober 2015 einen Datenschutzbeauftragten bestellt. »Da die Schieflage des Unternehmens üblicherweise nicht über Nacht kommt, liegt der Fokus der Geschäftsführung vor Insolvenzanmeldung in der Regel auf operativen Themen, aber nicht auf Compliance-Themen, wie sie die Umsetzungspflichten des Datenschutzes mit sich bringen – erst recht nicht bei Umsetzungspflichten einer recht jungen Verordnung bzw. eines recht jungen Gesetzes. Datenschutzlecks können dann eine Betriebsfortführung unmöglich machen.«
Weitergabe von Personal-
daten bei Due Diligence
Für den Insolvenzverwalter kommt die ganz besondere Schwierigkeit dazu, dass er dies grundsätzlich nach Eröffnung eines Insolvenzverfahrens und dem Übergang der Verwaltungs- und Verfügungsbefugnis gem. § 80 InsO auch in den verwalteten Unternehmen überwachen und ggf. nachhalten muss. Stoffler: »Obgleich in diesem Zusammenhang unstreitig sein dürfte, dass dem Verwalter immer ein dem jeweiligen Verfahren angemessener Zeitraum zur Verfügung stehen muss, hier Maßnahmen zu ergreifen. Gleichwohl sollte man als Verwalter zu Beginn eines Verfahrens nicht über die Maßen zögern, Angaben zum Datenschutzmanagement im Unternehmen abzufragen.« Denn eigentlich zählen die Daten zu den wichtigen Assets eines Unternehmens. Zum Beispiel Kundendaten. Gerade hier liegen die größten Herausforderungen des Datenschutzes, der durch die neue DSGVO nun komplexer wird. Denn selbst wenn der Unternehmenserhalt erreichbar scheint und ein Asset Deal im Rahmen der Insolvenz angestrebt wird, besteht die Gefahr, dass sich der Datenschutz als hohe Hürde herausstellt. Relativ unproblematisch sollte ein Unternehmenserhalt im Rahmen eines Insolvenzplanverfahrens sein, da der Rechtsträger erhalten bleibt. Dadurch ergebe sich keine datenschutzrechtliche Fragestellung, weil sich auch in der Regel der vereinbarte Verarbeitungszweck der Daten nicht ändert, argumentiert RA Dr. Christian Gerloff (Gerloff Liebler Rechtsanwälte). Aber schon die Weitergabe oder Übermittlung von Personaldaten im Rahmen von Investorenprozessen erweist sich als ein echter »Dauerbrenner«. »Grundsätzlich unterliegen erhobene Daten einem Verarbeitungsverbot für nicht festgelegte, eindeutige und legitime Zwecke. Insoweit ergeben sich durch die DSGVO leider keine klärenden Regelungen. Die für den Verwalter sicherste Variante dürfte eine Einwilligungserklärung der betroffenen Arbeitnehmer sein«, so Stoffler. Viele Insolvenzverwalter befürchten jedoch mit Blick auf einen »enormen Zeitdruck«, der bei einer Unternehmensinsolvenz fast immer herrscht, dass Einwilligungen der von einer Datenspeicherung betroffenen Personen für etwa eine Due Diligence kaum einzuholen sind. »Der Aufwand für Anschreiben an eine Vielzahl von Personen ist groß, die Anzahl der Rückmeldungen wird gering sein«, glaubt Vorast. »Sollte sich die sog. Einwilligungslösung durchsetzen, kann die übertragende Sanierung in manchen Fällen aufgrund des logistischen Aufwands nicht mehr möglich sein.«
(…)
Editorial | Peter Reuter | INDat Report 02_2018 | April 2018
Auf dem letzten Drücker
Mitte 2015 gab es ein nervöses Zucken unter den Insolvenzverwaltern. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte einen Verkäufer und einen Käufer eines Unternehmens im Zuge eines Asset Deals wegen des Verstoßes gegen datenschutzrechtliche Vorschriften im Umgang mit Kundendaten mit Bußgeldern in fünfstelliger Höhe belegt. »Um die Sensibilität der Unternehmen zu erhöhen, werden wir auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden«, kündigte der Präsident des BayLDA an.
Und, ist die Sensibilität gewachsen? Zumindest nach der Verhängung dieser Bußgelder war der Umgang mit personenbezogenen Daten in Insolvenzverfahren und bei Asset Deals ein Thema, doch es dauerte nicht lange, bis der Datenschutz wieder aus dem Blickwinkel verschwand.
Nun steht die Datenschutz-Grundverordnung (DSGVO) vor der Tür. Sie könnte die Sensibilität dauerhaft steigern, denn die Bußgelder erhöhen sich von bisher Hunderttausenden Euro auf Millionen Euro. Wenn der Verantwortliche z. B. eine sog. Datenpanne der Aufsichtsbehörde nicht meldet, kann das 2 Mio. Euro kosten.
Wie es mit der Installation eines Datenschutzmanagementsystems und der Berufung eines Datenschutzbeauftragten aussieht, diese Fragen beantworteten Verwalter – vertraulich – vor noch gar nicht so langer Zeit mit »ehrlich, keine Ahnung«. Die DSGVO gilt ab dem 25.05.2018, die Übergangszeit lief in den vergangenen zwei Jahren. Externe Datenschutzbeauftragte sind zulässig, doch der Markt dieser Experten ist leer gefegt. Für die Aufsicht sind die Landesämter zuständig, doch auf ihre Überlastung zu spekulieren, wäre mindestens fahrlässig. Zu dem 2015 publik gemachten Fall erklärte das BayLDA, dass zu dieser Art Verstößen regelmäßig Beschwerden Betroffener eingehen.
Noch einmal zum Asset Deal: Sollte dieser infolge der DSGVO deutlich erschwert oder sogar blockiert werden und der Insolvenzplan wegen der ungeklärten Lage zum Sanierungserlass weiterhin nicht praktikabel sein, dann kann es wohl für Verwalter nur heißen: Not macht erfinderisch.
Inhaltsverzeichnis
| 3 | Editorial |
| 6 | Namen & Nachrichten |
| 9 | INDat Barometer I |
| 10 | Titel Ab 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO) mit hohen Bußgeldern uneingeschränkt DSGVO bringt Schärfe in die Insolvenzpraxis |
| 20 | Verwalter & Kanzleien RA Martin Mucha (Grub Brugger) Weniger einsamer Entscheider, mehr Kommunikator mit allen |
| 24 | Im Gespräch MinDir Marie Luise Graf-Schlicker Kontroversen mit Dankesbriefen belohnt |
| 32 | Hintergrund: RLE präventive Restrukturierungsrahmen Drei Jahre mit mehr Auflagen |
| 34 | Kongresse & Tagungen 15. Deutscher Insolvenzrechtstag in Berlin Lösungen für kleine und ganz große Pläne |
| 48 | Jahrestagung Zwangsverwaltung in Berlin Versicherungskeule und Datenschutzdruck |
| 52 | Im Gespräch RA Rolf Rombach Insolvenzen von Fußballdrittligisten Schnell mit Plan auf Ausgliederung setzen |
| 56 | Kongresse & Tagungen BDU-Fachkonferenz Sanierung in Königswinter Verwalter 4.0 und riskanter Superzyklus |
| 60 | Statistik Top 30 Verwalter, Top 30 Kanzleien, Top 10 Gerichte |
| 61 | INDat Barometer II |
| 65 | Veranstaltungen |
| 66 | Anzeigenübersicht, Impressum |