128 14 3MB
German Pages 358 Year 2020
Weiß/Reisener Datenschutz in der Insolvenzkanzlei
ZRI Praxisbuch 13
Datenschutz in der Insolvenzkanzlei 2., überarbeitete Auflage
von RA/FA InsR/Insolvenzverwalter Christian Weiß, Köln
und Wirtschaftsjurist/LL.M./Zert. u. betrieblicher Datenschutzbeauftragter und zert. Datenschutzauditor Nico Reisener, Berlin
RWS Verlag Kommunikationsforum GmbH & Co. KG Köln
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
© 2020 RWS Verlag Kommunikationsforum GmbH & Co. KG Postfach 27 01 25, 50508 Köln E-Mail: [email protected], Internet: http://www.rws-verlag.de Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion, der Vervielfältigung auf fotomechanischem oder anderen Wegen und der Speicherung in elektronischen Medien. Satz und Datenverarbeitung: SEUME Publishing Services GmbH, Erfurt Druck und Verarbeitung: Hundt Druck GmbH, Köln
Vorwort zur 2. Auflage „…Die DS-GVO ist geschaffen worden, um die „Rechte und Freiheiten des Einzelnen“ zu schützen…. In jedem Fall hat die Sensibilität für das Thema zugenommen. Das kann man auf der Habenseite bereits als Erfolg der DS-GVO verbuchen…“, so Bundesinnenminister Horst Seehofer in seinem Grußwort zur 43. Datenschutzfachtagung der GDD e. V. Die dahingehende – praktische und pragmatische, möglichst unbürokratische – Umsetzung ist sozusagen naturgemäß nach rd. zweieinhalb Jahren neuen Datenschutzrechts immer noch in vollem Gange; insbesondere für den Anwender der optimalerweise zeitgleich möglichst rechtssicheren Umgang mit dem (heute nicht mehr ganz so „neuen“) Datenschutzrecht. Und namentlich für die Anwender in der Insolvenzkanzlei. Denn nach wie vor ist es so, dass den Datenschutzexperten an sich die Besonderheiten eines krisösen oder gar insolventen Unternehmens unklar sind oder gar sein müssen. Ganz zu schweigen von Instrumentarien wie der insolvenzrechtlichen Freigabe, Masseunzulänglichkeit und vielem mehr. Von der Denk-/Arbeitsweise eines Sanierungsberaters oder/und Interimsmanagers ganz zu schweigen. Der viel zu früh verstorbene Kollege Prof. Rolf Rattunde stand nicht nur dem Datenschutzrecht in Ausprägung der DSGVO mehr als offen gegenüber; was sich auch in seinen diesbezüglichen Vorträgen zeigte. Er hat die Autoren dieses Werkes immer wieder ermutigt, der Sanierungs- und Insolvenzszene die Besonderheiten in der Schnittmenge zum Datenschutzrecht offenzulegen. Sei es in Form von Vorträgen oder Publikationen, aber auch im Rahmen von Beratungen. Insolvenzverwalter sowie Mitarbeiter hat er oftmals ermahnt, dem Datenschutzrecht an sich indes die nötige Aufmerksamkeit zu schenken: Zugunsten einer modernen und bestmöglichen Insolvenzverwaltung – letztlich gar als Compliance-Ausprägung für Kanzlei und betroffenen Betrieb. In dem Sinne bietet die vorliegende zweite Auflage dem Leser und somit Praktiker in der Schnittmenge aus Insolvenz- und Datenschutzrecht neben der erforderlichen Aktualisierung der bisherigen Themen der ersten Auflage insgesamt – insbesondere aus der spezialisierten Beratungspraxis der Autoren für Kanzleien, Mandatsträger, aber auch Datenschutzbeauftragte und Sanierungsberater – einen inhaltlichen Mehrwert: Die aktuelle Auflage stellt eine Gesamtdarstellung der sich bisher abzeichnenden Entwicklung im Datenschutzrecht allgemein/mit Insolvenzbezug im Besonderen dar. Ausführungen zur Übertragung von Kundendaten vervollständigen den Inhalt. Dem schließt sich nunmehr u. a. ein korrespondierender Exkurs zu Praxisstrategien in der Verteidigung gegen Aufsichts-/sonstige/ Bußgeldverfahren wegen (nicht selten auch nur von dritter Seite behaupteten) Datenschutzverstößen an. Ein weiterer Überblick zum Datenschutzstrafrecht V
Vorwort zur 2. Auflage
und natürlich zur vergütungsrechtlichen Einordnung der Befassung mit datenschutzrechtlichen Belangen runden die zweite Auflage ab. Der Exkurs zum Datenschutz im Nachlassinsolvenzverfahren sowie eine Übersicht zu den Fristen der DSGVO komplettieren die Praxis-Schnittmenge der Leserschaft dieses ZRI-Praxisbuches. Die sich seit der ersten Auflage inzwischen abzeichnende (instanz-)gerichtliche Rechtsprechung, aber auch die z. B. des BVerfG zum „Recht auf Vergessenwerden“ vom 6.11.2019, ist berücksichtigt, soweit sie für die Insolvenzkanzlei bzw. deren (externe) Datenschutzbeauftragen nach Auffassung der Autoren von Mehrwert ist. Auch das Stichwortverzeichnis wurde erweitert, was dem Praktiker aus der Insolvenzkanzlei das Einfinden in das Datenschutzrecht noch mehr erleichtert. Daher findet der Leser nunmehr auch Schlagworte wie „beA“, „Influencer“ oder „Bitcoin“. Nach wie vor sind die Leser herzlich eingeladen, die in Zukunft noch andauernde Entwicklung des „Datenschutzes in der Insolvenzkanzlei“ mitzugestalten, indem sie Fragen stellen, Meinungen mitteilen etc.! Gerne über den Verlag, aber auch per E-Mail: [email protected]. In die LR Datenschutz GmbH mit Sitz in Köln ist das Spezialwissen der Autoren eingeflossen; vor allem um anderen Unternehmen, insbesondere aber Sanierungsberatern und Insolvenzverwaltern im o. g. Sinne bei Bedarf effektiv weiterhelfen zu können.
Köln/Berlin, im August 2020
VI
Christian Weiß Nico Reisener
Vorwort zur 2. Auflage von Prof. Dr. Rolf Schwartmann In einem stillgelegten und verlassenen Krankenhaus in Büren hatte man augenscheinlich Akten vergessen. Ein Youtuber bekam einen Tipp über den „vergessenen Ort“ und spazierte hinein, um danach ein Video über das Krankenhaus und die Akten zu veröffentlichen. Frei zugängliche offene Krankenakten in einem stillgelegten Krankenhaus sind eine ausgewachsene Datenpanne. Wer haftet? Die seit 2010 insolvente Klinik ist lange geschlossen. Sie steht im Eigentum einer Grundstücksgesellschaft, die einer KlinikenAG gehört. Diese weist die Verantwortung für die Datenpanne von sich und verweist auf den Insolvenzverwalter. Er sei für die sichere Verwahrung ordnungsgemäße Entsorgung und Lagerung der Krankenakten im Inventar des Krankenhauses verantwortlich. Der Fall ist außergewöhnlich und spektakulär, aber er macht eines deutlich: Als Insolvenzverwalter sollte man den Datenschutz im Auge haben. Dabei macht das vorliegende Werk von Christian Weiß und Nico Reisener deutlich, dass der Datenschutz in der Insolvenz weit vor den Problemen ins Spiel kommt, die in Büren prominent geworden sind. Allen, die sich beruflich mit diesem Bereich befassen, kann ein Blick in das Buch helfen. Es arbeitet die Naht- und Verbindungsstellen des Insolvenzrechts zur DS-GVO heraus und leitet praxisorientiert durch die Materie. Es erklärt Hintergründe, legt den Fokus mit Hilfe von Beispielsfällen auf die Probleme der Praxis und bietet Antworten auf Fragen des Rechtsanwenders.
Köln, im August 2020
Prof. Dr. Rolf Schwartmann Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (e. V.)
VII
Inhaltsverzeichnis Rn.
Seite
Vorwort zur 2. Auflage .................................................................................. V Vorwort zur 2. Auflage von Prof. Dr. Rolf Schwartmann ...................... VII Literaturverzeichnis .................................................................................... XIX A. Einleitung ..................................................................................... 1 ........ 1 I.
Intention des Buches .................................................................... 2 ........ 1
II. Aufbau des ZRI Praxisbuches ...................................................... 6 ........ 3 B. Die bedeutendste Datenschutzvorschrift Europas – die DSGVO .................................................................................. 8 ........ 5 I.
Fiktive Beispiele mit datenschutzrechlichem Bezug aus einer Anwaltskanzlei .............................................................................. 9 ........ 5
II. Nicht nur Insolvenzverfahren 4.0, sondern auch ComplianceBaustein ....................................................................................... 10 ........ 7 III. Und nun lieber Insolvenzverwalter? Zwischen Baum und Borke? ......................................................................................... 1. „Beispielunternehmen 1“ .................................................... 2. „Beispielunternehmen 2“ .................................................... 3. Vorweggenommenes Zwischenergebnis ............................
15 16 17 18
........ ........ ........ ........
8 9 9 9
C. Überblick zum Datenschutzrecht ........................................... 21 ...... 11 I.
Rechtsnormen des Datenschutzrechts ...................................... 22 ...... 11
II. Datenschutzrechtliche Grundsätze ........................................... 1. Anwendungsbereich der Datenschutzgesetze ................... 2. Verantwortlicher für den Umgang mit Daten ................... 3. Verbot mit Erlaubnisvorbehalt ........................................... a) Grundsätzliches (Art. 6 Abs. 1 DSGVO) .................. b) Die einzelnen Erlaubnistatbestände des Art. 6 Abs. 1 Satz 1 DSGVO in Kürze und mit insolvenzrechtlichem Kontext .................................................... 4. Das Transparenzgebot und die Rechenschaftspflicht des Datenschutzrechts ........................................................ 5. Der Grundsatz der Datensparsamkeit und Datenvermeidung, Pseudonymisierung und Anonymisierung ........
29 30 40 47 48
...... ...... ...... ...... ......
17 17 20 22 22
49 ...... 23 59 ...... 29 63 ...... 30
IX
Inhaltsverzeichnis Rn.
6.
Seite
Erweiterte Betroffenenrechte, insbesondere das Recht auf Auskunft, Vergessenwerden und Datenportabilität ... 69 ...... 32
III. Erstes Zwischenergebnis für die Insolvenzverwalterkanzlei und weitere Problemfelder ......................................................... 78 ...... 35 IV. Strafbarkeit, Bußgelder und Schadensersatz ............................. 1. § 42 BDSG 2018 .................................................................. 2. Sonstige infrage kommende Strafvorschriften .................. 3. Exkurs: Der (immaterielle) Schadensersatzanspruch nach Art. 82 DSGVO ..................................................................
80 ...... 37 82 ...... 37 85 ...... 38 89 ...... 40
V. Zur Beweislast und Sonstiges ..................................................... 95 ...... 42 VI. Befugnisse der Datenschutzbehörde (insbesondere nach Art. 58 DSGVO) ...................................................................... 100 ...... 44 D. Zwischenzeitliche Erfahrungen mit der DSGVO ............... 102 ...... 47 I.
Aufsichtsbehörden verzweifeln am neuen Datenschutzrecht ........................................................................................... 103 ...... 47
II. Befürchtete Abmahnwelle blieb weiterhin aus ....................... 111 ...... 50 III. EuGH entscheidet zur gemeinsamen Verantwortlichkeit ..... 119 ...... 52 E.
Aus der Praxis – Datenschutz in der Kanzlei ....................... 123 ...... 55
I.
Allgemeines ............................................................................... 129 ...... 57
II. Datenschutzbeauftragter .......................................................... 1. Pflichtbenennung und/oder freiwillige Benennung ........ a) Öffentliche Stellen ..................................................... b) Nicht öffentliche Stellen ........................................... c) Nutzung der Konkretisierungsklausel durch § 38 BDSG ................................................................. d) Kündigungsschutz und Grundsätze für den Datenschutzbeauftragten .................................................... aa) Kündigungsschutz ............................................ bb) Verschwiegenheitspflicht ................................. cc) Zeugnisverweigerungsrecht .............................. 2. Wer kann zum Datenschutzbeauftragten benannt werden? .............................................................................. a) Anforderungen an einen Datenschutzbeauftragten ........................................................................ b) Konflikt mit einer anderen Tätigkeit ........................ c) Interner oder externer Datenschutzbeauftragter .... 3. Welche Aufgaben hat der Datenschutzbeauftragte? ....... a) Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten ................................................
X
135 140 141 142
...... ...... ...... ......
59 61 61 61
148 ...... 64 150 152 155 156
...... ...... ...... ......
64 65 65 66
158 ...... 66 159 163 164 171
...... ...... ...... ......
66 67 68 69
172 ...... 69
Inhaltsverzeichnis Rn.
4.
b) Überwachung der Einhaltung von Datenschutzvorschriften ................................................................ c) Durchführung der Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO ............................................. d) Zusammenarbeit mit der Aufsichtsbehörde ............ e) Schulung der Mitarbeiter ........................................... f) Führen des Verzeichnisses von Verarbeitungstätigkeiten .................................................................. g) Keine Aufgaben des Datenschutzbeauftragten ........ Sanktion bei Nichtbeachtung ...........................................
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ........................................................................ 1. Dokumentation des Umgangs mit personenbezogenen Daten ................................................................................. 2. Öffentliches und internes Verzeichnis bis zum 25. Mai 2018 ....................................................................... 3. Kein öffentliches Verzeichnis (mehr) seit 25. Mai 2018 ....................................................................... 4. Ausnahmen von der Verpflichtung zum Führen eines Verzeichnisses .......................................................... 5. Pflicht des Verantwortlichen und des Auftragsverarbeiters ........................................................................ 6. Einsichtsrecht der Aufsichtsbehörden ............................. 7. Inhalt des Verzeichnisses von Verarbeitungstätigkeiten .......................................................................... 8. Sanktion bei Nicht- oder Falscherstellung ...................... IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ........................................................................ 1. Schutzmaßnahmen nach dem Stand der Technik ........... 2. Ergreifung von Sicherheitsmaßnahmen ........................... a) Pseudonymisierung ................................................... b) Verschlüsselung ......................................................... c) Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme .......... aa) Vertraulichkeit .................................................. bb) Integrität ............................................................ cc) Verfügbarkeit und Belastbarkeit ...................... dd) Dauerhafte Sicherstellung des Datenschutzniveaus ............................................................... d) Wiederherstellbarkeit der Verfügbarkeit .................. 3. Risikoabschätzung bzw. Risikoabwägung ....................... a) Rechte und Freiheiten des Betroffenen .................... b) Begriff des Risikos .....................................................
Seite
175 ...... 70 180 ...... 71 187 ...... 72 188 ...... 73 189 ...... 73 191 ...... 73 192 ...... 74 193 ...... 74 196 ...... 75 203 ...... 76 205 ...... 77 206 ...... 77 213 ...... 78 215 ...... 79 217 ...... 79 221 ...... 80 222 225 228 229 233
...... ...... ...... ...... ......
81 82 83 83 84
236 238 242 245
...... ...... ...... ......
85 86 87 87
248 251 254 255 257
...... ...... ...... ...... ......
88 89 89 90 90
XI
Inhaltsverzeichnis Rn.
Seite
c) Arten von Risiken ...................................................... d) Risikoanalyse .............................................................. aa) Identifikation der Risiken ................................ bb) Einschätzung der Eintrittswahrscheinlichkeit ..................................................................... cc) Schwere des Risikos (Schadensausmaß) .......... Vorgaben aus § 64 BDSG ................................................. a) Zugangskontrolle ....................................................... b) Zugriffskontrolle ....................................................... c) Trennungskontrolle ................................................... d) Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO) ................................ e) Weitergabekontrolle .................................................. f) Eingabekontrolle ....................................................... g) Verfügbarkeitskontrolle ............................................ h) Zuverlässigkeit und Belastbarkeit ............................. i) Datenschutzmanagementsystem .............................. j) Reaktionsmanagement .............................................. k) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) .......................................... l) Auftragskontrolle ......................................................
262 ...... 92 263 ...... 92 265 ...... 93
V. Weitere interne Maßnahmen für den Datenschutz ................ 1. Auftragsverarbeiter ........................................................... 2. Klärung hinsichtlich der privaten Nutzung des E-Mail-Accounts u. Ä. ............................................... a) Private Nutzung – erlaubt oder geduldet ................. aa) Gegenläufige Ansichten ................................... bb) Interessenabwägung .......................................... cc) Verhältnismäßigkeit des Zugriffs ..................... b) Exkurs: Kein Arbeitgeberzugriff auf gemischt genutzten Facebook-Account .................................. c) Private Nutzung verbieten oder einschränken ........ 3. Regelung der Internetnutzung ......................................... 4. Schaffung eines Löschungskonzepts ............................... 5. Prüfung der Archivierung und Aufbewahrung ............... a) E-Mail-Archivierung ................................................. b) Altverfahren ............................................................... 6. Vernichtung von Datenträgern ........................................ 7. Regelungen für Notebooks und Handys ......................... 8. Sensibilisierung der Mitarbeiter .......................................
320 .... 109 320 .... 109
4.
269 272 275 278 283 288
...... 95 ...... 95 ...... 97 ...... 98 ...... 99 .... 101
291 292 298 301 304 306 313
.... .... .... .... .... .... ....
101 102 103 104 105 105 107
315 .... 107 317 .... 108
325 326 327 329 330
.... .... .... .... ....
110 111 111 111 112
333 334 336 339 345 347 352 356 362 367
.... .... .... .... .... .... .... .... .... ....
112 113 113 114 115 116 117 118 120 121
VI. Rechte Betroffener ................................................................... 370 .... 123 1. Allgemeines ....................................................................... 373 .... 123
XII
Inhaltsverzeichnis Rn.
2.
3.
4. 5.
6. 7. 8.
Informationsrechte des Betroffen bzw. Informationspflichten des Verantwortlichen ........................................ a) Informationspflicht bei Direkterhebung ................. aa) Art und Weise der Informationserteilung ....... bb) Inhalt der Informationspflichten ..................... cc) Information bei Weiterverarbeitung zu einem anderen Zweck .................................................. dd) Ausnahmen von der Informationspflicht ........ b) Informationspflicht bei Erhebung bei einem Dritten ........................................................................ aa) Kategorien personenbezogener Daten ............ bb) Benennung der Quelle ...................................... cc) Art und Weise der Informationserteilung ....... dd) Information bei Weiterverarbeitung zu einem anderen Zweck ....................................... ee) Ausnahmen von der Informationspflicht ........ c) Informationspflicht bei einer Datenpanne ............... aa) Pflicht zur Meldung gegenüber der Aufsichtsbehörde .............................................................. (1) Datenschutzverletzung – Datenpanne ..... (2) Meldefrist und Form der Meldung ........... (3) Inhalt der Meldung .................................... (4) Ausnahme aufgrund der Risikoabwägung ................................................... bb) Dokumentation ................................................. d) Pflicht zur Benachrichtigung des Betroffenen ......... e) Zwischenfazit ............................................................. Auskunftsrecht .................................................................. a) Art und Weise der Auskunftserteilung .................... b) Frist und Kosten der Auskunftserteilung ................ c) Inhalt der Auskunftserteilung .................................. Recht auf Berichtigung ..................................................... Recht auf Löschung .......................................................... a) Voraussetzungen für Pflicht zur Löschung ............. b) Recht auf Vergessenwerden ...................................... c) Antrag auf Löschung ................................................. d) Ausnahmen von der Löschungspflicht ..................... Recht auf Einschränkung .................................................. Recht auf Datenübertragbarkeit ....................................... Widerspruchsrecht ............................................................
VII. Bewerbung als Insolvenzverwalter bei Gericht ....................... 1. Antrag auf Aufnahme zur Vorauswahlliste ..................... 2. Mitarbeiterdaten – personenbezogene Daten? ................ 3. Rechtmäßigkeit der Übermittlung ................................... 4. Einwilligung der Mitarbeiter ............................................
381 384 385 391
Seite
.... .... .... ....
125 125 126 128
397 .... 129 399 .... 130 404 405 408 409
.... .... .... ....
131 131 132 132
410 .... 132 411 .... 133 416 .... 134 418 419 423 426
.... .... .... ....
135 135 136 137
428 432 437 446 450 453 456 458 461 464 465 467 468 469 471 474 475
.... .... .... .... .... .... .... .... .... .... .... .... .... .... .... .... ....
138 139 140 141 143 143 144 145 146 147 147 148 148 149 149 150 150
485 485 487 489 491
.... .... .... .... ....
153 153 153 153 154
XIII
Inhaltsverzeichnis Rn.
Seite
F.
Datenschutz im Antragsverfahren ........................................ 495 .... 157
I.
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ...................... 1. Begriffsbestimmung .......................................................... a) Verantwortlicher ........................................................ b) Dritter ........................................................................ c) Auftragsverarbeiter .................................................... 2. Einordnung Insolvenzverwalter nach seiner jeweiligen Funktion ............................................................................ a) Arten der Daten und Zweck ihrer Erhebung ........... b) Einordnung vorläufiger Insolvenzverwalter ............ aa) Betrachtung hinsichtlich der Unternehmensdaten .................................................................. bb) Betrachtung hinsichtlich der Verfahrensdaten .................................................................. cc) Auftragsverarbeitung ........................................ dd) Verantwortlicher ............................................... c) Einordnung Insolvenzverwalter ............................... d) Einordnung Sachverständiger ................................... e) Einordnung (vorläufiger) Sachwalter ....................... 3. Datenschutzrechtliche Pflichten des Insolvenzverwalters ........................................................................... 4. Unterstützung durch den Gesetzgeber bzw. die Insolvenzgerichte ........................................................ a) Beschränkungen der Betroffenenrechte durch den Gesetzgeber ........................................................ b) Auftragsvereinbarung für die Insolvenzgerichte ..... 5. Zwischenfazit ....................................................................
II. Datensituation beim Schuldner ............................................... 1. Bestandsaufnahme: Daten beim Schuldner ..................... a) Wo befinden sich welche Daten und um welche Datenkategorien handelt es sich? ............................. b) Wer hat Zugriff auf diese Daten? Wie lauten die Zugangsdaten? ..................................................... c) Wie sind diese Daten erhoben worden? ................... 2. Sichtung Verzeichnis von Verarbeitungstätigkeiten ....... 3. Datenschutzbeauftragter im schuldnerischen Unternehmen .................................................................... 4. Sichtung Datenschutzmanagement .................................. 5. Auftragsverarbeitung mit Dienstleister bzw. Schuldner als Auftragsverarbeiter ...................................................... 6. Datenpannen und Meldungen Betroffener ...................... 7. Datensicherung ................................................................. a) „Daten auf dem Stick“ ............................................... b) Datenübertragung ......................................................
XIV
499 502 504 508 510
.... .... .... .... ....
158 158 159 160 160
519 .... 162 520 .... 163 523 .... 164 523 .... 164 525 527 536 539 542 546
.... .... .... .... .... ....
164 165 168 168 170 171
548 .... 171 552 .... 172 553 .... 172 559 .... 174 562 .... 174 565 .... 175 567 .... 175 568 .... 176 572 .... 177 575 .... 177 577 .... 178 581 .... 179 586 .... 180 589 593 597 601 607
.... .... .... .... ....
180 181 182 183 184
Inhaltsverzeichnis Rn.
8.
c) Beachtung Rechte Betroffener .................................. Vorbereitungen zur übertragenden Sanierung ................ a) Datenschutzrechtliche Prüfung der Daten für den Datenraum .......................................................... b) Mitarbeiterdatenschutz ............................................. c) Nutzung eines Dienstleisters für Due Diligence .....
Seite
609 .... 184 615 .... 186 617 .... 187 619 .... 187 624 .... 188
G. Sachverständigengutachten ................................................... 626 .... 191 I.
Allgemeines ............................................................................... 626 .... 191
II. Grundsatz Datensparsamkeit .................................................. 1. Datenfluss .......................................................................... 2. Großer Empfängerkreis .................................................... 3. Zweck des Gutachtens ......................................................
632 635 638 643
.... .... .... ....
192 193 193 194
H. Datenschutz im eröffneten Verfahren .................................. 646 .... 197 I.
Situation für den Insolvenzverwalter ...................................... 646 .... 197
II. Haftung für „Altlasten“ und Weiterverarbeitung ................... 1. „Altlasten“ vor Verfahrenseröffnung ............................... 2. „Altlasten“ nach Verfahrenseröffnung ............................ a) Stilllegung aus rechtlichen Gründen ......................... b) Stilllegung aus wirtschaftlichen Gründen ................ 3. Sonderfall Eigenverwaltung ..............................................
650 653 654 655 656 658
.... .... .... .... .... ....
198 199 199 199 200 200
III. Betriebsfortführung im eröffneten Verfahren ........................ 1. Fortführung nach Verfahrenseröffnung und interne Maßnahmen ....................................................................... a) Benennung DSB ......................................................... b) Risikobetrachtung der datenschutzrechtlichen Grundlagen ................................................................ c) Prüfung Verzeichnis und Datenschutzmanagement ............................................................................ 2. Sanierung des schuldnerischen Unternehmens ............... a) Insolvenzplan ............................................................. b) Share Deal .................................................................. c) Übertragende Sanierung mit Asset Deal .................. aa) Übertragung mit Vertragsübernahme ............. bb) Übertragung mit Einwilligung ......................... (1) Einwilligung ............................................... (2) Probleme bei der Einwilligungseinholung ................................................... (3) Erfordernis der Einwilligung für bestimmte Daten ....................................... (4) Möglicher Lösungsweg bei einer Einwilligung ...............................................
662 .... 201 663 .... 202 664 .... 202 667 .... 203 669 675 685 688 689 699 704 705
.... .... .... .... .... .... .... ....
203 205 207 207 208 211 213 213
710 .... 214 715 .... 215 720 .... 216 XV
Inhaltsverzeichnis Rn.
3.
4. 5.
d) Übertragung wegen rechtlicher Verpflichtung ........ e) Übertragung mit berechtigtem Interesse ................. aa) Zweckänderung ................................................. bb) Interessenabwägung .......................................... cc) Widerspruchslösung ......................................... dd) Prüfung bei anstehender Übermittlung ........... Verwertung von Anlagevermögen (Hardware) ............... a) Beauftragung Verwerter ............................................ b) Verwertung der Hardware ........................................ Online- und Cloudzugänge .............................................. Online-/Gläubigerinformationssysteme und Cloudzugänge .............................................................................. a) Grundsätzliche Zulässigkeit der Gläubigerinformation ................................................................ b) Datenpflege im Gläubigerinformationssystem ........ c) Erweiterung der Datenschutzerklärung und Auftragsverarbeitung .................................................
728 731 733 737 741 750 751 752 755 760
Seite
.... .... .... .... .... .... .... .... .... ....
219 220 220 221 223 226 226 226 227 228
762 .... 229 763 .... 229 766 .... 230 770 .... 231
I.
Praxisstrategien zur Verteidigung gegen Aufsichts- und sonstige Verfahren wegen Datenschutzverstößen .............. 774 .... 233
I.
Eine kleine Feldstudie .............................................................. 775 .... 233
II. Der Status quo aus der Beratungs- und Behördenpraxis ........ 776 .... 233 III. Das behördliche bzw. verwaltungsgerichtliche Verfahren ..... 780 .... 235 J.
Datenschutzrechtliche Belange und die Vergütung des Insolvenzverwalters .......................................................... 785 .... 237
I.
Vorausgesetzte Tätigkeiten nach der vergütungsrechtlichen Literatur .................................................................................... 786 .... 237
II. Vergütungsrechtliche Einordnung .......................................... 789 .... 238 K. Exkurs: Postsperre, InsO-App, Löschung von InsolvenzEinträgen, Nachlassinsolvenzen etc. ..................................... 793 .... 241 I.
Der Datenschutz und die (Insolvenz-)Gerichte .................... 794 .... 241
II. Die Postsperre .......................................................................... 798 .... 242 III. InsO-App: AG Rockenhausen ................................................ 800 .... 243 IV. Kein vorzeitiger Löschungsanspruch gegenüber Auskunfteien wegen Insolvenzvermerken ..................................... 806 .... 246 V. Schuldnerberatung i. S. v. § 305 Abs. 1 Nr. 1 InsO via Internet-Videokonferenz ......................................................... 809 .... 247
XVI
Inhaltsverzeichnis Rn.
Seite
VI. Urteil OLG Brandenburg vom 6.11.2019: Besitz und Eigentum an Daten bzw. Einsicht der Kanzlei in die Akten eines angestellten Insolvenzverwalters? .................................. 813 .... 248 VII. Das Nachlassinsolvenzverfahren: Bitte keine Einladung zur datenschutzrechtlichen Fahrlässigkeit! ................................... 821 .... 251 L.
Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei ....................................................................................... 823 .... 255
I.
Videoüberwachung am Eingangsbereich ................................. 823 .... 255
II. E-Mail-Nutzung ....................................................................... 827 .... 256 III. Unser geliebtes „besonderes elektronisches Anwaltspostfach“ beA ........................................................................... 832 .... 257 IV. „Kanzlei-Facebook“ ................................................................. 836 .... 258 V. Informationsblatt vor bzw. bei Mandatsübernahme .............. 838 .... 259 VI. WhatsApp und andere Messenger-Dienste ............................. 841 .... 260 M. Kurze Geschichte des Datenschutzes .................................... 849 .... 263 I.
Die 60er und 70er Jahre ............................................................ 852 .... 263
II. Die 80er Jahre und das Volkszählungsurteil ........................... 856 .... 264 III. Die 90er und 2000er Jahre: Diverse Skandale, aber auch das Inkrafttreten der InsO ....................................................... 1. Gesetzgeberische Akte ..................................................... 2. Skandale vs. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme .............................................................................. 3. Das Inkrafttreten der InsO ..............................................
857 .... 265 858 .... 265
859 .... 265 860 .... 266
IV. Die Entwicklung des Datenschutzes seit 2009 bis heute ....... 861 .... 266 1. Weiterentwicklung BDSG ................................................ 861 .... 266 2. Die DSGVO und das BDSG 2018 ................................... 863 .... 267 N. Fazit ........................................................................................... 867 .... 269 O. Muster und Formulierungsvorschläge ................................. 870 .... 271 I.
Muster Auftragsverarbeitungsvereinbarung ........................... 873 .... 271
II. Muster Informationspflichten gemäß Artt. 12 ff. DSGVO .... 874 .... 273 III. Einwilligung zur Nutzung von Fotoaufnahmen und zur Weitergabe personenbezogener Daten .................................... 875 .... 274
XVII
Inhaltsverzeichnis Rn.
Seite
IV. Einwilligung Mitarbeiter zu Fotoaufnahmen für die Webseite .................................................................................... 876 .... 275 V. Muster Verzeichnis der Verarbeitungstätigkeiten .................. 877 .... 276 P.
Gesetze und Rechtsprechung ................................................. 878 .... 277
Q. Erwägungsgründe DSGVO ................................................... 881 .... 279 R. Legal Tech: Zuhilfenahme von Software? ............................ 894 .... 287 S.
Ultima Ratio: Versicherbarkeit entsprechender Risiken ... 895 .... 289
Anhang .......................................................................................................... 291 Gesetze und Verordnungen .......................................................................... BDSG 2018 ............................................................................................ Vertrauensdienstegesetz (VDG) .......................................................... Strafgesetzbuch (StGB) ........................................................................ Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Kunsturheberrechtsgesetz – KUG) .... Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet ............................................................................
291 291 291 303 304 308
Übersichten ................................................................................................... 310 Geldbußen nach Art. 83 DSGVO ........................................................ 310 Bußgeldbescheid des BayLDA aus dem Jahr 2015 (anonymisiert) .... 312 Stichwortverzeichnis ................................................................................... 317
XVIII
Literaturverzeichnis Kommentare, Handbücher, Monographien, Praxishilfen1) Achenbach u. a. Handbuch Wirtschaftsstrafrecht, 4. Aufl., 2015 (zit.: Achenbach u. a.-Bearbeiter, HdB Wirtschaftsstrafrecht) Ascheid/Preis/Schmidt (Hrsg.) Kündigungsrecht, Kommentar, 5. Aufl., 2017 (zit.: Ascheid/Preis/Schmidt-Bearbeiter, Kündigungsrecht) Bayerisches Landesamt für Datenschutzaufsicht (Hrsg.) Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine – Das Sofortmaßnahmen-Paket, 2018 Beck’scher Online-Kommentar Datenschutzrecht hrsg. v. Wolff/Brink (Hrsg.), 32. Ed., 2020 (zit.: Bearbeiter, in: BeckOK DatenschutzR) Bitkom Leitfaden: Risk Assessment & Datenschutz-Folgenabschätzung, Berlin 2017 Brink/Schwab Landesbeauftragter für Datenschutz und Informationsfreiheit BadenWürttemberg (LfDI), Daten nützen – Daten schützen, Der Ratgeber – Beschäftigtendatenschutz: Zwischen wirtschaftlicher und persönlicher Abhängigkeit und informationeller Selbstbestimmung, 2. Aufl., 2018 Däubler/Klebe/Wedde/Weichert Bundesdatenschutzgesetz, Kommentar zum Bundesdatenschutzgesetz – inklusive Safe-Harbor-Urteil des EuGH, 5. Aufl., 2016 (zit.: Däubler/Klebe/Wedde/Weichert, BDSG) Ehmann/Selmayr Kommentar zur Datenschutz-Grundverordnung, 2017 (zit.: Ehmann/Selmayr-Bearbeiter, DS-GVO) Forgo/Helfrich/Schneider (Hrsg.) Betrieblicher Datenschutz, 2. Aufl., 2017 Fridgen/Geiwitz/Göpfert (Hrsg.) Beck’scher Online-Kommentar, InsO, 12 Ed. 2018 (zit.: Bearbeiter, in: BeckOK InsO) ___________ 1)
Entsprechend der Intention dieses Praxisbuches findet sich hier über die tatsächlich berücksichtigten Fundstellen hinaus auch weiterführende Literatur, sodass sich der Leser je nach seinem konkreten Bedarf dorthinein vertiefen kann.
XIX
Literaturverzeichnis
GDD-Praxishilfe DS-GVO VII – Transparenzpflichten bei der Datenverarbeitung, Stand: April 2018 (zit.: GDD-Praxishilfe, DS-GVO VII) GDD-Praxishilfe DS-GVO IV – Vertragsmuster zur Auftragsverarbeitung, Stand: April 2017 (zit.: GDD-Praxishilfe, DS-GVO IV) GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der DatenschutzGrundverordnung, Stand: November 2016 (zit.: GDD-Praxishilfe, DS-GVO I.) Gola/Schomerus Bundesdatenschutzgesetz, 12. Aufl., 2015 (zit.: Gola/Schomerus-Bearbeiter, BDSG) Graeber/Graeber InsVV, Kommentar zur Insolvenzrechtlichen Vergütungsverordnung, 2. Aufl., 2016 (zit.: Graeber/Graeber, InsVV) Haarmeyer/Mock Insolvenzrechtliche Vergütung (InsVV), 5. Aufl., 2014 (zit.: Haarmeyer/Mock, InsVV) Henke/Lührig/Härting Das Projekt Datenschutz, AnwBl. 5/2018, 263, 264 Heyn/Kreuznacht/Voß Arbeitshilfen für Insolvenzsachbearbeiter, 2014 Hornung/Wagner Anonymisierung als datenschutzrelevante Verarbeitung?, ZD 5/2020, 223 Köhler/Bornekamm/Feddersen Gesetz gegen den unlauteren Wettbewerb, 36. Aufl., 2018 (zit.: Köhler/Bornekamm/Feddersen-Bearbeiter, UWG) Koreng/Lachenmann (Hrsg.) Formularhandbuch Datenschutzrecht, 2. Aufl., 2018 (zit.: Bearbeiter, in: Koreng/Lachenmann) Kühling/Buchner (Hrsg.) Kommentar Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Aufl., 2018 (zit.: Kühling/Buchner-Bearbeiter, DS-GVO/BDSG) Kühling/Seidel/Sivridis (Hrsg.) Datenschutzrecht, 3. Aufl., 2015
XX
Literaturverzeichnis
Münchener AnwaltsHandbuch Personengesellschaftsrecht hrsg. von Gummert, 3. Aufl., 2019 (zit.: Bearbeiter, in: Münchener AnwaltsHandbuch Personengesellschaftsrecht) Münchener Kommentar zur Insolvenzordnung hrsg. v. Kirchhof/Eidenmüller/Stürner, 3. Aufl., 2013 (zit.: Bearbeiter, in: MünchKommInsO) Musielak/Voit Kommentar zur Zivilprozessordnung mit Gerichtsverfassungsgesetz, 15. Aufl., 2018 (zit.: Musielak/Voit-Bearbeiter, ZPO) Nerlich/Römermann (Hrsg.) Insolvenzordnung, Loseblatt, 36. Ergänzungslieferung, 2018 (zit.: Nerlich/Römermann-Bearbeiter, InsO) Paal/Pauly (Hrsg.) Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2. Aufl., 2018 (zit.: Paal/Pauly-Bearbeiter, DS-GVO/BDSG) Plath (Hrsg.) Kommentar zu BDSG/DSGVO, 3. Aufl., 2018 (2. Aufl., 2016) (zit.: Plath-Bearbeiter, BDSG/DSGVO) Rücker/Kugler (Hrsg.) New European General Data Protection Regulation, 2018 Schmidt, Karsten (Hrsg.) Insolvenzordnung, 19. Aufl., 2016 (zit.: Karsten Schmidt-Bearbeiter, InsO) Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.) DS-GVO/BDSG, Kommentar zur Datenschutz-Grundverordnung und zum Bundesdatenschutzgesetz, 2019 (zit.: Schwartmann/Jaspers/Thüsing/Kugelmann-Bearbeiter) Simitis (Hrsg.) Kommentar zum Bundesdatenschutzgesetz, 7. Aufl., 2011 (zit.: Simitis-Bearbeiter, BDSG) Taeger/Gabel (Hrsg.) BDSG und Datenschutzvorschriften TKG und TMG, 2. Aufl., 2013 (zit.: Taeger/Gabel-Bearbeiter) Wächter Datenschutz im Unternehmen, 5. Aufl., 2017 Wedde Handbuch Datenschutz und Mitbestimmung, 2016 (zit.: Bearbeiter, in: Wedde, HdB Datenschutz)
XXI
Literaturverzeichnis
Aufsätze und Zeitungsartikel Abel/Djagani Weitergabe von Kreditnehmerdaten bei Forderungskauf und Inkasso, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 34 Andrea Voßhof Frankfurter Allgemeine Zeitung v. 25.6.2018, Onlineausgabe, https://www.faz.net/aktuell/wirtschaft/diginomics/behoerdenverzweifeln-am-neuen-datenschutz-15657324.html (Stand: 12.4.2019) Arns Datenschutz-Compliance in der Insolvenzverwalterkanzlei – Neue Anforderungen nach DSGVO und BDSG-neu, VIA 2018, 65 Berberich/Kanschik Daten in der Insolvenz, NZI 2017, 1 Berger/Tunze Geistiges Eigentum im Insolvenzverfahren, ZIP 2020, 52 Beyer/Beyer Verkauf von Kundendaten in der Insolvenz – Verstoß gegen datenschutzrechtliche Bestimmungen?, NZI 2016, 241 Bornheimer/Park Stellung und Verpflichtung des (vorläufigen) Insolvenzverwalters und Sachverständigen im Lichte der Datenschutz-Grundverordnung, NZI 2018, 877 Braegelmann/Horstkotte/Martini Die virtuelle Gläubigerversammlung – längst überfällig!, ZInsO 2020, 729 Brink/Joos Reichweite und Grenzen des Auskunftsanspruchs und des Rechts auf Kopie, ZD 11/2019, 483 Brink/Schmidt Die rechtliche (Un-)Zulässigkeit von Mitarbeiterscreenings – Vom schmalen Pfad der Legalität, MMR 2010, 592 Braun/Wybitul Übermittlung von Arbeitnehmerdaten bei Due Diligence – Rechtliche Anforderungen und Gestaltungsmöglichkeiten, BB 2008, 782 du Carrois Datenschutz im Insolvenzverfahren – ein Interview mit einem Fachanwalt für IT-Recht, Insbüro 2013, 10 Däubler Betriebsübergang, Personaldaten und Mandat des betrieblichen Datenschutzbeauftragten, RDV 2004, 55
XXII
Literaturverzeichnis
Diller/Deutsch Arbeitnehmer-Datenschutz contra Due Diligence, K&R 1998, 16 Eckhardt Auftragsvereinbarung, Gestaltungsmöglichkeiten und Fallstricke, DuD 9/2013, 585 Eckhardt DS-GVO Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externer, CCZ 2017, 111 Eckhardt/Mentz Datenschutz bei der Übertragung von Kundendaten in der Insolvenz, ZInsO 2016, 1917 Filip Von der Artikel-29-Gruppe zum Europäischen Datenschutzausschuss – Zukunft und Bedeutung der Working Papers, BvD-News, 3/2017, 9 Geiser „Big Data“ im Insolvenzverfahren, ZInsO 2017, 1185 Gerlach Sicherheitsanforderungen für Telemediendienste – der neue § 13 Abs. 7 TMG, CR 2015, 581 Gossen/Schramm Das Verarbeitungsverzeichnis der DS-GVO, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 20 Göpfert/Meyer Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486 Greve Das neue Bundesdatenschutzgesetz, NVwZ 2017, 737 Harig/Kay Der Insolvenzplan als Lösung für datenschutzrechtliche Probleme beim Verkauf aus der Insolvenz, NZI 2020, 96 Hartung Datenschutz und Insolvenzverwaltung, ZInsO 2011, 1225 Heyer Insolvenzbekanntmachung und Datenschutz, ZVI 2015, 45 Hoeren Datenbesitz statt Dateneigentum, MMR 2019, 5 Hofert Blockchain-Profiling, ZD-Sonderausgabe zur Datenschutzgrundverordnung Mai 2017, 44
XXIII
Literaturverzeichnis
Hoffmann Einwilligung der betroffenen Person als Legitimationsgrundlage eines datenverarbeitenden Vorgangs im Sozialrecht nach dem Inkrafttreten der DSGVO, NZS 2017, 807 Hoffmann/Wolf Mitarbeiterbeurteilung durch Kollegen – datenschutzkonform?, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 43 Jung Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO, ZD 05/2018, 208 Kallenbach/Lührig Verschwiegenheit: § 2 BORA zu E-Mails des Anwalts an Mandanten ab 220, Anwaltsblatt, https://anwaltsblatt.anwaltverein.de/de/news/ verschwiegenheit-neue-bora-norm-zu-e-mails-an-mandanten?full=1, (Stand: 21.3.2020) Kazemi Der Datenschutzbeauftragte in der Rechtsanwaltskanzlei, NJW 2018, 443 Kleemann/Kader EU-Datenschutz-Grundverordnung und Bundesdatenschutzgesetz, DStR 2018, 1091 Klug Der Datenschutzbeauftragte in der EU. Maßgaben der Datenschutzgrundverordnung, ZD 2016, 315 Kohn, Der Schadensersatzanspruch nach Art. 82 DS-GVO, ZD 11/2019, 498 Köhler Die DS-GVO – eine neue Einnahmequelle für gewerbsmäßige Abmahner? Editorial ZD 8/2018, 337, 338 Körner Regierungsentwurf zum Arbeitnehmerdatenschutz, AuR 2010, 416 Kort Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat mit der DS-GVO?, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 16 Kort Neuer Beschäftigtendatenschutz und Industrie 4.0, RdA, 24 Lantwin Risikoberuf Datenschutzbeauftragter? Die Haftung nach der neuen DS-GVO, ArbRAktuell 2017, 508
XXIV
Literaturverzeichnis
Lehmann Blockchain, Smart Contracts und Token aus der Sicht des (Internationalen) Privatrechts, Bonner Rechtsjournal 2/2019, 90 Leibova Legal Tech – Kann der Computer den Juristen ersetzen?, Bonner Rechtsjournal 1/2018, 73 Maja Smoltczyk Berliner Datenschutzbeauftragte gegenüber dpa, Becklink 2010027, beck-online, https://beckonline.beck.de/Dokument?vpath=bibdata %2Freddok%2Fbecklink%2F2010027.htm&pos=4 (Stand: 12.4.2019) Maja Smoltczyk Berliner Datenschutzbeauftragte, auf Anfrage der dpa, dpa, 23.6.2018, Berliner Morgenpost, https://www.morgenpost.de/politik/inland/ article214666763/Ein-Monat-DSGVO-Neue-Regeln-ueberlastenDatenschutz-Behoerden.html (Stand: 12.4.2019) Maja Smoltczyk Berliner Datenschutzbeauftragte auf Anfrage der dpa, Welt-online, 23.8.2018, https://www.welt.de/regionales/berlin/article181273500/ Beschwerden-bei-Datenschutzbeauftragter-vervierfacht.html (Stand: 12.4.2019) Marnau „Sicher“ im Rechtssinne – Ist ein halbwegs sicheres beA sicher genug?, DATENSCHUTZBERATER 12/2019, 268 Marschall/Müller Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DS-GVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen, ZD 2016, 415 Nicklisch Wechselwirkungen zwischen Technologie und Recht – Zur kontrollierten Rezeption wissenschaftlich-technischer Standards durch die Rechtsordnung, NJW 1982, 2633 Niering Berufsverband der Insolvenzverwalter schmiedet digitalen Plan – Neuaufstellung mit Insolvenzverfahren 4.0, INDat-Report 04/2016, 14 Niklas/Faas Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, NZA 2017, 1092 Paulus/Berg Daten als insolvenzrechtlicher Vermögenswert des Schuldners, ZIP 2019, 2133
XXV
Literaturverzeichnis
Petri EuGH: Datenschutzrecht: Verantwortlichkeit von Facebook und des Betreibers einer Facebook-Fanpage für die Verarbeitung personenbezogener Daten, EuZW 2018, 534 Piltz/zur Weihen Abmahnbarkeit von Datenschutzverstößen durch Wettbewerber und Verarbeitung von „Gesundheitsdaten“ bei Online-Bestellungen, DATENSCHUTZBERATER 12/2019, 294 Podszun/de Toma Die Durchsetzung des Datenschutzes durch Verbraucherrecht, Lauterkeitsrecht und Kartellrecht, NJW 2016, 2987 Reisener/Weiß Datensparsamkeit, Datenvermeidung und Pseudonymisierung: Problembewusstsein für Datenschutz in der Insolvenzverwaltung?!, ZInsO 2017, 416 Reisener/Weiß „Datenschutz in der Insolvenzverwalterkanzlei?“ Interview mit einem Datenschutzbeauftragten!, InsbürO 2017, 363 Reisener/Weiß Datenschutz in der Insolvenzkanzlei: Fragen über Fragen? Einige konkrete Antworten! Teil 1, InsbürO 09, 334 Reisener/Weiß Datenschutz in der Insolvenzkanzlei: Fragen über Fragen? Einige konkrete Antworten! Teil 2, InsbürO 10, 383 Robrahn/Bremert Interessenkonflikte im Datenschutzrecht, ZD 07/2019, 291 Roßnagel Pseudonymisierung personenbezogener Daten – ein zentrales Instrument im Datenschutz nach der DSGVO, ZD 06/2018, 243. Rott/Rott Rechts- und Praxisprobleme beim digitalen Nachlass, NWB-EV 2013, 160 Sackmann Die Beschränkung datenschutzrechtlicher Schadensersatzhaftung in Allgemeinen Geschäftsbedingungen, ZIP 2017, 2450 von Schenck/Mueller-Stöfen Die Datenschutz – Grundverordnung: Auswirkungen in der Praxis, GWR 2017, 171 Schmitz/v. Dall’Armi Datenschutz-Folgenabschätzung – verstehen und anwenden, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 27
XXVI
Literaturverzeichnis
Schmitt/Heil Neue Haftungsfallen für den Insolvenzverwalter durch die DatenschutzGrundverordnung, NZI 2018, 865 Schneider/Schindler Videoüberwachung als Verarbeitung besonderer Kategorien personenbezogener Daten, Datenschutzrechtliche Anforderungen beim Erheben von Videodaten, ZD 10/2018, 463. Schreiber Wettbewerbsrechtliche Abmahnung von Konkurrenten wegen Verstößen gegen DS-GVO, GRUR-Prax 2018, 371 Selk Datenschutz bei Unternehmenstransaktionen: ein Überblick über Rechtslage und Diskussionsstand sowie Auswirkungen der BDSG-Novelle II., RDV 2009, 254 Taeger Data Breach Notification – Melde- und Benachrichtigungspflichten bei „Datenpannen“, RDV 01/2020, 3 Taeger Anforderungen an die Datenschutzrechtliche Wirksamkeit der Einwilligung, BvD-News 01/2019, 32 Theurich/Degenhardt Datenschutz versus Gläubigerinformationsrechte, NZI 2018, 870 Thole Der (vorläufige) Insolvenzverwalter als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO, ZIP 2018, 1001 Weiß Wenn sich Insolvenzverwalter was wünschen dürften: Eine § 11 StBerG analoge Vorschrift in der InsO als erster Lösungsweg für datenschutzrechtliche Probleme in der Insolvenzverwaltung?, DATENSCHUTZBERATER 03/2020, 64 Weiß Sollte der Insolvenzverwalter lieber unwirksame Verträge über Adressdaten schließen? Zugleich eine Anmerkung zum Urteil des OLG Frankfurt/M. vom 24.1.2018 – 13 U 165/16, ZInso 2018, 1717 Weiß Datenschutz nicht nur in der Insolvenzverwalterkanzlei: Warum drehen eigentlich alle durch?, Beitrag RWS-Blog vom 6.8.2018, https://rws-blog.de/datenschutz-in-der-insolvenzverwalterkanzlei/ (Stand: 30.10.2018)
XXVII
Literaturverzeichnis
Weiß/Reisener „Praktische Konkordanz“ zwischen Datenschutz und Insolvenzrecht. Dringend nötig! Aber wie? Einige Thesen, ZInsO 2019, 481 Wesche Influencer – ein neues Berufsbild im Fokus des Rechts, juris Die Monatszeitschrift 1/2020, 2 Wipperfürth Datenschutz in aller Munde, Editorial, InsBürO 2013, 337 Wolf Jüngere Geschichte der BRAK – zwischen Autonomie, Fremdbestimmung und Deregulierung, in: Gaier (Hrsg.), Festschrift 60 Jahre Bundesrechtsanwaltskammer 1959-2019, 2019, S. 130 (zit.: Wolf, in: FS Gaier, 2019) Wolff UWG und DSGVO: Zwei separate Kreise?, ZD 06/2018, 248 Woltersdorf DSGVO bringt Schärfe in die Insolvenzpraxis, InDat Report 02/2018, 11 Wybitul EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht?, BB 2016, 1077 Wybitul/Neu/Strauch Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen, ZD 05/2018, 202 Zwanziger Speicherung und Nutzung der Information über eine bewilligte Restschuldbefreiung nach neuem Datenschutzrecht, ZInsO 2017, 2193 Sonstige Quellen Artikel-29-Datenschutzgruppe (Europäische Kommission) WP169, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, https:// ec.europa.eu/justice/article-29/documentation/opinion-recommendation/ files/2010/wp169_de.pdf (Stand: 12.4.2019) WP243 rev.01, Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), 5.4.2017 vom 13.12.2016, https://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=612048 (Stand: 12.4.2019) WP250 rev.01, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/ 679 vom 6.2.2018, https://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=612052 (Stand: 12.4.2019)
XXVIII
Literaturverzeichnis
WP 259 rev.01 v. 10.4.2018, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29 Gruppe_EDSA/Guidelines/WP259_LeitlinienFuerDieEinwilligung.html (Stand: 19.8.2020) BayLDA 5. Tätigkeitsbericht 2011/2012 vom 19.3.2019, ttps://www.lda.bayern.de/ media/baylda_report_05.pdf (Stand: 12.4.2019) (zit.: BayLDA, TB 2011/2012) BayLDA FAQ zur DS-GVO, Abgrenzung Auftragsvereinbarung vom 20.7.2018, https://www.lda.bayern.de/media/FAQ_Abgrenzung_ Auftragsverarbeitung.pdf (Stand: 12.4.2019) (zit.: BayLDA, FAQ-DS-GVO) Berliner Beauftragte für Datenschutz und Informationsfreiheit Jahresbericht 2016 zum 31. Dezember 2016, https://www.datenschutzberlin.de/infothek-und-service/veroeffentlichungen/jahresberichte/ (Stand: 29.3.2019) Jahresbericht 2019 zum 31. Dezember 2019, (zit.: BlnBDI, JB 2019) BfDI Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 – Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG), https://www.bfdi.bund.de/SharedDocs/Publikationen/ Entschliessungssammlung/DuesseldorferKreis/24112010MindestanforderungenAnFachkunde.html (Stand: 19.3.2019) BlnBDI Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten, Version 1.0 v. 3.7.2020, https://www.datenschutzberlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDIHinweise_Berliner_Verantwortliche_zu_Anbietern_VideokonferenzDienste.pdf (Stand: 17.8.2020) Bundesamt für Sicherheit in der Informationstechnik Glossar, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html (Stand: 29.3.2019) Datenschutzkonferenz (DSK) DS-GVO-Kurzpapiere, 20 Kurzpapiere, https://www.datenschutzkonferenz-online.de/kurzpapiere.html (Stand: 5.5.2020)
XXIX
Literaturverzeichnis
Datenschutzkonferenz (DSK) Beschluss Asset Deal – Katalog von Fallgruppen, Stand: 24.5.2019 Datenschutzkonferenz (DSK) Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Januar 2016, https://www.baden-wuerttemberg.datenschutz.de/ wp-content/uploads/2016/02/OH_E-Mail_Internet_Arbeitsplatz.pdf (Stand: 12.4.2019) GDD – Gesellschaft für Datenschutz und Datensicherheit e. V. Datenschutz-Jahrbuch 2020, 29. Aufl., 2020 ISO (International Organization for Standardization) ISO 31000:2009, Risk management – Principles and guidelines vom 20.11.2009, https://www.iso.org/standard/43170.html (Stand: 12.4.2019) ISO (International Organization for Standardization) ISO Guide 73:2009, Risk management – Vocabulary vom 1.4.2008, https://www.iso.org/standard/44651.html (Stand: 12.4.2019) Koalitionsvertrag 19. Legislaturperiode zwischen CDU, CSU und SPD vom 12.3.2018, https://www.bundesregierung.de/resource/blob/975226/847984/ 5b8bc23590d4cb2892b31c987ad672b7/2018-03-14-koalitionsvertragdata.pdf?download=1 (Stand: 12.4.2019) Die Landesbeauftragte für den Datenschutz Niedersachsen Transparenzanforderungen und Hinweisbeschilderung bei einer Videoüberwachung durch nichtöffentliche Stellen, https:// www.lfd.niedersachsen.de/startseite/dsgvo/transparenzanforderungenund-hinweisbeschilderung-bei-einer-videoueberwachung-nach-der-dsgvo-158959.html (Stand: November 2018) Landesbeauftragter für den Datenschutz und die Informationsfreiheit BadenWürttemberg 35. Datenschutz-Tätigkeitsbericht 2019 (zit.: LfDI BW, 35. TB 2019) Landesbeauftragte für Datenschutz und Informationsfreiheit NordrheinWestfalen FAQ-Datenschutz, https://www.ldi.nrw.de/mainmenu_Datenschutz/ submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/index.php (Stand: 29.3.2019) Organigramm der BlnBDI (Berliner Beauftragte für Datenschutz und Informationsfreiheit) Referat I A, https://www.datenschutz-berlin.de/ueber-uns/organisation/ (Stand: 13.5.2020).
XXX
Literaturverzeichnis
Regierungspräsidium Darmstadt Datenschutzaufsicht im nicht öffentlichen Bereich, Tätigkeitsbericht für 2008, S. 48 Synopse der Vorschriften zum Verfahrensverzeichnis ZD Fokus XIII, ZD 7/2018 Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit 2. Tätigkeitsbericht zum Datenschutz: Nicht-öffentlicher Bereich Thüringen 2014/2015 (zit.: TLfDI, 2. TB LfDI Thüringen 2014/2015) 3. Tätigkeitsbericht zum Datenschutz: Nicht-öffentlicher Bereich Thüringen 2016/2017 (zit.: TLfDI, 3. TB LfDI Thüringen 2016/2017) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten vom 25.5.2018, https://www.datenschutzzentrum.de/artikel/1220-Die-DatenschutzGrundverordnung-tritt-in-Kraft-das-muessen-selbststaendigeHeilberufler-beachten.html (Stand: 12.4.2019) VID (Verband Insolvenzverwalter Deutschlands e. V.) Stellungnahme des Verbandes Insolvenzverwalter Deutschlands (VID) zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 vom 28.1.2019, https://www.vid.de/stellungnahmen/rege-zur-umsetzung-der-richtlinieeu-2016-680-im-strafverfahren-sowie-zur-anpassungdatenschutzrechtlicher-bestimmungen-an-die-dsgvo/ (Stand: 15.4.2019) VID (Verband Insolvenzverwalter Deutschlands e. V.) Stellungnahme zum Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) vom 7.12.2016, https://www.vid.de/stellungnahmen/stellungnahme-des-vid-zumreferentenentwurf-eines-gesetzes-zur-anpassung-des-datenschutzrechtsan-die-verordnung-eu-2016679-und-zur-umsetzung-der-richtlinie-eu2016680-dsanpug-eu/ (Stand: 15.4.2019)
XXXI
A. Einleitung Datenschutz, Datenschutz, ach komm, Datenschutz …!? Einer der beiden 1 Autoren dieses Buches kann sich noch gut an den an ihn als Mitarbeiter gerichteten Auftrag eines Insolvenzverwalters nach Erhalt des Gutachtenbeschlusses erinnern: „Fahren Sie mal raus… und ziehen Sie im Betrieb alles was wir brauchen auf den Stick!“ Dies ist nun einige Jahre her. Es zeigt aber zweierlei: Zum einen die „Not“ eines Insolvenzverwalters1) bereits für das Gutachten, aber auch die vielseitigen Aufgaben eines Insolvenzverwalters nach Insolvenzeröffnung, Daten zu benötigen. Dies ist nicht nur bei kleinen Betrieben oftmals ein Problem, werden doch Daten nicht selten bewusst von den Schuldnern bzw. schuldnerischen Betrieben beiseitegeschafft. Zum anderen ist der Insolvenzverwalter zweifelsohne „Ärger“ gewohnt: Obstruktive Schuldner, Altlasten bei Immobilien u. v. m. sind Problematiken, für die jeder Insolvenzverwalter im Laufe der Berufsjahre schon fast ein Gespür entwickelt hat. So wird es im Bereich des Datenschutzes in Zukunft ebenfalls sein. Die praktische Tätigkeit der Autoren, zu deren Mandanten mitunter auch externe Datenschutzbeauftragte zählen, die auch für Mandatsträger tätig sind, bestätigt dies zwischenzeitlich eindeutig. Wichtig ist es nur, bis dahin bestmöglich und datenschutzkonform zu agieren – und letztlich für das Insolvenzverfahren i. S. v. § 1 Satz 1 InsO das beste Ergebnis zu erzielen. Hierbei kann den Lesern dieses ZRI Praxisbuch ein hilfreicher Ratgeber sein. I. Intention des Buches Dieses Gespür für den Bereich Daten und den gewiss seit Mai 2018 ver- 2 schärften Bereich des Datenschutzes zu entwickeln, ist eine der Intentionen dieses ZRI Praxisbuches – seit der ersten Auflage. Daneben möchte es aber ganz pragmatische Lösungsvorschläge und -ideen anbieten. Denn „den“ Lösungsvorschlag und „die“ Musterformulierung kann es heute2) nach wie vor noch nicht geben. Zu inhomogen ist die (EU-)gesetzgeberische Vorgabe mit der DSGVO, da sie wohl „Daten-Dickschiffe“ wie Facebook und Co. im Auge gehabt haben dürfte. Die (europaweite) inländische Umsetzung ist nicht stringent bzw. immer noch im Anfangs- bzw. jungen Entwicklungsstadium. Rechtsprechung ist naturgemäß noch nicht ausreichend vorhanden. In Bezug auf das Insolvenzverfahren erst recht noch nicht. Jedoch sind erste Ideen bzw. ___________ 1)
2)
Sofern im Folgenden von „Insolvenzverwalter“ oder „Insolvenzverwaltung“ gesprochen wird, meint dies jedenfalls das Betätigungsgebiet. Auch wenn der Insolvenzverwalter noch kein solcher ist, sondern zunächst mit dem Gutachtenauftrag betraut wurde. Darüber hinaus: Wenn in diesem Buch terminologisch richtig vom Verantwortlichen die Rede ist, schließt dies natürlich den Insolvenzverwalter bzw. die Insolvenzverwalterkanzlei, das dort tätige Mitarbeiterteam und auch jedes andere tätige Unternehmen mit ein, das personenbezogene Daten verarbeitet. Des Weiteren wurde zugunsten der Lesbarkeit auf die Nennung der einzelnen Begrifflichkeiten in weiblicher bzw. transgender Form verzichtet. Ebenso in den nächsten Wochen und Monaten, vermutlich gar Jahren.
1
A. Einleitung
Entwicklungen inzwischen spürbar, die Ihnen dieses Buch in der nunmehr zweiten Auflage nahebringt. Vielleicht nicht abschließend, aber jedenfalls das, was aus der praktischen Wahrnehmung der Autoren definitiv wichtig ist – und weiterhilft. 3 Eine „praktische Konkordanz“3) zwischen Datenschutz und Insolvenzrecht ist ergo nach wie vor für den Insolvenzverwalter und sein Team, aber auch für Insolvenzverwalter tätige Dienstleister, wie z. B. externe Datenschutzbeauftragte in Kanzlei und Betrieb, dringend nötig, gegenwärtig aber nicht einmal ansatzweise ersichtlich. Sie wird seit dem 25.5.2018 dringend benötigt: Schon zur Gutachtenabfassung, spätestens aber auch zur Verwertung nach Insolvenzeröffnung, war es bisher immer Usus, anlassbezogen Whois-Auskünfte bei der DENIC einzuholen oder Vergleichbares beim Kraftfahrt-Bundesamt zu erfragen. Nun verweist Letzteres auf das Erfordernis einer „…konkreten Einwilligung des Insolvenzschuldners als Betroffenen nach seiner freien Entscheidung (Art. 15 Abs. 1 i. V. m. Art. 6 Abs. 1 lit. a) und Art. 4 Nr. 11 DSGVO) und fordert die Vorlage einer entsprechenden Bevollmächtigung durch den Insolvenzschuldner!“ Wenn man eine solche Bevollmächtigung als Insolvenzverwalter überhaupt erhält: Kann man im Insolvenzverfahren bei einer bevorstehenden Verwertungshandlung – ggf. unter Druck der Versagung einer angestrebten Restschuldbefreiung – einfach von einer freien Entscheidung des Schuldners i. S. d. Datenschutzrechts ausgehen? Eher nein! Was, wenn der Schuldner seine Einwilligung oder gar die Bevollmächtigung des Insolvenzschuldners widerruft? Oder immer dann widerruft, wenn ihm das (Verwertungs-)Verhalten des Insolvenzverwalters nicht passt? 4 Geltendes Datenschutzrecht und das Insolvenzverfahren gehen bis dato augenscheinlich noch nicht überein. Vereinzelt und insbesondere im Bereich der Steuern4) ist der Gesetzgeber jedoch bereits tätig geworden. Mit dem vorliegenden Buch dürfte es dem Leser jedoch ohne gesetzgeberisches Tätigwerden auch in den verschiedenen Bereichen der Krise und Insolvenz schon jetzt möglich sein, sein Tätigwerden als Insolvenzverwalter und seine Kanzlei in Richtung Errichtung und Aufrechterhaltung einer angemessen Datenschutzinfrastruktur bereits heute zu lenken; was ggf. auch im schuldnerischen Betrieb zu beachten sein kann. Insgesamt hat dies daneben in mehrfacher Hinsicht zu erfolgen: (EDV-)technisch, tatsächlich-administrativ und nachweisbar juristisch. Grundzüge, Ideen und Umsetzungsmöglichkeiten zeigt dieses Buch auf. 5 Vorweggeschickt sollte der Leser dennoch eines wissen: das „Law Lag“5), also die Kluft zwischen der rasanten technischen Entwicklung, der auch das (Insolvenz-)Recht standhalten muss, ist da. Diese Lücke müsste jedoch nach ___________ 3) 4) 5)
2
Weiß/Reisener, ZInsO 2019, 481. Siehe im Einzelnen Stichwort „Auftragsverarbeitung“, hier der Exkurs zu § 11 StBerG in der seit 18.12.2019 geltenden Fassung (siehe Rn. 54). So Hofert, ZD-Sonderausgabe Mai 2017, 44.
II. Aufbau des ZRI Praxisbuches
Auffassung der Autoren argumentativ auch zum Vorteil des mit Daten bzw. Datenschutz befassten Insolvenzverwalters Anwendung finden. II. Aufbau des ZRI Praxisbuches Nach einer kurzen Darstellung der DSGVO (Kapitel B. [Rn. 8 – 20]) folgt ein 6 erster Überblick zur aktuellen Situation des Datenschutzes sowie die essentielle Einführung in das Datenschutzrecht mit seinen Grundsätzen (Kapitel C. [Rn. 21 – 101]). Anhand Letzterem ist dem Leser ein erster Einstig in die Spezialmaterie „Datenschutz in der Insolvenzkanzlei“ bereits möglich. Im Anschluss berichten die Autoren über zwischenzeitliche Erfahrungen zu dem Thema Datenschutz seit dem In Krafttreten der DSGVO (Kapitel D. [Rn. 102 – 122]), bevor die praktische Anwendung und die Umsetzung der aufgezeigten datenschutzrechtlichen Vorschriften thematisiert (Kapitel E. [Rn. 123 – 494]) und diese ausführlich dargestellt werden. Als nächstes wenden sich die Autoren den verschiedenen Problemstellungen innerhalb der jeweiligen Verfahren zu. Dabei orientiert sich das Werk am zeitlichen Ablauf eines Insolvenzverfahrens, also dem Gutachtenauftrag, der vorläufigen und endgültigen Insolvenzverwaltung (Kapitel F. – G. [Rn. 495 – 645]). Das Kapitel H. (Rn. 646 – 773) befasst sich mit dem Datenschutz im eröffneten Verfahren und u. a. sehr ausführlich mit der übertragenden Sanierung bzw. dem Asset Deal als Königsdisziplin der Insolvenzverwaltung und vermutlich dem datenschutzrechtlich sehr heiklen Vorhaben eines Insolvenzverwalters. Hierbei sind insbesondere die neuen Ansichten der Aufsichtsbehörden eingeflossen, so u. a. auch der Beschluss der Datenschutzkonferenz zum Asset Deal aus 2019 und aktuelle Rechtsprechung zu den jeweiligen Themen. In der beratenden, aber auch „verteidigenden“ Beratungspraxis resultieren aus derartigen Deals die meisten Beschwerden. Denn bei der übertragenden Sanierung treffen Insolvenzrecht und Datenschutz als Paradebeispiel aufeinander: Den Sanktionen gemäß §§ 60 ff. InsO im Falle der Nichtverwertung stehen die der Art. 82 ff. DSGVO bei der nicht datenschutzkonformen Verwertung gegenüber. Was soll der Insolvenzverwalter nun tun: Keine Masse generieren oder sich gar wegen Verstößen gegen den Datenschutz strafbar oder in empfindlichem Maße haftbar machen? Am besten beides nicht. Im Anschluss daran finden sich in Kapitel I. – J. (Rn. 774 – 792) Strategien zur 7 Verteidigungen gegen Verfahren wegen eines Datenschutzverstoßes sowie positive Bereiche der Befassung des Insolvenzverwalters mit dem Datenschutz, nämlich der Erhöhung der Vergütung des Insolvenzverwalters wegen der Beschäftigung mit der datenschutzrechtlichen Spezialmaterie, die die vergütungsrechtliche Literatur bereits seit Jahren als selbstverständlich voraussetzt – in aktueller Ausprägung. Kapitel K. (Rn. 793 – 822) zeigt als Exkurs Spezialthemen mit Bezug zur Insolvenzverwaltung auf – in der zweiten Auflage jetzt auch das Nachlassinsolvenzverfahren betreffend –, Kapitel L. (Rn. 823 – 848) solche, die jede Anwaltskanzlei betreffen. Ausführungen zur Geschichte und Entwicklung des Datenschutzrechts findet der interessierte Leser nunmehr in
3
A. Einleitung
Kapitel M. (Rn. 849 – 866). Diese sind nach Auffassung der Autoren zum Verständnis des Datenschutzrechts überaus hilfreich und deshalb auch in der zweiten Auflage enthalten. Denn das „neue“ Datenschutzrecht ist tatsächlich so neu nicht. Es interessiert heute nur viel mehr. Dem schließt sich ein Fazit in Kapitel N (Rn. 867 – 869). an. Schließlich und nicht zu vernachlässigen folgen Muster und Formulierungsvorschläge (Kapitel O. [Rn. 870 – 877]) sowie einschlägige Gesetze und Rechtsprechung in Kapitel P. [Rn. 878 – 880]). Danach findet der geneigte Leser eine Aufstellung der Erwägungsgründe sowie jeweils einen kurzen Ausflug zum Thema Legal Tech und Versicherbarkeit. Auszüge aus Gesetzen, die in diesem Buch auch zu Sprache kommen, Übersichten und Anhänge runden das Buch ab.
4
B. Die bedeutendste Datenschutzvorschrift Europas – die DSGVO Ohne Zweifel darf die DSGVO als die bedeutendste Neuerung und Daten- 8 schutzvorschrift in Europa seit langer Zeit angesehen werden. Sie hat am 25. Mai 2018 ihre volle Wirksamkeit entfaltet und war in aller Munde. I. Fiktive Beispiele mit datenschutzrechlichem Bezug aus einer Anwaltskanzlei Nachfolgend zum Einstig in die entsprechende Praxis zunächst einige Bei- 9 spiele aus der Kanzleirealität, wie man sie nach wie vor vermutlich vielerorts vorfindet – nur zur weiteren „Sensibilisierung“ und mit einer kursorischen Einschätzung. x
Der Aktendeckel im Müll mit der Beschriftung: „Insolvenzverfahren Peter Müller“: Nun handelt es sich jedenfalls bei dem Vor- und Nachnamen um personenbezogene Daten i. S. v. Art. 4 Nr. 1 DSGVO. Über die Zuordnung zur Insolvenz und ggf. zur Kanzlei bzw. deren räumlichem Umfeld besteht jedenfalls die Gefahr, dass ein hinreichend personennaher Bezug hergestellt werden kann, insbesondere bei nicht derart landläufigen Namen wie „Peter Müller“. Der Aktendeckel gehört also in eine Datenschutztonne bzw. geschreddert!
x
Anfrage eines auf Dienstleistungen für Insolvenzverwalter spezialisierten Steuerberaters: „Wie sollen wir gewährleisten, dass wir Arbeitnehmerdaten nur so kurz wie möglich speichern, aber eine Anfrage nach der Lohnsteuerbescheinigung noch nach zwei Jahren beantworten können?“ Neben den Grundsätzen des Datenschutzes hinsichtlich der Datensparsamkeit sind ebenso entsprechende Aufbewahrungspflichten, die sich aus anderen Gesetzen und Rechtsvorschriften ergeben, zu beachten. Die selbstgesetzten Löschungsfristen müssen natürlich auch Umstände berücksichtigen, die sich aus den jeweiligen Sachverhalten ergeben können. Es ist zu empfehlen, dass sich der Verantwortliche im Voraus Gedanken macht, wann welche Daten ggf. nochmalig benötigt werden. Als Anhaltspunkt können hier Verjährungsfristen herangezogen werden. Wichtig ist für die Insolvenzkanzlei, das für sich gefundene Löschungskonzept nachvollziehbar darlegen und begründbar darstellen zu können.
x
In einem Anfechtungsrechtsstreit wurden Rechnungen des schuldnerischen Steuerberaters mit vollständigem Briefkopf inkl. Tätigkeitsbeschreibungen als Anlage zu einer Anfechtungsklage „fremden“ Dritten, nämlich dem Anfechtungsgegner, überlassen: Ob die Verarbeitung, die hier in der Übertragung auf den Anfechtungsgegner als Anlage zum Schriftsatz zu sehen ist, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse durch den Insolvenzverwalter, genauer gesagt zur Durchsetzung von Anfechtungsansprüchen, rechtmäßig gemäß Art. 6 Abs. 1 Satz 1 lit. e) 5
B. Die bedeutendste Datenschutzvorschrift Europas – die DSGVO
DSGVO ist, um somit eine Mehrung der Insolvenzmasse zu erwirken, scheint zweifelhaft. Denn zwar können auch Privatpersonen als Beliehene nach dieser Norm, die sich ausdrücklich auf die Ausübung öffentlicher Gewalt bezieht, tätig werden. Dies ist aber bei einem Insolvenzverwalter unstreitig nicht der Fall. Die Auftragsermächtigung muss zudem Ausläufer einer gesetzlich definierten öffentlichen Aufgabe sein. Ein erwerbswirtschaftlicher Zweck des Tätigwerdens reicht nicht aus, selbst wenn ein öffentliches Interesse an dem Zweck bestünde,6) woran man mittelbar bei einem geordneten Insolvenzverfahren noch denken könnte. Praxistipp: Pragmatisch gesehen hätte sich diese Frage vermutlich erst gar nicht gestellt, wenn der Insolvenzverwalter die entsprechenden personenbezogenen Daten wie Vor-/Nachnamen der Mitarbeiter des schuldnerischen Unternehmens, für die die Lohnabrechnung durch den Steuerberater abgerechnet wurde, schlichtweg geschwärzt hätte.
x
Nachdem ein Be-/Verwertungsunternehmen bei dem bis dato beauftragenden Insolvenzverwalter in „Ungnade gefallen“ ist, wurde das entsprechende Auftragsverhältnis beendet. Pikanterweise fand sich im letzten Absatz des Kündigungsschreibens die Aufforderung des Insolvenzverwalters, das Be-/Verwertungsunternehmen möge doch bitte entsprechend der aktuellen datenschutzrechtlichen Lage Auskunft erteilen, welche personenbezogenen Daten von ihm bzw. seinem Team dort gespeichert seien und die Löschung binnen Frist nachweisen. Entsprechend dem zweiten Ordnungspunkt zuvor steht jedoch gerade der zu erwartende Rechtsstreit zwischen dem Insolvenzverwalter und dem Be-/Verwertungsunternehmen bis zum Abschluss des Rechtsstreits jedenfalls einer Löschung entgegen. Zwischenzeitlich hat das betroffene Unternehmen nach entsprechender anwaltlicher Beratung aber in Form eines Verzeichnisses von Verarbeitungstätigkeiten u. v. m. die Voraussetzung geschaffen, um auch einem Informations-/Auskunftsanspruch des Insolvenzverwalters dem aktuellen Datenschutzrecht entsprechend nachkommen zu können.
x
Schließlich sei der Insolvenzverwalter erwähnt, der seitens einer Aufsichtsbehörde eine „Abmahnung“ erhielt, weil er eine Forderungsanmeldung des Finanzamtes im Original dem Gericht vorgelegt hat. Zum Sachverhalt bleibt zu sagen, dass auf der Forderungsanmeldung des Finanzamtes und den erläuternden Unterlagen nicht nur der Schuldner selbst verzeichnet war, sondern ebenso eine dritte Person aufgrund einer gemeinsamen Veranlagung – wie so oft z. B. bei Ehegatten. Nach Ansicht der Aufsichtsbehörde hätte der Insolvenzverwalter die Forderungsanmeldung des Finanzamtes schwärzen sollen. Abgesehen von dem Umstand, dass gemäß § 175 Abs. 1 InsO der Insolvenzverwalter verpflichtet
___________ 6)
6
Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 23 f. m. w. N.
II. Nicht nur Insolvenzverfahren 4.0, sondern auch Compliance-Baustein
ist, die Tabelle mit den Anmeldungen sowie den beigefügten Urkunden dem Gericht vorzulegen und somit sich die Rechtmäßigkeit dieser Verarbeitung bereits aus Art. 6 Abs. 1 Satz 1 lit. c) DSGVO ergibt, ist die Ansicht der Aufsichtsbehörde in diesem Fall, wie auch in mehreren anderen Fällen nicht nachvollziehbar. Sollte ein Insolvenzverwalter aufgrund der nicht zutreffenden Ansicht einer Aufsichtsbehörde in Erwägung ziehen, wie es die Aufsichtsbehörde in diesem Fall vorgeschlagen hatte, die entsprechende Forderungsanmeldung zu schwärzen, könnte er sich im Zweifel sogar strafrechtlich angreifbar machen aufgrund der Verfälschung eines Dokuments bzw. einer Urkunde. Praxistipp: In derartigen Konstellationen wäre es denkbar, auch an eine Einwilligung des Schuldners/der dritten Person zwecks Weiterleitung an das Insolvenzgericht zu denken (Art. 6 Abs. 1 Satz 1 lit. a) DSGVO).
II. Nicht nur Insolvenzverfahren 4.0, sondern auch Compliance-Baustein Auch die Insolvenzverwalterzunft ist inzwischen im digitalen Zeitalter durch- 10 aus angekommen. Der Kollege Dr. Christoph Niering7) hat sich zum digitalen Plan zur Neuaufstellung mit dem Schlagwort „Insolvenzverfahren 4.0“ bereits vor einiger Zeit zu Wort gemeldet: „Wenn der schnelle und direkte Zugriff auf Informationen eine zentrale Voraussetzung für die Teilhabe am Wirtschaftsleben insgesamt geworden ist, darf das Insolvenzverfahren in seinem staatlichen Zwang zur kollektiven Beteiligung diese Entwicklung nicht verleugnen.“
So einfach, wie der Vorstandsvorsitzende des Verbands der Insolvenzverwalter 11 Deutschlands meint, ist dies jedenfalls in der Umsetzung nach wie vor nicht. Daten und Insolvenz können leicht ein zweischneidiges Schwert für den Insolvenzverwalter werden – und zwar besteht auf der einen Seite die Abhängigkeit von Daten, auf der anderen Seite der unten noch näher dargestellte Sanktionsrahmen der DSGVO! Auch findet sich jedenfalls bis dato eher keine Einheit der Rechtsordnung bzw. kein „Abgleich“ zwischen gesetzlichem (Gesamtvollstreckungs-)Insolvenzverfahren und den datenschutzrechtlichen Vorstellungen, insbesondere des europäischen Gesetzgebers. Inzwischen hat aber auch der VID einen entsprechenden Arbeitskreis ein- 12 gerichtet, der in regelmäßigen Treffen, aber auch mit Beiträgen und letztlich einem Eckpunktepapier zum Thema Datenschutz8) dazu beiträgt, die Interessen der Insolvenzverwalter im Bereich Datenschutz zu vertreten. Diesem Arbeitskreis gehört auch Autor Reisener an. In regelmäßigen Treffen und Telefonkonferenzen findet ein Austausch über aktuelle Probleme der Insolvenzverwalter zum Thema Datenschutz statt. Des Weiteren sucht der Ausschuss ___________ 7) 8)
Niering, INDat-Report 04/2016, 14. Siehe https://www.vid.de/initiativen/eckpunktepapier-datenschutz/ (Stand: 21.3.2020).
7
B. Die bedeutendste Datenschutzvorschrift Europas – die DSGVO
über den Vorsitzenden regelmäßig Kontakt und Gespräche mit Aufsichtsbehörden, um die Ansichten der Insolvenzverwalterschaft gegenüber den Aufsichtsbehörden darzulegen und so den speziellen Problemen der Insolvenzverwalter im Bereich Datenschutz Gehör zu verschaffen. Ein elementares Unterfangen, um die „wechselseitigen“ Bedürfnisse zu kommunizieren und zu vertreten – und so eine praktische Konkordanz in Zukunft herbeizuführen. 13 Rohner vertritt an einer ganz anderen Stelle, nämlich dem Münchener Anwaltshandbuch Personengesellschaftsrecht im Kapitel „Compliance und Business Governance bei Personengesellschaften“ unter dem Schlagwort „Klassische Risikofelder“, zu Recht die weitergehende Auffassung, dass auch IT und Datenschutzrecht dazugehören. Auszugweise lautet es dort: „Die moderne Informationstechnologie bringt ein oft unterschätztes Gefahrenpotential mit sich, sodass Unternehmen, unabhängig aus welcher Branche stammend, im Alltag… erheblichen Risiken ausgesetzt sind…. Die EU-Datenschutz-Grundverordnung verpflichtet Unternehmen, die in ihrem Art. 5, aufgeführten Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten: –
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
–
Zweckbindung
–
Datenminimierung
–
Richtigkeit
–
Speicherbegrenzung
–
Integrität und Vertraulichkeit.
Die Einhaltung dieser Grundsätze muss im Einzelfall nachgewiesen werden können…“9).
14 Vorstehendes belegt eindeutig, dass sich diese Grundsätze auch der Insolvenzverwalter zu eigen machen muss – kommen ihm dort Unternehmen unterschiedlichster Branchen unter. Auch für deren Daten wird er somit recht schnell verantwortlich, wie dieses Praxisbuch zeigen wird. Praxistipp: Auf das Erfordernis des (exkulpierenden) Nachweises, dass die Datenschutzgrundsätze eingehalten wurden, können Mandatsträger nicht oft genug hingewiesen werden!
III. Und nun lieber Insolvenzverwalter? Zwischen Baum und Borke? 15 Die bisherigen Ausführungen lassen den Schluss zu, dass der Insolvenzverwalter bei der Ausübung des ihm vom Insolvenzgericht übertragenen Amtes von der Rechtsordnung, insbesondere der InsO, alleingelassen ist und sozu___________ 9)
8
Rohner, in: Münchener AnwaltsHandbuch Personengesellschaftsrecht, S. 87 f. (Hervorhebungen durch Autoren).
III. Und nun lieber Insolvenzverwalter? Zwischen Baum und Borke?
sagen faktisch „zwischen Baum und Borke“ steht. Ob dies tatsächlich so ist, sollen zunächst zwei „Paradebeispiele“ für Insolvenzverfahren mit Daten aufzeigen: 1. „Beispielunternehmen 1“ Bei der Insolvenz des „Beispielunternehmens 1“ handelte es sich um ein 2012 16 gegründetes Unternehmen, das eine 360°-Kamera mit mehreren Einzelkameras anbot. Alles war cloudbasiert. Das sog. Rollout erfolgte 2015. Neben technischen Problemen konnte auch der ursprünglich angepeilte Preis nicht gehalten werden. In diesem Zusammenhang wichtiger war jedoch, dass alle (Bilder-)Daten auf dem Server des Unternehmens lagen. Und nun, lieber Insolvenzverwalter? 2. „Beispielunternehmen 2“ Auch dieses „Beispielunternehmen 2“ wurde 2012 gegründet. Kurz gefasst 17 waren Geschäftsgegenstand Schnittblumen im Abo-Modell. Das Unternehmen verfügte über mehrere tausend Kunden-/Adressdaten, die nun nach Eröffnung des Insolvenzverfahrens auch für Mitbewerber von Interesse waren. Und nun, lieber Insolvenzverwalter? 3. Vorweggenommenes Zwischenergebnis Die Insolvenzkanzlei hat wie jedes andere Unternehmen auch den Daten- 18 schutz beim Umgang mit personenbezogenen Daten zu beachten.10) Was soll der Insolvenzverwalter nun tun? Nicht verwerten? Mitnichten, denn das ist seine gemäß § 60 Abs. 1 InsO sogar sanktionierte Verpflichtung! Sicherlich wird der Insolvenzverwalter zudem auch in Zukunft seinem gerichtlichen Gutachtenauftrag nachkommen wollen und letztlich zur Aufrechterhaltung seines Kanzleibetriebs auch müssen. Hierzu sind Daten wie die oben genannten, sonstige Geschäftsunterlagen u. v. m. erforderlich und jedenfalls mittelbar auch für die Jahresabschlusserstellung durch den Insolvenzverwalter bzw. dessen Rechnungslegung i. S. v. § 66 InsO mitunter unerlässlich. Nun steht dem der empfindliche Sanktions- und Haftungsrahmen bzw. gar ein evtl. Strafbarkeitsrisiko nach der DSGVO gegenüber? Obige Schlagwörter mögen Gedanken eines Insolvenzverwalters sein, wenn 19 er wie in den zwei Beispielfällen oben in der Schnittmenge aus Datenschutz und Insolvenzrecht steht. Derartige Gedanken sollte, nein muss er sich aber im Sinne einer Sensibilisierung im Umgang mit Daten, insbesondere Daten die als Vermögenswerte11) anzusehen sind, machen. Es gibt keine Patentlösungen des Gesetzgebers. Es gibt aber Lösungsvorschläge, die dieses Buch auf___________ 10) So auch Woltersdorf, INDat Report 02/2018, 11. 11) Hierzu u. a. Berger/Tunze, ZIP 2020, 57; Paulus/Berg, ZIP 2019, 2133; Hoeren, MMR 2019, 5.
9
B. Die bedeutendste Datenschutzvorschrift Europas – die DSGVO
zeigt. Damit kann der Insolvenzverwalter, bezogen auf das jeweilige Verfahren, nach Abwägung vertretbare Lösungen erarbeiten. Praxistipp: Diese Gedanken sollten unter Einbeziehung des Datenschutzbeauftragten und je nach Kompliziertheit auch eines auf das Datenschutzrecht spezialisierten Rechtsanwalts erfolgen. Unter Umständen kann es sich auch anbieten, entsprechende Gutachten, jedenfalls aber Aktennotizen zu den Akten zu nehmen. Ganz pragmatisch kann auch über eine Konsultation der jeweiligen (Landes-)Datenschutzbehörde nachgedacht werden. Diese verstehen sich nämlich mitunter auch als Berater.
20 Insbesondere der Datenschutz in der Insolvenzkanzlei zeigt abermals, dass Insolvenzverwaltung nur im (interdisziplinären) Team funktioniert: Zweifelsohne muss der Insolvenzverwalter an sich den Mut auch zum Asset Deal haben, wie die beiden Beispiele zuvor zeigen. Hierbei handelt es sich nämlich letztlich um eine Form der Sanierung und dies ist auch Auftrag i. S. v. § 1 Satz 1 InsO. Sein Unterlassen kann für den Insolvenzverwalter bekanntlich haftungsträchtig sein. Daneben ist diese Sanierung, aber auch die Befassung mit Daten bzw. dem Datenschutz an sich zweierlei: Mitunter vergütungstechnisch interessant (im Einzelnen siehe Rn. 785 ff.) und vielleicht auch eine Gelegenheit, dem Gericht bei dem immer weiter fortschreitenden „Insolvenzverwalter-Ranking“ die Qualität und Modernität der jeweiligen Insolvenzverwaltung aufzuzeigen. Nicht zuletzt wegen Vermögenswerten wie z. B. den Bitcoin.12) Bereits im Grundsätzlichen handelt es sich hier nicht nur um höchst technische und globale Vorgänge mit der Frage des anzuwendenden Rechts, für die Insolvenzverwalterkanzlei in der Schnittmenge natürlich zum Insolvenzrecht.
___________ 12) Dazu im Grundsätzlichen bereits Lehmann, Bonner Rechtsjournal 2/2019, 90.
10
C. Überblick zum Datenschutzrecht Dieses Kapitel bietet zum Datenschutzrecht als Einstieg in diese Spezialma- 21 terie einen ersten Überblick, der in den folgenden Kapiteln bzw. über das Stichwortverzeichnis auch fallbezogen vertieft werden kann. I. Rechtsnormen des Datenschutzrechts „Das Datenschutzrecht“ ist in Ausprägung der DSGVO Teil des Europa- 22 rechts; in Ausprägung des BDSG 2018 bzw. der Datenschutzgesetze unserer Bundesländer öffentliches Recht. Was sich insbesondere an dem Volkszählungsurteil des BVerfG13), natürlich aber auch am Aufgabenbereich des Datenschutzes, die informationelle Selbstbestimmung als Ausläufer des allgemeinen Persönlichkeitsrechts sowie der Würde des Menschen (Artt. 2 Abs. 1, 1 Abs. 1 GG) und rechtlich geschützter (Post- und Fernmelde-)Geheimnisse nach Art. 10 GG zu gewährleisten, zeigt. Daneben gewährt das Datenschutzrecht aber auch einen Ausgleich zwischen dem Datenschutz des Einzelnen – also des Betroffenen als demjenigen, der tatsächlich geschützt wird, denn nur er ist Inhaber der zuvor genannten Grundrechte – und den berechtigten Interessen der Allgemeinheit, staatlichen und privaten Telekommunikationsanbietern etc.; vorliegend auch insbesondere dem Insolvenzverwalter und seinem Team. Folglich können folgende Normen „dem Datenschutzrecht“ zugeordnet wer- 23 den: x
Datenschutz-Grundverordnung (DSGVO)14)
x
Nebst deren 173 Erwägungsgründen15): Ähnlich den Materialien bzw. Protokollen zum BGB oder den BT-Drucksachen geben diese Erwägungsgründe „… in komprimierter Form wichtige – bisweilen aber auch widersprüchliche – Auskünfte über Zielsetzungen und Hintergründe…“ letztlich der DSGVO.16) Denn in Erwägung dieser Gründe wurde die DSGVO erlassen.17)
x
Bundesdatenschutzgesetz (BDSG a. F. bzw. ab 25.5.2018 BDSG 2018)18)
___________ 13) BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, NJW 1984, 419. 14) Siehe https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2016/04/ CONSIL_ST_5419_2016_INIT_DE_TXT.pdf (Stand: 17.8.2020). 15) Siehe https://dsgvo-gesetz.de/erwaegungsgruende/ (Stand: 17.8.2020). 16) Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 10. 17) Siehe https://dsgvo-gesetz.de/erwaegungsgruende/ (Stand: 17.8.2020). 18) Siehe http://www.gesetze-im-internet.de/bdsg_2018/ (Stand: 17.8.2020).
11
C. Überblick zum Datenschutzrecht
x
Landesdatenschutzgesetze (LDSG) unserer Bundesländer19)
24 Aber auch in einigen anderen Spezial-Gesetzen20) finden sich Regelungen, die dem Datenschutzrecht unterfallen: x
Telemediengesetz: Das TMG gilt nach der Legaldefinition für Telemedien i. S. v. § 1 Abs. 1 Satz 1 TMG21), also kurz gefasst für alle elektronischen Informations- und Kommunikationsdienste, die in negativer Abgrenzung weder Telekommunikationsdienste22) noch Rundfunk nach dem Rundfunkstaatsvertrag sind. Grundsätzlich fallen darunter alle im Internet zum Abruf vorgehaltene Dienstleistungen wie juristische Datenbanken, Teleshopping, Streamingdienste etc. Sofern das schuldnerische Unternehmen sich damit befasst, kann es also auch für den Insolvenzverwalter schnell sinnvoll werden, im Hinterkopf zu haben, dass es diese Norm gibt. Das TMG enthält nämlich in Abschnitt 4 Datenschutz (§§ 11 – 15a) entsprechende Datenschutznormen.
25 Exkurs: Die erwartete ePrivacy-Verordnung23) soll in Zukunft das o. g. TMG spezifizieren, daneben die aktuell noch geltende Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie 2002/58/EG) sowie die CookieRichtlinie (2009/136/EG). Ursprünglich war angedacht, dass die ePrivacyVerordnung mit dem Inkrafttreten der DSGVO gelten sollte. Nunmehr über zwei Jahre später konnte man sich immer noch nicht auf einen gemeinsamen Gesetzesentwurf einigen, sodass mit einem Inkrafttreten dieser Verordnung nicht vor 2023 zu rechnen ist. Mit der ePrivacy-Verordnung erwartet uns dann eine weitere EU-Verordnung mit heute en détail noch nicht absehbaren Regelungen. Sehr wahrscheinlich wird sie die DSGVO ergänzen.24) Derzeit spekuliert man, welche Auswirkungen von ihr z. B. auf Unternehmen, die Tracking-Maßnahmen auf ihren Internetauftritten anwenden, ausgehen werden. Online die Privatsphäre von Bürgern und das Vertrauen der Nutzer in digitale Kommunikationswege zu stärken (vgl. Kontext des Vorschlags Ziff. 1.1), sind zweifelsohne sinnvolle Intentionen25). Sicherlich wird die ___________ 19) Exemplarisch: DSG NRW (https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id= 3520071121100436275, Stand: 17.8.2020); BInDSG (http://gesetze.berlin.de/jportal/ ?quelle=jlink&query=DSG+BE&psml=bsbeprod.psml&max=true, Stand: 17.8.2020); Bayern (https://www.datenschutz-bayern.de/datenschutzreform2018/BayDSG.pdf, Stand: 17.8.2020). 20) In die im Rahmen der Insolvenzverwaltung üblicherweise kaum geschaut wird. 21) Siehe https://www.gesetze-im-internet.de/tmg/TMG.pdf (Stand: 17.8.2020). 22) Kurz gefasst Übertragung von Signalen. 23) Kommissions-Vorschlag, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri= CELEX%3A52017PC0010 (Stand: 17.8.2020). 24) Dazu im Einzelnen Paal/Pauly-Pauly, DS-GVO/BDSG, Art. 95 DSGVO Rn. 1 ff. m. w. N. 25) Was nicht zuletzt die Corona-Krise gezeigt hat.
12
I. Rechtsnormen des Datenschutzrechts
ePrivacy-Verordnung aber unser aller Internetverhalten nachhaltig ändern: Wir sind es gewohnt, selbst lapidare Onlinezeitungsdienste „vermeintlich kostenlos“ zu erhalten. Zukünftig werden wir diese Internetdienste nicht mehr „einfach so mit unseren“ (Cookie- und sonstigen) persönlichen Daten bezahlen, sondern stattdessen vermutlich gegen echte Entgelte, da Ersteres mindestens erheblich erschwert werden wird. Zwischenzeitlich sind Urteile, u. a. des EuGH ergangen, die den Regelungsbereich der geplanten Verordnung betreffen. Das besonders für die Verarbeitung von Daten bei der Bereitstellung von Internetdienstleistungen relevante Urteil zur Verwendung von Cookies,26) fand große Beachtung und erforderte von Webseitenbetreibern bereits eine Umsetzung der Vorgaben. Webseitenbetreiber müssen nunmehr, dem Urteil des EuGH folgend, eine aktive Einwilligung der Nutzer einholen und diese zur Verwendung und Funktionsdauer umfassend informieren. x
Telekommunikationsgesetz: Das TKG27) gilt für Telekommunikation. Gemäß § 3 Nr. 22 TKG ist Telekommunikation der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen durch Telekommunikationsanlagen. Exemplarisch bedeutet dies in der Praxis, dass Telegrafie, Telefax und Telefonie unter Telekommunikation zu verstehen sind. §§ 91 ff. TKG enthalten Vorschriften, die sich mit dem Datenschutz bei Telekommunikationsvorgängen befassen.
x
Strafgesetzbuch: Auch das StGB28) enthält diverse Normen mit Bezug zu Daten bzw. dem Datenschutz. Beispielsweise
x
–
§ 201 StGB Verletzung der Vertraulichkeit des Wortes
–
§ 201a StGB Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen
–
§ 202 StGB Verletzung des Briefgeheimnisses
–
§§ 202a ff. StGB Ausspähen von Daten etc.
–
§ 202d StGB Datenhehlerei
–
§ 203 StGB Verletzung von Privatgeheimnissen
–
§ 204 StGB Verwertung fremder Geheimnisse (siehe Anhang)
Datenschützende Vorschriften finden sich auch in den Sozialgesetzbüchern, wie z. B. das in § 35 SGB I normierte Sozialgeheimnis als Betroffenenanspruch darauf, dass seine Sozialdaten von den Leistungsträgern
___________ 26) EUGH, Urt. v. 1.10.2019, Rs. C-673/17. 27) Siehe http://www.gesetze-im-internet.de/tkg_2004/index.html#BJNR119000004 BJNE000507123 (Stand: 17.8.2020). 28) Siehe http://www.gesetze-im-internet.de/stgb/ (Stand: 17.8.2020).
13
C. Überblick zum Datenschutzrecht
nicht unbefugt verarbeitet werden oder §§ 67 ff. SGB X, die – ergänzend zu Artikel 4 der Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 – zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr etc. den Umgang entsprechender Verantwortlicher mit Sozialdaten, Betriebsund Geschäftsgeheimnissen u. v. m. regeln, § 67 Abs. 1 u. 2 SGB X. x
Signaturgesetz bzw. Vertrauensdienstegesetz: Das Signaturgesetz29) bzw. das das SigG letztlich seit 29.7.2017 ersetzende Vertrauensdienstegesetz (VDG)30) haben i. E. die Rahmenbedingungen für zuverlässige und möglichst sicher elektronische Signaturen normiert. Diese stellen, wie nachfolgend noch im Einzelnen erläutert wird, ein Mittel zur Gewährleistung insbesondere der Datenintegrität dar. Neben dem Asset Deal bzw. seiner Vorbereitung ist hier insbesondere die Übermittlung der Insolvenztabelle an das Insolvenzgericht das Paradebeispiel, bei dem sich der Insolvenzverwalter ggf. entsprechend dieser Normen qualifizierter Signaturen bedienen sollte. § 8 VDG enthält eine explizite Regelung zum Datenschutz, die gemäß § 8 Abs. 5 VDG aber allgemeine Datenschutzanforderungen unberührt lässt (§§ 8 ff. VDG, siehe Anhang).
x
Kunsturhebergesetz: Fotografie ist heutzutage überwiegend digital. Fotos von Personen, sei es von Mitarbeitern der Anwaltskanzlei, sei es von Dritten, können letztlich bei der entsprechenden Veröffentlichung, insbesondere im Internet, schnell auch datenschutzrechtlich relevant werden. Mit fortschreitender (Video-)Überwachung, Profiling und vielem mehr liegt ein personenbezogenes Datum i. S. d. DSGVO bzw. dem BDSG 2018 vor. Das Kunsturhebergesetz (KUG)31) enthält insbesondere in den §§ 22 f.32) Normierungen zu einer Einwilligung sowie zur (grundsätzlich dann zulässigen) Veröffentlichung von Fotografien. Hier greifen also das Kunsturhebergesetz und die DSGVO in gewisser Weise ineinander. Die anfängliche Diskussion, inwieweit das KUG neben der DSGVO überhaupt noch anwendbar ist, wurde zumindest teilweise bereits von Gerichten beantwortet. Das OLG Köln stellt in seinem Beschluss vom 18.6.201833) fest, dass das KUG zumindest für journalistische Zwecke fortgelte, wie es die Konkretisierungsklausel im Art. 85 DSGVO auch einräumt.
___________ 29) Siehe https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/QES/ Rechtsgrundlagen/SignaturGesetz16052001Id2247pdf.pdf?__blob=publicationFile&v=1 (Stand: 17.8.2020). 30) Siehe https://www.gesetze-im-internet.de/vdg/VDG.pdf (Stand: 17.8.2020). 31) Siehe https://www.gesetze-im-internet.de/kunsturhg/index.html#BJNR000070907 BJNE002801320 (Stand: 17.8.2020). 32) Die entsprechenden Paragrafen des KUG finden Sie im Anhang dieses Buches. 33) OLG Köln, Beschl. v. 18.6.2018 – 15 W 27/18, ZD 2018, 434.
14
I. Rechtsnormen des Datenschutzrechts
x
Letztlich ist im Bereich des Datenschutzes immer auch das Gesetz gegen unlauteren Wettbewerb (UWG)34) zu berücksichtigen. Dort werden nach § 1 UWG zum Schutz von Mitbewerbern sowie Verbrauchern beispielsweise in § 7 UWG Regelungen zu unzumutbaren Belästigungen per Werbung bzw. E-Mail, letztlich aber auch die entsprechende Einwilligung i. w. S. betreffend niedergelegt. § 17 UWG sanktionierte bis 26.4.2019 den Verrat von Geschäfts- und Betriebsgeheimnissen.35) Für den Bereich dieses Gesetzes gegen den unlauteren Wettbewerb definiert § 2 Abs. 1 Nr. 4 UWG den Begriff einer Nachricht. Mit der Frage, ob aufgrund von Verstößen gegen das Datenschutzrecht Abmahnungen einhergehen können bzw. dürfen, befasst sich Rn. 111 ff. § 8 UWG ist hier eine der zentralen Normen. Danach kann auf Beseitigung und bei Wiederholungsgefahr auch auf Unterlassung in Anspruch genommen werden, wer eine nach § 3 oder § 7 UWG unzulässige geschäftliche Handlung vornimmt (§ 8 Abs. 1 Satz 1 UWG). Praxistipp zu „Der Influencer – ein neues Berufsbild“:36) Influencer, also mittels Internet und durchweg gewerblich meinungsprägende Personen, gleich ob in Form des Micro- oder Nano-Influencers, können selbstredend Schuldner eines Insolvenzverfahrens sein. Schon außerhalb dessen stellen sich Fragen der Anwendbarkeit des TMG, UWG etc. Es gibt auch Gerichtsentscheidungen37) dazu; weshalb es sich auch für die Insolvenzverwalterkanzlei lohnt, jedenfalls anlassbezogen und ansatzweise zu wissen, was sich hinter diesem Berufsbild und den grundsätzlich zugrunde zu legenden Spezialgesetzen außerhalb der datenschutzrechtlichen Vorschriften verbirgt.
Exkurs: § 2 Abs. 2, 5 BORA
26
Seit Januar 2020 gilt die neugefasste Norm, auch was die organisatorischen und technischen Maßnahmen zur Wahrung der anwaltlichen Verschwiegenheitspflicht betrifft: „§ 2 Verschwiegenheit (1) 1Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet und berechtigt. 2 Dies gilt auch nach Beendigung des Mandats. […]
___________ 34) Siehe http://www.gesetze-im-internet.de/uwg_2004/index.html#BJNR141400004 BJNE000704360 (Stand: 17.8.2020). 35) Siehe nunmehr Gesetz zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung v. 18.4.2019 (http://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html (Stand: 17.8.2020); dazu vertiefend Weiß, https://kanzleiforum.beck-shop.de/2019/06/ 27/7578/ (Stand: 27.5.2020). 36) Dazu ausführlich Wesche, juris Die Monatszeitschrift 1/2020, 2 ff. 37) Exemplarisch zur Frage der Schleichwerbung durch einen Influencer siehe OLG Frankfurt/M., Beschl. v. 28.6.2019 – 6 W 35/19, MMR 2020, 43.
15
C. Überblick zum Datenschutzrecht (2) 1Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. 2Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit des Datenschutzrechts dessen Anforderungen entsprechen. 3Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. Abs. 4 lit. c) bleibt hiervon unberührt. (5) Die Bestimmungen des Datenschutzrechts zum Schutz personenbezogener Daten bleiben unberührt.“
27 Hierbei zeigt sich ebenfalls ein ausweislich des o. g. Wortlauts bzw. der o. g. Hervorhebungen gar wechselseitiges Ineinandergreifen von Datenschutz- und sonstigem, vorliegend anwaltlichem Standesrecht. Es zeigt sich zudem erneut, dass die Anwalts- und somit Insolvenzkanzlei ab sofort auch aus standesrechtlichen Gründen zukünftig sensibler und umsichtiger sein sollte: von abgeschlossenen Aktenschränken über von diesen räumlich abgetrennten Besprechungszimmern, sodass i. E. auch hier nur Mitarbeiter der Kanzlei die Möglichkeit des Zugriffs auf personenbezogene Daten von Mandanten haben. Die EDV der Kanzlei darf dem natürlich nicht nachstehen. 28 An der Stelle soll hinsichtlich der Hierarchie bzw. dem Ineinandergreifen dieser und anderer Normen des Datenschutzrechts darauf hingewiesen werden, dass primär die DSGVO heranzuziehen ist (Art. 288 Abs. 2 AEUV, § 1 Abs. 5 BDSG 2018). Als Verordnung hat sie unmittelbare Wirkung in allen Mitgliedstaaten der EU. Bei vorhandenen DSGVO-Handlungsoptionen für die einzelnen EU-Mitgliedstaaten ist eine den Sachverhalt betreffende Regelung im jeweiligen LandesdatenschutzG bzw. BDSG 2018 zu berücksichtigen. Zukünftig wird sich für den Insolvenzverwalter neben „dem Insolvenzrecht“38) beim Bezug zu Daten in der Kanzlei bzw. im schuldnerischen Betrieb ein „…Hin- und Herspringen […]zwischen den oben dargestellten datenschutzrechtlichen Normen […] kaum vermeiden lassen….“39) Dies gilt ebenfalls für die zuvor genannten, weiteren datenschutzrechtlichen Vorschriften für spezielle Lebenssachverhalte wie die Fotografie etc. Mitunter normieren diese selbst, wie z. B. § 8 Abs. 5 VDG,40) dass die allgemeinen Datenschutzbestimmungen unberührt bleiben. Was dann wiederum solche Datenschutzbestimmungen des Landes-/Bundesdatenschutzgesetzes sowie der DSGVO meinen muss.
___________ 38) Als eine einheitliche Kodifizierung gibt es das nicht. 39) Dazu und zur Normenhierarchie Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 20 ff. 40) Siehe http://www.gesetze-im-internet.de/vdg/__8.html (Stand: 28.5.2020).
16
II. Datenschutzrechtliche Grundsätze Praxistipp: Im Datenschutzrecht gibt es keinen Bestandsschutz! Erwägungsgrund 171 lautet aber: „Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, sodass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“ Für die Anwaltskanzlei kann man hieraus sozusagen im Umkehrschluss vertretbar herleiten, dass eine Einwilligung von Mandanten etc. nicht rückwirkend eingeholt werden muss. Seit dem 25.5.2018 und ab dann für die Zukunft sollte jedoch Datenschutzkonformität vorliegen bzw. eine solche herbeigeführt werden.
II. Datenschutzrechtliche Grundsätze Um das Ergebnis vorwegzunehmen: Selbstverständlich unterliegt auch eine 29 Anwalts-, Steuerberater- oder sonstige Kanzlei41) dem Datenschutz in zuvor aufgezeigter, mitunter vielfältiger gesetzlicher Ausprägung. Warum und welche Grundbegriffe in dem Zusammenhang von Bedeutung sind, erläutert weiter einleitend das folgende Kapitel. 1. Anwendungsbereich der Datenschutzgesetze Art. 2 Abs. 1 DSGVO lautet:
30
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Hiervon nimmt Art. 2 Abs. 2 DSGVO aus: „Diese Verordnung findet keine Anwendung auf die Verarbeitung … […] c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten…“
Werden vom Anwalt einer Insolvenzverwalterkanzlei z. B. Telefonnummern 31 allein zu seiner persönlichen, privaten und familiären Verwendung in seinem EDV-System gespeichert, findet das Datenschutzrecht gemäß Art. 2 Abs. 2 lit. c) schon keine Anwendung. Ansonsten im Umkehrschluss grundsätzlich schon. Aber was ist nun unter einer Verarbeitung im vorgenannten und datenschutz- 32 rechtlichen Sinne zu verstehen? ___________ 41) Siehe exemplarisch darüber hinaus für den Bereich des Notariats https:// www.notarkammer-ffm.de/aktuelles/273-datenschutzgrundverordnung-rundschreibender-bundesnotarkammer-2.html (Stand: 17.8.2020) bzw. die Wirtschaftsprüfer https:// www.wpk.de/mitglieder/praxishinweise/datenschutz/ (Stand: 17.8.2020).
17
C. Überblick zum Datenschutzrecht
33 Das aktuelle Datenschutzrecht unterscheidet nicht mehr zwischen der Erhebung, Verarbeitung und Nutzung eines personenbezogenen Datums. Diese vormals vorzufindende Differenzierung zwischen der – kurz gefassten – Eruierung bzw. Ermittlung (= Erhebung), Einbringung in die bzw. Verwendung per EDV (= Verarbeitung) und z. B. Auswertung oder Verwendung dieser personenbezogenen Daten (= Nutzung) ist jedenfalls in der vormals z. B. in § 11 BDSG a. F. vorzufindenden Ziselierung seit 25.5.2018 weggefallen: Der aktuelle Oberbegriff der Verarbeitung beinhaltet diese Begriffe jedoch. Er geht aber auch weiter. Die diesbezügliche Legaldefinition des Art. 4 Nr. 2 DSGVO lautet: „Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Praxistipp: Die Hervorhebungen oben in der Legaldefinition des Art. 4 Nr. 2 DSGVO machen im Besonderen klar, dass vorbehaltlich des Datenschutzausschlusses nach Art. 2 Abs. 2 lit. c) im heutigen digitalen Zeitalter im Rahmen einer vermutlich zu 99 % per EDV arbeitenden Insolvenzkanzlei davon auszugehen ist, dass grundsätzlich jeder Umgang mit personenbezogenen Daten dem aktuellen Datenschutzrecht entsprechend zu erfolgen hat! Denn Erfassen, Organisation und Speicherung kann vorstellbar bereits bei dem o. g. Beispiel bei der Aufnahme einer Telefonnummer in das Smartphone des Insolvenzverwalters vorliegen. Die Verwendung durch Nutzung z. B. einer E-Mail-Adresse durch das Team der Insolvenzkanzlei und letztlich das Löschen, wenn z. B. E-MailBewerbungen nach Stellenbesetzung in der Kanzlei gelöscht werden. All dies42) und viele im Internetzeitalter durchweg gängige Umgangsformen mit Daten können eine Verarbeitung im datenschutzrechtlichen Sinne darstellen. Und das Datenschutzrecht kennt kein „erlaubtes Risiko“!43)
34 Aber was sind nun „personenbezogene Daten“? Denn nur um diese geht es beim Datenschutz! Hierzu hält Art. 4 Nr. 1 DSGVO eine weitere Legaldefinition vor: „Im Sinne dieser Verordnung bezeichnet der Ausdruck: … „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlineken-
___________ 42) Dazu ausführlich Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 20 ff. m. w. N. 43) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 13.
18
II. Datenschutzrechtliche Grundsätze nung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Die obigen Hervorhebungen stellen (abermals) zunächst klar, dass der Daten- 35 schutz nicht Daten schützt, sondern letztlich die Betroffenen.44) Also die natürlichen Personen, um deren zu schützende Daten es geht. In den Daten enthaltene Einzelangaben stellen den zu fordernden Personenbezug her. Wobei die mittelbare Identifizierbarkeit ausweislich des eindeutigen Gesetzeswortlautes ausreichend ist, um den Schutzbereich zu eröffnen. Dies führt dazu, dass selbst im Rahmen des sog. Data-Minings gewonnene 36 Rückschlüsse bzw. Identifizierungen einer Person ausreichend sein können, um die datenschutzrechtliche Relevanz zu begründen. Bei diesen technischen Verfahren des „Datengrabens“ werden im Einzelnen, ggf. sogar ohne eigenständige Aussagekraft, stehende Daten erst durch deren (statistische) Kombination, Auswertung und Wertung riesiger Datenmengen (z. B. im Hinblick auf die Ermittlung von Nutzerverhalten) zu relevanten personenbezogenen Daten i. S. v. Art. 4 Nr. 1 DSGVO. Beispiele für dementsprechende personenbezogene Daten können sein: x
Name und andere Identifikationsmerkmale
x
Kennnummern –
Standortdaten (der Kanzlei, aber ggf. auch einer Niederlassung des insolventen Betriebes; natürlich jeweils bei Mitarbeiterbezug)
–
Bankverbindung
–
Familienstand eines Schuldners
–
Vermögens-, Einkommens- und Bonitätsdaten
–
Qualifikationen
–
Tätigkeitszeiten
–
Kontaktdaten wie (E-Mail-)Adressen45), Telefonnummern
–
Fotografische Abbildungen, Videoaufnahmen u. v. m.
Insbesondere die Rechtsprechung46) postuliert in dem Zusammenhang seit 37 jeher eine weite Auslegung entsprechender Kriterien: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] ___________ 44) Auch „Data Subject“ genannt. 45) Sofern personalisiert wie z. B: [email protected]. 46) EUGH, Urt. v. 19.10.2016, Rs. C-582/14, NJW 2016, 3579; BGH, Urt. v. 16.5.2017 – VI ZR 135/13, BGHZ 215, 56.
19
C. Überblick zum Datenschutzrecht
erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“47). Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben.48) 38 Körperliche Merkmale, wie z. B. Behinderungen, Beziehungen, charakterliche Eigenschaften, genetische Daten, Gewerkschaftszugehörigkeit49) und andere „besonders“ bezogene Daten, können recht schnell gar in die besondere Kategorie personenbezogener Daten einzuordnen sein, deren Verarbeitung nach Art. 9 Abs. 1 DSGVO sogar grundsätzlich untersagt ist, es sei denn es liegen z. B. die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor.50) Praxistipp: Betroffene im datenschutzrechtlichen Sinne sind natürliche Personen zwischen ihrer Geburt und deren Tod. Für den Fall eines Nachlassinsolvenzverfahrens genießen die Daten des Erblassers also keinen Schutz mehr nach Datenschutzrecht! Erwägungsgrund 27 Satz 1 ist da eindeutig, er lautet: „… Diese Verordnung51) gilt nicht für die personenbezogenen Daten Verstorbener…“. Dies gilt selbstredend vorbehaltlich anderer Schutzvorschriften z. B. zum postmortalen Persönlichkeitsschutz,52) die von der Insolvenzkanzlei z. B. im Rahmen der Berichterstattung an das Gericht zu beachten sein können. Daten Dritter, z. B. potenzieller Erben oder/und Arbeitnehmer in dem Betrieb des Verstorbenen, sind jedoch vollständig datenschutzkonform durch den Insolvenzverwalter zu behandeln.
39 Zusammenfassend lässt sich sagen, dass die Chance sehr groß ist, im Zusammenhang mit der Tätigkeit als Insolvenzverwalter mit personenbezogenen Daten in Kontakt zu kommen. Man denke neben den vorgenannten Beispielen z. B. an die Verpflichtung des Insolvenzverwalters, nach Insolvenzeröffnung Zeugnisse für die Arbeitnehmer des fortgeführten Betriebs auszustellen. 2. Verantwortlicher für den Umgang mit Daten 40 Eine der essentiellen Fragen im modernen Datenschutzrecht ist die Frage nach dem „Verantwortlichen“. Verantwortung für den Umgang mit personenbezogenen Daten hat jedoch „nur“ der sog. Verantwortliche. Die Frage, ob der Insolvenzverwalter überhaupt und ab wann, in welchem Umfang für personenbezogene Daten verantwortlich ist, ist in den unterschiedlichsten Facetten und überaus differenziert zu betrachten; weil auch die „Verantwortung des Insolvenzverwalters“ bekanntlich variieren kann. Wobei sich nach heutigem ___________ 47) EUGH, Urt. v. 19.10.2016, Rs. C-582/14, Rn. 49, NJW 2016, 3579; BGH, Urt. v. 16.5.2017 – VI ZR 135/13, BGHZ 215, 56. 48) BGH, Urt. v. 16.5.2017 – VI ZR 135/13, BGHZ 215, 56. 49) Beispielsweise eines Mitarbeiters in dem schuldnerischen Betrieb. 50) Dazu ausführlich Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 9 DSGVO Rn. 10 ff. m. w. N. 51) Gemeint ist die DSGVO. 52) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 4.
20
II. Datenschutzrechtliche Grundsätze
Stand in Bezug zum Datenschutzrecht sicherlich die Frage stellt, ob der Datenschutzgesetzgeber, originäre Datenschutzrechtler, (Landes-)Datenschutzbeauftragte aber auch externe, ggf. von einem Insolvenzverwalter beauftragte Datenschutzbeauftragte diese insolvenzrechtlichen Besonderheiten präsent haben. Ausgangspunkt zur interdisziplinären Einordnung soll hier zunächst die Le- 41 galdefinition des Art. 4. Nr. 7 DSGVO sein: Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“
Unbestritten ist somit grundsätzlich jede natürliche oder juristische Person, 42 Behörde und Einrichtung, die relevante Daten verarbeitet, verantwortlich für den Datenumgang, aber z. B. auch bei Tätigkeitsauslagerung im Rahmen der Auftragsverarbeitung, etwa nach Beauftragung eines externen Dienstleisters durch den Insolvenzverwalter. Dass der Insolvenzverwalter „im klassischen Sinne“, also nach Eröffnung des 43 Insolvenzverfahrens und mit Übergang der Verwaltungs- und Verfügungssowie sonstiger Befugnisse i. S. d. §§ 80 ff. InsO, insbesondere im Hinblick auf die schuldnerische EDV bzw. dort vorhandenen Daten vermutlich unstreitig53) datenschutzrechtlich verantwortlich ist, zumindest sofern er in der Lage ist, über die Zwecke und Mittel der Verarbeitung zu entscheiden, dürfte sicher sein. Der Umgang damit – z. B. in einem Verbraucherinsolvenzverfahren, in dem sich die EDV beim Schuldner befindet und dort zur privaten Nutzung verbleibt, oder auch hinsichtlich einer evtl. Freigabe nach § 295 InsO – wird letztlich in Zukunft in der Schnittmenge aus Datenschutz- und Insolvenzrecht fortzuentwickeln sein. Im Ergebnis dürfte eine datenschutzrechtliche (Mit-)Verantwortlichkeit hin- 44 sichtlich der schuldnerischen EDV für den starken vorläufigen Insolvenzverwalter ebenfalls zu bejahen sein. Auf ihn ist die Verwaltungs- und Verfügungsbefugnis nach § 21 Abs. 1 Satz 1 InsO sozusagen bereits vor Eröffnung des Insolvenzverfahrens übergegangen. Das betrifft üblicherweise auch die EDV des Schuldners und somit sollte der starke vorläufige Insolvenzverwalter ebenfalls in die Lage versetzt sein, über die Zwecke und Mittel der Verarbeitung zumindest mitzubestimmen. Nach hiesiger Auffassung trifft diese datenschutzrechtliche Verantwortlich- 45 keit den lediglich „schwachen“ vorläufigen Insolvenzverwalter nicht. Auch ___________ 53) Woltersdorf, INDat Report 02/2018, 16.
21
C. Überblick zum Datenschutzrecht
den lediglich zum Gutachter bestellten Anwalt nicht – was beides im Hinblick auf die schuldnerische EDV bzw. dort vorhandenen Daten gemeint ist. Für die (schuldnerischen) Daten bei sich/in der Kanzlei sind Gutachter und der schwache vorläufige Insolvenzverwalter natürlich verantwortlich. 46 All den Vorgenannten ist jedoch eine Verantwortlichkeit für den datenschutzkonformen Umgang mit personenbezogenen Daten innerhalb ihrer Kanzlei zweifelsohne zuzusprechen! Denn jeder, der personenbezogene Daten nicht rein persönlich bzw. intrafamiliär für sich verarbeitet, also erhebt, speichert, ggf. auswertet oder weitergibt, kann Verantwortlicher sein.54) Im beruflichen Alltag ist regelmäßig der Inhaber der Insolvenzverwalterkanzlei – aber letztlich auch der Mitarbeiter – verantwortlich für Daten der Kanzleimitarbeiter, Mandanten und der Daten aus dem Insolvenzverfahren, die er z. B. für das Sachverständigengutachten (per Fragebogen oder Erstgespräch bzw. im Laufe des Ermittlungsverfahrens) erhebt, naturgemäß in der EDV speichert, insbesondere im Rahmen der Insolvenzgründe u. v. m., in seinem Sachverständigengutachten auswertet und letztlich an das Insolvenzgericht weitergibt. 3. Verbot mit Erlaubnisvorbehalt 47 Ein Blick ins Gesetz erleichtert die Rechtsfindung bekannterweise ungemein. Dies gilt auch für die Frage, wann die Verarbeitung personenbezogener Daten in der Insolvenzkanzlei nun überhaupt erlaubt ist. Denn es gilt das Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung ist verboten, außer sie ist im konkreten Einzelfall gestattet: a) Grundsätzliches (Art. 6 Abs. 1 DSGVO) 48 Art. 6 Abs. 1 Satz 1 DSGVO lautet: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
___________ 54) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 55.
22
II. Datenschutzrechtliche Grundsätze e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f)
die Verarbeitung ist im Interesse des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. […].“
Praxistipp: Bevor wir uns anhand der obigen Hervorhebungen den einzelnen Erlaubnistatbeständen im Anschluss grundsätzlich nähern, muss darauf hingewiesen werden, dass selbst, wenn ein Erlaubnistatbestand wie die Einwilligung vorliegen sollte, sich dieser auf den jeweiligen Verarbeitungsschritt zu beziehen hat. Wenn der Insolvenzkanzlei beispielsweise eine Einwilligung zur Datenerhebung für das Sachverständigengutachten vorliegen sollte, bedeutet dies also nicht, dass sich die Einwilligung auch auf eine Nutzung der Daten nach Insolvenzeröffnung bzw. gar zur Veräußerung im Rahmen eines Asset Deals bezieht. Hierauf muss in der Insolvenzkanzlei peinlichst genau geachtet werden! Das Landgericht Bonn55) hat in dem Zusammenhang plastisch ausgeführt: „…Vor diesem Hintergrund kann […] Vertragstreue insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mit geltendem Recht stehen, § 242 BGB. Gemessen an der Regelung des Art. 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten […] nur „für festgelegte, eindeutige und legitime Zwecke erhoben“ werden dürfen […] und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen […].“
b) Die einzelnen Erlaubnistatbestände des Art. 6 Abs. 1 Satz 1 DSGVO in Kürze und mit insolvenzrechtlichem Kontext Die Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen 49 Daten i. S. v. Art. 6 Abs. 1 Satz 1 lit. a) DSGVO stellt im Datenschutzrecht außerhalb der Schnittmenge zum Insolvenzrecht sicherlich einen der gängigsten Erlaubnistatbestände dar. Insbesondere im Internet und grundsätzlich eher außerhalb eines Arbeitsverhältnisses. Denn bei Letzterem stellt sich oftmals die Frage, ob die Einwilligung eines Arbeitnehmers gegenüber seinem Arbeitgeber freiwillig genug ist. Eine Einwilligung ist nämlich nur dann eine Einwilligung i. S. d. DSGVO, genauer der Legaldefinition in Art. 4 Nr. 11 (i. V. m. Art. 7 Abs. 3) DSGVO, wenn sie aktiv, bewusst, freiwillig, nach entsprechender Information und transparent sowie mit angemessenem Inhalt vorformuliert und dokumentiert erteilt wurde.56) ___________ 55) LG Bonn, Beschl. v. 29.5.2018 – 10 O 171/18, ZD 2018, 588. 56) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 61 ff. m. w. N.; Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 117, die Einwilligungsfähigkeit eines Bewerbers zur Weitergabe seiner Daten betreffend und im Ergebnis verneinend.
23
C. Überblick zum Datenschutzrecht
50 Exkurs: Einwilligung Eine wirksame Einwilligung im datenschutzrechtlichen Sinne setzt insbesondere Folgendes voraus:57) x
Auf der freien58) Entscheidung des Betroffenen beruhend, der
x
auf den konkret vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie […]
x
auf die Folgen der Verweigerung der Einwilligung hingewiesen wurde.
x
Grundsätzlich schriftlich in klarer Sprache abgegeben bzw.
x
besondere Hervorhebung, wenn die Einwilligung zusammen mit anderen Erklärungen wie Teilnahmebedingungen erteilt wird.
51 Auch wenn einige Insolvenzkanzleien in der Praxis dazu übergegangen sind, sich im Eröffnungsverfahren von dem Schuldner eine Einwilligung zur Datenverarbeitung geben zu lassen. Die Frage der Freiwilligkeit einer solchen Erklärung stellt sich nach Vorstehendem auf jeden Fall. Insbesondere bei einer natürlichen Person als Schuldner bereits (mittelbar) vor dem Hintergrund der angestrebten – und je nach Berichterstattung des Insolvenzverwalters i. E. ggf. nicht gewährten – Restschuldbefreiung. Zudem müsste diese Einwilligung – Freiwilligkeit unterstellt – im Hinblick auf jede Verarbeitung und wie zuvor dargestellt auch jeden Verfahrensschritt eines Insolvenzverfahrens i. w. S. erfolgen. Natürlich kann ein Schuldner nur in Bezug auf seine personenbezogenen Daten einwilligen, nicht etwa auf die Daten seiner Frau, z. B. deren Lohnbezüge. Seine Einwilligung wäre zudem jederzeit widerruflich nach Art. 7 Abs. 3 DSGVO. Letzteres ein Umstand, der bereits eine Einwilligung als Erlaubnistatbestand im Eröffnungsverfahren, neben den zuvor aufgezeigten Bedenken in datenschutzrechtlicher Hinsicht, nach hiesiger Auffassung kaum praktikabel macht (im Rahmen eines Asset Deals siehe Rn. 704 ff.). Dies gilt umso mehr, als eine Auffassung im Datenschutzbereich der Einwilligung ein „Verfallsdatum“ schon grundsätzlich zuerkennt und dazu rät, diese in angemessenen Zeitabständen zu erneuern:59) Beispielsweise für eine vor 17 Monaten erteilte Einwilligung, die seither nicht genutzt wurde. Auch wenn sich die Zwecke der Verarbeitung ändern bzw. entwickeln, soll die ursprünglich erteilte Einwilligung allein „per Zeitablauf“ nicht mehr zur Verarbeitung legitimieren! Es wird daher – schon außerhalb des Insolvenzverfahrens – eine Einwilligung regelmäßig zu wiederholen sein.60) ___________ 57) OLG Frankfurt/M., Urt. v. 24.1.2018 – 13 U 165/16, ZIP 2018, 644; dazu auch ausführlich Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 61 ff. 58) Man muss vermutlich sagen „absolut freien“ Entscheidung. 59) Artikel-29-Datenschutzgruppe, WP 259 rev.01, S. 25. 60) Dazu insgesamt ausführlich Artikel-29-Datenschutzgruppe, WP 259 rev.01, S. 24 ff. sowie die Entscheidung LG München v. 8.4.2010 – 17 HKO 138/10 (https://openjur.de/ u/483674.html, Stand: 29.5.2020).
24
II. Datenschutzrechtliche Grundsätze
Die Verarbeitung zur Erfüllung eines Vertrags scheidet im Insolvenzverfah- 52 ren als Erlaubnistatbestand, zumindest im Zusammenhang mit den Verfahrensdaten, wohl vom Sachverhalt her überwiegend aus. Bereits aufgrund des eindeutigen Wortlautes von Art. 6 Abs. 1 Satz 1 lit b) DSGVO: Eine (angehende) Vertragspartei muss demnach betroffene Person sein. Darüber hinaus muss die Datenverarbeitung zur Begründung, Durchführung oder/und Beendigung eines Vertrags erfolgen und nur Mittel zum Zweck sein, nicht Hauptzweck. Hier stellt sich gerade aber die Frage einer Ermächtigung zur Datenerhebung durch die Insolvenzkanzlei. Diese ist keine Vertragspartei des betroffenen Schuldners, was im Rahmen eines Mandatsverhältnisses61) in Richtung der Erhebung von Mandantendaten aber Legitimationsgrundlage sein dürfte. Es spricht viel dafür, dass die Verarbeitung durch die Insolvenzkanzlei zur 53 Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO), erforderlich ist. Dies setzt eine Verpflichtung des Verantwortlichen, Daten zu verarbeiten, kraft objektiven bzw. materiellen Recht voraus. In Deutschland begründen grundsätzlich Vorschriften wie §§ 11 ff. GewO, §§ 34 ff. BBiG, Paragrafen des allgemeinen Melderechts (§§ 30 Abs. 4 ff. BMG) sowie des Gefahrenabwehrrechts (§ 31a Abs. 1 PolG zu Fluggastdaten), aber auch Tarifverträge und Betriebsvereinbarungen derartige rechtliche Verpflichtungen.62) Mithin lässt sich der Intention dieses Praxisbuches an Vorschriften wie §§ 5, 20 bzw. 97 InsO denken. Nun normieren die §§ 5 und 20 InsO jedoch Verpflichtungen des Insolvenzgerichts zur Ermittlung bzw. Massesicherung und nicht des Gutachters. Ebenso auferlegt § 97 InsO dem Insolvenzschuldner Auskunfts- und Mitwirkungspflichten, nicht dem Insolvenzverwalter. Sinn, Zweck und Wortlaut dieser insolvenzrechtlichen Vorschriften lassen sich somit nicht zur unmittelbaren Herleitung einer Verarbeitungsberechtigung in der Insolvenzkanzlei heranziehen. Denkbar ist indes hier für den Insolvenzverwalter, z. B. § 175 InsO im Bereich der Insolvenztabelle grundsätzlich heranzuziehen. Vertretbar ist aber im Übrigen die insgesamt analoge Anwendung der vorgenannten insolvenzrechtlichen Vorschriften. Dies deckt sich zum einen mit den aktuellen Bestrebungen einer rechtordnungsübergreifenden Konkordanz zwischen Erbbzw. Steuerrecht und Datenschutzrecht. Zudem könnte das Postulat der Einheit der Rechtsordnung ergänzend herangezogen werden. Zum anderen wäre so auch eine Befugnis zur Verarbeitung personenbezogener Daten Dritter gegeben. Soweit für das jeweilige Stadium des Insolvenz(-eröffnungs-)verfahrens erforderlich. Denn auch hier gilt63) der von der Insolvenzkanzlei zu beachtende Erforderlichkeitsgrundsatz.64) ___________ 61) 62) 63) 64)
Eines „normalen“ Anwaltsmandates oder z. B. auch Sanierungsmandates. Im Einzelnen Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 16 ff. m. w. N. Wie grundsätzlich immer im öffentlichen Recht. Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 16 ff.; Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 117.
25
C. Überblick zum Datenschutzrecht
54 Exkurs: Wunsch an den InsO-Gesetzgeber65) Vorstehende Argumentation und analoge Anwendung wäre obsolet, würde auch der InsO-Gesetzgeber ähnlich wie im Bereich des Steuerrechts tätig werden. Jüngst wurde § 11 Steuerberatungsgesetz (StBerG) in der seit 18.12.2019 geltenden Fassung dahingehend als Ermächtigungsgrundlage ausgestaltet. In der Insolvenzverwalterpraxis wäre vieles einfacher, fände man de lege ferenda z. B. mit § 5a InsO eine entsprechende Norm in der Insolvenzordnung. Diese könnte – in Anlehnung an den am 12.12.2019 ausgefertigten Normtext für Steuerberater66) – wie folgt lauten: § 5a InsO (1) Soweit es zur Erfüllung der Aufgaben nach diesem Gesetz [also der InsO] erforderlich ist, dürfen personenbezogene Daten verarbeitet werden. Personenbezogene Daten dürfen auch für Zwecke künftiger Verfahren nach diesem Gesetz verarbeitet werden. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden. (2) Diese Verarbeitung personenbezogener Daten durch Personen und Gesellschaften erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften sind bei Verarbeitung sämtlicher personenbezogener Daten im Rahmen von Abs. 1 Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden. (3) Dritte sind den o. g. Personen und Gesellschaften gegenüber zur Auskunft auch im Hinblick auf personenbezogene Daten verpflichtet, soweit es zur Erfüllung derer Aufgaben nach diesem Gesetz erforderlich ist.
55 Dieser Paragraf hätte kurz gefasst folgende Vorteile: Es wäre klar gesetzlich normiert, dass es zur Abwicklung eines Insolvenz-, Sanierungs- oder gar Verbraucherinsolvenzverfahrens zulässig wäre, personenbezogene Daten des betroffenen Schuldners, aber auch im Betrieb, bei Gläubigern oder/und von Drittschuldnern oder/und Sonstigen vorhandene personenbezogene Daten zu verarbeiten, und zwar soweit es im Konkreten jeweils zur Erfüllung des gesetzlichen Auftrags eines insolvenzrechtlichen Mandatsträgers erforderlich wäre und letztlich auch den Verhältnismäßigkeitsgrundsatz wahren würde. Somit wäre aber zeitgleich der Insolvenz-Praktiker wieder in seinem gewohnten, nämlich insolvenzrechtlichen Rahmen. „Startschuss“ wäre dann der ent___________ 65) Dazu ausführlich Weiß, DATENSCHUTZ-BERATER 03/2020, 64. 66) Siehe https://www.gesetze-im-internet.de/stberg/__11.html (Stand: 6.2.2020).
26
II. Datenschutzrechtliche Grundsätze
sprechende gutachterliche Auftrag durch das bestellende Insolvenzgericht, vertretbar aber auch z. B. das erteilte außergerichtliche bzw. außerinsolvenzrechtliche Sanierungsmandat (Abs. 1 Satz1). Für den nicht seltenen Fall von „Zweitverfahren“, also abermaligen Insolvenzanträgen, würde Absatz 1 Satz 2 dafür sorgen, dass die (vormaligen) personenbezogenen Daten vorgehalten werden dürften. Natürlich wären darüber hinaus jeweils die datenschutzrechtlichen Vorgaben bzw. Selbstverständlichkeiten zu beachten. Die Aufnahme besonderer Kategorien personenbezogener Daten in § 5a InsO erscheint daher sinnvoll, da in Insolvenzgutachten nicht selten anlassbezogen zu Gewerkschaftszugehörigkeit, Gesundheit u. Ä. ausgeführt werden muss. Absatz 3 würde DENIC und Co. zur Auskunft verpflichten, aber auch berechtigten. Lebenswichtige zu schützende Interessen der betroffenen Person67) oder einer 56 anderen natürlichen Person i. S. v. Art. 6 Abs. 1 Satz 1 lit. d) DSGVO sind in einem Insolvenzverfahren grundsätzlich nicht vorhanden. Gegebenenfalls könnte man dies innerhalb eines Verfahrens mit pflegebedürftigen Personen in Betracht ziehen. Beispielsweise wird für diesen Erlaubnistatbestand in der datenschutzrechtlichen Literatur die Bekanntgabe von Daten aus einem Handyvertrag diskutiert, um dadurch mögliche Opfer vor Straftaten gegen Leib, Leben und Freiheit zur Abwehr schwerer Gefährdungslagen zu schützen.68) Eine für die Wahrnehmung einer Aufgabe – die im öffentlichen Interesse 57 liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde – erforderliche Datenverarbeitung (Art. 6 Abs. 1 Satz 1 lit. e) DSGVO scheidet im Rahmen der Insolvenzverwaltung aus. Es kann sich bei den Verarbeitern zwar auch um Privatpersonen, wie z. B. einen im Insolvenzrecht tätigen Rechtsanwalt oder Steuerberater handeln. Die zugewiesene Aufgabe im öffentlichen Interesse setzt aber eine Beleihung zur Wahrnehmung des öffentlichen Interesses voraus,69) woran es zwar nicht bei einem Notar, jedoch bei einem im Insolvenzrecht Tätigen regelmäßig scheitern wird. Selbst nach Insolvenzeröffnung übt ein Insolvenzverwalter kein Amt als Beliehener aus, sondern er ist Partei kraft Amtes. Letzter und derzeitig vermutlich bis zu einer wünschenswert einhelligen Auf- 58 fassung bzw. (höchst-)richterlichen Klärung zu Art. 6 Abs. 1 Satz 1 lit c) DSGVO stichhaltigster Legitimationsgrund für die Datenverarbeitung durch eine Insolvenzkanzlei im Rahmen des Insolvenzverfahrens welcher Ausprägung auch immer, dürfte sich aus Art. 6 Abs. 1 Satz 1 lit. f) DSGVO70), der Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, ergeben: Im Grundsätzlichen setzt dies nämlich im Gleichordnungsverhält___________ 67) 68) 69) 70)
Hier also beispielsweise des Schuldners. Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 20 m. w. N. Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 23 f. Dazu bereits ausführlich Robrahn/Bremert, ZD 07/2019, 291 ff.
27
C. Überblick zum Datenschutzrecht
nis unter Privaten71) eine Abwägung der durch die Datenverarbeitung jeweils berührten Interessen voraus. Sie fordert darüber hinaus dreierlei,72) wozu nachfolgend kurz Stellung genommen wird: 1. Berechtigte Interessen des Verantwortlichen oder Dritter: Der Gutachter – aber auch der Insolvenzverwalter – hat nicht zuletzt aufgrund des gerichtlichen (Gutachten-)Auftrags – bzw. mit dem Amt nach Insolvenzeröffnung – ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten, insbesondere des Schuldners, soweit für den jeweiligen „Auftrag“ nötig. 2. Erforderlichkeit der Datenverarbeitung: Die Erforderlichkeit der Erhebung dieser Daten dürfte – bei Beachtung der noch zu erörternden Grundsätze der Datensparsamkeit etc. – unstreitig sein. Denn sowohl die Gutachtenabfassung, aber auch die Abwicklung des Insolvenzverfahrens als (vorläufiger) Insolvenzverwalter ist ohne Erhebung, Verarbeitung, ggf. Weitergabe auch personenbezogener Daten nicht möglich. 3. Keine überwiegenden berechtigten Interessen des Betroffenen: Bei Berücksichtigung des Vorstehenden ist kaum ersichtlich, wie die berechtigen Interessen des Betroffenen überwiegen sollen. Handelt es sich um eine natürliche Person und einen Eigenantrag, hat er bereits seinerseits das Interesse auch an der Datenverarbeitung etc. klar zum Ausdruck gebracht. Läge hingegen ein Fremdantrag vor, mag das anders zu beurteilen sein. Das berechtigte Interesse des Verantwortlichen in der Ausübung seines Berufs als Sachverständiger bzw. Insolvenzverwalter überwiegt neben dem „noch schwerer wiegenden“ Interesse des Antragstellers an dem geordneten Insolvenzverfahren und letztlich dem Interesse der Gläubigergesamtheit definitiv die Datenschutzinteressen eines Schuldners. Eine andere Einordnung bzw. ein anderes Abwägungsergebnis wäre nur vorstellbar bei „Datenexzessen“ in der Insolvenzkanzlei. Aber dem lässt sich durch die möglichst datenschutzkonforme Bearbeitung vorbeugen. Praxistipp: Aktuell lässt sich „die Ermächtigungsgrundlage“ zur Verarbeitung personenbezogener Daten in der Insolvenzkanzlei nur herleiten. Evtl. bis zu einer Klarstellung durch Literatur/Rechtsprechung bzw. den nationalen Gesetzgeber kann jedoch Art. 6 Abs. 1 Satz 1 lit. c) Erfüllung einer rechtlichen Verpflichtung jedenfalls analog für eine solche Verarbeitung als Legitimation streiten; wie dargestellt je nach Abschnitt des Insolvenzverfahrens.73) Noch klarer jedoch die Verarbeitung zur Wahrung der berechtigten Interessen (Art. 6 Abs. 1 Satz 1 lit. f) DSGVO). Dafür spricht auch der in Zusammenhang mit lit. f) je-
___________ 71) Wie z. B. dem Insolvenzschuldner und dem Anwalt der Insolvenzkanzlei. 72) Dazu ausführlich Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 26 ff. m. w. N. 73) Was die Handlungsgrundlage für die Insolvenzkanzlei i. E. immer noch zu differenziert und somit unsicher macht.
28
II. Datenschutzrechtliche Grundsätze denfalls zu beachtende Art. 21 Abs. 1 DSGVO. Zwar wird nach dieser Norm ein Widerspruchsrecht des Betroffenen eingeräumt, sofern Gründe vorliegen, die sich aus der besonderen Situation des Betroffenen ergeben. Trotz eines solchen Widerspruchs – und etwa anders als bei der eingangs genannten Einwilligung – kann die Verarbeitung der für das jeweilige Verfahrensstadium notwendigen personenbezogenen Daten des Schuldners, seiner Familie, aber auch der Arbeitnehmer eines schuldnerischen Betriebs zur Insolvenzgeldvorfinanzierung u. v. m. in der Insolvenzkanzlei weiter erfolgen, sofern zwingend schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Was insbesondere bei einer Verarbeitung, die der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient, ausweislich Art. 21 Abs. 1 Satz 2 DSGVO der Fall sein soll. Hier kann auf den gerichtlichen Gutachtenauftrag per Beschluss, den Auftrag und die Rechtsmacht des Insolvenzverwalters nach §§ 80 ff. InsO, auf §§ 129 ff. InsO für Anfechtungsrechtsstreite und letztlich über §§ 160 ff. InsO auch im Hinblick auf einen Asset Deal u. v. m. verwiesen werden. Weiteren und verfahrensdienlichen Ermächtigungsspielraum wird es nicht geben; ein solcher wird bei einer letztlich insolvenzrechtlichen Auslegung des aktuellen Datenschutzrechts aber auch nicht nötig sein. Erst recht nicht, falls der Gesetzgeber obiger Anregung nach einem § 5a InsO nachkommen sollte.
4. Das Transparenzgebot und die Rechenschaftspflicht des Datenschutzrechts Das Datenschutzrecht moderner Ausprägung, mit dem sich dieses ZRI Pra- 59 xisbuch befasst, hat insbesondere das Transparenzgebot und die Rechenschaftspflicht, letztlich somit auch die Informations- und Benachrichtigungspflicht des Verantwortlichen ausgeweitet. Dies schlägt sich insbesondere in den in Art. 5 Abs. 1 lit. a) DSGVO normierten Grundsätzen für die Verarbeitung personenbezogener Daten nieder: „Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)…“.
Bereits das BVerfG hatte 1983 in seinem Volkszählungsurteil klargestellt, dass 60 es kein belangloses personenbezogenes Datum gäbe, und es darüber hinaus retrospektiv nachvollziehbar sein müsse, die Datenverarbeitung in jedem Schritt nachzuverfolgen.74) Dies weiten DSGVO und letztlich auch BDSG 2018 noch aus. Das Transparenzgebot soll dem Betroffenen vom Schutzniveau her gewährleisten, hinsichtlich seiner Daten nicht nur bestmöglich geschützt zu sein. Er soll auch bestmöglich informiert sein, insbesondere um sich „mündig“ gegen einen Schutz seiner Daten zu entscheiden75) – so er dies denn möchte. Auf das grundsätzliche Verbot mit Erlaubnisvorbehalt wird hier erneut verwiesen! Folgende Beispiele zeigen auf, in welche Bereiche das ___________ 74) BVerfGE 65, 1, 43. 75) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 5 DSGVO Rn. 18 ff. m. w. N.
29
C. Überblick zum Datenschutzrecht
Transparenzgebot hineinspielt – und zwar grundsätzlich vor Verarbeitung, der Klarheit halber chronologisch an der Stelle Erhebung, der Daten: x
Unterrichtung des Betroffenen
x
Einwilligung, insbesondere Text der Einwilligung
x
Aufgrund welcher gesetzlicher Grundlage die Verarbeitung stattfindet
x
Identität des Verantwortlichen
x
Zweckbestimmungen der Datenverarbeitung
x
Ggf. Kategorien von Datenempfängern u. v. m.
x
Alles zuvor in leicht verständlicher, einfacher Sprache.
61 Wie ernst der DSGVO-Gesetzgeber Vorstehendes meint, zeigt die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO: „(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
62 Sobald die Insolvenzkanzlei also für personenbezogen Daten verantwortlich ist,76) hat sie die in Art. 5 Abs. 1 DSGVO legaldefinierten Grundsätze der Datenverarbeitung von dem oben kurz dargestellten Transparenzgebot über die Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit zu beachten. Und nicht nur das. Rechenschaft bedeutet an der Stelle eine Beweislastumkehr:77) Die Insolvenzkanzlei muss sozusagen exkulpierend beweisen können, dass und wie den Grundsätzen für die Verarbeitung personenbezogener Daten eigenverantwortlich nachgekommen wurde und wird. Praxistipp: Daher sei auch hier an den Sinn bzw. die Obliegenheit einer entsprechenden Dokumentation durch die Insolvenzkanzlei erinnert! An dieser Stelle zeigt sich für die Insolvenzkanzlei die Wichtigkeit einer Dokumentation über den Umgang mit Daten, insbesondere in Form von Verzeichnissen von Verarbeitungstätigkeiten nach Art. 30 DSGVO (siehe Rn. 193 ff.), die Einwilligung (siehe Rn. 705 ff.), Auftragsverarbeitung (siehe Rn. 320 ff.) u. v. m. betreffend.
5. Der Grundsatz der Datensparsamkeit und Datenvermeidung, Pseudonymisierung und Anonymisierung 63 Für die Insolvenzkanzlei gilt es im Übrigen, den Grundsatz der Datensparsamkeit und Datenvermeidung zu beachten. Gemäß Art. 5 Abs. 1 lit. c) DSGVO bedeutet dies insbesondere, dass – bezogenen auf den jeweiligen Zweck der ___________ 76) Sei es kanzleiintern i. e. S., sei es kanzleiintern für Daten Dritter wie die eines Schuldners, sei es extern im Rahmen einer Betriebsfortführung etc. 77) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 5 DSGVO Rn. 51 f. m. w. N.
30
II. Datenschutzrechtliche Grundsätze
Datenverarbeitung – eine solche Verarbeitung nur im notwendigen Umfang erfolgen darf. Es gilt also durch die Kanzlei so wenig wie möglich und nur so viel wie nötig an Daten zu verarbeiten. Auch die Datenverarbeitungsprozesse der Insolvenzkanzlei sind vorher und fortlaufend auf Datensparsamkeit zu prüfen.78) An der Stelle muss ergänzend – und zwar im Ergebnis sicherlich noch einmal 64 den in der Insolvenzkanzlei zu verarbeitenden Datenumfang einschränkend – explizit darauf hingewiesen werden, dass der eindeutige Wortlaut von Art. 5 Abs. 1 lit. c) DSGVO mit den Worten „… dem Zweck angemessen und erheblich…“ keine Zweifel an der Relevanz des Postulates der Datenminimierung lässt. Praxistipp: Bitte immer im Hinterkopf behalten: Wofür benötige ich die Daten bei der Verarbeitung gerade? Im Ermittlungsverfahren für das Gutachten? Zur Vorbereitung einer Insolvenzgeldfinanzierung? Nach Insolvenzeröffnung zur Kündigung der Arbeitnehmer des Schuldners, für die Insolvenztabelle oder evtl. die übertragende Sanierung? Datenschutzrechtlich muss die Insolvenzkanzlei davon ausgehen, dass es unzulässig sein dürfte, sich im Ermittlungsverfahren alle „vielleicht einmal“ benötigten Daten „auf Halde“ zu legen! Das eingangs erwähnte Motto „Bringen Sie mal alle Daten mit, die wir vielleicht brauchen können“ kann heute datenschutzrechtlich schnell heikel werden!
Maßnahmen des Datenschutzes sind auch das Pseudonymisieren oder gar 65 Anonymisieren personenbezogener Daten in der Insolvenzkanzlei. Unter Anonymisieren79) ist das Verändern personenbezogener Daten derart, 66 dass die Einzelangaben über persönliche oder sachliche Verhältnisse nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft oder im Ergebnis eigentlich gar nicht mehr (!)80) einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, zu verstehen. Dergestalt anonymisierte Daten unterliegen bereits aufgrund fehlender, auch fehlender mittelbarer Zuordenbarkeit bereits im Umkehrschluss aus Art 4 Nr. 1 DSGVO nach hiesiger Auffassung81) nicht mehr dem Datenschutzrecht; was auch Erwägungsgrund 26 in Sätzen 5 und 6 bestätigt: „5Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h., für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. 6Diese Verordnung betrifft
___________ 78) Dies gilt natürlich sinngemäß auch für den Schuldner bzw. den Betrieb solange der Insolvenzverwalter für die personenbezogenen Daten dort verantwortlich ist. 79) Vormals legaldefiniert in § 3 Abs. 6 BDSG alt. 80) Zu den unterschiedlichen Stufen einer Zuordenbarkeit z. B. Paal/Pauly-Ernst, DS-GVO/ BDSG, Art. 4 DSGVO Rn. 48 ff. m. w. N. 81) Anders z. B. Hornung/Wagner, ZD 5/2020, 223, 228, die gerade in der Anonymisierung eine Verarbeitung nach Art. 4 Nr. 2 DSGVO i. E. bejahen.
31
C. Überblick zum Datenschutzrecht somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“
67 Paradebeispiel für eine Anonymisierung sind geheime Abstimmungen bei politischen Wahlen. Dort ist nicht nachvollziehbar, welcher Wähler welche Stimme abgegeben hat. Bezüge zwischen den Datensätzen sind nicht (mehr) vorhanden. 68 Die o. g. Anonymisierung geht über die Pseudonymisierung hinaus. Pseudonymisierung82) meinte nach der Legaldefinition des § 3 Abs. 6a BDSG a. F.„ (ähnlich jetzt Art. 4 Ziff. 5 DSGVO)… das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen [eben dem sog. Pseudonym, also z. B. einem Code oder Kürzeln wie „CW“ anstatt „Christian Weiß“] zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren…“. Es muss sich jedoch vor Augen gehalten werden, dass Satz 2 von Erwägungsgrund 26 ausdrücklich lautet: „… Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Praxistipp: Diese Differenzierung im Hinblick auf die ggf. noch oder wieder herzustellenden Bezüge zwischen den in der Insolvenzkanzlei vorhandenen Datensätzen gilt es zu beachten. Während bei anonymer Verwendung z. B. von Arbeitnehmerdaten, Schwerbehinderteneigenschaften o. Ä. wie dargestellt gar keine datenschutzrechtlichen Probleme mehr gegeben sein dürften, kann dies bei lediglich pseudonymisierten Daten je nach Kontext wieder anders werden. Es ist jedoch schon ein Fortschritt hin zum Datenschutz in der Insolvenzkanzlei, wenn schon Namen nicht mehr im Volltext verwendet werden. Mit der Zeit wird man feststellen, dass dies, also die „Plain-Text“-Namenswidergabe nämlich nicht in jedem Fall (beispielsweise Kinder des Schuldners betreffend) erforderlich ist. Je nach Zweck, z. B. Ausführungen zu Unterhaltsverpflichtungen des Schuldners im Gutachten, dürfte es ausreichend sein, auszuführen, dass folgende Zahl an Unterhaltsverpflichtungen besteht. Zudem kann hier noch mal das Postulat der Datenminimierung von gerade in Erinnerung gebracht werden.
6. Erweiterte Betroffenenrechte, insbesondere das Recht auf Auskunft, Vergessenwerden und Datenportabilität 69 Der Auskunftsanspruch83) eines Betroffenen wird „über kurz oder lang“ nahezu auch in jeder Insolvenzkanzlei gestellt werden – sei es vonseiten eines Schuldners, eines (ehemaligen) Arbeitnehmers der Kanzlei oder/und des Schuldners etc. Gemäß Art. 15 Abs. 1 DSGVO haben nämlich Betroffene das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn dies nicht ___________ 82) Ausführlich dazu Roßnagel, ZD 06/2018, 243. 83) Dazu ausführlich z. B. Brink/Joos, ZD 11/2019, 483 ff.
32
II. Datenschutzrechtliche Grundsätze
so sein sollte, hat die Insolvenzkanzlei dem Anfragenden eine entsprechende Negativerklärung zu erteilen. Sollte dem jedoch in der Insolvenzkanzlei oder/und dem fortgeführten Schuldnerbetrieb nicht so sein, also Daten verarbeitet werden, hat der Anfragende dem jeweils Verantwortlichen gegenüber ein Recht auf Auskunft über eben diese Daten und deren Verarbeitung etc., wie: x
Verarbeitungszwecke
x
Kategorien personenbezogener Daten
x
geplante Speicherdauer
x
Löschung
x
Widerspruchs-/Beschwerderecht u. v. m.
Negativ abgrenzen lässt sich dies u. a. von zurückliegender/bereits bekannter 70 Korrespondenz zwischen den Beteiligten, internen Vermerken oder dem Betroffenen bereits Bekannten.84) Des Weiteren sind dem Auskunftsanspruch auch insoweit Grenzen gesetzt, als dieser einem Selbstzweck dient und rechtsmissbräuchlich ist.85) Der Auskunftsanspruch per se dient zur Bestimmung der Richtigkeit der Daten. Das Recht auf Vergessenwerden (Right to be forgotten)ist in Art. 17 DSGVO 71 normiert als Recht des Betroffenen auf Löschung, mit dem die Verpflichtung des Verantwortlichen korrespondiert. Letztlich bedeutet dies, dass vonseiten des Verantwortlichen auch die technischen Voraussetzungen vorgehalten werden müssen, um dem Löschungsanspruch unverzüglich nachkommen zu können (zu den sog. TOM siehe Rn. 222 ff.).86) Jedoch ist nicht in jedem Fall ein Löschungsverlangen Voraussetzung.87) Beispielsweise mit Zweckerfüllung, wie der Gutachtenabfassung oder Stellenbesetzung, kann ohne ein solches Begehr aus Art. 17 DSGVO eine Löschungsverpflichtung hergeleitet werden. Praxistipp: So hat das LG Frankfurt/M88). zutreffend (im Zusammenhang mit Suchmaschinen) festgestellt, dass eine ursprünglich rechtmäßige Verarbeitung personenbezogener Daten zu einem späteren Zeitpunkt Gegenstand eines Löschungsanspruchs sein kann!
___________ 84) Illustrativ dazu LG Köln, Urt. v. 19.6.2019 – 26 S 13/18, ZD 09/2019, 413 ff. 85) LG Heidelberg, Urt. v. 21.2.2020, GWR 2020, 254. 86) Siehe dazu ausführlich Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 2 ff. m. w. N. 87) Zur (unionsrechtlichen) Überprüfung durch das Bundesverfassungsgericht ausführlich BVerfG v. 6.11.2019 – 1 BvR 16/13 („Zum Recht auf Vergessen I“) bzw. v. 6.11.2019 – 1 BvR 276/13 („Zum Recht auf Vergessen II“), Leitsätze RDV 01/2020, 30f./ Pressemitteilungen a. a. O., 49. 88) LG Frankfurt/M., Urt. v. 28.6.2019, Az. 2-03 O 315/17, ZD 09/2019, 410 ff., LS 2.
33
C. Überblick zum Datenschutzrecht
72 Mit Art. 20 DSGVO, der Datenportabilität, wird abermals Datenschutz (auch) durch Technik gewährt: Ein Betroffener soll nach Art. 20 DSGVO seine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausverlangen oder alternativ zur Übermittlung an einen Dritten verlangen dürfen. Schon naturgemäß setzt dies voraus, dass sich die Insolvenzkanzlei mit entsprechender Hard- und Software sowie Verarbeitungsverzeichnissen und anderen Maßnahmen des Datenmanagementsystems rüstet (siehe Rn. 196 ff., 306 ff.), um einem nach Art. 20 DSGVO berechtigten – bei Zuwiderhandlung nach Art. 83 DSGVO bußgeldbewährten – Anspruch89) auch nachkommen zu können. 73 Denn letztlich verlangen Artt. 12, 24 DSGVO auch der Insolvenzkanzlei eine datenschutzkonforme Datenschutzorganisation ab. Eine solche gilt es sukzessive zu schaffen und permanent ähnlich den bisher bereits bekannten Säulen einer Zertifizierung aktuell fortzuentwickeln. Nicht nur den Umständen in der Insolvenzkanzlei oder/und dem jeweiligen Schuldner entsprechend, sondern auch und fast schon maßgeblich, dem Stand der Technik entsprechend. 74 Die nächsten, nicht abschließenden und an dieser Stelle kurz skizzierten Punkte sollen die allgemeinen Grundsätze des Datenschutzes zunächst abschließen: 75 Die sehr weitreichenden Informationspflichten nach Artt. 13 bzw. 14 DSGVO sind auch in der Insolvenzkanzlei unbedingt zu beachten. Praxistipp: Ein entsprechendes Muster (Informationspflicht gemäß Artt. 12 ff. DSGVO für Verfahrensbeteiligte), das nach Ansicht der Autoren ausreichend wäre,90) ist im Kapitel O. unter Rn. 874 abgedruckt.
76 Diese Normen regeln katalogartig, welche Informationen, wie z. B. die Mitteilung des Datenschutzbeauftragten der Insolvenzkanzlei, dem Betroffenen durch die Insolvenzkanzlei konkret mitzuteilen sind. Werden die Daten im Wege der Direkterhebung, also „beim Betroffenen selbst erhoben“, ist Art. 13 DSGVO einschlägig. Beispielsweise sind dies durch den Insolvenzverwalter bei dem Schuldner selbst erhobene Daten. Verarbeitet die Insolvenzkanzlei indes personenbezogene Daten, die nicht „beim Betroffenen“ selbst, sondern bei einem Dritten erhoben wurden, ist im Hinblick auf die entsprechende Information des Betroffenen durch die Insolvenzkanzlei Art. 14 DSGVO einschlägig. Etwa bei Erhebung personenbezogener Daten des Schuldners bei Dritten wie Banken etc. Weil die betroffene Person in einem solchen Fall oftmals keine Kenntnis von der Erhebung hat, sieht Art. 14 DGSVO grund___________ 89) Dazu im Einzelnen Paal/Pauly-Paal, DS-GVO/BDSG, Art. 20 DSGVO Rn. 9 ff. 90) Ohne Anspruch auf Richtigkeit/Vollständigkeit und insbesondere ohne ausdrückliche Zustimmung einer Aufsichtsbehörde bzgl. der Verwendbarkeit im konkreten Falle.
34
III. Erstes Zwischenergebnis für die Insolvenzverwalterkanzlei
sätzlich weitergehende Informationspflichten vor als Art. 13 DSGVO, nämlich insbesondere gemäß Art. 14 Abs. 2 lit. f) DSGVO zusätzlich die Verpflichtung, über die Herkunft der empfangenen Daten91) aufzuklären. Praxistipp: Im insolvenzverwaltenden Alltag haben sich bereits unterschiedliche Arten der Handhabung der Pflichten nach Artt. 13f. DSGVO gezeigt: Teilweise werden entsprechende Informationen per separatem Hinweisblatt übermittelt. Andere Kanzleien sind dazu übergegangen, diese obligatorischen Informationen sozusagen standardmäßig auf die Rückseite ihres Kopfbogens – ähnlich den AGB eines Lieferanten – aufzudrucken. Wichtig ist jedenfalls, dass informiert wird; und zwar auch hier wieder vollständig, präzise, klar, leicht verständlich – und grundsätzlich vor der Erhebung bzw. vor einer vielleicht in Zukunft anders gearteten Verwendung der ehemals erhobenen Daten zu einem anderen Zweck!92) Zudem ist zu beachten, dass Artt. 13 f. DSGVO auch im anwaltlich-beratenden bzw. prozessualen Bereich Anwendung findet.
An eine Datenpanne i. S. v. Art. 33 DSGVO ist auch in der anwaltlichen 77 Praxis schnell zu denken: Ein Hackerangriff auf die EDV der Insolvenzkanzlei, ein fehlgeleitetes Fax mit personenbezogenen Daten, eine falsch adressierte E-Mail, das verlorene Notebook bzw. Smartphone des Insolvenzverwalters ohne technische Sperrvorkehrungen u. v. m.; teilweise also eigentlich ganz Lapidares können Sachverhalte sein, in denen eine Risikoabwägung bzw. gar Meldung93) binnen 72 Stunden (siehe Art. 33 Abs. 1 DSGVO) angezeigt sein kann. Zudem ist hier abermals an die Dokumentationspflicht bzw. Dokumentationsempfehlung zu erinnern (Art. 33 Abs. 5 DSGVO). Im Einzelnen siehe Rn. 432 ff. III. Erstes Zwischenergebnis für die Insolvenzverwalterkanzlei und weitere Problemfelder Bereits an dieser Stelle wird ganz eindeutig klar, dass eine Insolvenzkanzlei 78 den Datenschutz in vielfacher Weise nicht ignorieren kann. Nicht zuletzt aufgrund der Verschärfung der Haftung bzw. zu erwartender Mehrung bußgeldbewehrter Verstöße, letztlich aber auch aufgrund der (Selbst-)Verpflichtung zu einer modernen Insolvenzverwaltung und ordnungsgemäßen bzw. bestmöglichen Durchführung des Insolvenzverfahrens (§§ 1, 60 ff. InsO), wird der Datenschutz jede Insolvenzkanzlei weiterhin permanent begleiten. Daher soll auf die potenziellen Schadenersatzrisiken (Art. 82 DSGVO), evtl. Ordnungswidrigkeiten (Art. 83 DSGVO) oder gar Straftaten im Zusammenhang ___________ 91) Paal/Pauly-Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 11 ff. m. w. N. 92) Paal/Pauly-Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 1. 93) Zum Umgang mit Datenpannen siehe das Bayerische Landesamt für Datenschutzaufsicht, https://www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf (Stand: 17.8.2020); zu Auslegungsfragen in dem Zusammenhang ausführlich Taeger, RDV 01/2020, 3 ff.
35
C. Überblick zum Datenschutzrecht
mit datenschutzwidrigem Verhalten (Art. 84 DSGVO i. V. m. § 42 BDSG) nur der Vollständigkeit halber hingewiesen werden. 79 Darüber hinaus zeigt sich auch beim Datenschutz erneut und derzeit aktueller denn je, dass die Insolvenzverwaltung (schon vor Inkrafttreten des „neuen“ Datenschutzrechts) ein besonderes Betätigungsfeld darstellt. Dies zeigen folgende weitere praktische Problemfelder in der Schnittmenge aus Insolvenzverwaltung und Datenschutzrecht: x
Wie sieht es mit Datenschutzverstößen beim Schuldner gar vor Insolvenzantrag aus? Die Berliner Landesbehörde hat sich hier in der Praxis mit ihrem Auskunftsbegehren an den Insolvenzverwalter gewandt.
x
Es kann davon ausgegangen werden, dass die datenschutzrechtlichen Pflichten bei Insolvenz bestehen bleiben.
x
Aktuell sind datenschutzrechtlich keine Privilegierungen des Insolvenzverfahrens ersichtlich. Ein Finanzierungsvorbehalt dürfte den datenschutzrechtlichen Anforderungen auch nicht entgegengehalten werden können. Was ist aber nun tatsächlich, wenn der Insolvenzverwalter MUZ anzeigen musste? Oder der schwache vorläufige Insolvenzverwalter eine Zustimmung zu Maßnahmen zur Behebung von Datenschutzproblemen beim Schuldner schlichtweg nicht erteilen durfte, weil die Liquidität dies nicht hergab?
x
(Nicht behobene) Datenschutzprobleme beim Schuldner können nicht nur zu Schwierigkeiten bei der Verwertung, sondern gar Wertminderung von (immateriellen) Assets wie Daten oder EDV führen. Zurecht räumen die von Woltersdorf94) befragten Insolvenzverwalterkollegen daher dem Datenschutz auch im Unternehmen den „Prüfpunkt der Priorität A“ ein. Von einer Sanierungsvereitelung aufgrund Datenschutzes als WorstCase-Szenario ganz zu schweigen.
x
Ist in (Verbraucher-)Insolvenzverfahren, die bis dato nicht unübliche Verwertung von lediglich einigen 100 € werten Smartphones, Tabletts etc. des Schuldners noch vertretbar, wenn jedenfalls die datenschutzkonforme Sichtung, Löschung bzw. Übertragung leicht einen ähnlichen Betrag kostet bis der Insolvenzverwalter ein ihn exkulpierendes Zertifikat eines Fachunternehmens zu den Akten nehmen kann? Praxistipp: Bis zu einer (rechtssicher) herbeigeführten praktischen Konkordanz aus Datenschutz- und Insolvenzrecht empfiehlt es sich für den Insolvenzverwalter bei (sich abzeichnenden) Problemen bzw. Problemfeldern wie den zuvor Aufgezeigten, die Möglichkeit der Abstimmung mit dem in-/externen Daten-
___________ 94) Woltersdorf, INDat Report 02_2018, 15.
36
IV. Strafbarkeit, Bußgelder und Schadensersatz schutzbeauftragten, aber auch den jeweils zuständigen Landesdatenschutzbehörden zu suchen.95) Letztere erhalten regelmäßig Anfragen auch von öffentlichen Stellen, deren Beantwortung – wie hier im Rahmen der Fußnoten auch gezeigt – gar veröffentlicht werden. Im Anschluss könnte sich die entsprechende Abstimmung mit dem Insolvenzgericht oder gar einer entsprechenden Abstimmung der Gläubigerversammlung über eine Nichtverwertung von Daten bzw. datenschutzkonformer Löschung stattdessen wegen überwiegender Datenschutzrisiken anbieten. Jedenfalls empfiehlt sich die anlassbezogene Dokumentation interner bzw. externer Erwägungen und Abstimmungen.
IV. Strafbarkeit, Bußgelder und Schadensersatz Man muss sich vor Augen führen, dass die Verletzung datenschutzrechtli- 80 cher Bestimmungen in vielfacher Weise Folgen mit sich ziehen kann, sie gar sanktioniert bzw. pönalisiert ist. Insbesondere nicht nur aufgrund hinreichender Pressemeldungen zu den „neuen Bußgeldern in (bis dato vermeintlicher96)) Millionenhöhe“97) i. S. v. Art. 83 DSGVO, sollten diese auch in Insolvenzkanzleien als Besorgnis bzw. Befürchtung im Vordergrund stehen. Der Datenschutz ist ohnehin also ernst zu nehmen! Exemplarisch verhängte der Berliner Datenschutzbeauftragte ein empfindliches Bußgeld i. H. v. 200.000 € gegen den Betreiber eines Online-Lieferdienstes, und zwar quantitativ wegen „nur“ bis zu zehn Verstößen gegen die Auskunftspflicht gemäß Art. 15 DSGVO. Qualitativ zeigt diese Sanktionsmaßnahme zudem, dass gerade die Grundsätze des Datenschutzes zwingend zu beachten und nicht erst ein Einschreiten der Behörden abzuwarten sind! Letztlich gelang dem betroffenen Unternehmen – zu Recht – nämlich eine Exkulpation mittels Vorschützung technischer Fehler oder/und Mitarbeiterversehen nicht. Die Grenze gar zu einer evtl. Strafbarkeit ist für die Insolvenzkanzlei aber 81 auch und insbesondere im Zusammenhang mit schuldnerischen Daten relativ leicht nahe: 1. § 42 BDSG 2018 § 42 BDSG 2018 lautet auszugsweise98):
82
„(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,
___________ 95) Was ebenso Woltersdorf, INDat Report 02_2018, 16, empfiehlt, auch zur Vermeidung der Verringerung liquider Mittel bzw. von Bußgeldern; Letztere sollen lediglich einfache Insolvenzforderungen sein; riskant, aber jedenfalls letztlich das Risiko einer Nutzungsuntersagung durch die Behörde. 96) Siehe https://www.saarbruecker-zeitung.de/saarland/saarland/dsgvo-20-verfahren-imsaarland-wegen-verstoessen-gegen-den-datenschutz_aid-34324465 (Stand: 17.8.2020). 97) Eine Übersicht zu den mitunter erheblich bußgeldsanktionierten Verhalten findet sich im Anhang. 98) Hervorhebung seitens der Autoren.
37
C. Überblick zum Datenschutzrecht 1.
einem Dritten übermittelt oder
2.
auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt.
(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, 1.
ohne hierzu berechtigt zu sein, verarbeitet oder
2.
durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
[…]“
83 Kurz zusammengefasst wird nach Vorstehendem ein gewerbliches Verhalten in einem Mehrpersonenverhältnis umfasst: Rechtswidriges Handeln gegen den/die Verantwortlichen bzw. Betroffenen – und zwar mit dem Ziel der Weitergabe der personenbezogenen Daten entweder an jemanden Bestimmten oder einen unbestimmten Personenkreis.99) Die Einzelheiten sollen hier dahinstehen. Einschlägig ist jedenfalls ein rechtswidriger bzw. unberechtigter Zugriff z. B. auf eine Datenbank; was sich sehr leicht auf die Insolvenzkanzlei bzw. einen von dort verwaltenden schuldnerischen Betrieb vom Sachverhalt und den tatsächlichen Gegebenheiten her übertragen lässt. Selbst wenn der Zugriff nicht auf eine solche Datenbank erfolgt und mit der wohl herrschenden Auffassung100) das Tatbestandsmerkmal einer „großen Zahl“ bei mehr als 20 betroffenen Personen verwirklicht sein soll, sind auch solche Quantitäten in der Insolvenzkanzlei bei entsprechenden Verfahren grundsätzlich schnell vorhanden bzw. vorstellbar. 84 Zudem ist darauf hinzuweisen, dass sozusagen im Umkehrschluss datenschutzrechtlich gefordert wird, dass die verarbeitende Stelle bzw. der Verantwortliche mit einem dementsprechenden Datenschutzmanagement de facto bestehende Schwachstellen beseitigt.101) 2. Sonstige infrage kommende Strafvorschriften 85 Darüber hinaus und bitte lediglich exemplarisch:102) Beispielsweise im Rahmen der (vorl.) Betriebsfortführung eines Unternehmens, das Internetportale pornografische oder „schlimmere“ Inhalte (§§ 184 ff. StGB) zur Verfügung stellt bzw. Webseiten mit strafbaren Werbeinhalten nach § 16 UWG erstellt, stellt sich schnell die Frage nach einer Beihilfe des (vorläufigen) Insolvenzverwalters; zum Beispiel zu § 202a StGB: Hier ist die Bestimmung der Daten aus Sicht des Verfügungswillens des legitimen Datenbesitzers maßgeblich. ___________ 99) 100) 101) 102)
38
Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 1 ff. Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 6. m. w. N. Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 4. Siehe dazu auch die bei Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 6 erwähnten Strafvorschriften.
IV. Strafbarkeit, Bußgelder und Schadensersatz
Sind die Daten also nicht für „Täter“ bestimmt? Insbesondere bei der Benutzung fremder Kennungen durch den Insolvenzverwalter oder in seinem Auftrag ist eine Einzelfallbetrachtung mehr als ratsam, um eine (Beihilfe-)Strafbarkeit zu vermeiden. Im Rahmen des „Verrats von Geschäfts-/Betriebsgeheimnissen“ i. S. v. § 17 86 Abs. 2 UWG a. F.; 204 StGB ist jedermann tauglicher Täter. Auch Software oder andere Daten sind taugliches Tatobjekt. Dies sollte sich der Insolvenzverwalter insbesondere im Rahmen der Vorbereitung eines Asset Deals immer vor Augen führen und entsprechend agieren. Der sog. „Datendiebstahl“ meint insbesondere unbefugtes Kopieren bzw. 87 Inbesitznehmen oder Besitzverschaffen von digitalen Daten bzw. Festplatten; selbst wenn diese der Täter zunächst legal erlangt hatte.103) Weitere Strafvorschriften des StGB in der Schnittmenge aus Persönlich- 88 keits-/Datenschutzrecht und Insolvenzverfahren i. S. v. Art. 84 DSGVO können sein:104) x
§ 201a Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen
x
§ 202 Verletzung des Briefgeheimnisses
x
§ 202b Abfangen von Daten
x
§ 202d Datenhehlerei
x
§ 203 Verletzung von Privatgeheimnissen
x
§ 303a Datenveränderung
x
§ 303b Computersabotage u. v. m. Praxistipp: Zwar normiert insbesondere § 43 Abs. 3 BDSG ein Antragserfordernis und somit den Strafantrag des Betroffenen, des für den Datenschutz Verantwortlichen oder/und der (Bundes-)Datenschutzbehörde. Werden die oben unter a) genannten „Schwellenwerte“ insbesondere im Mehrpersonenbereich nicht verwirklicht, soll zudem keine Strafbarkeit, sondern lediglich ein Bußgeldverfahren einschlägig sein. Unstreitig soll im Datenschutzbereich von den entsprechenden Normen jedoch eine präventive und abschreckende Wirkung ausgehen. Den Strafverfolgungsbehörden und Strafgerichten wird gar aufgegeben, auch das Nebenstrafrecht nunmehr entsprechend und zwar letztlich erfolgreich anzuwenden.105)
___________ 103) Achenbach u. a.-Heghmanns, HdB Wirtschaftsstrafrecht, Kap. 6, Rn. 237. 104) Die Vorschriften können unter dem entsprechenden Stichwort im Internet jederzeit abgerufen werden; siehe auch Anhang. 105) Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 6 u. 11 f.
39
C. Überblick zum Datenschutzrecht Die oftmals im Betrieb vorzufindende Datensituation wie Datenabflüsse u. v. m. werden daher den Insolvenzverwalter in Zukunft fordern: wegen des präventiven Charakters und der Forderung eines dementsprechenden Datenmanagementsystems und zur Vermeidung einer Beihilfestrafbarkeit. Schließlich darf in der Insolvenzkanzlei die Verpflichtung zur Strafantragstellung bei entsprechenden Anhaltspunkten nicht vergessen werden!
3. Exkurs: Der (immaterielle) Schadensersatzanspruch nach Art. 82 DSGVO 89 Seit Inkrafttreten der DSGVO sieht unsere Rechtsordnung mit Art. 82106) DSGVO – neben den in diesem ZRI Praxisbuch abgehandelten Informations-/Auskunfts-/Berichtigungs- und sonstigen Ansprüchen des Betroffenen, (präventiven) Ordnungswidrigkeits- und Strafbarkeitsnormen – auch Schadensersatzansprüche des Betroffenen wegen Verstoßes des Verantwortlichen oder Auftragsverarbeiters gegen die DSGVO vor, und zwar wegen materiellen oder immateriellen Schadens (Art. 82 Abs. 1 Halbs. 1 a. E. DSGVO). Ein Novum im deutschen Recht. Die DSGVO ist unmittelbar geltendes Recht auch in Deutschland und sie begründet eben mit der Anspruchsgrundlage des Art. 82 einen unmittelbaren deliktsrechtlichen Anspruch.107) Vorstehendem entsprechend ist Zweck dieses Schadensersatzanspruchs neben Prävention etc. der Ausgleich erlittener materieller und immaterieller Schäden des Betroffenen aus einer Verletzung seines allgemeinen Persönlichkeitsrechts – ohne die uns bis dato aus dem deutschen Recht, insbesondere § 253 BGB, bekannten Einschränkungen. Und zwar von jedem „Unternehmen“, das eine Niederlassung in der EU hält und personenbezogenen Daten verarbeitet oder verarbeiten lässt – unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der EU stattfindet (Art. 3 Abs. 1 DSGVO). 90 Mithin ist jede Insolvenzkanzlei grundsätzlich potentiell passivlegitimiert. Der Insolvenzverwalter eines Betriebs ist in der Pflicht, beispielsweise auch, wenn dort die personenbezogenen Daten in der Cloud auf einem Server in Indien oder wo auch immer liegen! Anspruchsgegner ist ausweislich Art. 82 Abs. 2 DSGVO der Verantwortliche i. S. v. Art. 4 Nr. 7 DSGVO und ebenso der Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO. In unserer Schnittmenge aus Insolvenz- und Datenschutzrecht also der Insolvenzverwalter, aber auch der von ihm beauftragte EDV- oder sonstige Dienstleister. 91 Aktivlegitimiert ist grundsätzlich der Betroffene – vorstellbar also auch Kunden oder/und ehemalige Arbeitnehmer108) des Schuldners etc. ___________ 106) Weitergehend der zugehörige Erwägungsgrund Nr. 146, https://dsgvo-gesetz.de/ erwaegungsgruende/nr-146/ (Stand: 17.8.2020). 107) Sackmann, ZIP 2017, 2450; Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 1. 108) Wybitul/Neu/Strauch, ZD 05/2018, 202, 203 f.
40
IV. Strafbarkeit, Bußgelder und Schadensersatz
Im Hinblick auf die Pflichtverletzung des Auftragsverarbeiters ist zunächst 92 Art. 82 Abs. 2 Satz 2 DDSGVO zu berücksichtigen. Demnach haftet der Auftragsverarbeiter nur, wenn er x seinen speziell auferlegten Verpflichtungen der DSGVO oder x den rechtmäßig erteilten Anweisungen des Verantwortlichen (also grundsätzlich des Insolvenzverwalters) nicht nachgekommen ist. Letzteres impliziert in dem Zusammenhang wieder eine Haftungsmöglich- 93 keit für den Insolvenzverwalter. Grundsätzlich meint eine Pflichtverletzung i. S. v. Art. 82 DSGVO jeden Ver- 94 stoß gegen deren Bestimmungen in formeller oder/und materieller Hinsicht – insbesondere Verstöße gegen die allgemeinen Grundsätze des Art. 5 DSGVO. Es sei denn, es liegt ein lediglich Bagatell- oder individuell empfundener Verstoß vor.109) Dieser – noch vom EuGH zu bestätigenden Auffassung, sprich Negativabgrenzung – ist gerade aus hiesiger Praxiserfahrung beizupflichten: Wäre ein Betroffener (Schuldner) im Ergebnis in der Lage, gegen den Insolvenzverwalter wegen lediglich individuell empfundener Unannehmlichkeiten gar ein Schmerzensgeld auf Grundlage des Art. 82 DSGVO zu erstreiten, würde das Datenschutzrecht nicht nur ad absurdum geführt. Dieses Ergebnis käme dem analogen, aber fiktiven Beispiel gleich, dass der Betroffene/Schuldner einen Schadensersatzanspruch hätte, nur weil er es individuell als „zu nah“ empfunden hat, wie der Insolvenzverwalter an ihm vorbeigefahren ist. Im Übrigen: Der durch Missachtung der datenschutzrechtlichen Vorschriften eingetretene Schaden muss darüber hinaus kausal auf diesem Verhalten beruhen, was sich aus der Formulierung „wegen“ in Art. 82 Abs. 1 Halbs. 2 DSGVO herleiten lässt.110) Gemäß Art. 82 Abs. 3 DSGVO wird der Pflichtverletzer von seiner Haftung befreit, wenn er nachweist, dass er für den Umstand, aufgrund dessen der Schaden eingetreten ist, in „keinerlei Hinsicht“ verantwortlich ist. Es handelt sich hier um einen Entlastungsbeweis,111) dem jedenfalls der Nachweis des Verschuldens,112) ggf. aber auch objektive Pflichtverletzung und
___________ 109) Dazu insgesamt: Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 6 ff. m. w. N. und die Rechtsprechung des AG Diez, Urt. v. 7.11.2018 – 8 C 130/18 BeckRS 2018, 28667; LG Karlsruhe, Urt. v. 2.8.2019 – 8 O 26/19, ZD 11/2019, 511; OLG Dresden Beschl. v. 11.6.2019 – 4 U 760/19, ZUM-RD 2020, 26. 110) Siehe im Übrigen dazu ausführlich Kohn, ZD 11/2019, 498, 499 ff. 111) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 15 m. w. N. 112) Zur Beweislastumkehr nur auf dieses Tatbestandsmerkmal beschränkt siehe OGH (Österreich) v. 27.11.2019 – 6 Ob 217/19h.
41
C. Überblick zum Datenschutzrecht
Kausalität der Insolvenzkanzlei oder eines beauftragen Datenverarbeiters sowie Schaden zugänglich sind.113) Praxistipp: Auch wenn ein Verstoß gegen die DSGVO allein nicht zu einem Schadensersatz aus generalpräventiven Gründen führen soll.114) Die bloße Beteiligung an einer Datenverarbeitung kann recht schnell zur Haftung ausreichen!115) Es kann daher nicht oft genug die Bedeutung der datenschutzrechtlichen Grundsätze betont werden, die es in der Insolvenzkanzlei und bei deren Auftragsverarbeitern zu beachten gilt. Eine Exkulpation nach Art. 82 Abs. 3 DSGVO wird nämlich nur möglich sein, wenn alle datenschutzrechtlichen Vorschriften – nachweislich und vollumfänglich – erfüllt wurden. Bei Hackerangriffen und sonstigen Fällen rechtswidriger Eingriffe Dritter ist insbesondere die Einhaltung des Stands der Technik zur Exkulpation von Relevanz. Im Übrigen: Das LG Karlsruhe116) hat eine „Bloßstellung durch unrechtmäßiges Zugänglichmachen von Daten“ als ausreichend angesehen für eine benennbare/tatsächliche Persönlichkeitsverletzung in dem Sinne!
V. Zur Beweislast und Sonstiges 95 Nach den allgemeinen Regeln trägt die verletzte Person bzw. der Betroffene grundsätzlich auch die Beweislast für die Schadensersatzansprüche nach Art. 82 DSGVO. Aufgrund des Umstands, dass der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO die Einhaltung seiner Datenschutzpflichten dokumentieren muss, kann vermutlich eine dahingehende Auskunftsverpflichtung bis hin zu einer Beweislastumkehr angenommen werden, sobald der Betroffene hinreichend substantiiert dargelegt hat, dass der Verantwortliche an der Verarbeitung beteiligt war und dem Betroffenen eben ein (immaterieller) Schaden im o. g. Sinne entstanden ist. Auch die umfassenden Informationspflichten nach Art. 12 ff. DSGVO erleichtern dem aktivlegitimierten Betroffenen vermutlich die Prozess- und insbesondere Beweisführung erheblich, insbesondere, wenn der verantwortliche Insolvenzverwalter in seiner Kanzlei oder dem von ihm verwalteten Betrieb die „Datenschutzbasics“ nachweislich nicht eingehalten hat, solche schlichtweg nicht vorhanden waren bzw. nicht geschaffen oder/ und aktualisiert wurden. 96 Mehrere Schädiger haften als Gesamtschuldner (Art. 82 Abs. 4 DSGVO), gleich ob sie als Verantwortlicher oder „lediglich“ Auftragsverarbeiter gehandelt haben. Die (internationale) Zuständigkeit richtet sich gemäß Art. 82
___________ 113) 114) 115) 116)
42
Hierzu differenzierend LG Karlsruhe, Urt. v 2.8.2019 – 8 O 26/19, ZD 11/2019, LS. 2. LG Karlsruhe, Urt. v 2.8.2019 – 8 O 26/19, ZD 11/2019, 511, LS 1. Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 15 m. w. N. LG Karlsruhe, Urt. v 2.8.2019 – 8 O 26/19, ZD 11/2019, 511, LS 1.
V. Zur Beweislast und Sonstiges
Abs. 6 DSGVO nach Art. 79 Abs. 2 DSGVO, die sachliche und örtliche wie gewohnt nach §§ 23, 71 GVG bzw. §§ 12 ff. ZPO.117) Aktuell hat Deutschland von der in den entsprechenden Konkretisierungs- 97 klauseln gewährten Möglichkeit, per entsprechenden Regelungen im BDSG Normierungen zu einer Verbandsklage zu gestalten, also der kollektiven Geltendmachung von Schadensersatzansprüchen, noch keinen Gebrauch gemacht.118) Ob die datenschutzrechtliche Haftung der o. g. Passivlegitimierten zukünf- 98 tig durch entsprechende Klauseln in AGB beschränkt oder gar ausgeschlossen werden kann, darf bezweifelt werden.119) Jedenfalls ein vollständiger Ausschluss scheint mehr als fraglich, allein schon nach Sinn und Zweck bzw. den Grundprinzipen der DSGVO bzw. letztlich dem Grundsatz eines Verbots mit Erlaubnisvorbehalt. Im Übrigen könnte ein solcher Ausschluss exemplarisch bei Hackerangriffen vorstellbar sein, sofern der Anspruchsgegner seinerseits alles denkbar Mögliche und Zumutbare proaktiv bzw. während oder/und nach einer solchen Attacke getan hatte, um den/die Betroffenen bestmöglich zu schützen. Denn Daten bzw. die dahinter stehenden natürlichen Personen sind auch nach Auffassung des EU-Datenschutzgesetzgebers bestmöglich zu schützen. Bis zu einer klarstellenden Entscheidung des EuGH bzw. der nationalen Gerichte zu diesem Thema sollte sich daher niemand auf einen Haftungsausschluss per AGB weder durch den Verantwortlichen, noch den Auftragsverarbeiter, verlassen. Die Schadensersatzhöhe ist aktuell nicht vorhersehbar. Während im „allge- 99 meinen Zivilrecht“ üblicherweise Schadensersatztabellen etc. zur Bestimmung der konkreten Höhe herangezogen werden, fehlen diese für immaterielle Schäden nach der DSGVO bis dato. Durchweg zeigt sich aber, dass selbst die uns bisher von dort bekannten Beträge nicht ausreichen dürften: Von einem erheblichen Sicherheitsaufschlag über eine Präventionsprämie zur unbedingten Durchsetzung des Datenschutzes neuer Ausprägung bis hin zu einer Pönalisierung datenschutzwidrigen Verhaltens sind viele „Aufschläge“ betraglich denkbar. Sie werden auch in der Literatur120) im Übrigen thematisiert. Bei den bisherigen Höhen von wenigen hundert bis wenigen tausend € dürfte es seit 2018 im Bereich des Datenschutzes sicherlich nicht verbleiben.
___________ 117) Hierzu und zur Regel-Verjährung nach § 195 BGB siehe Paal/Pauly-Frenzel, DS-GVO/ BDSG, Art. 82 DSGVO Rn. 18 ff. 118) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 1. 119) So i. E. bereits Sackmann, ZIP 2017, 2450, 2454. 120) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 13; Wybitul/Neu/Strauch, ZD 05/2018, 202 m. w. N.
43
C. Überblick zum Datenschutzrecht Praxistipp: Sackmann121) resümiert, dass sich auch beim Schadensersatzanspruch nach Art. 82 DSGVO abermals zeigt, „… welche horizontale Wirkung das Datenschutzrecht […] entfaltet und wie sorgfältig sich Unternehmen auf die neue Datenschutzordnung vorbereiten sollten.“ Die gilt für die Insolvenzkanzlei, aber auch den im Insolvenzverfahren vorhandenen schuldnerischen Datenbestand, Betrieb oder gar im Rahmen des Asset Deals für einen Insolvenzverwalter! In dem Zusammenhang darf auch nicht vergessen werden, dass neben der neuen Anspruchsnorm des Art. 82 DSGVO selbstredend weitere Ansprüche auf Grundlage des „regulären“ Vertragsrechts, aber auch des allgemeinen Deliktsrechts der §§ 823 ff. BGB möglich sind. Ob Art. 82 DSGVO sozusagen als überkompensatorischer oder „strafender“ Schadensersatz auch für jene Fälle datenschutzwidrigen Verhaltens „verwendet“ werden wird, in denen der Owi- oder gar Strafbarkeitsbereich nicht eröffnet ist, wird die zukünftige Praxis erst zeigen. Dem kann insgesamt sicherlich „nur“ durch bestmöglich datenschutzkonformes Verhalten der Insolvenzkanzlei nachgekommen werden.
VI. Befugnisse der Datenschutzbehörde (insbesondere nach Art. 58 DSGVO) 100 Korrespondierend zur inhaltlichen/materiellen Verschärfung des „neuen“ Datenschutzrechts sind auch die Befugnisse der Datenschutzbehörde im Wesentlichen in Art. 58 DSGVO ausgeweitet niedergelegt worden: „Art. 58 DSGVO Befugnisse Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen, […] den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten, gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
___________ 121) Sackmann, ZIP 2017, 2450, 2454.
44
VI. Befugnisse der Datenschutzbehörde (insbesondere nach Art. 58 DSGVO) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten, einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen, […] den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, […] eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls, […] Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten, […]“.
Zusammengefasst ist es den Bundes-/Landesdatenschutzbehörden somit ins- 101 besondere gestattet, die Beachtung des Datenschutzes vor Ort zu überprüfen,122) was das Betreten der Geschäftsräume während der Geschäftszeiten voraussetzt. Auch Einsicht in Geschäftsunterlagen steht der Behörde zu. Dem korrespondiert eine entsprechende Duldung durch den Auskunftspflichtigen bzw. Verantwortlichen, also im Fall dieses Praxisbuches jedenfalls dem schuldnerischen Betrieb, unter Einschränkungen der Insolvenzkanzlei. Für diese streitet nach wie vor123) – wenn auch nicht unmittelbar bei der reinen Insolvenzverwalterkanzlei – das Mandatsgeheimnis. In dem Zusammenhang ist darauf hinzuweisen, dass Art. 58 DSGVO keinen abschließenden Katalog an Berechtigungen der Aufsichtsbehörden enthält.124) Zudem gibt es ___________ 122) Also in der Insolvenzkanzlei, aber ggf. auch dem fortgeführten Schuldnerbetrieb. 123) Henke/Lührig/Härting, AnwBl. 5/2018, 263, 264. 124) Damit korrespondiert sozusagen, dass der Betroffene keinen Anspruch auf Vornahme einer bestimmten aufsichtsbehördlichen Maßnahme hat. Nur im Faller eine (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Ermessensreduzierung „auf Null“ bestehe ein Anspruch des Betroffenen auf aufsichtsrechtliches Einschreiten ähnlich dem Polizeirecht (so VG Ansbach, Urt. v. 8.8.2019 – AN 14 K 19.00272, BeckRS 2019, 30069.
45
C. Überblick zum Datenschutzrecht
nach Art. 58 Abs. 6 DSGVO die Möglichkeit, den Aufsichtsbehörden auch durch nationales Recht der EU-Mitgliedstaaten zusätzliche Befugnisse einzuräumen.125) Dem ist unser Gesetzgeber etwa in den §§ 8 ff. BDSG nachgekommen. In diesem 4. Kapitel des BDSG finden sie die Vorschriften über „Die oder den Bundesbeauftragten für Datenschutz und Informationsfreiheit“. Praxistipp: Um absehen zu können, was bei Anhaltspunkten eines (evtl.) Verstoßes gegen Datenschutzrecht auf die Kanzlei zukommen kann, hilft § 16 BDSG ausgezeichnet weiter. Diese Norm betrifft zwar streng genommen die Rechtsund Fachaufsicht. Aus ihr dürfte sich aber – nicht zuletzt aufgrund des öffentlich-rechtlichen Amtsermittlungs- sowie Verhältnismäßigkeitsgrundsatzes, auch was die Insolvenzkanzlei betrifft – ableiten lassen, dass die Datenschutzaufsichtsbehörden zunächst einen Verantwortlichen hinsichtlich des Umgangs mit Daten in seinem Verantwortungsbereichen unter Fristsetzung zur Stellungnahme auffordern werden; es sei denn dies ist wegen Gefahr im Verzug oder im öffentlichen Interesse untunlich. Was das vorgenannte Betreten der Kanzleiräume betrifft, ist auf § 16 Abs. 3 BDSG (für die Insolvenzkanzlei analog) zu verweisen: Hier findet sich eine gesetzliche Einschränkung des Post-/Fernmeldegeheimnisses des Artikels 10 GG. Zudem betrifft § 16 Abs. 3 Nr. 2 BDSG Amts- und insbesondere Steuergeheimnisse nach § 30 AO. Was insgesamt dafür sprechen dürfte, dass das Datenschutzrecht, insbesondere im Bereich der Behördenbefugnisse, bei jedenfalls konkretem Anlass eines Datenschutzverstoßes auch eigentlich zur Verschwiegenheit verpflichteten Mandatsträgern wie Rechtsanwälten und Steuerberatern vorgeht.
___________ 125) Paal/Pauly-Körffer, DS-GVO/BDSG, Art. 58 DSGVO Rn. 1.
46
D. Zwischenzeitliche Erfahrungen mit der DSGVO Die intensive und teilweise überzogene Berichterstattung zu den aktuell gel- 102 tenden Datenschutzgesetzen vor dem Inkrafttreten führte zu einer Sensibilisierung der Betroffenen und der Unternehmen. Bei Letzteren waren nicht selten Panik- und Überreaktionen erkennbar, obwohl viele Regelungen keine vollständig neuen Änderungen darstellten. Viele Vorschriften der DSGVO sind so oder so ähnlich bereits aus dem BDSG a. F. bekannt, was aber vermutlich aufgrund der vergleichsweise geringen Strafandrohungen weniger beachtet wurde als seit dem Jahr 2018. Noch aktuell wenden sich Ratsuchende aus „nicht kleinen Unternehmen“ an die Autoren mit dem sinngemäßen Tenor „der Datenschutz habe den Betrieb fast lahmgelegt“. I. Aufsichtsbehörden verzweifeln am neuen Datenschutzrecht Die ausführliche und wie bereits erwähnt, teilweise übertriebene Berichter- 103 stattung zur DSGVO und zu den Änderungen des Bundesdatenschutzgesetz führten ebenso dazu, dass die jeweiligen Betroffenen aufgrund der erhöhten Aufmerksamkeit ihre vermeintlich bestehenden Rechte seit dem vollumfänglichen Wirksamwerden der DSGVO verstärkt bei Unternehmen und Behörden geltend machen. Seit dem 25.5.2018 war ein stark erhöhtes Eingabeaufkommen bei den je- 104 weiligen Aufsichtsbehörden zu verzeichnen, so auch entsprechende Pressemitteilungen.126) Im ersten Monat nach dem Inkrafttreten seien bis zu zehnmal mehr Eingaben eingegangen, als in vergleichbaren Zeiträumen vor dem Inkrafttreten üblich gewesen war. Die Flut der Eingaben und Anfragen an die jeweiligen Aufsichtsbehörden hielt auch in der Folgezeit offenbar ungebrochen an. Die Aufsichtsbehörde Baden-Württemberg teilte mit, dass im ersten Monat 105 nach dem Stichtag allein 15.000 Mitteilungen zur Benennung eines Datenschutzbeauftragten eingingen. Auch sind im selbigen Zeitraum 211 Beschwerden von Betroffenen zu Datenschutzverstößen eingegangen und ebenso in den ersten zwei Wochen 83 Meldungen von Unternehmen wegen einer möglichen Datenpanne. Nach Angaben des Sprechers der Aufsichtsbehörde wurde diese Anzahl an Eingaben sonst in einem kompletten Jahr erreicht. Gemäß des Tätigkeitsberichts der Aufsichtsbehörde für das Jahr 2019 waren im Zeitraum von Januar bis Oktober insgesamt 196 Bußgeldverfahren anhängig.127) Die Anzahl der monatlichen Neueingänge hat sich durchschnittlich um 20 % erhöht. ___________ 126) Welt am Sonntag v. 1.7.2018, Onlineausgabe, https://www.welt.de/wirtschaft/ article178537272/DSGVO-Zahl-der-Beschwerden-im-ersten-Monat-bis-zu-zehn-Malso-hoch.html (Stand: 17.8.2020). 127) LfDI BW, 35. TB 2019, 1.11, Aktuelles aus der Bußgeldstelle, S. 40.
47
D. Zwischenzeitliche Erfahrungen mit der DSGVO
106 Auch die Berliner Aufsichtsbehörde ließ verlautbaren, dass die Eingaben stark gestiegen seien.128) Es gingen täglich so viele Beschwerden ein, wie sie vor dem Stichtag in vier Wochen eintrafen. Von Mai bis Juli 2018 seien 1380 Beschwerden von Betroffenen eingegangen, 344 Beschwerden waren es noch im Vorjahreszeitraum.129) Dies führte bei der Aufsichtsbehörde zu einem Rückstand bereits bei der Erstbearbeitung der jeweiligen Meldungen und im Umkehrschluss auch zu einer nicht unerheblichen Verzögerung bei der Bearbeitung und Mitteilung an die Betroffenen. 107 Auch im Jahr 2019 nahm die Anzahl der Beschwerden von Betroffenen nicht ab. Monatlich gingen durchschnittlich ca. 400 Eingaben von Betroffenen ein, was eine Verdreifachung seit Mai 2018 bedeutet.130) Der bereits im Jahr 2018 sprunghafte Anstieg an Meldungen von Datenpannen auf insgesamt 357 Meldungen wurde im Jahr 2019 nochmalig getoppt von insgesamt 1017 Meldungen.131) Des Weiteren wurde seitens der Berliner Datenschutzbehörde das erste Bußgeld in zweistelliger Millionenhöhe ausgesprochen. Bußgeldempfänger war die Deutsche Wohnen SE, wobei Verstöße für den Zeitraum Mai 2018 – März 2019 geahndet wurden. Das Bußgeld i. H. v. 14,5 Mio. € gegen die Deutsche Wohnen SE wurde erlassen, aufgrund des Verstoßes gegen Artt. 5, 25 Abs. 1 DSGVO. Das Unternehmen habe personenbezogene Daten von Mietern/Mieterinnen in seinen Systemen gespeichert, die keine Möglichkeit der Löschung vorsahen, und ohne die Prüfung, ob die Speicherung der Daten zulässig oder erforderlich ist. Zum Teil handelte es sich um sensitive Daten, deren ursprünglicher Erhebungszweck nicht mehr bestand und die einer Löschungsverpflichtung (Art. 17 DSGVO) unterworfen waren. Bei dem Bußgeld ist die Berliner Behörde unter dem möglichen Rahmen der Bußgeldbemessung von ca. 28 Mio. € geblieben. Weiterhin wurden gegen das Unternehmen aufgrund der unzulässigen Speicherung von personenbezogenen Daten Bußgelder zwischen 6.000 – 17.000 € in 15 konkreten Einzelfällen verhängt.132) Die Deutsche Wohnen SE teilte in einer Pressemitteilung mit, dass das Unternehmen gegen den Bußgeldbescheid vorgehen wird und stellte klar, dass sich die Vorwürfe auf die bereits abgelöste Datenarchivierungslösung bezogen.133)
___________ 128) Maja Smoltczyk, Berliner Datenschutzbeauftragte, gegenüber dpa, Becklink 2010027 (Stand: 17.8.2020). 129) Maja Smoltczyk, Berliner Datenschutzbeauftragte auf Anfrage der dpa, Welt-online, 23.8.2018. 130) BlnBDI, JB 2019, Kapitel 18, S. 219. 131) BlnBDI, JB 2019, Kapitel 15, S. 206. 132) Pressemitteilung der BlnBDI, 711.412. v. 5.11.2019, https://www.datenschutz-berlin.de/ fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf (Stand: 17.8.2020). 133) Pressemitteilung Deutsche Wohnen SE v. 5.11.2019, https://www.datenschutz-berlin.de/ fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf (Stand: 17.8.2020).
48
I. Aufsichtsbehörden verzweifeln am neuen Datenschutzrecht
Die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff, deren Aufgabe 108 in der Kontrolle der Bundesbehörden und anderen öffentlichen Stellen des Bundes liegt, berichtete von einem stark erhöhten Aufkommen. Im ersten Monat nach dem 25.5.2018 seien allein von den Finanzämtern 193 Meldungen in Bezug auf eine Datenpanne eingegangen.134) Des Weiteren teilte die Behörde Ende 2018 mit, dass es aufgrund von Personalknappheit zu Engpässen in der Bearbeitung von Eingaben kommt und sich zwischenzeitlich die Bearbeitung der einzelnen Meldungen um bis zu vier Wochen verzögert. Auch sei eine Beratung von Unternehmen aufgrund der Situation zu diesem Zeitpunkt nicht mehr möglich. In einer Pressemitteilung vom 9.12.2019 teilte der seit Januar 2019 tätige und 109 am 29.11.2018 vom Bundestag gewählte Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber mit, dass gegen den Telekommunikationsanbieter 1&1 Telecom GmbH ein Bußgeld i. H. v. 9,55 Mio. € verhängt wurde.135) Die Zuständigkeit des BfDI ergibt sich aus Art. 57 DSGVO i. V. m. § 9 BDSG, wonach der BfDI u. a. für die Aufsicht von öffentlichen Stellen zuständig ist, aber auch für Unternehmen, die für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen Daten verarbeiten (§ 9 Abs. 1 BDSG). Das Unternehmen habe nach Angaben des BfDI keine ausreichenden technisch-organisatorischen Maßnahmen (Art. 32 DSGVO) vorgehalten, um den Zugriff auf Kundendaten von Unberechtigten bei der telefonischen Kundenbetreuung zu verhindern. So war es möglich, allein durch Angabe des Namens und des Geburtsdatums eines Kunden dessen personenbezogene Kundendaten zu erhalten. Zusätzlich wurde gegen ein weiteres Kleinstunternehmen, wie ebenso der Pressemitteilung entnehmbar ist, ein Bußgeld i. H. v. 10.000 € verhängt, da dieses der Verpflichtung gemäß Art. 37 DSGVO zur Benennung eines Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. 1&1 Telecom hat unverzüglich angekündigt gegen den Bußgeldbescheid gerichtlich vorzugehen. Alle Aufsichtsbehörden gaben bereits 2018 bekannt, dass der Personalbe- 110 stand drastisch aufgebaut und entsprechende Ressourcen geschaffen werden müssen, um eine Durchsetzung der DSGVO zu gewährleisten – und damit auch die Beratung erfolgen könne. Dieser Anspruch wird nämlich zugleich untermauert vom Erwägungsgrund 120 zur DSGVO. In der Pressmitteilung des BfDI vom 18.11.2019 wurde die zugesagte Schaffung von 67 weiteren Stellen zu den bereits vorhanden 250 Stellen durch den Bundestag gelobt.136) Zu___________ 134) Andrea Voßhoff, Frankfurter Allgemeine Zeitung, Onlineausgabe, 25.6.2018. 135) Pressemitteilung BfDI v. 9.12.2019, https://www.bfdi.bund.de/DE/Infothek/ Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html (Stand: 17.8.2020). 136) Pressemitteilung BfDI v. 18.11.2019, https://www.bfdi.bund.de/DE/Infothek/ Pressemitteilungen/2019/28_BTst%C3%A4rktDatenschutzaufsichtsbeh%C3%B6rde.html (Stand: 17.8.2020).
49
D. Zwischenzeitliche Erfahrungen mit der DSGVO
gleich appelliert der Bundesbeauftragte an die Landesparlamente, auch die Landesaufsichtsbehörden zu stärken und diese besser auszustatten. II. Befürchtete Abmahnwelle blieb weiterhin aus 111 Die Vorschriften der DSGVO und die Unsicherheiten bei der Einhaltung der Regelungen ließen bei großen Teilen der Verantwortlichen die Angst vor einer Inanspruchnahme insbesondere im Rahmen von Abmahnungen wachsen. 112 Zum Teil verfielen Verantwortliche bei der Einführung der DSGVO in einen ausartenden Aktionismus. Grund hierfür war zum einen der nicht unerhebliche per Gesetz angedrohte Bußgeldrahmen. Zum anderen waren es aber auch die Befürchtungen hinsichtlich einer einsetzenden sog. „Abmahnwelle“, wenn z. B. die erforderlichen Datenschutzerklärungen auf den Internetseiten nicht den Erfordernissen der DSGVO gerecht werden. 113 Vereinzelt wurde in der Presse von Abmahnungen gesprochen. Während jedoch der Branchendienst „heise“ im Mai 2018 gar titelte: „DSGVO: Die Abmahn-Maschinerie ist angelaufen“137) und die Politik138) sozusagen prophylaktisch einen Schutz vor Abmahnungen wegen DSGVO-Verstößen forderte, ist eines festzuhalten: Von einer Abmahnwelle kann nach derzeitigem Stand nach wie vor nicht die Rede sein. Es soll nach Auffassung von Experten, Handwerks- und sonstigen Verbänden zwar vereinzelte und laut entsprechenden Mitteilungen tatsächlich „eine Handvoll“ Abmahnungen gegeben haben. Mehr aber auch nicht. Grund hierfür mag die Unsicherheit aufseiten der potenziellen Abmahner sein, ob überhaupt und welche Datenschutzverstöße wettbewerbsrechtlich abmahnfähig sind. Auch sprach sich die Regierung zwischenzeitlich klar dafür aus, die Möglichkeit von Abmahnungen zu beschränken. 114 Zum anderen ist jedoch auch rechtlich in dem Zusammenhang noch einiges streitig: Ein Teil der Literatur spricht sich für die Möglichkeit von Abmahnungen gemäß § 3a UWG aufgrund eines Datenschutzverstoßes aus.139) Es werden in den Regeln des Datenschutzes Marktverhaltensregeln gesehen i. S. d. § 3a UWG. Auch wurde diese Auffassung zum Teil von der Rechtsprechung vertreten.140)
___________ 137) Siehe https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerieist-angelaufen-4061044.html (Stand: 17.8.2020). 138) Siehe http://www.spiegel.de/forum/politik/datenschutzgrundverordnung-wirtschaftsfluegel-der-union-verlangt-schutz-vor-abmahnung-thread-756372-1.html (Stand: 17.8.2020). 139) Ausführlich dazu Wolff, ZD 06/2018, 248 m. w. N.; Schreiber, GRUR-Prax 2018, 373; Podszun/de Toma, NJW 2016, 2992. 140) LG Hamburg, Urt. v. 2.3.2017 – 327 O 148/16, ZD 2018, 186.
50
II. Befürchtete Abmahnwelle blieb weiterhin aus
Letzteres wurde vom LG Würzburg inhaltlich jedenfalls bestätigt. In seinem 115 Beschluss vom 13.9.2018141) entschied neben dem LG Hamburg nun eben auch das LG Würzburg, dass ein abmahnfähiger Wettbewerbsverstoß bei der Nutzung einer unzureichenden Datenschutzerklärung vorliegt. Entsprechend dem Beschluss können Wettbewerber Konkurrenten wegen eines Verstoßes gegen die DSGVO abmahnen. Dabei ist das Gericht davon ausgegangen, dass in einem Verstoß gegen bestehende Datenschutzgesetze eine Verletzung des Wettbewerbsrechts gemäß § 3a UWG zu sehen ist. Allerdings wurde ein vergleichsweise geringer Streitwert angesetzt i. H. v. 2.000 €. Die wohl herrschende Gegenmeinung vertritt im Wesentlichen142) die An- 116 sicht, dass die Sanktionsregeln in Art. 77 – 84 DSGVO – bis auf die Regelung in Art. 80 Abs. 2 DSGVO – abschließend sind. Argumentiert wird kurz gefasst damit, dass nunmehr im Gegensatz zum alten BDSG ein abschließender Sanktionskatalog vorliegt. Verstöße gegen die DSGVO können daher nicht nach § 3a UWG verfolgt werden143). Im Ergebnis sah es so auch das Landgericht Bochum144): Die fehlende Datenschutzerklärung auf der Webseite sei letztlich wegen Art. 77 – 84 DSGVO nicht nach UWG abmahnfähig. Es bleibt abzuwarten, wie sich die Rechtsprechung, insbesondere in einer 117 höchstrichterlichen Entscheidung, zukünftig mit etwaigen Ansprüchen auseinandersetzt, und ob und wann eine vom Gesetzgeber geplante Umsetzung der Beschränkung von Abmahnungen im Datenschutzrecht erfolgt. Nach jetzigem, oben dargestellten Stand sollte jedenfalls nach dem Vorsichtsprinzip nicht unerwartet bleiben, dass eine UWG-Abmahnung erfolgt, weil in den Vorschriften des Datenschutzes zum Teil Marktverhaltensregeln zu sehen seien, mit den entsprechenden Konsequenzen, die sich aus dem UWG etc. ergeben. Rein juristisch betrachtet, spricht insbesondere gegen eine Abmahnfähigkeit von DSGVO-Verstößen, dass Mitbewerber gar nicht anspruchsund somit auch nicht abmahnberechtigt sein dürften.145) Die OLGs Hamburg146) und Naumburg147) nahmen i. E. aber eine Abmahn- 118 fähigkeit von Datenschutzverstößen durch Wettbewerber an! Ebenso das OLG Stuttgart in seinem Berufungsurteil vom 27.2.2020.148) Es führte in seiner Begründung aus, dass die Rechtsbehelfe in Art. 77 – 84 DSGVO nicht abschließend geregelt sind. Eine europäische Verordnung könne von nationalen ___________ 141) 142) 143) 144) 145) 146) 147) 148)
LG Würzburg, Beschl. v. 13.9.2018 – 11 O 1741/18, LSK 2018, 22735. Ausführlich dazu Köhler, Editorial, ZD 8/2018, 337. Köhler/Bornkamm/Feddersen-Köhler, UWG, § 3a Rn. 1.40a. LG Bochum, Teil-Versäumnis- und Schlussurt. v. 7.8.2018 – I-12 O 85/18, LSK 2018, 25219. So auch Köhler, Editorial, ZD 8/2018, 337, 338. OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17, GRUR-Prax 2020, 163. OLG Naumburg, Urt. v. 7.11.2019 – 9 U 6/19, LSK 2019, 28387 mit zu Recht krit. Anmerkung Piltz/zur Weihen, Datenschutz-Berater 12/2019, 294. OLG Stuttgart, Urt. v. 27.2.2020 – 2 U 257/19, GRUR-Prax 2020, 163.
51
D. Zwischenzeitliche Erfahrungen mit der DSGVO
Normen ergänzt werden, sofern die Anwendbarkeit der Verordnung durch diese Normen nicht vereitelt wird und eine entsprechende Ergänzung bzw. Konkretisierung dem Willen des Verordnungsgebers entspricht. Aus diesem Grund sieht das Gericht die nationalen Bestimmungen des UWG für anwendbar, sofern es sich um einen Verstoß gegen Markt Verhaltensregeln handelt. In dem Sachverhalt, der dem Berufungsurteil zugrunde lag, hat ein Verantwortlicher es unterlassen, Kunden hinsichtlich der Vorgaben des Art. 13 DSGVO und in Bezug auf die dort niedergelegten Informationspflichten zu informieren. Das Gericht hält die Verpflichtung aus dem Art. 13 DSGVO für geeignet, Marktverhaltensregeln darzustellen. Praxistipp: Die Frage, die sich aber stellt, ist, ob es die Insolvenzkanzlei überhaupt so weit kommen lassen möchte. Streitwerte > 50.000 € sind in entsprechenden einstweiligen Verfügungsverfahren oder Rechtsstreiten als gering anzusehen.149) Daneben gelten vorstehende Ausführungen für Abmahnungen durch Mitbewerber, Wettbewerbszentralen etc.; aber nicht was die Betroffenenrechte angeht. Die Betroffenenrechte sind in jedem Fall durchsetzbar! Das Wichtigste: Schon nach heutigem Stand sind diese potenziellen (Datenschutz-)Risiken für die Insolvenzkanzlei leicht zu minimieren bzw. gar auszuschalten: Gegenstand der vorgenannten Entscheidung des LG Würzburg waren z. B. eine unzureichende Datenschutzerklärung bzw. eine nicht vorhandene SSL-Verschlüsselung der Webseite. Wegen der fehlenden Datenschutzerklärung bzw. Information nach Art. 13 DSGVO wird auf zuvor verwiesen. Spätestens mit Umsetzung der Informationen aus diesem ZRI Praxisbuch in der Insolvenzkanzlei sowie Fortschreibung ihrer Datenschutzprozesse ist diese vor Abmahnung – jedenfalls „dem Grunde nach“ – soweit wie möglich gefeit.
III. EuGH entscheidet zur gemeinsamen Verantwortlichkeit 119 Auch der Europäische Gerichtshof hat zwischenzeitlich einige richtungsweisende Entscheidungen erlassen. Er hat u. a. mit seiner Entscheidung am 5.6.2018 klarstellend zur gemeinsamen Verantwortlichkeit ausgeführt und geurteilt. 120 Entsprechend der Entscheidung ist ein Betreiber einer Fanpage auf einem Onlineportal – in diesem Sachverhalt auf dem Onlineportal Facebook – gemeinsam mit dem Betreiber des Onlineportals für die Verarbeitung der personenbezogenen Daten verantwortlich. Dieses Urteil erging zwar noch im Rahmen der Auslegung der Richtlinie 95/46/EG des europäischen Parlamentes und des Rates150) und hier speziell des Art. 2 lit. b) DSRL. Die Entscheidung
___________ 149) So LG Bonn, Beschl. v. 29.5.2018 – 10 O 171/18, ZD 2018, 588, ebenfalls zur DSGVO ergangen. 150) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt Nr. L 281 v. 23.11.1995, S. 0031 – 0050.
52
III. EuGH entscheidet zur gemeinsamen Verantwortlichkeit
kann aber sogleich als Auslegung für die DSGVO zurate gezogen werden und im speziellen als Erläuterung zum Art. 26 DSGVO verstanden werden.151) In dem Urteil152) stellte der EuGH klar, dass eine gemeinsame Verantwort- 121 lichkeit für die Verarbeitung von personenbezogenen Daten nicht immer auf eine Gleichrangigkeit der Einflussmöglichkeiten beruht. Allein die Einrichtung einer solchen Fanpage, für die zweifelsohne der jeweilige Betreiber dieser Fanpage verantwortlich ist, ist risikoerhöhend für den Betroffenen. Somit muss auch dieser Betreiber das Risiko mittragen, das sich aus der Verarbeitung der personenbezogenen Daten ergeben kann.153) Man mag nun sagen, diese Entscheidung hat, wenn überhaupt, nur entfernt Anknüpfungspunkte zu einer Insolvenz und somit zum Thema dieses Handbuches. Aber insbesondere mit Blick auf die Marketingaktivitäten einzelner Schuldner besteht eine nicht unerhebliche Wahrscheinlichkeit, im Rahmen eines Insolvenzverfahrens eine solche Fanpage bei Facebook oder auch bei einem anderen Onlineportal vorzufinden. Des Weiteren kann diese Entscheidung Auswirkung auf die Verantwortlichkeiten zur Verarbeitung von personenbezogenen Daten innerhalb eines Insolvenzverfahrens haben. Überspitzt gesagt, könnte es bereits bei der Erteilung des Sachverständigenauftrags durch das Gericht zu einer gemeinsamen Verantwortlichkeit des Sachverständigen und des Gerichts im Rahmen der Verarbeitung der personenbezogenen Daten kommen (im Einzelnen siehe Rn. 536 ff.). Als erste Erkenntnis aus den Ereignissen rund um die Umsetzung der DSGVO 122 und des BDSG bleibt festzuhalten, dass nicht nur aufseiten der Verantwortlichen häufig Punkte vernachlässigt oder auf die leichte Schulter genommen wurden, sondern die Intensität der Umstellung auch die Aufsichtsbehörden überrascht hat. Auch bei den Aufsichtsbehörden zeigten sich bei der Vorbereitung auf den Zeitpunkt des Inkrafttretens ebenfalls Defizite, u. a. bei der Personalausstattung und Infrastruktur. Gleichwohl ist im Jahre 2019 bereits zu beobachten, dass die Behörden gegen kleinere Unternehmen – anlassbezogen auch vereinzelt gegen Insolvenzverwalter – Verfahren anhängig machen und auch 4-stellige Bußgelder verhängen. Der Datenschutz ist und wird ergo in Zukunft mitnichten zu ignorieren sein!
___________ 151) Petri, EuZW 2018, 540. 152) EuGH, Urt. v. 5.6.2018 – C-210/16: Gemeinsame Verantwortlichkeit eines FanpageBetreibers und des dazugehörigen sozialen Netzwerks, ZD 08/2018, 357 (mit Anmerkung Marosi/MatthéSchulz, S. 361 ff.). 153) EuGH, Urt. v. 5.6.2018 – C-210/16: Gemeinsame Verantwortlichkeit eines FanpageBetreibers und des dazugehörigen sozialen Netzwerks, ZD 08/2018, 357 (mit Anmerkung Marosi/MatthéSchulz, 361 ff.).
53
E. Aus der Praxis – Datenschutz in der Kanzlei In der Insolvenzverwaltung hat der Datenschutz unzweifelhaft Einzug gehal- 123 ten und dies nicht erst seit dem 25.5.2018. Bereits 2011 attestierte Hartung154) dem Thema in der ZInsO eine gestiegene Bedeutung. Für die Sondersituation „Insolvenzverwaltung“ gebe es hingegen im Datenschutzrecht keine besonderen Regelungen, jedoch grundsätzlich auch keine Ausnahmeregelungen zugunsten des Insolvenzverwalters. Im Rahmen seiner Funktion als Insolvenzverwalter bei der Erhebung, Verarbeitung und Nutzung von Daten zur Erstellung des Berichts nach § 156 InsO sei dem Insolvenzverwalter die sparsame Nutzung von (personenbezogenen) Daten anzuraten.155) Heyer156) befasst sich mit einer weiteren Facette der Schnittmenge aus Insolvenzverfahren und Datenschutz – nämlich mit der Internetveröffentlichung amtlicher Informationen über Insolvenzverfahren. Mit der Virtuellen Gläubigerversammlung beschäftigte sich jüngst Martini157) u. a. Vor nicht allzu langer Zeit wurden die Regeln des Datenschutzes eher stief- 124 mütterlich behandelt und es wurden, wenn überhaupt, im Rahmen der ITSicherheit datenschutzrelevante Maßnahmen ergriffen. Die Maßnahmen wurden jedoch, zumindest in den meisten Fällen, aus Gründen des Eigenschutzes und weniger aus den Beweggründen, die personenbezogenen Daten der Betroffenen zu schützen ergriffen. Intensivere Bemühungen und Überlegungen für einen effektiven Datenschutz der vorhandenen personenbezogenen Daten eines Insolvenzverfahrens und in der Insolvenzkanzlei, konnten ab etwa 2015 innerhalb der Verwalterschaft festgestellt werden. Ausschlaggebend war hier vermutlich der Erlass eines Bußgeldes des Bayeri- 125 schen Landesamtes für Datenschutzaufsicht (BayLDA) gegen den Käufer von Kundendaten und den Verkäufer als Insolvenzverwalter. In dem besagten Sachverhalt verkaufte der Insolvenzverwalter im Rahmen eines Asset Deals Vermögensgegenstände und Teile eines schuldnerischen Unternehmens an den Käufer. Im Rahmen dieser Übertragung wurden ebenso Datensätze von Kunden an den Käufer übergeben, u. a. die E-Mail-Adressen der Kunden. Das BayLDA monierte, dass die Übertragung der Kundendaten, insbesondere der E-Mail-Adressen, unzulässig war i. S. d. § 4 Abs. 1 BDSG a. F. Es fehlte an einer Rechtsgrundlage, auf die die Übermittlung gestützt werden konnte, und eine ausdrückliche Einwilligung der Kunden für die Übertragung lag nicht vor.158) ___________ 154) 155) 156) 157) 158)
Hartung, ZInsO 2011, 1225 ff. So du Carrois, Insbüro 2013, 10 ff. Heyer, ZVI 2015, 45 ff. Braegelmann/Horstkotte/Martini, ZInsO 2020, 729. Pressemitteilung des BayLDA v. 30.7.2015, Kundendaten beim Unternehmensverkauf – ein Datenschutzproblem, https://www.lda.bayern.de/media/pm2015_10.pdf (Stand: 17.8.2020).
55
E. Aus der Praxis – Datenschutz in der Kanzlei
126 Nicht zuletzt das erlassene Bußgeld in diesem Sachverhalt verhalf den Datenschutz zu einer höheren Aufmerksamkeit. Aber auch die nahende DSGVO war ausschlaggebend dafür, dass die Verwalterschaft den Datenschutz ab diesem Zeitpunkt mehr wahrgenommen hat. 127 Exkurs: Weiteres – jedenfalls datenschutzrechtlich – schwer nachvollziehbares Verwalterhandeln im Zusammenhang mit Daten Die Entscheidung des OLG Frankfurt/M. v. 24.1.2018 – 13 U 165/16159) befasste sich mit der Unwirksamkeit des Vertrages über den Erwerb von Domains und Daten vom Insolvenzverwalter – letztlich wegen fehlender Einwilligung der Adressinhaber zu dem Verkauf ihrer persönlichen Daten nach § 28 BDSG, § 7 UWG, § 134 BGB. In der Folge konnte der Insolvenzverwalter den Kaufpreis von 15.000 € gemäß § 817 Satz 2 BGB in der Insolvenzmasse behalten. Letztlich stellte das OLG Frankfurt/M. nämlich fest, dass eine, nein jegliche, Rückabwicklung nach § 817 Abs. 1 BGB aufgrund beidseitiger Verstöße gegen die zwingenden Vorgaben des Bundesdatenschutzgesetzes (BDSG) ausgeschlossen sei. Man leiste in derartigen Fällen auf eigenes Risiko. Und mit der Übertragung der Daten ist der Insolvenzverwalter faktisch auch „quitt“: Einmal per Stick und ein anderes Mal per Verwertung der Server. In dem Zusammenhang stellt sich, vorbehaltlich der vermutlich zu erwartenden Bußgeldentscheidung der Aufsichtsbehörde, die Frage der Begründung im Bericht des Insolvenzverwalters an das Insolvenzgericht. Vor allem deshalb, weil der Insolvenzverwalter recht „unvorsichtig“ agierte: Zugespitzt wurde der der Entscheidung zugrunde liegende Sachverhalt nämlich noch dadurch, dass der Geschäftsführer der Klägerin zuvor Geschäftsführer der Schuldnerin war. Er hatte – wie üblicherweise auf den Tag der Insolvenzeröffnung – vom Beklagten unterschiedliche Internetdomains sowie offenbar über diese durch eine Adresserfassungsmaske generierte personenbezogene Daten wie Namen, Adresse, Telefonnummer und E-Mail-Adresse gegen ein Entgelt von 15.000 € erworben. Diese Daten wurden auf einem USB-Stick übergeben. Die Server selbst, auf denen sich die Daten bei der Schuldnerin ursprünglich befanden und wo sie – bis dato sehr wahrscheinlich unter der „Herrschaftsmacht“ des Insolvenzverwalters liegend – weiterhin rekonstruierbar waren, wurden vom Beklagten als Teil der Geschäftsausstattung der BGmbH an eine weitere, ebenfalls mit Adressen handelnde Firma zu einem Betrag von rd. 2.000 € verkauft. Letztere nutze die Adressen im Anschluss für ein Werbemailing zugunsten einer Pornowebseite.160) Jedenfalls bei per Gewinnspiel, Callcenter etc. ursprünglich generierten Daten von Adresshandelsfirmen als Mailing für eine Sex-Internetseite u. ä. Herkunfts-/Verwendungszwecken sollte der Insolvenzverwalter besondere Sorgfalt und Vorsicht an den Tag legen! ___________ 159) Dazu weitergehend Weiß, ZInsO 2018, 1717. 160) Weiß, ZInsO 2018, 1718.
56
I. Allgemeines Praxistipp: Die Frage einer (wettbewerbsrechtlich) wirksamen Einwilligung, gleich ob stillschweigend oder ausdrücklich, ist bereits vorinsolvenzlich ein (Risiko-)Klassiker.161) Dies sollte der Insolvenzverwalter immer im Hinterkopf haben, wenn er Kontakt zu Daten insbesondere im Schuldnerbetrieb hat – um notfalls Risiken auch für sich durch Experten aus dem Wettbewerbsrecht auch für die Masse einordnen zu lassen. Mit diesen korrespondiert nach Erfahrung der Autoren nicht nur im Rahmen eines Asset-Deals der Preis für die Daten – bzw. Worst Case deren Unverkäuflichkeit
In einem weiteren Fall162) soll es einem Sicherheitsforscher gelungen sein, auf 128 einer Kleinanzeigenplattform die Überreste einer IT-Infrastruktur zu erhalten. Es stellte sich heraus, dass diese zu einem zwischenzeitlich insolventen Unternehmen bzw. dessen hiesiger Niederlassung gehörten. Diese war vom Insolvenzverwalter im Zuge des Insolvenzverfahrens letztlich den ehemaligen Vermietern der Niederlassung überlassen worden. Es handelte sich insgesamt um mehrere Server und Systeme. Noch schlimmer (aber in der Praxis der Insolvenzverwaltung überhaupt nicht selten): Schon die insolvente Firma hatte die Daten ihrer Kunden nicht ordentlich verschlüsselt aufbewahrt: Die Kundenkonten von 385.000 Käufern waren problemlos abrufbar, ebenso 260.000 Kreditkartendaten im Klartext. Hier hätte der Insolvenzverwalter also mindestens das Datenschutzverhalten des insolventen Unternehmens ermitteln und notwendige Maßnahmen einleiten sollen. Die nicht datenschutzkonforme Überlassung an einen Dritten wie den Vermieter ist heute – jedenfalls in der scheinbar erfolgten nonchalanten Ausprägung – für eine Insolvenzkanzlei nicht mehr haltbar! Praxistipp: Sollten sich datenschutzrechtliche Risiken bei IT-Assets oder gar Daten wg. § 60 InsO nachweislich nicht ausräumen oder mindestens minimieren lassen, sollte der Insolvenzverwalter drüber nachdenken, im Zweifel ggf. gar in Abstimmung mit dem Insolvenzgericht bzw. der Gläubigerversammlung statt der Verwertung der Daten deren datenschutzkonforme Löschung zu wählen.
I. Allgemeines Der Datenschutz muss durch den Insolvenzverwalter (bzw. die Kanzlei) als 129 Verantwortlichen nicht nur innerhalb seiner Tätigkeit im Rahmen der Bearbeitung eines Insolvenzverfahrens beachtet werden, sondern verlangt vom Insolvenzverwalter als Verantwortlichen auch, bei der kanzleiinternen Verarbeitung von personenbezogenen Daten, die Vorschriften der Datenschutzgesetze zu beachten. Dabei bringt die DSGVO zahlreiche Regelungen mit sich, ___________ 161) Dazu exemplarisch OLG Düsseldorf, Urt. v. 19.9.2019 – 15 U 37/19 („Service Calls“), RDV 01/2020, 41 ff.; VG Saarlouis, Urt. v. 20.10.2019 – 1 K 732/19 („Double-Opt-in“), RDV 01/2020, 46f. (LS). 162) Siehe https://winfuture.de/news,105179.html (Stand: 17.8.2020).
57
E. Aus der Praxis – Datenschutz in der Kanzlei
die neue Verpflichtungen, neue Anforderungen und Verschärfungen vorsehen.163) Die Grundsätze sowie die meisten Regeln haben allerdings bereits im BDSG a. F. Bestand gehabt. 130 Wie bei jedem anderen Unternehmen auch bedarf es beim Insolvenzverwalter einer datenschutzrechtlichen Betrachtung hinsichtlich der Datensicherheit und des Schutzes der Daten, der Zugriffe und Zugänge zu den Daten bei der Kommunikation per E-Mail sowie der vielen anderen Bereiche, in denen personenbezogene Daten Gegenstand der Verarbeitung sind und geschützt werden müssen. Praxistipp: Der nachfolgende Sachverhalt soll verdeutlichen, dass zunächst nicht anwaltsspezifische oder insolvenzspezifische datenschutzrechtliche Bedenken gegeben sind, sondern alltägliche Probleme eines „Unternehmens“ auch hier betrachtet werden müssen. Im Datenschutz gibt es bestimmte Löschungsfristen die vorsehen, dass Daten, deren Zweck der Erhebung entfallen ist, gelöscht werden müssen. Dies betrifft auch u. a. Bewerbungen, die in der heutigen Zeit häufig per E-Mail eingehen. Die den Bewerbungen beigefügten Unterlagen müssen nach der Stellenbesetzung gelöscht bzw. an den Bewerber zurückgesandt werden. Spätestens sechs Monate nach Stellenbesetzung muss diese Löschung vorgenommen werden. Auch Notizen zu den Bewerbungsgesprächen müssen im genannten Zeitraum gelöscht werden.164) Eine Ausnahme dieser Löschungsfrist könnte sich aus einer ausdrückliche Einwilligung zu einer längeren Speicherung ergeben. Denken Sie auch an ein bestehendes Archivierungsprogramm für E-Mails. Auch dort dürfen die Unterlagen nicht länger gespeichert werden.
131 Wie im vorstehenden Praxistipp bereits angerissen, ist ein Bereich das Personalmanagement und die datenschutzrechtliche Einordnung von Bewerbungen, insbesondere die Aufbewahrung der Bewerbung. Da sich der Verantwortliche als potenzieller Arbeitgeber gegen eine Beschwerde aufgrund der Nichteinhaltung des Antidiskriminierungsgesetzes (AGG) zu Wehr setzen können muss, besteht zunächst die Möglichkeit, die Bewerbung auch nach erfolgter Stellenbesetzung für den genannten Zeitraum aufzubewahren. Nach herrschender Meinung müssen die eingegangenen Bewerbungen aber nach einigen Monaten,165) spätestens sechs Monate nach der Stellenbesetzung gelöscht werden. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit sieht in ihrer Stellungnahme zu Bewerbungsunterlagen sogar eine Aufbewahrung von zwei Monaten als ausreichend an. Letzterem ist aus den angeführten Gründen nicht beizupflichten. Für eine längere Speicherung der Bewerberdaten – z. B. um diese bei späteren Stellenausschreibung zurate ziehen zu kön___________ 163) Arns, VIA 2018, 65. 164) Reisener/Weiß, InsbürO 9, 337. 165) Plath-Stamer/Kuhnke, BDSG/DSGVO, § 32 Rn. 31; Gola/Schomerus-Gola/Klug/ Körffer, BDSG, § 32 Rn. 15; Schulze, in: Wedde, HdB Datenschutz, Rn. 241 ff.
58
II. Datenschutzbeauftragter
nen bzw. diese Bewerberdaten verbundenen Unternehmen zur Verfügung stellen zu können – kommt nur eine ausdrückliche Einwilligung des Bewerbers in Betracht.166) Diese Einwilligung muss entsprechend der Voraussetzung gemäß Art. 7 DSGVO ausdrücklich, freiwillig und informativ erfolgen. Ein entsprechender Hinweis, der dem Ablehnungsschreiben beigefügt ist, erfüllt die Voraussetzungen für eine Einwilligung nicht; so auch bereits das BayLDA in seinem Tätigkeitsbericht 2011/2012.167) Setzt die Kanzlei allerdings ein Archivierungsprogramm für den E-Mail- 132 verkehr ein, was aufgrund der Pflicht zur Archivierung meistens geschehen wird, muss eine Lösung gefunden werden, wie die eingegangenen Bewerbungen dennoch dauerhaft und datenschutzsicher gelöscht werden können. Aufgrund der digitalen Arbeitsvorgänge in Kanzleien kommen die Insolvenz- 133 verwalter, aber auch deren Mitarbeiter, nicht mehr umhin, sich mit dem Datenschutz auch „intern“ zu befassen. Hierzu gehört u. a. die Ergreifung von technischen und organisatorischen Maßnahmen – wie sie in Art. 32 DSGVO beschrieben sind (ähnlich übrigens bereits im § 9 BDSG a. F.) – die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, ggf. die Benennung eines Datenschutzbeauftragten sowie die Einführung eines Datenschutzmanagementsystems, das die Prozesse und Maßnahmen abbildet und deren Einhaltung für den datenschutzkonformen Umgang mit personenbezogenen Daten sorgt, und vieles mehr. Es ist erforderlich, dass vor allem Arbeitsabläufe und andere Prozesse, IT-Sys- 134 teme und Strukturen an die Datenverarbeitung angepasst werden. Schwerpunkte liegen dabei auf Transparenz und Dokumentation. In diesem Abschnitt sind einige Maßnahmen aufgezeigt, die innerhalb der Kanzlei erfolgen müssen, um organisatorisch und strukturell die Einhaltung der Datenschutzvorschriften im täglichen Kanzleialltag sicherstellen zu können. II. Datenschutzbeauftragter Bei der Funktion des Datenschutzbeauftragten handelt es sich nicht um eine 135 neue Erfindung der DSGVO. Vielmehr war eine solche Position bereits im BDSG a. F. (§ 4f Abs. 1 Satz 1 BDSG a. F) seit 1977 verankert. Die Position wurde im Laufe der Zeit von der Wichtigkeit im BDSG weiter aufgewertet. Auch wurde die Tätigkeit, die in dem Aufgabengebiet weisungsfrei durch den Datenschutzbeauftragten ausgeführt wird, mit besonderen arbeitsrechtlichen Schutzmechanismen ausgestattet, um eben genau diese Unabhängigkeit zu schützen.
___________ 166) Plath-Stamer/Kuhnke, BDSG/DSVO, § 32 Rn. 31; Gola/Schomerus-Gola/Klug/Körffer, BDSG, § 32 Rn. 15. 167) BayLDA, TB 2011/2012, S. 62.
59
E. Aus der Praxis – Datenschutz in der Kanzlei
136 Daher sah die Datenschutzrichtlinie aus dem Jahr 1995 ebenso eine solche Funktion bereits als Alternative zu weiteren Kontrollmöglichkeiten für die Datenschutzvorgänge vor, allerdings als nicht verpflichtend. Erstmalig mit der Umsetzung der DSGVO entstand eine Regelung, die europaweit den Verantwortlichen unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu benennen.168) Somit konnte sich die bis dato geltende deutsche Regelung zur Bestellung eines Datenschutzbeauftragten, zumindest in Teilen, auch auf europäischer Ebene durchsetzen. 137 Anders als das BDSG a. F., das von einer Bestellung des Datenschutzbeauftragten sprach, sieht die DSGVO lediglich eine Benennung des Datenschutzbeauftragten vor. Der Unterschied liegt hier in der Form. Bedurfte die Bestellung nach § 4f Abs. 1 Satz 1 BDSG a. F. noch einer Schriftform mit entsprechendem Erklärungscharakter, so sieht die Benennung des Datenschutzbeauftragten nach der DSGVO keine besonderen Formerfordernisse vor. Praxistipp: Anzuraten ist aber dennoch die Benennung des Datenschutzbeauftragten in einer notwendigen Form zu dokumentieren, um den Nachweispflichten gemäß Artt. 5 Abs. 2, 24 Abs. 1 DSGVO im ausreichenden Maße nachkommen zu können.169)
138 Ist ein Datenschutzbeauftragter aufgrund der bestehenden Notwendigkeit benannt oder wurde die Möglichkeit einer freiwilligen Benennung genutzt, sind die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen und ebenso die Kontaktdaten zu veröffentlichen, z. B. auf der Webseite (Art. 37 Abs. 7 DSGVO). Die Mitteilung erfolgt je nach jeweiliger Aufsichtsbehörde in unterschiedlicher Form. Teilweise stellen die einzelnen Aufsichtsbehörden Formulare zum Download zur Verfügung. Andere Aufsichtsbehörden bieten die Möglichkeit der Onlinemeldung des Datenschutzbeauftragten an. 139 Die Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten kann z. B. auf der Internetseite erfolgen und muss nicht auf jedem Schreiben explizit wiederholt werden. Des Weiteren müssen sich die Kontaktdaten auch in den Informationen des Verantwortlichen an die Betroffenen wiederfinden, im Rahmen der Erfüllung der Informationspflichten gemäß Artt. 13, 14 DSGVO. Damit soll den Betroffenen die Möglichkeit eröffnet werden, schnell und einfach ihr Anliegen bei dem richtigen Ansprechpartner vorbringen zu können. Praxistipp: Es genügt, nichtpersonalisierte Kontaktdaten zu verwenden. Eine Zentralnummer, unter der der Datenschutzbeauftragte erreichbar ist und eine Vermittlung mit dem Datenschutzbeauftragten vorgenommen werden kann, ist
___________ 168) GDD-Praxishilfe, DS-GVO I, S. 3. 169) Hierzu auch die Datenschutzkonferenz (DSK) in ihrem Kurzpapier Nr. 12, S. 1.
60
II. Datenschutzbeauftragter ausreichend. Auch genügt es, eine E-Mail-Adresse als Kontaktmöglichkeit anzubieten, die nicht auf die natürliche Person des Datenschutzbeauftragten hinweist. Wichtig ist es natürlich, dass der benannte Datenschutzbeauftragte tatsächlich die Anfragen erhält. Ausreichend wäre für die Angabe der Kontaktmöglichkeit: Unseren Datenschutzbeauftragten erreichen Sie unter: Mustermann Kanzlei Straße 1 12345 Musterstadt Tel: +49 (0)123 55555 – 0 Fax: +49 (0)123 55555 – 100 E-Mail: [email protected]
1. Pflichtbenennung und/oder freiwillige Benennung Die DSGVO unterscheidet an vielen Stellen im Gesetz zwischen den öffent- 140 lichen Stellen und den nicht öffentlichen Stellen. Den öffentlichen Stellen, wie Behörden, Gerichten und anderen staatlichen Institutionen, werden durch die Regelung der Mitgliedstaaten und die Umsetzung der DSGVO in die nationalen Gesetze einige Erleichterungen zugesprochen. Bei der Benennung eines Datenschutzbeauftragten gibt es hingegen eine Verschärfung im Verhältnis zu den nicht öffentlichen Stellen sowie den Unternehmen der Privatwirtschaft wie z. B. Insolvenzverwalterkanzleien. a) Öffentliche Stellen Die Pflicht zur Benennung eines Datenschutzbeauftragten kann für den Ver- 141 antwortlichen und auch für den Auftragsverarbeiter bestehen. Gemäß Art. 37 Abs. 1 lit. a) DSGVO ist zunächst jede Behörde oder öffentliche Stelle, die eine Verarbeitung personenbezogener Daten vornimmt, unabhängig von weiteren Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu benennen. Diese Verpflichtung besteht mit einer Ausnahme für jede öffentliche Stelle. Diese Ausnahme bilden die Gerichte, wenn sie im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a) DSGVO). Neben den Verfassungsgerichten können alle ordentlichen Gerichte unter dieser Ausnahme zusammengefasst werden, sofern diese im Rahmen ihrer Funktion als Organ der Rechtsprechung tätig werden.170) b) Nicht öffentliche Stellen Nicht öffentliche Stellen171), wozu nach h. M. auch der Insolvenzverwalter 142 zu zählen ist,172) müssen als Verantwortliche oder als Auftragsverarbeiter ei___________ 170) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 37 DSGVO Rn. 6. 171) LAG Hessen Urt. v. 13.2.2019 – 6 Sa 567/18, ZD 01/2020, 54 (mit Anm. Sörup) zu dem Umstand, dass eine juristisch unselbständige Zweigniederlassung einer Bank eine nicht öffentliche Stelle gemäß § 4f Abs. 3 Satz 5 BDSG a. F. sein kann. 172) Anders LG Stuttgart, Beschl. v. 15.2.2019 – 12 O 33/19, ZIP 2019, 585.
61
E. Aus der Praxis – Datenschutz in der Kanzlei
nen Datenschutzbeauftragten benennen, wenn die jeweilige Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt und diese aufgrund ihres Umfangs oder Zweck eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen erfordert (Art. 37 Abs. 1 lit. b) DSGVO). 143 Des Weiteren bedarf es der Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen in einer umfangreichen Verarbeitung besonders sensibler Daten liegt, wie sie in Artt. 9, 10 DSGVO beschrieben werden.173) Für die übrigen Fälle sieht die DSGVO keine Pflichtbenennung vor, kann aber fakultativ erfolgen.174) 144 Der Begriff Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Verantwortlichen (ErwGr. 97 DSGVO)175) und ist nicht so zu verstehen, dass jede Nebentätigkeit, die eine Verarbeitung von personenbezogenen Daten erfordert unter diesem Begriff subsumiert werden kann. Die Haupttätigkeiten des Verantwortlichen sind durch die Arbeitsabläufe gekennzeichnet, die für die jeweilige Organisation des Verantwortlichen die wichtigsten darstellen176) und über die seine Geschäftstätigkeit definiert wird. Tätigkeiten die unterstützend erbracht werden, um die Kerntätigkeit vornehmen zu können, z. B. die Verarbeitung der Beschäftigtendaten der Mitarbeiter, werden nicht hinzugerechnet.177) Beispiel: Die Kerntätigkeit eines Anwalts liegt in der Erbringung von Rechtdienstleistungen (§ 2 Abs. 1 RDG). Im Rahmen dieser Tätigkeit werden ebenso personenbezogene Daten verarbeitet, dies muss jedoch nicht zwingend immer der Fall sein.178) Liegt aber in der Kerntätigkeit des Verantwortlichen per se eine umfangreiche Verarbeitung von personenbezogenen Daten und ist diese Verarbeitung untrennbar Bestandteil der Kerntätigkeit so liegt nach Ansicht der Artikel-29Datenschutzgruppe eine Verpflichtung zur Benennung eines Datenschutzbeauftragten vor.179) 145 Um den Begriff „umfangreich“ näher zu bestimmen, sind die Faktoren aus Erwägungsgrund 91 der DSGVO als Anhaltspunkte heranziehbar. Diese stellen sowohl auf das Gesamtvolumen der Daten, der geografischen und zeitlichen Auswirkung der Verarbeitung und auf die absolute Zahl der Betroffenen ab. In ihren Leitlinien sieht die Artikel-29-Datenschutzgruppe jedenfalls eine umfangreiche Verarbeitung für folgende Sachverhalte: ___________ 173) 174) 175) 176) 177) 178) 179)
62
Vgl. Niklas/Faas, NZA 2017, 1092. Plath-Bussche, BDSG/DSGVO, Art. 37 DSGVO Rn. 3. Paal/Pauly-Paal, DS-GVO/BDSG, Art. 37 DSGVO Rn. 8. Kazemi, NJW 2018, 443. DSK-Kurzpapier Nr. 12, S. 1. Kazemi, NJW 2018, 443. Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 8.
II. Datenschutzbeauftragter
Beispiele: x
Die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses.
x
Die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z. B. Nachverfolgung über Netzkarten).
x
Die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter.
x
Die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank.180)
Im Gegensatz dazu stellt gemäß der Artikel-29-Datenschutzgruppe die Ver- 146 arbeitung von Patientendaten durch einen einzelnen Arzt oder auch die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten durch einen einzelnen Anwalt keine umfangreiche Verarbeitung dar.181) Überträgt man diese Ansicht auf eine Kanzlei mit mehreren Anwälten und 147 hält an dem Beispiel eines allein praktizierenden Arztes fest, könnte sich im Zusammenschluss der Rechtsanwälte und des sich daraus ergebenden Umfangs der Verarbeitungstätigkeiten ebenso eine Verpflichtung zur Benennung eines Datenschutzbeauftragten aus Art. 37 DSGVO ergeben.182) Dies u. a. auch dann, wenn die Anzahl der Betroffenen über das hinausgeht, was einem (durch ErwGr. 91 Satz 4 DSGVO) privilegierten Einzelarzt im Regelfall zugeschrieben wird.183) Sollten in diesem Fall die nachfolgend genannten Voraussetzungen aus dem BDSG bezüglich einer Benennung des Datenschutzbeauftragten nicht zutreffen, wäre eine Konsultation der zuständigen Aufsichtsbehörde anzuraten. Praxistipp Geldbuße: Der Bundesbeauftragte für Datenschutz verhängte gegen ein Unternehmen der Kategorie Kleinunternehmer ein Bußgeld i. H. v. 10.000 €, weil das Unternehmen trotz mehrfacher dahingehender Aufforderung den gesetzlichen Auflagen nach Art. 37 DSGVO nachzukommen, nicht nachkam. Es benannte keinen betrieblichen Datenschutzbeauftragten.184)
___________ 180) 181) 182) 183) 184)
Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 9. Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 10; DSK-Kurzpapier Nr. 12, S. 1. Kazemi, NJW 2018, 443. DSK-Kurzpapier Nr. 12, S. 2. Siehe https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverhängt Geldbuße1u1.html (Stand: 17.3.2020).
63
E. Aus der Praxis – Datenschutz in der Kanzlei
c) Nutzung der Konkretisierungsklausel durch § 38 BDSG 148 Die Möglichkeit, die jedem EU Mitgliedstaat aufgrund der in Art. 37 Abs. 4 Satz 1 DSGVO eingeräumten Konkretisierungsklausel (auch als Öffnungsklausel bezeichnet) an die Hand gegeben wurde, durch nationale Gesetzgebung die Benennungspflicht eines Datenschutzbeauftragten auch auf andere Stellen auszuweiten, wurde durch die Bundesregierung im § 38 BDSG genutzt; durch die Anwendung der Konkretisierungsklausel im § 38 BDSG die bis dato geltenden Vorschriften aus § 4f BDSG a. F., mit inhaltlichen Veränderungen, ebenso im BDSG n. F. aufgenommen. 149 So wurde ergänzend zum Art. 37 Abs. 1 lit. b) und c) DSGVO, die Verpflichtung für nicht öffentliche Stellen zur Benennung eines Datenschutzbeauftragten verankert für den Fall, dass in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind bzw. wenn der Verantwortliche eine Verarbeitung personenbezogener Daten vornimmt, die einer Datenschutzfolgeabschätzung bedarf (§ 38 Abs. 1 Satz 2 BDSG). Liegt Letzteres beim Verantwortlichen vor, ist ein Datenschutzbeauftragter unabhängig von der Anzahl der beschäftigten Mitarbeiter zu benennen. Dies gilt ebenso, wenn eine geschäftsmäßige Verarbeitung zum Zwecke der Übermittlung vorgenommen wird, welche zur anonymisierten Übermittlung oder zur Markt- und Meinungsforschung dient.185) d) Kündigungsschutz und Grundsätze für den Datenschutzbeauftragten 150 Mit dem Verweis in § 38 Abs. 2 BDSG auf die Regelung des § 6 Abs. 4, 5 Satz 2, Abs. 6 BDSG wird der besondere Kündigungsschutz, wie dieser für einen Datenschutzbeauftragten öffentlicher Stellen gilt, auf den Datenschutzbeauftragten nicht öffentlicher Stellen ausgeweitet. Dies gilt nach der ständigen Rechtsprechung für alle intern benannten Datenschutzbeauftragten.186) Selbiges gilt aufgrund der Verweisung in § 38 Abs. 2 BDSG für die Verschwiegenheitspflicht und das Zeugnisverweigerungsrecht des Datenschutzbeauftragten. 151 Eine Einschränkung gibt es für den Fall, dass das Absinken der Beschäftigtenzahl dazu führt, dass die Schwelle des § 38 BDSG unterschritten wird. In diesem Fall hat das Bundesarbeitsgericht am 5.12.2019 entschieden, dass das Sonderkündigungsrecht entfällt.187) Diese Entscheidung beruht zwar auf der alten Gesetzeslage und dem BDSG alt, kann aber in Anbetracht des Regelungsinhaltes auf die seit dem 25.5.2018 geltenden Gesetze angewendet wer-
___________ 185) Paal/Pauly-Pauly, DS-GVO/BDSG, § 38 BDSG Rn. 1. 186) BAG, Urt. v. 27.7.2017 – 2 AZR 812/16, ZD 07/2018, 321 m. w. N. 187) Vgl. BAG, Urt. v. 5.12.2019 – 2 AZR 223/19, NZW 2020, 227.
64
II. Datenschutzbeauftragter
den. Aufgrund des Absinkens der Beschäftigtenzahl handelt es sich insoweit um eine Abberufung i. S. d. Bestimmung.188) aa) Kündigungsschutz Der Verweis des § 38 Abs. 2 BDSG auf die Regelungen für den Datenschutz- 152 beauftragten öffentlicher Stellen, wie sie im § 6 Abs. 4 BDSG normiert sind, führt zu dem besonderen Kündigungsschutz für Datenschutzbeauftragte von nicht öffentlichen Stellen,189) sofern deren Benennung nicht im Rahmen der Freiwilligkeit erfolgte, sondern aufgrund einer Verpflichtung, die sich aus der DSGVO bzw. aus dem BDSG ergibt. Um die bestehende Weisungsfreiheit gemäß § 6 Abs. 3 Satz 1 BDSG des Da- 153 tenschutzbeauftragten in seinem Aufgabengebiet sicherstellen zu können, soll dieser aufgrund der Erfüllung seiner Aufgaben nicht benachteiligt werden, § 6 Abs. 3 Satz 3 BDSG. Daher ist eine Abberufung des Datenschutzbeauftragten nur unter Anwendung der Voraussetzungen des § 626 BGB zulässig (§ 6 Abs. 4 Satz 1 BDSG). Eine Kündigung des Arbeitsverhältnisses ist nur aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist möglich.190) Dieser Kündigungsschutz erstreckt sich auch auf das Folgejahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter. Eine Amtsniederlegung durch den Datenschutzbeauftragten selbst steht dem 154 nicht entgegen. Ebenso besteht die Möglichkeit des Abschlusses eines Aufhebungsvertrags bezüglich der Tätigkeit und Pflichten des Datenschutzbeauftragten. bb) Verschwiegenheitspflicht Der Datenschutzbeauftragte ist zur Verschwiegenheit verpflichtet, insbeson- 155 dere im Hinblick auf die Identität des Betroffenen und auf Umstände, die Rückschlüsse auf die Identität des Betroffenen zulassen würden. Eine solche Pflicht ergibt sich auch aus Art. 38 Abs. 5 DSGVO. Von dieser Verschwiegenheitspflicht kann der Datenschutzbeauftragte sich von dem Betroffenen befreien lassen (§ 6 Abs. 5 Satz 2 BDSG). Ein Verstoß gegen diese Verpflichtung kann zu einem Schadensersatzanspruch des Betroffenen gegen den Datenschutzbeauftragten führen. Weiterhin kann ein solcher Verstoß für den Verantwortlichen einen wichtigen Grund für die Abberufung des Datenschutzbeauftragten darstellen, wenn dieser aufgrund des Verstoßes an der erforderlichen Zuverlässigkeit des Datenschutzbeauftragten Zweifel hat.
___________ 188) Vgl. Ascheid/Preis/Schmidt-Greiner, Kündigungsrecht, BDSG § 4f Rn. 17. 189) Paal/Pauly-Pauly, DS-GVO/BDSG, § 38 BDSG Rn. 16. 190) Vgl. LAG Köln, Urt. v. 12.1.2015 – 5 Sa 873/14, ZD 2015, 288; LAG Berlin-Brandenburg, Urt. v. 15.10.2013 – 3 Sa 567/13, LSK 2016, 040522.
65
E. Aus der Praxis – Datenschutz in der Kanzlei
cc) Zeugnisverweigerungsrecht 156 Liegt aufseiten des Verantwortlichen oder bei einer Person, die bei dem Verantwortlichen beschäftigt ist, aus beruflichen Gründen ein Zeugnisverweigerungsrecht für bestimmte personenbezogene Daten vor, so gilt dieses Zeugnisverweigerungsrecht auch für den Datenschutzbeauftragten, was wiederum in der Entscheidungssphäre desjenigen liegt, dem aufgrund der beruflichen Gründe dieses Zeugnisverweigerungsrecht zusteht. Dies ergibt sich aus dem Verweis in § 38 Abs. 2 BDSG i. V. m. § 6 Abs. 6 BDSG. 157 Mit diesem Zeugnisverweigerungsrecht geht auch ein Beschlagnahmeverbot für Akten oder andere Dokumente in diesem Zusammenhang einher. 2. Wer kann zum Datenschutzbeauftragten benannt werden? 158 Bis zum Inkrafttreten der DSGVO waren die Anforderungen an den Datenschutzbeauftragten eher vage definiert. Ein Datenschutzbeauftragter sollte einige Voraussetzungen mitbringen, die ihn dazu befähigen diese Aufgabe gewissenhaft wahrnehmen zu können. Es hat ein Grundwissen über Datenschutzrecht vorzuliegen und es sollten Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung vorhanden sein. Auch sollte der Datenschutzbeauftragte ein Verständnis für betriebswirtschaftliche Zusammenhänge vorweisen.191) a) Anforderungen an einen Datenschutzbeauftragten 159 Rechtlich wird hierzu inzwischen lediglich die DSGVO in Art. 37 Abs. 5 DSGVO etwas genauer: Hier wird auf das Fachwissen, das der Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis aufweist, Bezug genommen.192) 160 Die Anforderungen aus Art. 37 Abs. 5 DSGVO sehen vor, dass der Datenschutzbeauftragte eine entsprechende berufliche Qualifikation vorweisen kann und die Fähigkeit besitzt, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Für die Erfüllung dieser Aufgaben ist das Fachwissen des Datenschutzbeauftragten auf dem Gebiet des Datenschutzrechts und aus der Datenschutzpraxis immanent.193) Gemäß ErwGr. 97 zur DSGVO richtet sich das erforderliche Fachwissen an den durchgeführten Verarbeitungen der personenbezogenen Daten und an dem erforderlichen Schutz dieser Daten aus. Die Anforderungen an die Fachkunde des Datenschutzbeauftragten steigen, im Verhältnis zu den Kategorien der verarbeiteten Daten. Werden besondere sensible Daten (Artt. 9, 10 DSGVO) verarbeitet, sind die Anforderungen an ___________ 191) Reisener/Weiß, InsbürO 2017, 363; Beschluss des Düsseldorfer Kreises, 24./25.11.2010, I. 2. 192) Beschluss des Düsseldorfer Kreises, 24./25.11.2010, I. 2. 193) Vgl. Niklas/Faas, NZA 2017, 1093.
66
II. Datenschutzbeauftragter
die Fachkunde entsprechend höher anzusetzen.194) Die erforderliche Fachkunde richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren und dem Typus der anfallenden Daten.195) Um diese Fachkunde zu erreichen bzw. zu erhalten, ist der Verantwortliche 161 zur Unterstützung des Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO angehalten, die erforderlichen Ressourcen zur Verfügung zu stellen. Hierzu zählen Ressourcen zur Durchführung von Weiterbildungsmaßnahmen, aber auch betriebliche Ressourcen. Diese Unterstützung schließt auch ggf. die Bereitstellung von personellen Mitteln und eine entsprechende zeitliche Komponente mit ein. Schulungs- und Fortbildungsmaßnahmen runden dies ab. Eine weitere Anforderung, die sich nicht aus dem Gesetz ergibt, aber mit dem 162 Aufgabenbereich eines Datenschutzbeauftragten einhergeht, ist die Kommunikationsfähigkeit des Datenschutzbeauftragten, um die umfangreichen Aufgaben erfüllen zu können.196) Des Weiteren muss sichergestellt sein, dass der Datenschutzbeauftragte sowohl für den Betroffenen als auch für andere Stellen leicht erreichbar ist. Seitens der Aufsichtsbehörde wird hier eine Hotline oder auch ein Kontaktformular, das auf der Webseite bereitgehalten wird, empfohlen. Aber auch eine nicht personalisierte E-Mail-Adresse, die dem Datenschutzbeauftragten direkt zugeht, sollte ausreichend sein. b) Konflikt mit einer anderen Tätigkeit Der Datenschutzbeauftragte kann innerhalb der Organisation auch andere 163 Aufgaben und Pflichten wahrnehmen gemäß Art. 38 Abs. 6 Satz 1 DSGVO. Entscheidend für die Benennung ist es, dass kein Interessenkonflikt in der Person des Datenschutzbeauftragten vorliegt. Ein solcher Konflikt kann vermutet werden, wenn der Datenschutzbeauftragte bei seiner Tätigkeit sich und seine andere Tätigkeit außerhalb des Datenschutzes kontrollieren müsste. Aufgrund der absehbaren Interessenkollision ist eine Benennung des Geschäftsführers oder von jemanden aus der Geschäftsleitung zum betrieblichen Datenschutzbeauftragten ausgeschlossen. Des Weiteren sind Personen für eine solche Tätigkeit ungeeignet, die in ihrer Hauptfunktion als Leiter der IT-Abteilung oder Personalabteilung tätig sind.197) Umstritten ist auch, inwieweit der Datenschutzbeauftragte dem Betriebs- oder Personalrat zugehörig sein darf. Ebenso bestehen Bedenken bei Mitarbeitern aus der Compliance-Abteilung.
___________ 194) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 37 DSGVO Rn. 6. 195) LAG Mecklenburg-Vorpommern, Urt. v. 25.2.2020 – 5 Sa 108/19, NZW-RR 2020, 291. 196) Klug, ZD 2016, 318. 197) Reisener/Weiß, InsbürO 2017, 363; Kazemi, NJW 2018, 444.
67
E. Aus der Praxis – Datenschutz in der Kanzlei
c) Interner oder externer Datenschutzbeauftragter 164 Grundsätzlich unerheblich ist es, ob ein Unternehmen einen internen oder externen Datenschutzbeauftragten benennt. Wichtig ist lediglich der Umstand, dass der benannte Datenschutzbeauftragte die bestehenden Pflichten und Aufgaben vollständig und unabhängig ausüben kann (ErwGr. 97 DSGVO). 165 Ein externer Datenschutzbeauftragter ist jemand, der nicht Mitarbeiter des Unternehmens ist und betrieblich in diesem Unternehmen nicht eingeordnet wird. Dieser fungiert als Dienstleister für die Kanzlei bzw. das jeweilige Unternehmen. Ob ein Verantwortlicher einen internen oder externen Datenschutzbeauftragten einsetzt, hängt von den jeweiligen Abwägungen der Unternehmensleitung ab. Es gibt Vor- und Nachteile auf beiden Seiten. 166 Strittig ist weiterhin hingegen ob der externe Datenschutzbeauftragte eine juristische Person sein kann und mit einer Benennung der juristischen Person den Vorschriften genüge getan ist. Die DSGVO und das BDSG schließen eine solche Benennung nicht explizit aus. Allerdings deuten die Anforderungen im Art. 37 Abs. 5 DSGVO darauf hin, dass der Gesetzgeber grundsätzlich eine natürliche Person im Blick hatte.198) Auch einige Aufsichtsbehörden sahen und sehen eine Benennung einer juristischen Person zum Datenschutzbeauftragten als unzulässig an.199) 167 Die Gegenmeinung sieht in den benannten Anforderungen kein Hindernis für die Benennung einer juristischen Person als Datenschutzbeauftragter.200) Dies auch mit Verweis auf andere gesetzliche Regelungen (u. a. § 27 WPO), die ebenfalls die persönliche Zuverlässigkeit voraussetzen, diese Anforderung aber nicht nur auf natürliche Personen anwenden. Auch die Artikel-29Datenschutzgruppe hält eine Einbeziehung einer juristischen Person für möglich.201) Es wird auf einen Dienstleistungsvertrag abgestellt, der die Funktion eines Datenschutzbeauftragten regelt und der mit einer natürlichen oder auch juristischen Person geschlossen werden kann. Hierfür sei es aber zwingend notwendig, dass jeder Beschäftigte der juristischen Person, der die Tätigkeit im Rahmen der Aufgaben eines Datenschutzbeauftragten ausführt, die in der DSGVO genannten Anforderungen erfüllt und durch die Bestimmung der DSGVO geschützt ist.202) Die DSK hat in ihrem Kurzpapier Nr. 12 in Bezug auf den Datenschutzbeauftragten auf eine Auseinandersetzung mit dieser strittigen Frage verzichtet. Es kann davon ausgegangen werden, dass eine Be___________ 198) Vgl. Kühling/Buchner-Bergt, DS-GVO/BDSG, Art. 37 DSGVO Rn. 36; Ehmann/ Selmayr-Heberlein DS-GVO, Art. 37 Rn. 43. 199) Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, FAQ-Datenschutz. 200) Simitis-Simitis, BDSG, § 4f. Rn. 48 ff.; Taeger/Gabel-Scheja, BDSG, § 4f Rn. 83 f.; Plath-Bussche, BDSG/DSGVO, Art. 37 DSGVO Rn. 3; Kazemi, NJW 2018, 444; Moos, in: BeckOK DatenschutzR, DS-GVO, Art. 37 Rn. 69. 201) Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 14. 202) Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 14.
68
II. Datenschutzbeauftragter
nennung einer juristischen Person per se zulässig ist, es sollte aber eine konkrete natürliche Person zumindest als Ansprechpartner benannt werden. Praxistipp: Aufgrund der aktuellen Streitfrage hinsichtlich einer Benennung einer juristischen Person und da einige der Aufsichtsbehörden eine solche Benennung als kritisch ansehen, empfiehlt sich zurzeit bei der Benennung einer juristischen Person zum Datenschutzbeauftragten, zugleich eine natürliche Person explizit mit in die Vereinbarung aufzunehmen.
Die Vorteile eines internen Datenschutzbeauftragten sind u. a. die tägliche 168 Einbindung in die Kommunikation, die Kenntnisse der betrieblichen Abläufe, die vorhandenen Branchenkenntnisse und die Sicherheit bezüglich der Kostensituation. Dahingehend liegen die Vorteile eines externen Datenschutzbeauftragten in 169 der Nichtanwendung des besonderen Kündigungsschutzes, des sofortigen Bestehens der Fachkenntnisse sowie der Unvoreingenommenheit und Unabhängigkeit. Auch ist der „Blick von außen“ für ein Unternehmen zum Teil hilfreich, um etwaige Schwachstellen aufzudecken. Schlussendlich muss jeder Verantwortliche für sich entscheiden und die Vor- 170 und Nachteile gegeneinander abwägen. 3. Welche Aufgaben hat der Datenschutzbeauftragte? Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 Abs. 1 DSGVO 171 benannt. Bei der Aufzählung handelt es sich um Aufgaben, die der Datenschutzbeauftragte mindestens zu erfüllen hat. Eine ähnliche Aufzählung findet sich im § 7 BDSG für den Datenschutzbeauftragten öffentlicher Stellen wieder. Bei der Aufgabenerfüllung hat der Datenschutzbeauftragte dem Risiko, das mit einer Verarbeitung von personenbezogenen Daten unter Berücksichtigung der jeweiligen Umstände und Zwecke einhergeht, entsprechend Rechnung zu tragen (Art. 39 Abs. 2 DSGVO). Die Funktion des Datenschutzbeauftragten sollte letztlich als besondere Dienstleistung bzw. Beratung des Verantwortlichen verstanden werden. a) Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten Eine der wichtigsten Aufgabe des Datenschutzbeauftragten ist es, den Ver- 172 antwortlichen oder/und Auftragsverarbeiter und die Beschäftigten des Verantwortlichen auf Probleme bei der Verarbeitung von personenbezogenen Daten hinzuweisen (Art. 39 Abs. 1 lit. a) DSGVO). Dabei soll der Datenschutzbeauftragte über die datenschutzrechtlichen Pflichten unterrichten, über deren Einhaltung beraten und bei der Lösung von Problemen helfen.
69
E. Aus der Praxis – Datenschutz in der Kanzlei
Diese Unterstützung bezieht sich auf alle Vorschriften zum Thema Datenschutz203) und ist nicht beschränkt auf die Vorschriften der DSGVO bzw. des BDSG. Zum Teil müssen die einzelnen Landesdatenschutzgesetze beachtet werden, z. B. bei einem Notar, der als öffentliche Stelle angesehen wird. Praxistipp: Um diese Aufgabe verantwortlich erfüllen zu können, bedarf es des entsprechenden Fachwissens und insbesondere der Aktualität dieses Fachwissens. Daher sollten Sie schon aus eigenem Interesse versuchen, ihrem Datenschutzbeauftragten eine entsprechende Auffrischung und Weiterbildung regelmäßig zu ermöglichen. Das Datenschutzrecht ist in ständigem Wandel. Die EDV in technologischer Hinsicht noch viel mehr.
173 Eine Unterrichtung findet in der Regel über Mitteilungen und Erklärungen zu den einschlägigen Datenschutzvorschriften gegenüber dem Verantwortlichen und seinen Mitarbeitern statt. Diese Unterrichtung sollte anlasslos vorgenommen werden und bestenfalls unverzüglich bei Änderungen des Datenschutzrechts, die den Tätigkeitsbereich des Verantwortlichen betreffen. 174 Die Beratung durch den Datenschutzbeauftragten erfolgt meist aufgrund bestimmter Sachverhalte und ergibt sich aus dem aktuellen Tagesgeschäft. Dabei sollte der Datenschutzbeauftragte dem Verantwortlichen mögliche Handlungsalternativen und ggf. Konsequenzen aufzeigen können. Auch ist es sinnvoll, Verbesserungsvorschläge und Lösungsansätze bei Besprechungen mit dem Verantwortlichen anzubieten. Wie bereits im ErwGr. 97 der DSGVO angeführt, kann der Datenschutzbeauftragte im Rahmen der Beratung dem Verantwortlichen für die Durchführung von Maßnahmen (sofern die Verarbeitung von personenbezogenen Daten betroffen ist) und zur Einhaltung entsprechender Vorschriften der DSGVO Hinweise geben. b) Überwachung der Einhaltung von Datenschutzvorschriften 175 Dem Datenschutzbeauftragten wird in Art. 39 Abs. 1 lit. b) DSGVO die Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. Mitgliedstaaten hinsichtlich der Verarbeitungsvorgänge beim Verantwortlichen auferlegt. Allerdings ist in Art. 24 Abs. 1 DSGVO sehr deutlich die Pflicht des Verantwortlichen verankert, die Regeln des Datenschutzes bei der Verarbeitung von personenbezogenen Daten sicherzustellen und die Einhaltung dieser Regeln nachweisbar darzulegen. Somit bleibt der Verantwortliche weiterhin verantwortlich für die Einhaltung des geforderten Schutzes der personenbezogenen Daten. Diese Pflicht kann auch nicht auf den Datenschutzbeauftragten übertragen werden, lediglich können ihm entsprechende Aufgaben zugewiesen werden. ___________ 203) Eventuell sind Landesdatenschutzgesetze zu beachten, wenn es sich beim Verantwortlichen um einen Notar handelt. Weiterhin sind andere Datenschutzvorschriften z. B. aus dem TMG, TKG, SGB etc. zu beachten. Auch werden mit Inkrafttreten der ePrivacyVerordnung, voraussichtlich im Jahr 2019, neue Datenschutzvorschriften hinzutreten.
70
II. Datenschutzbeauftragter
Teilweise sieht die Literatur in der Aufgabe der Überwachung ein hohes 176 Haftungsrisiko für den Datenschutzbeauftragten.204) Der Begriff der „Überwachung“ wurde bereits im BDSG a. F. verwendet und man hat auch dort keine Unterlassungshaftung angenommen, daher sei nicht ersichtlich, warum für die DSGVO ein anderer Maßstab gelten soll.205) Dem Datenschutzbeauftragten ist zwar die Aufgabe der Überwachung der Einhaltung der Datenschutzvorschriften zugetragen, allerdings fehlt es ihm in der Regel an der entsprechenden Weisungsbefugnis, um Datenschutzverstöße zu unterbinden. Hinsichtlich der Haftung ist aber zwischen externen und internen Daten- 177 schutzbeauftragten zu unterscheiden. Der Datenschutzbeauftragte haftet nicht per se für jeden Datenschutzverstoß des Verantwortlichen. Der interne Datenschutzbeauftragte haftet dem Verantwortlichen gegenüber wie jeder andere Arbeitnehmer. Der externe Datenschutzbeauftragte haftet hingegen nach den allgemeinen zivilrechtlichen Grundsätzen, wenn er schuldhaft seine Pflicht verletzt. Um der Überwachungsaufgabe gerecht zu werden empfiehlt es sich für den 178 Datenschutzbeauftragten, in regelmäßigen Abständen Kontrollen der Verarbeitungstätigkeiten durchzuführen. Stellt er bei einer dieser Kontrollen fest, dass die Einhaltung der Datenschutzvorschriften nicht sichergestellt ist oder gar nicht beachtet wird, sollte er umgehend Maßnahmen zur Behebung dieser Problematik mit dem Verantwortlichen besprechen und nach Bedarf einleiten. Auch wenn in dieser Aufgabe des Datenschutzbeauftragten nur entfernt ein 179 Haftungsrisiko begründet liegt, sollte er dennoch auf eine entsprechende Dokumentation seiner Tätigkeit nicht verzichten. Somit kann er ggf. auch gegenüber der Aufsichtsbehörde nachweisen, dass er seine Aufgaben ordnungsgemäß erfüllt hat. c) Durchführung der Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO Bestimmte Verarbeitungstätigkeiten bedürfen vor der Einführung, Implemen- 180 tierung bzw. schlichtweg der Aufnahme der Verarbeitung in der Insolvenzkanzlei, aber ggf. auch in dem schuldnerischen Betrieb einer Datenschutzfolgeabschätzung. Eine solche soll schlichtweg die Risiken für die Betroffenen beurteilen. Exkurs:
181
Eine solche Risikoabwägung im Zusammenhang mit Daten ist dem Datenschutzrecht eigentlich nicht neu. Bereits mit einer Vorabkontrolle nach § 4d ___________ 204) Marschall/Müller, ZD 2016, 418. 205) Vgl. Lantwin, ArbRAktuell 2017, 511; Niklas/Faas, NZA 2017, 1093.
71
E. Aus der Praxis – Datenschutz in der Kanzlei
Abs. 5 BDSG a. F. war eine dahingehende Vorab-Verpflichtung bereits normiert. 182 Sie ist letztlich Ausprägung der Grundsätze „Privacy by Design“ bzw. „Privacy by Default“.206) 183 Privacy by Design lässt sich verkürzt mit „Datenschutz durch Technik“ umschreiben: Der Datenschutz lässt sich am „einfachsten“ einhalten, wenn schon bei – genauer ab – Erarbeitung eines Datenverarbeitungsvorgangs die entsprechende Technik eingeführt bzw. verwendet wird (zu den TOM siehe Rn. 222 ff.). 184 Unter Privacy by Default versteht man verkürzt, dass Betroffene oder Nutzer durch entsprechende (Vor-)Einstellungen geschützt werden, insbesondere technisch nicht so versierte Personen. 185 Auch in Art. 39 Abs. 1 lit. c) DSGVO wird wieder, wenn auch indirekt, die Pflicht zur Einhaltung der Datenschutzvorschriften dem Verantwortlichen zugewiesen. Die hier benannte Aufgabe des Datenschutzbeauftragten sieht vor, dass dieser die Beratung im Zusammenhang mit der Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO zu erbringen hat – dies aber nur auf Anfrage. 186 Zugleich ist der Datenschutzbeauftragte im Rahmen seiner Beratungstätigkeit für die Überwachung der Durchführung der Datenschutzfolgeabschätzung zuständig. d) Zusammenarbeit mit der Aufsichtsbehörde 187 Der Datenschutzbeauftragte soll als („sachverständiges“) Verbindungsglied zwischen Aufsichtsbehörde und Verantwortlichem dienen. Dies war er zumeist bereits in der Vergangenheit, indem sich die Aufsichtsbehörde auch vor Inkrafttreten der DSGVO meist direkt an den Datenschutzbeauftragten mit Fragen zur Verarbeitung gewandt hat.207) In der Funktion als Datenschutzbeauftragter soll er Ansprechpartner und Anlaufstelle der Aufsichtsbehörde sein.208) Dies kann aber nicht dazu führen, dass der Datenschutzbeauftragte zu einer sofortigen Meldung an die Aufsichtsbehörde verpflichtet ist. Vielmehr gebietet ihm bereits die entsprechende Treue gegenüber dem Verantwortlichen, alle notwendigen internen Maßnahmen zu ergreifen, die darauf hinwirken, die Einhaltung der Datenschutzvorschriften zu gewährleisten bzw. etwaige Verstöße zu beseitigen. ___________ 206) Ausführlich dazu Paal/Pauly-Martini, DS-GVO/BDSG, Art. 24 DSGVO Rn. 5; Praxisbeispiele finden sich im Übrigen bei Schmitz/v. Dall´Armi, ZD-Sonderausgabe 2017, 27, 30 ff. 207) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 39 DSGVO Rn. 8. 208) Plath-Bussche, BDSG/DSGVO, Art. 39 DSGVO Rn. 5.
72
II. Datenschutzbeauftragter
e) Schulung der Mitarbeiter Eine weitere Aufgabe (und jedenfalls nicht weniger wichtige auch in der In- 188 solvenzkanzlei) ist die Schulung und Sensibilisierung von Mitarbeitern, die an den Verarbeitungsvorgängen beteiligt sind, die sich aus Art. 39 Abs. 1 lit. b) DSGVO ergibt. Ziel dieser Aufgabe ist es, das Problembewusstsein der an den Verarbeitungsvorgängen beteiligten Mitarbeiter zu wecken und diese bezüglich der einzelnen Risiken aufzuklären und zu schulen. Auch sollen die Mitarbeiter im Rahmen dieser Schulung über ihre Pflichten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten informiert werden. Praxistipp: Bei den Schulungen muss es sich nicht zwingend um Präsenzschulungen handeln. Es ist auch möglich die Sensibilisierung bzw. Information der Mitarbeiter über das Intranet der Kanzlei oder aber auch über entsprechende Informationsblätter vorzunehmen. Im Rahmen von Präsenzschulungen sollte mit aktuellen Beispielen gearbeitet werden, bestenfalls solchen, die die jeweiligen Mitarbeiter direkt betreffen, um die Aufmerksamkeit hochzuhalten. Es ist anzuraten, die Schulungen nach Abteilungen oder Zuständigkeiten zu unterteilen, insbesondere wenn die Schulungen entsprechend thematisch eingeteilt sind.
f) Führen des Verzeichnisses von Verarbeitungstätigkeiten Das Führen des Verzeichnisses von Verarbeitungstätigkeit (ehemals auch als 189 Verfahrensverzeichnis bezeichnet, siehe Rn. 193 ff.) und die Auskunft aus diesem, was nach dem BDSG a. F.209) eine Aufgabe des Datenschutzbeauftragten darstellte, ist nunmehr gemäß Art. 30 DSGVO explizit die Aufgabe des Verantwortlichen bzw. des Auftragsverarbeiters. Damit ist dem Datenschutzbeauftragten vom Gesetz eine Aufgabe abgenom- 190 men worden, in der Praxis zumindest theoretisch. Denn diese Aufgabe wird sehr wahrscheinlich – und aufgrund des Sachverstandes des Datenschutzbeauftragen auch zurecht – häufig auf den Datenschutzbeauftragten delegiert, insbesondere da dieser diese Aufgabe nach dem BDSG a. F. bereits vollumfänglich erfüllt hat. g) Keine Aufgaben des Datenschutzbeauftragten Nicht zu den Aufgaben des Datenschutzbeauftragten gehört die Meldung 191 von Datenpannen. Zum Teil sehen Datenschutzbehörden eine Meldung eines Datenschutzbeauftragten hinsichtlich einer Datenpanne als kritisch an und zweifeln in diesen Fällen sogar an der Eignung des Datenschutzbeauftragten. Die zum Teil rigorose Ansicht einzelner Aufsichtsbehörden kann an dieser ___________ 209) Eine in dem Zusammenhang sehr sinnvolle Synopse der Vorschriften zum Verfahrensverzeichnis findet sich in ZD Fokus XIII, ZD 7/2018.
73
E. Aus der Praxis – Datenschutz in der Kanzlei
Stelle nicht nachvollzogen werden. Richtig ist, dass es sich bei dieser Meldung um eine originäre Aufgabe des Verantwortlichen handelt. Allerdings ist der Aufgabenkatalog des Datenschutzbeauftragten im Gesetz nicht abschließend, was Art. 39 DSGVO a. A. mit dem Wort „zumindest“ klarstellt, sodass dem Datenschutzbeauftragen auch weitere Aufgaben übertragen werden können. So kann im auch die Aufgabe übertragen werden, die Meldung gegenüber der Aufsichtsbehörde abzusetzen; natürlich immer in Abstimmung mit dem Verantwortlichen! 4. Sanktion bei Nichtbeachtung 192 Nimmt der Verantwortliche keine Benennung eines Datenschutzbeauftragten trotz einer bestehenden Verpflichtung vor, findet der Sanktionsrahmen des Art. 83 Abs. 4 DSGVO Anwendung.210) Dieser sieht Bußgelder von bis zu 10 Millionen € bzw. 2 % des weltweiten Jahresumsatzes des Vorjahres vor (zu den einzelnen Bußgeldern siehe Anhang). III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO 193 Das Prinzip der Dokumentation der Verarbeitungstätigkeiten in einem Verzeichnis ist bereits aus dem BDSG a. F. (§§ 4e, 4g Abs. 2, 2a BDSG a. F.) bekannt. Aber nunmehr kann ein Verstoß gegen die Vorhalteverpflichtung mit einem Bußgeld gemäß Art. 83 Abs. 4 lit. a) DSGVO bestraft werden. Eine Erleichterung bringt die Verordnung dergestalt mit, dass nicht wie bisher Teile des Verzeichnisses von Verarbeitungstätigkeiten jedermann zugänglich gemacht werden müssen. Das Verzeichnis muss derzeit nur der Aufsichtsbehörde auf Verlangen vorgelegt werden. Die Pflicht zum Führen des Verzeichnisses von Verarbeitungstätigkeiten besteht für den Verantwortlichen und ggf. für den Auftragsverarbeiter. 194 Vormals als „Übersicht“ über Verarbeitungsvorgänge des Verantwortlichen bezeichnet, setzte sich im allgemeinen Sprachgebrauch und teilweise in der Literatur211) die Bezeichnung „Verfahrensverzeichnis“ durch. Auch nutzten die Landesdatenschutzgesetze zum Teil diesen Begriff (z. B. § 6 HDSG, § 8 DSG NRW, § 7 LDSG-SH), sodass sich der Begriff „Verfahrensverzeichnis“ weiter verbreitete, obwohl diese Bezeichnung im BDSG a. F. nie Verwendung fand. 195 Insbesondere für den Insolvenzverwalter und seine Mitarbeiter führt die Nutzung des Begriffs „Verfahrensverzeichnis“ häufig zu Verwirrungen. Es ist naheliegend, dass in diesem Bereich die Bezeichnung „Verfahrensverzeichnis“ missverstanden wird und als Übersicht aller Insolvenzverfahren inter___________ 210) Siehe https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverhängt Geldbuße1u1.html (Stand: 17.3.2020). 211) Vgl. von Schenck/Mueller-Stöfen, GWR 2017, 173; Gola/Schomerus-Gola/Klug/Körffer, BDSG, § 4g Rn. 23 – 25a.
74
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
pretiert wird. Dies ist natürlich nicht der Fall. Das Verzeichnis soll alle Verarbeitungstätigkeiten, die mit der Verarbeitung von personenbezogenen Daten einhergehen, auflisten und entsprechend Art. 30 Abs. 1 DSGVO Angaben zu den jeweiligen Verarbeitungstätigkeiten beinhalten. 1. Dokumentation des Umgangs mit personenbezogenen Daten In dem Verzeichnis hat der Verantwortliche den Umgang mit personenbe- 196 zogenen Daten zu beschreiben und zu dokumentieren. Dabei werden die eigenen Prozesse und Arbeitsabläufe bezüglich der Verarbeitung personenbezogener Daten geprüft und ausführlich beschrieben. Die Beschreibung und Dokumentation betrifft alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten erfasst, gespeichert, ausgewertet oder anderweitig bearbeitet werden. Die DSGVO fasst sämtliche Vorgänge unter dem Begriff „Verarbeitung“ zusammen. Das Verzeichnis soll u. a. der Aufsichtsbehörde die Möglichkeit geben, zunächst 197 aufgrund der Dokumentation zu prüfen, ob die jeweiligen Verarbeitungen rechtmäßig sind und den Grundsätzen des Datenschutzrechts folgen. Das Verzeichnis ist ebenso Teil des in der DSGVO geforderten Datenschutzmanagementsystems und stellt sogleich für den Verantwortlichen die Möglichkeit dar, Anhaltspunkte dafür zu liefern, dass die datenschutzrechtlichen Pflichten eingehalten werden. Die Dokumentation der Prozesse, in denen personenbezogene Daten verar- 198 beitet werden, soll zugleich dem Verantwortlichen helfen, einen besseren Überblick über die einzelnen Verarbeitungstätigkeiten zu erlangen und aufgrund der Informationen, die in diesem Verzeichnis hinterlegt werden, z. B. auf ein Auskunftsverlangen eines Betroffenen gemäß Art. 15 DSGVO leichter reagieren zu können (siehe Rn. 450 ff.). Da die Informationen wie, wann und wozu bestimmte Daten verarbeitet werden, dem Verzeichnis entnehmbar sind, ist eine Beantwortung von Anfragen Betroffener, sofern diese erfolgen muss, schnell und einfacher erstellbar. Exkurs:
199
Im Zusammenhang mit einem Auskunftsverlangen eines Betroffenen muss man sich in der Insolvenzkanzlei immer auch § 43 Abs. 1, 2 BDSG vor Augen halten. Beispielhaft sei hier der § 30 BDSG erwähnt, der den Datenschutz bei Verbraucherkrediten regelt. Wird ein Auskunftsverlangen entgegen § 30 Abs. 1 BDSG nicht richtig behandelt, kann diese Ordnungswidrigkeit mit bis zu 50.000 € Bußgeld sanktioniert werden (§ 43 Abs. 1 Nr. 1 BDSG). Zur Form ist in Art. 30 Abs. 3 DSGVO vorgeschrieben, dass das Verzeichnis 200 in Schriftform zu führen ist, aber auch in einem elektronischen Format erstellt werden kann. Die Möglichkeit der Erstellung des Verzeichnisses auch in elektronischer Form soll, wie auch in anderen Bereichen des Datenschut-
75
E. Aus der Praxis – Datenschutz in der Kanzlei
zes (ErwGr. 32 Satz 1, Art. 12 Abs. 1 Satz 2 DSGVO), den Bürokratieaufwand nicht unangemessen erhöhen.212) Praxistipp: Es ist anzuraten, das Verzeichnis elektronisch zu erstellen. Dabei kann auch auf das bereits bestehende Verzeichnis der Verarbeitungstätigkeiten, das auf Grundlage des BDSG a. F. erstellt wurde, zurückgegriffen und dieses aktualisiert werden. Wie schnell ein solches Verzeichnis aktualisierungsbedürftig sein kann, zeigen beA, aber auch Homeoffice während der Corona-Pandemie, auf das (Insolvenz-)Kanzleien (aber auch durch Insolvenzverwalter fortgeführte SchuldnerBetriebe) umgestellt haben.
201 Da die Pflicht zum Führen dieses Verzeichnisses auch die ständige Aktualisierung beinhaltet, sind Änderungen in den Verarbeitungstätigkeiten leichter in das Verzeichnis einzuarbeiten. Auch ergeben sich häufig aufgrund der technischen Weiterentwicklung Änderungen, die ebenso im Verzeichnis vermerkt werden müssen. 202 Dabei sollte darauf geachtet werden, dass mit verschiedenen Versionen gearbeitet wird, um die entsprechenden Änderungen nachvollziehen zu können und ggf. bei Anfrage der Aufsichtsbehörde eine zeitliche Abfolge der Verarbeitungstätigkeiten besser darstellen zu können. 2. Öffentliches und internes Verzeichnis bis zum 25. Mai 2018 203 Bis zum Inkrafttreten der DSGVO und dem neuen BDSG zum 25.5.2018 war der Verantwortliche gehalten, zwei Verzeichnisse zu erstellen und dem Datenschutzbeauftragten zur Verfügung zu stellen, da ihm die Aufgabe zukam, die Verzeichnisse zu führen. Dabei handelte es sich zum einen um das sog. „interne Verzeichnis“, das sämtliche Angaben enthielt und dem Einsichtsrecht der Aufsichtsbehörde unterlag. Zum anderen bedurfte es eines zweiten Verzeichnisses, des sog. „öffentlichen Verzeichnisses“, auch „Jedermann-Verzeichnis“ genannt. Mit dem öffentlichen Verzeichnis sollte dem datenschutzrechtlichen Grundsatz der Transparenz der Verarbeitungstätigkeiten Ausdruck verliehen werden. So war der Datenschutzbeauftragte gemäß § 4g Abs. 2 Satz 2 BDSG a. F. gehalten, dieses öffentliche Verzeichnis auf Antrag jedermann in geeigneter Weise verfügbar zu machen. Dieses grundsätzliche Einsichtsrecht führte zu der Bezeichnung „Jedermann-Verzeichnis“. 204 Die Verzeichnisse unterschieden sich insbesondere hinsichtlich der Angaben zu den Maßnahmen, die ergriffen wurden, um die personenbezogenen Daten zu schützen und die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Die technischen und organisatorischen Maßnahmen, die im § 9 BDSG a. F. geregelt waren, mussten nicht „jedermann“ offengelegt wer___________ 212) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 24.
76
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
den. Diese Einschränkung sollte das Geheimhaltungsinteresse der Unternehmen bewahren.213) 3. Kein öffentliches Verzeichnis (mehr) seit 25. Mai 2018 Ein öffentliches Verzeichnis, das der Verantwortliche zur Einsichtnahme durch 205 jeden vorhalten muss, sieht die DSGVO nicht mehr vor. Ein Verzeichnis von Verarbeitungstätigkeiten, das ggf. der Aufsichtsbehörde im Rahmen der Zusammenarbeit und auf Anfrage vorgelegt werden muss, ist weiterhin zu führen. Es besteht aber keine Herausgabepflicht an jedermann oder eine Veröffentlichungspflicht.214) Praxistipp: Es empfiehlt sich, die nach den alten Regeln erstellten Verzeichnisse weiterhin aufzubewahren. Diese müssen der Aufsichtsbehörde ebenfalls auf Anfrage zur Verfügung gestellt werden, z. B., wenn sie Datenschutzvorgänge aus der Zeit von vor dem 25.5.2018 prüft.215)
4. Ausnahmen von der Verpflichtung zum Führen eines Verzeichnisses Die Verpflichtung zum Führen eines Verzeichnisses von Verarbeitungstätig- 206 keiten kann auch entfallen. Dies allerdings nur unter sehr engen Voraussetzungen und diese Ausnahme wird den Großteil der Unternehmen nicht tangieren. Im Art. 30 Abs. 5 DSGVO werden kleine und mittlere Unternehmen von dieser Verpflichtung per se ausgenommen. Diese Ausnahme bezieht sich nur auf Unternehmen und Einrichtungen, unabhängig von der Rechtsform.216) Damit soll der besonderen Situation von Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung getragen werden (ErwGr. 13 DSGVO). Ausschlaggebend ist die Anzahl der Mitarbeiter. Demnach sind Unterneh- 207 men und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, von der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ausgenommen, sofern diese bestimmte Voraussetzungen nicht erfüllen. Die Ausnahme von der Verpflichtung zur Führung eines Verzeichnisses greift nicht, wenn der Verantwortliche eine Verarbeitung von personenbezogenen Daten durchführt und einer der folgenden Sachverhalte vorliegt: x
Bestehendes Risiko für die Rechte und Freiheiten des Betroffenen.
x
Die Verarbeitung findet nicht nur gelegentlich statt.
x
Es werden besondere Datenkategorien gemäß Artt. 9 Abs. 1, 10 DSGVO verarbeitet.
___________ 213) 214) 215) 216)
Taeger/Gabel-Scheja, BDSG, § 4 g Rn. 48. Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 4. Vgl. DSK-Kurzpapier Nr. 1, S. 1 – 2. Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 27.
77
E. Aus der Praxis – Datenschutz in der Kanzlei
208 Trifft einer dieser Sachverhalte auf das Unternehmen zu, besteht weiterhin die Verpflichtung zum Führen eines Verzeichnisses. 209 Insbesondere hinsichtlich des bestehenden Risikos für die Rechte und Freiheiten der Betroffenen, wird es kaum ein Unternehmen geben, auf das diese Ausnahmeregelung anwendbar ist. Im Rahmen der wörtlichen Auslegung dieser Regelung und unter Beachtung der sonstigen datenschutzrechtlichen Grundsätze stellt sich das Problem, dass die datenschutzrechtlichen Vorschriften grundsätzlich davon ausgehen, dass in jeder Verarbeitung von personenbezogenen Daten ein Risiko liegt. Eine Verarbeitung von personenbezogenen Daten ohne jegliches Risiko gibt es nicht217) und kann es nach der h. M. auch nicht geben. 210 Die DSK führt zu dieser Problematik in Ihrem Kurzpapier aus, dass die Formulierung in der DSGVO „nicht zu einem Risiko“ nach Sinn und Zweck der Vorschrift als „nur zu einem geringen Risiko“ zu verstehen ist.218) Eine entsprechende Abwägung sollte immer in Bezug auf eine Risikobeurteilung i. S. d. DSGVO erfolgen. 211 Aber auch der weitere genannte Sachverhalt, die gelegentliche Verarbeitung, trägt nicht zur Klarheit bei. Insbesondere da die DSGVO den Begriff „gelegentlich“ nicht näher definiert. Nur die Gegenüberstellung mit dem sonst benutzten Begriff „regelmäßig“ lässt darauf schließen, dass hier eine Abgrenzung zur Haupttätigkeit des Verantwortlichen erfolgen sollte. Allerdings liegt die Unterscheidung zwischen „regelmäßig“ und „gelegentlich“ dem Wortsinn nach nicht in der Art der Tätigkeit, sondern in der zeitlichen Komponente, also der Häufigkeit der ausgeübten Tätigkeit.219) 212 Daher ist davon auszugehen, dass nur ein verschwindend kleiner Teil von Unternehmen und Einrichtungen unter diese Ausnahme fallen. Sicherheitshalber sollte die zuständige Aufsichtsbehörde kontaktiert werden für den Fall, dass der Verantwortliche davon ausgeht, dass diese Ausnahmeregelung auf sein Unternehmen zutrifft. 5. Pflicht des Verantwortlichen und des Auftragsverarbeiters 213 Jeder Verantwortliche und ggf. sein Vertreter ist gemäß Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet, sofern die Verarbeitungstätigkeiten in seine Zuständigkeit fallen. Für den Auftragsverarbeiter und ggf. seinen Vertreter ergibt sich die Verpflichtung aus Art. 30 Abs. 2 DSGVO zu allen Kategorien von im Auftrag ___________ 217) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 32; DSK-Kurzpapier Nr. 18, S. 2. 218) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 32; DSK-Kurzpapier Nr. 18, S. 2. 219) So auch Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 34; Artikel-29Datenschutzgruppe, WP 243 rev.01, S. 10.
78
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
eines Verantwortlichen durchgeführten Tätigkeiten im Rahmen der Verarbeitung von personenbezogenen Daten. Die Bezeichnung des Vertreters bezieht sich nicht auf den Datenschutzbeauftragten. Der Begriff „Vertreter“ ist in Art. 4 Nr. 17 DSGVO definiert und bezeichnet 214 eine natürliche oder juristische Person, die in der Union niedergelassen ist und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die datenschutzrechtlichen Pflichten vertritt und entsprechen des Art. 27 DSGVO schriftlich benannt wurde. Einen solchen Vertreter benötigen insbesondere Verantwortliche oder Auftragsverarbeiter, die keine eigene Niederlassung im Anwendungsbereich der DSGVO innehaben, aber deren Verarbeitungstätigkeiten sich auf Betroffene innerhalb der Union auswirken (ErwGr. 80 DSGVO). 6. Einsichtsrecht der Aufsichtsbehörden Die Befugnisse der Aufsichtsbehörden sind sehr umfangreich und ergeben sich 215 zum einen aus Art. 58 DSGVO und unter Nutzung der Konkretisierungsklausel in Art. 58 Abs. 6 DSGVO aus § 16 BDSG. Das bestehende Einsichtsrecht der zuständige Aufsichtsbehörde in das Verzeichnis ergibt sich wiederum aus Art. 30 Abs. 4 DSGVO, der als lex specialis im Verhältnis zum Art 58 Abs. 1 lit. a) DSGVO anzusehen ist. Auf Anfrage der Behörde hat der Verantwortliche das Verzeichnis zur Ver- 216 fügung zu stellen. Mit dem Einsichtsrecht oder der Zurverfügungstellung soll aufseiten der Aufsichtsbehörde eine wirksame Rechtmäßigkeitskontrolle ermöglicht werden.220) Zugleich gestattet die Sichtung des Verzeichnisses der Aufsichtsbehörde vorab eine Datenschutzprüfung gemäß Art. 58 Abs. 1 lit. b) DSGVO. Der explizite Hinweis in Art. 30 Abs. 4 DSGVO, dass eine Zurverfügungstellung nur „auf Anfrage“ erfolgt, führt dazu, dass eine Vorlagepflicht des Verantwortlichen bzw. des Auftragsverarbeiters besteht, aber keine grundsätzliche Meldepflicht. 7. Inhalt des Verzeichnisses von Verarbeitungstätigkeiten Die Mindestinhalte des Verzeichnisses werden in Art. 30 Abs. 1 DSGVO be- 217 schrieben. Diese Mindestinhalte dienen u. a. dazu, dass sich die Aufsichtsbehörde ein entsprechendes Bild hinsichtlich der Verarbeitungstätigkeiten machen kann. Die Aufsichtsbehörde soll in die Lage versetzt werden zu erkennen wo, wie und warum der Verantwortliche personenbezogene Daten verarbeitet, um so ggf. gezielt Prüfungsmaßstäbe und Nachfragen festlegen zu können. Ebenso sollen die Angaben dem Verantwortlichen helfen, die Verarbeitungstätigkeiten ständig kontrollieren zu können, aber auch aufgrund der Angaben im Verzeichnis leicht seine Informationspflichten gemäß Art. 12 ff. DSGVO erfüllen zu können (im Einzelnen siehe Rn. 381 ff.). ___________ 220) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 25.
79
E. Aus der Praxis – Datenschutz in der Kanzlei
218 Die nachfolgenden Mindestinhalte ähneln den Angaben, die im Rahmen der Erfüllung der Informationspflichten des Verantwortlichen bei der erstmaligen Datenverarbeitung dem Betroffenen zur Verfügung gestellt werden müssen. Auch korrespondiert der Katalog der Mindestinhalte mit den Auskunftsrechten gemäß Art. 15 DSGVO.221) 219 Folgende Angaben sind in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen: x
Name und Kontaktdaten des Verantwortlichen, des Vertreters und, wenn vorhanden, des Datenschutzbeauftragten.
x
Der Zweck der Verarbeitung.
x
Beschreibung der Kategorien Betroffener und personenbezogene Daten.
x
Kategorien von Empfängern, die Zugang zu den Daten erhalten.
x
Übermittlung an ein Drittland oder eine internationale Organisation.
x
Vorgesehene Löschungsfristen.
x
Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO.
220 Die Inhalte hinsichtlich der Löschungsfristen und die Beschreibung der technischen und organisatorischen Maßnahmen erfahren eine geringe Abstufung durch die Aufnahme der Wörter „wenn möglich“ (Art. 30 Abs. 1 Satz 2 lit. f) und g) DSGVO). Damit beschränkt der Gesetzgeber die Verpflichtung zur Angabe dieser Inhalte auf die Umstände, die keinen unzumutbaren Aufwand für den Verantwortlichen darstellen, und darauf, dass diese Angaben per se vernünftigerweise umsetzbar sind.222) Da nach dem Dafürhalten der Autoren eine Beschreibung, insbesondere eine wie gefordert allgemeine Beschreibung der technischen und organisatorischen Maßnahmen stets möglich sein sollte, kann dieses Merkmal nur i. S. v. „soweit angemessen“ verstanden werden.223) 8. Sanktion bei Nicht- oder Falscherstellung 221 Unterlässt der Verantwortliche das Führen eines Verzeichnisses der Verarbeitungstätigkeiten trotz einer bestehenden Verpflichtung, findet der Sanktionsrahmen des Art. 83 Abs. 4 DSGVO Anwendung. Demnach kann die Aufsichtsbehörde hohe Bußgelder verhängen (zu den einzelnen Bußgeldern siehe Anhang).
___________ 221) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 6. 222) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 18c. 223) Plath-Plath, BDSG/DSGVO, Art. 30 Rn. 2.
80
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO Die technischen und organisatorischen Maßnahmen (kurz: TOM), wie sie 222 in Art. 32 DSGVO unter Berücksichtigung des aktuellen Stands der Technik gefordert werden, betreffen die Datensicherheit und meinen die Vorkehrungen, die der Verantwortliche oder auch der Auftragsverarbeiter treffen muss, um mithilfe der Datensicherheit den Datenschutz zu gewährleisten. Diese werden ebenso dem Verzeichnis der Verarbeitungstätigkeiten als Anhang beigefügt, um das Schutzniveau der einzelnen Verarbeitungsvorgänge nachweisen zu können. Es besteht eine Wechselwirkung zwischen den Begriffen Datenschutz und 223 Datensicherheit. Beides ist nur in Verbindung möglich.224) Ohne entsprechende Vorkehrungen bei der Datensicherheit, die der Verantwortliche zu treffen hat, kann dieser naturgemäß die Unversehrtheit der personenbezogenen Daten und die Sicherheit der Verarbeitung nicht gewährleisten. Gemäß Art. 32 Abs. 1 DSGVO hat der Verantwortliche bei der Implementierung der Maßnahmen den Stand der Technik zu beachten, die Art und den Umfang sowie den Zweck der Verarbeitung und muss im Rahmen einer Risikoeinschätzung ein mögliches bestehendes Risiko für die Betroffenen und deren Rechte und Freiheiten bestimmen. Er hat ein angemessenes Schutzniveau der personenbezogenen Daten und der Verarbeitungen zu gewährleisten, kann bei seinen Überlegungen aber auch die entsprechenden Implementierungskosten für diese Maßnahmen berücksichtigen. Ist das Risiko der Betroffenen entsprechend gering einzuschätzen und gelangen innerhalb der Risikoeinschätzung Verantwortliche zu der Erkenntnis, dass die bereits ergriffenen Maßnahmen ausreichend sind, bedarf es ggf. keiner zusätzlichen Investitionen. Natürlich ist eine solche Risikoeinschätzung regelmäßig zu wiederholen, da sich der Stand der Technik jederzeit durch Innovation ändern kann und somit eine Anpassung der Sicherheitsmaßnahmen erforderlich ist. Die Datenschutzregelungen bleiben in ihren Vorgaben im Art. 32 Abs. 1 224 DSGVO überwiegend abstrakt und schaffen damit Flexibilität bei den Maßnahmen, die der Verantwortliche zu ergreifen hat. Gleichzeitig setzen die Regelungen auf der anderen Seite auf eine eigenverantwortliche Einschätzung des Verantwortlichen für die erforderlichen Maßnahmen.225) Auch handelt es sich bei den genannten Maßnahmen um Mindestvorgaben,226) die zwingend ergriffen werden müssen. Darüber hinaus kann immer gegangen werden.
___________ 224) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 1. 225) Plath-Grages, BDSG/DSGVO, Art. 32 Rn. 2. 226) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 1.
81
E. Aus der Praxis – Datenschutz in der Kanzlei Praxistipp Geldbuße: Der Bundesbeauftragte für Datenschutz verhängte gegen das Unternehmen 1 & 1 Telecom aufgrund Verstoßes gegen Art. 32 DSGVO ein Bußgeld i. H. v. 9,55 Mio. €, weil das Unternehmen keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen habe, um zu verhindern, dass für Unberechtigte die Möglichkeit bestand, telefonisch Auskünfte zu Kundendaten anderer Personen zu erhalten.227) Sehr illustrativ auch das Beispiel des Unternehmens DigiNotar, das letztlich aufgrund massiver Sicherheitslücken etc. insolvent wurde.228)
1. Schutzmaßnahmen nach dem Stand der Technik 225 Die Bezugnahme in der DSGVO auf den Stand der Technik erfolgt bereits in Art. 25 DSGVO. Für die Verantwortlichen bzw. den Auftragsverarbeiter bedeutet dies, dass sie ihre ergriffenen Maßnahmen an dem technisch Machbaren messen lassen müssen, was zu diesem Zeitpunkt auch tatsächlich realisierbar ist,229) immerhin unter Beachtung der Implementierungskosten230). 226 Der Verantwortliche ist nicht verpflichtet, jede Neuerung oder Innovation sofort umzusetzen, sondern sollte die Maßnahmen umsetzen, die ausreichend erprobt und auch entsprechend zur Verfügung stehen. Im Umkehrschluss darf er jedoch jedenfalls nicht auf eine veraltete und längst überholte Technik, deren Sicherheitslücken bereits hinlänglich bekannt sind, als Sicherheitsmaßnahme zurückgreifen. 227 Des Weiteren ergibt sich aus dem Begriff „Stand der Technik“ auch eine Verpflichtung, die Maßnahmen in regelmäßigen Abständen zu kontrollieren. Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat IT-Grundschutzkataloge herausgegeben, die Anhaltspunkte dafür liefern, was aktueller Stand der Technik ist. Praxistipp: Es ist anzuraten, bestenfalls im Rahmen der regelmäßigen Überprüfung des Verzeichnisses von Verarbeitungstätigkeiten, zeitgleich mit dem IT-Zuständigen neue Techniken und Innovationen zu besprechen, die Erkenntnisse im Rahmen der Risikoabwägung hinsichtlich der zu ergreifenden Maßnahmen mit einfließen zu lassen und ggf. eine entsprechende Anpassung vorzunehmen. In jedem Fall sollten diese Gespräche und Überlegungen dokumentiert werden, um im Nachhinein der Aufsichtsbehörde belegen zu können, dass eine Aktualisierung zumindest in regelmäßigen Abständen geprüft wird.
___________ 227) Siehe https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverhängt Geldbuße1u1.html (Stand: 17.3.2020). 228) Müller, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 413 m. w. N. 229) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 25 DSGVO Rn. 39d. 230) Was vielleicht einmal „Einfallstor“ für einen Finanzierungsvorbehalt im Hinblick auf den Datenschutz im Insolvenzfall sein könnte (theoretisch).
82
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
2. Ergreifung von Sicherheitsmaßnahmen Die Maßnahmen, die ergriffen werden sollen und müssen, richten sich an der 228 Art der Verarbeitung und insbesondere an der Kategorie der verarbeiteten personenbezogenen Daten aus. Im Rahmen der Beurteilung des angemessenen Schutzniveaus gemäß Art. 32 Abs. 2 DSGVO wird man dazu kommen müssen, dass sensitive Daten (Art. 9 DSGVO) ein entsprechendes hohes Schutzniveau beanspruchen, da das Risiko eines Betroffenen bei z. B. unbefugter Offenlegung umso höher anzusehen ist. Der Verantwortliche und Auftragsverarbeiter hat im Rahmen einer Gesamtbetrachtung festzulegen, welche TOM ergriffen werden müssen, um die vorliegenden personenbezogenen Daten angemessen zu schützen. Dies unter Berücksichtigung der genannten Faktoren und unter Einbeziehung des Stands der Technik und des Kostenaufwands, der betrieben werden muss. Die zu ergreifenden Maßnahmen sind dabei nicht rein technischer Natur, sondern betreffen z. B. auch bauliche Maßnahmen. Sie können sich als relativ trivial darstellen und sind des Weiteren zum Teil schnell umsetzbar. Praxistipp: Die Bezeichnung des Serverraums ist nicht nötig, da die Person, die zu diesem Raum Zutritt haben sollte, in der Regel weiß, wo sich dieser Raum befindet.
a) Pseudonymisierung In der nicht abschließenden Aufzählung des Art. 32 DSGVO wird lediglich 229 konkret die Pseudonymisierung und die Verschlüsselung von personenbezogenen Daten benannt (Art. 32 Abs. 1 lit. a) DSGVO). Die möglichst frühzeitige Pseudonymisierung soll dafür Sorge tragen, dass der Zugriff auf Daten, insbesondere der ungewollte Zugriff auf sensible Daten, weitestgehend erschwert wird bzw., wenn dieser doch erfolgt, die Gefahren eines Risikos für die Betroffenen mit dieser Maßnahme bereits minimiert werden. In dieser technischen Maßnahme wird ein nachhaltiger Schutz der vorliegenden Daten gesehen und auch die Möglichkeit, das Risiko für die Betroffenen zu senken und den Verantwortlichen bzw. Auftragsverarbeiter zu unterstützen, die Datenschutzpflichten einzuhalten (ErwGr. 28 DSGVO).231) Es soll erwirkt werden, dass ohne das Hinzuziehen weiterer Informationen die Daten einem speziellen Betroffenen nicht mehr zuordenbar sind (Art. 4 Nr. 5 DSGVO). Entgegen der Anonymisierung, die vorsieht, den Bezug des Betroffenen zu den Daten vollständig aufzuheben. Eine wirksame Pseudonymisierung setzt zugleich voraus, dass die Informati- 230 onen, die für eine Identifizierung erforderlich sind, von den anderen Daten getrennt aufbewahrt werden. ___________ 231) So auch Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 33; so auch Schild, in: BeckOK DatenschutzR, DS-GVO, Art. 4 Nr. 5 Rn. 69.
83
E. Aus der Praxis – Datenschutz in der Kanzlei Praxistipp: Eine Pseudonymisierung oder auch Anonymisierung sollte u. a. im Rahmen der Vorbereitung eines Asset Deals und einer übertragenden Sanierung im Hinblick auf die Arbeitnehmerliste vorgenommen werden. Bis ein entsprechender Kaufvertrag unterschrieben wurde, bedarf es i. d. R. keines Personenbezugs zu den einzelnen Mitarbeitern. Dies kann natürlich bei für die Fortführung zwingend notwendigen Mitarbeitern oder leitenden Angestellten aufgrund der jeweiligen Interessenlage auch anders angesehen werden. Dann bedarf es einer dokumentierten Interessenabwägung. Vom Grundsatz her bleibt anzuraten, die Beschäftigtendaten entsprechend zu bearbeiten und erst nach dem Unterzeichnen der Verträge dem Erwerber zur Verfügung zu stellen, damit dieser seine notwendigen Verpflichtungen in Bezug auf die Anmeldung der übernommenen Mitarbeiter erfüllen kann.
231 Bei der Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO) wird z. B. der Name des Betroffenen durch einen fingierten Namen oder auch eine Nummer ersetzt. Werden Daten unter Verwendung des fingierten Namens verarbeitet, sind ohne das Hinzuziehen weiterer Information Rückschlüsse auf die tatsächliche Person, die sich hinter den Daten verbirgt, nicht bzw. nur schwer möglich. Ein gutes Beispiel gibt der Bereich der Insolvenzen. Die Verwendung der Insolvenzaktenzeichen kann als Pseudonymisierung angesehen werden. Der Betroffene hinter diesem Aktenzeichen ist ohne das Hinzuziehen weiterer Information (z. B. Beschluss, in dem der Name genannt ist) nicht einfach identifizierbar. 232 Auch innerhalb des Audits, insbesondere des Audits bezüglich der Überprüfung der Einhaltung der Grundsätze ordnungsgemäßer Insolvenzverwaltung (GOI), wird eine Form der Pseudonymisierung angewandt. Der Auditor lässt sich eine Liste der Verfahren mit internen Aktenzeichen, wie sie in der Insolvenzverwalterkanzlei verwendet werden, überreichen. Somit ist es ihm ohne weitere Informationen nicht möglich, zu erkennen, ob es sich bei der Prüfung um ein Verbraucherinsolvenzverfahren handelt oder um ein Regelinsolvenzverfahren und welche Personen ggf. hinter den jeweiligen internen Aktenzeichen stehen, da ihm das Aktenzeichen nicht bekannt ist. b) Verschlüsselung 233 Auch die Verschlüsselung gemäß Art. 32 Abs. 1 lit. a) DSGVO ist eine konkret benannte Maßnahme. Dabei werden die Daten nicht geändert oder ein entsprechender Zusammenhang wird aufgelöst, sondern diese Daten werden in ihrer Gesamtheit anhand eines technischen Verfahrens für einen Unberechtigten, der den entsprechenden Entschlüsselungscode nicht sein eigen nennt, unbrauchbar gemacht. Ursprünglich war die Verpflichtung zur Verschlüsselung Teil der Zugriffskontrolle bzw. der Weitergabekontrolle, wie sie in der Anlage zu § 9 Satz 1 BDSG a. F. vorgesehen war.
84
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
In Abhängigkeit zu den jeweiligen personenbezogenen Daten, den Daten- 234 kategorien und dem bestehenden Risiko, dass diese Daten unberechtigten Dritten zur Kenntnis gelangen könnten, sind unterschiedliche Verschlüsselungsmethoden geboten.232) Unter anderem sind diese Überlegungen in Bezug auf den E-Mail-Versand vorzunehmen. Gängige häufig genutzte Software zum Versand von E-Mails verfügen standardmäßig i. d. R. über eine Transportverschlüsselung. Dabei werden die versandten Nachrichten auf dem Transportwege verschlüsselt. Des Weiteren gibt es die sog. Inhaltsverschlüsselung, bei der die Daten in 235 der E-Mail verschlüsselt werden und nur mit dem jeweiligen Entschlüsselungscode lesbar werden. Eine explizite Pflicht, den E-Mail-Verkehr ebenfalls mit einer Inhaltsverschlüsselung zu versehen, sieht das Datenschutzrecht nicht vor. Allerdings sind alle Maßnahmen zum Schutze von personenbezogenen Daten an dem aktuellen Stand der Technik und unter einer Risikoabwägung zu messen.233) Anhänge bei E-Mails mit entsprechenden Inhalten sollten zusätzlich verschlüsselt werden und das Passwort zur Entschlüsselung dem Empfänger separat mitgeteilt werden. Praxistipp: Beim Versenden von E-Mails mit sensiblen Daten oder Daten, deren Inhalt für den Betroffenen ein hohes Risiko für seine Rechte und Freiheit beinhalten kann, und wenn ein unberechtigter Dritter Zugriff auf diese Daten nehmen kann, empfiehlt es sich, eine Kombination aus verschiedenen Verschlüsselungsmethoden zu wählen.
c) Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme Die in Art. 32 Abs. 1 lit. b) DSGVO genannten Schlagwörter beziehen sich 236 auf die Datensicherheit, die der Verantwortliche gewährleisten soll, um genau die weit gefassten Punkte hinsichtlich der Verarbeitung personenbezogener Daten sicherzustellen. Hierbei handelt es sich um klassische Schutzziele, wie sie auch u. a. in der ISO 27000-Reihe in Bezug auf die Standards zur Informationssicherheit vorkommen. Auch korrespondieren die Schlagwörter zum Teil mit den in Art. 5 DSGVO genannten Grundsätzen für die Verarbeitung personenbezogener Daten. Mit der Einhaltung der Schutzziele soll eine wirksame Datensicherheit her- 237 gestellt werden, um u. a. unberechtigten Dritten den Zugriff auf die Daten zu verwehren (Vertraulichkeit) und dem versehentlichen Untergang bzw. der Unversehrtheit der Daten entgegenzuwirken (Integrität).234) ___________ 232) Vgl. Kühling/Buchner-Jandt, DS-GVO/BDSG, Art. 32 DSGVO Rn. 19 ff. 233) Reisener/Weiß, InsbürO 9/2018, 336. 234) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 5 DSGVO Rn. 46.
85
E. Aus der Praxis – Datenschutz in der Kanzlei
aa) Vertraulichkeit 238 Die Vertraulichkeit ist eines der herkömmlichen Ziele, wie sie die Informationssicherheit vorsieht. Der Begriff der Vertraulichkeit umfasst sowohl die Beschränkung des Zugriffs (Zugriffskontrolle), die Überwachung und die Verhinderung eines unberechtigten Zutritts (Zutrittskontrolle) als auch Maßnahmen, um den Zugang weit möglichst zu beschränken (Zugangskontrolle).235) Die Vertraulichkeit ist bereits im Art. 5 Abs. 1 lit. f) DSGVO im Rahmen der Grundprinzipien verankert. 239 Auch ist in diesem Begriff, die nach BDSG a. F. noch bekannte „Verpflichtung auf das Datengeheimnis“ mit eingeflossen. Eine vergleichbare und ebenso eindeutige Verpflichtung nach der der Verantwortliche seine Mitarbeiter auf das Datengeheimnis zu verpflichten hat, kennt die DSGVO nicht.236) Der Verantwortliche muss natürlich sicherstellen, dass die bei ihm Beschäftigten, die personenbezogene Daten verarbeiten, nur auf seine Anweisung eine Verarbeitung vornehmen.237) Diese Pflicht ist auch im Art. 32 Abs. 4 DSGVO geregelt. Für den Auftragsverarbeiter liegt hingegen eine Verpflichtung vor, zu gewährleisten, dass sich die bei ihm tätigen Personen zur Vertraulichkeit verpflichtet haben bzw. diese einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 Satz 2 lit. b) DSGVO). 240 Eine entsprechende Bedingung, Mitarbeiter hinsichtlich der Vertraulichkeit anhand einer ausdrücklichen (schriftlichen) Erklärung zu verpflichten, wie es beim Datengeheimnis im BDSG a. F. bisher vorgesehen war, besteht nicht. Dennoch sollte eine schriftliche Verpflichtung der Mitarbeiter aus Gründen der Rechenschaftspflicht und Dokumentationspflicht des Verantwortlichen erfolgen und wird auch von der Datenschutzkonferenz empfohlen.238) 241 Aus der Verpflichtung zur Einhaltung der Grundsätze des Datenschutzes des Verantwortlichen ergibt sich die Aufgabe u. a. sicherzustellen, dass die Beschäftigten datenschutzkonform mit personenbezogenen Daten umgehen können und dies nachgewiesen werden kann.239) Praxistipp: Auch wenn die DSGVO keine grundsätzliche Vorschrift in Bezug auf eine schriftliche Verpflichtung der Mitarbeiter vorsieht, sollte dennoch aus Gründen der Nachweisbarkeit und Rechenschaftspflicht eine solche niedergelegt und z. B. in der Personalakte bzw. beim Datenschutzbeauftragten aufbewahrt werden.
___________ 235) 236) 237) 238) 239)
86
Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 35. Reisener/Weiß, InsbürO 9/2018, 337. Vgl. DSK-Kurzpapier Nr. 19, S. 1. Vgl. DSK-Kurzpapier Nr. 19, S. 1. Reisener/Weiß, InsbürO 9/2018, 338.
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
bb) Integrität Die Notwendigkeit der Integrität der verarbeiteten personenbezogenen Daten 242 ergibt sich bereits aus den Grundprinzipien des Datenschutzrechts (Art. 5 Abs. 1 lit. f) DSGVO) und findet sich als Ziel in der Informationssicherheit wieder. Entsprechend der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezeichnet der Begriff Integrität die Sicherstellung der Unversehrtheit der Daten und die korrekte Funktionsweise von Systemen.240) Bezogen auf die Grundprinzipien des Datenschutzes, müssen die Daten vor Verfälschung und unerlaubter oder unbeabsichtigter Veränderung geschützt werden. Eine unbeabsichtigte Veränderung kann u. a. durch eine Fehlfunktion des 243 Systems erfolgen. Daher ist der Verantwortliche gehalten, Maßnahmen zum Schutz des Betriebssystems und der sonstigen Programme zu ergreifen. Hierzu zählen u. a. Virenscanner, regelmäßige Updates oder auch der Einsatz von Firewalls und Spamfilter. Auch gehören zu den technischen Maßnahmen Verschlüsselungen von Da- 244 tenträgern und der elektronischen Post zum Schutz der Integrität der Daten. Dabei muss im Rahmen der Weitergabe der Daten sichergestellt werden, dass unberechtigte Dritte keinen Zugriff auf diese Daten nehmen können bzw. diese nicht verändert werden können. Auch die sog. Eingabekontrolle unterstützt die Integrität der Daten, zumindest kann mithilfe dieser über entsprechende Protokolldaten nachvollziehbar dargestellt werden, wer, wann und wie Daten verändert hat.241) cc) Verfügbarkeit und Belastbarkeit Der Verantwortliche hat die Verfügbarkeit der Daten sicherzustellen, wenn 245 diese von zur Verarbeitung berechtigten Personen benötigt werden. Die Systeme müssen entsprechend belastbar sein, um eine ständige Verfügbarkeit und dauerhaften Zugang zu den Daten zu ermöglichen bzw. diesen schnell wieder herstellen zu können. Hierzu zählt auch, entsprechende Back-ups vorzuhalten, um bei einem Problem die Daten schnell wieder verfügbar zu machen. Beispiel für einen eklatanten Verstoß: Im Zuge der Corona-Krise kam es zu einem Todesfall, der durch die lokalen Medien242) ging. Nun war der Verstorbene kein Arzt, sondern ehemaliger Medizin-Student, der einzelunternehmerisch für zig Unternehmen und Anwaltskanzleien arbeitete. Nur er (!) verfügte über Back-up und sonstige Daten. Ein Prob___________ 240) Bundesamt für Sicherheit in der Informationstechnik, Online-Glossar. 241) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 37. 242) Siehe https://www.rundschau-online.de/region/koeln/freunde-rieten-ihm-zu-behandlung47-jaehriger-koelner-arzt-mit-covid-19-verstorben--36534750 (Stand: 26.5.2020).
87
E. Aus der Praxis – Datenschutz in der Kanzlei
lem (und letztlich auch erheblicher Datenschutzverstoß), wie die Auftraggeber nach seinem Tod recht rasch feststellten. 246 Organisatorische Maßnahmen zum Schutz der Verfügbarkeit der Daten stellen Datensicherungskonzepte oder auch die Überwachung der Systeme und eine regelmäßig festgelegte Risikobeurteilung der vorliegenden Hard- und Software dar. Einer Risikobeurteilung kann u. a. ein entsprechender Stresstest der Systeme vorangestellt werden, mit dessen Hilfe mögliche Schwachstellen erkannt werden können. Mit diesen Stresstests kann festgestellt werden, wie widerstandsfähig und belastbar die Systeme auch bei hohem Aufkommen und starker Auslastung funktionieren. 247 Des Weiteren bedarf es Maßnahmen für den Schutz der Datensysteme vor Angriffen von außen durch Dritte, die durch entsprechende Vorkehrungen versuchen könnten, eine Überlastung der Systeme zu erwirken.243) Auch die Sicherstellung, dass aufgrund eines möglichen Stromausfalls es nicht zu Datenverlusten kommt und z. B. der Einsatz einer unterbrechungsfreien Stromversorgung (USV) in Erwägung zu ziehen ist, gehört zu den Pflichten des Verantwortlichen. dd) Dauerhafte Sicherstellung des Datenschutzniveaus 248 Der Art. 32 Abs. 1 lit. b) DSGVO verlangt weiterhin vom Verantwortlichen, bestimmte Punkte dauerhaft zu gewährleisten. Aufgrund der Formulierung im Gesetz „auf Dauer sicherzustellen“ bedarf es einer regelmäßigen Überprüfung der ergriffenen Maßnahmen, um den datenschutzrechtlichen Ansprüchen Genüge zu leisten. 249 Auch ist ein Verfahren zu entwickeln, das die regelmäßige Überprüfung, Bewertung und Evaluierung der ergriffenen TOM zum Inhalt hat. Wie die Vorgehensweise innerhalb eines solchen Verfahrens auszusehen hat und in welchen konkreten Zeitabständen ein solches Verfahren einzusetzen ist, regelt die DSGVO nicht. 250 Allerdings kann der Grundgedanke der Datenschutzvorschriften „Je höher das Risiko für die Betroffenen ist und je sensibler die verarbeiteten Daten, umso höher muss das Sicherheitsniveau sein“ als Betrachtungsgrundlage dienen. Demnach sollte der Verantwortliche die Intensität eines solchen Verfahrens und die Häufigkeit der Durchführung dieses Verfahrens in Abhängigkeit zu den verarbeiteten Daten und dem bestehenden Risiko der Betroffenen, welches im Rahmen einer Risikoeinschätzung ermittelt wurde, stellen. Je höher das Risiko und je sensibler die im Rahmen der Verarbeitung genutzten personenbezogenen Daten, umso häufiger sollte ein entsprechendes Verfahren zur Überprüfung der ergriffenen TOM erfolgen. ___________ 243) Vgl. Gerlach, CR 2015, 585.
88
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO Praxistipp: Zeitgleich zu den regelmäßigen Besprechungen und Berichterstattungen hinsichtlich der Änderungen und Sachverhalte zum Datenschutzrecht und der Überprüfung der TOM, sollte der entsprechende IT-Verantwortliche dahingehend angehört werden, ob die Maßnahmen und Systeme den geforderten Schutz der personenbezogenen Daten weiterhin erfüllen. Außerdem sind die entsprechenden Dokumentationspflichten auch in diesem Fall zu beachten.
d) Wiederherstellbarkeit der Verfügbarkeit Weiterhin muss der Verantwortliche Maßnahmen vorhalten für den Fall, dass 251 es trotz aller Sicherheitsmaßnahmen zu einem Systemausfall oder einem anderen Zwischenfall kommt. Dabei spielt es zunächst keine Rolle wie es zu diesem Zwischenfall kam, wichtig ist es, schnell oder wie der Normgeber formuliert „rasch“ die Daten wiederherzustellen. Sollten Datenbestände aufgrund des Vorfalls beschädigt worden sein, sind die entsprechend vorzuhaltenden Back-up-Systeme zu nutzen, um auch die Integrität der Daten wiederherzustellen. Im Anschluss bedarf es einer Überprüfung des Vorfalls. Im Rahmen einer 252 Risikoeinschätzung sollte weiterhin geprüft werden, ob die Gefahr einer Wiederholung dieses Vorfalls besteht und die TOM entsprechend angepasst werden. Außerdem sollte aufgrund des Vorfalls eine Prüfung hinsichtlich des Vorliegens 253 einer meldepflichtigen Datenpanne erfolgen, wie sie in Artt. 33, 34 DSGVO beschrieben ist (zu Datenpannen und den daraus resultierenden Meldepflichten im Einzelnen siehe Rn. 416 ff.). In diesem Fall sind die zuständige Aufsichtsbehörde und ggf. die Betroffenen, deren personenbezogene Daten aufgrund des Vorfalls in Mitleidenschaft gezogen wurden, zu informieren. 3. Risikoabschätzung bzw. Risikoabwägung Ziel der ergriffenen Maßnahmen sowohl technischer als auch organisatorischer 254 Art muss es sein, unter Berücksichtigung des bestehenden Risikos für die jeweiligen Verarbeitungen, ein angemessenes Schutzniveau zu erreichen. Dabei muss nicht das höchste Schutzniveau erreicht werden. Es kommt gemäß Art. 32 Abs. 2 DSGVO auf die mit der Datenverarbeitung verbundenen Risiken an.244) Diese Risikoabwägung findet unter Berücksichtigung des jeweiligen Einzelfalls und der Besonderheiten innerhalb der Verarbeitungsprozesse des Verantwortlichen statt. Im Rahmen der Risikoabwägung sind insbesondere Risiken zu berücksichtigen, die in Vernichtung, Verlust oder Veränderung von
___________ 244) Vgl. von Schenck/Mueller-Stöfen, GWR 2017, 175.
89
E. Aus der Praxis – Datenschutz in der Kanzlei
Daten liegen können.245) Dieser risikobasierte Ansatz findet sich an mehreren Stellen innerhalb der DSGVO wieder.246) a) Rechte und Freiheiten des Betroffenen 255 Der Begriff „Rechte und Freiheiten natürlicher Person“ ist die Bezugsgröße, an der sich die Risikobetrachtung orientieren muss. Der Begriff umfasst sämtliche Grundrechte und Grundfreiheiten des Betroffenen, insbesondere den Schutz der informationellen Selbstbestimmung.247) Das Grundrecht natürlicher Personen auf Schutz ihrer personenbezogenen Daten bei der Verarbeitung ist dabei besonders im Blickfeld der DSGVO (ErwGr. 1 Satz 1 DSGVO, ErwGr. 2 Satz 1 DSGVO). Aber auch sonstige gesetzliche individuelle Rechte werden von dem Begriff mit erfasst. Diese Rechte und Freiheiten zu schützen ist Ziel der DSGVO (Art. 1 Abs. 2 DSGVO). 256 Eine Auslegung des Begriffs muss im Rahmen des europarechtlichen Kontexts erfolgen und ist nicht nach dem alleinigen nationalen Verständnis auszulegen.248) Grundbaustein bildet der Art. 8 Abs. 1 der Charta der Grundrechte und Grundfreiheiten der Europäischen Union (GrCh). Aber auch der mittelbare Schutz einzelner Grundrechte durch das Datenschutzrecht wird von dem Begriff umfasst.249) b) Begriff des Risikos 257 Entgegen der üblichen und auch in der DSGVO umfangreich vorgenommenen Begriffsbestimmungen und Definitionen, sucht man eine konkrete Definition des Begriffs „Risikos“ in der DSGVO vergebens.250) Dies verwundert, da der risikobasierte Ansatz wie bereits erwähnt an zahlreichen Stellen in der DSGVO auftaucht und den dortigen Normen immanent ist. 258 Die Bedeutung des Begriffs Risiko wird im Duden als möglicher negativer Ausgang bei einer Unternehmung, der mit Nachteilen, Verlust oder Schäden verbunden ist, umschrieben. Aus dem allgemeinen Sprachgebrauch ergibt sich die Bedeutung einer Prognose, mit welcher Wahrscheinlichkeit ein Schaden eintritt oder ein erwarteter Vorteil ausbleibt.251)
___________ 245) Plath-Grages, BDSG/DSGVO, Art. 32 Rn. 9. 246) Siehe u. a. Verantwortung des für die Verarbeitung Verantwortlichen (Art. 24 Abs. 1 DSGVO), Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DSGVO), Meldungen von Datenpannen (Artt. 33, 34 DSGVO), Datenschutz-Folgeabschätzung (Art. 35 DSGVO). 247) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 24 DSGVO Rn. 27. 248) Vgl. DSK-Kurzpapier Nr. 18, S. 1 I. 249) Vgl. DSK-Kurzpapier Nr. 18, S. 1 I. 250) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 35 DSGVO Rn. 15a. 251) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 35 DSGVO Rn. 15a.
90
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
In der „ISO 31000 Risikomanagement“ wird Risiko definiert als Auswirkung 259 von Unsicherheit auf die Ziele.252) Dies schließt grundsätzlich auch positive Auswirkungen mit ein. Im Rahmen des Risikomanagements wird dennoch der Risikobegriff vom Schadensausmaß her betrachtet und somit nur hinsichtlich der negativen Folgen. Das Risikomanagement und auch andere Bereiche verstehen das Risiko als Produkt aus Schadensausmaß (Schwere) und Eintrittswahrscheinlichkeit (Legaldefinition § 2 Nr. 23 ProdSG).253) Mithilfe der Erwägungsgründe der DSGVO und in diesen aufgezählten Bei- 260 spielen für Datenschutzrisiken wird die Möglichkeit gegeben, den Begriff des Risikos näher zu bestimmen. Grundsätzlich sollen objektiv die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten des Betroffenen bestimmt werden, unter Bezugnahme auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung der personenbezogenen Daten (ErwGr. 76 DSGVO). Der Ausdruck „die Schwere des Risikos“ kann zu Missverständnissen führen. In der Literatur wird teilweise vermutet, dass mit diesem Ausdruck die „Schwere der Schäden“ durch die DSGVO gemeint sei.254) Grundsätzlich ist dies zu bejahen, wobei davon ausgegangen wird, dass die Bezeichnung bewusst gewählt wurde mit Blick auf die oben erwähnte Begriffsbestimmung im Rahmen des Risikomanagements. Der ErwGr. 75 zur DSGVO zählt verschiedene Datenschutzrisiken auf, die 261 zu einem physischen, materiellen oder immateriellen Schaden führen könnten und ein Risiko für die Rechte und Freiheiten natürlicher Personen beinhalten können. In seiner Aufzählung nennt der ErwGr. 75 DSGVO als Datenschutzrisiko u. a., wenn die Verarbeitung zu einer Diskriminierung, eines Identitätsdiebstahls, eines finanziellen Verlusts oder Rufschädigung führen kann oder andere erheblich wirtschaftliche oder gesellschaftliche Nachteile möglich sind (ErwGr. 75 DSGVO). Auch sieht der Verordnungsgeber u. a. in der Verarbeitung personenbezogener Daten unter Einsatz neuer Technologien, bei denen der Verantwortliche noch keine Datenschutzfolgenabschätzung durchgeführt hat, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen (ErwGr. 89 DSGVO). Beispiel: Folgendes fiktives (und übertriebenes) Szenario zur Veranschaulichung hinsichtlich möglicher Risiken: x
Der selbstständige Schuldner betrieb ein Portal für SM-Spielzeug. Im Rahmen seiner Auskunftspflicht gibt der Schuldner den Zugang zur Onlinekundendatenbank mit personenbezogenen Daten der Kunden an den Insolvenz-
___________ 252) „Effect of uncertainty on objectives“, siehe ISO 31000:2009, Risk management – Principles and guidelines; ISO Guide 73:2009, Risk management – Vocabulary. 253) Nicklisch, NJW 1982, 2635. 254) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 24 DSGVO Rn. 29.
91
E. Aus der Praxis – Datenschutz in der Kanzlei
verwalter heraus. Dieser speichert die Zugangsdaten in seinem System, sodass jeder Mitarbeiter Zugriff auf diese Daten nehmen kann. Zwei Tage später gibt ein Mitarbeiter eine Liste der Kunden an die Presse weiter. Diesen ist dadurch ein gesellschaftlicher Nachteil erwachsen. x
Der Insolvenzverwalter hätte das Risiko der unerlaubten Weitergabe durch nicht zugriffsberechtigte Mitarbeiter durch ein Berechtigungskonzept verhindern können. Er hätte im Rahmen der Risikoabwägung dazu kommen müssen, dass ein Risiko für die Rechte und Freiheiten der Betroffenen (hier der Kunden des Schuldners) bestand, und hätte entsprechende Maßnahmen ergreifen müssen, um ein entsprechendes Schutzniveau dieser Daten zu gewährleisten.
c) Arten von Risiken 262 Hinsichtlich der Arten von Risiken unterscheidet die DSGVO zwischen „Risiko“ und „hohem Risiko“ (Art. 34, 35 DSGVO, ErwGr. 76 DSGVO). Des Weiteren wird in den Artt. 27 Abs. 2 lit. a), 33 Abs. 1 DSGVO die Formulierung „voraussichtlich nicht zu einem Risiko führen“ genutzt. Wie bereits erwähnt ist eine Verarbeitung personenbezogener Daten nie vollständig risikolos. Es besteht bei einer Verarbeitung immer, wenn auch nur geringfügig, ein gewisses Restrisiko für die Rechte und Freiheiten der Betroffenen. Daher kann die gewählte Formulierung ausgehend vom Sinn und Zweck nur als „nur zu einem geringen Risiko führen“ verstanden werden.255) Bezüglich der Formulierung in Art. 33 Abs. 1 DSGVO ist beispielhaft davon auszugehen, dass der Normgeber zum Ausdruck bringen wollte, dass bei einem geringfügigen Risiko für den Betroffenen hinsichtlich der Eintrittswahrscheinlichkeit und der Schwere des Risikos, eine Meldung an die Aufsichtsbehörde unter Beachtung aller relevanten Informationen entbehrlich ist.256) d) Risikoanalyse 263 Um beurteilen zu können, welche Art von Risiko einschlägig ist, bedarf es einer Betrachtung des vollständigen Sachverhalts und insbesondere der Betrachtung der Art, des Umfangs und der Zwecke der Verarbeitung. Eine Risikoanalyse wird im Rahmen des Risikomanagements außerhalb des Datenschutzes i. d. R. durch das jeweilige Unternehmen durchgeführt, um mögliche Gefahren aus den bestehenden Risiken für sich ableiten und im Vorfeld Maßnahmen ergreifen zu können. 264 Die eigene Sichtweise bei einer Risikoanalyse hinsichtlich eines Datenschutzrisikos erfährt eine Umkehrung und muss aus Sicht der Betroffenen in Bezug auf das Risiko hinsichtlich der Rechte und Freiheiten der natürlichen Personen erfolgen. Es sind die potenziellen Schäden zu identifizieren, die ein mög___________ 255) DSK-Kurzpapier Nr. 18, S. 2 III. 256) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 22.
92
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
liches bestehendes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringen können. Des Weiteren ist zu bestimmen, wie hoch die Eintrittswahrscheinlichkeit und die Schwere des Risikos sind. Im Anschluss kann eine Einteilung erfolgen, welche Art von Risiko vorliegt. aa) Identifikation der Risiken Im Rahmen der Identifikation des Risikos bedarf es der Prüfung, welche Schä- 265 den für die Betroffenen aus der Verarbeitung der personenbezogenen Daten entstehen können. Gemäß ErwGr. 75 der DSGVO können Schäden physischer, materieller oder immaterieller Art auftreten. Eine Begrenzung auf ausschließlich finanziell auswirkende Schäden nimmt die DSGVO nicht vor (ErwGr. 75 DSGVO). Dabei sind die möglichen negativen Folgen der Verarbeitung zu betrachten. Auch Szenarien und Ereignisse müssen in diese Überlegungen mit einbezogen werden, die unabhängig von der Verarbeitung auftreten können und das Schutzniveau der Daten stören können, wie z. B. Zugriff durch unberechtigte Dritte, Zerstörung der Daten oder unberechtigte Veränderungen. Schließlich müssen die Umstände und Aktionen gewürdigt werden, die ein Eintritt der Szenarien und Ereignisse begünstigen. Alle möglichen negativen Folgen, Bedrohungen und Schäden für den Be- 266 troffenen bei der Verarbeitung der personenbezogenen Daten sind zu betrachten. Dazu zählen sowohl die Einschränkung von Rechten und Freiheiten von Betroffenen durch die Verarbeitung als auch mögliche negative Folgen für alle erdenklichen Interessen des Betroffenen. Diese Schäden sind vielseitig und können sich u. a. wie folgt darstellen: Durch x
Diskriminierung
x
Identitätsdiebstahl
x
Rufschädigung
x
gesellschaftliche Nachteile
x
Verhinderung der Rechtsausübung
x
ungewolltes Profiling
x
körperliche oder seelische Schäden aufgrund fehlerhafter oder offengelegter Daten.257)
Danach werden den identifizierten und für möglich erachteten Schäden und 267 Bedrohungen die Szenarien oder Ereignisse zugeordnet, die zum Entstehen der jeweiligen Schäden führen können. Diese Ereignisse liegen in der Regel begründet in der Nichteinhaltung der Grundsätze des Datenschutzrechts gemäß Art. 5 DSGVO oder in der Nichtbeachtung der Rechte der Betroffenen ___________ 257) DSK-Kurzpapier Nr. 18, S. 3 IV.
93
E. Aus der Praxis – Datenschutz in der Kanzlei
entsprechend der Artt. 12 ff. DSGVO. Dabei sind auch die Risikoquellen zu beachten, die Auslöser einer Bedrohung sein können.258) 268 Die Risikoquelle ist meist ein interner Bezugspunkt beim Verantwortlichen, der aufgrund einer bestimmten Aktion Auslöser des jeweiligen Ereignisses ist. Dabei kann es sich um Mitarbeiter, Vorgesetzte und sonstige Gehilfen handeln, aber auch externe Risikoquellen, die z. B. die Hardwaresysteme des Verantwortlichen angreifen. Auch ein Auftragsverarbeiter könnte eine entsprechende Risikoquelle darstellen und bedarf aus diesem Grund sowohl einer vorhergehenden eindringlichen Prüfung als auch einer regelmäßigen Kontrolle; auch vor dem Hintergrund, dass sich der Verantwortliche zunächst jedes Handeln des Auftragsverarbeiters bei der in Auftrag gegebenen Verarbeitung zurechnen lassen muss und dafür auch haftet. Praxistipp: Die Überlegungen hinsichtlich der Identifikation des Risikos müssen (wie grundsätzlich alle Überlegungen bzgl. der Verarbeitung von personenbezogenen Daten) nachvollziehbar dokumentiert werden. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom e. V.) stellt eine Bespieldokumentation in seinem Leitfaden zur Verfügung.
Beispiel für die Dokumentation und Bewertung von Ereignissen Ereignis (potentielle Datenschutzvorfälle)
Risikoquelle
Folge des Eintritts Mögliche Auswirkungen des (unerwünsch- für die interessierten ten) Ereignisses Parteien
Mitarbeiter, Unbefugter Zugriff • Keine auf personenbezogene Vorgesetzter, • Weiterverteilung Daten (Vertraulichkeit) Wartungspersonal • Nutzung der personenbezogenen Daten
Offenbarung von Zahlungsdaten (Bankdaten) von Kreditoren und daraus resultierende monetäre Schäden bei Missbrauch (Schadensersatz).
Unerwünschte Veränderung von personenbezogenen Daten (Integrität)
Mitarbeiter, • Fehlfunktion im Vorgesetzter, Verfahren Wartungspersonal
Liquiditätsprobleme der Organisation
Verlust personenbezogener Daten (Verfügbarkeit)
Mitarbeiter, • Fehlfunktion im Vorgesetzter, Verfahren Wartungspersonal, • Störung im Schadcode, Verfahren Wasserschaden, Feuer
Liquiditätsprobleme der Organisation
Abb. 1: Beispiel Dokumentation und Bewertung von Ereignissen Quelle: Bitkom, Risk Assessment & Datenschutz-Folgenabschätzung, Leitfaden, S. 28
___________ 258) Bitkom, Risk Assessment & Datenschutz-Folgenabschätzung, Leitfaden, S. 26.
94
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
bb) Einschätzung der Eintrittswahrscheinlichkeit Eine Einschätzung der Eintrittswahrscheinlichkeit – also die Erwartung, 269 mit der ein bestimmtes Ereignis eintritt und dass aus dem Risiko oder der Bedrohung ein Schaden wird – gehört ebenso zur Risikoanalyse und ist auch Bestandteil der Anforderung, ein dem Risiko angemessenen Schutzniveau der personenbezogenen Daten gemäß Art. 32 Abs. 1 Satz 1 DSGVO zu gewährleisten. Die Eintrittswahrscheinlichkeit wird unter Berücksichtigung aller Aspekte 270 bestimmt. Dabei spielen z. B. räumliche Gegebenheiten oder auch Erfahrungen zu vergleichbaren Vorfällen eine Rolle und nicht zuletzt auch allgemeine Statistiken.259) Setzt der Verantwortliche neue Verarbeitungstätigkeiten ein, ohne dass er für 271 einen solchen Einsatz auf Erfahrungswerte zurückgreifen kann, muss die Eintrittswahrscheinlichkeit nachvollziehbar prognostiziert werden.260) Praxistipp: Für die qualitative Beurteilung der Eintrittswahrscheinlichkeit empfiehlt es sich, näher bestimmte Stufen für die Dokumentation zu schaffen. Entsprechende Vorgaben macht der Gesetzgeber nicht. Häufig werden die Einteilungen in vier Stufen vorgenommen. Die DSK nutzt in ihrem Kurzpapier folgende Bezeichnungen: x Geringfügig x Überschaubar x Gravierend x Groß.261) Dabei ist die Bezeichnung nicht ausschlaggebend im Falle einer Überprüfung durch die Aufsichtsbehörde, sondern die Definition der jeweiligen Begrifflichkeiten.
cc) Schwere des Risikos (Schadensausmaß) Das Schadensausmaß oder die Schwere des Risikos für den Betroffenen hin- 272 sichtlich seiner Rechte und Freiheiten beurteilt sich nach der Wichtigkeit (aus Sicht des Betroffenen) des bedrohten Rechts bzw. der bedrohten Freiheit und welche Schäden mit welcher Intensität aufgrund der Verarbeitung entstehen können.262) Bei der Beurteilung sind in jedem Einzelfall die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen (ErwGr. 76 DSGVO). ___________ 259) 260) 261) 262)
Bitkom, Risk Assessment & Datenschutz-Folgenabschätzung, Leitfaden, S. 30. Vgl. Kühling/Buchner-Jandt, DS-GVO/BDSG, Art. 32 DSGVO Rn. 13. DSK-Kurzpapier Nr. 18, S. 5 IV. Paal/Pauly-Martini, DS-GVO/BDSG, Art. 34 DSGVO Rn. 29.
95
E. Aus der Praxis – Datenschutz in der Kanzlei
273 Bei der Betrachtung des Schadensausmaßes ist es unerheblich ob es sich um materielle oder immaterielle Schäden handelt. Dies folgt auch bereits aus der Haftung des Verantwortlichen für immaterielle Schäden (Art. 82 Abs. 1 DSGVO). Einzelne Schadensereignisse werden explizit durch den Gesetzgeber hervorgehoben und ausdrücklich erwähnt. 274 Auch hinsichtlich des Schadensausmaßes kann auf eine Einteilung in entsprechenden Stufen zurückgegriffen werden, wie sie auch bei der Betrachtung der Eintrittswahrscheinlichkeit genutzt werden können. Somit kann eine entsprechende Risikoanalyse im Rahmen einer Matrix dargestellt werden. Risikobewertung
Schwere des möglichen Schadens Groß
Gravierend
Überschaubar
Geringfügig
G
ro ß
d en er vi ra G
rs be Ü
G
er
in
ch
gf
au
üg
ig
ba
r
Eintrittswahrscheinlichkeit
Risikobereiche nach GS-GVO Geringes Risiko
Risiko
Hohes Risiko
Abb. 2: Risikoanalyse Quelle: Bayrisches Landesamt für Datenschutzaufsicht, https://www.lda.bayern.de/de/dsfa.html (Stand: 12.4.2019)
96
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
4. Vorgaben aus § 64 BDSG Da die DSGVO auf eine Auflistung von explizit zu ergreifen Datensicher- 275 heitsmaßnahmen verzichtet und einen relativen Ansatz verfolgt, führt dies zur Flexibilität hinsichtlich der zu ergreifenden Maßnahmen im Einzelfall.263) Gleichwohl wird bei der Durchführung der genannten Risikoabwägung vom Verantwortlichen Eigenverantwortlichkeit gefordert, um das benötigte und angemessene Schutzniveau gewährleisten zu können. Eine Unterschreitung des angemessenen Schutzniveaus würde einen bußgeldbewehrten Verstoß darstellen. Die bisher bekannten Pflichten hinsichtlich der zu ergreifenden Maßnahmen 276 aus § 9 BDSG a. F. nebst Anlage verlieren nicht ihre Gültigkeit und können der Konzeption des Art. 32 Abs. 1 DSGVO zugeordnet werden.264) Sie werden ergänzt durch die Verpflichtung zur Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO) und eigenständige Maßnahmen zur Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO). Der nationale Gesetzgeber hat unter Ausnutzung des Präzisierungsspielraums 277 den § 64 BDSG geschaffen, der detailliert die einzelnen zu ergreifenden Maßnahmen bestimmt,265) wie es vorher bereits die Anlage zu § 9 BDSG a. F. zum Großteil vorsah. Zwar findet sich dieser Paragraf im 3. Teil des BDSG wieder und ist somit dem Anwendungsbereich des § 45 BDSG dahingehend unterworfen, dass dieser Teil nur für die zuständigen öffentlichen Stellen gilt, die eine Verarbeitung personenbezogener Daten für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten vornehmen (§ 45 BDSG). Allerdings kann der § 64 BDSG und ebenso die Anlage zu § 9 BDSG a. F. mit dem etablierten Maßnahmenkatalog für die Umsetzung der TOM als Leitlinie mit den jeweiligen nötigen Ergänzungen herangezogen werden.266) Auch der Deutsche Anwaltverein (DAV) nutzt in der von ihm erstellten Checkliste zu den TOM die bekannten Begrifflichkeiten aus den genannten Paragrafen.267) Praxistipp: Folgende Zuordnung zu den geforderten Maßnahmen (TOM) gemäß Art. 32 DSGVO der zum Teil in der Anlage zu § 9 BDSG a. F. und in § 64 BDSG benannten Begrifflichkeiten könnte genutzt werden mit den entsprechenden Überschneidungen, um die ergriffenen Maßnahmen nachweisbar zu beschreiben.
___________ 263) 264) 265) 266) 267)
Plath-Grages BDSG/DSGVO, Art. 32 DSGVO Rn. 2. GDD-Praxishilfe, DS-GVO IV, S. 21. Vgl. von Schenck/Mueller-Stöfen, GWR 2017, 175. Plath-Grages, BDSG/DSGVO, Art. 32 DSGVO Rn. 4. DAV-Muster als Checkliste, Technische und organisatorische Maßnahmen der Datensicherheit, https://anwaltverein.de/de/praxis/datenschutz (Stand: 17.8.2020).
97
E. Aus der Praxis – Datenschutz in der Kanzlei 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DSGVO) x Zugangskontrolle x Zugriffskontrolle (Datenträgerkontrolle, Benutzerkontrolle) x Trennungskontrolle x Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO) 2. Integrität (Art. 32 Abs. 1 lit. b) DSGVO) x Weitergabekontrolle (Transportkontrolle, Übertragungskontrolle) x Eingabekontrolle (Speicherkontrolle) 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) und c) DSGVO) x Verfügbarkeitskontrolle (Wiederherstellbarkeit) x Zuverlässigkeit und Belastbarkeit 4. Verfahren zur Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO) x Datenschutzmanagementsystem x Reaktionsmanagement x Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) x Auftragskontrolle
a) Zugangskontrolle 278 Wurde im BDSG a. F. noch eine Unterscheidung zwischen Zutrittskontrolle und Zugangskontrolle getroffen, so entfällt dies in der DSGVO und ebenso in § 64 BDSG. Die bisher unter der Zutrittskontrolle getroffenen Maßnahmen, meist baulicher und physischer Gestalt, werden nunmehr vom Begriff der Zugangskontrolle mit umfasst.268) Dennoch bedarf es weiterhin der Gewährleistung der räumlichen Sicherheit, um auch die weiteren technischen und organisatorischen Maßnahmen nicht zu gefährden. Als grobe Unterteilung mit entsprechenden Überschneidungen kann man der Zutrittskontrolle die organisatorischen Maßnahmen in diesem Bereich zuordnen und der Zugangskontrolle die technischen Maßnahmen, die überwiegend mit den IT-Systemen im Zusammenhang stehen. 279 Die Zutrittskontrolle soll verhindern, dass Unbefugte die Räumlichkeiten, in denen eine Datenverarbeitungsanlage aufbewahrt wird, betreten können. Die Zugangskontrolle setzt die Sicherungsmaßnahmen dort an, wo ein Zutritt zu den räumlichen Gegebenheiten bereits erfolgt, erlaubt oder nicht benötigt wird (Zugang von außen), will aber verhindern, dass der Zugang zu den Systemen stattfindet. ___________ 268) Bock, in: BeckOK DatenschutzR, BDSG, § 64 Rn. 60 – 63.
98
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
Die Maßnahmen für die Zutrittskontrolle können teilweise mit einfachen 280 Mitteln umgesetzt werden. Es kann z. B. innerhalb der Kanzlei die Beschriftung „Serverraum“ von diesem entfernt werden, was einem unbefugten Dritten bereits in gewisser Weise erschwert, eben diesen Raum gezielt anzusteuern.269) Derjenige, der berechtigten Zutritt zum Serverraum hat, weiß i. d. R. wo sich dieser Raum befindet und benötigt keinen zusätzlichen Hinweis. Ein weiteres Mittel, um relativ einfach organisatorische Maßnahmen umzu- 281 setzen, ist, die Kanzleimitarbeiter zu sensibilisieren und aufzufordern darauf zu achten, dass sich Dritte nicht unbefugt in der Kanzlei frei bewegen können. Weitere Maßnahmen im Rahmen der Zutrittskontrolle könnten sein die Absicherung des Gebäudes, der Fenster und Türen, die Installation von Alarmanlagen, Videoüberwachungsanlagen oder auch Zutrittskontrollsysteme. Wie dargestellt umfasst die Zutrittskontrolle überwiegend bauliche Maßnahmen und Vorkehrungen physischer Art. Die in diesem Zusammenhang ergriffenen Maßnahmen können im Anschluss Einzug in die Dokumentation der TOM halten. Praxistipp: Zur Zugangs- und Zutrittskontrolle gehören technische Maßnahmen, z. B. die Installation von Alarmanalgen, automatische Zugangskontrollsysteme, Chipkartensysteme und auch Videoüberwachung des Eingangsbereiches.
Organisatorische Maßnahmen können z. B. die Vergabe von Besucheraus- 282 weisen, die Begleitung von Besuchern durch Mitarbeiter, eine Schlüsselvergaberegelung oder auch die Besetzung eines Empfangsbereiches sein. b) Zugriffskontrolle Die Zugriffskontrolle bezieht sich auf Maßnahmen, die gewährleisten sollen, 283 dass Berechtigte nur dann Zugriff auf die Daten nehmen können, wenn diese auch tatsächlich berechtigt sind, auf die Datenverarbeitungssysteme zuzugreifen. Vereinfacht gesagt sollen die Maßnahmen der Zugriffskontrolle sicherstellen, dass Zutrittsberechtigte zu den Räumlichkeiten nicht ungehindert Zugriff auf solche Daten nehmen können, für die sie keine Berechtigung haben. Die Zugriffskontrolle prüft die individuellen Rechte der Zutrittsberechtigten hinsichtlich der Möglichkeiten, die Daten zur Kenntnis zu nehmen oder diese zu verändern,270) wobei sich das Verändern auch auf das Löschen oder Kopieren der Daten bezieht. Auch soll die Zugriffskontrolle unbefugte externe Zugriffe, die von außerhalb 284 der Kanzleiräume erfolgen könnten, verhindern und so sicherstellen, dass eventuelle Datenlecks schnellstmöglich erkannt werden. ___________ 269) Reisener/Weiß, InsbürO 09/2018, 336. 270) Bock, in: BeckOK DatenschutzR, BDSG, § 64 Rn. 67.
99
E. Aus der Praxis – Datenschutz in der Kanzlei
285 Zu den Schutzmaßnahmen der Zugangskontrolle, die ein angemessenes Schutzniveau gewährleisten sollen, zählen z. B. die Einrichtung entsprechender ITHindernisse (z. B. Firewall, Virenscanner, digitale Zertifikate), die gemäß der Vorgaben des Datenschutzrechts dem aktuellen Stand der Technik entsprechen müssen. Aber auch die Nutzung von Benutzerrollen und -kennungen auf dem IT-System und die Einführung einer Passwortrichtlinie fallen unter diesen Punkt. 286 Der Verantwortliche muss sicherstellen, dass der Zugang zu den Daten nur den berechtigten Personen gewährt wird. Dies erfolgt in der Regel über die Einbindung von Benutzerkonten, die über ein Passwort geschützt sind. Dabei sind auch innerhalb der Kanzlei unterschiedliche Zugriffsberechtigungen einzuführen: Der Insolvenzverwalter darf „alle“ Daten einsehen und verarbeiten, Mitarbeiter der Buchhaltung dürfen aber nur die Daten im Rahmen der Buchführung einsehen.271) Bei den für die jeweiligen Benutzerkonten verwendeten Passwörtern sollte es sich in jedem Fall um sichere Passwörter handeln, wie sie z. B. vom Bundesamt für Sicherheit in der Informationstechnik empfohlen werden.272) Praxistipp: Von der ursprünglichen Ansicht, dass das Passwort in regelmäßigen Abständen ohne Anlassbezug geändert werden sollte, sind das BSI und auch andere Experten zwischenzeitlich abgerückt.273) Das regelmäßige Ändern des Passwortes bürge mehr Gefahren als Nutzen. Hintergrund ist, dass Nutzer häufig nur eine Zahl, die immer wieder geändert wird, nutzen. Dies birgt zugleich die Gefahr der leichteren Ausspähung, da bei diesem Vorgehen meist ein feststehender Begriff oder vertrautes Wort benutzt wird. Eine Änderung wird nunmehr nur empfohlen, wenn das Passwort „in fremde Hände gelangt“ ist. Für die Insolvenzkanzlei, aber auch den von dort verwalteten Schuldnerbetrieb, empfiehlt sich eine Einzelfall-Lösung nebst Dokumentation.
287 Auch ist es ratsam, einen Bildschirmschoner einzurichten, der sich nach einer gewissen Abwesenheit des Mitarbeiters aktiviert und nur über die Eingabe eines Reaktivierungspassworts wieder deaktiviert werden kann. Zusätzlich sollten Verschlüsselungen von Datenträgern den Zugang eines Unberechtigten verhindern.
___________ 271) Reisener/Weiß, InsbürO 9/2018, S. 336. 272) Ein solches Passwort muss bestimmte Qualitätsanforderungen erfüllen bzgl. der Zeichenwahl, der Länge des Passwortes und auch hinsichtlich der Art des Wortes. Ein sicheres Passwort sollte möglichst nicht in Wörterbüchern vorkommen, aus mindestens 8 Zeichen bestehen und alle verfügbaren Zeichen wie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen nutzen. 273) Siehe exemplarisch https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html (Stand: 2.6.2020).
100
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO Praxistipp: Für die Sicherstellung, dass ausschließlich sichere Passwörter verwendet werden und das Schutzniveau hinsichtlich dieser Maßnahme angemessen ist, empfiehlt es sich, z. B. eine kanzleiweite Passwortrichtlinie zu erarbeiten und in der EDV zu verankern, die nur die Verwendung von dementsprechend sicheren Passwörtern erlaubt.
c) Trennungskontrolle Die Trennungskontrolle soll verhindern, dass es bei Daten, die zu unterschied- 288 lichen Zwecken erhoben wurden, zu einer Vermischung kommt und zeitgleich gewährleisten, dass eine getrennte Verarbeitung erfolgen kann. Mit den Maßnahmen der Trennungskontrolle soll eine getrennte Speicherung 289 sichergestellt werden. Dabei kann die Trennung sowohl physikalisch unter Nutzung unterschiedliche Hardware (mehrere voneinander getrennte Server) erfolgen oder auch logisch durch eine entsprechende Programmierung der jeweiligen Anwendungen.274) Richtungsweisend für eine entsprechende Entscheidung, wie eine solche Trennung erfolgen soll, ist die Höhe des angemessenen Schutzniveaus der Daten. In diesen Bereich fallen auch technische Lösungen, wie z. B. die Container- 290 lösung auf mobilen Endgeräten. Dabei werden mithilfe einer Software Bereiche des mobilen Endgeräts von dem restlichen Datenbestand abgeschottet. So können z. B. Anwendungen und die in den Anwendungen verarbeiteten Daten von anderen Daten auf dem Gerät isoliert werden. Neben der Trennung dieser Daten fördert eine solche Containerlösung auch den Schutz der isolierten Daten vor Viren oder einem möglichen Ausspähen. d) Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO) Anhand der Pseudonymisierung soll gewährleistet werden, dass eine Identi- 291 fizierbarkeit der Betroffenen ohne das Hinzuziehen weiterer Informationen nicht möglich ist. Unter Zuhilfenahme der Trennungskontrolle, im Einklang mit der Pseudonymisierung, sind die weiteren Informationen, die eine spezifisch betroffene Person identifizierbar machen, von den pseudonymisierten Daten zu trennen. Praxistipp: Eine Pseudonymisierung ist überall dort vorzunehmen, wo die Verarbeitung der Daten eine Identifizierung der Betroffenen nicht erfordert. Ein Beispiel aus der Insolvenzverwaltung ist u. a. die Erstellung von Arbeitnehmerlisten im Rahmen der Vorbereitung auf einen Asset Deal. Diese Arbeitnehmerlisten sind zumindest bis zur Unterschrift der etwaigen Verträge zu pseudonymisieren. Der Übernehmer benötigt i. d. R. für seine Entscheidung nicht die Angabe
___________ 274) Vgl. Bock, in: BeckOK DatenschutzR, BDSG, § 64 Rn. 79.
101
E. Aus der Praxis – Datenschutz in der Kanzlei der Namen bzw. des Alters der Arbeitnehmer. Anstelle der Namen könnte eine Nummerierung erfolgen (z. B. Personalnummern).
e) Weitergabekontrolle 292 Die Maßnahmen der Weitergabekontrolle oder auch Transportkontrolle sind Teil der Gewährleistung der Integrität, wie sie Art. 32 Abs. 1 lit. b) DSGVO verlangt. Mithilfe von technischen Maßnahmen und organisatorischen Abläufen ist die Sicherheit von personenbezogenen Daten bei der elektronischen oder auch physischen Weitergabe zu gewährleisten. Es soll eine Manipulation der Daten auf dem Transportweg verhindert werden. 293 Die Weitergabe- bzw. Transportkontrolle betrifft – wie die Bezeichnung bereits vermuten lässt – die Sicherheit der Daten auf dem Weg zwischen den einzelnen Bestimmungsorten. Es muss sichergestellt werden, dass die Daten auf ihrem Weg nicht unberechtigten Dritten zugänglich bzw. kompromittiert werden.275) Hierzu gehört ebenso die Prüfung der ordnungsgemäßen Adressierung vor dem Versand wie auch die Verschlüsselung u. a. bei dem Versand von personenbezogenen Daten per E-Mail, die dem Stand der Technik entsprechen sollte. Aktuelle Verschlüsselungstechniken werden von einer Vielzahl von alltäglich genutzten Applikationen zum Versand von E-Mails angeboten.276) Auch die Nutzung von elektronischen Signaturen und die Verwendung von VPN277)-Zugängen schützen die Integrität der Daten. 294 Meist handelt es sich dabei um eine Transportverschlüsselung. Dabei werden die versandten Nachrichten auf dem Transportwege verschlüsselt, kommen aber beim Empfänger unverschlüsselt an. Die Transportverschlüsselung will sicherstellen, dass ein Abfangen von E-Mails auf ihrem Weg zum Empfänger nicht zum gewünschten Ergebnis führt. Des Weiteren gibt es die sog. Inhaltsverschlüsselung, bei der die Daten der E-Mail verschlüsselt werden und ohne einen entsprechenden Entschlüsselungscode oder ein Zertifikat nicht geöffnet werden können. 295 Eine explizite Pflicht, jeglichen E-Mail-Verkehr ebenfalls mit einer Inhaltsverschlüsselung zu versehen, sieht das Datenschutzrecht nicht vor. Allerdings sind alle Maßnahmen zum Schutze von personenbezogenen Daten an dem aktuellen Stand der Technik zu messen und immer anhand des benötigten angemessenen Schutzniveaus zu betrachten. Verschlüsslungstechniken wie hier angesprochen gehören mittlerweile zum Stand der Technik. Somit sollte der Verantwortliche bemüht sein, diese Maßnahmen zu ergreifen. Gleichwohl bedarf es auch der Einschätzung des „Gegenübers“. Wenn dieser ___________ 275) Vgl. Bock, in: BeckOK DatenschutzR, BDSG, § 64 Rn. 73. 276) Reisener/Weiß, InsbürO 9/2018, S. 337. 277) Virtual Private Network bezeichnet eine verschlüsselte Kommunikation zwischen zwei Endstellen. Zwischen diesen wird ein Tunnel i. d. R. im Internet aufgebaut und die Kommunikation oder auch die Daten sind von außen nicht einsehbar.
102
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
nicht in der Lage ist, die empfangenen Daten zu entschlüsseln oder nicht über die technischen Mittel für eine Verschlüsslung verfügt, muss der Verantwortliche dies ebenso in seine Überlegungen mit einbeziehen. Praxistipp: Es empfiehlt sich – insbesondere bei dem Versand von sensiblen personenbezogenen Daten – eine Kombination der verschiedenen Verschlüsselungsmethoden zu wählen.
Auch der Transport der Daten durch externe Datenträger sollte über Verschlüs- 296 selungen bzw. Zugriffssperren abgesichert werden. Ein Verlust eines Datenträgers, der personenbezogene Daten enthält, kann bei nicht ausreichender Sicherung zu einem Zugriff durch einen unberechtigten Dritten und ggf. einer Verarbeitung der vorhandenen Daten durch den Dritten führen. In diesem Fall würde eine Datenpanne vorliegen mit der Konsequenz, dass ggf. eine Mitteilung an die Aufsichtsbehörde oder auch an den/die Betroffenen erfolgen müsste. Eine weitere Aufgabe der Weitergabekontrolle ist die Sicherstellung der Be- 297 rechtigung des Empfängers, die ihm übersandten Daten weiter verarbeiten zu dürfen. Bevor Daten weitergegeben werden ist zu prüfen, ob eine Empfangsberechtigung beim Empfänger vorliegt. Praxistipp: Sensibilisieren Sie Ihre Mitarbeiter auch dahingehend, dass die Autovervollständigungsfunktion von Outlook (oder anderen Programmen) zwar praktisch ist, aber ebenso ein nicht zu unterschätzendes Risiko birgt. Schnell ist ein falscher Empfänger ausgewählt und diesem werden personenbezogene Daten eines Dritten zur Verfügung gestellt. Folge: Datenpanne!
f) Eingabekontrolle Ein weiterer Schutz der Integrität der Daten stellen die Maßnahmen der Ein- 298 gabekontrolle da. Eine nachträgliche Überprüfung – wer, wann und von wo aus personenbezogene Daten eingegeben, verändert oder verarbeitet hat, soll anhand der Eingabekontrolle sichergestellt werden. Durch die Implementierung automatischer oder manueller Protokollierungsmechanismen wird ein entsprechendes Kontrollerfordernis erfüllt.278) Hierzu werden innerhalb der Verarbeitungssysteme Protokollroutinen erstellt. Diese Protokolle können im Nachhinein ausgewertet werden, um die Wirksamkeit der entsprechenden Maßnahmen zu überprüfen und ggf. einen Missbrauch feststellen zu können. Aber auch die Eingabekontrolle selbst steht im Spannungsverhältnis zu den 299 datenschutzrechtlichen Vorgaben. Die Protokollierung der Zugriffe auf das Datensystem stellt eine Art Überwachung da und ist insbesondere unter dem ___________ 278) Plath-Plath, BDSG/DSGVO (2. Aufl., 2016), § 9 BDSG Rn. 45.
103
E. Aus der Praxis – Datenschutz in der Kanzlei
Gesichtspunkt des Beschäftigtendatenschutzes (§ 26 BSDG) zu betrachten, in deren Spannungsverhältnis eine Protokollierung steht. Der Grundsatz der Erforderlichkeit zwingt den Verantwortlichen dazu, nur diese Daten zu protokollieren, die für die Erfüllung des Zwecks (Gewährleistung der Integrität der Daten) notwendig sind. Auch dürfen diese Protokolldateien nicht herangezogen werden, um die Leistung der Beschäftigten auszuwerten. Des Weiteren gilt es, Löschungsfristen hinsichtlich der angelegten Protokolldateien zu beachten. 300 Nicht zuletzt sollten die Mitarbeiter in Bezug auf diese Protokollierung unterrichtet und ihnen die erforderlichen Informationen erteilt werden, um den Informationspflichten des Verantwortlichen gerecht zu werden. g) Verfügbarkeitskontrolle 301 Verfügbarkeit bezeichnet in der Fachsprache der Informationstechnik die „Wahrscheinlichkeit“, dass ein System eine geforderte Leistung tatsächlich erbringt.279) Im Einklang mit der Wiederherstellbarkeit der Daten soll mit der Verfügbarkeitskontrolle die ständige Zugriffsmöglichkeit auf die Daten sichergestellt werden. Mithilfe der in diesem Zusammenhang ergriffenen Maßnahmen wird dafür Sorge getragen, dass eine Unterbrechung des Zugriffs, eine (unbeabsichtigte) Zerstörung oder ein Datenverlust sich nicht auf die zukünftige Verarbeitung der Daten auswirken. Der Verantwortliche ist gehalten, Maßnahmen zu ergreifen, um auch bei einem Auftreten eines entsprechenden Ereignisses über die Daten verfügen zu können. 302 Vornehmlich sind in diesem Zusammenhang Maßnahmen zu den Back-upund Recovery-Konzepten angesprochen. Im Rahmen von Datensicherungskonzepten sind Maßnahmen zu entwickeln, die eine Verfügbarkeit und ggf. schnelle Wiederherstellbarkeit gewährleisten können. Zu den typischen Datensicherungen zählt auch das Vorhalten von mehreren Komponenten der Datenverarbeitungssysteme, z. B. Serverspiegelungen oder RAID-Systeme280) für mehrere Massenspeichermedien. 303 Weiterhin können das Vorhalten einer USV, die sichere und ausgelagerte Aufbewahrung von Datenträgern und Datensicherung, Feuer- und Rauchmeldeanlagen, ein entsprechender Virenschutz sowie viele weitere Vorkehrungen zu den Maßnahmen gehören, die der Verfügbarkeitskontrolle zuzurechnen sind. Wie bei allen anderen Maßnahmen auch, die zum Schutze der Daten getroffen werden, findet die Prüfung im Rahmen der Risikoabwägung und unter Findung eines für die jeweils vorliegenden Daten angemessenen Schutzniveaus statt. ___________ 279) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 38. 280) Redundant Array of Independent Disks – Organisation mehrerer Speichermedien, um z. B. eine höhere Ausfallsicherheit zu schaffen.
104
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
h) Zuverlässigkeit und Belastbarkeit Die Zuverlässigkeit geht einher mit der Verfügbarkeitskontrolle und ist von 304 dieser nur schwerlich zu trennen. Grundsätzlich bedarf es der Sicherstellung der Funktion des Systems und der Möglichkeit, dass Fehlfunktionen des Verarbeitungssystems erkannt und bestenfalls gemeldet werden. Dabei ist die Belastbarkeit der Verarbeitungssysteme ein hoher Indikator dafür, wie zuverlässig die Verarbeitungssysteme funktionieren, auch bei besonders hoher Belastung. Ein System zur Verarbeitung personenbezogener Daten wird dann als be- 305 lastbar bezeichnet, wenn es in der Lage ist, trotz Störung und Fehler funktionsfähig zu bleiben, und weiterhin die Sicherheit der Daten gewährleisten kann. Auch sollten die Systeme gezielte Angriffe von außen, die eine Überlastung der Systeme herbeizuführen in der Lage sind, entgegentreten können. Praxistipp: Regelmäßige Belastungstests der genutzten IT-Systeme können Schwachstellen aufdecken. Unter Zuhilfenahme von Spezialisten können die Systeme Stresstests unterzogen werden, um ein dauerhaftes angemessenes Schutzniveau aufrechtzuerhalten.
i) Datenschutzmanagementsystem Das Prinzip eines Datenschutzmanagementsystems ist nicht neu. Dem In- 306 solvenzverwalter ist ein ähnliches System bereits vom Qualitätsmanagement bekannt. Die Verpflichtung zur Einführung eines Datenschutzmanagementsystems ergibt sich aus den Rechenschaftspflichten und den weiteren Pflichten des Verantwortlichen. Auch die umfangreichen Dokumentationspflichten und die Erwirkung eines umfassenden Schutzes der personenbezogenen Daten, bedürfen der Schaffung von einheitlichen Abläufen und Prozessen. Nicht zuletzt die bestehenden Rechenschaftspflichten, wie sie in Art. 5 Abs. 1, 307 2 DSGVO festgehalten sind und die weitreichenden Nachweispflichten, die einen Verantwortlichen treffen, bedürfen der Organisation und Umsetzung. Der Insolvenzverwalter als Verantwortlicher kommt nicht umhin, ein Datenschutzmanagementsystem einzuführen, seine Mitarbeiter dahingehend genauestens zu informieren und dieses auch zu leben. Die DSGVO macht keine Vorgaben, wie ein solches Datenschutzmanagement- 308 system aufzubauen ist bzw. was dieses beinhalten muss. Vom Grundsatz hat ein Datenschutzmanagementsystem alle Dokumentationen hinsichtlich der einzelnen Verarbeitungstätigkeiten zu enthalten und die Regelungen, Prozesse und Maßnahmen darzustellen, um alle datenschutzrelevanten Vorgänge zu kontrollieren und steuern zu können. Bei der Umsetzung sollte der Verantwortliche sich auf Erfahrungen mit anderen Managementsystemen stützen. Es ist denkbar, ein solches System in ein bestehendes Managementsystem (z. B. das QM-System) zu integrieren bzw. an dieses anzuhängen und mit der Schaf-
105
E. Aus der Praxis – Datenschutz in der Kanzlei
fung von Prozessen Abläufe zu gestalten, um die datenschutzrechtlichen Vorgaben zu erfüllen und zugleich allen Mitarbeitern diese Prozesse zur Kenntnis zu geben. 309 Es ist nötig, Ziele zu entwickeln, die mithilfe des Datenschutzmanagementsystems erreicht werden sollen. Diese Ziele, die u. a. in der Senkung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder auch in der Begrenzung möglicher Schäden für Betroffene liegen können, gilt es herunterzubrechen und den zu entwerfenden Prozessen und Maßnahmen voranzustellen. Dabei ist im Rahmen eines kontinuierlichen Verbesserungsprozesses auch auf altbewährte Methoden zurückzugreifen. Die Erstellung der einzelnen Prozesse kann unter Beachtung des sog. PDCA-Zyklus281) erfolgen. 310 Das entwickelte Datenschutzmanagementsystem, mit den dort enthaltenen Prozessen, Abläufen und Maßnahmen kann gegenüber der Aufsichtsbehörde auch als Nachweis dienen, dass bei dem Insolvenzverwalter die datenschutzrechtlichen Vorgaben umgesetzt und erfüllt werden. Um der Nachweis- und Rechenschaftspflicht gegenüber der Aufsichtsbehörde schnell und wirksam nachkommen zu können, bedarf es einer zentralen Regelung hinsichtlich der Aufbewahrung der Dokumentationen der einzelnen Vorgänge, wie sie ein Datenschutzmanagementsystem beinhalten kann. 311 Ratsam ist es weiterhin, die einzelnen Vorgaben und Pflichten prozessgesteuert zu verinnerlichen, eine für alle Mitarbeiter zugängliche zentrale Dokumentation der einzelnen Prozesse vorzuhalten und die so entstandenen Datenschutzmanagementprozesse (neben sonstiger Essentialia wie einem Datenschutzbeauftragten etc.) einer regelmäßigen Überprüfung zu unterziehen. Praxistipp: Die datenschutzrechtliche Literatur setzt durchgängig Datenschutzmanagementsysteme282) auch zum Nachweis der Rechenschaftspflichten nach der DSGVO voraus. Zu Recht: Als „Ausläufer“ einer unternehmerischen Compliance, letztlich aber auch einer modernen und qualitätsorientierten Insolvenzverwaltung, werden sich Insolvenzkanzleien zukünftig für sich, aber auch für die schuldnerische EDV, entsprechenden Datenschutzstandards nicht mehr verschließen können und dürfen. Mithilfe des Qualitätsmanagements können Prozesse entworfen werden, die die Einhaltung der datenschutzrechtlichen Vorschriften gewährleisten. Folgende Prozesse seien beispielhaft aufgezählt: x Prozess zur datenschutzrechtlichen Nachweispflicht und Dokumentation. x Prozess zum Führen des Verzeichnisses von Verarbeitungstätigkeiten. x Prozess zur Durchführung von Datenschutzfolgenabschätzung.
___________ 281) PDCA-Zyklus (Plan, Do, Check, Act) beschreibt die vier Phasen eines kontinuierlichen Verbesserungsprozesses und ist Bestandteil vieler Qualitätsmanagementsysteme. 282) Dazu ausführlich Jung, ZD 05/2018, 208.
106
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO x Prozess zur Erfüllung von Informationspflichten bei der Datenerhebung. x Prozess zur Behandlung von Datenpannen und deren Meldepflichten.
Weiterhin gibt es viele externe Anbieter, die umfangreiche Softwarelösungen 312 für Datenschutzmanagementsysteme anbieten. j) Reaktionsmanagement Das Reaktionsmanagement oder auch Incident-Response-Management sollte 313 bestenfalls vor dem Eintreten einer Sicherheitsverletzung bereits eine Reaktion auf die mögliche Sicherheitsverletzung vorhalten. Weiterhin greift das Reaktionsmanagement ein, wenn es zu Schadensereignissen kommt, und beschreibt das Vorgehen, wie eine entsprechende Reaktion auf dieses Ereignis zu erfolgen hat. Vorangehen muss eine Analyse der potenziellen Schadensereignisse. Im 314 Anschluss entwickelt der Verantwortliche aus der Analyse Maßnahmen, die in bestimmten Fällen zu ergreifen sind. Beispiel: Als Beispiel sei hier eine Datenpanne aufgeführt: Der Administrator des Insolvenzverwalters stellt im Rahmen der routinemäßigen Überprüfung der IT-Systeme fest, dass auf bestimmte Datenbestände von außerhalb des Netzwerkes zugegriffen wurde. Die im Rahmen des Reaktionsmanagement festgehaltenen Sofortmaßnahmen werden umgehend eingeleitet: 1. Ergreifung von Erstmaßnahmen (Port-Schließung, Änderungen der Sicherheitseinstellung der Firewall, ggf. Trennung des betroffenen Bereichs vom Netzwerk) 2. Einleitung von Notfallmaßnahmen (Prüfung der betroffenen Datenbestände auf Beschädigung, ggf. Wiederherstellung der Datenintegrität) 3. Erfüllung von Informationspflichten (Prüfung ob Information der Behörde und des Betroffenen notwendig) 4. Prüfung der Ursachen und der Angriffspunkte 5. Dokumentation der Vorgänge 6. Entscheidung über erforderliche Ressourcen zur Verbesserung 7. Fakultativ: Entsprechend Mitarbeiterschulung k) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) Dieser Bereich, der entsprechend in den TOM Niederschlag findet, bezieht sich 315 auf Maßnahmen, die im Zusammenhang mit den Begriffen „Privacy by Design“ und „Privacy by Default“ Anwendung finden. Dabei handelt es sich
107
E. Aus der Praxis – Datenschutz in der Kanzlei
um die Implementierung von Maßnahmen unter Beachtung der Maßgabe, dass die Einhaltung des Datenschutzes bereits im Vorfeld der Verarbeitung beachtet werden muss. Privacy by Design bezeichnet dabei Maßnahmen (meist technischer Art), bei denen die Technikgestaltung bei der Erarbeitung von Datenverarbeitungsvorgängen bereits im Vorfeld im Vordergrund steht. So sollen bereits im Rahmen der Entwicklung der Software und Hardware die datenschutzrechtlichen Belange beachtet werden. Eine Maßnahme, die unter diesen Begriff subsumiert werden kann, ist die Einräumung der Möglichkeit für die Betroffenen, ihr Widerrufsrecht mit einfachen technischen Mitteln auszuüben. 316 Der Begriff „Privacy by Default“ spiegelt Maßnahmen wieder, die es ermöglichen, die Grundeinstellung der einzelnen Verarbeitungssysteme im Voraus bereits datenschutzrechtlich freundlich zu gestalten, um auch weniger erfahrenen Nutzern die Möglichkeit zu bieten, entsprechende datenschutzrechtliche Einstellungen nach den Grundsätzen des Datenschutzrecht zu verwenden. Als Beispiel sind Trackingeinstellungen von Internetbrowsern aufzuzählen. Die in Anspruch genommenen Maßnahmen sollen den Grundsätzen der Datenvermeidung und der Datensparsamkeit Ausdruck verleihen. l) Auftragskontrolle 317 Die Auftragskontrolle umfasst u. a. Maßnahmen, die vom Verantwortlichen bei der Kontrolle der von ihm genutzten Auftragsverarbeiter zu ergreifen sind. Die personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, dürfen nur gemäß der Weisung des Verantwortlichen verwendet werden. Dies hat der Verantwortliche mit den niedergelegten Maßnahmen zu gewährleisten. 318 Die zu dokumentierenden Maßnahmen beinhalten die Auswahl des jeweiligen Auftragnehmers unter den Gesichtspunkten der Sorgfalt, die vorhergehende Prüfung der durch den Auftragnehmer mitgeteilten und bei diesem getroffenen Sicherheitsmaßnahmen, den Abschluss entsprechender Vereinbarungen gemäß Art. 28 DSGVO und die Einhaltung der wirksamen Kontrollrechte des Verantwortlichen.283) 319 Weiterhin hat der Verantwortliche im Rahmen der Auftragskontrolle sicherzustellen, dass der Auftragnehmer nur Subunternehmer einsetzt, die ebenso die datenschutzrechtlichen Vorgaben erfüllen. Hierzu bedarf es entsprechender Nennungen der Subunternehmer in der Vereinbarung über den Auftrag zur Verarbeitung personenbezogener Daten.
___________ 283) Reisener/Weiß, InsbürO 9/2018, 336.
108
V. Weitere interne Maßnahmen für den Datenschutz
V. Weitere interne Maßnahmen für den Datenschutz 1. Auftragsverarbeiter Grundsätzlich besteht die Möglichkeit einer Beauftragung Dritter und die 320 damit einhergehende Übertragung von Daten durch den Insolvenzverwalter auf diese.284) Diese Beauftragungen sind die Regel, insbesondere bei IT-Dienstleistungen, Softwareanbietern, Archivaren, Be- und Verwertern, Personalbearbeitern etc. Der Auftragsverarbeiter als Auftragnehmer des Verantwortlichen verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, der die Zwecke und Mittel hinsichtlich der Verarbeitung bestimmt. Eine Definition von „Zweck“ lautet: „Erwartetes Ergebnis, das beabsichtigt ist 321 oder die geplanten Aktionen leitet“. Die Definition von „Mittel“ verweist auf die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“.285) Die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem liegt demnach in der Entscheidungsmacht über die Verarbeitung. Allerdings können Entscheidungen im geringen Umfang, die den Schutz der Daten betreffen und sich auf die technischen und organisatorischen Maßnahmen beziehen, auch an den Auftragsverarbeiter delegiert werden.286) Zunächst gilt es zu klären, ob es sich tatsächliche um eine Auftragsverarbei- 322 tung für den Insolvenzverwalter handelt oder eine neue oder/und evtl. gemeinsame Verantwortlichkeit entstehen würde. Grob gesagt liegt der Unterschied darin, dass im Rahmen einer neuen Verantwortlichkeit der Auftragnehmer sein Handeln für die Erfüllung der Tätigkeit vollständig selbstbestimmt, z. B. bei Beauftragung eines Steuerberaters oder externen Rechtsanwalts. In der Stellungnahme der DSK287) wird eine grobe Einteilung vorgenommen, wer als Auftragsverarbeiter nicht infrage kommt. Bezug nehmend auf diese Stellungnahme vertritt das BayLDA die Ansicht, dass der Steuerberater selbst dann nicht als Auftragsverarbeiter zählt, wenn dieser ausschließlich die Lohnbuchhaltung vornimmt.288) In diesem Fall bedarf es einer Rechtsgrundlage für die Übertragung der Daten. Es ist also u. a. auf die standesrechtliche Selbstständigkeit des von dem Insolvenzverwalter beauftragten Dritten abzustellen. Ebenso liegt keine Auftragsverarbeitung vor, wenn die Verarbeitung durch eine gemäß Art. 26 DSGVO gemeinsame Verantwortlichkeit geprägt ist. Für die Auftragsverarbeitung gemäß Art. 28 ff. DSGVO, die beispielsweise 323 bei Beauftragung eines „Verwerters“ zum Tragen kommt, muss zwischen Auftragnehmer (z. B. Be- und Verwerter) und Auftraggeber (also Insolvenz___________ 284) 285) 286) 287) 288)
Reisener/Weiß, InsbürO 10/2018, 384. Artikel-29-Datenschutzgruppe, WP169, S. 16 ff. DSK-Kurzpapier Nr. 13, S. 1. DSK-Kurzpapier Nr. 13, S. 4. BayLDA, FAQ-DS-GVO v. 20.7.2018 – Muss mit Steuerberatern ein Vertrag zur Auftragsverarbeitung nach der DS-GVO geschlossen werden?
109
E. Aus der Praxis – Datenschutz in der Kanzlei
verwalter) eine Vereinbarung geschlossen werden, die die Vorgaben des Art. 28 DSGVO ausführlich beschreibt und die weisungsgemäße Umsetzung bestimmt.289) Ein einheitliches Formular für eine Auftragsverarbeitungsvereinbarung gibt es nicht, jedoch sind einige Muster290) als auf die jeweilige Kanzlei konkret anzupassende Vorlagen vorhanden. 324 Die Auftragsvereinbarung muss schriftlich abgefasst werden, was aber auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO). Somit ist grundsätzlich ein Abschluss einer solchen Vereinbarung auch per E-Mail möglich und bedarf keiner eigenhändigen Unterschrift. Zum Teil wird vertreten, dass der Abschluss nur mit einer entsprechenden Signatur erfolgen kann.291) In der Vereinbarung sind zwingend alle Vorgaben aus dem Art. 28 Abs. 2, 3 DSGVO zu regeln. Praxistipp: Prüfen Sie, welche Dienstleister Sie nutzen, ob diesen personenbezogene Daten übergeben werden oder diese Zugriff auf die Daten nehmen können und dafür eine Rechtsgrundlage vorliegt. Im Anschluss ist zu schauen, ob es für diese Dienstleistung einer Auftragsvereinbarung bedarf. Grundsätzlich kann davon ausgegangen werden, dass fast jede Dienstleistung, die nicht von einem Berufsträger für den Insolvenzverwalter oder die Kanzlei erbracht wird, eine Auftragsverarbeitung darstellt. Dabei kann es sich z. B. um IT-Dienstleistungen, Softwareanbieter, Personaldienstleistungen, Dienstleistungen rund um die Vernichtung von Daten oder auch Archivierungsdienstleistungen handeln. Keine Auftragsverarbeiter sind jedenfalls Berufsträger, Inkassobüros bei der Übertragung von Forderungen, ggf. Bankinstitute bei der Abwicklung des Geldverkehres oder gar Postdienstleistungen oder Botendienste. Schließlich ist – insbesondere bei Letzteren – eine Einzelfallbetrachtung zur Einordnung vorzunehmen. Auch ist die Einordnung wie hier im Fluss.
2. Klärung hinsichtlich der privaten Nutzung des E-Mail-Accounts u. Ä. 325 Bereits die Nutzung des dienstlichen E-Mail-Accounts durch die Beschäftigten stellt den Insolvenzverwalter für den internen Kanzleibereich vor datenschutzrechtliche Fragen. Es besteht zum Teil das Bedürfnis aufseiten des Insolvenzverwalters, Einsicht in die E-Mail-Postfächer seiner Beschäftigten nehmen zu können, wenn diese aufgrund einer länger andauernden Krankheit oder auch aufgrund eines Arbeitgeberwechsels nicht verfügbar sind. Dabei ist nicht das Durchsuchen der Postfächer nach Fehlern der Beschäftigten gemeint, sondern lediglich der dienstlich bedingte Zugriff. ___________ 289) Reisener/Weiß, InsbürO 10/2018, 384. 290) Zum Beispiel der GDD = Gesellschaft für Datenschutz und Datensicherheit e. V., https://www.gdd.de > Links/Materialien > Mustervereinbarung zur Auftragsverarbeitung; auch Deutsche Anwaltsvereins: www.anwaltverein.de > Praxis > Datenschutz: Download von Merkblättern, Musterverträgen, Checklisten etc. (Stand: 17.8.2020). 291) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 28 DSGVO Rn. 75.
110
V. Weitere interne Maßnahmen für den Datenschutz
a) Private Nutzung – erlaubt oder geduldet Problematisch wird es insbesondere dann, wenn der Insolvenzverwalter den 326 dienstlichen E-Mail-Account zur privaten Nutzung (konkludent) freigegeben hat bzw. die private Nutzung anderweitig duldet. Datenschutzrechtlich zu betrachten sind in diesem Zusammenhang die angefallenen personenbezogenen Daten sowohl der Beschäftigten als auch ihrer Kommunikationspartner. Hier sind ggf. neben dem Datenschutzrecht auch die Vorgaben des Telekommunikationsgesetzes (TKG) bzw. des Telemediengesetzes (TMG) zu beachten. Auch wäre aus datenschutzrechtlicher Sicht die Archivierung des E-Mail-Verkehrs bzw. von dessen Teilen erschwert, wozu der Insolvenzverwalter gemäß der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) verpflichtet ist. aa) Gegenläufige Ansichten Seit Jahren besteht hierzu eine kontroverse Diskussion inwieweit der Arbeit- 327 geber beim Vorliegen der entsprechenden Voraussetzungen als Anbieter von Telekommunikationsdienstleistungen i. S. d. § 3 Nr. 6 TKG angesehen werden muss.292) Nach Auffassung einzelner Aufsichtsbehörden ist der Arbeitgeber in dem Fall, da er die private Nutzung des dienstlichen E-Mail-Accounts erlaubt oder auch duldet, Telekommunikationsdienst- bzw. Telemediendienstanbieter und muss das Fernmeldegeheimnis gemäß § 88 Abs. 2 Satz 1 TKG beachten.293) Dies hätte eine Strafbarkeit des Insolvenzverwalters gemäß § 206 StGB zur Folge, wenn dieser ohne Einwilligung des betroffenen Mitarbeiters Einsicht in das E-Mail-Postfach nimmt. Die h. M. und Rechtsprechung lehnt eine solche Einordnung zumindest in 328 der jüngeren Vergangenheit überwiegend ab.294) Dem ist sich anzuschließen. Leider verpassen es die DSGVO und auch der deutsche Gesetzgeber, bei der Umsetzung des BDSG zu diesem Thema eine klärende Antwort zu liefern. bb) Interessenabwägung Dennoch ist unter Beachtung des § 26 BDSG die Frage hinsichtlich der Nut- 329 zung des dienstlich zur Verfügung gestellten Accounts vor einem etwaigen Zugriff auf das Postfach des Beschäftigten zu klären. Dies auch mit Hinweis auf die (wenn auch nur noch geringen) Einwände der Aufsichtsbehörden. Wenn eine private Nutzung erlaubt ist bzw. geduldet wird muss der Insolvenzverwalter davon ausgehen, dass der Inhalt des Postfachs auch private ___________ 292) Kort, RdA 2018, 30. 293) DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, II. 2. b). 294) LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1181; VG Karlsruhe, Urt. v. 27.5.2013 – 2 K 3249/12, LSK 2013, 340480; VGH Mannheim Urt. v. 30.7.2014 – 1 S 1352/13, ZD 2014, 579.
111
E. Aus der Praxis – Datenschutz in der Kanzlei
Dokumente umfasst, eventuell sogar besondere Kategorien von Daten gemäß Art. 9 DSGVO. Der Insolvenzverwalter muss in diesem Fall mithilfe einer Interessenabwägung die Entscheidung hinsichtlich des Zugriffs auf das Postfach treffen. Dabei ist davon auszugehen, dass bei einer geringen Möglichkeit von vorhandenen Daten, die umso höher anzusehen ist, wenn die Privatnutzung des Postfach geduldet ist, die Interessen des Beschäftigten als Betroffenen höher anzusetzen sind. Diese Interessenabwägung muss der Insolvenzverwalter abermals ausführlich dokumentieren. cc) Verhältnismäßigkeit des Zugriffs 330 Führt die Interessenabwägung zur Erkenntnis, dass zur Wahrung der berechtigten Interessen des Insolvenzverwalters ein Zugriff auf das Postfach erfolgen kann, ist weiterhin der Verhältnismäßigkeitsgrundsatz zu beachten. Der Insolvenzverwalter hat auch andere Möglichkeiten der Kenntniserlangung in Erwägung zu ziehen. Hierzu zählen auch die Benachrichtigung des abwesenden Beschäftigten, die Information hinsichtlich des geplanten Zugriffs und der Versuch, ggf. mithilfe des Beschäftigten die benötigten Informationen auf anderem Wege zu erlangen. Der Insolvenzverwalter hat alle zumutbaren Alternativen auszuschöpfen, bevor er Zugriff auf das Postfach des Beschäftigten nimmt. 331 Kommt der Insolvenzverwalter im Rahmen der oben genannten Interessenabwägung und unter Beachtung der möglichen Handlungsalternativen zu dem Entschluss, dass ein Zugriff auf das Postfach zwangsläufig erfolgen muss und eine Rückkehr des Beschäftigten nicht abgewartet werden kann, empfiehlt es sich, diesen Zugriff nur unter Zeugen vorzunehmen. Des Weiteren muss darauf geachtet werden, möglichst von vorliegenden privaten Inhalten keine Kenntnis zu nehmen. Ist eine E-Mail als private E-Mail erkennbar, bedarf es keiner in Augenscheinname und diese darf auch nicht erfolgen. 332 Es liegt in der Natur der Sache, dass der Insolvenzverwalter automatisch im Rahmen der Sichtung des Postfachs Kenntnis von privaten E-Mails erlangt und somit im Zweifel auch Kenntnis hinsichtlich der Absender, der Betreffe und eventuellen Versanddaten. Da bei dieser Art der Sichtung des Postfachs automatisch die Privatsphäre des Beschäftigten verletzt wird bzw. die Gefahr einer Verletzung der Privatsphäre als sehr hoch anzusehen ist, wäre eine EDVgestützte Durchsuchung nach Stichwörtern anzuraten, sofern eine Möglichkeit dazu besteht. b) Exkurs: Kein Arbeitgeberzugriff auf gemischt genutzten Facebook-Account 333 Das AG Brandenburg295) hatte sich mit der Frage zu beschäftigen, ob ein Arbeitgeber – rechtmäßigen – Zugriff auf einen von ihm und dem (ehemali___________ 295) AG Brandenburg, Urt. v. 31.1.2018 – 31 C 212/17, ZD 06/2018, 277.
112
V. Weitere interne Maßnahmen für den Datenschutz
gen) Arbeitnehmer gemeinsam genutzten Facebook-Account hatte. Daneben war streitig, ob der Arbeitgeber einen Anspruch auf Änderung sowie auf Untersagung einer Änderung durch den (ehemaligen) Arbeitnehmer hatte. Das Arbeitsgericht entschied letztlich zugunsten des Arbeitnehmers: Selbst der Aufbau eines Benutzerkontos durch den Arbeitnehmer „… mit Wissen und Wollen des Arbeitgebers gewährt diesem allein noch keine Herausgaberecht oder inhaltliche Änderungsansprüche.296)“ Praxistipp: Sind Sie gezwungen, auf ein Postfach eines Beschäftigten ohne dessen Beisein zuzugreifen, empfiehlt es sich, den Datenschutzbeauftragten, ein Betriebsratsmitglied oder einen neutralen Zeugen hinzuzuziehen.
c) Private Nutzung verbieten oder einschränken Trotz oder gerade wegen dieser Problematik ist dem Insolvenzverwalter als 334 Arbeitgeber anzuraten, eine klare Regelung hinsichtlich der privaten Nutzung des dienstlich zur Verfügung gestellten E-Mail-Accounts zu treffen und eine private Nutzung des E-Mail-Accounts zu untersagen. Damit wird dem Insolvenzverwalter die Möglichkeit eingeräumt, bei einer entsprechenden Veranlassung Zugriff auf die Postfächer der Beschäftigten zu nehmen. Eine solche Regelung kann im Rahmen einer Betriebsvereinbarung erfolgen. Auch besteht die Möglichkeit, die Privatnutzung unter ausdrücklichem Vorbehalt eines Zugriffs seitens des Insolvenzverwalters bei berechtigtem Interesse zu stellen. Damit wäre ein Zugriff des Insolvenzverwalters unter Nutzung des Erlaubnis- 335 tatbestandes des § 26 BDSG aufgrund der Notwendigkeit zur Durchführung des Arbeitsverhältnisses, sofern dies besteht, rechtmäßig. Auch die bestehenden Archivierungspflichten des Insolvenzverwalters setzen eine entsprechende Regelung voraus. 3. Regelung der Internetnutzung Ähnlicher Überlegungen wie bereits im Rahmen der Nutzung des dienstli- 336 chen E-Mail-Accounts bedarf es in Bezug auf die Internetnutzung. Eine unentgeltliche Überlassung des Internetzugangs durch den Insolvenzverwalter führt nach zutreffender Ansicht (wie bereits bei der Überprüfung der Nutzung des dienstlichen E-Mail-Accounts) nicht dazu, dass der Insolvenzverwalter als Dienstanbieter i. S. d. TKG anzusehen ist.297) Da aber ebenso wie bei den E-Mail-Accounts unterschiedliche Ansichten u. a. 337 auch aufseiten der Aufsichtsbehörden vorliegen, empfiehlt es sich, die Privatnutzung zu untersagen. Dies insbesondere, da der Insolvenzverwalter die In___________ 296) AG Brandenburg, Urt. v. 31.1.2018 – 31 C 212/17, LS 4, ZD 06/2018, 277. 297) Plath-Stammer/Kuhnke, BDSG/DSGVO, § 26 Rn. 113.
113
E. Aus der Praxis – Datenschutz in der Kanzlei
ternetnutzung und den Datenverkehr auch hinsichtlich der Datensicherheit überwachen sollte und die Verarbeitung der Daten auch zu diesem Zweck erfolgen kann. Dies beinhaltet ebenso eine Protokollierung und somit Speicherung des Internetverkehrs. 338 Der Anspruch an die Datensicherheit darf wiederum nicht in eine anlassund lückenlose Überwachung der Beschäftigten ausarten. Liegt der Zweck der Überwachung nicht in der Sicherstellung der Datensicherheit, sondern im Beschäftigungsverhältnis begründet, ist eine solche Maßnahme nur zur Durchführung des Arbeitsverhältnisses oder zur Aufdeckung einer Straftat rechtmäßig. Dann bedarf es aber eines konkreten Anlasses für eine Auswertung. 4. Schaffung eines Löschungskonzepts 339 Ein Grundgedanke des Datenschutzes ist es, „so wenig wie möglich, so viel wie nötig“298) Daten zu verarbeiten. Ebenso spielt die zeitliche Komponente hinsichtlich der Aufbewahrung der Daten eine wichtige Rolle, immer gemäß dem Grundsatz der (zeitlichen) Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO. Entsprechend diesem Grundsatz dürfen personenbezogene Daten grundsätzlich nur so lange aufbewahrt werden, wie es ihr Verarbeitungszweck erfordert.299) Dies ist durch die bestimmten und festgelegten Löschfristen zu dokumentieren. 340 Die Verpflichtung des Insolvenzverwalters zur Löschung von personenbezogenen Daten, deren Verarbeitungszweck erfüllt ist, ergibt sich aus Art. 17 Abs. 1 DSGVO. Es besteht die Pflicht des Verantwortlichen zur Löschung auf Verlangen des Betroffenen, sofern einer der Gründe vorliegt, die in Art. 17 Abs. 1 DSGVO aufgezeigt werden, Für den Antrag des Betroffenen zur Löschung seiner personenbezogenen Daten an den für die Verarbeitung Verantwortlichen gelten keine Formvorschriften.300) 341 Die Pflicht zur Löschung trifft den Verantwortlichen beim Vorliegen einer der genannten Gründe aber auch bereits ohne einen entsprechenden Antrag des Betroffenen. Dies führt dazu, dass der Verantwortliche hinsichtlich der Löschungsverpflichtungen regelmäßig und eigenständig zu prüfen hat, ob eine solche Verpflichtung bei den jeweiligen personenbezogenen Daten bestehen.301) Praxistipp: Zu diesem Thema sei auch auf die Bußgeldentscheidung der Berliner Aufsichtsbehörde gegen die Deutsche Wohnen SE verwiesen, wie sie unter Rn. 106 beschrieben ist. Hierbei wurden u. a. auch die Löschungsfristen nicht beachtet bzw. es gab gar keine Möglichkeit zur Löschung.
___________ 298) 299) 300) 301)
114
Ein entsprechend bewusst gewählter „Slogan“ der LR Datenschutz GmbH. Kleemann/Kader, DStR 2018, 1096. Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 12 DSGVO Rn. 42. Vgl. Herbst, in: Kühling/Buchner, DS-GVO/BDSG, Art. 17 DSGVO Rn. 9 ff.
V. Weitere interne Maßnahmen für den Datenschutz
Ausnahmen von der Löschungsverpflichtung ergeben sich u. a. aus den han- 342 delsrechtlichen Aufbewahrungspflichten. Weitere Ausnahmen finden sich in Art. 17 Abs. 3 DSGVO sowie im § 35 BDSG. Dennoch unterliegt der Verantwortliche der Rechenschaftspflicht, wie sie die DSGVO vorsieht. Der Verantwortliche muss seine Überlegung zur Löschung bzw. die Annahme, dass in dem jeweiligen Datenbestand eine Ausnahme gegeben ist, nachweislich dokumentieren. Eine ausdrückliche Verpflichtung zur Erarbeitung eines Löschungskonzepts 343 sieht die DSGVO nicht vor. An vielen Stellen im Gesetz wird aber auf entsprechende geeignete Maßnahmen hingewiesen und der Verantwortliche verpflichtet, diese zu ergreifen, um die Löschungspflichten zu erfüllen.302) Die Speicherfrist für personenbezogene Daten ist auf das unbedingt erforderliche Mindestmaß zu beschränken (ErwGr. 39 Satz 8 DSGVO). Auch hat der Verantwortliche Fristen zur Löschung der personenbezogenen Daten zu setzen und eine regelmäßige Überprüfung vorzunehmen, um zu verhindern, dass diese Daten länger als nötig gespeichert werden (ErwGr. 39 Satz 10 DSGVO). Diese Vorgaben lassen den Verantwortlichen unter Beachtung der Rechen- 344 schaftspflicht kaum Raum, wenn es um die Dokumentation der Löschungsvorgänge und Löschungsfristen geht. Der Verantwortliche hat ein Löschungskonzept zu erarbeiten und die Überlegungen zu dokumentieren. Um ein Löschungskonzept zu erarbeiten, das ein wirksames Unterstützungsmittel für die Pflichterfüllung des Verantwortlichen darstellt, ist es zunächst nötig, die verarbeiteten Daten zu analysieren. Praxistipp: Der Insolvenzverwalter kann auf die Norm DIN 66398 zurückgreifen, die Empfehlungen für die Erstellung eines solchen Löschungskonzepts ausspricht. Folgende Schritte werden von der DIN empfohlen: x Datenarten bestimmen x Datenarten Löschklassen zuordnen und Startzeit für Löschfristen festlegen x Löschregeln für die Datenarten definieren x Umsetzungsregeln festlegen x Verantwortlichen für die Umsetzung benennen x Dokumentation der veranlassten Maßnahmen x Überwachung der Löschung und Pflege der Dokumentation
5. Prüfung der Archivierung und Aufbewahrung Die Archivierung von Geschäftsunterlagen bzw. Daten aus Verfahren stehen 345 den umfangreichen Löschungspflichten, wie sie die DSGVO vorsieht, entge___________ 302) Paal/Pauly-Martini, DS-GVO/BDSG Art. 30 DSGVO Rn. 18.
115
E. Aus der Praxis – Datenschutz in der Kanzlei
gen. Das Recht auf Löschung oder das Recht auf Vergessenwerden, wie es von der DSGVO auch bezeichnet wird, ergibt sich aus Art. 17 DSGVO. Demnach kann der Betroffene vom Insolvenzverwalter als Verantwortlichem verlangen, dass seine personenbezogenen Daten unverzüglich gelöscht werden, wenn einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. 346 Des Weiteren ist der Insolvenzverwalter im Rahmen der Eigeninitiative verpflichtet, die personenbezogenen Daten auch ohne Aufforderung des Betroffenen zu löschen, wenn z. B. der Zweck der Erhebung oder Verarbeitung obsolet und eine Verarbeitung der Daten nicht mehr notwendig ist.303) a) E-Mail-Archivierung 347 Wie bereits erwähnt steht die grundsätzliche Löschungsverpflichtung der Pflicht zur Archivierung des E-Mail-Verkehrs, sofern diese z. B. unter den Anwendungsbereich des § 257 Abs. 1 Nr. 4 HGB bzw. des § 147 AO fällt, entgegen. Für diesen und weitere Fälle finden sich in Art. 17 Abs. 3 DSGVO bzw. in § 35 BDSG Ausnahmen von der Löschungspflicht. 348 Ist die Verarbeitung der personenbezogenen Daten erforderlich, auch über die Zweckerreichung hinaus, so besteht die Verpflichtung zur Löschung nicht. Dies kann bei der Pflicht zur Archivierung der Fall sein. Die Erforderlichkeit der weiterführenden Aufbewahrung kann dabei u. a. in einer Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfristen für Geschäftsunterlagen), in wissenschaftlichen oder historischen Forschungszwecken und in der notwendigen Verarbeitung zur Geltendmachung von Rechtsansprüchen liegen. 349 Problematisch ist die Bestimmung, welche Daten unter diese Ausnahmen fallen und dementsprechend archiviert werden können und wie lange diese aufzubewahren sind. Auch sind weiterhin die Grundsätze des Datenschutzes zu beachten, so z. B. die Datenminimierung und die Speicherbegrenzung. Der Insolvenzverwalter oder die Kanzlei ist als Verantwortlicher auch aus diesem Grund gehalten, ein Löschungskonzept zu entwerfen, das sich auch auf die Archivierung erstreckt, die Maßnahmen und Überlegungen zu den Löschungsvorgängen zu dokumentieren und das entworfene Löschungskonzept nachweisbar umzusetzen, dies auch aus Eigennutz und dem Schutz vor Bußgeldern.304) 350 Beispielhaft sei nochmalig auf den Zugang von Bewerbungen abgestellt. Bewerbungsunterlagen fallen nicht unter die Archivierungspflichten nach § 147 AO bzw. § 257 HGB. Bewerbungsunterlagen sowie Notizen aus Bewer-
___________ 303) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 1. 304) Vgl. VG Karlsruhe, Urt. v. 6.7.2017 – 10 K 7698/16, BB 2017, 2449.
116
V. Weitere interne Maßnahmen für den Datenschutz
bungsgesprächen sollten nicht länger als sechs Monate305) nach der Stellenbesetzung aufbewahrt und im Anschluss aufgrund der Zweckerfüllung gelöscht werden, es sei denn, es liegt eine Einwilligung des Betroffenen für eine längere Verarbeitung vor. Der Zweck ist streng genommen aber spätestens mit Stellenbesetzung erfüllt. Allerdings muss dem Arbeitgeber die Möglichkeit zuteilwerden, sich gegen eine Geltendmachung etwaiger Ansprüche durch den abgelehnten Bewerber verteidigen zu können. Was aber allen dieser Punkte immanent ist, ist die Erbringung der Informati- 351 onspflichten gemäß Art. 13, 14 DSGVO. Praxistipp: Nach Möglichkeit sollte ein eigenes Postfach für den Eingang elektronischer Bewerbungen angelegt werden. Dieses Postfach kann von der Archivierung ausgeschlossen und im Löschungskonzept gesondert betrachtet werden sowie z. B. alle sechs Monate eine Prüfung der Inhalte vorsehen, um den bestehenden Löschungspflichten nachkommen zu können.
b) Altverfahren Auch für Insolvenzverfahren und die aus diesen Verfahren erhobenen Da- 352 ten sollten Regelungen zur Löschung im Löschungskonzept vorgehalten werden. Grundsätzlich ist der Zweck der Verarbeitung von personenbezogenen Daten, die im Rahmen einer Verfahrensbearbeitung erhoben wurden, mit dem Abschluss des Verfahrens oder der Abweisung des Verfahrens mangels Masse entfallen. Demgegenüber stehen die gesetzlichen Aufbewahrungspflichten für einen 353 Teil der Daten, die i. d. R. zehn Jahre betragen. Auch eine Geltendmachung von Rechtsansprüchen kann einer Löschung entgegenstehen. Denkbar wären in diesem Fall eine Verfahrensaufhebung aufgrund einer Antragsrücknahme und Ansprüche des vorl. Insolvenzverwalters oder Sachverständigen gegen den ehemaligen Insolvenzschuldner auf Zahlung der Vergütung. Auch wäre per se eine Einschränkung der Verarbeitung gemäß § 35 BDSG 354 denkbar, zumindest für die automatisierte Datenverarbeitung, wenn in der Löschung ein unverhältnismäßiger Aufwand zu sehen ist und das Interesse des Betroffenen an der Löschung als gering einzustufen ist. In diesem Fall kann der Zugriff auf die Daten durch den Verantwortlichen auch eingeschränkt werden i. S. d. Art. 18 DSGVO. Diese Voraussetzungen wären aber, insbesondere bei personenbezogenen Daten aus einem Insolvenzverfahren, nur bedingt nachweis- und dokumentierbar sein.
___________ 305) Dagegen sieht z. B. der LfDI Baden-Württemberg in seinem Ratgeber zum Beschäftigtendatenschutz eine Speicherung von drei Monaten nach Stellenbesetzung als ausreichend an.
117
E. Aus der Praxis – Datenschutz in der Kanzlei
355 Die Ausnahmen von der Löschungsverpflichtung berechtigen aber im Umkehrschluss nicht zu einer unbegrenzten Verarbeitung und Speicherung.306) Auch dieser Zweck, der die Ausnahme bedingt, ist irgendwann erfüllt. Dann wiederum tritt die Löschungspflicht auch für diese Daten ein. Praxistipp: Insolvenzverfahren, die abgeschlossen und in denen alle Ansprüche erfüllt und ggf. Nachtragsverteilungen erfolgt sind, sollten hinsichtlich des Datenbestands geprüft werden. Zunächst muss bestimmt werden, welche Unterlagen und dazugehörigen personenbezogenen Daten aufgrund von bestehenden Aufbewahrungspflichten nicht gelöscht werden können. Alle anderen Daten und Unterlagen (Fragebögen, Anschreiben zu Terminen etc.) sollten nach Verfahrensbeendigung und der damit einhergehenden Zweckerfüllung gelöscht oder zumindest der Zugriff auf diese eingeschränkt werden. Selbige Vorgehensweise empfiehlt sich bei Verfahren, die mangels Masse abgewiesen wurden. Verfahren, die aufgrund einer Antragsrücknahme beendet wurden und bei denen aufgrund von Folgeanträgen die Möglichkeit besteht, dass eine neue Bestellung durch das Gericht stattfindet, sollten zumindest durch Zugriffsbeschränkungen geschützt und nach Möglichkeit verschlüsselt werden. Im Rahmen der Dokumentation wäre in dem Fall ein Hinweis auf Art. 17 Abs. 3 lit. b) DSGVO auf das berechtigte Interesse des Insolvenzverwalters bzw. der Kanzlei angebracht. Die gesetzliche Regelung spricht bei dieser Ausnahme zwar von der Wahrnehmung einer dem Insolvenzverwalter übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.307) Diese Aufgabe kann in den Fällen der Antragsrücknahme als erledigt betrachtet werden, aber ein Aufleben dieser Aufgabe durch einen Neuantrag kann eintreten. Allerdings sollte auch hier keine unendliche Speicherung vorgenommen werden.
6. Vernichtung von Datenträgern 356 Die Vernichtung von Datenträgern aus kanzleiinterner Hardware oder von nicht benötigten USB-Sticks und CD/DVDs bedarf einer genauen datenschutzrechtlichen Betrachtung. Ein einfaches Löschen der Datenträger reicht unter datenschutzrechtlichen Gesichtspunkten nicht aus, sofern auf diesen Datenträgern personenbezogene Daten gespeichert waren. Vor diesem Hintergrund müssen ebenso Kopierer, Drucker und Telekommunikationsanlagen308) u. v. m. betrachtet werden, da diese heutzutage ebenso über interne Speichermedien verfügen. 357 Personenbezogene Daten, die sich auf Datenträgern befinden und entsorgt werden sollen, müssen unwiderruflich und nicht wiederherstellbar gelöscht werden. Ein einfaches Verschieben der Daten in den elektronischen „Papierkorb“ reicht dafür nicht aus. Das Verschieben in den Papierkorb und auch das spätere Leeren desselben führt nicht zu einer datenschutzrechtlichen Lö___________ 306) DSK-Kurzpapier Nr. 11, S. 2. 307) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 43. 308) Woltersdorf, INDat Report 02/2018, 16.
118
V. Weitere interne Maßnahmen für den Datenschutz
schung. Bei diesem Vorgang werden lediglich einzelne Bereiche des Speichers für ein neuerliches Überschreiben freigegeben. Findet das Überschreiben nachträglich nicht statt, sind die Daten mit einem entsprechenden (oft kostenlosen) Programm wiederherstellbar. Eine Formatierung des Datenträgers führt ebenfalls nicht zwingend zu einer 358 vollständigen Löschung der Daten. Bei einer solchen Aktion wird in der Regel nur die Dateiensystemstruktur verändert, die Daten hingegen können weiterhin in Bereichen des Speichermediums vorhanden sein. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für Fälle, 359 in der der Verantwortliche die Datenträger selbstständig datenschutzrechtlich löschen will, die Datenträger mehrfach vollständig zu überschreiben. Es gibt spezielle Software, die durch mehrfaches Überschreiben die vorhandenen Daten vernichtet. In der Regel spricht man davon, dass die Daten siebenfach überschrieben werden müssen bevor diese nicht wiederherstellbar sind. Diese Methode führt dazu, dass die Datenträger im Anschluss an diesen Vorgang weiterhin nutzbar sind. Auch eine physische Vernichtung der Datenträger kommt in Betracht, um 360 personenbezogene Daten wirksam zu vernichten. Dies hat natürlich den gravierenden Nachteil, dass die Datenträger im Nachhinein verständlicherweise nicht mehr verwendbar sind. Einen Problemfall könnten die vielfach vorkommenden Multifunktionsge- 361 räte, Drucker und Telekommunikationsanlagen darstellen. Diese speichern auf ihren internen Datenträgern zum Teil personenbezogene Daten u. a. im Rahmen von Scanvorgängen. Da diese überwiegend von den jeweiligen Kanzleien geleast werden, bedarf es beim Austausch des Geräts einer Regelung. Natürlich kann die Kanzlei eine Herausgabe des Geräts nicht verweigern oder gar den Ausbau des internen Datenträgers vornehmen und diesen ggf. zerstören. In diesen Fällen empfiehlt es sich, eine Auftragsbearbeitung gemäß Art. 28 DSGVO mit dem jeweiligen Leasinggeber abzuschließen, in der dieser sich verpflichtet, im Auftrag des Auftraggebers (der Kanzlei) die vorhandenen personenbezogenen Daten einer datenschutzrechtlichen Vernichtung zuzuführen. Praxistipp: Mittlerweile gibt es eine große Anzahl von Dienstleistungsunternehmen, die durch eine Auftragsverarbeitung die Vernichtung von Datenträgern mit personenbezogenen Daten vornehmen und meist zeitgleich die Entsorgung übernehmen. Bei der Nutzung dieser Dienstleistungsunternehmen ist seitens der Kanzlei darauf zu achten, dass der Kanzlei als Auftraggeber ein Zertifikat im Anschluss an die Vernichtung ausgehändigt wird, dass die datenschutzrechtliche Löschung oder Vernichtung des Datenträgers nachweist. Dieses Zertifikat sollte entsprechend aufbewahrt werden und ggf. als Nachweis gegenüber der Aufsichtsbehörde dienen.
119
E. Aus der Praxis – Datenschutz in der Kanzlei
7. Regelungen für Notebooks und Handys 362 Der Insolvenzverwalter als Verantwortlicher sollte außerdem Regelungen für die Nutzung von dienstlich genutzten Notebooks und Handys treffen. Diese Regelungen sind ebenso Bestandteil der technischen und organisatorischen Maßnahmen. Im Rahmen des Datenschutzmanagements sind für die Mitarbeiter verbindliche Prozesse festzulegen, die bei der Nutzung der Geräte einzuhalten sind. 363 Zunächst sind Vorgaben für die Zugänge zu benennen. Die Geräte müssen über einen sicheren Passwortschutz vor unberechtigtem Zugriff geschützt werden (siehe Rn. 286 ff.). Dabei sind mindestens die selbigen Passworteinstellungen vorzunehmen, wie Sie auch die Passwortrichtlinie auf den internen Systemen vorsieht. Des Weiteren ist die Möglichkeit zu schaffen, die vorhanden dienstlichen Geräte aus der Ferne zu deaktivieren bzw. löschen zu können. Bei Verlust der Geräte wäre eine solche Fernlöschung eine Maßnahme, die erforderlich sein könnte, um die auf den Geräten vorhandenen personenbezogenen Daten zu schützen. Ein Verlust eines dienstlichen Geräts führt unweigerlich zur Prüfung ob eine meldepflichtige Datenpanne (siehe Rn. 419 ff.) vorliegt. Wenn die Möglichkeit besteht, das entsprechende Gerät aus der Ferne löschen zu können, dürfte eine Meldepflicht entfallen, da nach der Löschung nur noch ein geringes Risiko für die Betroffenen vorliegen dürfte. 364 Auch ist eine Regelung zu empfehlen, die Mitarbeitern untersagt, auf den Dienstgeräten Software ohne Rücksprache mit der IT-Abteilung oder mit dem Datenschutzbeauftragten zu installieren. Dies kann auch einfach voreingestellt werden, indem eine Installation nur der Administrator vornehmen kann. Der Umgang mit gängiger und datenschutzrechtlich problembehafteter Software oder Applikationen, wie etwa bekannte und häufig genutzte Chatmanager,309) sollte ebenso geregelt werden. 365 Große datenschutzrechtliche Bedenken bestehen bereits bei der Installation dieser Programme. Für die Funktionsweise dieser Applikationen ist es i. d. R. notwendig, die vollständige Kontaktliste für die Verwendung der Applikation freizugeben. Bereits in der Zurverfügungstellung der Kontaktdaten kann eine unrechtmäßige Übermittlung von personenbezogenen Daten liegen. Es wird erfahrungsgemäß keine Einwilligung sämtlicher Kontakte zur Übermittlung vorliegen. Auch fehlt es bei einer solchen Möglichkeit an der Informiertheit der Betroffenen und per se wird nicht bekannt sein, wie die Kontaktdaten im Nachhinein von der Applikation Verwendung finden und an wen diese weitergegeben werden. 366 Des Weiteren sind sichere und unterstützende Arbeitsmittel zu nutzen. So könnten für Notebooks und Handys sog. Containerlösungen genutzt wer___________ 309) Insbesondere der Instant-Messaging-Dienst, dessen Verwendung aus datenschutzrechtlicher Sicht umstritten ist.
120
V. Weitere interne Maßnahmen für den Datenschutz
den. Auch ist die Möglichkeit der Nutzung einer Blickschutzfolie zu prüfen. Der Verantwortliche muss dafür Sorge tragen, dass der Verarbeitung von personenbezogenen Daten auch auf externen Geräten der Mitarbeiter ein entsprechendes und benötigtes Schutzniveau zuteilwird, auch mit Blick auf den aktuellen Stand der Technik. Praxistipp: Es gibt eine Vielzahl von Anbietern mit entsprechenden Komplettlösungen für den aus Datenschutzsicht sicheren Einsatz von Notebooks und Handys. Diese sehen u. a. Containerlösungen (sicherer Bereich für die betreffenden Daten auf den Geräten), Möglichkeiten der Fernlöschung und Ortung vor. Auch andere Sicherheitsmaßnahmen sind bereits auf dem Markt verfügbar. Als grundsätzlicher Schutz ist zu empfehlen, eine Blickschutzfolie oder auch Sichtschutzfolie zu verwenden. Die Nutzung einer solchen Folie führt dazu, dass die Anzeige des Geräts nur bei direkter Sicht erkennbar ist und z. B. der Sitznachbar im Flugzeug keine Möglichkeit hat, die aufgerufenen Daten zu identifizieren. Auch sollte immer die Möglichkeit der Fernlöschung gegeben sein.
8. Sensibilisierung der Mitarbeiter Unabdingbar für den Schutz der personenbezogenen Daten, der Systeme der 367 Verarbeitungstätigkeiten und letztlich auch zum Schutz des Unternehmens selbst, ist die stetige Sensibilisierung der Mitarbeiter hinsichtlich der Einhaltung der datenschutzrechtlichen Vorgaben. Alle Maßnahmen, die der Verantwortliche ergreift oder vorsieht funktionieren nur, wenn auch die Mitarbeiter sensibilisiert sind, das bestehende Risiko kennen und sich dessen bewusst sind. Den Mitarbeitern sollte z. B. durch Schulungen die Wichtigkeit ihres Handelns für den Schutz der Verarbeitungstätigkeiten der Daten aufgezeigt werden. Es muss versucht werden, Verständnis für die ergriffenen Maßnahmen und deren Einhaltung bei den Mitarbeitern zu verankern. Nur durch diese Erkenntnis und die Akzeptanz der Mitarbeiter ist es möglich, dass das eingerichtete Datenschutzmanagement in seiner Gänze Anwendung findet und nur so das Risiko für die Daten und für das Unternehmen gesichert werden kann. Die Sensibilisierung der Mitarbeiter und deren Schulung ist Aufgabe des Da- 368 tenschutzbeauftragten. Ob dies in Präsensveranstaltungen oder über interne Benachrichtigungen geschieht, spielt dabei keine Rolle, allerdings sollten diese Maßnahmen hinsichtlich ihrer Wirksamkeit überprüft werden. Der Insolvenzverwalter als Verantwortlicher sollte sich bewusst sein, dass jeder Verstoß gegen den Datenschutz empfindliche Bußgelder und/oder Schadensersatzansprüche nach sich ziehen kann und dies auch gilt, wenn Mitarbeiter aufgrund von Unwissenheit oder aber Unachtsamkeit eine entsprechende Datenpanne verursachen.
121
E. Aus der Praxis – Datenschutz in der Kanzlei
369 Auch die Gefahr, dass bei fehlender Aufklärung hinsichtlich aktueller Bedrohungen, z. B. durch Malware310) per E-Mail, die eigenen Systeme Schaden nehmen, ist neben der Bedrohung für die Daten der Betroffenen, ein ernstzunehmendes Risiko für die Kanzlei. Die finanziellen Risiken für Reparaturarbeiten und Neuanschaffungen stehen genauso im Raum wie der Imageverlust der Kanzlei. Auch sollte sich jeder Insolvenzverwalter die Frage stellen, inwieweit das Gericht aufgrund der Information, dass die Systeme des Insolvenzverwalters nicht sicher sind und er mit personenbezogenen Daten nicht datenschutzkonform umgeht, seine Bestellpraxis eventuell ändert. Praxistipp: Anzuraten ist, mindestens zweimal im Jahr die Mitarbeiter zu datenschutzrechtlichen Probleme zu schulen. Dabei hat sich in der Praxis herausgestellt, dass die Schulungen abteilungsbezogen mit aktuellen Beispielen aus dem täglichen Betrieb für die Mitarbeiter und somit auch für den Datenschutz am nachhaltigsten sind. Auch bei aktuellen Bedrohungen sollten die Mitarbeiter auf die Gefahren aufmerksam gemacht werden. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt Warnungen zu aktuellen Bedrohungen heraus, wie diese aussehen und wie sich die Gefahr darstellt. Wenn diese Informationen für den Insolvenzverwalter oder die Kanzlei relevant sind, sind sie den Mitarbeitern asap zur Verfügung zu stellen.
Beispiel: Eine Zeitlang sind gefälschte Bewerbungen verschickt worden. Diese Bewerbungen enthielten einen unauffälligen Bewerbungstext, eine Bilddatei und einen weiteren Dateianhang. Dieser Dateianhang sah vor, dass nach Auswahl ein Programm installiert wurde, das den PC sperrte und nach der Bezahlung einer „Lösegeldforderung in Bitcoins“ die Freigabe in Aussicht stellte. Das BSI hatte bereits eine Warnung herausgegeben. Wird der Anhang der Mail versehentlich aktiviert, sollten die betreffenden PCs sofort vom Netzwerk getrennt werden. Es war zwingend angezeigt, die Mitarbeiter aus dem Bereich Personal und auch dem Empfangsbereich für diese Art der Eingänge zu sensibilisieren. Noch am selbigen Tag gingen E-Mails ein mit den genannten Inhalten. Die Mitarbeiter waren aufgrund der frühen Information vorgewarnt und reagierten entsprechend. Natürlich wurden in der Folgezeit auch Bewerbungen gemeldet, die willkommen waren, aber gleichzeitig zeigte sich, dass diese Vorgehensweise ihren Zweck nicht verfehlt hat. Und jedem Verantwortlichen bzw. jedem Datenschutzbeauftragten wird es wahrscheinlich lieber sein, Fehlmeldungen zu untersuchen, als einmal auf diesem Weg Bekanntschaft mit Kryptowährung zu machen bzw. das System neu aufzusetzen.
___________ 310) Wird als Oberbegriff für Schadsoftware genutzt, bezeichnet u. a. Viren, Würmer, Trojaner etc.
122
VI. Rechte Betroffener
VI. Rechte Betroffener Die Rechte der Betroffenen sind in der DSGVO im dritten Kapitel festge- 370 schrieben und werden im BDSG noch einmal in bestimmen Bereichen konkretisiert. In den Artt. 12 – 23 DSGVO sind die Rechte der Betroffenen normiert. Art. 12 DSGVO statuiert das Transparenzgebot für den Verantwortlichen bei der Unterrichtung der Betroffenen311) und regelt in den Abs. 2 – 6 die Verfahrensabläufe bei der Ausübung der Betroffenenrechte. Artt. 12 Abs. 1 DSGVO verpflichtet den Verantwortlichen, geeignete Maßnahmen zu treffen, um den Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form alle Informationen, die sich aus Artt. 13 und 14 DSGVO ergeben, und alle Mitteilungen, die zur Erfüllung der Anforderungen der Artt. 15 – 22, 34 DSGVO notwendig sind, zu übermitteln (Art. 12 Abs. 1 DSGVO). Exkurs:
371
Im Zusammenhang mit der Informationsverpflichtung eines Betroffenen muss sich eine Insolvenzkanzlei immer auch § 43 Abs. 1 und 2 BDSG vor Augen halten. Als Beispiel sollen wieder die Regelungen des § 30 BDSG zu Verbraucherkreditverträgen dienen. Wird ein Verbraucher entgegen § 30 Abs. 2 Satz 1 BDSG nicht richtig und vollumfänglich informiert, kann diese Ordnungswidrigkeit mit bis zu 50.000 € Bußgeld sanktioniert werden (§ 43 Abs. 1 Nr. 2 BDSG). Dies unabhängig von einer möglichen sonstigen Reaktion der Aufsichtsbehörde auf ein solches Versäumnis. Der Art. 12 Abs. 1 DSGVO ist als Generalklausel zur Transparenz der In- 372 formationen und Mitteilungen zu verstehen.312) Die Regelungen zu den Betroffenenrechten in den §§ 32 – 37 BDSG sehen gemäß der Konkretisierungsklausel in Art. 23 DSGVO punktuelle Beschränkungen der Rechte der Betroffenen vor.313) 1. Allgemeines Der Insolvenzverwalter hat die Rechte der Betroffenen auch außerhalb einer 373 Verfahrensabarbeitung zu beachten. Im Rahmen der internen Kanzleiabläufe ist es u. a. notwendig, dass Beratungsmandanten, ggf. Lieferanten, Dienstleister und sonstige Dritte, deren personenbezogenen Daten durch die Kanzlei verarbeitet werden, Informationen gemäß Art. 13 bzw. Art. 14 DSGVO durch den Insolvenzverwalter zuteilwerden. Des Weiteren ist der Insolvenzverwalter als Verantwortlicher gefordert, dem 374 Auskunftsersuchen eines Betroffenen nachzukommen und die entsprechenden Auskünfte zu erteilen, sofern eine Verpflichtung hierzu vorliegt. Denk___________ 311) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 12 DSGVO Rn. 1. 312) Plath-Kamlah, BDSG/DSGVO, Art. 12 DSGVO Rn. 1. 313) Greve, NVwZ 2017, 739.
123
E. Aus der Praxis – Datenschutz in der Kanzlei
bar wäre dies z. B. bei einem ehemaligen Mitarbeiter, der eine entsprechende Anfrage an die Kanzlei stellt. Die beschriebenen Verfahrensabläufe aus Art. 12 DSGVO sehen hierfür vor, dass die Beantwortung der Anfrage unverzüglich und vollständig erfolgen muss, in jedem Fall innerhalb eines Monats. 375 Wobei darauf verwiesen werden soll, dass ein Auskunftsrecht nicht unbeschränkt gilt und dieses Auskunftsrecht per se „lediglich“ besteht, um die Richtigkeit der Daten zu kontrollieren. Das LG Heidelberg hat dies in einem Fall der Geltendmachung eines Auskunftsanspruchs gegenüber einem Insolvenzverwalter klargestellt.314) Das Gericht vertrat die Meinung, dass ein Auskunftsanspruch eines Betroffenen gegenüber einem Insolvenzverwalter nicht besteht, wenn der Aufwand für die Erteilung der Auskunft unverhältnismäßig ist und der Auskunftsanspruch nur dem Selbstzweck des Betroffen dient. 376 Ein weiteres Recht des Betroffenen ist das Recht auf Berichtigung der Daten gemäß Art. 16 DSGVO, das dem Betroffenen die Möglichkeit gibt, eine Korrektur der innerhalb der Kanzlei vorliegenden Daten zu verlangen. Dies wäre möglicherweise der Fall, wenn ein Mitarbeiter heiratet und eine entsprechende Korrektur seines Namens verlangt. 377 Eins der stärksten Rechte des Betroffenen stellt das Recht auf Löschung oder auch Recht auf Vergessenwerden gemäß Art. 17 DSGVO dar, was bereits bei den Archivierungspflichten Gegenstand der Betrachtung war, einhergehend oder besser ergänzend durch das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Hier wäre ebenso an einen ehemaligen Mitarbeiter zu denken oder auch an einen unzufriedenen Mandanten, der sich auf dieses Recht beruft. Wobei nochmalig festzustellen ist, dass die Verpflichtung zur Löschung aufseiten des Insolvenzverwalters bzw. der Kanzlei als Verantwortlicher vorliegt, sobald der Zweck der Verarbeitung entfallen ist und keine Verpflichtungen mehr bestehen, die Daten aufzubewahren. 378 Diesen Rechten schließt sich die Pflicht des Verantwortlichen zur Mitteilung an alle Empfänger der personenbezogenen Daten an, wenn ein Betroffener sein Recht auf Berichtigung, Löschung oder Einschränkung einfordert (Art. 19 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Der Verantwortlich ist in diesen Fällen verpflichtet bei den Empfängern der Daten, die entsprechenden Rechte des Betroffenen und die Ausübung dieser den Empfängern mitzuteilen, um einen Korrektur oder ähnliches zu veranlassen. 379 Art. 22 DSGVO, der die Entscheidung aufgrund einer automatisierten Verarbeitung, einschließlich des Profilings regelt, hat für den Insolvenzverwalter bzw. die Kanzlei grundsätzlich keine einschneidende Bedeutung. 380 Auch Art. 23, der den Mitgliedstaaten durch die Nutzung der Konkretisierungsklausel die Möglichkeit gibt, die Rechte der Betroffenen, z. B. aufgrund ___________ 314) LG Heidelberg, Urt. v. 21.2.2020 – 4 O 6/19, GWR 2020, 254.
124
VI. Rechte Betroffener
der nationalen Sicherheit oder auch aus Gründen, die dem Schutz öffentlicher Interessen dienen, zu beschränken, hat aktuell keine aktiven Auswirkungen, stellt jedoch für den Gesetzgeber die Möglichkeit dar, bestimmt Rechte der Betroffenen für den Bereich des Insolvenzrechts zu beschränken. Zukünftig kann nur die Hoffnung bestehen, dass der Gesetzgeber von der Möglichkeit der Nutzung einer Konkretisierungsklausel, insbesondere für das Insolvenzrecht, mehr Gebrauch machen wird. 2. Informationsrechte des Betroffen bzw. Informationspflichten des Verantwortlichen Die Rechte der Betroffenen sind in der DSGVO noch weiter gewichtet wor- 381 den.315) Die Information des Betroffenen über die Verarbeitung seiner personenbezogenen Daten durch den Verantwortlichen ist Ausdruck des Transparenzgrundsatzes der DSGVO und findet ihren Ausdruck in den Informationspflichten gemäß Artt. 13, 14 DSGVO sowie im Rahmen einer Datenpanne im Art. 34 DSGVO. Dabei ist der Betroffene bei der ersten Verarbeitung, meist der ersten Erhebung der Daten, über eben diese Verarbeitung zu informieren und über seine Rechte aufzuklären. Ihm ist zu erläutern, welche Daten verarbeitet werden, zu welchem Zweck, durch wen, ob diese Daten Dritten zur Verfügung gestellt werden und innerhalb welchen Zeitraums bzw. wann eine Löschung erfolgt. Des Weiteren ist dem Betroffenen die Quelle der Daten bekannt zu geben, sofern die Erhebung nicht direkt bei ihm erfolgt. Die Erfüllung der Informationspflichten bildet dabei die Basis für den Be- 382 troffenen, seine Rechte, insbesondere die Rechte gemäß Artt. 15 ff. DSGVO, wahrzunehmen.316) Dieser kann seine Rechte auch nur effektiv wahrnehmen, wenn er Kenntnis von der Verarbeitung seiner personenbezogenen Daten hat. Für einen Insolvenzverwalter als Verantwortlichen bedeutet dies wie für jeden 383 anderen Verantwortlichen auch, dass unter Beachtung der möglichen Beschränkungen jeder Betroffene (z. B. Verfahrensbeteiligter, Lieferant, Mandant, Dienstleister, Bewerber, Mitarbeiter etc.) über die Verarbeitung seiner Daten informiert werden muss, wenn es sich bei den Daten um personenbezogene Daten handelt. a) Informationspflicht bei Direkterhebung Für einen Betroffenen kann es für die Ausübung seiner Rechte von Bedeutung 384 sein, dass er über die Verarbeitung und deren Zweck informiert wird. Auch zielt die Verpflichtung zur Informationserteilung, statuiert in Artt. 13, 14 DSGVO, auf eine faire und transparente Verarbeitung (Art. 13 Abs. 2 DSGVO) ab, und die Möglichkeit der Wahrnehmung seiner Rechte setzt voraus, dass der Betroffene über die jeweiligen Verarbeitungsvorgänge informiert wird (ErwGr. 60 ___________ 315) Arns, VIA 2018, 65. 316) DSK-Kurzpapier Nr. 10, S. 1.
125
E. Aus der Praxis – Datenschutz in der Kanzlei
DSGVO). Die Unterrichtungspflichten des Verantwortlichen, die sich aus den Artt. 13, 14 DSGVO ergeben, gehen weit über die Bestimmungen der §§ 4 Abs. 3, 33 BDSG a. F., die bis zum 24.5.2018 galten, hinaus.317) aa) Art und Weise der Informationserteilung 385 Der Insolvenzverwalter hat jeden Betroffenen, dessen personenbezogenen Daten er verarbeitet, über diese Verarbeitung per se bereits zum Zeitpunkt der Erhebung zu informieren (Art. 13 Abs. 1 DSGVO). Für die Art und Weise der Informationserteilung sieht die DSGVO vor, dass diese in verständlicher und leicht zugänglicher Form zu übermitteln sind (Art. 12 Abs. 1 DSGVO). Dabei kann die Information in schriftlicher oder anderer Form erfolgen, ggf. auch elektronisch (Art. 12 Abs. 1 Satz 2 DSGVO). Die DSK sieht in der Formulierung „leicht zugänglicher Form“ die Vorgabe, dass die Information in der konkreten Situation verfügbar sein muss318) und vertrat die Ansicht, dass ein sog. Medienbruch319) nicht zulässig ist. So würde ein Verweis auf eine Information im Internet bei einem Faxversand nicht die leicht zugängliche Form widerspiegeln, da diese Information zum Zeitpunkt des Eintreffens des Faxes nicht direkt verfügbar ist. Selbiges galt nach Einschätzung der DSK ebenso für eine Korrespondenz auf dem Postweg. Auch hier sei eine Linksetzung nicht statthaft, weil der Betroffenen in dem Moment der Brieföffnung nicht zwingend über einen entsprechenden Anschluss verfügt, um sich die Informationen im Internet ansehen zu können. In der Literatur wird ebenfalls zum Teil dieser Einschätzung gefolgt.320) 386 Die Gegenmeinung sieht sehr wohl die Möglichkeit des Medienbruchs und favorisiert u. a. eine Linklösung. Es wird angeführt, dass bestimmte Verarbeitungssituationen es von Hause aus nicht zulassen, einen mehrseitigen Abdruck der Informationen unmittelbar zur Verfügung zu stellen.321) Auch kann ein Übermaß an Informationen bei den Betroffenen zu einer Überforderung führen mit der Folge, dass wesentliche Informationen verloren gehen.322) Auch einzelne Aufsichtsbehörden sehen zumindest die Möglichkeit einer stufenweisen Informationserteilung.323) Des Weiteren spricht sich der ErwGr. 58 ___________ 317) Wybitul, BB 2016, 1079. 318) DSK-Kurzpapier Nr. 10, S. 3. 319) Medienbruch bezeichnet den Umstand, dass zwischen verschiedenen Medien gewechselt wird. Dies wäre der Fall, wenn eine Verarbeitung personenbezogener Daten schriftlich geschieht, die Informationspflichten aber durch Angabe eines Links auf einer Webseite erfolgt. 320) Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 12 DSGVO Rn. 26. 321) GDD-Praxishilfe, DS-GVO VII, S. 5. 322) GDD-Praxishilfe, DS-GVO VII, S. 5. 323) Die Landesbeauftragte für den Datenschutz Niedersachsen in Transparenzanforderungen und Hinweisbeschilderung bei einer Videoüberwachung durch nicht öffentliche Stellen, S. 1; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein in einer Information zur Datenschutz-Grundverordnung für selbstständige Heilberufler, S. 2.
126
VI. Rechte Betroffener
der DSGVO ebenso für eine Bereitstellung in elektronischer Form aus, dies aber mit dem eindeutigen Verweis, wann diese Informationen für die Öffentlichkeit bestimmt sind. Diese Argumente sind aus Sicht des Verantwortlichen zutreffend und ver- 387 ständlich, in ihrer Tiefe aber nicht plausibel. Wenn es einem Verantwortlichen nicht gelingt, die entsprechenden Informationen, die er gemäß Art. 13 DSGVO dem Betroffenen zur Verfügung stellen muss, im Rahmen des genutzten Mediums (z. B. Postkarte) umzusetzen, so hat er das Medium zu wechseln und z. B. einen Brief zu verwenden. Wirtschaftliche Gesichtspunkte des Verantwortlichen können nicht dazu führen, dass der Betroffene in seinen Rechten eingeschränkt wird. Im Hinblick auf die mögliche Überforderung des Betroffenen bleibt anzu- 388 merken, dass Inhalt und Umfang der Informationen auch bei einer Linksetzung dieselben sein müssen, als würden sie dem Betroffenen auf eine andere Art zur Verfügung gestellt. Wenn der Betroffene trotz einer klaren und verständlich gewählten Sprache mit den Informationen, die ihm im Rahmen der ersten Verarbeitung z. B. per Brief zuteilwird, überfordert ist, wird er diese Überforderung auch dann vernehmen, wenn ihm die Informationen ausschließlich per Linksetzung zur Verfügung gestellt würden. Am Inhalt der Information sollte sich nichts ändern. Demzufolge kann eine mögliche Überforderung kein Argument für einen Medienbruch sein. Der Meinung zur Unzulässigkeit eines uneingeschränkten Medienbruchs ist 389 beizupflichten und sollte im besten Fall nur in der entsprechend abgestuften Variante Anwendung finden. Auch wenn ein vollständiger Medienbruch eine mögliche Vereinfachung für den Verantwortlichen darstellt, weil dieser in jedem Schreiben z. B. auf die Angaben auf seiner Webseite verweisen kann und somit auch den Insolvenzverwalter bzw. die Kanzlei entlasten, überzeugen dennoch, zumindest zum Teil, die Argumente der ablehnenden Meinung. Insbesondere der Umstand, dass eine entsprechende Information bereits zum Zeitpunkt der erstmaligen Verarbeitung der Daten erfolgen muss, deutet auf das Nichtbestehen der Möglichkeit eines vollständigen Medienbruchs hin, da beim Erhalt eines postalischen Schreibens nicht zwangsläufig immer die zeitgleiche Möglichkeit besteht, das Internet zu bemühen und die entsprechenden Informationen abzurufen. In jedem Fall sollte – und das ist eine Mindestanforderung – ein ausdrücklicher und genauer Hinweis auf die Informationen erfolgen und wo diese zu finden sind. Folglich ist der Mittelweg in den Fällen einzuschlagen, in denen eine vollstän- 390 dige Informationserbringung schwer bzw. unmöglich ist. Außerdem sollte versucht werden, die Stufenlösung anzuwenden, bei der auf der ersten Stufe die besonders wichtigen Informationen erteilt werden (wer verarbeitet wofür und wie) und für die Informationen der zweiten Stufe auf ein anderes Medium verwiesen wird.
127
E. Aus der Praxis – Datenschutz in der Kanzlei
Beispiel: Als Beispiel sei der Mandant genannt, der im Rahmen des Abschlusses einer Mandatsvereinbarung im Büro des Insolvenzverwalters weilt. Diesem sind die Informationspflichten gemäß Art. 13 DSGVO zum Zeitpunkt der Verarbeitung zu erteilen. Dieser Zeitpunkt ist bereits in der Vorbereitung auf den Abschluss der Vereinbarung zu sehen. Dabei kann nicht sichergestellt werden, dass der Mandant – im Falle eines Hinweises auf die Internetseite des Insolvenzverwalters – auf eine entsprechende Information im Internet zu diesem Zeitpunkt selbstständig zugreifen kann. Somit wäre der leichte Zugang zu den Informationen, wie sie der Art. 12 Abs. 1 DSGVO vorsieht, nicht gegeben. Praxistipp: Aufgrund der rechtlichen Unsicherheiten und unter der Beachtung der drohenden Bußgelder (Art. 83 Abs. 5 lit. b) DSGVO) ist es ratsam, von einem vollständigen Medienbruch Abstand zu nehmen. Dies zumindest bis zu dem Zeitpunkt, an dem sich die Aufsichtsbehörden auf eine einheitliche Vorgehensweise geeinigt haben bzw. an dem die Rechtsprechung über die Art und Weise der Erteilung der Informationspflicht entschieden hat. Bis dahin sollten die selbigen Kommunikationswege genutzt werden, wie sie bei der Erhebung der Verarbeitung der personenbezogenen Daten Verwendung gefunden haben. Für eine Erhebung auf elektronischem Weg ist die Erteilung der Informationen auf diesem Weg natürlich möglich und gedeckt von der DSGVO. Bei der Nutzung des Postwegs sollten in eben diesem Schreiben die Informationen direkt enthalten sein, zumindest die Informationen der ersten Ebene.
bb) Inhalt der Informationspflichten 391 Der Verantwortliche hat die Informationen, wie sie in Art. 13 Abs. 1 DSGVO aufgezählt sind, dem Betroffenen mitzuteilen, wenn die personenbezogenen Daten direkt bei ihm erhoben werden. Auch bedarf es einer neuerlichen Information, wenn eine Verarbeitung zu einem anderen Zweck erfolgen soll, als dem ursprünglich bei der Erhebung bekannt gegebenen. 392 Dabei hat der Verantwortliche gegenüber dem Betroffenen anzugeben, wer Verantwortlicher der Verarbeitung ist und dessen Kontaktdaten, ggf. die Kontaktdaten des Datenschutzbeauftragten, was der Zweck der Verarbeitung ist sowie die Rechtsgrundlage für die Verarbeitung. Weiterhin bedarf es der Information, ob Auftragsverarbeiter in Anspruch genommen werden, es bedarf der Benennung der Empfänger bzw. der Kategorien von Empfängern der personenbezogenen Daten, der beabsichtigten Übermittlung der Daten an ein Drittland und des Vorhandenseins oder Fehlens eines Angemessenheitsbeschlusses der Kommission bzw. eines Verweises auf die Geeignetheit oder Angemessenheit von Garantien. Auch muss ein Hinweis erfolgen, worin die berechtigten Interessen des Verantwortlichen oder eines Dritten liegen, sofern die Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stattfindet (Art. 13 Abs. 1 lit. a DSGVO).
128
VI. Rechte Betroffener
Des Weiteren müssen die Informationen, wie sie in Art. 13 Abs. 2 DSGVO 393 aufgezählt sind, mitgeteilt werden, wenn diese für eine faire und transparente Verarbeitung notwendig sind. Zwar verwendet die deutsche Übersetzung der DSGVO in Art. 13 Abs. 2 DSGVO den Begriff „zur Verfügung stellen“, in Abweichung zu dem in Art. 13 Abs. 1 DSGVO verwendeten Begriff „mitzuteilen“, dies hat aber keine Relevanz. Die Abweichung ist vielmehr Ausdruck eines Übersetzungsfehlers, sie hat keine Bedeutung.324) In der englischen Fassung der DSGVO wird jeweils „provide“ genutzt. Zu den zusätzlichen Informationen zählen die Angabe über die Dauer der 394 Speicherung bzw. die Kriterien für die Festlegung der Dauer und der Hinweis auf bestehende Rechte des Betroffenen. Sofern die Verarbeitung auf Grundlage einer Einwilligung basiert und der Hinweis auf das bestehende Widerrufsrecht für die Einwilligung. Weiterhin sind Angaben notwendig zum Beschwerderecht bei der Aufsichtsbehörde, zur Aufklärung, ob die Bereitstellung der personenbezogenen Daten durch den Betroffenen gesetzlich oder vertraglich vorgeschrieben ist, über die möglichen Folgen bei einer Nichtbereitstellung der Daten sowie bezüglich des Bestehen einer automatisierten Entscheidungsfindung einschließlich des Profilings (Art. 13 Abs. 2 DSGVO). Warum insbesondere diese Punkte für eine Gewährleistung einer fairen und 395 transparenten Verarbeitung notwendig sein sollen, ist nicht einleuchtend. Im Hinblick auf die Rechtsbelehrungspflichten in Art. 13 Abs. 2 lit. b), c) und d) DSGVO ist dies besonders fraglich. Diese Rechte sind in der DSGVO normiert. Warum also eine gesonderte Information über das Bestehen dieser Rechte für eine faire und transparente Verarbeitung erforderlich sein soll, erschließt sich nicht.325) Verständlich wäre es nur, wenn die Belehrung über die Rechte nicht kumulativ erfolgen soll ohne Bezug zur individuellen Datenverarbeitung,326) wie es der missverständliche Wortlaut vorsieht. Ein Sinn und somit eine Notwendigkeit kann nur dann gesehen werden, wenn 396 eine Information nur in Bezug auf die tatsächlich bestehenden Rechte für den Betroffenen in Betracht kommt.327) cc) Information bei Weiterverarbeitung zu einem anderen Zweck Eine erneute Information hat durch den Verantwortlichen zu erfolgen, wenn 397 dieser eine Verarbeitung der personenbezogenen Daten zu einem anderen als dem Zweck vornehmen will, für den die Daten ursprünglich erhoben wurden. Diese Mitteilung muss vor der geplanten Verarbeitung zu dem neuen Zweck stattfinden und gemäß Art. 13 Abs. 3 DSGVO alle maßgeblichen In___________ 324) 325) 326) 327)
Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 13 DSGVO Rn. 21. Plath-Kamlah, BDSG/DSGVO, Art. 13 Rn. 16. Ehmann/Selmayr-Knyrim, DS-GVO, Art. 13 Rn. 44 f. Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 13 DSGVO Rn. 37.
129
E. Aus der Praxis – Datenschutz in der Kanzlei
formationen beinhalten, wie sie für eine Gewährleistung einer fairen und transparenten Verarbeitung (Abs. 2) notwendig sind. 398 Mit dieser Vorschrift wird die zulässige Zweckänderung gemäß Art. 6 Abs. 4 DSGVO nochmalig verschärft, indem diesem eine weitere Hürde auferlegt wird, nämlich über die bevorstehende Weiterverarbeitung vorab zu informieren. Dies erinnert stark an die von dem BayLDA entworfene Widerspruchslösung328) bei der Übertragung von Kundendaten. Diese Vorgehensweise dürfte die Praxis vor erhebliche Probleme stellen.329) dd) Ausnahmen von der Informationspflicht 399 Eine Ausnahme von der Informationspflicht sieht der Art. 13 Abs. 4 DSGVO vor für den Fall, dass der Betroffene bereits über die Informationen verfügt. Ausgangspunkt ist die positive Kenntnis des Betroffenen, nicht ausreichend ist der Umstand, dass der Betroffene mit dem Inhalt der Informationen hätte rechnen müssen.330) 400 Der ErwGr. 62 der DSGVO geht erheblich über den Wortlaut des Art. 13 Abs. 4 DSGVO hinaus331) und beschreibt zusätzlich Ausschlusstatbestände in den Fällen, in denen die Speicherung oder Offenlegung der personenbezogenen Daten durch Rechtsvorschriften geregelt ist bzw. die Informationsgewährung gegenüber dem Betroffenen sich als unmöglich erweist oder nur mit unverhältnismäßigen hohem Aufwand verbunden ist. 401 Der hohe Aufwand wird gemäß ErwGr. 62 Satz 2 DSGVO insbesondere bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, bei wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken gesehen. Dabei soll die Zahl der Betroffenen und das Alter der Daten Anhaltspunkte liefern. 402 Die dort beschriebenen Ausschlusstatbestände stellen die Ausnahmen von den Informationspflichten gemäß Art. 14 Abs. 5 DSGVO da. Demzufolge spricht es dafür, dass der ErwGr. 62 der DSGVO nur auf den Art. 14 DSGVO Bezug nimmt.332) Dies ist dem Selbigen allerdings nicht zu entnehmen, sodass zumindest eine Anwendung auch auf den Art. 13 DSGVO in Erwägung zu ziehen ist. 403 Weitere Ausnahmen ergeben sich aus dem § 29 Abs. 2 BDSG hinsichtlich Daten, die im Rahmen eines Mandantenverhältnisses an einen Berufsgeheim___________ 328) BayLDA, Kundendaten beim Unternehmenskauf – ein Datenschutzproblem, Pressemitteilung v. 30.7.2015, https://www.lda.bayern.de/media/pm2015_10.pdf (Stand: 17.8.2020). 329) Plath-Kamlah, BDSG/DSGVO, Art. 13 DSGVO Rn. 30; i. E. auch Woltersdorf, INDat Report 02/2018, 13. 330) Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 13 DSGVO Rn. 31, 84 f. 331) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 13 DSGVO Rn. 35. 332) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 13 DSGVO Rn. 35.
130
VI. Rechte Betroffener
nisträger übermittelt werden. Diese Ausnahme unterliegt einer Interessenabwägung in Bezug auf die Interessen des Betroffenen an einer Informationserteilung. Des Weiteren finden sich Ausnahmen in § 32 BDSG. Praxistipp: Auch für den Inhalt der Mitteilung bezüglich der Erfüllung der Informationspflichten sollte der Insolvenzverwalter bzw. die Kanzlei bemüht sein, diese Informationen vollständig zu erteilen und so besagten Unsicherheiten aus dem Wege gehen. Des Weiteren ist anzuraten bestenfalls den selbigen Kommunikationsweg zu nutzen, wie dieser auch für die Erhebung der personenbezogenen Daten verwendet wurde. Im Zweifel gilt hier: Eine Information zu viel schadet i. d. R. nicht. Eine zu wenig kann mit einem Bußgeld im Rahmen des Art. 83 Abs. 5 lit. b) DSGVO geahndet werden.
b) Informationspflicht bei Erhebung bei einem Dritten Werden die personenbezogenen Daten des Betroffenen bei einem Dritten 404 erhoben so ist der Art. 14 DSGVO einschlägig in Bezug auf die Informationspflichten des Verantwortlichen. Die zu erteilenden Auskünfte und Informationen decken sich weitgehend mit den Informationen, wie sie auch bei der Direkterhebung erteilt werden müssen. Eine Unterscheidung wird in Art. 14 Abs. 1 lit. d) DSGVO vorgenommen, die besagt, dass der Verantwortliche dem Betroffenen mitzuteilen hat, welche Kategorien von personenbezogenen Daten verarbeitet werden. aa) Kategorien personenbezogener Daten Zum Teil wird vertreten, dass die Kategorien der personenbezogenen Daten 405 so präzise und detailliert wie möglich anzugeben sind, damit der Betroffene eine Risikoabschätzung der Verarbeitung vornehmen kann.333) Die Gegenmeinung sieht es als ausreichend an, Oberbegriffe für die Kategorien zu verwenden, wie z. B. Adressdaten, Vertragsdaten, Zahlungsdaten etc.334) Letzterem ist beizupflichten. Der Begriff „Kategorie“ bezeichnet sprachge- 406 bräuchlich eine Einteilung in eine Gruppe, in die jemand oder etwas eingeordnet wird.335) Somit nutzt die DSGVO diesen Begriff als Möglichkeit, eine Einteilung der vorhanden personenbezogenen Daten in Gruppen oder auch Oberbegriffe vorzunehmen. Dieser Begriff findet auch Anwendung in Bezug auf die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gemäß ___________ 333) Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 14 DSGVO Rn. 17; DSK-Kurzpapier Nr. 10, S. 2. 334) Vgl. Plath-Kamlah, BDSG/DSGVO Art. 14 DSGVO Rn. 3. 335) „Kategorie“, Duden online, https://www.duden.de/node/652134/revisions/1884900/ view (Stand: 17.8.2020).
131
E. Aus der Praxis – Datenschutz in der Kanzlei
Art. 30 DSGVO und wird dort so verstanden, dass Gruppen und Klassen von Daten als Oberbegriffe Verwendung finden können. Beispiel: Die Daten der Mitarbeiter werden in die Kategorie Personaldaten gefasst oder bei wirtschaftlichen Beziehungen ist von Kundendaten als Kategorie die Rede. 407 Eine präzise Unterteilung, um welche Daten es sich im Einzelnen handelt muss nicht erfolgen und würde auch die Übersichtlichkeit stören. Nach der Ansicht der Autoren genügt es, wenn die personenbezogenen Daten, wie es auch das Gesetzt beschreibt, in Kategorien eingeteilt werden und nicht auf jedes einzelne Datum heruntergebrochen werden. bb) Benennung der Quelle 408 Zu den zusätzlichen Informationen gemäß Art. 14 DSGVO gehört auch die Mitteilung, aus welcher Quelle die erhobenen Daten stammen. Dies ist folgerichtig im Hinblick auf eine faire und transparente Verarbeitung. Dem Betroffenen soll die Herkunft der Daten bewusst sein und ihm soll ebenso die Möglichkeit gegeben werden, feststellen zu können, ob die Quelle eine rechtmäßige Quelle darstellt. Stellt der Betroffene fest, dass die Daten von der Quelle unrechtmäßig verarbeitet wurden, kann er genau bei dieser Quelle seine Ansprüche geltend machen. cc) Art und Weise der Informationserteilung 409 Auch hinsichtlich der Form sowie der Art und Weise der Informationserteilung ist auf die Ausführungen zum Art. 13 DSGVO zu verweisen. Allerdings bestimmt Art. 14 Abs. 3 DSGVO den Zeitpunkt, wann der Verantwortliche die Informationspflicht zu erteilen hat folgerichtig abweichend zu Art. 13 DSGVO. Grundsätzlich hat der Verantwortliche den Betroffenen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten zu unterrichten. Dies unter Beachtung der spezifischen Umstände und maximal innerhalb eines Monats (Art. 14 Abs. 3 lit. a) DSGVO). Des Weiteren wird der Zeitpunkt der Information in Art. 14 Abs. 3 lit. b) und c) DSGVO konkretisiert. Diese stellen auf eine Informationserteilung an den Betroffenen ab spätestens zum Zeitpunkt der ersten Mitteilung an diesen bzw. bei der Offenlegung der Daten gegenüber einem anderen Empfänger, spätestens zum Zeitpunkt der Offenlegung. dd) Information bei Weiterverarbeitung zu einem anderen Zweck 410 Erfolgt die Weiterverarbeitung, wie auch in Art. 13 DSGVO vorgesehen, zu einem anderen als dem ursprünglichen Zweck, zu dem die Daten erhoben wurden, und liegt eine rechtmäßige Zweckänderung vor, ist auch bei der Erhebung der Daten bei einem Dritten, der Betroffene erneut zu informieren. Grundsätzlich folgt dies dem Gedanken, dass der Betroffene jederzeit von 132
VI. Rechte Betroffener
der Verarbeitung und davon, zu welchem Zweck diese erfolgt, in Kenntnis gesetzt ist. Diese Mitteilung muss ebenso vor der Weiterverarbeitung der Daten erfolgen (Art. 14 Abs. 4 DSGVO). ee) Ausnahmen von der Informationspflicht Informationspflichten nach Art. 14 Abs. 1 – 4 DSGVO bestehen nicht bei den 411 in Art. 14 Abs. 5 DSGVO angeführten Sachverhalten. Gemäß Art. 14 Abs. 5 lit. a) DSGVO besteht eine entsprechende Informationspflicht des Verantwortlichen nicht, sofern der Betroffene bereits über die Information verfügt. Diese Ausnahme kann auch bei Sachverhalten vorliegen, die dem Art. 13 DSGVO zuzuordnen sind. Den Verantwortlichen trifft die Beweislast, dass sich bei Abwägung der Um- 412 stände eine Ausnahme von der Informationspflicht ergibt. Hier bedarf es wieder einer umfangreichen Dokumentation. Weiterführend in Art. 14 Abs. 5 lit. b) DSGVO wird auf die Unmöglichkeit 413 einer Informationserteilung bzw. einen damit verbundenen unverhältnismäßigen Aufwand Bezug genommen. Liegen diese Umstände und Voraussetzungen vor, finden die Regelungen des Art. 14 Abs. 1 – 4 DSGVO keine Anwendung. Bei der Auslegung ist der ErwGr. 62 der DSGVO heranzuziehen und die dort genannte, nicht abschließende Aufzählung von Sachverhalten, für die ein unverhältnismäßiger Aufwand einzukalkulieren ist.336) Dies insbesondere dann, wenn die Informationserteilung dazu führen kann, dass die Ziele der Verarbeitung nicht verwirklicht werden können oder ernsthaft beeinträchtigt sind.337) Beruht die Ausnahme auf dem Umstand, dass die Erlangung oder Offenle- 414 gung der Daten durch Rechtsvorschriften, denen der Verantwortliche unterliegt, geregelt ist und hat der Verantwortliche geeignete Maßnahmen zum Schutz der personenbezogenen Daten getroffen, so bedarf es auch keiner Information des Betroffenen (Art. 14 Abs. 5 lit. c) DSGVO). Diese Regelung eröffnet die Möglichkeit der Nutzung einer weiteren Konkretisierungsklausel. Beispiel: Die vorgenannte Ausnahme wäre u. a. dann anzunehmen, wenn ein Notar personenbezogene Daten eines Dritten aufgrund der Angabe in einem Testament verarbeitet. In diesem Fall bedarf es keiner Information des Dritten, da die Verpflichtung, die Angaben zu verarbeiten, im Beurkundungsgesetz (BeurkG) gesetzlich normiert ist Eine weitere Ausnahme bildet der Umstand, dass der Verantwortliche einem 415 Berufsgeheimnis gemäß einer Berufssatzung unterliegt. Auch hier ist den ___________ 336) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 40. 337) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 40.
133
E. Aus der Praxis – Datenschutz in der Kanzlei
Mitgliedstaaten die Möglichkeit eröffnet worden, konkretisierend einzugreifen, was zum Teil auch genutzt wurde (siehe § 29 BDSG). Unter satzungsmäßigen Geheimhaltungspflichten sind nur berufsständische Satzungen, nicht hingegen gesellschaftsrechtliche Geheimhaltungspflichten zu verstehen.338) Dazu zählen u. a. Rechtsanwälte, Steuerberater, Ärzte, Notare und Wirtschaftsprüfer, die aufgrund ihrer berufsständischen Satzung einer Geheimhaltung in den jeweiligen Bereichen unterliegen. Der VID (Verband Insolvenzverwalter Deutschlands e. V.) befürworte eine Berufsordnung für Insolvenzverwalter und Sachwalter, wie es auch bereits im Koalitionsvertrag vom 12.3.2018 in Teilen vorgesehen ist.339) Eine Einführung einer Berufsordnung für Insolvenzverwalter mit einer entsprechenden Geheimhaltungspflicht würde dafür Sorge tragen, dass auch Insolvenzverwalter unter etwaige Ausnahmen fallen. Praxistipp: Sofern der Insolvenzverwalter personenbezogene Daten in seinen internen Arbeitsabläufen verarbeitet, sind die Betroffenen, abhängig von der Erhebung, entsprechend zu informieren. Natürlich gibt es Unterschiede hinsichtlich des Inhalts der Informationspflichten, nichtsdestotrotz sollten interne Abläufe und Muster so gesteuert werden, dass die Belastung des Insolvenzverwalters und der Mitarbeiter so gering wie möglich ausfällt. Ratsam ist es, mindestens zwei Musterschreiben (oder auch mehr) zu entwerfen und diese Musterschreiben in den Prozess Postausgang mit einfließen zu lassen. Diese Musterschreiben können nach der Art der Erhebung eingeteilt werden oder auch nach Kategorien der Betroffenen.
c) Informationspflicht bei einer Datenpanne 416 Nicht unter das Kapitel Rechte der Betroffenen in der DSGVO gefasst sind die Meldungen von Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) gemäß Artt. 33340), 34 DSGVO. Dennoch kann man diese, zumindest entfernt, zu den Rechten der Betroffenen zählen. Die vorrangige Pflicht des Verantwortlichen bei einer Datenpanne ist es zwar, unter den nachfolgend dargestellten Voraussetzungen die Aufsichtsbehörde zu informieren (Art. 33 DSGVO), allerdings kann sich dieser Informationspflicht auch eine Verpflichtung zur Information des Betroffenen (Art. 34 DSGVO) anschließen. 417 Ziel dieser Vorschriften ist es, die Gefahren für die Betroffenen bei einer Verletzung341) des Schutzes der personenbezogenen Daten zu minimieren und diese vor Schäden physischer, materieller oder immaterieller Art zu bewahren. Daher ist der Verantwortliche gehalten, innerhalb der vorgesehenen ___________ 338) Plath-Kamlah, BDSG/DSGVO, Art. 14 DSGVO Rn. 20. 339) Koalitionsvertrag v. 12.3.2018, Zeile 6.195. 340) Muster nebst Anmerkung einer solchen Meldung siehe z. B. bei Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 222 ff. 341) Siehe hierzu die Legaldefinition in Art 4 Nr. 12 DSGVO.
134
VI. Rechte Betroffener
Frist, die Aufsichtsbehörde zu informieren sowie bei dem Hinzutreten weiterer Voraussetzungen den Betroffenen zu informieren. aa) Pflicht zur Meldung gegenüber der Aufsichtsbehörde Stellt der Insolvenzverwalter fest oder wird ihm mitgeteilt, dass es zu einer 418 Verletzung des Schutzes der personenbezogenen Daten gekommen ist, besteht für ihn als Verantwortlicher grundsätzlich die Verpflichtung, die Aufsichtsbehörde zu informieren und diesen Vorfall zu melden. Bei dem Einsatz eines Auftragsverarbeiters trifft diesen eine solche Meldepflicht im Rahmen seines Auftrags nicht, aber er ist (oder sollte) vertraglich zur Unterstützung des Insolvenzverwalters und zur unverzüglichen Meldung an den Verantwortlichen nach Kenntnis einer Verletzung des Schutzes verpflichtet (sein). Neu in der DSGVO ist, dass keine Unterscheidung hinsichtlich der Datenkategorien vorgenommen wird. Der § 42a BDSG a. F. sah eine Pflicht zur Information gegenüber den Betroffenen und der Aufsichtsbehörde vor für eine Datenpanne beim Umgang mit besonderen Arten personenbezogener Daten, bei personenbezogenen Daten, die einem Berufsgeheimnis unterliegen, bei personenbezogenen Daten aus strafbaren Handlungen sowie bei personenbezogenen Daten zu Bank- und Kreditkartenkonten. Eine solche Einschränkung ist der DSGVO an sich nicht mehr zu entnehmen. Fachspezifische Verwertungsverbote aufgrund von Meldungen nach Artt. 33 f. DSGVO ergeben sich jedoch aus § 384a AO bzw. § 85 f. SGB X – und letztlich § 97 Abs. 3 InsO.342) (1) Datenschutzverletzung – Datenpanne Wann eine Verletzung des Schutzes (folgend: Datenpanne) vorliegt, wird in 419 Art. 4 Nr. 12 DSGVO legaldefiniert und ist als Verletzung der Sicherheit bezeichnet, die zu einer Vernichtung, zu einem Verlust oder zu einer Veränderung personenbezogener Daten führt, gleich ob unbeabsichtigt oder unrechtmäßig.343) Des Weiteren ist eine Datenpanne dann anzunehmen, wenn die Verletzung zu einer unbefugten Offenlegung bzw. zu einen unbefugten Zugang von personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO). Völlig unerheblich ist, ob die Folgen herbeigeführt werden sollten oder auch ob dem Verantwortlichen ein Verschulden trifft.344) Auch inwieweit der Insolvenzverwalter als Verantwortlicher in diesem Vorfall 420 eine meldepflichtige Verletzung bzw. Datenpanne sieht oder nicht, ist unerheblich. Grundsätzlich gilt jeder Vorgang als Datenpanne, bei dem der Schutz der Daten oder die TOM unbeabsichtigt oder unrechtmäßig kompromittiert wurden und es trotz dieser Maßnahmen zu einem der genannten Ereignisse ___________ 342) Dazu ausführlich Taeger, RDV 01/2020, 3. 343) Artikel-29-Datenschutzgruppe, WP250rev.01, S. 7. 344) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 14 DSGVO Rn. 40; zu Auslegungsfragen auch Taeger, RDV 01/2020, 4 ff.
135
E. Aus der Praxis – Datenschutz in der Kanzlei
gekommen ist.345) Ebenso ist das Fehlverhalten des Auftragsverarbeiters dem Verantwortlichen zuzurechnen und muss vom Verantwortlichen der Aufsichtsbehörde gemeldet werden. Der Auftragsverarbeiter selbst, hat den Verantwortlichen unverzüglich über eine Datenpanne zu informieren. 421 Um eine einheitliche Überprüfung einer Datenpanne sicherzustellen und die gleichlaufende Anwendung der Verordnung zu erreichen, ist der Datenschutzausschuss gemäß Art. 70 Abs. 1 lit. d) DSGVO gehalten, Leitlinien, Empfehlungen und bewährte Verfahren zur Feststellung einer Datenpanne bereitzustellen. Dieser Aufforderung ist der Datenschutzausschuss, der das Nachfolgegremium der Artikel-29-Datenschutzgruppe darstellt, nur bedingt gefolgt, indem dieser die bis dato entworfenen Leitlinien der Artikel-29-Datenschutzgruppe bestätigt hat. Hierzu zählt auch die Leitlinie für die Meldung von Verletzungen des Schutzes personenbezogener Daten (WP 250 rev.01). 422 Eine Datenpanne kann vielfältig auftreten. Es kann zu einer Datenpanne aufgrund eines technischen Versagens kommen, z. B. bei Ausfall oder versehentlicher Deaktivierung des Sicherheitssystems und dadurch erfolgtem unberechtigtem Zugriff. Außerdem kann das Versagen von organisatorischen Maßnahmen, z. B. bei Verlust eines Datenträgers, dem Zerstören von Servern durch Wassereinbruch oder einem Datenverlust durch eine Verschlüsselung, deren Entschlüsselungsmethode nicht bekannt ist, zu einer Datenpanne führen. Nicht zuletzt ist auch in dem Versenden einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger eine Datenpanne zu sehen. Auch die entworfenen Leitlinien zählen zusätzlich viele Beispiele einer Datenpanne auf.346) Selbst ein vom Sekretariat der Insolvenzkanzlei versehentlich an eine falsche Nummer gesendetes Fax stellt eine Datenpanne dar! (2) Meldefrist und Form der Meldung 423 Der Verantwortliche hat eine Datenpanne unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Datenpanne der zuständigen Aufsichtsbehörde zu melden, wenn seine Risikoeinschätzung ein entsprechendes Ergebnis hervorbringt. Die Meldefrist beginnt gemäß dem Rechtsgrundsatz „ignoranti non currit tempus“ zu dem Zeitpunkt, da die Datenpanne dem Verantwortlichen bekannt wurde.347) Hinsichtlich der Kenntnis ist eine solche auch von den ergriffenen Maßnahmen im Rahmen der TOM abhängig. Eine späte Kenntnisnahme einer Datenpanne lässt, je nach Art der Datenpanne, Rückschlüsse auf unzureichende Maßnahmen zum Schutz der Daten zu. Gegebenenfalls besteht ein Verstoß gegen die Sorgfaltspflichten des Verantwortlichen hinsichtlich der Fähigkeit, sicherheitsrelevante Ereignisse zu ___________ 345) Plath-Schreiber, BDSG/DSGVO, Art. 4 DSGVO Rn. 40. 346) Artikel-29-Datenschutzgruppe, WP250rev.01. 347) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 32.
136
VI. Rechte Betroffener
erkennen.348) Dies wiederum kann die Aufsichtsbehörde zusätzlich auf den Plan rufen und einen bußgeldbewehrten Verstoß darstellen. Ein Ausnutzen des Zeithorizonts von 72 Stunden könnte ebenso einen Ver- 424 stoß beinhalten, wenn die Meldung nicht unverzüglich erfolgt ist. Diese Frist sollte nur beansprucht werden, wenn noch Aufklärungsarbeit in Bezug auf die Datenpanne notwendig wird, um die Meldung gegenüber der Aufsichtsbehörde vollständig und umfänglich zu gestalten. Sollte eine vollständige Meldung nicht innerhalb der Frist von 72 Stunden möglich sein, so ist die Meldung gemäß Art. 33 Abs. 4 DSGVO schrittweise vorzunehmen ohne eine unangemessene weitere Verzögerung. Auch ist der Verantwortliche im Rahmen seiner Rechenschaftspflicht gehalten, eine Begründung einzureichen, warum ihm eine Meldung innerhalb der gesetzlichen Frist nicht möglich war. Hinsichtlich der Form der Meldung sieht das Gesetz nichts vor. Es ist keine 425 ausdrückliche Form vorgeschrieben, sodass entsprechend eine Meldung auch mündlich erfolgen kann. In der Praxis halten die zuständigen Behörden jedoch Online-Formulare zur Verwendung vor. In der Formulierung „… ist ihr eine Begründung für die Verzögerung beizufügen“ werden Anhaltspunkte vermutet, dass der Normgeber zumindest von einer Textform ausgegangen ist. Allein aus der Sicht der Nachweisbarkeit ist dem Verantwortlichen indes nahezulegen, diese Meldungen schriftlich abzufassen.349) Meldungen per E-Mail sollten verschlüsselt werden, zumindest wenn diese ebenso personenbezogene Daten enthalten. (3) Inhalt der Meldung Anders als bei der Form der Meldung sieht das Gesetz für den Inhalt der Mel- 426 dung genaue Angaben vor. So sind in Art. 33 Abs. 3 DSGVO Mindestangaben aufgezählt, die eine entsprechende Meldung enthalten müssen. Somit schreibt das Gesetz die Pflichtangaben, die Inhalt einer solchen Meldung sein müssen, für den Verantwortlichen vor, sie schränken ihn aber nicht ein, weitere Angaben und Informationen mitzuteilen, insbesondere wenn diese erforderlich sind, den Sachverhalt zu beurteilen und ggf. weitere Datenpannen dieser Art zu verhindern.350) Folgende Pflichtangaben sind innerhalb der Meldung vorzunehmen: x
427
Beschreibung der Art der Verletzung (Abs. 3 lit. a), soweit möglich mit Angabe zu den Kategorien und der ungefähren Anzahl der Betroffenen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze.
___________ 348) Plath-Grages, BDSG/DSGVO, Art. 33 DSGVO Rn. 3. 349) Dazu insgesamt auch Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 30; Plath-Grages BDSG/DSGVO, Art. 33 DSGVO Rn. 5; Taeger, RDV 01/2020, 6 f. 350) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 44.
137
E. Aus der Praxis – Datenschutz in der Kanzlei
x
Name und Kontaktdaten des Datenschutzbeauftragten (Abs. 3 lit. b).
x
Beschreibung der wahrscheinlichen Folgen der Verletzung (Abs. 3 lit. c).
x
Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und ggf. Maßnahmen zur Abmilderung der nachteiligen Auswirkungen (Abs. 3 lit. d).
(4) Ausnahme aufgrund der Risikoabwägung 428 Eine Meldepflicht besteht hingegen nicht, wenn die Datenpanne voraussichtlich nur zu einem geringen Risiko (die DSGVO spricht indes in Art. 38 Abs. 1 Satz 1 von „… es sei denn, dass die Verletzung… voraussichtlich nicht zu einem Risiko führt…“ – also letztlich von keinem Risiko) für die Rechte und Freiheiten natürlicher Personen führt. Zur inkonsequenten Handhabung des Risikobegriffs wird auf die Ausführungen zum Risikobegriff verwiesen.351) 429 Die Risikoabwägung oder -analyse hat alle möglichen Schäden für den Betroffenen einzuschließen (physische, materielle, immaterielle) und den Umstand des Verlusts der Kontrolle über die Daten (ErwGr. 85 DSGVO) besonders zu würdigen. Das Gefahrenpotential – insbesondere wenn die Daten Dritten in die Hände gefallen sind – wird u. a. in der Diskriminierung, dem Identitätsdiebstahl oder -betrug, in finanziellen Verlusten, der unbefugten Aufhebung der Pseudonymisierung, Rufschädigung, im Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten und in anderen wirtschaftlichen und gesellschaftlichen Nachteilen für den Betroffenen gesehen (ErwGr. 85 Satz 1 DSGVO). Auch die Art, der Umfang und die Umstände der zugrunde liegenden Verarbeitung sind in die Bewertung des Risikos miteinzubeziehen.352) 430 Es bedarf einer Prognose des Verantwortlichen, dass die Datenpanne „voraussichtlich“ nur zu einem geringen Risiko aufseiten des Betroffenen führt. Dabei geht der Verantwortliche das Wagnis ein, dass die Aufsichtsbehörde bei einer Untersuchung des Vorfalls zu einer anderen Einschätzung gelangt. Daher sollte der Verantwortliche bestrebt sein, alle Umstände bestmöglich zu berücksichtigen und alles ausführlich dokumentieren. Entscheidend wird es sein, dass die Erwägungen und Prognoseentscheidungen überprüfbar sind und die Entscheidung des Verantwortlichen unter Beachtung einer methodisch nachvollziehbaren Analyse des zum Zeitpunkt der Prognose verfügbaren Wissens353) erfolgt ist. 431 Kommt der Verantwortliche im Rahmen der Risikoanalyse und der Prognose zum Schluss, dass nur ein geringes Risiko für die Rechte und Freiheiten der ___________ 351) Dazu ausführlich Taeger, RDV 01/2020, 4 ff. 352) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 23; Taeger, RDV 01/2020, 4 ff. 353) Paal/Pauly-Martini, DS-GVO, Art. 33 DSGVO Rn. 26.
138
VI. Rechte Betroffener
natürlichen Person besteht, so entfällt die Meldepflicht gegenüber der Behörde. bb) Dokumentation Der Grundsatz der Rechenschaftspflicht findet auch in Art. 33 Abs. 5 DSGVO 432 seinen Niederschlag. Dem Verantwortlichen wird nicht nur eine Meldepflicht auferlegt, sondern ihn trifft auch eine Dokumentationspflicht der Vorgänge gemäß Art. 33 Abs. 5 DSGVO. Er ist verpflichtet, jede Datenpanne zu dokumentieren, unabhängig von dem Ergebnis der Risikoabwägung und Prognoseentscheidung. Der Verantwortliche ist gehalten, sowohl den Vorgang und die Datenpanne selbst zu dokumentieren als auch alle Fakten, die mit der Datenpanne im Zusammenhang stehen, sowie seine Überlegungen bezüglich der Risikoabwägung und Prognoseentscheidung. Zusätzlich müssen Maßnahmen nachgewiesen werden, die durch den Verantwortlichen ergriffen wurden, um zukünftig derartige Datenpannen zu verhindern. Die „ergriffenen Abhilfemaßnahmen“ muss der Verantwortliche nach dem Willen des Gesetzgebers sowohl in ihrer Breite als auch in ihrer Tiefe umfassend darstellen.354) Kommt er hingegen zu dem Schluss, dass keine Datenpanne, also keine Ver- 433 letzung des Schutzes personenbezogener Daten vorliegt, bedarf dies auch keiner Dokumentation, da Abs. 5 bezüglich der Dokumentationspflichten auf die Verletzung abzielt.355) Diese Aufzeichnungen und Dokumentationen dienen einem späteren Nach- 434 weis gegenüber der Aufsichtsbehörde, sofern die Aufsichtsbehörde die einzelnen Vorgänge und Überlegungen zu den entstanden Datenpannen überprüft. Ein Prozess zur Prüfung und Dokumentation einer Datenpanne sollte ebenso Bestandteil des Datenschutzmanagements sein (ausführlich siehe Rn. 306 ff.). Die Aufsichtsbehörden haben zum Teil Onlineformulare zum Melden einer 435 Datenpanne bereitgestellt. Wie oben bereits erwähnt kommen Unternehmen und Verantwortliche, auch mit Blick auf den hohen Bußgeldrahmen, bei ihrer Einschätzung aktuell häufig zu dem Schluss, dass eine Meldung an die Aufsichtsbehörde erfolgen muss. Dies ist zum einen verbunden mit der Unsicherheit in Bezug auf die Auslegung der Vorschriften, aber auch aufgrund der fehlenden (einheitlichen) Hinweise der Aufsichtsbehörden. Nach Mitteilungen der Aufsichtsbehörden sind aber viele Meldungen nicht 436 nötig, da in diesen Datenpannen nur ein geringes Risiko für die Betroffenen gesehen wird. Allerdings ist nicht davon auszugehen, dass sich das Aufkommen frappierend verringern wird. Frei nach dem Motto „melden macht frei“ werden voraussichtlich weiterhin Datenpannen gemeldet, auch wenn eine richtig vorgenommene Risikobetrachtung zu einem anderen Ergebnis führen ___________ 354) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 57. 355) Zustimmend Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 56.
139
E. Aus der Praxis – Datenschutz in der Kanzlei
würde. Auch werden viele Verantwortliche Meldungen zur Sicherheit abgeben, um nicht im Nachhinein aufgrund einer falschen Einschätzung belangt zu werden. d) Pflicht zur Benachrichtigung des Betroffenen 437 Was ist aber, wenn der Insolvenzverwalter oder auch die Aufsichtsbehörde bei der Risikoabwägung und Prognose, ob ein Risiko für den Betroffenen besteht, zu dem Schluss kommt, dass voraussichtlich ein hohes Risiko besteht? 438 In diesem Fall ist der Insolvenzverwalter als Verantwortlicher verpflichtet, alle Personen zu benachrichtigen, deren Daten von der Datenpanne betroffen sind. Diese Benachrichtigung soll die Betroffenen in die Lage versetzen, selber Maßnahmen zu ergreifen, um die Gefahr einzudämmen, ihr Betroffenenrecht gemäß Artt. 12 ff. DSGVO wahrnehmen zu können und ggf. einen Anspruch auf Schadensersatz gemäß Art. 82 DSGVO geltend zu machen. 439 Abgestellt wird hierbei auf ein voraussichtliches hohes Risiko für den Betroffenen. Der risikobasierte Ansatz, wie er sich in der DSGVO an vielen Stellen wiederfindet, wird auch hier angewandt. Abermals sind Eintrittswahrscheinlichkeit und Schwere des Schadens zu beurteilen. Dabei steht der Art. 34 DSGVO mit dem Art. 33 DSGVO in einem engen thematischen Zusammenhang.356) 440 Wann ein hohes Risiko für die Rechte und Freiheit des Betroffenen vorliegt, gibt die Vorschrift nicht vor. Ein hohes Risiko ist aber dann anzunehmen, wenn prognostiziert eine hohe Wahrscheinlichkeit besteht, dass ein Schaden für die Rechte und Freiheiten natürlicher Personen droht.357) Ist die Wahrscheinlichkeit des Eintritts eines Schadens nicht als sonderlich hoch einzuschätzen, im Gegenzug aber anzunehmen, dass die Auswirkungen und die Schadenstiefe als sehr hoch zu prognostizieren sind, ist auch von einem hohen Risiko auszugehen. Anhaltspunkte zur Einschätzung des Risikos können auch die Überlegungen zur Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO liefern. 441 Eine Frist, wie sie sich bezüglich der Meldung einer Datenpanne gegenüber der Aufsichtsbehörde aus dem Gesetz ergibt, sieht Art. 34 DSGVO für die Benachrichtigung der Betroffenen nicht vor. Lediglich normiert ist, dass die Benachrichtigung der Betroffenen unverzüglich zu erfolgen hat. Die Benachrichtigung an den Betroffenen hat in klarer und einfacher Sprache zu erfolgen und muss über die Art der Verletzung des Schutzes informieren. Weiterhin sind als „Minimum“-Information die Angaben mitzuteilen, wie sie auch Art. 33 Abs. 3 lit. b) – d) DSGVO vorsieht. ___________ 356) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 34 DSGVO Rn. 3. 357) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 34 DSGVO Rn. 30; Taeger, RDV 01/2020, 4 ff.
140
VI. Rechte Betroffener
Es finden aber auch eine Reihe von Ausschlusstatbeständen Anwendung für 442 die Meldung gegenüber dem Betroffenen (Art. 34 Abs. 3 DSGVO). So besteht u. a. eine Benachrichtigungspflicht nicht, wenn der Verantwortliche geeignete Sicherheitsvorkehrungen getroffen hat und diese auch auf die Daten angewendet hat, die von der Verletzung betroffen sind. Damit sind z. B. Maßnahmen der Verschlüsselung gemeint, die es Dritten auch bei Besitz der Daten nicht ermöglichen, diese einzusehen (Abs. 3 lit. a). Eine weitere Ausnahme liegt vor, wenn der Verantwortliche mit Maßnahmen 443 nach der Datenpanne sicherstellen kann, dass ein Schaden nicht mehr eintreten kann. So zum Beispiel, wenn Dritte Zugangsdaten zu einem Onlinekonto einsehen konnten und der Verantwortliche diese Zugangsdaten unverzüglich ändert. Auch dann bedarf es keiner Benachrichtigung des Betroffenen (Abs. 3 lit. b). Letztlich kann der Verantwortliche von einer Benachrichtigung absehen, wenn 444 die Benachrichtigung einen unverhältnismäßigen Aufwand darstellt. Sollte dies der Fall sein, kann stattdessen eine öffentliche Bekanntmachung erfolgen oder eine ähnliche Maßnahme ergriffen werden, die die Betroffenen vergleichbar wirksam informiert (Abs. 3 lit. c). Ein unverhältnismäßiger Aufwand ist z. B. anzunehmen, wenn die Anzahl der Betroffenen sehr hoch ist. Die Nutzung dieser Ausnahme findet häufig Anwendung, wenn etwa bei einem Telekommunikationsdienstleister (Onlineplattform, Onlinehändler, Telefongesellschaft etc.) eine Datenpanne im Zusammenhang mit der Kundendatenbank eintritt. Häufig findet die Information der Betroffenen in diesem Fall über öffentliche Kanäle statt. In Anbetracht des möglichen Imageverlusts durch die Bekanntgabe in der 445 Öffentlichkeit stellt diese Ausnahme aber nach Ansicht der Autoren nur eine Möglichkeit dar, die ausschließlich genutzt werden sollte, wenn alle anderen Maßnahmen nicht den erhofften Erfolg bringen.358) e) Zwischenfazit Der Insolvenzverwalter als Verantwortlicher sollte bestenfalls ein Melde- 446 und Frühwarnsystem installieren. Dies auch in Anbetracht der kurzen Fristen in Bezug auf eine Meldung gegenüber der Aufsichtsbehörde. Praxistipp: Es empfiehlt sich, über die Mitarbeiter und eigene Sensibilisierung hinaus ein bereits vorhandenes QM um den Bereich des Datenschutzes zu erweitern.
___________ 358) Siehe Vorfälle: Datenpanne bei Facebook am 18.5. und 27.5.2018, 14 Millionen Nutzer von Fehlern in der „Teilen-Funktion“ betroffen; Datenpanne bei Facebook am 25.9.2018, Hackerattacke auf fast 50 Millionen Nutzerprofile; Datenpanne bei Google, Google Plus wird für Verbraucher geschlossen nachdem festgestellt wurde, dass App-Entwickler Zugriff auf personenbezogene Daten hatten.
141
E. Aus der Praxis – Datenschutz in der Kanzlei
447 Zunächst muss nach dem Bekanntwerden der Datenpanne eine Einschätzung durch Risikoabwägung und Prognose erfolgen. Dies kann i. d. R. nur erfolgen, wenn der Insolvenzverwalter über alle Informationen verfügt. Mitarbeiter und andere Personen sind daher hier nicht nur gefordert, sondern auch zu ermutigen, entsprechende Sachverhalte grundsätzlich sanktionslos zu berichten. Dabei ist insgesamt zu empfehlen, auch den Datenschutzbeauftragten zurate zu ziehen. 448 Man stelle sich vor, am Freitagnachmittag wird eine Datenpanne bekannt. Die 72-Stunden-Frist läuft. Bis der Insolvenzverwalter und sein Datenschutzbeauftragter die entsprechenden Informationen zusammenstellen und die Beteiligten befragen können, wird vermutlich der Beginn der neuen Woche abzuwarten sein. Es bedarf i. d. R. einer Rücksprache mit dem Zuständigen für IT, dem verantwortlichen Mitarbeiter für diesen Bereich und zeitgleich einer Prüfung, ob die Schwachstellen behoben wurden bzw. behoben werden können. Bis der Insolvenzverwalter in dieser besonderen Situation zu den notwendigen Erkenntnissen gelangt ist, ist die Frist meist verstrichen. 449 Nun hat der Insolvenzverwalter zwei Möglichkeiten. Erstens: Er gibt eine stufenweise Meldung an die Aufsichtsbehörde und meldet zunächst, dass eine Datenpanne eingetreten ist und die Aufarbeitung und Risikobeurteilung noch andauert. Zweitens: Der Insolvenzverwalter gibt ggf., wenn die Risikobeurteilung dazu führt, dass nicht nur ein geringes Risiko besteht, eine verspätete Meldung ab und begründet diese Verspätung. Bei letzterer Variante kann es aber dazu führen, dass die Aufsichtsbehörde die aktuellen TOM als nicht ausreichend betrachtet. Dies vor dem Hintergrund, dass genau diese Maßnahmen eine Datenpanne verhindern und zugleich den Verantwortlichen helfen sollen, schnell entsprechende Meldungen absetzen zu können. Praxistipp: Ein weiteres Beispiel für eine Datenpanne, wie sie alltäglich in einer Kanzlei vorkommen kann und häufig auch vorkommt: Ein Mitarbeiter versendet eine E-Mail mit personenbezogenen Daten. Bei der Auswahl des Absenders wird auf den automatischen Vorschlag des E-Mailprogramms nicht intensiv geachtet und so erfolgt versehentlich der Versand der E-Mail an einen falschen Empfänger. Damit liegt eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) vor. Der Verantwortliche ist jetzt gefordert, gemeinsam mit dem Datenschutzbeauftragten zu beurteilen, ob für den Betroffenen voraussichtlich ein Risiko seiner Rechte und Freiheiten vorliegt. Hierzu ist zu betrachten, welche Daten waren Gegenstand der E-Mail, wer war der tatsächliche Empfänger, kann dieser die Daten verwenden und würde aus dieser Verwendung ein Risiko hervorgehen können. Dazu bedarf es ebenso einer Prognose, ob der tatsächliche Empfänger die Daten nutzen wird, falls er dazu in der Lage ist und was der Empfänger mit der Nutzung erreichen kann. In diesem fiktiven Fall waren die personenbezogenen Daten verschlüsselt und der eigentlich gewollte Empfänger verfügt nur über die Möglichkeit der Entschlüsselung. Damit besteht kein Risiko für den Betroffenen und die Aufsichtsbehörde muss nicht informiert werden.
142
VI. Rechte Betroffener Eine entsprechende Dokumentation der Datenpanne mit den zugrunde liegenden Fakten, den zeitlichen Rahmen und den Beteiligten wurde als Nachweis vorgenommen.
3. Auskunftsrecht Die folgenden Ausführungen beziehen sich auf ein Recht des Betroffenen, 450 das – wenn es gehäuft ausgeübt wird – die täglichen Arbeitsabläufe in der Insolvenzkanzlei stark behindern kann. Die Erfüllung dieses Rechts erfordert vom Verantwortlichen einen sehr hohen Arbeitsaufwand und die benötigten Unterlagen sowie Informationen sind nicht schnell nebenbei erstellbar. Dem Betroffenen, dessen Daten vom Verantwortlichen verarbeitet werden, 451 steht auf Antrag ein umfassendes Auskunftsrecht gemäß Art. 15 DSGVO zu, welche Daten vom Inhalt und Umfang her verarbeitet werden, wie diese Daten verarbeitet werden und wer ggf. Empfänger der Daten ist.359) Dieses Auskunftsverlangen bedarf keines besonderen Rechtsschutzinteresses des Betroffenen, es muss von ihm auch nicht begründet werden und unterliegt keiner Form. Dies aber unter der Beachtung, dass das Auskunftsrecht der Überprüfung der verarbeiteten Daten dient und nicht einem Selbstzweck.360) Demnach besteht ein Auskunftsanspruch nicht, wenn dieser rechtsmissbräuchlich eingesetzt wird und auch der Aufwand für die Erteilung unverhältnismäßig ist. Das Recht soll der Betroffene in angemessenen Abständen wahrnehmen kön- 452 nen, um ihm selbst die Möglichkeit einzuräumen, die Rechtmäßigkeit der Verarbeitung zu überprüfen (ErwGr. 63 DSGVO). Es ist aufseiten des Verantwortlichen sicherzustellen, dass der Auskunftsersuchende wirklich der Betroffene ist. Die Identität des Auskunftsersuchenden sollte vor Auskunftserteilung für den Verantwortlichen feststehen. Dies stellt die mögliche mündliche Auskunft am Telefon teilweise vor Probleme. Praxistipp: Anzuraten ist es immer, sich die Identität des Auskunftsersuchenden bestätigen zu lassen. Eine telefonische Auskunft sollte nur erteilt werden, wenn eindeutig Klarheit besteht, dass es sich tatsächlich um den Betroffenen handelt. Grundsätzlich kann der Insolvenzverwalter, mit Hinweis auf eine Feststellung der Identität, um eine schriftliche Anfrage bitten.
a) Art und Weise der Auskunftserteilung Der Verantwortliche muss Maßnahmen und Prozesse entwerfen, die es ihm 453 ermöglichen, den Betroffenen die Mitteilungen gemäß Art. 15 DSGVO unter den Gesichtspunkten des Art. 12 DSGVO (präzise, transparent, verständlich, ___________ 359) So auch AG München, Teilurt. v. 4.9.2019 – 155 C 1510/18, RDV 01/2020, 45 (LS). 360) LG Heidelberg, Urt. v. 21.2.2020 – 4 O 6/19, GWR 2020, 254.
143
E. Aus der Praxis – Datenschutz in der Kanzlei
in leicht zugänglicher Form, klare und einfache Sprache) übermitteln zu können. Es ist dem Betroffenen eine Kopie der Daten zur Verfügung zu stellen, wie die Daten beim Verantwortlichen vorliegen (Art. 15 Abs. 3 Satz 1 DSGVO) – und zwar rein dessen personenbezogene Daten, nicht jedoch interne Vorgänge, Vermerke, gewechselte Korrespondenz – soweit dem Betroffenen bereits bekannt – auch nicht rechtliche Bewertungen oder Analysen.361) Dies gilt auch für Sachverständigengutachten o. Ä. des Insolvenzverwalters! Dabei ist darauf zu achten, dass die Kopie selbst nicht die Rechte und Freiheiten anderer Personen gefährdet (Abs. 4). Eventuell hat der Verantwortliche entsprechende Daten zu schwärzen bzw. zu pseudonymisieren. 454 Die Auskunftserteilung ist gemäß Art. 12 Abs. 1 Satz 2, 3 DSGVO je nach Sachverhalt schriftlich, elektronisch oder mündlich möglich.362) Erfolgt die Anfrage auf dem elektronischen Weg, so ist dem Betroffenen die Auskunft entsprechend des Art. 15 Abs. 3 Satz 2 DSGVO in einem gängigen elektronischen Format zu übermitteln, sofern der Betroffene keine andere Art der Auskunft wünscht. Als gängiges Format ist dabei z. B. ein PDF-Format in Betracht zu ziehen. 455 Sofern die Möglichkeit besteht, sollte ein Fernzugriff durch den Verantwortlichen eingerichtet werden und so dem Betroffenen direkt Zugang zu seinen Daten zu ermöglichen. Dies wird in den Erwägungsgründen als datenschutzfreundliche Maßnahme der Auskunftserteilung angesehen (ErwGr. 63 Satz 4 DSGVO). b) Frist und Kosten der Auskunftserteilung 456 Die Erteilung der Auskunft hat unverzüglich, spätestens aber innerhalb eines Monats zu erfolgen. Sollte in Ausnahmefällen die Monatsfrist nicht eingehalten werden können, so ist der Betroffene darüber zu informieren, gemäß Art. 12 Abs. 3 Satz 3 DSGVO. Macht der Verantwortliche von dieser Ausnahme gebrauch, könnte es sich zeitgleich um einen Verstoß gegen die Pflichten des Verantwortlichen handeln, da dieser im Rahmen des Datenschutzmanagements dafür Sorge zu tragen hat, dass Prozesse und Abläufe integriert werden, die eine zeitnahe und vollständige Rechteausübung der Betroffenen gewährleisten. 457 Die Mitteilung und Auskünfte hat der Verantwortliche dem Betroffenen grundsätzlich unentgeltlich zur Verfügung zu stellen. Sollte der Betroffene weitere Kopien anfordern, so steht es dem Verantwortlichen frei, ein angemessenes Entgelt in Höhe der Verwaltungskosten zu verlangen.
___________ 361) So zutreffend AG München, Teilurt. v. 4.9.2019 – 155 C 1510/18, RDV 01/2020, 45 (LS), bereits auch nach Sinn und Zweck des Art. 15 DSGVO. 362) DSK-Kurzpapier Nr. 6, S. 2.
144
VI. Rechte Betroffener
c) Inhalt der Auskunftserteilung Vertiefend zu oben a) ist festzuhalten: Der Inhalt der Auskunftserteilung 458 richtet sich grundsätzlich nach dem Vorliegen der entsprechenden Daten beim Verantwortlichen und der Tiefe des Auskunftsverlangens. Entsprechend des Art. 15 Abs. 1 DSGVO handelt es sich bei dem Auskunftsrecht um einen abgestuften Anspruch. Das heißt, dass der Betroffene zunächst verlangen kann, dass Auskünfte darüber gegeben werden, ob personenbezogene Daten von ihm verarbeitet werden. Sollten keine Daten des Auskunftsersuchenden beim Verantwortlichen verarbeitet werden, bedarf es einer Negativauskunft gegenüber dem Betroffenen.363) Als weitere Stufe kann der Betroffene verlangen, konkrete Auskünfte zu er- 459 halten, welche Daten von ihm verarbeitet werden.364) Des Weiteren treffen den Verantwortlichen weitere Auskunftspflichten, die sich zum Teil mit den Informationspflichten gemäß Artt. 13, 14 DSGVO decken. Folgende Auskünfte müssen bei Vorliegen eines entsprechenden und berechtigten Auskunftsverlangens erteilt werden: x
Verarbeitungszwecke
x
Kategorien personenbezogener Daten, die einer Verarbeitung unterliegen
x
aktuelle und zukünftige Empfänger bzw. Kategorien von Empfängern
x
Speicherdauer bzw. Kriterien der Festlegung für die Speicherung
x
Rechte des Betroffenen
x
Herkunft der Daten, wenn diese bei einem Dritten erhoben wurden
x
Vorliegen einer automatisierten Entscheidungsfindung
Handelt es sich bei den Daten um große Mengen an Informationen, so hat 460 der Verantwortliche das Recht, vom Betroffenen eine Konkretisierung des Auskunftsgesuchs zu verlangen, sofern dieses im Vorfeld zu pauschal gestaltet war (ErwGr. 63 Satz 7 DSGVO). Der Betroffene muss benennen, auf welche Auskünfte, zu welchen Verarbeitungstätigkeiten sich sein Begehren stützt. Auch kann der Antrag auf Auskunftserteilung durch den Verantwortlichen abgelehnt werden, wenn es sich um offenkundig unbegründete Anträge handelt bzw. die Anträge in einer exzessiven Art erfolgen (Art. 12 Abs. 5 Satz 2 lit. b) DSGVO).
___________ 363) Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 15 DSGVO Rn. 7; Ehmann/ Selmayr-Ehmann, DS-GVO, Art. 15 Rn. 11. 364) DSK-Kurzpapier Nr. 6, S. 1.
145
E. Aus der Praxis – Datenschutz in der Kanzlei Praxistipp: x Mithilfe des Datenschutzmanagements sind Prozesse anzulegen, die eine schnelle Abarbeitung dieser Anfragen ermöglichen. Diese Prozesse sollten regeln, wie die Identität des Auskunftsersuchenden zu bestätigen ist, wie die Auskünfte erteilt werden und in welchem Zeitfenster die Anfragen (unter Beachtung der vorgegebenen Frist) beantwortet werden. Des Weiteren sind gemeinsam mit der IT-Abteilung die Möglichkeiten abzustimmen, inwieweit ein Fernzugriff einzurichten ist und wenn dies nicht möglich ist, wie eine vollständige und in einem gängigen Format erstellbare Kopie der verarbeiteten Daten ausgegeben werden kann. Bereits die bisherigen Ausführungen zeigen auf, dass in der Insolvenzkanzlei in Zusammenarbeit mit deren (externem) Datenschutzbeauftragten, der IT und letztlich dem verantwortlichen Insolvenzverwalter dennoch mit Augenmaß und nach entsprechenden Abwägungen vorgegangen werden sollte. Was sich schon organisatorisch wesentlich einfacher gestalten dürfte, sofern die Insolvenzkanzlei (als Ergänzung z. B. ihres bisherigen QM-Systems) über entsprechende Prozesse auch in dem Bereich des Datenschutzes verfügt. x Allen Steuerpflichtigen steht nach Art. 15 Abs. 1 Halbs. 2 DSGVO ein Akteneinsichtsrecht gegenüber der Finanzverwaltung zu -auch für Papierakten aus/zu einer Zeit vor dem 25.5.2018.365) Hierzu gehört zwar unstreitig ab einem gewissen Stadium auch der Insolvenzverwalter. Ob sich dem entsprechenden Auskunftsersuchen eines Insolvenzverwalters von der Finanzbehörde i. E. das o. g. Teilurteil des AG München entgegen halten lässt, wonach der Anspruch aus Art. 15 DSGVO nicht der vereinfachten Buchführung des Betroffenen dient, bleibt in der Praxis abzuwarten. Hinzuweisen ist in dem Zusammenhang jedoch auf die Entscheidung des OVG Lüneburg v. 26.6.2019 – 11 LA 274/18 2366): Ein Insolvenzverwalter ist ausweislich LS 2 dieses Beschlusses hinsichtlich der beim Finanzamt gespeicherten personenbezogenen Daten des Insolvenzschuldners nicht „Betroffener“ i. S. v. Art. 15 Abs. 1 DSGVO. Das datenschutzrechtliche Auskunftsrecht des Betroffenen nach Art. 15 Abs. 1 DSGVO geht nach LS 3 nicht durch die Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter über, weil es sich bei diesem Auskunftsrecht um ein höchstpersönliches Recht handelt, das nicht zur Insolvenzmasse gehört.
4. Recht auf Berichtigung 461 Ein weiteres Recht des Betroffenen ist das Recht auf Berichtigung. Stellt der Betroffene fest, dass die von ihm verarbeiteten Daten unrichtig sind, hat er das Recht, vom Verantwortlichen unverzüglich die Berichtigung dieser Daten zu verlangen (Art. 16 Satz 1 DSGVO). Auch eine Berichtigung im Rahmen einer Vervollständigung kommt in Betracht und kann durch den Betroffenen verlangt werden (Art. 16 Satz 2 DSGVO).
___________ 365) FG des Saarlandes, Beschl. v. 3.4.2019 – 2 K 1002/16, DStRE 2019, 1226. 366) OVG Lüneburg, Beschl. v. 26.6.2019 – 11 LA 274/18, ZIP 2019, 1388.
146
VI. Rechte Betroffener
Folgend dem Grundsatz der Datenrichtigkeit (Art. 5 Abs. 1 lit. d) DSGVO), 462 sollen die Daten sachlich richtig und auf dem neusten Stand sein. Mit dem Recht zur Berichtigung hat der Betroffene die Möglichkeit, auf die Verarbeitung inhaltlich einzuwirken, indem er sicherstellen kann, dass nur die richtigen personenbezogenen Daten verwendet werden. Ebenso wie bei dem Recht auf Auskunftserteilung hat der Verantwortliche 463 Zweifel an der Identität des Antragstellers zu beseitigen und kann einen weiterführenden Nachweis abfordern, um die Zweifel auszuräumen. Selbiges gilt für die Stellung von offenkundig unbegründeten oder exzessiven Anträgen, bei denen der Verantwortliche ein Tätigwerden verweigern kann. Auch die Berichtigung muss unentgeltlich erfolgen (Art. 12 Abs. 5, 6 DSGVO). Eine entsprechende Berichtigung hat der Verantwortlich Dritten, die in seinem Namen auf Grundlage einer Auftragsverarbeitung Daten verarbeiten oder denen die Daten rechtmäßig offengelegt wurden, mitzuteilen. Dies ergibt sich aus Art. 19 DSGVO. 5. Recht auf Löschung Zu dem Recht auf Löschung (auch Recht auf Vergessenwerden) ist im Abschnitt 464 Löschungskonzept bereits Stellung genommen worden (siehe Rn. 339 ff.), u. a. im Rahmen von Bewerbungen ausführlich. Neben der bestehenden Verpflichtung des Verantwortlichen Daten zu löschen, wenn z. B. der Zweck der Erhebung erledigt ist, besteht gleichwohl ein Anspruch des Betroffenen auf Löschung der Daten, falls dieser eine Löschung vom Verantwortlichen verlangt und die Voraussetzungen zur Löschung der Daten gegeben sind. a) Voraussetzungen für Pflicht zur Löschung Auch bei diesem Recht soll sich der Verantwortliche über die Identität des 465 Betroffenen im Klaren sein und er hat die Möglichkeit, zusätzliche Informationen anzufordern, um bestehende Zweifel auszuräumen. Hinsichtlich der Voraussetzungen und Gründe listet Art. 17 Abs. 1 DSGVO diese auf. Demnach bestehen eine Löschungspflicht des Verantwortlichen nach dem Gesetz und zugleich ein Anspruch des Betroffenen auf Löschung seiner personenbezogenen Daten, wenn einer der folgenden Gründe zutrifft: x
Daten sind für den Zweck der Verarbeitung nicht mehr notwendig und eine zulässige Zweckänderung liegt nicht vor (lit. a).
x
Widerruf der Einwilligung, wenn diese Einwilligung Rechtsgrundlage für die Verarbeitung war (lit. b).
x
Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1, 2 DSGVO (lit. c).
x
Unrechtmäßigkeit der Verarbeitung (lit. d).
147
E. Aus der Praxis – Datenschutz in der Kanzlei
x
Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (lit. e).
x
Widerruf einer Einwilligung bezüglich der Verarbeitung personenbezogener Daten von Kindern (lit. f).
466 Soweit einer der in Art. 17 Abs. 1 lit. a) – f) DSGVO genannten Gründe vorliegt, ist die unverzügliche Löschung die angeordnete Rechtsfolge.367) Diese Löschung muss der Verantwortliche anhand hierfür vorgesehener Verfahren automatisch vornehmen. Das Löschen hat dergestalt zu erfolgen, dass die gegenständlichen Daten vollkommen und nicht wiederherstellbar vernichtet werden. Dies kann (wie oben bereits beschrieben) durch physische Zerstörung oder auch über technische Lösungen erfolgen. b) Recht auf Vergessenwerden 467 Das „Recht auf Vergessenwerden“, das in Art. 17 Abs. 2 DSGVO Einzug gefunden hat, verpflichtet den Verantwortlichen, bei Dritten auf die Löschung von Veröffentlichungen, die durch den Verantwortlichen z. B. im Internet veranlasst wurden, hinzuwirken und diese Dritten darüber zu informieren, dass der Betroffene die Löschung aller Links verlangt. Dies unter der Berücksichtigung der verfügbaren Technologie und der Implementierungskosten.368) Dabei wird insbesondere auf große Suchmaschinenbetreiber abgestellt. Das Recht setzt das Urteil des EuGH um, in dem Google verpflichtet wurde, die Suchtreffer zu löschen, wenn die Interessen des Betroffenen überwiegen und keine weitere Rechtsgrundlage für eine Verarbeitung vorliegt.369) c) Antrag auf Löschung 468 Die DSGVO sieht für den Antrag keine Form vor. Auch ist die Ausübung dieses Recht per Antrag für den Betroffenen grundsätzlich unentgeltlich, erst bei dem Hinzutreten von Umständen gemäß Art. 12 Abs. 5 Satz 1, 2 DSGVO kann ein angemessenes Entgelt erhoben werden. Ist der Antrag berechtigt und die Identität steht ebenso fest, bedarf es einer unverzüglichen Löschung, sofern diese nicht bereits aufgrund der bestehenden Verpflichtungen erfolgt ist. Des Weiteren hat eine Information des Betroffenen zu erfolgen, dass der Löschungsvorgang durchgeführt wurde bzw. wenn nicht, warum dies nicht stattgefunden hat.
___________ 367) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 29. 368) DSK-Kurzpapier Nr. 11, S. 2. 369) EuGH, Urt. v. 13.5.2014 – C-131/12, GRUR 2014, 895; siehe dazu auch BVerfG v. 6.11.2019 – 1 BvR 16/13 („Zum Recht auf Vergessen I“) bzw. v. 6.11.2019 – 1 BvR 276/13 („Zum Recht auf Vergessen II“), Leitsätze RDV 01/2020, 30f./Pressemitteilungen, 49.
148
VI. Rechte Betroffener
d) Ausnahmen von der Löschungspflicht Sollte die Verarbeitung gemäß Art. 17 Abs. 3 DSGVO weiterhin erforderlich 469 sein, bedarf es keiner Löschung. Diese Ausnahme könnte der Fall sein, wenn die Verarbeitung notwendig ist zur Ausübung des Rechts der freien Meinungsäußerung, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für in öffentlichem Interesse liegende Archivzwecke oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Weitere Ausnahmen finden sich in § 35 BDSG. Die Ausnahmen in § 35 Abs. 1 BDSG beziehen sich auf Daten, die nicht auto- 470 matisiert verarbeitet werden, und sehen in diesem Fall eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO vor. Eine weitere Ausnahme aus § 35 Abs. 3 BDSG, wonach von der Löschungsverpflichtung abgewichen werden kann, liegt für den Fall bestehender satzungsgemäßer oder vertraglicher Aufbewahrungsfristen vor, die sich z. B. aus den handelsrechtlichen Aufbewahrungspflichten ergeben können. 6. Recht auf Einschränkung Das Recht auf Einschränkung gemäß Art. 18 DSGVO stellt das mildere Mittel 471 gegenüber der Löschung dar und gewährt dem Betroffenen zunächst eine mildere Art des Rechtsschutzes. Abermals ist die Identität des Antragstellers vorab zu klären. Art. 18 Abs. 1 lit. a) und d) DSGVO stellt zunächst einen Ausgleich zwischen den Interessen des Verantwortlichen für die Verarbeitung und den Interessen des Betroffenen dar. Dies, um bei einem Antrag auf Berichtigung durch den Betroffenen dem Verantwortlichen eine Karenzzeit einzuräumen, den Anspruch gemäß lit. a) zu prüfen bzw. gemäß lit. d) dem Verantwortlichen die Möglichkeit zu geben, bei einem Widerspruch gemäß Art. 21 Abs. 1 DSGVO zu prüfen, ob berechtigte Gründe für einen Widerspruch vorliegen. Des Weiteren sehen die Vorgaben in Art. 18 Abs. 1 lit. b) eine „Wahlmög- 472 lichkeit“ des Betroffenen vor, in dem dieser bei einer unrechtmäßigen Verarbeitung anstelle des Löschens der Daten die Einschränkung der Verarbeitung verlangen kann. Art. 18 Abs. 1 lit. c) DSGVO gibt dem Betroffenen die Möglichkeit an die Hand, eine Einschränkung zu verlangen, wenn die Daten für die Zweckerfüllung nicht mehr benötigt werden, der Betroffene aber ggf. diese Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Auch diese Ausübung des Rechts auf Einschränkung ist grundsätzlich un- 473 entgeltlich, außer es handelt sich um offenkundig unberechtigte oder exzes-
149
E. Aus der Praxis – Datenschutz in der Kanzlei
sive Anträge.370) Eine Verarbeitung nach der Einschränkung darf durch den Verantwortlichen nur noch unter den Voraussetzungen des Art. 18 Abs. 2 DSGVO erfolgen. Dies bezieht sich nicht auf die Speicherung, die natürlich in jedem Fall Bestand haben muss. Bevor der Verantwortliche diese Einschränkung aufhebt, hat dieser den Betroffenen hiervon zu unterrichten. 7. Recht auf Datenübertragbarkeit 474 Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) soll dem Betroffenen ermöglichen, schnell und unkompliziert den Anbieter einer Leistung wechseln zu können. Das auch als „Datenportabilität“ bezeichnete Recht sieht vor, dass der Verantwortliche die vorhandenen und benötigten Daten in einem übertragbaren Format dem Betroffenen zur Verfügung zu stellen hat. Dieses Recht ist u. a. dafür gedacht, wenn der Betroffene einen Dienstleister wechseln will. In diesem Fall soll der Betroffene seine Daten in einem Format erhalten, das er bei dem neuen Dienstleister einreichen kann. Der Betroffene kann auch vom Verantwortlichen verlangen, die Daten direkt an den neuen Verantwortlichen zu übermitteln, soweit keine technischen Beschränkungen einer direkten Übertragung entgegenstehen. 8. Widerspruchsrecht 475 Dem Betroffenen steht für bestimmte Verarbeitungstätigkeiten ein Widerspruchsrecht zu gemäß Art. 21 DSGVO. Es soll den Betroffenen vor Verarbeitungen schützen, die nicht mit seinem Willen im Einklang stehen.371) Dabei besteht das Widerspruchsrecht nicht per se für jede Art der Verarbeitung. Einer Verarbeitung, die u. a. gemäß Art. 6 Abs. 1 Satz 1 lit. b) DSGVO zur Erfüllung eines Vertrags stattfindet, kann der Betroffene nicht gemäß Art. 21 DSGVO widersprechen. 476 Ein Widerspruchsrecht besteht grundsätzlich in den Fällen, in denen die rechtmäßige Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 lit. e) oder f) erfolgt und beim Betroffenen Gründe vorliegen, die sich aus seiner besonderen Situation ergeben.372) Dies betrifft zum einen die Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind bzw. im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen, zum anderen Verarbeitungen die im Rahmen des berechtigten Interesses vorgenommen werden. Zwar überrascht der Verweis auf Art. 6 Abs. 1 Satz 1 lit. e) DSGVO, da dieser die
___________ 370) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 18 DSGVO Rn. 4. 371) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 21 DSGVO Rn. 1. 372) LG Frankfurt/M., Urt. v. 20.12.2018 – 2-05 O 151/18, GWR, 2019, 312; das LG sprach dem Kläger ein Widerspruchsrecht und somit Löschungsanspruch gegen die Schufa zu bezüglich der Eintragung zur Restschuldbefreiung, da besondere Gründe in der Situation des Klägers vorlagen.
150
VI. Rechte Betroffener
Verarbeitung im öffentlichen Interesse vorsieht, aber auch der ErwGr. 69 DSGVO bestätigt dies nochmals ausdrücklich.373) Auch inkludiert in das normierte Widerspruchsrecht des Art. 21 DSGVO ist 477 der Umstand, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen bzw. eines Dritten gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stattfindet.374) Weiterhin besteht ein Widerspruchsrecht bei der Verarbeitung im Rahmen der Direktwerbung und unter entsprechenden Voraussetzungen auch bei einer Verarbeitung zu Forschungs- und Statistikzwecken. Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO hinsichtlich der Ver- 478 arbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 Satz 1 lit. e) und f) DSGVO verlangt als weiteren Voraussetzungsgrund das Vorliegen einer besonderen Situation beim Betroffenen. Näher spezifiziert die Vorschrift dies nicht. Grundsätzlich muss die Frage gestellt werden, welche besondere Situation beim Betroffenen vorliegen muss, die als Grund dafür heranzuziehen ist, einer an sich rechtmäßigen Verarbeitung zu widersprechen.375) Diese besondere Situation muss nach der ursprünglichen Abwägung im Rah- 479 men der Zulässigkeit eingetreten sein. Andernfalls hätte die notwendige Interessenabwägung zur Prüfung der Zulässigkeit, die gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO erfolgen muss, bereits vorab ergeben, dass eine Verarbeitung unzulässig ist. Denkbar wäre eine Änderung der Lebenssituation des Betroffenen (familiär oder auch geschäftlich), die nachträglich eine Verarbeitung seiner personenbezogenen Daten in einem anderen Lichte erscheinen lassen. Ob in diesem Widerspruch auch zeitgleich eine Pflicht zur Löschung zu sehen 480 ist, beantwortet das Gesetz in Art. 17 Abs. 1 lit. c) DSGVO. Hier wird eindeutig bestimmt, dass eine Löschung unverzüglich zu erfolgen hat, wenn der Betroffene gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe des Verantwortlichen für die Verarbeitung gegeben sind. Aber auch ohne diese Verknüpfung in Art. 17 DSGVO wäre von einer Verpflichtung zur Löschung auszugehen, da mit einem wirksamen Widerspruch auch zeitgleich die Untersagung der Verarbeitung dieser Daten einhergeht. Der rechtmäßig ausgeübte Widerspruch des Art. 21 Abs. 1 Satz 1 DSGVO löst für den Verantwortlichen ein Verarbeitungsverbot aus. Somit wäre der Zweck der Verarbeitung entfallen bzw. kann nicht mehr verfolgt werden und es besteht per se eine Löschungspflicht. Ein wirksamer Widerspruch, der sich auf Art. 21 Abs. 1 DSGVO bezieht liegt 481 dahingehend nicht vor, wenn der Verantwortliche zwingende schutzwürdige ___________ 373) Plath-Kamlah, BDSG/DSGVO, Art. 21 DSGVO Rn. 3. 374) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 21 DSGVO Rn. 1. 375) Siehe dazu LG Frankfurt/M., Urt. v. 20.12.2018 – 2-05 O 151/18, GWR, 2019, 312.
151
E. Aus der Praxis – Datenschutz in der Kanzlei
Gründe nachweisen kann und diese bei einer Interessenabwägung dazu führen, dass die Interessen des Betroffenen nicht überwiegen. 482 Das Widerspruchsrecht gemäß Art. 21 Abs. 2 DSGVO in Bezug auf das Recht, Widerspruch gegen eine Verarbeitung der personenbezogenen Daten zur Durchführung von Direktwerbung zu erheben, ist nicht an weitere Voraussetzungen geknüpft. Der Betroffene muss keine weiteren Gründe für seinen Widerspruch anführen. Auch eine Möglichkeit des Verantwortlichen, dem Widerspruch mit dem Hinweis auf zwingende schutzwürdige Gründe entgegenzutreten, besteht nicht. 483 Art. 21 Abs. 4 DSGVO sieht eine Verpflichtung des Verantwortlichen vor, den Betroffenen zum Zeitpunkt der ersten Kommunikation auf die Widerspruchsrechte hinzuweisen. Diese Verpflichtung ist als Ergänzung zu den Informationspflichten gemäß Artt. 13, 14 DSGVO zu verstehen. Insbesondere die Kenntlichmachung dieses Hinweises durch eine verständliche und von anderen Informationen getrennten Form, wie es der Art. 21 Abs. 4 Halbs. 2 DSGVO vorsieht, lässt den Schluss zu, dass dieser Hinweis sich von den anderen Informationen der Informationspflichten absetzen muss. Der Hinweis auf die Widerspruchsrechte sollte demnach explizit hervorgehoben werden (eventuell fett gedruckt); jedenfalls getrennt von der Information hinsichtlich der weiteren bestehenden Rechte erfolgen. Praxistipp: Der Insolvenzverwalter sollte als Verantwortlicher wie jedes andere Unternehmen auch die Rechte der Betroffenen zwingend beachten und diese bestmöglich sicherstellen. So gilt es, für den Insolvenzverwalter entsprechende Prozesse zu entwickeln, diese im Datenschutzmanagement zu verankern und auch dafür Sorge zu tragen, dass diese von seinen Mitarbeitern gelebt werden. Dies gebietet sich bereits aufgrund der bestehenden Bußgeldproblematik des Art. 83 Abs. 5 lit. b) DSGVO für Verstöße gegen Verpflichtungen aus den Artt. 12 ff. DSGVO und der sich daraus ergebenden Haftung auf Schadensersatz gemäß Art. 82 DSGVO, aber auch hinsichtlich etwaiger Außenwirkung des Insolvenzverwalters auf das Gericht. Auch der Umstand, dass sich ein Betroffener relativ leicht und unproblematisch an die Aufsichtsbehörde wenden kann und diese bei einer entsprechenden Meldung aktiv werden muss, sollte den Insolvenzverwalter dazu bewegen, in diesem Bereich Vorkehrungen zu treffen. Es ist davon auszugehen, dass die Aufsichtsbehörde bei einer entsprechenden Meldung, diese intensiv prüft und zeitgleich sich auch alle anderen Verarbeitungstätigkeiten von personenbezogenen Daten beim Insolvenzverwalter genauer anschauen wird.
484 Grundsätzliches Vorgehen bei einer Anfrage: x
Klärung Identität des Antragstellers,
x
Prüfung des Antrags und mögliche Ausnahmen,
x
Prüfung des vorliegenden Datenbestands,
x
Aktion vornehmen in Bezug auf das eingeforderte Recht,
152
VII. Bewerbung als Insolvenzverwalter bei Gericht
x
unentgeltliche Information an Betroffenen oder Aufsichtsbehörde innerhalb der Frist, ggf. Negativauskunft.
VII. Bewerbung als Insolvenzverwalter bei Gericht 1. Antrag auf Aufnahme zur Vorauswahlliste Um seiner Tätigkeit nachkommen zu können und entsprechende Verfahren 485 zu bearbeiten, bewirbt sich der Insolvenzverwalter bekanntlich bei unterschiedlichen Gerichten, um eine Listung für die Verteilung von Insolvenzverfahren bei diesen Gerichten zu erwirken. Der Insolvenzverwalter wird i. d. R. beim jeweiligen Gericht einen Antrag auf 486 Aufnahme in die Vorauswahlliste ausfüllen müssen. Diese Anträge sehen vor, dass der Insolvenzverwalter genaue Informationen zu seiner Person abgibt. Dazu zählen neben den fachlichen Qualifikationen und Berufserfahrungen auch personenbezogene Daten, nämlich die des Insolvenzverwalters selbst, aber auch zum Teil personenbezogene Daten seiner Mitarbeiter. 2. Mitarbeiterdaten – personenbezogene Daten? Einzelne Insolvenzgerichte belehren den Insolvenzverwalter innerhalb des An- 487 trags über die datenschutzrechtlichen Bestimmungen. Hinsichtlich der personenbezogenen Daten des Insolvenzverwalters und der meist innerhalb des Antrags abgegebenen Einwilligung zur Verarbeitung dieser Daten gibt es keine datenschutzrechtlichen Bedenken. Dies vor dem Hintergrund, dass der Insolvenzverwalter über seine personenbezogenen Daten naturgemäß selbst verfügen und auch die Einwilligung zur Verarbeitung jederzeit widerrufen kann. Wie sieht es aber im Gegensatz dazu mit personenbezogenen Daten seiner 488 Mitarbeiter aus? Dürfen einzelne Daten wie Unternehmenszugehörigkeit, Ausbildung, Eintrittsdatum, aktuelle Tätigkeit und ggf. Kontaktdaten der Mitarbeiter im Rahmen dieses Antrags an das Gericht übergeben werden? In einigen Fällen werden noch weitere Daten der Mitarbeiter verlangt. Die Daten in der Gesamtheit können dazu führen, dass der Mitarbeiter identifizierbar ist und somit die Daten als personenbezogene Daten anzusehen sind. Beispielsweise besteht die Möglichkeit der Identifizierbarkeit, wenn innerhalb einer Tätigkeit beim Insolvenzverwalter drei Personen tätig sind, verschiedenen Alters und mit unterschiedlichen Ausbildungen. Anhand der Angaben in einigen Antragsbögen, wären diese Mitarbeiter bei der Zusammenfassung der einzelnen Informationen identifizierbar und diese Angaben somit als personenbezogene Daten zu betrachten. 3. Rechtmäßigkeit der Übermittlung Fraglich bleibt nun, inwieweit eine Übermittlung der Mitarbeiterdaten eine 489 rechtmäßige Verarbeitung nach der DSGVO darstellt. Die Weitergabe der Daten der Mitarbeiter ist von § 26 Abs. 1 BDSG gedeckt, da eine Verarbeitung 153
E. Aus der Praxis – Datenschutz in der Kanzlei
zu Zwecken der Durchführung des Beschäftigungsverhältnisses stattfindet. Auch ist die Übermittlung der Daten an das Gericht erforderlich für den Zweck der Durchführung des Beschäftigungsverhältnisses. Damit ist auch das Merkmal der Erforderlichkeit für die Zweckerreichung, das den zentralen Maßstab für die Zulässigkeit und Rechtmäßigkeit der Verarbeitung376) darstellt, erfüllt. Zur Prüfung der Erforderlichkeit kann sich der Insolvenzverwalter die Überlegungen und Vorgaben zum § 32 BDSG a. F. zunutze machen. Diese werden bei der Beurteilung der Erforderlichkeit weiterhin heranzuziehen sein, was auch angesichts der weitreichenden Übernahme der Regelung des § 32 BDSG a. F. in den nunmehr neuen § 26 BDSG angebracht scheint.377) 490 Der § 26 BDSG ist, soweit er eine Regelung für den Sachverhalt vorsieht, einschlägig aufgrund der Konkretisierungsklausel in Art. 88 DSGVO und der Ausnutzung dieses Spielraumes durch den deutschen Gesetzgeber. Somit ist nach hiesiger Einschätzung eine Übertragung der Daten der Mitarbeiter – sofern dies unter den datenschutzrechtlichen Grundsätzen erfolgt – aufgrund des § 26 Abs. 1 BDSG rechtmäßig. Die Rechtmäßigkeit steht unter dem Vorbehalt, dass nur Daten übermittelt werden, die tatsächlich für die Zweckerreichung, hier die benötigten Angaben für die Bewerbung des Insolvenzverwalters, benötigt werden und deren Übermittlung auch erforderlich ist. 4. Einwilligung der Mitarbeiter 491 Nicht zuletzt aufgrund der bestehenden Unsicherheiten im Umgang mit der DSGVO und der teilweise unsachlichen Berichterstattung sind viele Verantwortliche der Meinung, dass eine Einwilligung ein Allheilmittel für mögliche Probleme sei.378) 492 Häufig wird auch die Verwalterkanzlei als Verantwortlicher vorbereitend das Einverständnis der Mitarbeiter zur interessengerechten Weitergabe der Daten i. S. v. Art. 7 DSGVO einholen.379) Die Wirksamkeit einer Einwilligung durch die Mitarbeiter ist in der Literatur umstritten. Fraglich ist, inwieweit die geforderte Freiwilligkeit der Einwilligung im Rahmen eines Arbeitsverhältnisses bestanden hat. Zum Teil wird angeführt, dass eine Freiwilligkeit, die einer Einwilligung immanent ist, bereits an der Abhängigkeit und am Über-/Unterordnungsverhältnis scheitert. Zumindest seien sehr hohe Anforderungen an den Zweck der Einwilligung zu stellen.380) ___________ 376) Paal/Pauly-Gräber/Nolden, DS-GVO/BDSG, § 26 BDSG Rn. 13. 377) Paal/Pauly-Gräber/Nolden, DS-GVO/BDSG, § 26 BDSG Rn. 14; DSK-Kurzpapier Nr. 14, S. 1. 378) So i. E. wohl auch Woltersdorf, INDat Report 02/2018, 13. 379) Reisener/Weiß, InsbürO 10/2018, 383. 380) Ablehnend DSK-Kurzpapier Nr. 14, S. 2; Brink/Schmidt, MMR 2010, 593; Körner, AuR 2010, 419.
154
VII. Bewerbung als Insolvenzverwalter bei Gericht
Demgegenüber sieht selbst das Gesetz in § 26 Abs. 2 BDSG die Möglichkeit 493 der Einwilligung durch den Beschäftigten und gibt Beurteilungsmaßstäbe für die Freiwilligkeit an die Hand. Auch das BAG hat in einer Entscheidung381) ausgeführt, dass die Einwilligung im Beschäftigungsverhältnis der Schriftform bedarf. Im Umkehrschluss bedeutet dies, dass auch das BAG eine Einwilligung innerhalb eines Beschäftigungsverhältnisses per se als rechtmäßig ansieht. Abgesehen vom Meinungsstreit und dem Umstand, dass nach Meinung der 494 Autoren eine Einwilligung entbehrlich ist, da eine Rechtsgrundlage bereits in Art. 6 Abs. 1 Satz 2 lit. b) DSGVO i. V. m. § 26 Abs. 1 BDSG zu sehen ist,382) ist neben dem Aufwand bzw. den Kosten der Insolvenzkanzlei im Zusammenhang mit der Einholung entsprechender Einwilligung, ein weiterer Punkt die Widerruflichkeit der Einwilligung ohne Angabe von Gründen und stellt ein großes Hindernis dar. Ein solcher Widerruf gilt zwar zwangsläufig nur für die Zukunft, allerdings werden entsprechende Bewerbungen der Insolvenzverwalter regelmäßig erneuert bzw. aktualisiert.383) Eine solche Erneuerung dürfte dann aufgrund des Widerrufs diese Daten nicht mehr enthalten – jedenfalls die des konkreten Mitarbeiters nicht mehr. Praxistipp: Der Insolvenzverwalter sollte seine Bewerbung wie gewohnt versenden und die Angaben machen, die das Gericht verlangt. Natürlich hat er diese Angaben immer auch unter Beachtung der Grundsätze des Datenschutzes vorzunehmen und sollte prüfen, inwieweit diese Daten zwingend für die Zweckerfüllung benötigt werden. Der Zweck der Datenverarbeitung ist in der Bewerbung des Insolvenzverwalters zu sehen und zugleich zumindest als Nebeneffekt zum Zwecke der Durchführung des Beschäftigungsverhältnisses. Zu beachten ist, dass die Mitarbeiter des Insolvenzverwalters im Rahmen der Informationspflichten von der Verarbeitung in Kenntnis gesetzt werden. Von einer Einwilligung durch die Mitarbeiter wird wegen der bekannten Probleme zwar nicht abgeraten. Wichtiger ist es – wie immer – an der Stelle auch wegen der mit einer unwirksamen Einwilligung einhergehenden Risiken für den Insolvenzverwalter, die Überlegungen und die Verarbeitung zu dokumentieren.
___________ 381) BAG, Urt. v. 11.12.2014 – 8AZR 1010/13, NZA 2015, 604. 382) Reisener/Weiß, InsbürO 10/2018, 383. 383) Reisener/Weiß, InsbürO 10/2018, 383.
155
F. Datenschutz im Antragsverfahren Im folgenden Abschnitt wird beschrieben, was der (vorläufige) Insolvenz- 495 verwalter, der (vorläufige) Sachwalter und der Sachverständige datenschutzrechtlich bei der Verfahrensbearbeitung zu beachten haben. In der Insolvenzverwaltung wird eine Vielzahl von Daten an verschiedensten Stellen innerhalb des Verfahrens verarbeitet. Ebenso werden verschiedenste Kategorien von Daten verwertet. Häufig handelt es sich unstreitig um personenbezogene Daten. Dies erfordert vom Insolvenzverwalter, der bereits wie jedes Unternehmen als Verantwortlicher die internen personenbezogenen Daten verarbeitet, auch besondere Obacht bei der Verarbeitung von Daten aus dem jeweiligen Verfahren. Die Verfahrensbearbeitung unter datenschutzrechtlichen Gesichtspunkten 496 ist in der Vergangenheit in der Literatur bis auf einige Ausarbeitungen in Bezug auf die Übertragung von Kundendaten und damit einhergehend eine Diskussion bezüglich der Verantwortlichkeit des (vorläufigen) Insolvenzverwalters nur wenig beleuchtet worden. In der neueren Literatur wurde sich dem Thema etwas angenähert. Im Folgenden werden die im Rahmen der Verfahrensbearbeitung festgestellten Probleme beschrieben. Außerdem wird die von den Autoren empfohlene Vorgehensweise aufgezeigt werden. Auf eine gefestigte Rechtsprechung zur Verfahrensbearbeitung und deren 497 datenschutzrechtlichen Gesichtspunkten kann sich der Insolvenzverwalter nicht stützen, da Entscheidungen bis auf wenige Ausnahmen (meist zum Thema Datenübertragung) kaum vorliegen. Auch aufseiten der Aufsichtsbehörden liegen nur vereinzelt Handlungsempfehlungen für den Bereich der Insolvenzverwaltung vor. Allerdings ist erkennbar, dass die Aufsichtsbehörden dem Bereich Insolvenzverwalter zukünftig mehr Beachtung schenken wollen. Indiz für diese Annahme ist u. a. die Schaffung von Referaten bei Aufsichtsbehörden eigens für Rechtsanwälte und Insolvenzverwaltung.384) Die Autoren haben sich intensiv mit dem Thema Datenschutz in den einzelnen Verfahrensstadien befasst und unter Beachtung der aktuellen Gesetzeslage die Probleme diskutiert und Handlungsszenarien erstellt. Es wurden Ableitungen aus Empfehlungen der Aufsichtsbehörden aus anderen Bereichen gebildet und an eigene Erfahrungen bei der Betrachtung der Schnittmenge Insolvenzrecht und Datenschutzrecht angeknüpft. Um die Punkte, die ein (vorläufiger) Insolvenzverwalter, (vorläufiger) Sach- 498 walter oder Sachverständigen aus Datenschutzsicht beachten muss, und um die Aufgaben und Pflichten genauer einschätzen zu können, bedarf es zunächst der Bestimmung der Verantwortlichkeit für die jeweiligen personenbezogenen Daten in den jeweiligen Verfahrensstadien. ___________ 384) Organigramm der BlnBDI, Referat I. A.
157
F. Datenschutz im Antragsverfahren
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO 499 Vorrangig muss die Frage beantwortet werden, welche datenschutzrechtliche Stellung der Insolvenzverwalter im jeweiligen Verfahrensstadium und hinsichtlich der vorliegenden und zusätzlich erhobenen Daten einnimmt. Danach kann festgestellt werden, welche Bestimmungen einschlägig385) sind und welche Pflichten sich aus einer Verarbeitung ergeben. 500 Grundsätzlich bezeichnet der Begriff des „Verantwortlichen“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die Normadressaten der DSGVO und des BDSG sind. Wer für die Verarbeitung der personenbezogenen Daten grundsätzlich verantwortlich ist, den treffen die verschiedenen Verpflichtungen bei der Verarbeitung von personenbezogenen Daten. Im Rahmen der Anpassung an die DSGVO wird auch im BDSG nunmehr diese Begrifflichkeit verwendet. Der ehemals genutzte Begriff der „verantwortlichen Stelle“, wie er in § 3 Abs. 7 BDSG a. F. zu finden war, ist im Rahmen der Anpassung entfallen. 501 In der EG-Datenschutzrichtlinie,386) die durch die DSGVO mit Wirkung zum 25.5.2018 gemäß Art. 94 DSGVO aufgehoben wurde, wurde noch der Begriff „für die Verarbeitung Verantwortlichen“ in der deutschen Übersetzung verwendet. In der englischen Fassung der EG-Datenschutzrichtlinie und auch in der DSGVO ist jeweils von „Controller“ die Rede. Die Definition in der DSGVO ist hingegen wortidentisch mit der Begriffsbestimmung in der EGDatenschutzrichtlinie.387) 1. Begriffsbestimmung 502 Zunächst müssen die Begriffe der Handelnden gemäß den Kategorien der DSGVO eingeordnet werden, um danach eine Festlegung oder Einschätzung zur Verantwortlichkeit vornehmen zu können. Die einzelnen Begriffsbestimmungen finden sich anhand der Legaldefinition in Art. 4 DSGVO wieder. 503 Grundsätzlich kennt die DSGVO neben dem Betroffenen drei weitere Handelnde, die mehr oder weniger Bezugspunkte zur Verarbeitung von Daten haben. Dies sind der Verantwortliche (Art. 4 Nr. 7 DSGVO), der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) und der Dritte (Art. 4 Nr. 10). Es bedarf einer Abgrenzung der definierten Handelnden, um die datenschutzrechtliche Stellung des Insolvenzverwalters bestimmen zu können.
___________ 385) Hartung, ZInsO 2011, 1229. 386) Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 387) Plath-Schreiber, BDSG/DSGVO, Art. 4 DSGVO Rn. 25.
158
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
a) Verantwortlicher Die Definition des Begriffs des Verantwortlichen wird in Art. 4 Nr. 7 DSGVO 504 vorgenommen. Dort heißt es: „Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.“
Der Begriff des Verantwortlichen ist demzufolge und im Ergebnis weit aus- 505 zulegen.388) Die Entscheidungsbefugnis des Verantwortlichen kann sich ausdrücklich aus dem Recht ergeben oder durch eine Zuweisung von Aufgaben, die eine Zuständigkeit implizieren.389) Wichtig bei der Zuordnung ist der faktische Einfluss auf die Verarbeitung, aber nicht nur dieser. Entscheidend ist u. a. auch die tatsächliche Entscheidungs- und Verfügungsgewalt über die jeweiligen Verarbeitungsvorgänge.390) Die EuGH Entscheidung zur sog. Facebook-Fanpage391) relativiert diese An- 506 sicht etwas und meint, wenn an einer Entscheidung über die Zwecke und Mittel zumindest eine Beteiligung besteht, kann dies ein Anhaltspunkt für eine Verantwortung sein. In diesen Fällen ist von einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO auszugehen. Praxistipp: Im Zweifel sollte daher nach datenschutzrechtlichen Grundsätzen auch im Insolvenzverfahren zunächst auf die faktische Einflussmöglichkeit/Verantwortlichkeit für die jeweiligen personenbezogenen Daten abgestellt und versucht werden, dem bestmöglich gerecht zu werden – schon allein zur Vermeidung von Haftungsrisiken!
Um den Verantwortlichen bestimmen zu können, ist die Kenntnis darüber 507 wichtig, wer nach den Umständen und/oder der rechtlichen Zuweisung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.392) Wichtig für die Bestimmung als Verantwortlicher ist also die Feststellung, welcher Handelnde über die Entscheidungsmacht zur Verarbeitung verfügt. Des Weiteren spielt gemäß der Artikel-29-Datenschutzgruppe auch die Fachkompetenz des Verarbeitenden eine wichtige Rolle und führt bei ___________ 388) 389) 390) 391)
EuGH, Urt. v. 13.5.2014 – C – 131/12, GRUR 2014, 895. Thole, ZIP 2018, 1002. Thole, ZIP 2018, 1002. EuGH, Urt. v. 5.6.2018 – C – 210/16, ZD 08/2018, 357 (mit Anmerkung Marosi/ Matthé/Schulz, 361 ff.). 392) Vgl. Kühling/Buchner-Hartung DS-GVO/BDSG, Art. 4 DSGVO Rn. 13.
159
F. Datenschutz im Antragsverfahren
Bestehen zu einer Einstufung als Verantwortlicher für die Verarbeitung. So u. a. bei Rechtsanwälten bei der Vertretung von Mandanten vor Gericht. b) Dritter 508 Gemäß Art. 4 Nr. 10 DSGVO ist Dritter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle in Abgrenzung zu den anderen Handelnden und dem Betroffenen. Es handelt sich um einen datenschutzrechtlich Außenstehenden, der weder Verantwortlicher, Auftragsverarbeiter noch Betroffener ist und auch nicht unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt ist, die personenbezogenen Daten zu verarbeiten. Somit wird eine negative Abgrenzung zu den anderen genannten Akteuren vorgenommen.393) Dritte können Empfänger von Daten sein, z. B. im Rahmen einer übertragenden Sanierung oder auch Lieferanten von Daten, z. B. bei einer Datenerhebung bei Dritten. 509 Eine Einordnung als Dritter für den Insolvenzverwalter scheidet aus, da der Dritte bei dieser Betrachtung und der Begriffseinordnung keine Verarbeitung vornimmt. c) Auftragsverarbeiter 510 Art. 4 Nr. 8 DSGVO definiert den Auftragsverarbeiter als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 511 Eine rechtmäßige Verarbeitung kann nur der Verantwortliche auf Basis einer Einwilligung oder gesetzlichen Grundlage veranlassen. Allerdings besteht für den Verantwortlichen die Möglichkeit, durch einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einen Auftragsverarbeiter zu beauftragen unter der Verantwortung des Verantwortlichen für diesen tätig zu werden. Der Auftragsverarbeiter fungiert in Bezug auf die personenbezogenen Daten für den Verantwortlichen quasi als Marionette.394) Er ist bei der Verarbeitung weisungsgebunden und darf die personenbezogenen Daten ausschließlich im Rahmen der Weisung verarbeiten (Art. 29 DSGVO). 512 Der Auftragsverarbeiter nimmt eine Verarbeitung personenbezogener Daten ausschließlich im Auftrag des Verantwortlichen vor (siehe Rn. 320 ff.). Der Auftragsverarbeiter selbst ist im Rahmen der gegenständlichen Verarbeitung von personenbezogenen Daten nicht Verantwortlicher. Außerhalb des Auftrags für interne Verarbeitungen von personenbezogene Daten fungiert er als Verantwortlicher weiter für die von ihm vorgenommene und veranlasste Verarbeitung. ___________ 393) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 59; Plath-Schreiber, BDSG/ DSGVO, Art. 4 DSGVO Rn. 33. 394) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 56.
160
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
Der Verantwortliche trifft die Entscheidungen bezüglich der Zwecke und 513 Mittel der Verarbeitung. Somit entscheidet dieser über das „Warum“ und das „Wie“ der Verarbeitung. Der Auftragsverarbeiter muss sich an diese Anweisungen zwingend halten. Dem Auftragsverarbeiter wird dabei ein gewisser Handlungsspielraum beim „Wie“ zugesprochen, wenn es um das Schutzniveau der personenbezogenen Daten geht, insbesondere hinsichtlich der TOM. Diese muss der Auftragsverarbeiter ergreifen, um die personenbezogenen Daten aus dem Verantwortungsbereich des Auftraggebers als Verantwortlichen zu schützen,395) und das Bestehen der TOM innerhalb der Vereinbarung zur Auftragsverarbeitung angeben. Auch die Artikel-29-Datenschutzgruppe nimmt in ihrem Arbeitspapier396) 514 eine umfangreiche Begutachtung der Stellung des Verantwortlichen und des Auftragsverarbeiters vor. Dieses Arbeitspapier bezieht sich auf die Vorschriften der EU-Datenschutzrichtlinie, die grundsätzlichen Erwägungen sind aber auch auf die DSGVO anwendbar.397) Die Datenschutzgruppe vertritt dabei die Ansicht, dass es eines Ermessenspielraums im Hinblick auf die Verarbeitung bedarf, um festlegen zu können, wann jemand als Verantwortlicher und wann jemand als Auftragsverarbeiter anzusehen ist. Entscheidend für die Bestimmung des Verantwortlichen ist die Frage, wer die Verfügungs- oder Entscheidungsgewalt über die Daten hat, so die Artikel-29-Datenschutzgruppe. Das grundlegende Element der Zuordnung des Verantwortlichen ist gemäß Übereinkommen in der ausgearbeiteten englischen Fassung „zuständig ist, (…) zu entscheiden“ („who is competent…to decide“). Demnach ist es möglich, auch unabhängig von gesetzlichen Zuständigkeiten oder Befugnissen zur Kontrolle von Daten, ein Verantwortlicher zu sein – vorstellbar sogar rein faktisch. Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, 515 in denen eine Stelle von einer anderen im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.398) Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h. mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.399) Dabei ist z. B. abzustellen auf Botendienste, Postdienstleistungen, Bankdienstleistungen bei reinen Geldkonten etc.
___________ 395) DSK-Kurzpapier Nr. 13, S. 1. 396) Artikel-29-Datenschutzgruppe, WP169. 397) DSK-Kurzpapier Nr. 13, S. 1; zustimmend Filip, BvD-News 3/2017, 11; Schild, in: BeckOK DatenschutzR, DS-GVO, Art. 4 Rn. 88; Kühling/Buchner-Hartung, DS-GVO/ BDSG, Art. 4 DSGVO Rn. 13. 398) BayLDA, FAQ-DS-GVO v. 20.7.2018 – Was ist Auftragsverarbeitung und was nicht? 399) BayLDA, FAQ-DS-GVO v. 20.7.2018 – Was ist Auftragsverarbeitung und was nicht?
161
F. Datenschutz im Antragsverfahren
516 Dieser harten Abgrenzung ist nicht vollständig und nicht undifferenziert beizupflichten. Der BayLDA sieht u. a. die Tätigkeit eines IT-Dienstleisters als Auftragsverarbeitung an. Zwar hat dieser einen potenziellen Zugriff auf personenbezogene Daten, aber es kann bei der Dienstleistung nicht davon gesprochen werden, dass eine Datenverarbeitung von personenbezogenen Daten ein wichtiger Bestandteil der Tätigkeit ist. Ähnlich muss die Betrachtung bei Entsorgern von Datenträgern erfolgen. 517 Ebenso nimmt die Artikel-29-Datenschutzgruppe eine ähnliche Abgrenzung wie die BayLDA vor, indem sie einen Auftragnehmer, der einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, mit einem für die Verarbeitung Verantwortlichen (oder möglicherweise einen gemeinsam für die Verarbeitung Verantwortlichen) gleichsetzt.400) Dieser Abgrenzung ist beizupflichten, sofern die Abgrenzung hinsichtlich des Einflusses auf die Verarbeitung abstellt. Der Auftragsverarbeiter ist ebenso als Verantwortlicher anzusehen, wenn er entgegen der Vereinbarung oder Grundlage des Auftrags über die Zwecke und Mittel der Verarbeitung bestimmt.401) 518 Exkurs: Anwälte und Steuerberater als „Auftragsverarbeiter“ Bereits standesrechtlich begründet bestanden und bestehen vice versa an Vorstehendem Zweifel, ob beispielsweise ein vom Insolvenzverwalter beauftragter Prozessanwalt, Steuerberater oder/und Wirtschaftsprüfer datenschutzrechtlich lediglich „Auftragsverarbeiter“ sein kann. Dies dürfte mangels Weisungsgebundenheit im Ergebnis zu verneinen sein. Anders exemplarisch bei reinen Buchführungsarbeiten – insbesondere eines Buchhaltungsbüros nicht standesrechtlicher Prägung. 2. Einordnung Insolvenzverwalter nach seiner jeweiligen Funktion 519 In der Literatur wurde bisher nur vereinzelt das Thema Verantwortlichkeit des Insolvenzverwalters hinsichtlich seiner jeweiligen Funktion bzw. des jeweiligen Verfahrensstadiums behandelt.402) Zum Sachverständigen und Sachwalter wurde in letzter Zeit vermehrt Stellung genommen. Zum Insolvenzverwalter und vorläufigen Insolvenzverwalter gab es vorher einige Stimmen im Schrifttum, die sich dem Thema zugewandt haben, mit Wirksamwerden der DSGVO kamen weitere Betrachtungen hinzu. Die h. M. geht davon aus, dass der Insolvenzverwalter spätestens im eröffneten Verfahren Verantwortlicher ist.403) Dabei wird i. d. R. auf die Verfahrenseröffnung und den Eröff___________ 400) Artikel-29-Datenschutzgruppe, WP169, S. 18. 401) Schild, in: BeckOK DatenschutzR, DS-GVO, Art. 4 Rn. 96. 402) Bornheimer/Park, NZI 2018, 877; Schmitt/Heil, NZI 2018, 865; Theurich/Degenhart, NZI 2018, 870; Thole, ZIP 2018, 1001. 403) Berberich/Kanschik, NZI 2017, 5; Beyer/Beyer, NZI 2016, 243; Theurich/Degenhart, NZI 2018, 873; Thole, ZIP 2018, 1001; Bornheimer/Park, NZI 2018, 880.
162
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
nungsbeschluss gemäß § 27 Abs. 1 Satz 1 InsO abgestellt sowie auf den Übergang der Verwaltungs- und Verfügungsbefugnis.404) Dies dürfte grundsätzlich zutreffend sein. Die Verantwortlichkeit des Insolvenzverwalters resultiert aus dem Übergang der Verwaltungs- und Verfügungsbefugnis auf den Insolvenzverwalter gemäß § 80 Abs. 1 InsO und dem gleichzeitigen Verlust des Schuldners, auf die Verarbeitung von personenbezogenen Daten Einfluss nehmen zu können.405) Zum Teil wird auf die Inbesitznahme und den tatsächlichen Besitz und die Entscheidungsgewalt über die Verarbeitungsvorgänge zusätzlich abgestellt,406) was auch interessensgerecht wäre, der insolvenzrechtlichen Realität und insbesondere der Verpflichtung des Insolvenzverwalters zur Inbesitznahme aus §§ 148, 159 InsO aber nicht gerecht wird. Zweifelsohne ist jedoch eine differenzierte Betrachtung einer evtl. Abweichung von dieser grundsätzlichen Verantwortlichkeit nach Insolvenzeröffnung vorzunehmen – insbesondere wenn im Hinblick auf Daten eine gemeinsame Verantwortlichkeit vorhanden ist oder die Verantwortlichkeit des Insolvenzverwalters ggf. sogar per „verbotener Eigenmacht“ durch Dritte „vereitelt“ wird. a) Arten der Daten und Zweck ihrer Erhebung Die genannten Erwägungen beziehen sich überwiegend auf Daten, die meist 520 vom Schuldner zur Durchführung seiner geschäftlichen Tätigkeit erhoben wurden. Dabei handelt es sich u. a. um Mitarbeiterdaten, Kundendaten, Daten von Dienstleistern etc. Diese Daten beinhalten zum Teil personenbezogene Daten, die betrachtet werden müssen und für deren Verarbeitung der Verantwortliche bestimmt werden muss. Dies gilt insbesondere für die vom Schuldner erhobenen und bis dato verarbeiteten personenbezogenen Daten. Diese sog. „Unternehmensdaten“ wurden i. d. R. vom Schuldner bereits vorinsolvenzlich zu geschäftlichen Zwecken des Schuldners erhoben. Für die hier vorgenommene Betrachtung wird davon ausgegangen, dass die Daten rechtmäßig durch den Schuldner erhoben wurden. Praxistipp: Bereits aus der Entscheidung des OLG Frankfurt/M. v. 24.1.2018 – 13 U 165/16407) lässt sich ableiten, dass es für den Insolvenzverwalter äußerst ratsam sein kann, sich – jedenfalls spätestens vor einer Übertragung derselben – über die tatsächlich rechtmäßige, vor allem nicht wettbewerbswidrige Erhebung durch den Schuldner Gedanken zu machen.
Es gibt aber auch Daten, die sich nicht aus den vorliegenden Unternehmens- 521 daten speisen, sondern von den Gerichten, z. B. in der Insolvenzakte, und durch den Insolvenzverwalter selbst erhoben bzw. verarbeitet werden. Diese Daten, ___________ 404) 405) 406) 407)
Berberich/Kanschik, NZI 2017, 5. Beyer/Beyer, NZI 2016, 243; Berberich/Kanschik, NZI 2017, 5. Berberich/Kanschik, NZI 2017, 5; Thole, ZIP 2018, 1003. Siehe dazu Weiß, ZInsO 2018, 1717.
163
F. Datenschutz im Antragsverfahren
hier als „Verfahrensdaten“ bezeichnet, beinhalten ebenso häufig personenbezogene Daten und haben mit der schuldnerischen geschäftlichen Tätigkeit vorwiegend nichts zu tun.408) Natürlich gibt es hier Schnittmengen. 522 Gemeint sind u. a. Daten hinsichtlich des Vermögens des Schuldners, Daten von Gläubigern zur Tabellenbearbeitung, Daten von potenziellen Interessenten sowie sehr persönliche Daten des Schuldners und dessen familiären Umkreises. Zweck der Erhebung dieser Daten ist die Durchführung des Insolvenzverfahrens unter Beachtung der insolvenzrechtlichen Bestimmungen. b) Einordnung vorläufiger Insolvenzverwalter aa) Betrachtung hinsichtlich der Unternehmensdaten 523 Den oben genannten Ausführungen folgend ist davon auszugehen, dass der vorläufige Insolvenzverwalter aufgrund der fehlenden Einflussmöglichkeit und Entscheidungsbefugnis für die Datenverarbeitungsvorgänge nicht als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist.409) Zumindest in den Fällen, in denen der Schuldner im Hinblick auf das Vermögen verwaltungs- und verfügungsbefugt bleibt und es sich um Unternehmensdaten handelt.410) 524 Zum einen hat der vorläufige (schwache) Insolvenzverwalter weder die für die Verantwortlichkeit nach der DSGVO erforderliche Entscheidungsbefugnis für die Zwecke und Mittel der Verarbeitung, noch hat er wegen des fehlenden tatsächlichen Einflusses die Möglichkeit, die Verarbeitungsvorgänge im schuldnerischen Unternehmen zu lenken. Er hat kurz gefasst nur Vermögen zu sichern. Und kann/soll zu Verfügungen des Schuldners seine Zustimmung erteilten (§ 22 Abs. 1 InsO) – sofern diese insolvenzrechtskonform sind. Die Verantwortlichkeit für die Unternehmensdaten liegt in diesem Fall weiterhin beim Schuldner. Dies dürfte unstreitig sein, schon allein aufgrund der fehlenden gesetzlichen Entscheidungsmöglichkeiten – und letztlich der fehlenden Kenntnisse des vorläufigen Insolvenzverwalters hinsichtlich der Verarbeitungsvorgänge beim Schuldner. bb) Betrachtung hinsichtlich der Verfahrensdaten 525 Bezüglich der Verfahrensdaten muss etwas anderes gelten. Diese verarbeitet der vorläufige Insolvenzverwalter oder auch Sachverständige, um verfahrensrelevante Punkte zu klären und zu bearbeiten. Er schreibt in seiner Funktion als vorläufiger Insolvenzverwalter Debitoren an, bezieht Auskünfte von Dritten, erkundigt sich bei Vermietern und erhebt bei diesen Daten, führt ggf. Gespräche mit Interessenten und verarbeitet in Vorbereitung der Gespräche ___________ 408) Zustimmend Bornheimer/Park, NZI 2018, 878. 409) Siehe Theurich/Degenhart, NZI 2018, 872. 410) Siehe Berberich/Kanschik, NZI 2017, 5, Schmitt/Heil, NZI 2018, 865.
164
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
deren Daten. Insbesondere erhebt er beim Schuldner personenbezogene Daten, die der vorläufige Insolvenzverwalter bzw. Sachverständige für sein Gutachten benötigt. Eine Verarbeitung liegt in jeglicher Art des Umgangs mit personenbezogenen Daten, auch lediglich im Speichern. Es stellt sich die Frage, inwieweit der vorläufige Insolvenzverwalter als Ver- 526 antwortlicher für die Verarbeitung der Verfahrensdaten, die durch ihn oder das Gericht erhoben werden, anzusehen ist oder eventuell als Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO für das Gericht fungiert. Letzteres wird u. a. vom VID vertreten,411) ist aber i. E. neben standes-/berufsrechtlichen Erwägungen an anderer Stelle dieses Buches schon aus der Praxis zweifelhaft. cc) Auftragsverarbeitung Der VID sieht in seiner Stellungnahme die Tätigkeit des Insolvenzverwalters 527 in einigen Bereichen datenschutzrechtlich als Auftragsverarbeitung an, da dem Insolvenzverwalter im Rahmen seiner Funktion als Sachverständiger, als vorläufiger Sachwalter, als vorläufiger Insolvenzverwalter, als Sachwalter, als Insolvenzverwalter und auch als Sonderinsolvenzverwalter unter Bezugnahme auf den gerichtlichen Auftrag und der Bestallungsurkunde, die dort genau bezeichneten Aufgaben zugewiesen wurden.412) Dabei sind zahlreiche Rechte und Pflichten des Insolvenzverwalters gesetzlich fixiert.413) Diese Ansicht ist hinsichtlich des Auftrags und der Tätigkeit für das Gericht auch nachvollziehbar. Allerdings bedarf es zunächst gesetzlicher Regelungen oder aber entsprechender Vereinbarungen mit den Insolvenzgerichten, um eine solche Auftragsverarbeitung auf eine (datenschutz-)rechtliche Grundlage wie Art. 28 DSGVO zu stellen. Den Autoren ist dies in der Praxis bis dato tatsächlich aber nicht untergekommen. Die Grundlage einer Auftragsverarbeitung (siehe Rn. 323 f.) bildet ein Vertrag 528 oder ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter bei seiner Tätigkeit für den Verantwortlichen an ebenjenen bindet (Art. 28 Abs. 3 DSGVO). Innerhalb eines solchen Vertrages oder eines entsprechenden Rechtsinstruments sind die zugrunde gelegten Inhalte der Auftragsverarbeitung festzulegen. Ein solches Rechtsinstrument könnte nach Sicht des VID die Bestallungsurkunde sein.414) Es wird darauf verwiesen, dass die Aufgaben des Verwalters ___________ 411) VID, Stellungnahme des Verbandes Insolvenzverwalter Deutschlands (VID) zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 (im Folgenden: DSGVO). 412) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 7. 413) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 7. 414) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 8.
165
F. Datenschutz im Antragsverfahren
dabei entweder in der Bestallungsurkunde dokumentiert sind oder sich unmittelbar aus dem Gesetz ergeben.415) 529 Eine Einordnung des vorläufigen Insolvenzverwalters als Auftragsverarbeiter für das Gericht hinsichtlich der Verarbeitung der personenbezogenen Daten, die sich bei der Erhebung der Verfahrensdaten ergeben, hätte eine für den Insolvenzverwalter positive und vor allem erleichternde Konsequenz. So wäre die Beachtung und Erfüllung der Betroffenenrechte (siehe Rn. 370 ff.) beim Gericht als Verantwortlicher verortet. Auch wäre die Haftungssituation des Insolvenzverwalters als Auftragsverarbeiter neu zu beleuchten. Einige, nicht unwesentliche Punkte, sprechen aktuell aber gegen eine Einordnung des (vorläufigen) Insolvenzverwalters oder Sachwalters als Auftragsverarbeiter. 530 Wann ein Auftragnehmer als Auftragsverarbeiter einzuordnen ist und die Beauftragung des Dienstleisters datenschutzrechtlich privilegiert und zugleich von der Betrachtung der Rechtmäßigkeit der Vereinbarung gemäß Art. 6 DSGVO entbunden wird, ergibt sich aus Art. 28 DSGVO.416) Gegen die Einordnung des vorläufigen Insolvenzverwalters als Auftragsverarbeiter zur Verarbeitung der Verfahrensdaten für das Gericht spricht bereits das Nichtvorliegen eines Vertrages über eine solche Auftragsverarbeitung bzw. eines entsprechenden Rechtsinstruments. Eine wirksame Auftragsvereinbarung, wie sie das Gesetz in Art. 28 DSGVO vorsieht, wird mit dem Gericht nicht abgeschlossen. Der Beschluss als solcher enthält nicht die benötigten Angaben einer Vereinbarung, gemäß Art. 28 Abs. 3 DSGVO. Auch eine entsprechende gesetzliche Regelung liegt bis dato nicht vor. 531 Der Vertrag (bzw. das äquivalente Rechtsinstrument) muss den Auftragsverarbeiter an den Verantwortlichen rechtlich und nicht nur tatsächlich binden.417) Sollte eine unrichtige, unvollständige oder gar keine Vereinbarung bzw. ein äquivalentes Rechtsinstrument vorliegen, wird der Auftragnehmer mit Empfang der Daten zum Verantwortlichen und es bedarf für die Verarbeitung einer Rechtsgrundlage.418) 532 Eine streng weisungsgebundene Datenverarbeitung, wie sie das Gesetz für den Auftragsverarbeiter vorsieht, findet beim vorläufigen Insolvenzverwalter, zumindest bei den Daten, die er selbst erhebt, nicht nur nach Ansicht der Autoren nicht statt. Der vorläufige Insolvenzverwalter steht lediglich unter der Aufsicht des Gerichts (§ 58 InsO). Inhaltlich handelt es sich dabei indes um eine Rechtmäßigkeitskontrolle. Die Art und Weise auch der Verarbeitung personenbezogener Daten liegt im pflichtgemäßen Ermessen des vorläufigen Insolvenzverwalters. Zudem darf bezweifelt werden, dass die Insolvenzge___________ 415) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 8. 416) Eckhardt, CCZ 2017, 114. 417) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 28 DSGVO Rn. 28. 418) Vgl. auch Eckhardt, DuD 9/2013, 587.
166
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
richte gerade dahingehende Weisungen erteilen wollen oder/und entsprechendes Verhalten des (vorläufigen) Insolvenzverwalters kontrollieren möchten. Dies auch umfangreicher, als es teilweise dem Auftragsverarbeiter zugesprochen wird. Der vorläufige Insolvenzverwalter entscheidet selbstständig nicht nur bezüglich der technischen und organisatorischen Maßnahmen, sondern entscheidet eigenständig auch das „Ob“ und „Wo“ in Bezug auf die Erhebung der personenbezogenen Daten. Damit wäre der vorläufige Insolvenzverwalter bei Betrachtung als Auftragsverarbeiter gemäß Art. 28 Abs. 10 DSGVO aufgrund der Bestimmung über die Zwecke und Mittel, zumindest für einen umfangreichen Teil der Verarbeitung, als Verantwortlicher anzusehen. Außerdem wird seitens einiger Aufsichtsbehörden aktuell die Ansicht vertre- 533 ten, dass der Insolvenzverwalter nicht als Auftragsverarbeiter tätig sein kann.419) Begründet wird dies nicht ausdrücklich. Es ist zu vermuten, dass sich diese Ansicht im Zusammenhang mit den speziellen Fachkenntnissen und insbesondere der Einstufung von Rechtsanwälten und Steuerberatern als Verantwortliche aufgrund der bestehenden Berufsordnungen und den sich daraus ergebenen Berufsgeheimnissen gebildet hat. Für den Insolvenzverwalter liegt eine solche Berufsordnung (bislang) zwar nicht vor, aber die Vermutung liegt nahe, dass diese Einordnung nach Ansicht der Aufsichtsbehörden aufgrund der Nähe zu diesen Berufen vorgenommen wird. Ein weiterer Punkt, der nicht zwingend gesetzlich begründet ist, aber den- 534 noch in die Betrachtung mit einfließen sollte, ist die Ansicht der jeweiligen Gerichte. Diese sehen, nach aktueller Einschätzung und einigen Gesprächen, eine Auftragsverarbeitung des vorläufigen Insolvenzverwalters für das Gericht und somit das Gericht als Verantwortlichen zutreffenderweise nicht. Dies mag auch dem Umstand geschuldet sein, dass unter Betrachtung der umfangreichen Betroffenenrechte und Verortung der sich daraus ergebenden Pflichten beim Verantwortlichen, das Gericht als dann anzusehender Verantwortlicher sich vor organisatorische Schwierigkeiten gestellt sehen könnte.420) Natürlich kann dies nicht als Begründung für ein Nichtbestehen einer entsprechenden Auftragsverarbeitung dienen, aber im Hinblick auf die notwendige Auftragsvereinbarung in solchen Fällen sollte dies nicht außer Acht gelassen werden. Aufgrund der aktuellen Rechtslage ist die Einordnung des vorläufigen Insol- 535 venzverwalters bei der Verarbeitung der Verfahrensdaten als Auftragsverarbeiter des Gerichts nach Ansicht der Autoren – auch wenn die Einordnung als Auftragsverarbeiter zu einer erheblichen Erleichterung der Arbeitsweise des (vorläufigen) Insolvenzverwalters führen könnte – nicht anzunehmen, da ___________ 419) Vgl. Schreiben des BayLDA v. 20.7.2018 zur Abgrenzung der Auftragsverarbeitung, BayLDA, FAQ-DS-GVO. 420) Dies würde auch der Realität in Insolvenz(-eröffnungs-)verfahren nicht gerecht werden.
167
F. Datenschutz im Antragsverfahren
es an den Grundlagen einer solchen Auftragsverarbeitung fehlt. Vielmehr würde auch hier de lege ferenda ein § 5a InsO (siehe Rn. 54) helfen. dd) Verantwortlicher 536 Der vorläufige Insolvenzverwalter ist bis dato als Verantwortlicher für die Verarbeitung der Verfahrensdaten anzusehen.421) Eine Auftragsverarbeitung i. S. d. DSGVO liegt nicht vor bzw. es fehlt an den rechtlichen Voraussetzungen. Eventuell ist eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit dem Gericht gegeben, wie sie auch bereits durch den EuGH in einem anderen Sachverhalt bestätigt wurde.422) Hierfür bedarf es aber einer Vereinbarung zwischen den Verantwortlichen in transparenter Form bzw. einer Rechtsvorschrift der Union oder des Mitgliedstaates, insbesondere wer welche Verpflichtungen bei den Betroffenenrechten übernimmt, explizit die Erfüllung der Informationspflichten gemäß Art. 13, 14 DSGVO. Eine solche Vereinbarung wird aber bis dato nicht abgeschlossen. Auch würde eine Vereinbarung zu einer gemeinsamen Verantwortlichkeit nicht zwingend dazu führen, dass der vorläufige Insolvenzverwalter entlastet wird. Vielmehr ist zu erwarten, dass im Rahmen einer Vereinbarung diesem die Verpflichtung zugesprochen wird, etwaige Rechte und Ansprüche der Betroffenen zu erfüllen. 537 Die Rechtsgrundlage für die Verarbeitung der Verfahrensdaten ist in Art. 6 Abs. 1 Satz 1 lit. c) und f) i. V. m. §§ 5, 22, 97 InsO zu sehen. Für den vorläufigen Insolvenzverwalter ergibt sich eine rechtliche Verpflichtung zur Verarbeitung von personenbezogenen Daten aufgrund des Auftrags des Gerichts und seiner Bestellung anhand eines gerichtlichen Beschlusses. Der Umfang und Zweck ergibt sich zum Teil aus der Insolvenzordnung. So ist der vorläufige Insolvenzverwalter berechtigt, zum Zweck der Erfüllung seines Auftrags und weiterführend zur Durchführung des Insolvenzverfahrens alle Daten zu erfassen und zu verarbeiten. 538 Sofern keine Vereinbarung oder Rechtsvorschrift in Bezug auf die gemeinsame Verantwortlichkeit vorliegt, ist der vorläufige Insolvenzverwalter als Verantwortlicher gehalten, in Bezug auf die Verfahrensdaten die entsprechenden Betroffenenrechte zu gewährleisten und im Rahmen der gesetzlichen Vorgaben zu erfüllen. c) Einordnung Insolvenzverwalter 539 Beim Insolvenzverwalter bedarf es keiner Einordnung der Verarbeitung der personenbezogenen Daten in Unternehmensdaten und Verfahrensdaten, wie sie beim vorläufigen Insolvenzverwalter aufgezeigt wurde. Bezüglich der Verfahrensdaten ändert sich an der Betrachtung nichts. ___________ 421) Siehe Theurich/Degenhart, NZI 2018, 872; Schmitt/Heil, NZI 2018, 865. 422) EuGH, Urt. v. 5.6.2018 – C – 210/16, ZD 08/2018, 357 (mit Anmerkung Marosi/ MatthéSchulz, S. 361 ff.).
168
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
Bei den Unternehmensdaten ist der Meinung der Literatur zu folgen, dass 540 der Insolvenzverwalter für die Verarbeitung der personenbezogenen Daten im schuldnerischen Unternehmen nach Verfahrenseröffnung verantwortlich ist, zumindest für diese Daten, deren Verarbeitung er auch tatsächlich beeinflussen und entscheiden kann.423) Der Insolvenzverwalter tritt nach Verfahrenseröffnung für das zur Masse gehörende Vermögen in die Rechte und Pflichten des Schuldners ein.424) Dies betrifft auch die Pflicht zur Einhaltung der datenschutzrechtlichen Regeln. Dem Schuldner fehlt es ab dem Übergang der Verwaltungs- und Verfügungsbefugnis auf den Insolvenzverwalter gemäß § 80 Abs. 1 InsO an der rechtlichen Entscheidungsmacht und Einflussnahme auf die Verarbeitungsvorgänge.425) Allerdings kann weiterhin eine tatsächliche Einflussnahme vorliegen, da u. a. der Schuldner im Besitz der Daten sein kann. Der Insolvenzverwalter ist somit als Verantwortlicher für die Verarbeitungs- 541 tätigkeiten im schuldnerischen Unternehmen einzuordnen, zumindest für die Verarbeitungstätigkeiten, die er tatsächlich beeinflussen und über die er entscheiden kann.426) Dies kann aber nicht für personenbezogene Daten oder Verarbeitungsvorgänge gelten, die der Insolvenzverwalter nicht in Besitz genommen hat bzw. nicht in Besitz nehmen konnte. Ohne die Möglichkeit eines tatsächlichen Zugriffs kann der Verantwortliche die Entscheidung über Zweck und Mittel der Verarbeitung nicht treffen.427) Auch das OLG Hamburg geht in einer Entscheidung davon aus, dass die rechtliche Verantwortung für den Verarbeitungsvorgang verlorengehen kann, wenn in tatsächlicher Hinsicht keine Möglichkeit besteht, auf diesen einzuwirken, weil z. B. ein entsprechender Datenträger nicht mehr in Besitz ist.428) Demzufolge kann der Insolvenzverwalter nur für die Verarbeitung von personenbezogenen Daten als Verantwortlicher angesehen werden, wenn er über die Daten verfügen und auch faktisch auf diese zugreifen kann.429) Selbiges muss auch für freigegebene Gegenstände und Daten gelten. Auch auf diese Daten kann der Insolvenzverwalter nach der Freigabe nicht mehr faktisch zugreifen. Er kann außerdem weder die Verarbeitungstätigkeit beeinflussen noch über diese entscheiden. Somit geht die Möglichkeit verloren, über Zweck und Mittel der Verarbeitung zu entscheiden, und mit Blick auf die Legaldefinition bezüglich des Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO kann diese auf den Insolvenzverwalter nach erfolgter Freigabe nicht mehr angewendet werden.
___________ 423) 424) 425) 426) 427) 428) 429)
Vgl. Thole, ZIP 2018, 1001. Zutreffend auch Thole, ZIP 2018, 1002. Beyer/Beyer, NZI 2016, 243. Thole, ZIP 2018, 1003. Thole, ZIP 2018, 1003. OLG Hamburg, Urt. v. 2.8.2011 – 7 U 134/10, ZUM 2012, 405. Vgl. Thole, ZIP 2018, 1003.
169
F. Datenschutz im Antragsverfahren
Beispiel: Nach der hier vertretenen Meinung, kann der Insolvenzverwalter nicht als Verantwortlicher angesehen werden für Verarbeitungstätigkeiten, die er nicht beeinflussen, entscheiden oder gar kontrollieren kann. Liegen also Daten des schuldnerischen Unternehmens auf Systemen, die nicht im Zugriff des Insolvenzverwalters stehen, kann dieser per se nicht dafür Sorge tragen, dass die datenschutzrechtlichen Vorschriften für diese Daten eingehalten werden. Dies insbesondere, wenn der Insolvenzverwalter keine Kenntnis von diesen Daten hat. Eine Verantwortlichkeit für diese Daten kann in diesem Fall nicht beim Insolvenzverwalter zu sehen sein, auch und gerade unter Betrachtung der Definition des Begriffs „Verantwortlicher“. d) Einordnung Sachverständiger 542 Für den Sachverständigen müssen dieselben Vorgaben und Ansichten wie für den vorläufigen Insolvenzverwalter gelten. Lediglich der Umstand, dass bei der Beauftragung des Sachverständigen i. d. R. innerhalb des Verfahrens keine Verarbeitung von Unternehmensdaten stattfindet, da die geschäftlichen Tätigkeiten meist bereits eingestellt wurden, führt dazu, dass keine Unterscheidung zwischen Unternehmensdaten und Verfahrensdaten vorgenommen werden muss. Andernfalls erfolgt i. d. R. im Nachhinein die Bestellung zum vorläufigen Insolvenzverwalter. 543 Für die sog. Verfahrensdaten kann auf die Ausführungen zum vorläufigen Insolvenzverwalter verwiesen werden (siehe Rn. 523 ff.). Der Sachverständige erhebt ebenso wie der vorläufige Insolvenzverwalter Verfahrensdaten, darunter auch personenbezogene Daten zum Zweck der Durchführung des Insolvenzverfahrens und im speziellen der Erfüllung des Gutachtenauftrags. Als Rechtsgrundlage für die rechtmäßige Verarbeitung ist ebenso Art. 6 Abs. 1 Satz 1 lit. c) und f) DSGVO einschlägig. 544 Auch für den Sachverständigen hält der VID die Stellung als Auftragsverarbeiter für möglich. Der gerichtliche Beschluss, der die Bestellung des Sachverständigen vorsieht, benennt die einzelnen Aufgaben des Sachverständigen.430) Wenn das Gericht seine Amtsermittlungen nach § 5 InsO zulässigerweise auf einen Sachverständigen delegiert, ist der Sachverständige als „Gehilfe des Gerichts“ anzusehen.431) Gegebenenfalls könnte der Sachverständige in diesem Fall im Rahmen der justiziellen Tätigkeit des Gerichts handeln. Dies würde dazu führen, dass der Sachverständige bei dieser Tätigkeit gemäß Art. 55 Abs. 3 DSGVO nicht in den Zuständigkeitsbereich der Aufsichtsbehörden fallen würde, aber dennoch nichts an einer notwendigen Einordnung des Sach___________ 430) VID-Stellungnahme zum RefE des Datenschutz-Anpassungs-u. Umsetzungsgesetzes EU, S. 8. 431) VID-Stellungnahme zum RefE des Datenschutz-Anpassungs-u. Umsetzungsgesetzes EU, S. 8.
170
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
verständigen ändern. Eine Auftragsverarbeitung liegt dennoch nicht vor, da bis dato kein Rechtsinstrument geschaffen wurde, das eine solche Auftragsvereinbarung regelt, und nach bisherigen Erkenntnissen mit dem Gericht auch keine entsprechende Vereinbarung abgeschlossen wurde, wie es der Art. 28 Abs. 3 DSGVO vorsieht. Daher muss nach Ansicht der Autoren für den Sachverständigen ebenso gel- 545 ten, dass dieser für die Verfahrensdaten, die er erhebt bzw. vom Gericht erhält, als Verantwortlicher angesehen werden muss.432) Dies führt ebenfalls dazu, dass der Sachverständige die datenschutzrechtlichen Vorgaben für die personenbezogenen Daten insbesondere hinsichtlich der Betroffenenrechte erfüllen muss. e) Einordnung (vorläufiger) Sachwalter Der (vorläufige) Sachwalter wird bereits abstellend auf § 270 Abs. 1 InsO a. A. 546 hinsichtlich der Unternehmensdaten nicht als Verantwortlicher anzusehen sein, auch nicht nach Verfahrenseröffnung. Der (vorläufiger) Sachwalter ist aufgrund des gerichtlichen Auftrags nicht in der Lage, die Verarbeitungstätigkeiten beim eigenverwaltenden Schuldner zu bestimmen oder zu beeinflussen. Ihm obliegt die Überwachung und Überprüfung der wirtschaftlichen Lage des eigenverwaltenden Schuldners und der Geschäftsführung der Eigenverwaltung – und zwar allein im Hinblick auf eine Insolvenzrechtskonformität. Auf die laufenden Datenverarbeitungsvorgänge hat er anhand seiner Berichtspflicht an das Gericht, nur bedingt eine Einflussmöglichkeit. Eine direkte Einwirkung auf die jeweilige Verarbeitung ist dem Sachwalter nicht möglich. Nur wenn der (vorläufige) Sachwalter – erst recht unter Ausschluss des Schuldners – Datenverarbeitungsvorgänge steuern könnte, kann er als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO angesehen werden.433) Für die personenbezogenen Daten aus dem Bereich der Verfahrensdaten, die 547 vom (vorläufigen) Sachwalter z. B. im Rahmen der Berichtserstattung an das Gericht übermittelt werden, ist der (vorläufiger) Sachwalter indes selbstredend als Verantwortlicher anzusehen, zumindest bis eine Auftragsvereinbarung mit dem Gericht abgeschlossen wurde oder der Gesetzgeber ein entsprechendes Rechtsinstrument geschaffen hat. 3. Datenschutzrechtliche Pflichten des Insolvenzverwalters Den Insolvenzverwalter treffen als Sachverständigen, als (vorläufigen) Insol- 548 venzverwalter und als (vorläufigen) Sachwalter, zumindest bezüglich der Verfahrensdaten, die Pflichten eines Verantwortlichen, sofern keine Auftragsverarbeitung für das Gericht rechtmäßig Bestand haben kann. Des Weiteren tritt der Insolvenzverwalter bezüglich der Verarbeitungstätigkeiten des Schuld___________ 432) Zutreffend auchTheurich/Degenhart, NZI 2018, 872. 433) So auch Berberich/Kanschik, NZI 2017, 5.
171
F. Datenschutz im Antragsverfahren
ners und des schuldnerischen Unternehmens in dessen Rechte und Pflichten nach Eröffnung des Verfahrens ein und muss sich auch ab diesem Zeitpunkt die datenschutzrechtlichen Vorgänge zurechnen lassen. Dies zumindest in den Fällen, da er aufgrund vorliegender tatsächlicher Einflussmöglichkeiten diese Verarbeitungsvorgänge auch bestimmen und über diese entscheiden kann. 549 Bereits der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit (TLfDI) hat sich mit der Frage der Verantwortlichkeit des Insolvenzverwalters in seinem 3. Tätigkeitsbericht: Nicht öffentlicher Bereich 2016/2017 beschäftigt. Der TLfDI führt dabei aus, dass mit Eröffnung des Insolvenzverfahrens an die Stelle des bisherigen Eigentümers und bis dato Verantwortlichen der Insolvenzverwalter tritt. Das Recht des Schuldners geht gemäß § 80 Abs. 1 InsO auf den bestellten Insolvenzverwalter über, der somit auch als Verantwortlicher zu betrachten ist.434) Die Betrachtung des TLfDI erfolgt in Bezug auf das BDSG a. F. und im Rahmen der Auslegung des § 3 Abs. 7 BDSG a. F. auf die verantwortliche Stelle. 550 Die Änderung der Begrifflichkeit in der Übersetzung der DSGVO und im BDSG ändert nichts an der inhaltlichen Betrachtung des Verantwortlichen. Sowohl das BDSG a. F. als auch die neuen Regelungen sehen in der verantwortlichen Stelle bzw. im Verantwortlichen denjenigen, der die Kontrolle über die Verarbeitung innehat, also über die Vorgänge an sich entscheiden kann.435) 551 Demzufolge ist der Insolvenzverwalter gehalten, die Betroffenenrechte zu beachten und Ansprüche, die sich aus diesen ergeben, auch innerhalb von Insolvenzverfahren zu erfüllen. So muss der Insolvenzverwalter Auskunftsansprüche entsprechend behandeln und diese gemäß Art. 15 DSGVO beantworten, sofern nicht Anhaltspunkte gegen einen Auskunftsanspruch bestehen. Hier bedarf es abermals der ausführlichen Dokumentation. 4. Unterstützung durch den Gesetzgeber bzw. die Insolvenzgerichte 552 Wie eindringlich aufgezeigt führt die Eingliederung des Insolvenzverwalters als Verantwortlicher, zumindest für die Verfahrensdaten und nach Eröffnung des Verfahrens auch für die Verarbeitungstätigkeiten des Schuldners, zu einer exorbitanten Mehrbelastung des Insolvenzverwalters hinsichtlich der datenschutzrechtlichen Pflichten. Nicht zuletzt sind die damit einhergehenden Haftungsrisiken des Insolvenzverwalters zu beachten. Der Gesetzgeber sollte zwingend aktiv werden bzw. die Gerichte sollten unterstützend eingreifen. a) Beschränkungen der Betroffenenrechte durch den Gesetzgeber 553 Der Gesetzgeber hat die Möglichkeit, die Betroffenenrechte unter Nutzung der Konkretisierungsklausel gemäß Art. 23 DSGVO zu beschränken. Der ___________ 434) TLfDI, 3. TB LfDI Thüringen 2016/2017, S. 232. 435) Plath-Schreiber, BDSG/DSGVO, Art. 4 Rn. 26.
172
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
Gesetzgeber sollte im Interesse des Insolvenzrechts, der Interessen der Verfahrensziele und nicht zuletzt im Interesse der Gläubiger von der in Art. 23 DSGVO genannten Konkretisierungsklausel für den Bereich des Insolvenzrechts Gebrauch machen. Gemäß Art. 23 Abs. 1 lit. e) DSGVO kann ein Mitgliedstaat die Pflichten und Rechte gemäß den Artt. 5, 12 – 22, 34 DSGVO unter den Voraussetzungen des Art. 23 Abs. 2 DSGVO beschränken, wenn dies dem Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses dient. Grundsätzlich einschränkbar sind die Rechte der Betroffenen hinsichtlich der 554 Informationspflichten, der Auskunftsrechte, der Rechte auf Berichtigung, das Recht auf Löschung, das Recht auf Übertragbarkeit sowie das Widerspruchsrecht.436) Rechtsvorschriften, die gemäß Art. 23 DSGVO erlassen werden, müssen die europäischen Grundrechte einhalten und ebenso nach der jeweiligen nationalen Verfassung zulässig sein.437) Dabei ist der Verhältnismäßigkeitsgrundsatz zu beachten und ebenso müssen diese Beschränkungen notwendig sein, wie es auch Art. 23 Abs. 1 DSGVO vorschreibt. Die Rechte der Betroffenen können nur insoweit eingeschränkt werden, um eines der aufgezählten Rechtsgüter zu wahren.438) Um derartige Beschränkungen vorzunehmen bedarf es eines formellen Gesetz- 555 gebungsverfahrens. Unter Beachtung des ErwGr. 41 DSGVO sind die Anforderungen gemäß der Verfassungsordnung des Mitgliedstaats zu beachten. Als Rechtsgut, das es zu wahren gilt, kommt „der Schutz der betroffenen Per- 556 son oder der Rechte und Freiheiten anderer Personen“ gemäß Art. 23 Abs. 1 lit. i) DSGVO in Betracht. Anknüpfungspunkt kann dabei das widerstreitende Interesse in Bezug auf Auskunft und Vertraulichkeit439) zwischen Schuldner als Betroffenen und den Gläubigern als Dritte sein. Die Interessen des Schuldners auf der einen und die der Gläubiger auf der anderen Seite müssen dabei gegen die Interessen des Verantwortlichen abgewogen werden. Auch wären weiterführende Beschränkungen gemäß Art. 23 Abs. 1 lit. j) 557 DSGVO zur „Durchsetzung zivilrechtlicher Ansprüche“ denkbar. Von diesem Rechtsgut erfasst ist auch und insbesondere das Zwangsvollstreckungsrecht. Den Mitgliedstaaten wird die Möglichkeit an die Hand gegeben, die Rechte der Betroffenen zum Schutz der Gläubiger zu beschränken.440) Diese Möglichkeit der Beschränkung hat der deutsche Gesetzgeber u. a. in den §§ 32, 33 BDSG bereits genutzt, aber nicht explizit für das Insolvenzrecht.
___________ 436) 437) 438) 439) 440)
Plath-Grages, BDSG/DSGVO, Art. 23 DSGVO Rn. 2. Paal/Pauly-Paal, DS-GVO/BDSG, Art. 23 DSGVO Rn. 4. Paal/Pauly-Paal, DS-GVO/BDSG, Art. 23 DSGVO Rn. 10. Plath-Grages, BDSG/DSGVO, Art. 23 DSGVO Rn. 7. Stender-Vorwachs, in: BeckOK DatenschutzR, DSGVO, Art. 23 Rn. 32.
173
F. Datenschutz im Antragsverfahren
558 Die Konkretisierungsklausel sollte der Gesetzgeber umfangreich auch für das Insolvenzrecht und den Insolvenzverwalter als Verantwortlichen nutzen, um so die Rechte der Gläubiger zu wahren und eine zügige Verfahrensbearbeitung zu gewährleisten. Dies könnte angesichts der aktuell bestehenden Rechte der Betroffenen stark gefährdet sein, wenn der Insolvenzverwalter im Rahmen seiner Tätigkeit, z. B. wegen der Erfüllung von Auskunftsansprüchen von Schuldnern oder anderen Verfahrensbeteiligten, sich intensiv um die Erfüllung der bis dato vorliegenden datenschutzrechtlichen Pflichten kümmern muss. Entsprechende Anträge können massiv das Arbeitsaufkommen erhöhen und den Insolvenzverwalter an seiner eigentlichen Arbeit, nämlich der Bearbeitung des jeweiligen Verfahrens hindern. Auch wenn der Insolvenzverwalter aufgrund von offenkundigen, unbegründeten und exzessiven Anträgen ein entsprechendes Tätigwerden gemäß Art. 12 Abs. 5 lit. b) DSGVO verweigern kann, bedarf es dennoch einer Beurteilung der Situation und insbesondere einer Dokumentation im Rahmen der Rechenschaftspflicht. b) Auftragsvereinbarung für die Insolvenzgerichte 559 Auch für den Fall, dass die Tätigkeit des Insolvenzverwalters zumindest für die Verfahrensdaten als Auftragsverarbeitung angesehen wird, was aufgrund der Ausführung zum Auftragsverarbeiter bei der Betrachtung der Verantwortlichkeit des Insolvenzverwalters zu bezweifeln ist, bedarf es eines Rechtsinstruments bzw. einer Auftragsvereinbarung mit dem Gericht. 560 In diesem Fall wäre für den Insolvenzverwalter eine Auftragsvereinbarung mit den Gerichten, wie sie das Gesetz in Art. 28 DSGVO vorsieht, eine Möglichkeit, dass die zügige Verfahrensbearbeitung nicht durch Erfüllung etwaiger Betroffenenrechte gebremst oder durch Erfüllung und Beantwortung von Anträgen möglicher Betroffener behindert wird. Dies unter der Prämisse, dass die Gerichte diese Betroffenenrechte erfüllen müssen, sofern die Verantwortlichkeit bei diesen zu sehen sein wird. Dementsprechend müssten u. a. die Informationspflichten der Verfahrensbeteiligten durch das Gericht erfolgen. 561 Auf Seiten der Gerichte würde das zu einem erheblichen Mehraufwand führen. Unter Berücksichtigung dieses Mehraufwands kann für die Durchsetzung der Einstufung des Insolvenzverwalters als Auftragsverarbeiter nicht von einer Unterstützung seitens des Gerichts ausgegangen werden. 5. Zwischenfazit 562 Um der bestehenden Unsicherheit bei der Verwalterschaft zu begegnen und dieser in Bezug auf die Verarbeitung von personenbezogenen Daten bei einer Verfahrensbearbeitung Rechtssicherheit zu geben, bedarf es hinsichtlich der Verantwortlichkeit innerhalb eines Insolvenzverfahrens zwingend der Klarstellung durch den Gesetzgeber oder auch der Aufsichtsbehörden. Dies auch und insbesondere in Bezug auf die jeweiligen Funktionen des Insolvenzver-
174
II. Datensituation beim Schuldner
walters innerhalb der Verfahren sowie unter Berücksichtigung der Dateneinteilung in Verfahrens- und Unternehmensdaten. Praxistipp: Der Insolvenzverwalter ist in seiner Eigenschaft als Verantwortlicher verpflichtet, die Verfahrensbeteiligten, deren personenbezogenen Daten er verarbeitet, zu informieren. Dies insbesondere so lange, bis eindeutige Regelungen für den Insolvenzverwalter und seine jeweilige Funktion geschaffen werden.
Vor dem Hintergrund der vorliegenden Unsicherheit wäre es aus datenschutz- 563 rechtlicher Sicht zunächst empfehlenswert, die Informationspflichten zu erfüllen, wie sie einen Verantwortlichen treffen. Dies auch bereits mit Gutachtenauftrag. Es bietet sich an, ein Muster für ein solches Informationsschreiben gemäß Artt. 13, 14 DSGVO zu entwerfen und dieses auf den entsprechenden rechtlich vorgesehenen Wegen zu versenden. Beispielsweise ist der Vermieter oder auch der Interessent als Verfahrensbe- 564 teiligter zu informieren. Schuldner und Debitoren bedürfen nach Ansicht der Autoren keiner gesonderten Mitteilung, da diese bereits über die Informationen verfügen (Schuldner, Art. 13 Abs. 4 DSGVO, § 32 Abs. 1 Nr. 4 BDSG) oder bei Debitoren die Geltendmachung der Ansprüche durch die Informationserteilung beeinträchtigt sein könnten (Debitoren, Art. 14 Abs. 5 lit. c) i. V. m. § 33 Abs. 1 Nr. 2a BDSG). II. Datensituation beim Schuldner Trotz aller Unklarheiten und Unsicherheiten muss die Bearbeitung des Ver- 565 fahrens erfolgen. Daher sollten der Sachverständige und der (vorläufige) Insolvenzverwalter grundsätzlich von der Stellung als Verantwortlicher ausgehen – jedenfalls was seinen Umgang bzw. den Umgang seines Teams mit entsprechenden Daten betrifft. Häufig ist die datenschutzrechtliche Situation beim Schuldner unklar. Wenn 566 der vorläufige Insolvenzverwalter in ein Unternehmen kommt, trifft er oft auf Unverständnis, wenn die datenschutzrechtlichen Themen zur Sprache kommen. Eventuell wird sich dieser Umstand in einigen Jahren bessern, wenn sich die Vorschriften der DSGVO weiter durchgesetzt haben und auch dementsprechend gelebt werden. Dies bleibt abzuwarten. 1. Bestandsaufnahme: Daten beim Schuldner Aktuell ist es in den überwiegenden Fällen so, dass der Datenschutz beim 567 Schuldner, wenn überhaupt, ein Randthema darstellte. Insbesondere in den Situationen, in denen eine Fortführung des schuldnerischen Unternehmens nach Verfahrenseröffnung für möglich erachtet werden kann, sollten bereits in einem frühen Stadium des Antragsverfahrens wichtige datenschutzrechtliche Fragen geklärt werden. Notfalls sollte hier die Hilfe und der Rat eines externen Beraters in Datenschutzfragen gesucht werden. 175
F. Datenschutz im Antragsverfahren
a) Wo befinden sich welche Daten und um welche Datenkategorien handelt es sich? 568 Zunächst sollte geklärt werden, wo sich die Daten befinden und um welche Arten von Daten es sich handelt. Wird dabei festgestellt, dass es sich nicht um personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO handelt, ist eine datenschutzrechtliche Beleuchtung dieser Situation entbehrlich. Allerdings wird dies nur äußerst selten der Fall sein, da auch Kontaktdaten von Geschäftspartnern, wenn diese personalisiert sind, personenbezogene Daten darstellen. Auch werden in der Regel Mitarbeiterdaten vorhanden sein, die ebenso einer datenschutzrechtlichen Behandlung bedürfen. 569 Hinsichtlich der Erhebung und Speicherung der Daten verfallen Unternehmen häufig in eine schiere „Sammelwut“. Es ist dementsprechend wahrscheinlich, dass der vorläufige Insolvenzverwalter bei seiner Bestandsaufnahme feststellt, dass große Datenmengen vorliegen, deren ursprünglicher Erhebungs- und Verarbeitungszweck seit geraumer Zeit erfüllt ist und diese Daten bereits hätten gelöscht sein müssen. Der Punkt ist bestenfalls vom vorläufigen Insolvenzverwalter dokumentiert worden. Es sollte bereits innerhalb des Antragsverfahrens bei Bedarf an einer Lösung gearbeitet werden. 570 Die Möglichkeiten der Aufbewahrung der Datenmengen sind schier unerschöpflich. Die Daten können sich auf einzelnen PC-Systemen, auf Mitarbeiterlaptops, auf Servern oder auch bei Providern in der Cloud befinden. Es kommt vor, dass eine genaue Angabe der Positionierung der Daten schwerlich ist. Wichtig ist es in diesen Fällen, für den vorläufigen Insolvenzverwalter, einen IT-ler, bestenfalls einen, der sich innerhalb des schuldnerischen Unternehmens mit den Datenbanken beschäftigt hat, zurate zu ziehen und diesen zu bitten, eine Datenanalyse vorzunehmen. Häufig hilft eine Visualisierung der Datenströme nebst Angabe, wo sich diese Daten in welchem Umfang befinden und um welche Datenkategorien (z. B. besondere Kategorien von Daten gemäß Art. 9 DSGVO) es sich handelt und ob für diese spezielle Maßnahmen getroffen werden müssen. Praxistipp Besondere Kategorien personenbezogener Daten: Bezüglich der Datenkategorien sollten Sie sich vor Augen halten, dass Arztpraxen, Krankenhausbetriebe, Apotheken, Physiotherapeuten etc., die als Insolvenzschuldner/Schuldnerbetriebe nicht selten in der Insolvenzkanzlei anzutreffen sind, besondere personenbezogene Daten verarbeiten, die entsprechend geschützt und behandelt werden müssen.
571 Eine solche Datenanalyse und Visualisierung ist auch für den späteren Insolvenzverwalter von Bedeutung, da mit der Datenanalyse bestimmt werden kann, welche besonderen Maßnahmen im Rahmen einer möglichen übertragenden Sanierung getroffen werden müssen, insbesondere in Bezug auf die jeweiligen Datenkategorien. Auch wird der spätere Insolvenzverwalter leichter in die Lage versetzt, entsprechende datenschutzrechtliche Löschungen vorzunehmen oder vornehmen zu lassen. 176
II. Datensituation beim Schuldner
b) Wer hat Zugriff auf diese Daten? Wie lauten die Zugangsdaten? Bereits im Antragsverfahren sollte durch die Insolvenzkanzlei geklärt werden, 572 wer Zugriff auf die Daten nehmen kann. Des Weiteren sollten die Zugangsdaten aller Zugangsberechtigten ermittelt werden. Eventuell ist es notwendig, bestimmte Zugriffe zu sperren, wenn z. B. die Gefahr besteht, dass Mitarbeiter diese verändern oder ggf. kopieren könnten. Auch die Zugänge zu möglichen sozialen Netzwerken sollten schnellstmöglich beschränkt werden. Die Erfahrung hat gezeigt, dass diese Zugänge nach Verfahrenseröffnung meist nur schwer in Besitz genommen werden können, weil ehemalige Mitarbeiter aufgrund der Situation ungehalten sein können. Praxistipp: Letztlich können Datenschutzmängel bzw. deren Abfluss nicht nur eine Betriebsfortführung erschweren oder gar unmöglich machen. Abgesehen davon, dass exklusive und insbesondere datenschutzkonform erhobene bzw. sonst wie verarbeitete Daten heutzutage mit zu den wertvollsten Assets des Schuldners bzw. seines Betriebs zählen können, sollte der Insolvenzverwalter unverzüglich Maßnahmen zur Ermittlung auch eines Datenschutzmanagements beim Schuldner in die Wege leiten.441) Natürlich empfiehlt es sich, dies nicht nur initial zu tun, sondern im Rahmen des QM-Systems der Insolvenzkanzlei entsprechende Prozesse vorbereitend festzuschreiben. Hierzu bedarf es von der Ausführung her natürlich auch qualifizierter und ggf. dementsprechend zertifizierter Dienstleister, die die Insolvenzkanzlei anlassbezogen beauftragen kann.
Es besteht außerdem die Gefahr, dass enttäuschte Mitarbeiter, die etwa Admi- 573 nistratoren von Unternehmensauftritten in sozialen Netzwerken sind, diese unredlich nutzen und Interna veröffentlichen oder dem Unternehmen mit vorgenommenen Maßnahmen schädigen. Nicht selten führen derartige Verfehlungen zu starken Störungen der Betriebsfortführung und verringern zugleich die Chancen, eine Sanierungslösung zu finden. Es ist nicht unüblich, dass ein potenzieller Interessent großes Interesse an den 574 Auftritten in den sozialen Medien hegt. Sollte eine Inbesitznahme der Zugangsdaten nicht möglich sein, da der Administrator-Account nicht vorliegt oder die Zugangsdaten ebenso von Dritten genutzt werden, könnte dieser Umstand einer Übertragung im Wege stehen. Daher ist es ratsam, die Punkte frühzeitig innerhalb des Antragsverfahrens zu klären. c) Wie sind diese Daten erhoben worden? Schließlich sollte bereits im Antragsverfahren eine Klärung herbeigeführt 575 werden, wie diese Daten erhoben wurden, zu welchem Zweck und ob diese Erhebung i. S. d. Datenschutzgesetze erfolgte. ___________ 441) So i. E. auch Woltersdorf, INDat Report 02/2018, 12.
177
F. Datenschutz im Antragsverfahren
576 Es besteht zu befürchten, dass der Insolvenzverwalter in dem Falle der Fortführung für eine dann vorgenommene unrechtmäßige Verarbeitung der personenbezogenen Daten aufgrund der mit Verfahrenseröffnung anzunehmenden Verantwortlichkeit auch für die Unternehmensdaten in den Augen der Aufsichtsbehörde haftet. Im Fall einer Beschwerde des Betroffenen wäre der Insolvenzverwalter der Aufsichtsbehörde bezüglich der Rechtmäßigkeit der Verarbeitung zur Auskunft verpflichtet. Beispiel: Ein schuldnerisches Unternehmen wird nach Verfahrenseröffnung fortgeführt und verarbeitet weiter die vorliegenden Daten. Für diese Verarbeitung ergibt sich aus dem Gesetz keine Rechtmäßigkeit und wirksame Einwilligungen von den Betroffenen wurden seitens des Unternehmens nicht eingeholt. Ein Betroffener stellt einen Antrag auf Auskunft gemäß Art. 15 DSGVO und erfährt so von der Verarbeitung. Dieser beschwert sich bei der zuständigen Datenschutzbehörde. Daraufhin wird ein Verfahren gegen den Verantwortlichen eingeleitet, der in diesem Fall der Insolvenzverwalter ist. Praxistipp: Um nach Verfahrenseröffnung hinsichtlich der Verfügbarkeit der Daten oder aufgrund einer unrechtmäßigen Verarbeitung nicht überrascht zu werden, bedarf es einer frühzeitigen Aufklärung über den Datenbestand. Es empfiehlt sich u. a., ein Erfassungsblatt oder eine Ergänzung zum Auskunftsbogen zu entwickeln, in denen diese Punkte abgefragt werden. Dieses Ergänzungsblatt sollte frühzeitig durch den Unternehmensleiter bearbeitet werden und gemeinsam mit dem Schuldner beraten werden, welche Maßnahmen in Bezug auf die vorliegenden Daten und Zugänge zu ergreifen sind.
2. Sichtung Verzeichnis von Verarbeitungstätigkeiten 577 Wie bereits beschrieben ist das Verzeichnis von Verarbeitungstätigkeiten ein wesentlicher Bestandteil des Datenschutzrechts und zugleich Gegenstand der Rechenschaftspflicht des Verantwortlichen gegenüber der Aufsichtsbehörde. Wenn die Voraussetzungen zum Erstellen und Führen eines Verzeichnisses beim Schuldner vorliegen, hat dieser per se ein solches zu erstellen. Fraglich ist nur, ob das auch tatsächlich bei allen Schuldnern so umgesetzt wird. Bei Kleinbetrieben und bestimmten Branchen ist die Wahrscheinlichkeit gewissermaßen groß, ein solches nicht vorzufinden, trotz bestehender Pflicht zum Führen eines Verzeichnisses. 578 Sofern das schuldnerische Unternehmen über ein Verzeichnis von Verarbeitungstätigkeiten verfügt, kann der vorläufige Insolvenzverwalter sich dieses zunutze machen. Mithilfe dieses Verzeichnisses erhält er einen Überblick über die Verarbeitung der personenbezogenen Daten, wo diese stattgefunden hat und wer auf diese Daten Zugriff nehmen kann. Außerdem kann er erkennen, welcher Dienstleister mittels einer Auftragsverarbeitung weiterhin Daten für das schuldnerische Unternehmen verarbeitet. Der Insolvenzver178
II. Datensituation beim Schuldner
walter sollte zusätzlich die vorliegenden Auftragsvereinbarungen prüfen, insbesondere in Bezug auf die Vereinbarung zur Löschung. Allerdings sollte der vorläufige Insolvenzverwalter sich nicht blind auf das 579 vorgelegte Verzeichnis verlassen und dieses zumindest stichprobenartig kontrollieren. Eine falsche oder unvollständige Zusammenstellung hilft den späteren Insolvenzverwaltern nicht weiter. Die vorhandenen technischen und organisatorischen Maßnahmen (TOM), die 580 i. d. R. als Annex dem Verzeichnis beigefügt sind, geben Aufschluss über die Sicherheitsstandards. Zugleich können den TOM Informationen entnommen werden, welche IT-Systeme verwendet werden und welche Regelungen bei der privaten Nutzung des E-Mail-Accounts und dem täglichen Geschäftsbetrieb gelten. Eine solche Prüfung ist ebenso wichtig für eine anstehende Datensicherung der E-Mail-Postfächer. Sollte ein solches Verzeichnis nicht vorliegen, ist für den Fall einer möglichen Fortführung, das Erstellen eines solchen Verzeichnisses zu empfehlen. Andernfalls besteht die Gefahr wie bei anderen Punkten auch, dass die Aufsichtsbehörde ein solches Fehlen moniert. Inwieweit die Aufsichtsbehörde für berechtigte Einwände hinsichtlich der zeitlichen Komponente empfänglich ist, kann vonseiten der Autoren nicht beurteilt werden. Allerdings ist davon auszugehen, dass die Aufsichtsbehörde in diesen gelagerten Fällen „Gnade vor Recht“ ergehen lassen und zumindest eine ausreichende Frist zum Erstellen eines solchen Verzeichnisses gewähren würde.442) 3. Datenschutzbeauftragter im schuldnerischen Unternehmen Die Wahrscheinlichkeit, dass kein Datenschutzbeauftragter benannt wurde, 581 ist zweifellos gegeben, wenn wie oben aufgezeigt, kein Verzeichnis der Verarbeitungstätigkeiten vorliegt. Sollte der vorläufige Insolvenzverwalter im schuldnerischen Unternehmen auf 582 einen Datenschutzbeauftragten treffen, sind dessen Erfahrungen und Kenntnisse äußerst hilfreich für die Betrachtung der datenschutzrechtlichen Situation im Unternehmen. Der Datenschutzbeauftragte sollte auch zu einzelnen Verarbeitungstätigkeiten von personenbezogenen Daten auskunftsfähig sein. Weiterhin müssten die benötigten datenschutzrechtlichen Dokumentationen im Zweifel in seinem Besitz sein. Hierzu zählen auch die einzelnen Vereinbarungen zu den Auftragsverarbeitern, die Übersichten in Bezug auf Datenpannen und weitere nachweisfähige Unterlagen. Die Stellung des Datenschutzbeauftragten bleibt naturgemäß zum Zeitpunkt 583 des Antragsverfahrens bestehen. Die Antragstellung hat keine Auswirkung auf seine Benennung zum Datenschutzbeauftragten. Für den späteren Insolvenzverwalter gilt bereits im Antragsverfahren zu be- 584 achten, dass der besondere Kündigungsschutz des Datenschutzbeauftrag___________ 442) Zustimmend Schmitt/Heil, NZI 2018, 865.
179
F. Datenschutz im Antragsverfahren
ten auch von der Eröffnung des Insolvenzverfahrens nicht tangiert wird und der Insolvenzverwalter die Bestimmungen des Kündigungsschutzes zu beachten hat.443) Etwas anderes ergibt sich auch nicht aus § 113 InsO – abgesehen von dem Umstand, dass das ordentliche Kündigungsrecht auch für das Dienstverhältnis mit dem Datenschutzbeauftragten wieder auflebt, wenn es zu einer Betriebsstilllegung kommt. 585 Der besondere Kündigungsschutz des Datenschutzbeauftragten kraft Gesetzes führt dazu, dass dieser auch in der Insolvenz nur außerordentlich gekündigt werden kann,444) wobei die Insolvenz keinen Grund für eine außerordentliche Kündigung darstellt.445) In diesem Fall muss geprüft werden, inwieweit der Zweck des Kündigungsschutzes aufgrund der Tätigkeit als Datenschutzbeauftragter, unabhängig von der Insolvenz des Arbeitgebers, weiterhin erreicht werden kann.446) Eine analoge Anwendung des § 113 InsO ist in diesem Fall angezeigt. 4. Sichtung Datenschutzmanagement 586 Nach Möglichkeit sollte sich der vorläufige Insolvenzverwalter auch mit dem Datenschutzmanagementsystem vertraut machen, sofern ein solches im schuldnerischen Unternehmen eingeführt wurde. Bei Sichtung der Abläufe und Prozesse ist feststellbar, wie i. d. R. auf Anfragen von Betroffenen reagiert wird, welche Arbeitsschritte vorgenommen werden und ob Muster Verwendung finden. 587 Des Weiteren lässt der Blick auf das Datenschutzmanagement auch den Rückschluss auf die Tiefe des vorhandenen Datenschutzes zu. Dies ist ebenso für das spätere eröffnete Verfahren von Bedeutung, wenn Betroffene im Falle der Fortführung Ansprüche geltend machen. In diesem Rahmen ist auch die Prüfung der Dokumentation angebracht. Hier sollte ersichtlich sein, welche Datenpannen in der Vergangenheit aufgetreten sind, wie auf diese reagiert wurde und welche Maßnahmen nachträglich eingeleitet worden sind. 588 Die aus dieser Prüfung gewonnenen Erkenntnisse erleichtern auch eine spätere Kommunikation des Insolvenzverwalters mit der Aufsichtsbehörde im Falle einer entsprechenden Anfrage. 5. Auftragsverarbeitung mit Dienstleister bzw. Schuldner als Auftragsverarbeiter 589 Der vorläufige Insolvenzverwalter wird vor allem in der Zukunft im Rahmen eines Antragsverfahrens in Unternehmen kommen, in denen eine Vielzahl an ___________ 443) 444) 445) 446)
180
Nerlich/Römermann-Hamacher, InsO, § 113 Rn. 209. Caspers, in: MünchKommInsO, § 113 Rn. 23. BAG AP KO § 22 Nr. 1, NJW 1969, 525. Nerlich/Römermann-Hamacher, InsO, § 113 Rn. 245.
II. Datensituation beim Schuldner
Auftragsverarbeitungen vorgenommen und gelebt wird. Dies sowohl als Auftraggeber aufseiten des Schuldners, aber auch der Schuldner als Auftragnehmer selbst. Letzteres insbesondere, wenn es sich bei dem Schuldner z. B. um einen IT-Dienstleister oder ein Rechenzentrum handelt. Entscheidend kann diese Frage nach Verfahrenseröffnung sein, wenn der 590 Schuldner als Auftragsverarbeiter tätig ist und eine Verwertung der Massebestandteile ansteht. Wenn der Schuldner die bei ihm vorliegenden Daten nur im Auftrag für einen Dritten verarbeitet, sind die Daten haftungsrechtlich nicht dem Schuldner zur Verwertung zugewiesen.447) Eine Auftragsvereinbarung regelt den Herausgabe- bzw. Löschungsanspruch des Auftraggebers, der auch als „Herr der Daten“ angesehen wird. Die gesetzliche Grundlage ist Art. 28 Abs. 3 lit. g) DSGVO. Dieser Herausgabe- bzw. Löschungsanspruch berechtigt den Verantwortlichen in der Insolvenz des Auftragsverarbeiters zur Aussonderung.448) Auch sind in der Insolvenz des Auftragsverarbeiters und bei der jeweiligen 591 Erklärung des Insolvenzverwalters zu einem Nichteintritt in die bestehenden Verträge die datenschutzrechtlichen Pflichten, die ebenso innerhalb der Auftragsvereinbarung verankert werden, nicht mehr durchsetzbar und für den Auftraggeber nicht mehr kontrollierbar. Dies wiederum führt dazu, dass die Auftragsvereinbarung unwirksam und der Auftragsverarbeiter ggf. als Dritter zu betrachten ist. Demzufolge wäre für die Bearbeitung der Daten eine Rechtsgrundlage erforderlich bzw. eine Einwilligung. Um die Gefahr zu bannen, wegen einer unrechtmäßigen Verarbeitung belangt zu werden, bedarf es der Erfüllungswahl für die Auftragsverarbeitung oder der Einstellung der Datenverarbeitung, sofern keine andere Rechtsgrundlage einschlägig ist.449) Sollte der Insolvenzverwalter planen, das Unternehmen fortzuführen, ist neben 592 entsprechenden Dienstleistungs- oder Werkverträgen auch die Aufrechterhaltung der Auftragsvereinbarung erforderlich. Diese Erkenntnis ist wichtig für den Zeitraum nach Verfahrenseröffnung. Der Insolvenzverwalter muss im umgekehrten Fall ebenso darauf achten, dass nicht nur für den Dienstleistungsvertrag eine Nichteintrittserklärung abgegeben wird, sondern gleichwohl dafür Sorge tragen, dass der Auftragsverarbeiter die verarbeiteten Daten herausgibt bzw. diese entsprechend der Auftragsvereinbarung löscht. 6. Datenpannen und Meldungen Betroffener Wie bereits erläutert sollte eine Sichtung des Datenschutzmanagements vor- 593 genommen werden, immer vorausgesetzt, ein solches liegt vor. Innerhalb des Datenschutzmanagements sind Angaben vorzufinden, welche Datenpannen in der Vergangenheit aufgetreten sind und welche Maßnahmen ergriffen wur___________ 447) Berberich/Kanschik, NZI 2017, 3. 448) Berberich/Kanschik, NZI 2017, 4. 449) Vgl. Berberich/Kanschik, NZI 2017, 7.
181
F. Datenschutz im Antragsverfahren
den. Nach Möglichkeit sollte ebenso Einsicht in die Kommunikation mit der Aufsichtsbehörde genommen und die abgesetzten Meldungen überprüft werden. So kann der Insolvenzverwalter Anfragen zu vergangenen und nicht in seinen Verantwortungsbereich fallende Datenpannen beantworten. 594 Der vorläufige Insolvenzverwalter sollte bereits für den Zeitraum nach Verfahrenseröffnung Vorsorge treffen, um Nachfragen der Aufsichtsbehörde entgegentreten zu können. Hierfür muss er sich einen Überblick über die entsprechenden Vorkommnisse verschaffen, ggf. darauf einwirken, bestehende Probleme bei den technischen oder organisatorischen Maßnahmen durch den Schuldner beheben zu lassen. 595 Dies gilt ebenso für Meldungen und Anträge von Betroffenen. Natürlich kann der spätere Insolvenzverwalter nicht für Vorfälle haftbar gemacht werden, die zu einem Zeitpunkte geschehen sind, bevor er verantwortlich war, also vor der Entscheidungsfähigkeit über die Verarbeitungstätigkeiten für den Insolvenzverwalter, dennoch wird sich die Aufsichtsbehörde immer an den aktuellen Verantwortlichen halten. Daher ist es nötig, die entsprechenden Dokumentationen zu sichten und diese für eine mögliche Kommunikation mit der Aufsichtsbehörde vorzuhalten. 596 Zwangsläufig kann der Insolvenzverwalter für eine Verarbeitung von personenbezogenen Daten nicht haftbar gemacht werden, sofern er diese Verarbeitung zum Zeitpunkt des Vorkommnisses nicht kontrollieren konnte. Dennoch sind es Störungen im Verfahrensablauf. Sie können sich als nicht kalkulierter Arbeitsaufwand herausstellen, der schlecht vorbereitet höchstwahrscheinlich noch umfangreicher werden könnte. 7. Datensicherung 597 Die Datensicherung, die unstreitig in den meisten Fällen erfolgen muss, um auch im Nachhinein die entsprechenden Geschäftsunterlagen zu analysieren und ggf. Haftungs- und Anfechtungsansprüche belegen zu können, bedarf dennoch einer genauen Betrachtung. Dies insbesondere aufgrund der personenbezogenen Daten, die zum einen gespeichert und im Anschluss mit hoher Wahrscheinlichkeit auch analysiert und ausgewertet werden. 598 In älteren Verfahren war es „gang und gäbe“, dass bereits im Rahmen des Antragsverfahrens wahllos so viel wie möglich gesichert wurde. Dies meist bereits vor der Prüfung, welche Unterlagen vorliegen bzw. welche Arten von personenbezogenen Daten mit einer solchen Sicherung verarbeitet werden. 599 Eine Sicherung bereits im Antragsverfahren kann empfehlenswert sein. Häufig ist davon auszugehen, dass für entscheidende und anspruchsbegründende Inhalte (E-Mail-Korrespondenz, Geschäftsunterlagen etc.) die Gefahr der Löschung oder Vernichtung besteht.450) Eine frühzeitige Sicherung, teilweise be___________ 450) Geiser, ZInsO 2017, 1186.
182
II. Datensituation beim Schuldner
reits kurz nach Bestellung zum Sachverständigen oder zum vorläufigen Insolvenzverwalter, wird in einigen Verfahren unabdingbar sein. Gemäß §§ 20, 97 InsO ist der Schuldner zur Auskunft gegenüber dem Gericht 600 verpflichtet und gleichzeitig gehalten, Einsicht in die Bücher und Geschäftsunterlagen zu gewähren bzw. diese auf Verlagen herauszugeben. Entsprechend der §§ 22, 22 Abs. 3 Satz 3 InsO gelten die Auskunftspflichten des Schuldners auch im Eröffnungsverfahren. Hiernach hat der Schuldner dem vorläufigen Insolvenzverwalter Einsicht in die Bücher und Geschäftspapiere zu gestatten (§ 22 Abs. 3 Satz 2 InsO). Unstrittig gehören nach allgemein vertretener Ansicht E-Mails und elektronische Korrespondenz ebenso zu den Geschäftspapieren.451) Diese werden als Handelspapier auch erfasst. Somit erstreckt sich die Auskunftspflicht auch auf diese Art der Kommunikation. a) „Daten auf dem Stick“ Die Aufforderung „hier hast du einen Stick, sichere „alle“ vorhandenen Daten“ 601 ist keine unbekannte Aufforderung. Aber auch wenn grundsätzlich die Pflicht zur Sicherung besteht und dies auch für etwaige Anspruchsdurchsetzung vonnöten ist, sind dennoch datenschutzrechtlich einige Punkte zu beachten. Der Insolvenzverwalter ist gefordert, Sachverhalte beim Schuldner aufzuklären 602 und meist zugleich den vorhandenen Datenbestand auf Hinweise von Masseansprüchen zu untersuchen. Hierzu ist der Insolvenzverwalter sogar gemäß §§ 80 ff. InsO verpflichtet.452) Dieser Datenbestand besteht meist nicht nur aus Buchhaltungsunterlagen oder Geschäftsunterlagen, sondern beinhaltet i. d. R. ebenso personenbezogene Daten wie den E-Mailverkehr oder auch Personalunterlagen. Wichtig ist, zunächst den Zweck der Sicherung durch den späteren Insol- 603 venzverwalter zu klären und diesen genau zu bestimmen und ebenso eine entsprechende Rechtsgrundlage zu finden, die auch für diese Art der Verarbeitung notwendig ist. Diese Rechtmäßigkeit ist für den Insolvenzverwalter u. a. in Art. 6 Abs. 1 604 Satz 1 lit. c) DSGVO i. V. m. § 257 Abs. 1 Nr. 2 HGB zu sehen. Es besteht für ihn eine rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen, wozu auch geschäftliche E-Mails zu zählen sind.453) Erfolgt die Sicherung zu Auswertungszwecken, wäre als Rechtsgrund Art. 6 605 Abs. 1 Satz 1 lit. c) DSGVO heranziehbar, da eine Verarbeitung zur Wahrnehmung einer Aufgabe erforderlich ist, die sich in einer rechtlichen Verpflichtung begründet. Des Weiteren liegt eine Auswertung und Verarbeitung auch ___________ 451) Siehe Begr. zum Gesetzentwurf der BReg. zum EHUG, BR-Drucks. 942/05, 117 (zu § 37a HGB), 130 (zu § 25a GenG) und 167 (zu § 35a GmbHG). 452) Hartung, ZInsO 2011, 1233. 453) Geiser, ZInsO 2017, 1188.
183
F. Datenschutz im Antragsverfahren
im berechtigten Interesse des Insolvenzverwalters und ist somit gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Eine entsprechende Abwägung zwischen den Interessen des Betroffenen und denen des Insolvenzverwalters kann nicht zu einer abweichenden Betrachtung führen. Etwas anderes kann auch nicht gelten für den Fall, dass die Daten der E-Mails für eine Durchsetzung von Ansprüchen gegen die Betroffenen genutzt werden. Zwar wird der Betroffene ein großes Interesse an der Nichtverarbeitung haben, diese ist aber nicht schutzwürdig.454) 606 Der vorläufige Insolvenzverwalter sollte bereits im Voraus abklären, welche Regelungen beim Schuldner für die Verwendung der E-Mail-Accounts gelten (siehe Rn. 325 ff.). Bei der Auswertung von E-Mail-Accounts sind insbesondere die Beschränkungen des Beschäftigtendatenschutzes gemäß § 26 BDSG zu beachten. Diese dürfen per se außerhalb eines Insolvenzverfahrens nur im Rahmen einer Auswertung verarbeitet werden, wenn Anhaltspunkte eines begründeten Verdachts vorliegen. Ebenfalls sind die internen Anweisungen hinsichtlich der Nutzung zu berücksichtigen und in die Überlegungen mit einzubeziehen. b) Datenübertragung 607 Grundsätzlich muss in der Datensicherung auch zeitgleich eine Datenübertragung durch den Schuldner an den vorläufigen Insolvenzverwalter gesehen werden, die einer Rechtsgrundlage bedarf. Ordnet man die E-Mail-Korrespondenz der Insolvenzmasse zu, liegt für den späteren Insolvenzverwalter das Recht zur Inbesitznahme in § 148 InsO. 608 Fraglich ist, ob es sich bei den E-Mails um personenbezogene Daten handelt. Davon ausgehend ist für die Speicherung eine Rechtsgrundlage erforderlich, die für den Insolvenzverwalter in Art. 6 Abs. 1 Satz 1 lit. c) DSGVO i. V. m. § 257 Abs. 1 Nr. 2 HGB zu sehen ist bzw. in Art. 6 Abs. 1 Satz 1 lit. f) DSGVO. Somit ist die Datenübertragung nicht unrechtmäßig, wenn die weiteren Datenschutzvorschriften beachtet werden wie der sichere Transport oder auch die für diese Vorgänge vorgesehenen TOM. c) Beachtung Rechte Betroffener 609 Datenschutzrechtliche Bedenken oder Ansprüche, die sich aus der Sicherung ergeben könnten, können von den Betroffenen nur selbst erhoben werden, nicht aber von einem anderen Unternehmen oder vom Geschäftsführer. Die Betroffenenrechte kann der Betroffene nur persönlich geltend machen. Dabei ist bei der Sicherung der elektronischen Kommunikation auch an die Postfächer der Mitarbeiter zu Auswertungszwecken zu denken.
___________ 454) Geiser, ZInsO 2017, 1190.
184
II. Datensituation beim Schuldner
Hinsichtlich der Auswertung der E-Mails der Arbeitnehmer ist zu nächst zu 610 prüfen, ob der Arbeitgeber, in diesem Fall der Schuldner, die private Nutzung der dienstlichen E-Mail-Accounts erlaubt bzw. geduldet hat. War diese nicht erlaubt, bestehen keine Bedenken gegen die Auswertung. Lag eine Erlaubnis der Privatnutzung vor, muss der Insolvenzverwalter im 611 Rahmen seiner Möglichkeiten zunächst versuchen, diese E-Mails vor der Sicherung entfernen zu lassen. Ein Eingriff in das Persönlichkeitsrecht des Mitarbeiters, der in einer Auswertung der E-Mails gesehen werden kann, kann durch die Wahrnehmung einer Auswertung aus überwiegenden Interessen des Insolvenzverwalters gerechtfertigt sein.455) Dennoch sind die widerstrebenden Interessen des Insolvenzverwalters gegenüber den Interessen des Betroffenen abzuwägen. Die Punkte, die im Zusammenhang mit der Interessenabwägung zu beachten sind, wären aufseiten des Insolvenzverwalters der dienstliche Account, die Notwendigkeit zur Auswertung und ggf. die Aufklärung von rechtlichen Zusammenhängen und die Notwendigkeit zur Prüfung der Ansprüche der Gläubiger etc. Aufseiten der Interessen des Betroffenen würde demgegenüber der Schutz des Persönlichkeitsrechts zu beachten sein und das Interesse, dass Daten nicht von Dritten außerhalb der beruflichen Tätigkeit zur Kenntnis genommen werden. Nach Einschätzung der Autoren sind die Interessen des Insolvenzverwalters 612 als höher einzustufen, wenn nicht zusätzliche Umstände hinzutreten (z. B. sensible Daten, ausschließlich private Daten etc.). Der Insolvenzverwalter ist gehalten, die Verhältnismäßigkeit zu wahren und 613 zunächst die bestehenden Möglichkeiten auszuschöpfen.456) So wäre es denkbar, dass die Mitarbeiter vor der Sicherung auf die vorgesehene Sicherung hingewiesen werden und ihnen die Möglichkeit eingeräumt wird, die entsprechenden E-Mails zu kennzeichnen. Ebenso wäre eine Trennung von privaten und beruflichen E-Mails vorstellbar, wenn diese mit normalen Verfahrensmitteln trennbar sind. Mit dem Einsatz von OCR-Software wäre es auch möglich, die E-Mails der Mitarbeiter zu durchsuchen und die Gefahr der Kenntnisnahmen von personenbezogenen Daten weitestgehend zu minimieren. Ein Schutz der privaten E-Mails wird nur zu gewährleisten sein, wenn diese eindeutig als private E-Mails erkennbar sind. Dann könnten diese E-Mails entsprechend herausgefiltert werden. Gibt es eine solche Kennzeichnung nicht und war die private Nutzung er- 614 laubt, kann dies einer Analyse der E-Mails nicht entgegenstehen, wenn eine solche im Rahmen der Aufgabenerfüllung des Insolvenzverwalters notwendig ist.457) Der Insolvenzverwalter hat in diesem Fall sicherzustellen, dass er E-Mails mit privatem Inhalt nicht zur Kenntnis nimmt. Um diesen Schutz zu gewähr___________ 455) Vgl. LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1181. 456) Vgl. LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1181. 457) Vgl. Geiser, ZInsO 2017, 1187.
185
F. Datenschutz im Antragsverfahren
leisten und nachweislich einhalten zu können, wird empfohlen, eine Analyse gemeinsam mit einem Vertreter der Arbeitnehmer oder mit dem Datenschutzbeauftragten durchzuführen. Praxistipp: Auch wenn eine private Nutzung erlaubt war, hat der Insolvenzverwalter keinerlei Interesse am Inhalt der privaten E-Mails von Arbeitnehmern. Daher wäre zunächst zu überlegen, ob es objektive Verfahrensweisen zur Trennung von privaten und beruflichen E-Mails gibt. Sollte dies nicht möglich sein, muss unter datenschutzrechtlichen Aspekten ein Missbrauch möglichst zuverlässig ausgeschlossen werden. Folgende Vorgehensweise ist unter Berücksichtigung der Rechte der Beschäftigten datenschutzrechtlich denkbar: x Private E-Mails müssen von den beruflichen E-Mails getrennt werden. x Ist eine Trennung nicht möglich, findet eine Auswertung unter vier Augen statt und eine entsprechende Trennung des Mailbestands. x Zweifelsfälle könnten mit den Verfassern (wenn diese zur Verfügung stehen) geklärt werden. x Restlicher Bestand kann ohne Bedenken ausgewertet werden.
8. Vorbereitungen zur übertragenden Sanierung 615 Die Vorbereitungen für eine übertragende Sanierung werden regelmäßig bereits im eröffneten Verfahren vorgenommen. So suchen der Schuldner und vorläufige Insolvenzverwalter Interessenten und diese sprechen potentielle Investoren an. Die Interessenten haben natürlich das Bedürfnis, eine, wenn auch stark eingeschränkte, Due Diligence durchzuführen und benötigen hierfür einen entsprechenden Datenzugang.458) Die Interessenten erhalten meist vorab einen NDA459) und nach dessen Unterzeichnung werden den Interessenten anhand eines Datenraums Unterlagen zur Verfügung gestellt, um sich gezielt mit einem möglichen Angebot beschäftigen zu können. Aber auch im Rahmen einer Übertragung außerhalb der Insolvenz sind die nachfolgenden Punkte prinzipiell zu beachten. 616 Zeitgleich sollten die Interessenten vom vorläufigen Insolvenzverwalter bzw. vom Schuldner als Verantwortlichen eine entsprechende Information gemäß Artt. 13, 14 DSGVO erhalten. Hier ist entscheidend, wer den Prozess steuert und durchführt und somit als Verantwortlicher anzusehen ist. In der Regel wird es der vorläufige Insolvenzverwalter sein, der die Daten der Interessenten erhebt und verarbeitet.
___________ 458) Hartung, ZInsO 2011, 1235. 459) Non-disclosure agreement – Geheimhaltungsvereinbarung.
186
II. Datensituation beim Schuldner
a) Datenschutzrechtliche Prüfung der Daten für den Datenraum Die Daten, die die Interessenten benötigen, um sich ein Bild vom schuldneri- 617 schen Unternehmen machen zu können, und diesen zur Verfügung gestellt werden sollen, müssten hinsichtlich der Art der Daten vorab geprüft werden. Die Zurverfügungstellung von „normalen“ Unternehmensdaten wie BWA, Jahresabschlüsse oder Finanzplanungen sollte grundsätzlich kein Problem darstellen, da diesen i. d. R. keine personenbezogenen Daten zu entnehmen sind. Sollten jedoch die Interessenten auch Vertragsdaten benötigen oder andere 618 Unterlagen, die personenbezogene Daten enthalten können, gilt es zuvorderst zu klären, ob diese personenbezogenen Daten wirklich für die Entscheidungsfindung der Interessenten in dieser Form notwendig sind. Gegebenenfalls sollte eine Anonymisierung oder Pseudonymisierung dieser Daten vorgenommen werden. Auch wäre eine Schwärzung von Daten angebracht, wenn diese nicht zwingend für die Einschätzung der Interessenten benötigt würden. b) Mitarbeiterdatenschutz Problematisch bei der Bekanntgabe von Informationen und dem Bereitstel- 619 len von Unterlagen für Interessenten sind die Mitarbeiterlisten. Für die Bekanntgabe der Arbeitnehmerdaten bedarf es einer Rechtsgrundlage bzw. einer Einwilligung der Mitarbeiter.460) Eine Rechtsgrundlage kann nicht in Art. 6 Abs. 1 Satz 1 lit. b) i. V. m. § 26 BDSG zu sehen sein.461) Die Verarbeitung zur Vorbereitung der übertragenden Sanierung geschieht nicht zum Zwecke der Durchführung des Beschäftigungsverhältnisses, da kein unmittelbarer sachlicher Zusammenhang mit dem Vertragszweck besteht,462) der Grundlage des Beschäftigungsverhältnisses ist. Natürlich könnte eine Betriebsvereinbarung bestehen, die es der Unter- 620 nehmensleitung erlaubt, Mitarbeiterdaten im Rahmen einer Due Diligence weitergeben zu dürfen, allerdings wäre diese höchstwahrscheinlich nicht bestimmt und auch nicht transparent genug, um den Vorgaben des Datenschutzes gerecht zu werden. Im Zweifel wird es bereits an der expliziten Angabe fehlen, wer Empfänger der Daten ist. Die Mitarbeiterliste sollte zwar den Interessenten zur Verfügung gestellt 621 werden, aber zeitgleich auch der Beschäftigtendatenschutz gewahrt bleiben. Daher ist zu empfehlen, diese Liste nur pseudonymisiert zur Verfügung zu stellen. In einem frühen Stadium der Interessentengespräche sind die Mitarbeiterdaten des schuldnerischen Unternehmens so zusammenzustellen, dass ___________ 460) Göpfert/Meyer, NZA 2011, 488. 461) Exkurs: Dass neben § 26 BDSG auch ein Rückgriff auf die allgemeinen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO zulässig ist, hat (außerhalb des Insolvenzverfahrens) das VG Hamburg im Urteil v. 16.1.2020 – 17 K 3920/19, NZG 2020, 668 festgestellt. 462) Göpfert/Meyer, NZA 2011, 488.
187
F. Datenschutz im Antragsverfahren
einzelne Personen durch bestimmte Angaben in den Listen nicht zu identifizieren sind. Dies muss natürlich unter Beachtung des jeweiligen Einzelfalls erfolgen. 622 Der Interessent ist naturgemäß sehr interessiert, die jeweiligen arbeitsvertraglichen Daten zu erhalten. Hier bestünde die Möglichkeit, die Arbeitsverträge zu anonymisieren oder auch einen verwendeten Muster-Arbeitsvertrag zur Verfügung zu stellen. Ebenso von besonderem Interesse sind die jeweiligen Betriebszugehörigkeiten. Vor allem deshalb, weil bei einem entsprechenden Asset Deal die Arbeitsverhältnisse kraft Gesetz auf den Übernehmer übergehen, wie sie bestehen. Dennoch müssen diese Listen zunächst so bearbeitet werden, dass keine Rückschlüsse auf einzelne Personen zu ziehen sind. Beispiel: Ist in der Belegschaft nur eine Person eines bestimmten Geschlechts vertreten, wären die Hinweise auf das jeweilige Geschlecht durch geschlechterspezifische Angaben zu unterbinden. Andernfalls wäre genau diese Person identifizierbar. 623 Etwas anderes kann für Mitarbeiterdaten von speziellen Arbeitnehmern oder Führungskräften gelten, wenn diese für ein Zustandekommen einer Übertragungslösung oder für das grundsätzliche Interesse eines möglichen Investors von entscheidender Bedeutung sind. In diesem Fall wäre die Bekanntgabe dieser Daten auch erforderlich.463) Dazu bedarf es aber auch gleichzeitig einer Interessenabwägung. Die schutzwürdigen Interessen des Mitarbeiters dürfen in diesen Fällen nicht ohne Weiteres überwiegen.464) Um aber eine Übertragung nicht unnötig zu gefährden, sind nicht allzu strenge Maßstäbe anzulegen, da auch eine der Zielsetzungen einer übertragenden Sanierung ist, die bestehenden Arbeitsverhältnisse zu erhalten und diese zu übertragen, wie sie bestehen. c) Nutzung eines Dienstleisters für Due Diligence 624 Insbesondere bei größeren Transaktionen wird der Insolvenzverwalter auf Dienstleister zurückgreifen, die den Insolvenzverwalter bei einem solchen M&A Prozess unterstützen. Datenschutzrechtlich wichtig ist, zu klären, in welchem Rahmen eine solche Beauftragung stattfindet. Häufig wird es sich in diesen Fällen aus Datenschutzsicht um eine Auftragsverarbeitung handeln. Demnach ist der Insolvenzverwalter oder auch der Schuldner, wenn über diesen der Auftrag erfolgt, gehalten, mit dem Dienstleister eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abzuschließen. Auch soll-
___________ 463) Selk, RDV 2009, 254, 255; Braun/Wybitul, BB 2008, 782, 785; Diller/Deutsch, K&R 1998, 16, 19. 464) Göpfert/Meyer, NZA 2011, 489.
188
II. Datensituation beim Schuldner
ten die Auftragsverarbeitung und die jeweiligen Informationen in dem Verzeichnis von Verarbeitungstätigkeiten Einzug finden.465) Selbiges gilt bei der Beauftragung eines Bewerters für das Anlagevermögen 625 oder auch für den Dienstleister, der die Ressourcen für den Datenraum zur Verfügung stellt. Grundsätzlich wird mit Letzterem i. d. R. bereits eine solche Auftragsverarbeitung bestehen, zumindest aufseiten des Insolvenzverwalters.
___________ 465) Zur kumulativ in der Regel grundsätzlich sinnvollen Vertraulichkeitsvereinbarung mit Muster siehe Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 722.
189
G. Sachverständigengutachten I. Allgemeines Der Sachverständige erstattet gegenüber dem Gericht in regelmäßigen Ab- 626 ständen Bericht über seine bisherigen Ermittlungen und Erkenntnisse. Außerdem sind die Angaben und Informationen aus dem durch den Sachverständigen zu erstellenden Gutachten für das Gericht im Hinblick auf die gerichtliche Entscheidung zum Antragsverfahren maßgebend. Selbiges gilt natürlich für die Berichte des Insolvenzverwalters im weiteren Verfahrensverlauf. Der Sachverständige und auch der spätere Insolvenzverwalter muss prüfen, 627 welche personenbezogenen Daten angegeben werden und für die Durchführung des Insolvenzverfahrens erforderlich sind,466) zeitgleich muss der Sachverständige/Insolvenzverwalter sich vergewissern, ob die verarbeiteten Daten wirklich zur Zweckerreichung benötigt werden. Beim Umgang mit den Daten hat der Sachverständige/Insolvenzverwalter sich an die allgemeinen und je nach abzuwickelndem Unternehmen, an die spezifischen datenschutzrechtlichen Vorschriften zu halten. Die Angaben und Informationen enthalten eine Vielzahl an personenbezo- 628 genen Daten über den Schuldner, teilweise über dessen familiären, gesundheitlichen und natürlich finanziellen Background. Nicht selten handelt es sich dabei auch um eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die in Art. 9 Abs. 1 DSGVO aufgezählten besonderen Datenkategorien sind abschließend.467) Dabei handelt es sich um personenbezogene Daten, aus denen die rassische 629 und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder auch die Gewerkschaftszugehörigkeit hervorgeht, oder es betrifft genetische Daten, biometrische Daten zur eindeutigen Identifizierbarkeit des Betroffenen, Gesundheitsdaten oder Daten, die sich mit der sexuellen Orientierung auseinandersetzen. Die Verarbeitung dieser Art von Daten ist grundsätzlich untersagt, wenn nicht 630 eine Ausnahme gemäß Art. 9 Abs. 2 DSGVO Anwendung findet. Nur unter stark abgegrenzten Voraussetzungen ist eine Verarbeitung außerhalb einer Einwilligung des Betroffenen (Art. 9 Abs. 2 lit. a) DSGVO) rechtmäßig. Für den Sachverständigen kommt hier die Rechtmäßigkeit gemäß Art. 9 Abs. 2 lit. g) i. V. m. §§ 20, 97 InsO in Betracht. Demnach ist eine Verarbeitung dieser besonderen Daten auf Grundlage des Rechts des Mitgliedstaates denkbar, wenn die Verarbeitung im angemessenen Verhältnis zu dem verfolgten Ziel steht, der Datenschutz entsprechend gewahrt wird und Maßnahmen vorgesehen sind, die die Grundrechte und Interessen des Betroffenen wahren. Auch muss diese ___________ 466) TLfDI, 2. TB LfDI Thüringen 2014/2015, S. 93. 467) Plath-Plath, BDSG/DSGVO, Art. 9 DSGVO Rn. 4.
191
G. Sachverständigengutachten
Verarbeitung aus einem erheblichen öffentlichen Interesse erforderlich sein, was einem Insolvenzverfahren aber auch zuzurechnen ist. 631 Bezüglich dieser Daten, aber auch der sonstigen personenbezogenen Daten, bedarf es eines besonderen Verantwortungsbewusstseins des Sachverständigen für seine Berichterstattung. Der Sachverständige muss ganz genau wissen, dass die Verarbeitung und Übermittlung dieser Daten per se die Grundrechte des Betroffenen jederzeit beeinträchtigen können. II. Grundsatz Datensparsamkeit 632 Die Durchführung der Verarbeitung im Zusammenhang mit der Tatsache, dass die Grundrecht des Betroffen zumindest nicht unwesentlich betroffen sind, sollte folglich immer nach den Grundsätzen des Datenschutzes erfolgen. 633 Vordringlich ist der Grundsatz der Datensparsamkeit zu beachten. Der Sachverständige wie auch die Handelnden im weiteren Verfahrensgang sollten sich die Frage stellen, ob die Angaben, die innerhalb des Gutachtens oder auch des späteren Berichts vorgenommen werden, wirklich für den Zweck der Durchführung des Insolvenzverfahrens bzw. zur Erfüllung des Gutachtenauftrags erforderlich sind. Es gilt sowohl bei der Gutachtenerstellung als auch bei der Berichterstattung das Prinzip: „so viel wie nötig, so wenig wie möglich“. 634 Der Spagat zwischen den jeweiligen Interessen u. a. des Gerichts und Richters und der Gewährleistung der datenschutzrechtlichen Grundsätze bedarf einer sehr genauen Abwägung bezüglich der Daten, die in Gutachten oder den Berichten Eingang finden. Beispiel: Zur Betrachtung einer möglichen Unterhaltspflicht benötigt man nicht die einzelnen personenbezogenen Daten der Kinder, wie Namen, Geburtsdatum und Konfession etc. Es ist ausreichend zu schreiben: „Der Schuldner ist zwei Kindern (12, 16) zum Unterhalt verpflichtet.“ Ebenso sind nach Ansicht der Autoren keine Angaben bezüglich der Handynummer oder E-Mail-Adresse des Schuldners erforderlich. Wie diese der Auftragserfüllung oder dem Zweck der Durchführung des Insolvenzverfahrens dienen sollten, ist nicht ersichtlich. Schließlich bedarf es in den meisten Fällen keiner bzw. keiner genauen Bezeichnung einer Krankheit aufseiten des Schuldners, wenn diese zum Beispiel die Arbeitskraft des Schuldners einschränkt. Die Krankheit muss nicht explizit genannt werden. Ausreichend sollte die Formulierung sein: „Der Schuldner leidet an einer dauerhaften Erkrankung mit unbekanntem Krankheitsverlauf.“
192
II. Grundsatz Datensparsamkeit
1. Datenfluss Für die Abwägung der Datensparsamkeit bei der Berichterstattung sollte der 635 Datenfluss beachtet werden. Der Sachverständige ist ebenso wie der spätere Insolvenzverwalter bei der Berichterstattung gehalten, bei seinen Überlegungen den großen Empfängerkreis der Informationen und der von ihm genutzten personenbezogenen Daten zu berücksichtigen. Zwar berichtet er gegenüber dem Gericht, doch sind diese Daten auch ande- 636 ren Beteiligten zugänglich. Dies ist ein weiterer Grund dafür, dass der Insolvenzverwalter gewissenhaft abwägen muss, welche personenbezogenen Daten er „übermittelt“ und in welcher Detailtiefe. Siehe hierzu folgende Übersicht, die den grundsätzlichen Datenfluss abzeich- 637 net: Datenfluss Unternehmensdaten
Verfahrensdaten
• • • •
• Daten über die pers. u. wirtschaftl. Verhältnisse • auch der Angehörigen
Mitarbeiterdaten Kundendaten Lieferantendaten Geschäfts- und Betriebsgeheimnisse
Insolvenzschuldner
Insolvenzverwalter
Gläubiger
Gericht
Staatsanwaltschaft
Sozialversicherung
Finanzamt
Abb. 3: Datenfluss Quelle: Weiß/Reisener, RWS-Seminarunterlagen Datenschutz in der Insolvenzverwalterkanzlei, Folie 93.
2. Großer Empfängerkreis Bei den einzelnen Angaben im Gutachten und noch intensiver in den späteren 638 Berichten, sollte der große Empfängerkreis der Informationen beachtet werden. Das Gutachten wird zunächst nur für das Gericht als Entscheidungshilfe gefertigt, wandert dann aber in die Insolvenzakte. Alle Beteiligten mit Einsichtsrecht in die Insolvenzakte haben somit Zugriff auf das Gutachten und die dort enthaltenen Informationen (siehe oben). Apropos: Aus Datenschutzgründen wäre es hier aufseiten des Gerichts ratsam, eine separate Akte anzulegen, die dem Einsichtsrecht eines Gläubigers nicht unterliegt. Das Gutach-
193
G. Sachverständigengutachten
ten z. B. dient eben nicht der Information der Gläubiger, sondern soll lediglich die Entscheidung des Gerichts in Bezug auf eine mögliche Eröffnung unterstützen. 639 Im Eröffnungsverfahren ist der Kreis der Einsichtsberechtigten noch beschränkt, da in diesem Verfahrensstadium nur der antragstellende Gläubiger und der Schuldner Beteiligte sind468) und nur diese Beteiligten ein Einsichtsrecht gemäß § 299 Abs. 1 ZPO genießen. 640 Das Einsichtsrecht weitet sich auf alle Gläubiger aus, sollte das Verfahren aufgrund der Abweisung mangels Masse nicht eröffnet werden. In diesem Fall haben alle Insolvenzgläubiger ein Einsichtsrecht, auch in das Gutachten. Das Akteneinsichtsrecht ist auch nicht auf Gläubiger mit titulierter Forderung beschränkt, weil auch diese Forderungen zum Eröffnungsantrag berechtigen (vgl. §§ 14 Abs. 1, 179 InsO).469) Selbiges wird auch bei einer Antragsrücknahme oder Antragserledigung angenommen.470) Gerade in einer solchen Situation, in der der Schuldner ggf. noch nach Einreichung des Gutachtens den Antrag zur Erledigung bringt, könnten ihm ggf. schwerwiegende Folgen für die Weiterführung der Unternehmung drohen, wenn ein Gläubiger der Lieferant oder Dienstleister des schuldnerischen Unternehmens ist, Informationen aus dem Gutachten erlangt, die er im Nachhinein gegen den Schuldner einsetzen kann. 641 Nach Verfahrenseröffnung besteht für alle Insolvenzgläubiger, die ihre Forderungen zur Tabelle angemeldet haben, ein Einsichtsrecht.471) Auch Insolvenzgläubigern, die ihre Forderungen nicht angemeldet haben und somit als Dritte i. S. d. § 299 Abs. 2 ZPO angesehen werden, kann Einsicht in die Akten gewährt werden, wenn ein rechtliches Interesse glaubhaft gemacht wurde. 642 Der Empfängerkreis kann demnach eine gewisse Größe erreichen. Es erhöht sich damit für den Schuldner als Betroffener die Gefahr, aufgrund zu ausführlicher Angaben oder exzessiver Verarbeitung von personenbezogenen Daten im Gutachten oder in den Berichten einen schwerwiegenden Schaden der Rechte oder Freiheiten zu erfahren. 3. Zweck des Gutachtens 643 Bei der Gutachtenerstellung sollte immer der Zweck des Gutachtens bedacht werden. Dieser wird im Beschluss benannt und ergibt sich ebenso aus den Zielen des Insolvenzverfahrens. 644 Der Gutachtenauftrag umfasst regelmäßig die Aufforderung an den Sachverständigen festzustellen, ob ein Insolvenzeröffnungsgrund vorliegt, die ___________ 468) 469) 470) 471)
194
Musielak/Voit-Huber, ZPO, § 299 Rn. 4. Musielak/Voit-Huber, ZPO, § 299 Rn. 4. OLG Schleswig, Beschl. v. 29.7.2008 – 12 Va 1/08, NZI 2008, 690. Musielak/Voit-Huber, ZPO, § 299 Rn. 4.
II. Grundsatz Datensparsamkeit
vorhandene Masse die Verfahrenskosten decken kann und ob Aussichten bestehen, das Unternehmen zu erhalten. Überspitzt gesagt genügt für diese Feststellungen eine A4-Seite. Natürlich erwarten die Gerichte mehr Informationen vom Sachverständigen oder Insolvenzverwalter. Das Gericht erwartet zum einen Begründungen für die jeweiligen Feststellungen und auch Erkenntnisse darüber, wie es zu dieser Situation oder zur Krise kommen konnte. Schließlich kann das Gutachten des Sachverständigen als nützlichen Nebeneffekt Anhaltspunkte für die Staatsanwaltschaft liefern, wenn diese im Nachhinein die Situation von der strafrechtlichen Seite her beleuchtet. Praxistipp: Natürlich ist es nur schwerlich möglich, jegliche Verwendung von personenbezogenen Daten innerhalb der Gutachtenerstellung zu verhindern. Allerdings sollte diese Verarbeitung immer unter Berücksichtigung der möglichen Gefahr für den Betroffenen vorgenommen werden und mit Blick auf den Empfängerkreis.
Dabei soll der Sachverständige abwägen, ob diese Informationen unter Nutzung 645 von personenbezogenen Daten wirklich dem Zweck des Gutachtens dienen und für die Entscheidung des Gerichts notwendig sind. Außerdem sollte wenn möglich eine Pseudonymisierung erwogen werden.
195
H. Datenschutz im eröffneten Verfahren I. Situation für den Insolvenzverwalter Mit der Verfahrenseröffnung tritt beim Insolvenzverwalter eine besondere 646 Situation ein. Ab diesem Zeitpunkt gilt er als Verantwortlicher auch für die Unternehmensdaten, zumindest für diese Verarbeitungen, die in seinen Einflussbereich fallen. Führt der Insolvenzverwalter also ein Unternehmen als Verantwortlicher fort, muss er die datenschutzrechtlichen Vorgaben für alle Verarbeitungstätigkeiten, die vorher noch im Verantwortungsbereich des Schuldners lagen, einhalten.472) Nach Eröffnung des Insolvenzverfahrens und dem Übergang der Verwaltungs- und Verfügungsbefugnis gemäß § 80 InsO muss der Insolvenzverwalter die Einhaltung der datenschutzrechtlichen Vorschriften auch in dem verwalteten Unternehmen überwachen und ggf. nachhalten.473) In diesen Situationen werden insbesondere die Vorbereitungen und Erkenntnisse aus dem Eröffnungsverfahren wichtig. Der Insolvenzverwalter muss nunmehr die Maßnahmen ergreifen und umsetzen, die zu diesem Zeitpunkt bereits ermittelt sein sollten. Auch hier könnte die Unterstützung durch einen Spezialisten hilfreich sein. Aufgrund der besonderen Situation sollte bei schweren datenschutzrechtlichen 647 Problemen Kontakt zu der zuständigen Aufsichtsbehörde aufgenommen werden, sofern der Insolvenzverwalter das schuldnerische Unternehmen fortführen möchte. Vor allem in den Fällen, in denen sich starke Probleme mit dem Datenschutz abzeichnen, wie solchen, in denen kein Verzeichnis von Verarbeitungstätigkeiten vorliegt oder kein Datenschutzbeauftragter benannt ist, obwohl die Voraussetzungen aufseiten des Unternehmens für eine Pflichtbenennung vorliegen. Es ist davon auszugehen, dass die Aufsichtsbehörden für die Ergreifung dieser Maßnahmen eine gewisse Karenzzeit einräumen werden, allerdings im Zweifel nur nach vorheriger Konsultation der Behörde.474) Ab Eröffnung des Verfahrens erfolgt die Fortführung des Betriebs unter Voll- 648 kosten und gemäß § 61 InsO haftet der Insolvenzverwalter für die begründeten Masseverbindlichkeiten. Fraglich und ungeklärt ist der Umstand, welche Entscheidung der Insolvenzverwalter treffen muss, wenn die Ergreifung der datenschutzrechtlichen Maßnahmen nur schwerlich umsetzbar oder auch aus Kostengründen nicht darstellbar ist. Wäre der Insolvenzverwalter verpflichtet, den Geschäftsbetrieb einzustellen 649 bzw. die Zustimmung des Gläubigerausschusses für die Stilllegung gemäß § 158 InsO einzuholen, da ihm die Gewährleistung des Datenschutzes nicht möglich ist und die Gefahr besteht, dass die Befriedigungsaussichten der Gläu___________ 472) Schmitt/Heil, NZI 2018, 868; Bornheimer/Park, NZI 2018, 878. 473) Woltersdorf, InDat Report 02/2018, 12. 474) Schmitt/Heil, NZI 2018, 868.
197
H. Datenschutz im eröffneten Verfahren
biger in nicht unerheblichen Umfang geschmälert werden?475) Welche Folgen für die Masse hätte eine entsprechende Weiterführung der Verarbeitung mit allen datenschutzrechtlichen Problemen? Besteht eine Haftung der Masse oder des Insolvenzverwalters auch für eine unrechtmäßige Verarbeitung personenbezogener Daten vor Verfahrenseröffnung? Diese Fragen sind zum Teil noch ungeklärt und bedürfen in naher Zukunft einer dringenden Klärung möglicherweise durch die Gerichte. Nachfolgend wird versucht, die eine oder andere dieser Fragen aus Sicht der Autoren zu klären. II. Haftung für „Altlasten“ und Weiterverarbeitung 650 Ein Blick auf die bisherige Einordnung und Behandlung von Pflichten des Insolvenzverwalters bei öffentlich-rechtlichen Altlasten könnte für die Beantwortung eine Hilfestellung geben. Diese Betrachtung wurde in der Vergangenheit nicht mit Blick auf die datenschutzrechtlichen Pflichten vorgenommen, sondern vornehmlich in Bezug auf bestehende Altlasten eines zur Masse zugehörigen Grundstücks. Vom Grundsatz her gilt, dass der Insolvenzverwalter für Gegenstände, die der Verwaltung des Insolvenzverwalters unterliegen, die öffentlich-rechtlichen Pflichten zu erfüllen hat.476) 651 In der Rechtsprechung der Verwaltungsgerichte wird grundsätzlich davon ausgegangen, dass der Insolvenzverwalter verpflichtet ist, die Störung zu beseitigen.477) Diese Ordnungspflicht sei, da es sich um eine Zustandsstörung handelt, als Masseverbindlichkeit anzusehen. Sie sei daher nicht nur eine reine Insolvenzforderung, und zwar unabhängig davon, ob die jeweilige Altlast oder Gefahr bereits bei Verfahrenseröffnung bestand oder erst nach Verfahrenseröffnung verursacht wurde.478) Von dieser Ordnungspflicht kann sich der Insolvenzverwalter durch Freigabe und Besitzaufgabe des Grundstücks befreien.479) 652 Die h. M. geht bei der Einordnung der Ordnungspflicht als Insolvenz- oder Masseforderung davon aus, dass hierfür der Zeitpunkt der Ordnungspflicht ausschlaggebend ist. Eine Einordnung als Masseverbindlichkeit kann sich nicht allein aus dem Umstand begründen, dass der Insolvenzverwalter den entsprechenden Gegenstand oder das Grundstück nach Verfahrenseröffnung vorübergehend genutzt hat. Vielmehr sei auf den Zeitpunkt der Handlung abzustellen, der im Kern die Ordnungspflicht hat entstehen lassen.480)
___________ 475) Nerlich/Römermann-Rein, InsO, § 60 Rn. 60. 476) Thole, 2018, 1007. 477) BVerwG, Urt. v. 23.9.2004 – 7 C 22.3, ZIP 2004, 2145 = NZI 2005, 51, 52; VGH Mannheim, Beschl. v. 17.4.2012 – 10 S 3127/11, ZIP 2012, 1819. 478) Thole, ZIP 2018, 1007. 479) Thole, ZIP 2018, 1007. 480) Thole, ZIP 2018, 1007.
198
II. Haftung für „Altlasten“ und Weiterverarbeitung
1. „Altlasten“ vor Verfahrenseröffnung Übertragen auf das Datenschutzrecht und den damit verbundenen öffentlich- 653 rechtlichen Pflichten ist für die Fälle der unrechtmäßigen Verarbeitung von personenbezogenen Daten vor Verfahrenseröffnung aufgrund fehlender Einflussmöglichkeit des Insolvenzverwalters auf die Datenverarbeitung davon auszugehen, dass eine Verantwortlichkeit des Insolvenzverwalters nicht greift. Auch kann aus einer unrechtmäßigen Verarbeitung aus dem Zeitraum vor Verfahrenseröffnung keine Masseverbindlichkeit entstehen, da dieser Umstand nicht unter § 55 InsO subsumiert werden kann.481) Somit kann eine Haftung des Insolvenzverwalters für unrechtmäßige Verarbeitungsvorgänge vor Verfahrenseröffnung verneint werden. 2. „Altlasten“ nach Verfahrenseröffnung Etwas anderes dürfte in den Fällen anzunehmen sein, in denen der Insolvenz- 654 verwalter aufgrund der Fortführung des Unternehmens die Verarbeitung zu verantworten hat. Hier dürften entsprechende Ansprüche, die auf diesem Zeitpunkt der Verarbeitung beruhen, sehr wohl als Masseverbindlichkeiten zu betrachten sein. Demzufolge kann der Insolvenzverwalter gehalten sein, bei der Nichterfüllung der datenschutzrechtlichen Vorschriften und einer nicht absehbaren kurzfristigen Behebung, den Geschäftsbetrieb auch aus datenschutzrechtlichen Gründen ultima ratio einzustellen. Für eine Stilllegung bedarf es gemäß § 158 InsO der Zustimmung des Gläubigerausschusses. Ist ein solcher nicht vorhanden, hat der Insolvenzverwalter nach eigenem pflichtgemäßem Ermessen bis zum Berichtstermin über die Fortführung zu entscheiden.482) a) Stilllegung aus rechtlichen Gründen Die Stilllegung i. S. d. § 158 InsO kann aus wirtschaftlichen Gründen oder 655 auch aus rechtlichen Gründen geboten sein, auch schon vor dem Berichtstermin.483) Die rechtlichen Gründe können vorliegen, wenn eine Verarbeitungstätigkeit unrechtmäßig wäre, weil eine entsprechende Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten nicht vorliegt, diese Verarbeitung aber für die Betriebsfortführung notwendig ist. Bedarf die Verarbeitungstätigkeit, die Grundlage für den Betrieb des schuldnerischen Unternehmens ist, ggf. aufgrund der Kategorie der zu verarbeitenden Daten einer Einwilligung des Betroffenen und liegt diese Einwilligung nicht vor, ist eine Verarbeitung unrechtmäßig. Aufgrund des gesetzlichen Verbots der DSGVO, eine unrechtmäßige Verarbeitung vorzunehmen, kann sich eine notwendige Stilllegung aus rechtlichen Gründen, die in der DSGVO niedergelegt sind, ergeben. ___________ 481) Vgl. Thole, ZIP 2018, 1007. 482) BAG, Urt. v. 15.11.2012 – 6 AZR 321/11, NZI 2013, 284. 483) Karsten Schmidt-Jungmann, InsO, § 158 Rn. 5.
199
H. Datenschutz im eröffneten Verfahren
b) Stilllegung aus wirtschaftlichen Gründen 656 Anders sieht es aus, wenn die datenschutzrechtlichen Voraussetzungen, die nicht zwangsläufig in der Verarbeitung liegen und von der DSGVO oder dem BDSG gefordert werden, nicht erfüllt werden können. Ist beispielsweise kein Datenschutzbeauftragter trotz bestehender Verpflichtung benannt oder liegt kein Verzeichnis von Verarbeitungstätigkeiten vor, so droht ein Bußgeld der Aufsichtsbehörde. Somit käme eine Stilllegung aus wirtschaftlicher Sicht in Betracht, da ein solches Bußgeld die Masse – sofern es nicht den Insolvenzverwalter selbst belastet – nicht unerheblich schädigen kann. Im Falle der Fortführung ist ein solches Bußgeld, wenn dieses auf den Zeitraum nach Verfahrenseröffnung bezogen ist, als sonstige Masseverbindlichkeit gemäß § 55 Abs. 1 Nr. 1 InsO einzuordnen, da die Ursache für den ordnungswidrigen Zustand eine Handlung oder eine Unterlassung des Insolvenzverwalters im Rahmen der Verwaltung oder Verwertung der Insolvenzmasse484) darstellt. Allerdings wird ebenso vertreten, dass die bloße Möglichkeit der Masseschädigung für eine Stilllegung nicht ausreichend ist.485) 657 Der Insolvenzverwalter ist gehalten, eine Stilllegung aus wirtschaftlichen Gründen auch unter insolvenzrechtlichen Maßstäben bereits genau zu prüfen, wenn er befürchten muss, dass seitens der Aufsichtsbehörde ein Bußgeld ausgesprochen werden könnte. Dies unter genauer Analyse des Risikos sowie der Eintrittswahrscheinlichkeit und letztlich durch Bewertung aller datenschutzrechtlichen Probleme. Der Insolvenzverwalter muss im Rahmen seines Ermessens beurteilen, wie hoch die Wahrscheinlichkeit ist, dass die Masse durch ein Bußgeld der Aufsichtsbehörde geschmälert werden könnte und letztlich auch in welchem Umfang. Für eine solche Beurteilung fehlt es aktuell aber an vergleichbaren Fällen. Praxistipp: Dem Insolvenzverwalter ist anzuraten, sofern er datenschutzrechtliche Unzulänglichkeiten bei den Verarbeitungstätigkeiten oder internen Datenschutzmaßnahmen des schuldnerischen Unternehmens feststellt, schnellstmöglich mit der Aufsichtsbehörde Kontakt aufzunehmen, um deren Ansichten zu eruieren. Wenn ein Gläubigerausschuss besteht, sollte dieser umgehend informiert werden, um notwendige Maßnahmen zur Entscheidung vorzulegen. Hier zeigt sich erneut, dass der Datenschutz letztlich in die insolvenzrechtlichen Gegebenheiten zu integrieren ist.
3. Sonderfall Eigenverwaltung 658 Für die Eigenverwaltung müssen in Bezug auf die Verantwortlichkeit andere Grundsätze gelten. Weder der vorläufige Sachwalter noch der spätere Sachwalter kann die Verarbeitungstätigkeiten in der üblichen insolvenzrechtli___________ 484) Nerlich/Römermann-Andres, InsO, § 55 Rn. 76. 485) Nerlich/Römermann-Balthasar, InsO, § 158 Rn. 14.
200
III. Betriebsfortführung im eröffneten Verfahren
chen Praxis entscheidend beeinflussen bzw. diese mitbestimmen. Der Sachwalter kann also grundsätzlich nicht unter den Begriff des „Verantwortlichen“ subsumiert werden, da er in dieser Funktion zumindest hinsichtlich der Unternehmensdaten über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten nicht i. S. v. Art. 4 Nr. 7 DSGVO entscheidet. Für die Verfahrensdaten gilt bekanntlich etwas anderes. So ist der Sachwalter zum Beispiel beim Führen der Tabelle natürlich verpflichtet, die angeschriebenen Gläubiger bezüglich der Verarbeitung von personenbezogenen Daten mittels eines Informationsschreibens gemäß Artt. 13, 14 DSGVO zu informieren. Grundlegende Aufgabe des Sachwalters ist die Überwachung des Schuld- 659 ners,486) wie es sich aus § 274 Abs. 2 InsO ergibt. Er ist verpflichtet, die wirtschaftliche Lage und die Geschäftsführung zu prüfen und die Aufwendungen für die Lebensführung zu überwachen. Ähnlich wie bei der Begutachtung der steuerlichen Pflichten des Schuldners, bei der der Sachwalter nur eine beratende und überwachende Funktion erfüllt,487) muss es auch bei Fragen des Datenschutzes angenommen werden. Des Weiteren obliegt dem Sachwalter eine Anzeigepflicht (§ 274 Abs. 3 InsO) 660 gegenüber dem Gläubigerausschuss und Insolvenzgericht. Stellt der Sachwalter konkrete Tatsachen fest, die erwarten lassen, dass die Fortsetzung der Eigenverwaltung zu Nachteilen für die Gläubiger führen wird, hat er dies unverzüglich dem Gläubigerausschuss und dem Insolvenzgericht anzuzeigen.488) Drohen den Gläubigern aufgrund von Pflichtverletzungen des Schuldners oder Fehlern der Geschäftsführung Nachteile, so hat der Sachwalter diese konkreten Tatsachen dem Gericht oder dem Gläubigerausschuss gegenüber anzuzeigen. Erstattet der Sachwalter diese Anzeige nicht, verstößt er gegen seine Pflichten, was zu einer Haftung auf seiner Seite führen kann. Der Sachwalter ist verpflichtet, die wirtschaftliche Lage zu prüfen, nicht aber 661 die organisatorischen und strukturellen Unternehmensinterna. Somit ist der Sachwalter in Bezug auf seine Prüfungs- und Überwachungspflichten nicht angehalten, zu kontrollieren, ob alle öffentlichen Pflichten und somit auch die datenschutzrechtlichen Pflichten erfüllt werden. Sollten ihm allerdings Punkte bekannt werden, so müsste er den eigenverwaltenden Schuldner darauf hinweisen und beim Drohen von Nachteilen für die Gläubiger, diese Umstände dem Gericht anzeigen. III. Betriebsfortführung im eröffneten Verfahren Bei der Betriebsfortführung im eröffneten Verfahren unterliegt der Insolvenz- 662 verwalter als Verantwortlicher besonderen Verpflichtungen. Er muss sich um die Datenschutzbelange des schuldnerischen Unternehmens kümmern, wenn ___________ 486) Karsten Schmidt-Undritz, InsO, § 274 Rn. 8. 487) Nerlich/Römermann-Riggert, InsO, § 274 Rn. 6. 488) Karsten Schmidt-Undritz, InsO, § 274 Rn. 12.
201
H. Datenschutz im eröffneten Verfahren
möglich eine Sanierung des Schuldners vornehmen und zugleich die Vermögenswerte des Schuldners verwerten. 1. Fortführung nach Verfahrenseröffnung und interne Maßnahmen 663 Die bisher genannten Punkte sind vom Insolvenzverwalter zu beachten, insbesondere bei den geschäftlichen Tätigkeiten des schuldnerischen Unternehmens. Er hat aber auch beim schuldnerischen Unternehmen für die internen Maßnahmen, die zum Teil bereits angesprochen wurden und durch ihn selbst bei der eigenen Unternehmensführung beachtet werden müssen, zusätzlich Sorge zu tragen. a) Benennung DSB 664 Erfüllt das schuldnerische Unternehmen die Voraussetzungen, die eine Benennung eines Datenschutzbeauftragten erfordert, muss ein solcher benannt sein. Notfalls muss der Insolvenzverwalter, wenn er feststellt, dass trotz der Erfordernisse kein Datenschutzbeauftragter benannt ist, einen solchen selbst benennen. Dies kann natürlich ein interner oder auch externer Datenschutzbeauftragter sein. Letzteres wird in diesen Fällen zu empfehlen und ggf. sogar notwendig sein, wenn nicht absehbar ist, wie lange eine Fortführung andauert. 665 Inwieweit der Insolvenzverwalter in der Lage ist, kurzfristig eine Benennung eines Datenschutzbeauftragten zu organisieren, hängt von der jeweiligen Situation und dem Einzelfall ab. Es muss geprüft werden, ob im Unternehmen entsprechende Mitarbeiter vorhanden sind, die für eine solche Aufgabe infrage kommen. Auch sollte bei der Entscheidung, ob ein interner oder externer Datenschutzbeauftragter benannt wird, der besondere Kündigungsschutz des Datenschutzbeauftragten beachtet werden, der auch grundsätzlich in der Insolvenz Bestand hat. Praxistipp: Stellt der Insolvenzverwalter fest, dass trotz einer bestehenden Verpflichtung ein Datenschutzbeauftragter im schuldnerischen Unternehmen noch nicht benannt ist, sollte er eine Benennung, wenn möglich, vornehmen. In diesem Fall und weil die zeitliche Komponente dies gebietet, wäre eine Benennung eines externen Dienstleisters als Datenschutzbeauftragter zu empfehlen. Auch könnte eine entsprechende Vertragsgestaltung die Besonderheit der Insolvenz mit einschließen und es können kurzfristige Lösungsklauseln vertraglich vorgesehen werden. Dies setzt natürlich voraus, dass ein Datenschutzbeauftragter kurzfristig in der Lage ist, diese Position zu übernehmen.
666 Gegebenenfalls sollte der Insolvenzverwalter solche Dienstleister zukünftig in seine Dienstleisterliste mit aufnehmen und diese bereits nach den Bestimmungen der GOI auswählen.
202
III. Betriebsfortführung im eröffneten Verfahren
b) Risikobetrachtung der datenschutzrechtlichen Grundlagen Der Insolvenzverwalter sollte die Risikobetrachtung bezüglich der datenschutz- 667 rechtlichen Grundlagen im schuldnerischen Unternehmen genauso vornehmen, wie er es bereits in seinem eigenen Unternehmen getan hat. Es ist zu prüfen, ob die Rechte der Betroffenen gewährleistet sind, die Ver- 668 arbeitungstätigkeiten von personenbezogenen Daten den Grundsätzen des Datenschutzrechts gerecht werden und auch die technischen und organisatorischen Maßnahmen dem Stand der Technik entsprechen und ebenso umgesetzt werden. Gegebenenfalls sind diese anzupassen oder zu verbessern. Dabei ist anzumerken, dass wirtschaftliche Gründe einer datenschutzkonformen Verarbeitung nicht entgegenstehen können. c) Prüfung Verzeichnis und Datenschutzmanagement Wenn ein Verzeichnis von Verarbeitungstätigkeiten vorliegt und auch ein ent- 669 sprechend gepflegtes Datenschutzmanagement, sind diese eine große Hilfe für den Insolvenzverwalter, um sich einen Überblick über die jeweilige Situation machen zu können. Insbesondere bei dem Verarbeitungsverzeichnis handelt es sich um ein nicht 670 zu unterschätzendes und effektives Instrument489) zur Umsetzung des modernen Datenschutzrechts, letztlich aber auch zur Erleichterung für die Insolvenzkanzlei (insbesondere bei Auskunftsbegehren) oder gar als Exkulpation (z. B. bei Schadensersatz- oder sonstigen Ansprüchen) gegenüber der Aufsichtsbehörde. Das Verzeichnis sollte auf Richtigkeit und Vollständigkeit geprüft werden. 671 Eventuell muss der Insolvenzverwalter bzw. der benannte Datenschutzbeauftragte Angleichungen und Aktualisierungen vornehmen, um ein Verzeichnis, wie es notwendig ist, vorliegen zu haben. Häufig wird es aber vorkommen, dass ein solches Verzeichnis nicht existiert. Dann ist der Insolvenzverwalter als Verantwortlicher gefordert, ein Verzeichnis zu erstellen bzw. erstellen zu lassen. Praxistipp: Insbesondere folgende Punkte können und sollten ausgehend von einem Verarbeitungsverzeichnis berücksichtigt werden.490) Denn hierbei handelt es sich um die Essentialia des „neuen“ Datenschutzrechts: A. Rechenschafts-/Dokumentationspflicht, insbesondere x Integrität bzw. Vertraulichkeit – Hardware oder/und
___________ 489) Gossen/Schramm, ZD Sonderausgabe 2017, 20. 490) Ausführlich dazu Gossen/Schramm, ZD Sonderausgabe 2017, 23 ff. m. w. N.
203
H. Datenschutz im eröffneten Verfahren – Software betreffend, also auch – TOM x Zulässigkeit der Verarbeitung x Zweckbindung x Datensparsamkeit bzw. -minimierung x Datenrichtigkeit x ggf. Speicherbegrenzung bzw. Löschungsroutinen etc. B. Datenschutz-Folgeabschätzung C. Gegebenenfalls Auftragsverarbeitung Insbesondere je nach schuldnerischer EDV-/Datenstruktur ergibt sich ggf. auch für den Insolvenzverwalter über Vorstehendes hinausgehend Anpassungs-/Ergänzungsbedarf. Im Zweifel ist dem Insolvenzverwalter daher eine – relativ – ausführliche Einzelfallbetrachtung unter Einbeziehung der IT-ler des Unternehmens sowie seines/eines externen Datenschutzbeauftragten etc. anzuraten.
672 Selbiges gilt für das Datenschutzmanagementsystem. Liegen entsprechende Prozesse, Abläufe und Dokumentationen vor, sind diese auf Vollständigkeit zu kontrollieren. Eine Neuerstellung und Einführung eines Datenschutzmanagementsystems inkl. der jeweiligen Prozesse und Dokumentationsmöglichkeiten ist in der sehr begrenzten Zeit vermutlich kaum möglich. 673 Hier sollte der Insolvenzverwalter hilfsweise ein schlankes System erstellen, das ihm eine Dokumentation bequem ermöglicht. Er sollte außerdem die jeweiligen Arbeitsabläufe über Checklisten verankern. Diese Checklisten sollten die Vorgehensweisen widerspiegeln, wie sie z. B. bei der Erfüllung der Informationspflichten vorgenommen werden. Darüber hinaus sollte der Insolvenzverwalter festlegen, welche Arbeitsschritte innerhalb des fortgeführten Unternehmens erforderlich sind, um eine Datenpanne innerhalb der 72-Stunden-Frist gemäß Art. 33 DSGVO vollständig der Aufsichtsbehörde melden zu können. Weiterhin sind Zuständigkeiten und Verantwortlichkeiten entsprechend zu verteilen und die Mitarbeiter dahingehend zu informieren. 674 Verständlicherweise kann so ein abgestuftes Datenschutzmanagementsystem nicht alle Erfordernisse des Datenschutzrechts erfüllen. Aber es ist stark anzunehmen, dass die Aufsichtsbehörde auch die insolvenzrechtliche Situation würdigt und den Umstand berücksichtigt, dass dem Insolvenzverwalter nur begrenzte Zeit und Mittel zur Verfügung stehen. Die mildernden Umstände gemäß ErwGr. 148 DSGVO sollten in diesen Fällen zur Anwendung kommen, da die Aufsichtsbehörde das Bemühen des Insolvenzverwalters in ihre Überlegungen mit einbeziehen sollte.
204
III. Betriebsfortführung im eröffneten Verfahren
2. Sanierung des schuldnerischen Unternehmens Die „Königsdisziplin“ innerhalb eines Insolvenzverfahrens für den Insolvenz- 675 verwalter ist die Sanierung des schuldnerischen Unternehmens. Aufgrund des auf den Sanierungsgedanken und den Sanierungserfolg gerichteten Fokus fand der Datenschutz bei dieser Sanierung bisher nur wenig Beachtung.491) Diese Einstellung ändert sich aktuell, was nicht zuletzt auf die drohenden Bußgelder seit Inkrafttreten der DSGVO zurückzuführen ist, aber auch aufgrund vereinzelter Bußgeldverfahren mit entsprechenden Bußgeldern in der jüngeren Vergangenheit. Auf die Sanierung des schuldnerischen Unternehmens hat die DSGVO in 676 bestimmten Situationen großen Einfluss. Dieser Einfluss ist aber nicht zwingend größer, als er vor dem Inkrafttreten der DSGVO bestand, da die grundsätzlichen Regelungen bereits im alten BDSG verankert waren. Lediglich das Risiko der möglichen negativen Konsequenzen bei Nichtbeachtung dieser Regeln hat sich exorbitant erhöht. Das BayLDA hat im Jahr 2015 einen Insolvenzverwalter und den Käufer 677 eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten, mit einem erheblichen Bußgeld belegt.492) Bei dem streitgegenständlichen Asset Deal, der noch unter den Geltungsbereich des BDSG a. F. fiel, wurden Kundendaten übertragen, insbesondere auch die E-Mail-Adressen der Kunden. Die Ansichten der Aufsichtsbehörde, die auch der Pressemitteilung zu entnehmen sind, werden bei der Bewertung in den Fällen der benötigten Interessenabwägung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO vermutlich Bestand haben. Gemäß dem vorliegenden anonymisierten Bußgeldbescheid493) war die Über- 678 mittlung der E-Mail-Adressen an den Erwerber unzulässig, da seitens der Kunden keine Einwilligungen vorlagen und die Übermittlung auch nicht auf eine andere Rechtsvorschrift gestützt werden konnte. Gemäß der Ansicht des BayLDA ist eine Übermittlung von Telefonnummern, E-Mail-Adressen oder auch Kaufhistorien nur zulässig, wenn die Betroffenen in die Übermittlung dieser Daten eingewilligt haben oder diesen im Vorfeld ein entsprechendes Widerspruchsrecht eingeräumt wurde.494) Liegt aufseiten des Erwerbers ein reines Werbeinteresse an den Daten vor, 679 ergibt sich für E-Mail-Adressen und Telefonnummern ein weiteres Problem, dass diese Daten nur nach vorheriger ausdrücklicher Werbeeinwilligung des Betroffenen zu Werbezwecken genutzt werden können gemäß § 7 Abs. 2 Nr. 2, ___________ 491) Eckhardt, ZInsO 2016, 1917. 492) Pressemitteilung des BayLDA v. 30.7.2015, https://www.lda.bayern.de/media/pm2015_ 10.pdf (Stand: 17.8.2020). 493) Siehe anonymisierten Bußgeldbescheid im Anhang. 494) Pressemitteilung des BayLDA v. 30.7.2015, https://www.lda.bayern.de/media/pm2015_ 10.pdf (Stand: 17.8.2020).
205
H. Datenschutz im eröffneten Verfahren
3 UWG. Ein eingeräumtes Widerspruchsrecht kann auch die Hürde des UWG nicht nehmen. Hier bedarf es definitiv einer vorherigen Einwilligung. 680 Auch der TLfDI hat laut seinem 3. Tätigkeitsbericht zum Datenschutz zum nicht öffentlichen Bereich einen Vorgang untersucht, der eine Übertragung von Kundendaten durch einen Insolvenzverwalter auf einen Erwerber zum Gegenstand hatte.495) Der Insolvenzverwalter wurde unter Verweis auf § 38 Abs. 3 BDSG a. F. durch den TLfDI zur Stellungnahme aufgefordert. Der Insolvenzverwalter sollte darlegen, welche Unterlagen und PCs mit personenbezogenen Daten bei der Insolvenzabwicklung an den Erwerber übertragen wurden, auf welcher Rechtsgrundlage diese Übertragung erfolgte und ob die Betroffenen vorab in die Datenübermittlung eingewilligt hatten. Dieser Anweisung folgte der Insolvenzverwalter und es stellte sich heraus, dass keine datenschutzrechtlichen Vorschriften bei der Übertragung verletzt wurden. 681 Auch im 2. Tätigkeitsbericht zum Datenschutz im nicht öffentlichen Bereich 2014/2015 teilte der TLfDI mit, dass gegen einen Insolvenzverwalter einer Apotheke aufgrund der unbefugten Verarbeitung personenbezogener Daten ein Bußgeldverfahren eingeleitet wurde.496) Dieser hatte alle Kunden- und Bestelldaten an einen Erwerber veräußert. Auch der Umstand, dass eine Veräußerung i. S. d. Insolvenzgläubiger sei und sich aus der Aufgabe des Insolvenzverwalters zur Massemehrung ergibt, ändert nichts an einem Verstoß gegen die datenschutzrechtlichen Regelungen.497) Der TLfDI vertritt dabei die Ansicht, dass der Insolvenzverwalter dieselben datenschutzrechtlichen Regeln zu beachten hat wie das schuldnerische Unternehmen. Besondere datenschutzrechtliche Regeln oder eben Ausnahmen von diesen, bestehen unter Beachtung des BDSG a. F. für den Insolvenzverwalter nicht. Auch die DSGVO und das BDSG sehen Erleichterungen für das Insolvenzrecht bis dato nicht vor. 682 Aufgrund der im Raum stehenden Bußgelder, die gemäß Art. 83 DSGVO erhoben werden können und gegenüber dem Verantwortlichen erhoben werden, sowie der Gefahr, sich Schadensersatzforderungen von Betroffen ausgesetzt zu sehen, sollten die Regelungen bestmöglich beachtet werden. Des Weiteren ist zu erwarten, dass die Bestellpraxis des Gerichts beeinflusst wird, wenn Verstöße gegen die Datenschutzvorschriften bei einer Sanierung auftreten. 683 Und letztlich schweben die Strafvorschriften des § 42 BDSG wie ein Damoklesschwert über dem Insolvenzverwalter. Unter anderem heißt es dort: „Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, 1.
ohne hierzu berechtigt zu sein, verarbeitet oder
2.
durch unrichtige Angaben erschleicht
___________ 495) TLfDI, 3. TB LfDI Thüringen 2016/2017, S. 48. 496) TLfDI, 2. TB LfDI Thüringen 2014/2015, S. 353. 497) TLfDI, 2. TB LfDI Thüringen 2014/2015, S. 353.
206
III. Betriebsfortführung im eröffneten Verfahren und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.“ (§ 42 Abs. 2 BDSG).
Dieser Gefahr sollte sich der Insolvenzverwalter bewusst sein, auch wenn ak- 684 tuell anzunehmen ist, dass diese Vorschrift einen sehr begrenzten Anwendungsbereich hat. a) Insolvenzplan Unproblematischer ist das Planverfahren bei der Betrachtung der Sanierung 685 und insbesondere dem Übergang von Daten auf den Übernehmer. Beim Planverfahren bleibt nämlich der Verantwortliche grundsätzlich gleich, die Rechtspersönlichkeit ändert sich i. E. bei einem erfolgreichen Plan nicht. Bei einer GmbH, die über einen Insolvenzplan saniert werden soll, ist die GmbH bereits vor Verfahrenseröffnung der Verantwortliche und bleibt es auch nach Zustimmung zum Plan (lässt man eine evtl. (Mit-)Verantwortlichkeit eines eventuell starken vorläufigen Insolvenzverwalters mal außen vor). In diesem Fall liegt grundsätzlich keine Übertragung von Daten bei der Sa- 686 nierung vor.498) Dieser Umstand könnte auch zu einer Renaissance des Insolvenzplans führen.499) Bis dato sind vorwiegende Gründe, eine juristische Person per Insolvenzplan zu sanieren, die Umstände, dass bestimmte Vertragsverhältnisse erhalten bleiben sollen bzw. vorliegende Genehmigungen nicht auf einen Dritten übertragbar sind u. Ä. In der bisherigen Praxis hat die vorstehend kurz dargestellte, datenschutzrechtliche Vereinfachung nach Beobachtung der Autoren indes (noch) nicht zu einem quantitativen Anstieg von Insolvenzplanverfahren geführt. Qualitativ mag dies insbesondere bei Unternehmen mit einer Vielzahl von Daten anders sein, der Insolvenzplan aufgrund dessen gar das Mittel zur Sanierung. Denn jetzt könnte auch das Datenschutzrecht als weiterer Grund hinzutre- 687 ten. Für ein Unternehmen, das eine rechtmäßig erstellte Kundendatenbank sein eigen nennt, für das eine Übertragung dieser Datenbank aber datenschutzrechtlich problematisch ist, könnte die Lösung und Sanierung durch einen Insolvenzplan nämlich eine sehr gute Möglichkeit darstellen. b) Share Deal Ebenso wie beim Insolvenzplan ist eine Sanierung mithilfe von Share Deal 688 größtenteils unproblematisch, da die datenschutzrechtlichen Fragestellungen nicht aufgeworfen werden.500) Die Verwertung personenbezogener Daten trifft bei der übertragenden Sanierung mithilfe eines Share Deals und umwandlungsrechtlichen Maßnahmen auf geringe datenschutzrechtliche Hürden.501) Bei ___________ 498) 499) 500) 501)
So i. E. auch Woltersdorf, INDat Report 02/2018, 12 f. Im Ergebnis auch Harig/Kay, NZI 2020, 96, 99. Eckhardt/Menz, ZInsO 2016, 1919. Berberich/Kanschik, NZI 2017, 10.
207
H. Datenschutz im eröffneten Verfahren
dieser Übertragung wird der Rechtsträger nicht verändert, da bei einem Share Deal, bei dem lediglich die Inhaberschaft wechselt, das Unternehmen und damit der Verantwortliche im Datenschutzsinn nicht verändert wird.502) c) Übertragende Sanierung mit Asset Deal 689 Der Asset Deal allerdings, bei dem Teile des schuldnerischen Unternehmens auf einen anderen Rechtsträger übertragen werden sollen, muss den Insolvenzverwalter zur Bewertung der verschiedenen datenschutzrechtlichen Fragen veranlassen. Dies gilt vor allem, wenn Gegenstand des Asset Deals oder zumindest eines Teils die Übertragung von Kundendaten ist oder auch andere personenbezogene Daten betroffen sind. Dass die Aufsichtsbehörden diese Problematik, besonderes bei der übertragenden Sanierung im Insolvenzfall, ebenfalls bereits erkannt haben, davon zeugen die in den Tätigkeitsberichten benannten Fälle. 690 Die Datenschutzkonferenz hat mit ihrem Beschluss vom 24.5.2019 ein wenig Klarheit über ihre Ansichten zur Übertragung von Kundendaten gebracht.503) Die DSK hat fünf Fallgruppen hinsichtlich der möglichen vorliegenden Kundendaten beschrieben, wie nach ihrer Ansicht eine Übertragung vorgenommen werden kann. Die Fallgruppen wurden wie folgt unterteilt: x
Kundendaten bei laufenden Verträgen.
x
Bestandskunden ohne laufende Verträge und letzte Vertragsbeziehung älter als drei Jahre.
x
Kundendaten bei fortgeschrittener Vertragsanbahnung sowie Bestandskundendaten ohne laufende Verträge und letzte Vertragsbeziehung jünger als drei Jahre.
x
Kundendaten bei offenen Forderungen.
x
Kundendaten gemäß Art. 9 Abs. 1 DSGVO.
691 Die Berliner Datenschutzbehörde und auch die Datenschutzbehörde Sachsen sind diesem Beschluss allerdings nicht beigetreten und haben die Darstellungen zur Übertragung von Kundendaten im Beschluss kritisiert. Im Jahresbericht 2019 der Berliner Datenschutzbehörde teilte diese wiederum überwiegend die Ansicht der DSK, verwies allerdings auf den Umstand, dass die Berliner Aufsichtsbehörde bezüglich der zweiten Fallgruppe „Bestandskunden ohne laufende Verträge und letzte Vertragsbeziehung älter als drei Jahre“ und der
___________ 502) Hartung, ZInsO 2011, 1236; zustimmend Beyer/Beyer, NZI 2016, 241; Eckhardt, ZInsO 2016, 1919. 503) DSK Beschluss Asset Deal v. 24.5.2019.
208
III. Betriebsfortführung im eröffneten Verfahren
Zulässigkeit einer Übermittlung und Nutzung dieser Daten für Zwecke gesetzlicher Aufbewahrungsfristen die Ansicht der DSK nicht mittrage.504) Wenn die Kundendaten einer natürlichen Person im Rahmen eines Asset Deals 692 übergehen, dann handelt es sich dabei um eine Übermittlung und somit um eine Verarbeitung dieser Daten. Meist sind die Daten als personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO einzustufen. Die Daten, sofern es sich um personenbezogene Daten handelt, dürfen nur unter datenschutzrechtlichen Vorgaben übermittelt werden. Erforderlich ist entweder die (vorherige) Einwilligung der betroffenen Kunden oder aber eine anderweitig gesetzlich normierte Erlaubnis. Datenschutzrechtlich relevant sind in diesem Zusammenhang personenbezo- 693 gene Daten, wobei die Übermittlung von Namen, Postanschrift, Beruf und Geburtsjahr aufgrund des sog. „Listenprivilegs“ nach den Vorgaben des BDSG a. F. bis zum 25.5.2018 (vgl. § 28 Abs. 3 BDSG a. F.) in vielen Fällen überwiegend unproblematisch war. Dieses Listenprivileg gibt es in der DSGVO nicht mehr und findet demzufolge seit dem Inkrafttreten keine Anwendung mehr. Daten, die zur Erfüllung noch nicht abgeschlossener Verträge zwingend erfor- 694 derlich sind, können – allein zu diesem Zweck – übertragen werden, sofern eben diese Verträge Bestandteil des Asset Deals sind. Diese Ansicht vertritt nunmehr auch die DSK. Als Begründung wird hier ebenso angebracht, dass der Vertragsübergang zivilrechtlich einer Genehmigung des Kunden bedarf und in dieser Genehmigung auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen werden kann.505) Weiterhin unproblematisch ist die Übertragung auf Grundlage einer Einwilligung des Betroffenen, nur die Einwilligung an sich einzuholen, ist meist für den Insolvenzverwalter problematisch. Sollte keine Einwilligung bzw. keine wirksame Einwilligung des Betroffenen 695 vorliegen, kommt eine Übertragung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO unter Beachtung der Interessenabwägung und den Umständen des jeweiligen Einzelfalls in Betracht. Ebenso ist zu prüfen ob eine Zweckänderung vorliegt, die mit dem ursprünglichen Zweck, wozu die Daten erhoben wurden, vereinbar ist. Sollte man nach der jeweiligen Abwägung der Interessen und der Prüfung bezüglich der Vergleichbarkeit des Zweckes zum Ergebnis gelangen, dass eine Übertragung i. S. d. genannten Vorschrift möglich ist, bedarf es keiner vorherigen Einwilligung des Betroffenen, ggf. aber zur Sicherheit der Nutzung einer Widerspruchslösung. Nach Ansicht der DSK kann zuvor Gesagtes für Kundendaten von Bestands- 696 kunden ohne laufende Verträge und letzte Vertragsbeziehung älter als drei Jahre ___________ 504) BlnBDI, JB 2019, Kapitel 9, S. 137. 505) DSK Beschluss Asset Deal v. 24.5.2019.
209
H. Datenschutz im eröffneten Verfahren
nur eingeschränkt gelten. Diese Daten dürften zwar übermittelt werden, unterliegen bei dem Käufer allerdings der Einschränkung der Verarbeitung. Eine Übermittlung ist nach Ansicht der DSK nur wegen gesetzlicher Aufbewahrungsfristen möglich.506) Als Alternative schlägt die DSK vor, diese entsprechenden Kundendaten nicht zu übertragen und somit beim Altunternehmen zu belassen. Dabei geht die DSK in ihrem Beschluss auch zugleich auf den Insolvenzverwalter ein und empfiehlt diesem, auf Kosten der Masse einen Dienstleister zu beauftragen, der die Daten für den Insolvenzverwalter für einen bestimmten Zeitraum aufbewahrt. Dies erfolgt per se bereits seit Längerem in der insolvenzrechtlichen Realität, da der Insolvenzverwalter hinsichtlich vorhandener Akten i. d. R. einen Archivar beauftragt. Selbige Vorgehensweise empfiehlt die DSK jetzt bei entsprechenden vorliegenden Daten. Somit liegt hier abermals ein Thema der Auftragsverarbeitung vor. Diese Ansicht teilen wie bereits erwähnt nicht alle Aufsichtsbehörden. 697 Sind keine besonders schutzwürdigen Daten betroffen (z. B. Daten gemäß Art. 9 DSGVO) und kann das berechtigte Interesse auf eine Fortführung des Unternehmens gestützt werden, dürfte eine Interessenabwägung i. d. R. zugunsten des Insolvenzverwalters bzw. zugunsten der Gläubiger ausfallen. Hierbei findet auch Berücksichtigung, dass die Kunden bewusst ihre Daten dem schuldnerischen Unternehmen gegeben haben. Wenn das berechtigte Interesse des Verantwortlichen (Insolvenzverwalter, in diesem Fall bestmögliche Verwertung und Gläubigerbefriedigung) und ggf. die berechtigten Interessen der Dritten (Erwerber sowie der Mitarbeiter auf Unternehmensfortführung) belegbar vorhanden sind, dürften diese i. d. R. gegenüber dem berechtigten Interesse der Betroffenen auf Selbstbestimmung im Umgang mit den Daten überwiegen. Dies gilt zumindest dann, wenn die Verarbeitung der personenbezogenen Daten wenigstens unter denselbigen Schutzmaßnahmen und i. S. d. der ursprünglich zulässigen Erhebung stattfindet. 698 Da dies aber höchstrichterlich nicht entschieden ist und auch die Aufsichtsbehörden einer eher harten Linie den Vorzug geben, wäre es ratsam, nach Möglichkeit die Widerspruchslösung zu nutzen, sofern die entsprechenden Angaben für eine faire und transparente Information der Betroffenen vorgenommen werden können.507) Noch besser wäre es, die Einwilligung des Kunden einzuholen. Dies ist natürlich in den meisten Fällen neben der Problematik der fairen und transparenten Information des Betroffenen nicht praktikabel und auch zeitraubend. Aber das Datenschutzrecht gibt dem Insolvenzverwalter Lösungsmöglichkeiten an die Hand, die dieser nutzen kann.
___________ 506) DSK Beschluss Asset Deal v. 24.5.2019. 507) Siehe DSK Beschluss Asset Deal v. 24.5.2019; BlnBDI, JB 2019, Kapitel 9, S. 138.
210
III. Betriebsfortführung im eröffneten Verfahren
aa) Übertragung mit Vertragsübernahme Wie bereits erwähnt ist eine Übertragung von personenbezogenen Daten im 699 Rahmen einer Vertragsübernahme durch den Erwerber unproblematisch. Es dürfen selbstredend dabei nur die Daten übertragen werden, die für die Vertragsdurchführung erforderlich sind. Ebenso dürfen die Daten der Betroffenen durch den Erwerber nur zur Zweckerfüllung, also zur Leistungserbringung oder zur Erfüllung des Vertrages genutzt werden. Einer Einwilligung oder expliziten Information der Betroffenen im Rahmen einer Widerspruchslösung bedarf es nicht. Werden etwa personenbezogene Daten (von Kunden und/oder Lieferanten) 700 übertragen, zu denen eine aktive Vertragsbeziehung besteht, und auch die laufenden Verträge durch den Erwerber übernommen, dann muss ohnehin nach zivilrechtlichen Grundsätzen die Zustimmung des Betroffenen zur Vertragsübernahme eingeholt werden.508) Datenschutzrechtlich bedarf es für diese Fälle keines weiteren Schutzes, zumal die Vertragsbeziehung nicht gegen den Willen des Betroffenen übertragen werden kann509). Dies gilt natürlich nur für die dem Vertrag immanenten Daten. Eine Informa- 701 tion der Betroffenen muss nach Übertragung durch den Erwerber aufgrund des Art. 14 DSGVO erfolgen. Auch bedarf es der Zustimmung des Vertragspartners nach den zivilrechtlichen Vorschriften, dass der Vertrag durch den Erwerber fortgeführt werden kann. Sofern das sog. Kopplungsverbot gemäß Art. 7 Abs. 4 DSGVO beachtet wird, können auch mit dieser Information zeitgleich weitere Einwilligungen zur Verarbeitung der Daten eingeholt werden.510) Das Kopplungsverbot511) gebietet es z. B., keine Daten zu verarbeiten, die für 702 einen Vertrag oder sonstigen Zweck gar nicht benötigt werden. Darüber hinaus aber auch, diese weiterführenden Einwilligungen nicht von der Leistungserbringung abhängig zu machen. Auch sollten mit Sicht auf den Transparenzgrundsatz, die weiterführenden Einwilligungen klar von den anderen Informationen getrennt sein. Hier ist bestenfalls ein separater Bereich zu nutzen, der auch ausdrücklich gekennzeichnet ist und dem unmissverständlich zu entnehmen ist, dass eine weiterführende Einwilligung oder eben die Nichtabgabe der Einwilligung z. B. zu Werbezwecken, keinen Einfluss auf den ursprünglichen Vertrag und die Leistungserbringung hat. Auch die Weitergabe von Beschäftigtendaten stellt nach dem Signing des 703 Kaufvertrages, der einen Betriebsübergang i. S. d. § 613a BGB ist, kein Problem dar. Dem Erwerber muss die Möglichkeit gegeben werden, seinen recht___________ 508) Eckhardt/Menz, ZinsO 2016, 1920, zustimmend auch DSK Beschluss Asset-Deal v. 24.5.2019. 509) Berberich/Kanschik, NZI 2017, 8. 510) Zustimmend Eckerhardt/Menz, ZinsO 2016, 1920; Berberich/Kanschik, NZI 2017, 8. 511) Dazu auch Henke/Lührig/Härtig, Das Projekt Datenschutz, AnwBl. 5/2018, 263, 265.
211
H. Datenschutz im eröffneten Verfahren
lichen Verpflichtungen nachkommen zu können. Er muss die Arbeitnehmer, die aufgrund der gesetzlichen Bestimmung auf ihn übergehen, sowohl in seine Lohnbuchhaltung einpflegen als auch bei den jeweiligen Institutionen anmelden. Dies ist für einen nahtlosen Übergang der Arbeitsverhältnisse512) und somit auch für die Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG notwendig. Teilweise vertretene Meinungen, dass eine Übertragung der Daten der Arbeitnehmer erst nach Ablauf der gesetzlichen Widerspruchsfrist gemäß § 613a Abs. 6 BGB vorgenommen werden darf,513) sind abzulehnen. Denn insbesondere bei einer fehlerhaften Belehrung ist der Zeitraum für einen Widerspruch deutlich ausgedehnt.514) Auch ist mit Übergang der Beschäftigungsverhältnisse auf die Erwerbergesellschaft, diese nicht mehr als Dritte anzusehen, sondern als Arbeitgeberin selbstverständlich zur Datenverarbeitung berechtigt.515) Beispiel: Ein Verfahren über eine Gas-Wasser-Installateur GmbH wurde eröffnet. Der vorläufige Insolvenzverwalter hat das Unternehmen im Antragsverfahren fortgeführt und stabilisiert. Es gibt einen Interessenten, der den Geschäftsbetrieb im Rahmen eines Asset Deals übernehmen möchte und zeitgleich aufgrund des § 613a BGB alle Arbeitnehmer übernimmt. Der Insolvenzverwalter stellt sich nunmehr die Frage, ob eine Übertragung der Kundendaten und Lieferantendaten möglich ist. Bei den Kundendaten handelt es sich sowohl um Einmalkunden, die in regelmäßigen Abständen entsprechend ihrer wirksamen Einwilligung Informationen des schuldnerischen Unternehmens erhalten, sowie um Kundedaten von Bestandskunden, mit denen die Gas-WasserInstallateure GmbH Wartungsverträge abgeschlossen hat. Der Interessent möchte die Wartungsverträge fortführen und will diese Verträge übernehmen. Unabhängig von der zivilrechtlichen Betrachtung einer solchen Vertragsübernahme muss der Insolvenzverwalter sich überlegen, welche Daten er übertragen kann. Nach Rücksprache mit seinem Datenschutzbeauftragten kommt der Insolvenzverwalter zum Schluss, dass die vertragsrelevanten Daten, die der Interessent für die Fortführung der Verträge benötigt, gemäß Art. 6 Abs. 1 Satz 1 lit. b) DSGVO verarbeitet und somit übertragen werden dürfen. Da sich der ursprüngliche Zweck, wozu die Daten erhoben wurden, nicht verändert hat und weiterhin die Wartungsverträge erfüllt werden sollen, ist eine Übertragung dieser Daten rechtmäßig. In diesem Zusammenhang kommt sogar die Übertragung der E-Mail-Adressen und Telefonnummern in Betracht, wenn diese für die ___________ 512) Ascheid/Preis/Schmidt-Steffan, Kündigungsrecht, § 613a BGB Rn. 269. 513) Däubler, RDV 2004, 57; Regierungspräsidium Darmstadt, Datenschutzaufsicht im nicht öffentlichen Bereich, Tätigkeitsbericht für 2008, S. 48; Selk, RDV 2009, 257. 514) Hartung, ZInsO 2011, 1236. 515) Göpfert/Meyer, NZA 2011, 485.
212
III. Betriebsfortführung im eröffneten Verfahren
Vertragserfüllung notwendig sind. Dies wäre z. B. der Fall, wenn die Rechnungslegung ausschließlich elektronisch erfolgt und diese per E-Mail immer versendet wird. Findet eine kurzfristige Terminvereinbarung i. d. R. über die Telefonnummer des Kunden statt oder wird diese für Rückfragen der Monteure benötigt, so können auch diese Daten als für die Vertragserfüllung notwendige Daten angesehen werden. Selbstredend dürfen diese Daten auch nur zu den jeweiligen Zwecken verwendet werden, sofern sich der Interessent keine weitergehende rechtmäßige Einwilligung der Kunden besorgt. bb) Übertragung mit Einwilligung Der für den Insolvenzverwalter mit dem geringsten Risiko verbundene Weg, 704 zumindest im Verhältnis zur Aufsichtsbehörde, wäre eine Übertragung der personenbezogenen Daten mit Einwilligung der Betroffenen. Gleichzeitig stellt dies aber auch für den Insolvenzverwalter in den meisten Verfahren eine schier unlösbare Aufgabe dar. (1) Einwilligung Die Definition in Art. 4 Nr. 11 DSGVO sieht vor, dass eine Einwilligung in 705 jeder freiwilligen, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebenen Willensbekundung in Form einer Erklärung oder sonstigen eindeutig bestätigten Handlung liegen kann. Die Einwilligung kann in schriftlicher Form, elektronisch oder auch in mündlicher Form erfolgen (ErwGr. 32 Satz 1 DSGVO). Dabei ist es u. a. ausreichend, dass die Einwilligung durch Bestätigen eines Kästchens auf einer Internetseite (Opt-in) oder durch eine andere Erklärung oder Verhaltensweise erfolgt, mit der der Betroffene sein eindeutiges Einverständnis zur Verarbeitung abgibt (ErwGr. 32 Satz 2 DSGVO). Dahingegen ist das Stillschweigen, ein bereits angekreuztes Feld (Opt-out) oder eine einfache Untätigkeit des Betroffenen nicht ausreichend für eine wirksame Einwilligung gemäß der DSGVO (ErwGr. 32 Satz 3 DSGVO). Die Einwilligung muss vor der jeweiligen Verarbeitung eingeholt werden516) und 706 ist eine höchstpersönliche Erklärung des Betroffenen,517) sofern dieser einwilligungsfähig ist. Eine Einwilligungsfähigkeit eines Kindes sieht die DSGVO erst nach Vollendung des sechzehnten Lebensjahres vor (Art. 8 Abs. 1 Satz 1 DSGVO). Für eine rechtmäßige Verarbeitung bedarf es in diesem Fall der Zustimmung der Eltern. Von der in Art. 8 Abs. 1 DSGVO enthaltenen Konkretisierungsklausel, in den Mitgliedstaaten eine niedrigere Altersgrenze umzusetzen, hat der deutsche Gesetzgeber keinen Gebrauch gemacht, sodass die Vollendung des 16. Lebensjahres auch in Deutschland als Bezugspunkt für eine wirksame Einwilligung bei Minderjährigen dient. ___________ 516) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 64. 517) Zustimmend Hoffmann, NZS 2017, 808.
213
H. Datenschutz im eröffneten Verfahren
707 Für die Einwilligung sind die Bedingungen des Art. 7 DSGVO zu beachten. Die Einwilligung muss den Betroffenen umfassend über die beabsichtigte Verarbeitung informieren, muss freiwillig erfolgen und ebenso den Verantwortlichen genau benennen. Bei Einholung der Einwilligung zur Übertragung gehört es ebenso dazu, den Erbwerber als den nach der Übertragung als Verantwortlichen anzusehenden Dritten explizit zu benennen. Bereits nach dem BDSG a. F. war es Grundvoraussetzung der Einwilligung zur Übertragung, dass dem Betroffenen mitgeteilt wird, wer seine Daten an wen zu welchem Zweck überträgt.518) An diesen Bedingungen hat sich auch nach Inkrafttreten der DSGVO nicht viel geändert, diese sind eher noch umfassender geworden, insbesondere bei der Betrachtung der Transparenz und der Freiwilligkeit (siehe Kopplungsverbot). Des Weiteren sollte dem Betroffenen ebenso mitgeteilt werden, dass die Übertragung im Rahmen eines Insolvenzverfahrens stattfindet und die Daten im Anschluss an die Übertragung oder auch bei Nichtabgabe einer Einwilligung beim schuldnerischen Unternehmen gelöscht werden.519) 708 Es muss ein Hinweis ergehen, dass der Betroffenen nicht verpflichtet ist, seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten abzugeben. Weiterhin ist er zeitgleich über die Konsequenzen zu unterrichtet, die eine Nichterteilung der Einwilligung mit sich bringen. 709 Gemäß Art. 7 Abs. 3 Satz 3 DSGVO bedarf es außerdem der Belehrung des Betroffenen über das Bestehen eines jederzeitigen Widerrufsrechts. Allerdings hat ein solcher Widerruf der Einwilligung nur Auswirkungen für die Zukunft. Somit ist der Umstand des Widerrufs für die Übertragung unerheblich, wenn dieser nicht im Zeitpunkt zwischen Erteilung und Übertragung erfolgt. Ein Widerruf der Einwilligung nach erfolgter Übertragung hat auf diesen Vorgang keinerlei Auswirkungen mehr. (2) Probleme bei der Einwilligungseinholung 710 Nichtsdestotrotz stellt der Versuch einer Übertragung mithilfe der Einwilligung des Betroffenen den Insolvenzverwalter vor eine Reihe von Problemen. Die Einholung einer Einwilligung für die Übermittlung im Rahmen des Unternehmensverkaufs ist zwar theoretisch möglich, für den Insolvenzverwalter wird sie aber kaum praktikabel sein.520) Zum einen ist der zeitliche Aspekt ausschlaggebend, zum anderen der nicht zu unterschätzende Aufwand, sowohl zeitlich als auch materiell alle Betroffenen aufzufordern, eine Einwilligung zur Übertragung abzugeben. 711 Der Insolvenzverwalter ist in Anbetracht der zeitlichen Komponente eines Insolvenzverfahrens gehalten, eine schnelle Lösung zu finden. Ihm ist es i. d. R. ___________ 518) Eckhardt/Menz, ZInsO 2016, 1920. 519) Vgl. Eckhardt/Menz, ZInsO 2016, 1920. 520) Beyer/Beyer, NZI 2016, 242.
214
III. Betriebsfortführung im eröffneten Verfahren
nicht möglich, die Rückläufer bezüglich der Einwilligungen abzuwarten. Wie die Erfahrung zeigt, sind die Eingänge entsprechender Einwilligungen eher spärlich gesät. Im Zweifel ist auch ein mehrfaches Nachfassen notwendig, um eine Reaktion des Betroffenen zu erhalten. Dabei ist weiterhin davon auszugehen, dass nur ein geringer Teil der Betroffenen eine entsprechende Einwilligung abgibt.521) Ein weiteres Problem für den Insolvenzverwalter ist es, eine wirksame Ein- 712 willigung der Betroffenen zu erhalten und diese entsprechend nachweisbar zu dokumentieren. Der Verantwortliche, in dem Fall der Übertragung von personenbezogenen Daten der Insolvenzverwalter, trägt gemäß Art. 7 Abs. 1 DSGVO die Beweislast, dass eine wirksame Einwilligung durch den Betroffenen zum Zeitpunkt der Übertragung vorlag. Auch die Beweislast ist Ausdruck der bestehenden Rechenschaftspflicht des Verantwortlichen gemäß Art. 5 Abs. 2 DSGVO. Das führt im Umkehrschluss dazu, dass eine mündlich erteilte Einwilligung, wie sie gemäß ErwGr 32 grundsätzlich möglich ist, den Insolvenzverwalter vor gewisse Nachweisprobleme stellen wird. Bei einer Einwilligungslösung für Onlineangebote ist das zwischenzeitlich 713 etablierte Double-Opt-In-Verfahren als ein gangbarer Weg anzusehen.522) Bei diesem Verfahren im Onlinebereich wird nach der Erklärung der Einwilligung, z. B. durch Aktivieren eines Feldes durch den Betroffenen, eine nachfassende E-Mail mit einem zusätzlichen Bestätigungslink an den Betroffenen gesendet. Somit können im Nachhinein etwaige Vorwürfe des Betroffenen entkräftet werden, dieser habe nicht persönlich seine Einwilligung erteilt. Letztlich ist es oft so, dass der mögliche Erwerber so lange wie möglich Ver- 714 traulichkeit bewahrt haben will. Eine transparente Information, auf deren Grundlage der Betroffene eine wirksame, freiwillige und informative Einwilligung abgeben kann ist nur möglich, wenn der Betroffene über alle Umstände der Verarbeitung auch umfassend in Kenntnis gesetzt wurde. Hierzu gehört auch die genaue Benennung des Erwerbers und späteren Verantwortlichen. Die pauschale Benennung des Unternehmens oder eines möglichen Kreises von potenziellen Erwerbern würde den Grundsatz der Transparenz nicht ausreichend würdigen.523) (3) Erfordernis der Einwilligung für bestimmte Daten Für die Verarbeitung und somit auch für die Übertragung bestimmter Daten 715 bzw. Datenkategorien bedarf es dem Gesetz nach einer ausdrücklichen Ein-
___________ 521) Zustimmend Eckhardt/Menz, ZInsO 2016, 1920. 522) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 7 DSGVO Rn. 6; Plath-Plath, BDSG/DSGVO, Art. 7 Rn. 4. 523) Vgl. Eckhardt/Menz, ZInsO 2016, 1920.
215
H. Datenschutz im eröffneten Verfahren
willigung. Die Daten dürfen auch nur unter sehr engen Grenzen bei Vorliegen einer Rechtsgrundlage verarbeitet werden. Hierzu zählen die in Art. 9 DSGVO aufgezählten Kategorien von personenbezogenen Daten.524) 716 Des Weiteren fallen Daten darunter, die als sog. „TMG-Daten“ zu betrachten sind bzw. waren. Bei diesen Daten handelt es sich um Nutzerdaten gemäß § 13 TMG, die z. B. für den Login auf einem Onlineportal benötigt werden. Die Verarbeitung der personenbezogenen technischen Nutzungsdaten werden aktuell im TMG geregelt. Das TMG ist bisher nicht an die DSGVO angepasst und daher bestehen Unsicherheiten in Bezug auf die Anwendungen dieser Regelung bei einer datenschutzrechtlichen Betrachtung. 717 Die erwartete E-Privacy-Verordnung, die den Umgang mit den bisherigen TMG-Daten regeln soll, ist bis dato noch nicht verabschiedet worden. Vor diesem Hintergrund ist zu empfehlen, die bisher geltenden Regeln anzuwenden und somit für die Nutzerdaten eine entsprechende Einwilligung einzuholen. 718 Demzufolge benötigt der Insolvenzverwalter für bestimmte Arten von Daten oder Datenkategorien eine Einwilligung des Betroffenen mit all den genannten damit einhergehenden Problemen. Insbesondere bei einer Übertragung von besonderen Kategorien von personenbezogenen Daten ist der Insolvenzverwalter gefordert und sitzt praktisch zwischen „Baum und Borke“. Er ist gehalten bestmöglich zu verwerten, darf aber zeitgleich die datenschutzrechtlichen Vorgaben nicht außer Acht lassen. 719 Dabei bedarf es auch einer Kosten-Nutzen-Analyse und der Einschätzung der notwendigen Aufwände. Erschwerend kommt hinzu, dass die Insolvenzmassen große Spielräume meist nicht mehr zulassen und auch der potenzielle Erwerber Unsicherheiten hinsichtlich der Rückläufer der Einwilligungen in den Kaufpreis mit einpreisen wird. (4) Möglicher Lösungsweg bei einer Einwilligung 720 Einen möglichen Lösungsweg, zumindest für den zeitlichen Faktor und ggf. die Umsetzung einer Einwilligungseinholung, gibt die DSGVO selbst vor. Die Auftragsverarbeitung gemäß Art. 28 DSGVO kann in einer solchen Situation als eine Art „Zwischenkonstruktion“ genutzt werden.525) Diese Variante kann gewählt werden, wenn der Kaufvertrag bereits geschlossen werden soll, da z. B. die Übertragung der personenbezogenen Daten nur eine Art Annex zum Kaufvertrag darstellt, die datenschutzrechtlichen Voraussetzungen für die Übertragung aber erst im Nachhinein geschaffen werden können. 721 Die Überlegungen zu dieser Art von Übertragung sehen vor, dass der Kaufvertrag geschlossen wird und zeitgleich eine Auftragsverarbeitung mit einem ___________ 524) DSK Beschluss Asset-Deal v. 24.5.2019. 525) Eckhardt/Menz, ZInsO 2016, 1919.
216
III. Betriebsfortführung im eröffneten Verfahren
Dienstleister, der im Auftrag des Insolvenzverwalters die Einwilligungen der Betroffenen einholt und erst nach der Einwilligung der Betroffenen diese Daten durch den Erwerber genutzt werden dürfen. Bei der Auswahl des Dienstleisters ist natürlich wie bei jeder Auftragsverarbeitung auf die Zuverlässigkeit dieses Dienstleisters zu achten. In diesem Dreiecksverhältnis geht der Geschäftsbetrieb mit allen erworbenen 722 Assets und den Mitarbeitern auf den Erwerber über. Die personenbezogenen Daten der Betroffenen, an die der Erwerber ebenso interessiert ist, die aber aus Datenschutzgründen nicht ohne entsprechende Vorarbeit übertragen werden können, werden in einer Art Container aufbewahrt und durch den Insolvenzverwalter an den Auftragnehmer übergeben mit der Anweisung, diese Daten ausschließlich zum Einholen der Einwilligung zu verarbeiten. Sobald diese Einwilligung vorliegt, gehen die Daten in den Bestand des Erwerbers über. Daten von Betroffenen, die einer Übertragung nicht zugestimmt haben, werden nach Ablauf einer gewissen Frist gelöscht. Diese Frist ist ebenso Bestandteil der Auftragsverarbeitung, wie es alle anderen Vorgaben des Art. 28 DSGVO sind. Denkbar ist auch, dass der Übernehmer selbst als Auftragsverarbeiter ge- 723 nutzt wird, wenn dieser die entsprechenden Voraussetzungen und die Zuverlässigkeit mitbringt. Häufig ist es der Fall, da die Mitarbeiter des schuldnerischen Unternehmens beim Erwerber tätig werden, die bereits vorher mit den Daten gearbeitet haben. Von daher hätte sich der Umgang und die Verarbeitung der personenbezogenen Daten datenschutzrechtlich nicht verschlechtert. Auch ist davon auszugehen, dass die Schutzmaßnahmen mindestens gleichwertig, wenn nicht sogar tiefgreifender sind. Dies ist natürlich anhand der TOM des Übernehmers nachzuweisen, die einen 724 Anhang zu jeder Auftragsverarbeitung darstellen. Bei dieser Vorgehensweise sollte vereinbart werden, dass die Datenbestände in getrennten Datenbanken aufbewahrt werden. Eine Datenbank der Betroffenen, deren Einwilligungen eingeholt werden sollen, und eine separate Datenbank beim Erwerber, in der die Kundendaten des Erwerbers aufbewahrt werden. Eine Vermischung vor erfolgter Einwilligung muss zwingend verhindert werden. Es liegt in der Natur der Sache, dass die vertraglichen Bestimmungen zur 725 Auftragsverarbeitung genau auszuarbeiten sind und auch überwacht werden müssen. Des Weiteren sind die einzelnen Schritte zu dokumentieren. Auch ist der Auftragsverarbeiter zu verpflichten, eine genaue Dokumentation zu erstellen, welche Betroffenen ihre Einwilligung zur Übertragung erklärt haben, welche Daten nach erfolgter Einwilligung in den Bestand des Erwerbers übergegangen sind und welche Datensätze gelöscht wurden. Diese Lösung bietet sich häufig bei Onlineportalen an oder auch z. B. bei 726 Insolvenzverfahren, die Gesundheitsdaten zum Gegenstand haben. Am Beispiel eines Onlineportals soll das Vorgehen kurz erläutert werden.
217
H. Datenschutz im eröffneten Verfahren
Beispiel: Ein Unternehmen bietet Dienstleistungen für Verbraucher im Rahmen seines Onlineportals an. Um diese Leistungen zu nutzen, müssen sich die User auf dem Portal mit ihren persönlichen Nutzerdaten anmelden. Im Rahmen des Antragsverfahren beschäftigt sich der spätere Insolvenzverwalter bereits eingehend mit der Datenlage und kommt zu der Entscheidung, dass aufgrund der nicht abschließenden Rechtslage der vorhanden TMG-Daten, eine Übertragung zur Sicherheit nur mit einer Einwilligung erfolgen kann. Es werden bereits vorab durch den Schuldner Gespräche mit möglichen Dienstleistern geführt, die eine entsprechende Auftragsverarbeitung vornehmen können. Der spätere Erwerber erklärt, aufgrund seiner bisherigen Tätigkeit eine entsprechende Auftragsverarbeitung im datenschutzrechtlichen Sinne voll und ganz erfüllen zu können. Es werden Abläufe besprochen und die entsprechenden zu ergreifenden Maßnahmen abgestimmt. Nach Verfahrenseröffnung erfolgt die Unterzeichnung des Kaufvertrages und zeitgleich eine Auftragsverarbeitung, die auf den Kaufvertrag Bezug nimmt. Verständlicherweise sichert sich der Erwerber einen variablen Kaufpreis, der sich am Verhältnis zu den erfolgten Einwilligungen ausrichtet. Durch den Kaufvertrag werden Anlagevermögen, Umlaufvermögen und der Geschäftsbetrieb übertragen. Des Weiteren werden die Nutzerdaten übertragen, sofern datenschutzrechtlich zulässig und eine Einwilligung der Betroffenen vorliegt. Bezüglich der Kunden- und Nutzerdaten werden diese im Rahmen der Auftragsverarbeitung vom Erwerber als Auftragnehmer des Insolvenzverwalters verarbeitet, ausschließlich für die Einholung der Einwilligung der Betroffenen. Zeitgleich wird der Ablauf der Einwilligungseinholung geregelt und ein zeitlicher Rahmen bestimmt. Es wird vereinbart, dass getrennte Datenbanken geführt werden. Die Betroffenen werden beim Versuch, sich auf dem Portal einzuloggen, durch eine gesonderte Seite vollständig über die aktuelle Situation informiert. Es wird ein zwischen dem Auftragnehmer und Insolvenzverwalter abgestimmter Text angezeigt, der den Betroffenen über den beabsichtigten Übergang der Daten auf den Erwerber informiert und über die Widerspruchsmöglichkeit aufklärt, und um Einwilligung gebeten. Des Weiteren wird ausdrücklich darauf hingewiesen, dass eine Aufrechterhaltung des Leistungsangebots durch den Insolvenzverwalter nicht möglich ist und dieser bei nicht erfolgter Einwilligung die Daten löschen wird. Im Falle einer Einwilligung wird dem Betroffenen eine automatische E-Mail an die hinterlegte E-Mail-Adresse zugesandt mit dem nochmaligen Inhalt der Einwilligung und der Bitte, diese Einwilligung per beigefügtem Link zu bestätigen. Die Einwilligung des Betroffenen wird in der Datenbank registriert und abgelegt. Danach geht dieser Datensatz an den Erwerber über. 727 Nach Ansicht der Autoren handelt es sich bei der vorbenannten Vorgehensweise um eine Lösung, die insbesondere in den Fällen angezeigt wäre, die einer ausdrücklichen Einwilligung bedürfen und diese Einwilligung nicht schnell umsetzbar ist. Natürlich ist der Insolvenzverwalter als Verantwortlicher in 218
III. Betriebsfortführung im eröffneten Verfahren
der Pflicht, die datenschutzrechtlichen Bestimmungen vollständig zu beachten und ebenso ein Prozedere zu bestimmen, wie er seinen Pflichten in Bezug auf die Kontrolle des Auftragnehmers nachkommen kann. Praxistipp: Soll eine Verarbeitung und gleichwohl eine Übertragung aufgrund einer Einwilligung erfolgen, empfiehlt sich folgende Prüfungsreihenfolge:526) x Unmissverständliche Erklärung oder eindeutige Handlung des Betroffenen (Art. 4 Nr. 11 DSGVO) x Informiertheit aufseiten des Betroffenen (Art. 4 Nr. 11 DSGVO) x Freiwillige Erklärung ohne Zwang (Art. 4 Nr. 11 DSGVO) x Kein Verstoß gegen Kopplungsverbot (Art. 7 Abs. 4 DSGVO) x Zweckbezogene Einwilligung (Art. 4 Nr. 11 DSGVO) x Dokumentation der Einwilligung (Art. 7 Abs. 1 DSGVO) x Einwilligung unterscheidbar von anderen Erklärungen oder anderen Textpassagen (Art. 7 Abs. 2 DSGVO) x Einwilligung nicht widerrufen (Art. 7 Abs. 3 DSGVO) x Sonderregelung bei Kindern (Art. 8 DSGVO)
d) Übertragung wegen rechtlicher Verpflichtung Eine Übertragung im Rahmen des Asset Deals aus einer rechtlichen Verpflich- 728 tung heraus gemäß Art. 6 Abs. 1 Satz 1 lit. c) DSGVO kann nicht dargestellt werden. Eine solche rechtliche Verpflichtung liegt nicht vor. Der Insolvenzverwalter ist nicht verpflichtet, bei einem Asset Deal die Kundendaten oder sonstigen personenbezogenen Daten auf einen Erwerber zu übertragen. Die Rechtsgrundlage aus Art. 6 Abs. 1 Satz 1 lit. c) DSGVO ist nur als Recht- 729 mäßigkeit für die Übertragung von Informationen an Verfahrensbeteiligte heranziehbar. Der Insolvenzverwalter ist aufgrund der Insolvenzordnung zu einer Übermittlung von personenbezogenen Daten an Verfahrensbeteiligte verpflichte im Rahmen seiner Aufgaben. Es liegt eine rechtliche Verpflichtung des Insolvenzverwalters gemäß § 58 Abs. 1 Satz 2 InsO vor, dem Insolvenzgericht auf Verlangen Auskünfte und Berichte zum Sachstand des Verfahrens zu übergeben. Ebenso ist es die Pflicht des Insolvenzverwalters, die Gläubigerversammlung auf Verlangen über den Sachstand des Verfahrens in Kenntnis zu setzen (§ 79 InsO). Als Rechtsgrundlage für eine Übertragung von Kundendaten bei einem Asset 730 Deal ist der Art. 6 Abs. 1 Satz 1 lit. c) DSGVO nicht einschlägig. ___________ 526) Vgl. Plath-Plath, BDSG/DSGVO, Art. 7 DSGVO Rn. 2.
219
H. Datenschutz im eröffneten Verfahren
e) Übertragung mit berechtigtem Interesse 731 Schließlich besteht für den Insolvenzverwalter die Möglichkeit, Kundendaten zur Wahrung seiner eigenen oder zur Wahrung der berechtigten Interessen eines Dritten zu übertragen gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen überwiegen. Demnach muss bei einer Übertragung, die auf diese Rechtsgrundlage gestützt werden soll, vorher eine Interessenabwägung vorgenommen werden, die auch nachweisbar dokumentiert wird. Der Buchstabe f) des Art. 6 Abs. 1 Satz 1 DSGVO normiert einen Auffangtatbestand, der in der Praxis eine hohe Relevanz hat.527) 732 Eine vergleichbare Regelung sah das BDSG a. F. bereits in § 28 vor. Die Anwendung des § 28 BDSG a. F. unterschied sich dabei hinsichtlich des jeweiligen Zwecks528) und sah eine Zweckbindung in den jeweiligen Absätzen vor. Diese Zweckbindung ist in der DSGVO gelockert worden.529) Eine Zweckänderung ist nunmehr möglich, wenn der neue Zweck mit dem ursprünglichen vereinbar ist (Art. 6 Abs. 4 DSGVO). Bei einer Übertragung der Kundendaten handelt es sich um eine Zweckänderung, da die Daten mit an Sicherheit grenzender Wahrscheinlichkeit nicht zu dem Zweck erhoben wurden, sie im Rahmen eines Insolvenzverfahrens zu übertragen.530) aa) Zweckänderung 733 Der Art. 6 Abs. 4 DSGVO ist im Zusammenhang mit dem Art. 5 Abs. 1 lit. b) DSGVO zu sehen,531) wonach die Erhebung und Verarbeitung personenbezogener Daten nur zu festgelegten und legitimen Zwecken erfolgen darf. Der Zweck der Erhebung war i. d. R. nicht, eine Übertragung der Daten vorzunehmen, sondern vielmehr lag dieser vermutlich im ursprünglichen Geschäftszweck begründet. Daher muss neben der Interessenabwägung ebenso geprüft werden, ob die Zweckänderung mit dem ursprünglichen Zweck vereinbar ist. Zunächst ist zu eruieren, zu welchem Zweck die Daten ursprünglich erhoben wurden. Zeitgleich sollte festgestellt werden, ob diese Erhebung datenschutzrechtlich konform erfolgte, was ebenso ein Erwägungspunkt bei der Interessenabwägung sein wird. 734 Im Anschluss muss geklärt werden, welchen Zweck der Übernehmer bei der Verarbeitung der personenbezogenen Daten verfolgt und wann eine Zweckänderung nach der Übertragung vorliegen würde. Sollte dem nicht so sein, stellt naturgemäß nur die Übertragung der personenbezogenen Daten in dem ___________ 527) 528) 529) 530)
Vgl. Plath-Plath BDSG/DSGVO, Art. 6 DSGVO Rn. 17. Vgl. Eckhardt/Menz, ZInsO 2016, 1921. Eckhardt/Menz, ZInsO 2016, 1924. Vgl. Eckhardt/Menz, ZInsO 2016, 1921; auch TLfDI, 2. TB LfDI Thüringen 2014/ 2015, S. 386. 531) Plath-Plath, BDSG/DSGVO, Art. 6 DSGVO Rn. 30.
220
III. Betriebsfortführung im eröffneten Verfahren
tatsächlichen Moment der Übermittlung eine Zweckänderung der Verarbeitung dar. Allerdings würde diese Verarbeitung mit dem ursprünglichen Zweck vereinbar sein, da die Daten nur in puncto Übertragung einer Zweckänderung unterliegen und nach der Übermittlung wieder zum ursprünglichen Zweck verarbeitet werden. Sind die Zwecke miteinander vereinbar, so handelt es sich um eine erlaubte Zweckänderung.532) Anderes wäre der Umstand zu sehen, wenn der Erwerber die Daten nicht 735 zum ursprünglichen Zweck verarbeiten will. In diesem Fall ist die Betrachtung bezüglich der Zweckänderung umfangreicher, da nunmehr die Kriterien des Art. 6 Abs. 4 lit. a) – e) DSGVO herangezogen werden müssen, um eine Vereinbarkeit mit dem ursprünglichen Erhebungszweck zu prüfen. Demnach ist die Verbindung zwischen den Zwecken zu prüfen (lit. a) und ebenso der Zusammenhang, in dem die personenbezogenen Daten ursprünglich erhoben wurden (lit. b). Ein weiteres Kriterium für die Bestimmbarkeit, ob die Zwecke vereinbar sind, ist die Art der personenbezogenen Daten (lit. c) und ob es sich bei diesen Daten um Daten nach Art. 9 bzw. Art. 10 DSGVO handelt. Schlussendlich sind die möglichen Folgen für den Betroffenen zu betrachten (lit. d), die eine Zweckänderung mit sich bringen würde und gleichfalls das Vorhandensein entsprechender Garantien (lit. e), womit die TOM bei der neuen Verarbeitung gemeint sein dürfen, da ein expliziter Verweis auf die Verschlüsslung und die Pseudonymisierung erfolgt. Den Kriterien folgend, bedarf die Prüfung der Zweckänderung ebenso einer 736 umfangreichen Interessenabwägung und stellt weniger auf das Verständnis im normalen Sprachgebrauch bezüglich einer Vereinbarkeit ab.533) bb) Interessenabwägung Der nächste Schritt für die Beurteilung, ob eine Übertragung gemäß Art. 6 737 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig ist, stellt eine umfangreiche Interessenabwägung da. Bei der Interessenabwägung müssen die Interessen des Insolvenzverwalters oder des potenziellen Erwerbers den Interessen des Betroffenen gegenübergestellt werden. Es darf kein Grund zur Annahme bestehen, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.534) Eine Interessenabwägung muss dabei immer unter den jeweiligen Besonder- 738 heiten des Einzelfalls erfolgen und unter Beachtung der schutzwürdigen Interessen des Betroffenen. Das schutzwürdige Interesse des Betroffenen muss umso höher angesetzt werden, desto sensibler die betroffenen Daten sind. Es müssen alle Bezugspunkte und Erwägungen bei der Beurteilung der Interessen sowohl aufseiten des Betroffenen als auch aufseiten des Insolvenzverwal___________ 532) Vgl. Plath-Plath, BDSG/DSGVO, Art. 6 DSGVO Rn. 30. 533) Ebenso Plath-Plath, BDSG/DSGVO, Art. 6 DSGVO Rn. 38. 534) Berberich/Kanschik, NZI 2017, 9.
221
H. Datenschutz im eröffneten Verfahren
ters und des potentiellen Erwerbers, betrachtet werden. Gleichwohl hat das rein wirtschaftliche Interesse des Verantwortlichen keinen Vorrang,535) ist aber dennoch als berechtigtes Interesse des Verantwortlichen anerkannt.536) Zwischenzeitlich wird dies auch von Teilen der Rechtsprechung vertreten.537) So gehen die Gerichte bei der Betrachtung davon aus, dass nicht nur rechtliche Interessen von Bedeutung sind, sondern auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden müssen.538) Das berechtigte Interesse ist weit zu interpretieren und im unionsrechtlichen Sinne auszulegen. 739 Das berechtigte Interesse des Insolvenzverwalters an der Übermittlung der Kundendaten ergibt sich bereits aus der Pflicht des Insolvenzverwalters eine bestmögliche Verwertung des schuldnerischen Vermögens zu erwirken.539) Die Verwertung zur Fortführung des Betriebs oder auch zur bestmöglichen Gläubigerbefriedigung ist als berechtigtes Interesse des Insolvenzverwalters, der Gläubiger und des Gerichts anzusehen. Auch die vom Gesetzgeber angestrebte Sanierungslösung ist ein Teil, der bei der Interessenabwägung Berücksichtigung finden muss. Das Interesse weiterer Dritter kann vielfältig sein. Der potenzielle Erwerber kann ein großes Interesse an den Kundendaten selbst haben, die Gläubiger haben ein großes Interesse an der bestmöglichen Befriedigung und beim Schuldner, der in diesem Fall auch als Dritter zu betrachten wäre, besteht grundsätzlich das Interesse der Senkung seiner Verbindlichkeiten. Selbst ein Interesse des Kunden kann an der Übertragung bestehen, weil ein entsprechendes Leistungsangebot, ggf. auf den Kunden abgestimmt, erhalten bleibt. Der Betroffene hat grundsätzlich ein Interesse daran, dass seine Daten nicht an einen Dritten übertragen werden540) und sein Recht auf informationelle Selbstbestimmung gemäß Art. 2 I GG gewahrt wird.541) 740 Die Art der Daten ist für die Interessenabwägung ebenso wichtig. Insbesondere mit Blick auf das UWG und der geplanten Übertragung von Kontaktund E-Mail-Daten, kann das Pendel der Interessenabwägung schnell in Richtung Betroffenen ausschwenken. Würden die Überlegungen dazu führen, dass der potenzielle Erwerber wegen gesetzlicher Vorgaben die Daten nicht oder nicht zweckentsprechend verwenden kann, müsste im Rahmen der Interessenabwägung bereits das Interesse des Betroffenen am Ausschluss der Übertragung überwiegen, da wegen der fehlenden Nutzbarkeit der Daten durch den potenziellen Erwerber das Interesse an der rechtmäßigen Verarbeitung der Daten gen Null gehen würde. ___________ 535) 536) 537) 538) 539) 540) 541)
222
Berberich/Kanschik, NZI 2017, 9. Eckhardt/Menz, ZInsO 2016, 1922. OLG München, Teilurt. v. 24.10.2018 – 3 U 1551/17, GRUR-RR 2019, 137. OLG München, Teilurt. v. 24.10.2018 – 3 U 1551/17, GRUR-RR 2019, 139. Beyer/Beyer, NZI 2016, 243. Beyer/Beyer, NZI 2016, 243. Beyer/Beyer, NZI 2016, 244.
III. Betriebsfortführung im eröffneten Verfahren
Interessenabwägung Schutzwürdiges Interesse Betroffener
Berechtigtes Interesse des Verantwortlichen
• Informationelle Selbstbestimmung • Sensibilität der Daten • Vorgehen risikobehaftet • Einwilligung teilweise nötig (sensible Daten, Zweckänderung, TMG-Daten)
• Gläubigerbefriedigung • Besonderheit im Sanierungskontext • Betriebsfortführung als Ziel • Sonstfaktische Unverwertbarkeit • Interesse der Kunden
Abb. 4: Interessenabwägung Quelle: Weiß/Reisener, RWS-Seminarunterlagen Datenschutz in der Insolvenzverwalterkanzlei, Folie 113
Praxistipp: Wichtig ist es, die Interessenabwägung zu dokumentieren, alle Aspekte mit ihrer jeweiligen Wertigkeit bei der Betrachtung durch den Insolvenzverwalter niederzulegen und die Schlüsse aus diesen Abwägungen umzusetzen. Es gibt für die Interessenabwägung keinen „goldenen Weg“. Eine Betrachtung ist immer am Einzelfall vorzunehmen, unter Berücksichtigung der Besonderheiten des Einzelfalls. Auch bedarf es der genauen Betrachtung der einzelnen Daten und der Beurteilung, ob diese Daten im Rahmen des berechtigten Interesse überhaupt übertragbar sind. Bei der Interessenabwägung kann ein auf Datenschutz spezialisierter Berater sehr hilfreich sein. Ist der Insolvenzverwalter gehalten, die Übertragung auf die Rechtmäßigkeit gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu stützen und kommt er zum Schluss, dass seine berechtigten Interessen oder die Interessen eines Dritten nicht von den Interessen des Betroffenen überlagert werden, ist in seinen Augen eine Übertragung zulässig.542) Um diese Entscheidung ggf. im Nachhinein gegenüber der Aufsichtsbehörde nachweisen und vertreten zu können, bedarf es der intensiven Dokumentation.
cc) Widerspruchslösung Die Interessenabwägung lässt dem Verantwortlichen einen Interpretations- 741 spielraum. Immer da, wo es verschiedene Interpretationen geben kann, wird es auch immer mehrere Meinungen geben. So ist das Ergebnis der Interessenabwägung stets ein Ergebnis der einzelnen Gewichtungen von Umständen. Um den Unsicherheiten entgegenzuwirken und den Betroffenen in den Pro- 742 zessen die Möglichkeit zu geben, einwirken zu können, wurde von den Auf-
___________ 542) Vgl. auch Eckhardt/Menz, ZInsO 2016, 1922; ausführlich Weiß/Reisener, ZInsO 2019, 401 ff.
223
H. Datenschutz im eröffneten Verfahren
sichtsbehörden die sog. Widerspruchslösung entwickelt. Vorreiter war das BayLDA, das in seiner bereits erwähnten Bußgeldentscheidung aus dem Jahr 2015 einen aus Sicht der Behörde vertretbaren Weg aufgezeigt hat. 743 Gemäß BayLDA soll bei der Übertragung von personenbezogenen Daten, die nicht ausschließlich zu Werbezwecken übertragen werden, nicht strikt eine Einwilligung gefordert werden.543) Vielmehr soll dem Betroffenen das Recht zum Widerspruch an der geplanten Übertragung eingeräumt werden. Um dieses Widerspruchsrecht informativ ausüben zu können, bedarf es einer vorherigen Information des Betroffenen hinsichtlich der geplanten Übertragung. Diese Information soll dem Betroffenen die Möglichkeit geben, frei zu entscheiden, ob der Betroffene einer Übertragung widersprechen will. 744 Die Information soll dabei den geplanten Übertragungsvorgang beschreiben. Es muss dem Betroffenen mitgeteilt werden, wer die Daten auf wen zu welchem Zweck übertragen will. Des Weiteren muss der Betroffene innerhalb der Information darauf hingewiesen werden, dass er der geplanten Übertragung widersprechen kann. Des Weiteren muss dem Betroffenen eine ausreichende Reaktionsfrist eingeräumt werden. Das BayLDA hält eine Mindestfrist von zwei Wochen für angemessen. Andere Aufsichtsbehörden plädieren in diesem Zusammenhang für drei Wochen Entscheidungsfrist für den Betroffenen. Auch muss dem Betroffenen in einer für ihn verständlichen Weise mitgeteilt werden, was geschehen wird, wenn er widerspricht.544) 745 Diese Rechtsauffassung des BayLDA kann nur so interpretiert werden, dass das BayLDA davon ausgeht, dass der Kunde ohne Einräumung eines derartigen Widerspruchsrechts stets ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung seiner Daten hat.545) Auch andere Aufsichtsbehörden folgen mehr oder weniger der Ansicht des BayLDA. Wird der Betroffene vor der Übermittlung seiner personenbezogenen Daten informiert und macht er von einem ausreichend lang eingeräumten Widerspruchsrecht keinen Gebrauch, wird die Übermittlung seiner Daten als zulässig angesehen.546) Die TLfDI sieht sogar bei jeder Art von Übertragung aus berechtigtem Interesse, unabhängig davon ob ein teilwerblicher Zweck zu erwarten ist, die Nutzung der Widerspruchslösung für notwendig an. Demnach ist aus Sicht der TLfDI generell die Nutzung der Widerspruchslösung Voraussetzung für eine Übertragung auf Grundlage des berechtigten Interesses. Dies verwundert, da eine Widerspruchslösung als generelle Voraussetzung für eine Übertragung aus berechtigtem Interesse aus dem Gesetz nicht abgeleitet werden kann. 746 Für die nunmehr von der DSK benannte Fallgruppe „Daten von Kunden bei fortgeschrittener Vertragsanbahnung, Bestandskunden ohne laufende Verträge ___________ 543) 544) 545) 546)
224
Eckhardt/Menz, ZInsO 2016, 1924. Eckhardt/Menz, ZInsO 2016, 1924. Beyer/Beyer, NZI 2016, 244. Berbisch/Kanschik, NZI 2017, 9.
III. Betriebsfortführung im eröffneten Verfahren
und letzte Vertragsbeziehung jünger als drei Jahre“ wird von der DSK ebenso die Widerspruchslösung (Opt-out-Modell) gefordert.547) Eine angemessene Widerspruchsfrist wird hier sogar auf sechs Wochen festgesetzt. Dies sei nach Ansicht der DSK für Unternehmen aufwandsschonend und berücksichtigt zugleich aufgrund der eingeräumten Widerspruchsfrist die Interessen der Kunden. Einschränkend werden im Beschluss explizit Bankdaten der Kunden ausgenommen. Bei dieser Begründung und besonders bei der Frist von sechs Wochen, hat die DSK mit Sicherheit nicht an Insolvenzverwalter gedacht. Schon daher verbleibt bis auf Weiteres für die Leser dieses Buches ein Risiko! Auch sei nochmalig erwähnt, dass der Aufwand für die Anwendung der 747 Widerspruchslösung für den Insolvenzverwalter nicht gering ist. Es müssen alle Dokumentationen vorgenommen werden. Es bedarf einer Aufstellung, welche Kunden angeschrieben wurden, wer sich von diesen zurückgemeldet und wer seinen Widerspruch erklärt hat. Weiterhin bedarf es aufgrund der Widerspruchsfrist eines gewissen Vorlaufs. Möchte der Insolvenzverwalter zum Zeitpunkt der Verfahrenseröffnung übertragen, steht er vor dem Problem, dass er bereits drei Wochen vor Verfahrenseröffnung über die entsprechenden Informationen verfügen muss. Häufig ist dies nicht der Fall. Aber auch hier könnte eine Auftragsvereinbarung wie bei der Einholung der Einwilligung (siehe Rn. 720 ff.) in Betracht gezogen werden. Inwieweit die Widerspruchslösung auch für die Übertragung von E-Mail- 748 Adressen genutzt werden kann, insbesondere da hier auch wettbewerbsrechtliche Bedenken vorliegen, ist weiterhin nicht eindeutig geklärt. Das BayLDA musste zum Zeitpunkt der Bußgeldentscheidung dies nicht beurteilen. Allerdings liegen einige Hinweise der Aufsichtsbehörden vor, dass ein Verstoß gegen das UWG gegen eine Übertragung bereits bei der Interessenabwägung sprechen würde und eine Anwendung der Widerspruchslösung nicht infrage kommt. Diese Ansicht ist auch nachvollziehbar, da das Gesetz für diese Art der Daten von einer ausdrücklichen Einwilligung spricht und eine ausdrückliche Einwilligung nicht in einer Unterlassung gesehen werden kann, in der der Betroffene lediglich sein Widerspruchsrecht nicht wahrnimmt. Die Widerspruchslösung wurde noch unter der Geltung des BDSG a. F. ent- 749 wickelt. Bisher ist nicht absehbar, ob die entwickelte Widerspruchslösung auch unter der DSGVO Anwendung finden kann. Das LG Leipzig hat in einer Entscheidung zur Widerspruchslösung leider weiterhin zum alten Recht Stellung bezogen.548) Im vorliegenden Fall wurde vom Insolvenzverwalter unter Nutzung der Widerspruchslösung eine nicht unerhebliche Anzahl an personenbezogenen Daten verschiedenster Kategorien veräußert. In dieser Entscheidung führt das Gericht aus, dass die Widerspruchslösung nicht als Ersatz für eine Einwilligung herangezogen werden kann, da eine Nichtreaktion ___________ 547) DSK Beschluss Asset-Deal v. 24.5.2020. 548) LG Leipzig, Urt. v. 24.10.2018 – 05 O 2873/17.
225
H. Datenschutz im eröffneten Verfahren
auf ein eingeräumtes Widerspruchsrecht nicht einer positiven Äußerung oder Willenserklärung des Betroffenen gleichsteht. Mit der Nutzung der Widerspruchslösung wurde aber auf die Interessen der Betroffenen zusätzlich Rücksicht genommen. Praxistipp: Sofern der Insolvenzverwalter beabsichtigt, Kundendaten des schuldnerischen Unternehmens zu veräußern, sollte der Insolvenzverwalter sich zunächst die Rechtsgrundlage der Übertragung anschauen. Kommt er zum Schluss, dass eine Übertragung aufgrund des berechtigten Interesses erfolgen kann, ist wegen der bisher noch nicht rechtlich geklärten Vorgehensweise nach Möglichkeit die Widerspruchslösung zu nutzen. Dabei sollte insbesondere auf die Vollständigkeit der Informationen geachtet werden. Des Öfteren ist es auch so, dass der potenzielle Erwerber nicht nach außen treten will. Auf eine Benennung des Erwerbers kann dennoch nicht verzichtet werden. Außerdem sollte der Insolvenzverwalter wissen, dass der potenzielle Erwerber die Möglichkeit des Widerspruchs mit in sein Angebot einpreist, ebenso wie er es bei der Einholung der Einwilligung tun wird.
dd) Prüfung bei anstehender Übermittlung 750 Um zu prüfen, welche Form der Übertragung gewählt werden sollte, empfiehlt sich folgende Prüfungsreihenfolge: x
Prüfung, ob Einwilligung benötigt wird? Wenn –
x
Prüfung, ob durch Rechtsvorschrift gedeckt? Wenn –
x
Feststellung des ursprünglichen Zwecks der Erhebung.
x
Prüfung, ob rechtfertigungsbedürftige Zweckänderung? Wenn +
x
Prüfung, ob neuer Zweck mit altem Zweck vereinbar?
Daraus folgt eine Interessenabwägung und ggf. Widerspruchslösung. 3. Verwertung von Anlagevermögen (Hardware) 751 Die Verwertung des Anlagevermögens bedarf ebenfalls zum Teil der datenschutzrechtlichen Betrachtung. Sei es die Verwertung von Hardware wie Computern, Telefonen, Kopierern oder der Umgang mit entsprechenden Cloudzugängen, bereits die Beauftragung eines Verwerters, der für die Insolvenzmasse tätig wird und vom Insolvenzverwalter Informationen über den Schuldner benötigt, ist den datenschutzrechtlichen Regeln unterworfen. a) Beauftragung Verwerter 752 Der Insolvenzverwalter, der einen Verwerter beauftragt, beim Schuldner z. B. ein Fahrzeug abzuholen oder andere Gegenstände des Anlagevermögens, muss mit diesem eine Auftragsvereinbarung schließen. Im Rahmen der Verwertung und der Zuführung zur Verwertung werden i. d. R. personenbezogene Daten 226
III. Betriebsfortführung im eröffneten Verfahren
an den Verwerter weitergeben, wie es bereits bei dem Bewerter erfolgte. Eine Auftragsverarbeitung ist Grundlage für die Übermittlung der personenbezogenen Daten an den Verwerter, der wiederum diese Daten für den Insolvenzverwalter in dessen Auftrag verarbeitet, um die Verwertung durchzuführen. Dabei ist es nicht zwingend nötig, für jedes Verfahren eine eigene Auftrags- 753 verarbeitung zu erstellen. Vielmehr ist es ausreichend, eine Art Rahmenauftragsverarbeitung abzuschließen, die immer nur um das entsprechende Verfahren ergänzt wird. Dies kann über einen Anhang zur Auftragsverarbeitung erfolgen, der jeweilig ergänzt bzw. aktualisiert wird. Der Überwachung des Verwerters, der Kontrolle der Einhaltung der daten- 754 schutzrechtlichen Bestimmungen sowie der Überprüfung der TOM bedarf es bereits, zwar nicht in dieser Tiefe, aber grundsätzlich nach den Vorgaben der Grundsätze ordnungsgemäßer Insolvenzverwalter (GOI). b) Verwertung der Hardware Die Hardware, die im Besitz des Insolvenzverwalters ist und an der dieser 755 nicht durch Freigabe die datenschutzrechtliche Verantwortung abgegeben hat,549) ist vom Insolvenzverwalter vor der Verwertung in Bezug auf den Datenbestand zu prüfen. Wenn sich keine personenbezogenen Daten auf den Systemen befinden, ist eine Verwertung der Hardware unproblematisch und findet keinen Bezug zum Datenschutz. Sind aber auf den Systemen personenbezogene Daten vorhanden, was in den 756 meisten Fällen so sein wird, bedarf es einer entsprechenden datenschutzrechtlich konformen Löschung dieser Daten. Hier wird der Insolvenzverwalter i. d. R. auf einen Dienstleister zurückgreifen, mit dem auch eine Auftragsverarbeitung abgeschlossen wurde. Eine Verwertung von Hardware mit personenbezogenen Daten oder mit einer nicht erfolgten datenschutzrechtlich konformen Löschung stellt einen Verstoß gegen die Vorschriften des Datenschutzrechts dar. Auch die Aussage des Erwerbers, eine Löschung nach der Übergabe vorzunehmen, und ggf. die Bestätigung durch den Erwerber ist grundsätzlich nicht ausreichend. Eine Übergabe von Hardware mit personenbezogenen Daten ist eine Übermittlung und bedarf einer Rechtsgrundlage. Unerheblich ist der Umstand, ob der Erwerber tatsächlich Zugriff auf die Daten nimmt. Es genügt die Möglichkeit. Der Insolvenzverwalter ist im Übrigen unabhängig von der wirtschaftlichen 757 Leistungsfähigkeit des Verfahrens verpflichtet, für die personenbezogenen Daten, die in seiner Verantwortung liegen, die Datenschutzvorschriften anzuwenden. Gegebenenfalls können diese Auslagen den Verfahrenskosten beigefügt werden oder gar für diese Tätigkeit Zuschläge beantragt werden (siehe Rn. 785 ff.). ___________ 549) Vgl. Thole, ZIP 2018, 1011.
227
H. Datenschutz im eröffneten Verfahren
758 Die Pflicht zur datenschutzrechtlichen Behandlung der Hardware kann im Umkehrschluss auch dazu führen, dass eine Verwertung die Löschungskosten nicht deckt. In diesem Fall wäre es denkbar, dass der Insolvenzverwalter die Datenträger aus den Systemen löst und diese gesammelt einer datenschutzrechtlichen Löschung zuführt. Praxistipp: Das Bundesamt für Sicherheit in der Informationstechnik BSI hat zu diesem Thema mehrere Hinweise550) herausgegeben. Eine datenschutzrechtliche Löschung, genauer eine Löschung von Daten/Datenträgern im datenschutzkonformen Umfang, sollte sich im Wesentlichen an der DIN-Norm 66399 (Vernichtung von Datenträgern) orientieren. Kurz gefasst wird eine physische Zerstörung oder/und qualifizierte elektronische Löschung der Datenträger empfohlen.
759 Die so bereinigten Systeme können dann verwertet werden oder aber entsorgt. Jedenfalls sollte die Insolvenzkanzlei nach der datenschutzrechtlichen Löschung über entsprechende Testate von Fachunternehmen verfügen und diese – spätestens zur eigenen Exkulpation ggf. im Rahmen von Schadensersatzansprüchen nach Art. 82 DSGVO – archivieren. Praxistipp: Der Insolvenzverwalter sollte bedenken, dass heutige Telefonanlagen, Kopierer und auch Drucker teilweise große Datenmengen speichern, die ebenso auslesbar sind. Auch für diese Gegenstände muss eine datenschutzkonforme Lösung gefunden werden. Die vertretene Meinung, durch Freigabe i. S. v. § 295 InsO die Verantwortlichkeit abzugeben, da ab diesem Zeitpunkt keine Entscheidungsbefugnis für die Verarbeitungsvorgänge mehr besteht, wäre in diesen Fällen hilfreich. Allerdings ist zum einen fraglich, wie die Aufsichtsbehörden mit dieser Einschätzung umgehen. Zum anderen stellt sich bis zu dem Freigabezeitpunkt die Frage der Verantwortlichkeit des Insolvenzverwalters und ob er diese datenschutzkonform erfüllt hat. Eine restriktive Meinung einer Aufsichtsbehörde könnte in der Freigabe darüber hinaus auch eine Übermittlung sehen, die ohne Rechtsgrundlage erfolgt ist und somit bußgeldbewehrt wäre.
4. Online- und Cloudzugänge 760 Zusätzlich bedürfen die Online- und Cloudzugänge einer datenschutzrechtlichen Prüfung. Sofern diese im Zugriff des Insolvenzverwalters stehen551) und der Insolvenzverwalter die Zugänge nicht für seine Verfahrensbearbeitung benötigt sowie der Zweck, zu dem die Zugänge eingerichtet wurden, nicht mehr besteht, müssen die Daten gelöscht bzw. deaktiviert werden. ___________ 550) Zum Beispiel https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutz Kataloge/Inhalt/_content/m/m02/m02435.html (Stand: 17.8.2020). 551) Vgl. Thole, ZIP 2018, 1005.
228
III. Betriebsfortführung im eröffneten Verfahren
Dazu zählen auch Zugänge zu den sozialen Netzwerken. Insbesondere in An- 761 betracht der jüngsten Rechtsprechung des EuGH552) besteht hier ein Gefahrenpotential für die Masse in Bezug auf die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO. 5. Online-/Gläubigerinformationssysteme und Cloudzugänge Nahezu tägliche Praxis sind Online-/Gläubigerinformationssysteme, sei es in 762 Ausprägung des „GIS“553), sei es in Ausprägung des „OlGA“554). Selbstverständlich ist gerade im Online-Bereich der Gläubigerinformation die individuelle Software-Ausprägung des durch die Insolvenzkanzlei jeweils verwendeten Systems von Relevanz.555) Die nachfolgenden Ausführungen können und wollen deren konkrete datenschutzrechtliche „Begutachtung“ also nicht darstellen. Ihnen als Mitarbeiter oder/und Inhaber einer Insolvenzkanzlei soll aber folgende Einordnungsmöglichkeit von Online-Informationssystemen für Gläubiger im Grundsätzlichen gegeben werden – und zwar aus datenschutzrechtlicher Perspektive zur Sensibilisierung. a) Grundsätzliche Zulässigkeit der Gläubigerinformation Etwas spezieller ist nämlich die datenschutzrechtliche Einordnung dieser di- 763 gitalen Art der Gläubigerinformation: Das Gesetz zählt einzelne Arten von Daten im Art. 4 DSGVO nicht abschließend auf. Neu hinzugetreten ist neben Daten wie Name, Alter etc. das Merkmal der „genetischen“ Identität; Letzteres nur der Vollständigkeit halber. Wie man leicht erkennen kann, enthält also jedes Gläubigerinformationssystem einer Insolvenzverwalterkanzlei potentiell personenbezogene Daten, mit denen unstreitig auch im Rahmen dessen durch die Insolvenzverwalterkanzlei datenschutzkonform umzugehen ist. Die Angabe einer Quotenzahlung im Besonderen führt i. d. R. nicht dazu, dass 764 eine natürliche Person über diese Angaben identifizierbar ist. Erst das Hinzutreten weiterer Daten könnte diesen Umstand eintreten lassen. Eine rechtmäßige Verarbeitung der Daten, was aus datenschutzrechtlicher Sicht auch eine Weitergabe im Sinn des Gesetzes wäre, bedarf bekanntlich einer entsprechenden Rechtsgrundlage. Diese kann sich aus der DSGVO, ebenso aus dem BDSG und vermutlich in jedenfalls analoger Anwendung/Auslegung der Vorschriften der InsO wie §§ 20, 5, 97 i. V. m. sonstigen Vorschriften zur Durchführung des Insolvenzverfahrens i. V. m. der entsprechenden Ermächtigungsgrundlage aus den datenschutzrechtlichen Vorschriften ergeben. ___________ 552) EuGH, Urt. v. 5.6.2018 – C – 210/16, ZD 08/2018, 357 (mit Anmerkung Marosi/ MatthéSchulz, S. 361 ff.). 553) Siehe https://www.insolvenz-portal.de/produkte/gis (Stand: 17.3.2020). 554) Siehe https://www.rummel-ag.de/produkte/im-olga/ueberblick-im-olga/ (Stand: 17.3.2020). 555) Ohne dass diese hier bei den zuvor genannten/sonstigen Anbietern ausgewertet oder sonst wie bewertet werden soll.
229
H. Datenschutz im eröffneten Verfahren
765 Für die Praxis der Insolvenzverwaltung bedeutet dies, dass insbesondere telefonische Auskünfte in dem Bereich schon aus Dokumentationszwecken allenfalls die Ausnahme sein sollten. Inzwischen erwarten einige Insolvenzgerichte zu Recht vielmehr, dass Tabellendaten etc. mittels verschlüsselter E-Mail übertragen werden, was vom Sicherheitsniveau her entsprechend für Zugriffsmöglichkeiten (unberechtigter) Dritter auf das Online-Informationssystem eines Insolvenzbüros gelten muss. Dies muss durch die Insolvenzverwalterkanzlei möglichst sichergestellt werden. b) Datenpflege im Gläubigerinformationssystem 766 Was den Online-Zugang an sich betrifft, werden nach Vorstehendem i. d. R. umfangreich personenbezogene Daten verarbeitet und diese den Gläubigern zur Verfügung gestellt. Damit besteht ein Spannungsverhältnis zwischen dem Datenschutzrecht und das auch entsprechend der Grundsätze ordnungsgemäßer Insolvenzverwaltung (= GOI) vorgesehene System zur Online-Gläubigerinformation. Die Rechtmäßigkeit der Verarbeitung von Daten im jeweiligen Gläubigerinformationssystem durch den Insolvenzverwalter und seine Mitarbeiter ist hier einmal explizit in einer gesetzlichen Verpflichtung gemäß Art. 6 Abs. 1 Satz 1 lit. c) DSGVO i. V. m. des § 8 Abs. 3 InsO zu sehen. 767 Aufgrund des berechtigten Interesses des Insolvenzverwalters und der Gläubiger an der Veröffentlichung dürfte jedenfalls nach entsprechender Beauftragung zur Zustellung durch das Insolvenzgericht, wie sie absolut übliche Praxis der Insolvenzverwaltung ist, letztlich aber auch Art. 6 Abs. 1 Satz 1 lit. f) DSGVO für einen Gläubigerzugang streiten. Im Rahmen der notwendigen Abwägung bzgl. des berechtigten Interesses des Insolvenzverwalters und der Gläubiger ist ebenso das schutzwürdige Interesse des Insolvenzschuldners „gegen“ eine Bekanntmachung heranzuziehen. Dem Online-Informationssystem kann grundsätzlich eine – wenn auch beschränkte – Öffentlichkeitswirkung und letztlich bei „Missbrauch“ auch eine Prangerwirkung nicht abgesprochen werden. 768 Dies muss aber auch unter Hinzuziehung der Regelungen der Insolvenzbekanntmachungsverordnung556) betrachtet werden. Diese Maßstäbe, die der Gesetzgeber für die öffentliche Bekanntmachung ansetzt, sollten folglich auch für den Insolvenzverwalter im Rahmen der Veröffentlichung über das Online-Informationssystem der Insolvenzverwalterkanzlei gelten und dann auch ausreichen. Wichtig ist es auch für die Insolvenzverwalterkanzlei (neben dem jeweiligen Anbieter natürlich), ein entsprechend hohes, auch technisches, Schutzniveau der Daten zu gewährleisten. Um erste Angaben zu einzelnen Verfahren über das Online-Informationssystem zu erhalten, sind in der Regel grundsätzlich bereits zwei Merkmale als Eingabe erforderlich: Zum einen muss die jeweilige Insolvenzkanzlei bekannt sein und zum anderen der Name ___________ 556) InsoBekV, http://www.gesetze-im-internet.de/insobekv/ (Stand: 13.8.2020).
230
III. Betriebsfortführung im eröffneten Verfahren
des Schuldners bzw. das Aktenzeichen des Insolvenzverfahrens. Aufgrund dieser notwendigen Angaben erfüllt das Online-Informationssystem mindestens das Schutzniveau der öffentlichen Bekanntmachung. Dabei werden allerdings nur grundsätzliche Daten zum Verfahren bekannt gegeben, wie sie auch der öffentlichen Bekanntmachung zu entnehmen ist, und größtenteils keine personenbezogenen Daten. Weiterführende Daten erhält der Gläubiger im Rahmen des Auskunftsrechts 769 nur mittels Eingabe von Verschlüsselungsdaten, wie z. B. einer ihm persönlich mitgeteilten PIN. Sofern tatsächlich nur registrierte und bestätigte Gläubiger Zugriff auf die entsprechenden Informationen zum Verfahren erhalten, um einen noch besseren Schutz sämtlicher Daten, unabhängig der Einteilung in personenbezogenen Daten, zu gewährleisten, wäre dies datenschutzrechtlich ein weiterer, aber auch ausreichender Schritt zum Schutz der datenschutzrechtlichen Belange des Schuldners. c) Erweiterung der Datenschutzerklärung und Auftragsverarbeitung Die Insolvenzkanzlei sollte es zudem aber nicht verpassen, im Rahmen ihrer 770 Datenschutzerklärung auf das Gläubigerinformationssystem und die dort vorgenommene Verarbeitung hinzuweisen. Auch bedarf es ggf. einer gesonderten Erbringung von Informationspflichten, sofern sich der jeweilige Benutzer bzw. Gläubiger für den Zugriff registrieren muss. Hier greifen also in einem Insolvenzverfahren abermals Technik und (Datenschutz-)Recht ineinander. Auch der Abschluss einer Auftragsverarbeitungsvereinbarung mit dem jewei- 771 ligen Anbieter ist zu prüfen und auch abzuschließen, wie es bei einer solchen Verbreitung erforderlich ist. Der Dienstleister, der das Online-Informationssystem anbietet, verarbeitet auf seiner Plattform personenbezogene Daten im Auftrag des Verantwortlichen, hier dem Insolvenzverwalter. Bereits der Zweckbindungsgrundsatz der Artt. 5 Abs. 1 lit. b), 6 Abs. 4 772 DSGVO sollte die Insolvenzverwalterkanzlei aber im Übrigen zu einem vorsichtigen Umgang mit personenbezogenen Daten in dem Bereich veranlassen: Vermutlich darf – rein datenschutzrechtlich betrachtet – beispielsweise nicht davon ausgegangen werden, dass aus dem Insolvenzeröffnungsverfahren/der vorläufigen Insolvenzverwaltung bekannte Daten von Kunden „einfach so“ zur Aufforderung zur Forderungsanmeldung verwendet werden können. Denn mit der Eröffnung dürfte sich der (ehemals) „…festgelegte, eindeutige und legitime Zweck…“ i. S. d. vorgenannten Norm, was die gegenständlichen personenbezogenen Daten betrifft, jedenfalls einmal geändert haben. Eine erneute Prüfung, ob die sich nach Eröffnung anschließende Verwendung 773 personenbezogener Daten durch die Insolvenzverwalterkanzlei nunmehr (im Rahmen des Online-Informationssystems) rechtmäßig ist, ist erforderlich und anzuraten. Hat ein Gläubiger indes bereits im Eröffnungsverfahren seine per231
H. Datenschutz im eröffneten Verfahren
sonenbezogenen Daten der Insolvenzverwalterkanzlei überlassen, um „verfrüht“ Ansprüche gegen die Insolvenzmasse geltend zu machen, dürften die Artt. 5 Abs. 1 lit. b), 6 Abs. 4 DSGVO die Insolvenzverwalterkanzlei dazu legitimieren, diese Daten auch für die (Online-)Gläubigerinformation zu verwenden. Denn dies war Sinn/Zweck der „verfrühten“ Anmeldung des Gläubigers. Aber auch der Art. 6 Abs. 4 DSGVO lässt die Möglichkeit der Zweckänderung zu, wenn der neue Zweck mit dem alten Zweck vereinbar ist, was in diesen Fällen unstreitig vorliegen wird. Praxistipp: Natürlich muss sich ein Gläubiger, um Vorstehendem – insbesondere den Ausführungen von oben b) a. E. – gerecht zu werden, jedenfalls eingangs am Insolvenzverfahren beteiligen. Bereits rein tatsächlich bzw. denknotwendigerweise. Denn nur so kann ihm von dem Insolvenzverwalter Zugang etc. zum Online-Informationssystem überhaupt zur Verfügung gestellt werden. Im Nachgang bleibt es dem Gläubiger natürlich unbenommen, sich – z. B. aus Wirtschaftlichkeitsgesichtspunkten – nicht mehr am Verfahren zu beteiligen. Sein grundsätzliches Informationsrecht an sich dürfte allein dies nicht beseitigen. Auch hier sind im Übrigen und letztlich TOM, Schutz vor Hacker-Angriffen etc., von den Systemanbietern, aber auch der Insolvenzkanzlei, im Hinterkopf zu halten.
232
I. Praxisstrategien zur Verteidigung gegen Aufsichts- und sonstige Verfahren wegen Datenschutzverstößen In Deutschland ist auch die Datenschutzaufsicht Bundes- bzw. Ländersache. 774 Dass dies nicht gerade die Vereinheitlichung fördert, zeigt sich bereits bei standort-/länderübergreifenden Büros von Insolvenzkanzleien: Die Behörden haben mitunter unterschiedliche Rechtsansichten, aber auch insgesamt divergierende Herangehensweisen. So gibt es – ähnlich wie man es aus dem Bereich des Abiturs kennt – Tendenzen zu „strengeren/schärferen“ Behörden und eben solchen, die nicht ganz so engagiert sind und eher den Beratungsansatz der Datenschutzbehörden zunächst in den Vordergrund stellen. I. Eine kleine Feldstudie Zur Verprobung bzw. Verifizierung sind in Vorbereitung der zweiten Auflage 775 dieses Praxisbuches sämtliche Behörden angeschrieben worden. Insbesondere im Hinblick auf datenschutzrechtliche Aufsichts- und Ermittlungsverfahren gegen Rechtsanwalts- oder/und Insolvenzverwalterkanzleien. Insbesondere aus Kapazitätsgründen erfolgten überwiegend jedenfalls keine inhaltlichen Rückmeldungen. Im Übrigen wurden indes Meinungen zum Insolvenzverwalter kundgetan557) – und das Thema dieses Praxisbuches an sich als „… aus datenschutzrechtlicher Sicht sehr interessant…“ eingestuft. Von dem kleinen Teil der rückmeldenden Behörden wurden jedoch „… bis dato keine datenschutzrechtlichen Aufsichts-/Ermittlungsverfahren gegen Rechtsanwälte als Insolvenzverwalter…“ mitgeteilt. Aus der Praxis wissen die Autoren, dass dem nicht in Gänze so ist: Zumindest vereinzelt haben Aufsichtsbehörden Verfahren gegen Rechtsanwälte oder Insolvenzverwalter eingeleitet! II. Der Status quo aus der Beratungs- und Behördenpraxis Dies und insbesondere die Aussagen der rückmeldenden Aufsichtsbehörden 776 sollten also bitte nicht zum fahrlässigen Umgang mit dem Datenschutz in der Insolvenzkanzlei verstanden werden. Aus der Praxis der Autoren als Berater von Kollegen und externen Datenschutzbeauftragten, die für Sanierungsund Insolvenzkanzleien tätig sind, ist nämlich zu beobachten, dass vonseiten „enttäuschter Stakeholder“ eines Insolvenzverfahrens, aber auch querulierender Schuldner, das Datenschutzschwert gezogen wird. Und zwar nicht nur (Landes-)Datenschutzbehörden gegenüber. ___________ 557) Rückmeldungen erfolgten u. a. aus Mecklenburg-Vorpommern, durch das Bayerische Landesamt für Datenschutzaufsicht (das in Bayern statt dem Bayerischen Landesbeauftragten für Datenschutz! für die datenschutzrechtliche Aufsicht im nicht öffentlichen Bereich und somit auch für Rechtsanwälte und Insolvenzverwalter verantwortlich ist), den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, die LDA Brandenburg sowie den Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit (TLfDI): Insolvenzverwalter Verantwortlicher, wenn dieser Zweck und Mittel der Datenverarbeitung festlegt.
233
I. Praxisstrategien zur Verteidigung gegen Aufsichts- und sonstige Verfahren
777 Nicht selten werden nämlich auch Insolvenzgerichte mit entsprechenden Eingaben (ehemaliger) Schuldner, Arbeitgeber des Schuldnerbetriebes oder sonstiger Stakeholder versehen, weil sich der Insolvenzverwalter bzw. die Insolvenzkanzlei – vermeintlich – nicht datenschutzkonform verhalten habe. Eine dahingehende Unzuständigkeit der Insolvenzgerichte ist indes nicht zu beobachten. Nicht selten werden nämlich derartige Eingaben von dem Insolvenzgericht an die -kanzlei mit der Bitte um Erklärung und Stellungnahme binnen einiger Wochen weitergeleitet. Eine unangenehme Situation, insbesondere wenn der Insolvenzverwalter vielleicht tatsächlich dem Datenschutz in dem schuldnerischen Betrieb keine Aufmerksamkeit geschenkt und die Insolvenzkanzlei auch datenschutzrechtlich ihrerseits an sich kaum Vorkehrungen getroffen hat.558) Denn binnen der (insolvenz-)gerichtlich gesetzten Fristen, den Sachverhalt im Betrieb oder in der Insolvenzkanzlei nicht nur zu ermitteln, sondern notfalls auch auf das aktuelle Erfordernis anzupassen, insbesondere EDV-technisch, ist ein – offen gesagt unnötiger – Kraftakt. Der wenn überhaupt559) nur durch Einschaltung entsprechender Spezialisten gelingen kann – so diese denn ad hoc Ressourcen haben. Beispiel: Der ehemalige Schuldner eines IK-Verfahrens hatte sich per Standard-Datenschutz-Auskunftsschreiben aus dem Internet, gerichtet an das Insolvenzgericht, über den Treuhänder beschwert. Er verhielte sich nicht datenschutzkonform. Zudem machte der Schuldner (verklausuliert) Betroffenenrechte aus Art. 15 DSGVO geltend – und verlangte letztlich die Löschung seiner Daten durch den Treuhänder. In Abstimmung mit dem Treuhänder, unter Berücksichtigung der konkreten (EDV-)Gegebenheiten in seiner Kanzlei und letztlich eventueller Besonderheiten aus dem jeweiligen Stand des Insolvenzverfahrens AG Musterstadt – 53 IK XX/11560) nebst praktischer Konkordanz zwischen datenschutzrechtlichen Löschungs- und insolvenzrechtlichen „Aufbewahrungsfristen“,561) konnte der Vorgang i. E. zufriedenstellend erledigt werden: Weder vonseiten des Schuldners als Betroffenem, noch vonseiten des Insolvenzgerichts, geschweige denn von der zuständigen Landesdatenschutzbehörde, erfolgten bis zuletzt weitere Nachfragen. ___________ 558) Was tatsächlich nach wie vor vereinzelt vorkommen soll! 559) Man denke in dem Zusammenhang auch an „Formalia“ wie die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, aber auch „lapidare“ Dinge wie die Sichtung und Archivierung von (Personal-)Akten u. v. m. 560) Es erfolgte u. a. die Prüfung i. H. auf evtl. Rechtsmittelfristen im Hinblick auf Beschlüsse aus dem Insolvenzverfahren, höchst fürsorglich ein Wiedereinsetzungsantrag pp. und damit ggf. inhaltlich/verfahrensrechtlich besondere Umstände, warum personenbezogene Verfahrensdaten (nicht) gelöscht werden sollten (datenschutzrechtlicher Zweckbindungsgrundsatz). I. E. war es in diesem Beispiel nicht der Fall, dass das Insolvenzrecht tatsächlich das Datenschutzrecht zu überlagern hatte. 561) Aufgrund der erfolgten Stundung der Kosten des Insolvenz-/RSB-Verfahrens i. V. m. evtl. Anfragen durch den Bezirksrevisor im Nachgang war im Konkreten vertretbar gegen eine sofortige Löschung der Daten zu entscheiden. Analog § 4c Nr. 2 InsO a. E. ließ sich jedenfalls ein Aufbewahrungszeitraum von vier Jahren vertreten.
234
III. Das behördliche bzw. verwaltungsgerichtliche Verfahren
Doch nicht nur das: Die Sanktionen der DSGVO sollen – unstreitig – „… in 778 jedem Einzelfall wirksam, verhältnismäßig, aber auch abschreckend…“ sein (Art. 83 Abs. 1 DSGVO). Die Bußgeldpraxis des LfDI Baden-Württemberg soll exemplarisch eine Vielzahl von Verfahren beinhalten, wovon mehrere im fünfstelligen Bereich liegen sollen. Weitere Verfahren mit erwarteten Bußgeldern im sechsstelligen Bereich sind anhängig. Die Verletzung von TOM bzw. der Grundsätze von Vertraulichkeit und Integrität, aber auch die unsachgemäße Entsorgung von Finanzunterlagen sollen u. a. Tathandlungen sein. Außerdem sollen mehrere Bußgelder wegen Mitarbeiterüberwachung via GPS oder/und Videoüberwachung durch Unternehmen und Private ergangen sein.562) Für Unternehmen gilt, was die Berechnung der zu erwartenden Bußgeldhöhe 779 betrifft, bis auf Weiteres das Bußgeldkonzept der Datenschutzkonferenz DSK, das sich nach der Unternehmensgröße an sich, dem Jahresumsatz, Schweregrad des Verstoßes u. v. m. richtet.563) Hinsichtlich der Schwere eines Verstoßes differenziert die DSGVO zwischen Verstößen gemäß Art. 83 Abs. 4 bzw. Abs. 5. III. Das behördliche bzw. verwaltungsgerichtliche Verfahren Die Datenschutzbehörden sind Behörden i. S. d. § 1 Abs. 4 VwVfG (des Bun- 780 des bzw. der korrespondierenden Ländervorschriften). Mithin sind sie letztlich bei ihren behördlichen (Aufsichts-)Maßnahmen auch an den Verhältnismäßigkeitsgrundsatz, grundrechtliche Wertungen, dem Grundsatz des Vorrangs und Vorbehalts des Gesetzes etc. gebunden – natürlich neben den einschlägigen datenschutzrechtlichen Vorschriften, aber auch der Grundrechtscharta etc.564) Praxistipp: Bis dato verstehen sich die Datenschutzbehörden überwiegend auch als (zunächst mahnende) Berater. Auf entsprechende Eingaben/Anzeigen Betroffener erfolgt in der Regel von dort die Möglichkeit zur Stellungnahme oder/und Aufforderung zur Schaffung von Abhilfe in Richtung des Verantwortlichen, um für die Zukunft datenschutzkonform zu sein. Erst bei (wiederholter) Zuwiderhandlung/Verweigerung des Verantwortlichen, folgen bis dato (Bußgeld-)Sanktionen. Es sei denn, es handelt sich um eklatante Verstöße mit hohem Risiko bzw. „Wiederholungstäter“.565)
___________ 562) So der LfDI BW Dr. Stefan Brink im Rahmen seines Vortrages auf der 43. Datenschutztagung der GDD e. V. 563) Siehe im Einzelnen https://www.datenschutzkonferenz-online.de/media/ah/20191016_ bußgeldkonzept.pdf. (Stand: 19.3.2020). 564) Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 997 m. w. N. 565) Was der LfDI Baden-Württemberg Dr. Stefan Brink im Rahmen seines Vortrages auf der 43. Datenschutztagung der GDD e. V. zu der (provokant gemeinten) These „zwischen staatlicher Servicestelle und Heiliger Inquisition“ veranlasste.
235
I. Praxisstrategien zur Verteidigung gegen Aufsichts- und sonstige Verfahren Zur Erinnerung: Die Datenschutzbehörde kann trotz Vorstehendem der Entscheidung des VG Ansbach v. 8.8.2019 – AN 14 K 19.00272 entsprechend zu einem Tätigwerden veranlasst sein, wenn der Fall einer (möglichen) Verletzung von Rechten sowie (kumulativ) eine Ermessensreduzierung „auf Null“ vorliegt. Neben Vorstehendem steht natürlich auch die zivilrechtliche oder aber gar die Komponente des Datenschutz-Strafrechts im Raum. Auch diese soll mit aller Härte durchgesetzt werden. In der Praxis zeigt sich jedoch, dass einige Datenschutzbehörden, jedenfalls bei anhängigen staatsanwaltschaftlichen Ermittlungsverfahren zur Vermeidung einer Doppelbestrafung ihr dahingehendes Tätigwerden zunächst suspendieren.
781 Den Datenschutzbehörden an sich kommt jedoch auf der einen Seite eine Sonderrolle zu, die bei Erfüllung und Ausübung ihrer Befugnisse gemäß Art. 52 Abs. 1 a. E. DSGVO „völlig unabhängig“ ist. Bei derartigem Tätigwerden sollen Behörden-Mitglieder gar frei von (in-)direkter Beeinflussung von außen sein und letztlich keine Weisungen entgegennehmen (Art. 52 Abs. 2 DSGVO).566) Was wiederum Erwägungsgrund 118 auf der anderen Seite einschränkt: „Die Tatsache, dass die Aufsichtsbehörden unabhängig sind, sollte nicht bedeuten, dass sie hinsichtlich ihrer Ausgaben keinem Kontroll- oder Überwachungsmechanismus unterworfen werden bzw. sie keiner gerichtlichen Überprüfung unterzogen werden können.“567)
782 Somit ist im Ergebnis festzuhalten, dass aufsichtsbehördliches oder sonstiges Handeln der Datenschutzbehörden primär der Kontrolle durch die Verwaltungsgerichte unterliegt. 783 Auch das übrige Verwaltungshandeln entspricht dem aus anderen öffentlichrechtlichen Bereichen Bekannten: In der Regel erfolgt eine Anhörung, dann ein Bescheid, gegen den nicht mehr im Wege des Widerspruchs568), sondern im Wege der Klage vor dem Verwaltungsgericht vorzugehen ist.569) 784 Dies zeigt aber auch das nachfolgende Beispiel: Zu der Entscheidung des OVG Lüneburg570) führte exemplarisch die Klage des gerichtlich bestellten Insolvenzverwalters. Er begehrte einen Auszug aus dem Steuerkonto des Insolvenzschuldners sowie entsprechende Akteneinsicht (§§ 35, 129 InsO, Art. 15 DSGVO, 4/§ 19 BDSG, § 124 Abs. 2 VwGO).
___________ 566) Dazu ausführlich Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 997 ff. m. w. N. 567) Siehe https://dsgvo-gesetz.de/erwaegungsgruende/nr-118/ (Stand: 18.3.2020). 568) So noch § 20 Abs. 6 BDSG a. F. 569) Dazu im Einzelnen nebst Mustern und Anmerkungen Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 222 ff. 570) OVG Lüneburg, Beschl. v. 26.6.2019 – 11 LA 274/18, ZIP 2019, 1388.
236
J. Datenschutzrechtliche Belange und die Vergütung des Insolvenzverwalters Aus der Praxis der Insolvenzverwaltung überrascht es in keinster Weise, dass 785 sich ein Insolvenzverwalter in unserem digitalen Zeitalter auch mit Daten, EDV und (digitalen) Dokumenten, insbesondere des schuldnerischen Betriebes, zu befassen hat. I. Vorausgesetzte Tätigkeiten nach der vergütungsrechtlichen Literatur In gewisser Weise überraschend ist aber, mit welcher Klarheit dies auch die 786 insolvenzrechtliche (Vergütungs-)Literatur bereits Jahre vor Inkrafttreten der DSGVO bzw. des BDSG 2018 offenbar ganz eindeutig als Aufgabe des Insolvenzverwalters statuierte. Und noch mehr: Es nimmt in der Tat aufgrund der fortschreitenden Digitalisierung die frühestmögliche Sicherung möglichst aller Daten des Insolvenzschuldners auf diversen Datenträgern wie Smartphones, PCs, aber auch Social-Media-Accounts etc. für den Insolvenzverwalter eine „… immer größere Rolle ein“571). Um der nicht selten vorzufindenden Renitenz von Schuldnern, handelnden Organen im Hinblick auf insolvenzverfahrensrelevante Daten, letztlich aber auch BankrottDelikten wie § 283 Abs. 1 Nr. 5. (Veränderung von Handelsbüchern), Nr. 6. (Beiseiteschaffen/Zerstören von Handelsbüchern oder sonstigen Unterlagen) bzw. Nr. 7 (Bilanzmanipulation etc.) StGB dem gerichtlichen Auftrag entsprechend entgegnen zu können, soll der Insolvenzverwalter auch auf die Datenrekonstruktion durch entsprechende Dienstleister und auch per Zugänglich-/Nutzbarmachung ggf. gegen den Willen der o. g. Personen zurückgreifen können und fallbezogen auch müssen. „…Er [der Insolvenzverwalter] ist so vor Manipulation aber auch vor Sabotage gesichert…“572) Im Zusammenhang mit der schriftlichen bzw. digitalen Archivierung von Ge- 787 schäftsunterlagen durch Dritte heißt es bei Haarmeyer/Mock573) zutreffenderweise, dass bei der Auswahl durch den Insolvenzverwalter auf deren „fachliche Eignung … auf die Seriosität und Bonität abzustellen…“ ist, was vorausgesetzt werden kann, „… sofern das Archivunternehmen eine fachliche Eignungsprüfung seitens der Aufsichtsbehörde für Datenschutz absolviert hat und über ein zertifiziertes Qualitätsmanagement verfügt.“ Im Hinblick auf sensible Daten, wie z. B. bei Krankenhausinsolvenzen, soll es nach grundsätzlicher zutreffender Meinung der Literatur574) aus datenschutzrechtlichen Gründen angezeigt sein, auch Bank-, Telekommunikations- u. a. Akten ggf. ___________ 571) 572) 573) 574)
Haarmeyer/Mock, InsVV, § 4 Rn. 77. Dazu auch insgesamt Haarmeyer/Mock, InsVV, § 4 Rn. 52, 77 m. w. N. Haarmeyer/Mock, InsVV § 4 Rn. 50. Haarmeyer/Mock, InsVV, § 4 Rn. 54 m. w. N.
237
J. Datenschutzrechtliche Belange und die Vergütung des Insolvenzverwalters
sogar „… versiegelt … archivieren zu lassen, damit auch die Mitarbeiter …keine sensiblen Personendaten unberechtigt einsehen …“ können. 788 Letztlich ist der Insolvenzverwalter eines Schuldners bzw. schuldnerischen Unternehmens nach den Verwaltungsanweisungen des Bundesfinanzministeriums, den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)575) bzw. den seit 1.1.2015 geltenden Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)576) gehalten, die entsprechende Buchhaltung und steuerrechtlich relevante elektronische Daten und Papierdokumente unter Bezug auf die Grundsätze ordnungsmäßiger Buchführung zu archivieren und grundsätzlich für die nächsten zehn Jahre digital vorzuhalten. Damit soll die Verpflichtung einhergehen, in der Regel sämtliche Daten inkl. vorhandener Hard- und Software nach Vornahme der letzten Buchung lauffähig vorzuhalten bzw. in ein entsprechendes Archivsystem zu übertragen, sofern diese elektronische Buchhaltung in die Verfügungsmacht des Insolvenzverwalters übergegangen ist.577) II. Vergütungsrechtliche Einordnung 789 Die datenschutzkonforme Ausrichtung der Insolvenzkanzlei kostet unstreitig Geld. Die Überprüfung entsprechender Punkte, ggf. Einstellung eines Datenschutzbeauftragten für den schuldnerischen Betrieb können gar Insolvenzmasse kosten.578) 790 Wie vorstehende Ausführungen jedoch aufzeigen, ist der Insolvenzverwalter ebenfalls unstreitig fallbezogen in der Pflicht, sich neben seiner Kanzlei auch mit den schuldnerischen Daten zu befassen. Ebenso State of Art ist im Bereich Daten bzw. Datenschutz, dass er derartige besondere Aufgaben nach § 4 Abs. 1 Satz 3 InsVV – ggf. mit Begründungsaufwand gegenüber dem Insolvenzgericht (§ 8 Abs. 2 InsVV) bzw. der Gläubigergesamtheit – zulasten der Masse vertraglich an qualifizierte Dritte delegieren darf (Einzelheiten z. B. zur Auftragsverarbeitung siehe Rn. 320 ff.); sei es im Rahmen von Archivierungs- oder sog. Forensic-Services, sei es bei Einschaltung eines externen Datenschutzbeauftragten. Wie in anderen Bereichen gilt nämlich auch hier der Grundsatz, dass juristische Aufgaben delegiert werden dürfen, wenn ein Insolvenzverwalter, der nicht Anwalt ist, diese auch übertragen würde: Dies ist beim Datenschutz eindeutig der Fall. ___________ 575) BMF Schreiben v. 14.11.2014, https://datenbank.nwb.de/Dokument/Anzeigen/466914/ (Stand: 17.8.2020). 576) Siehe https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_ Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.pdf?__blob= publicationFile&v=12 (Stand: 17.8.2020). 577) Haarmeyer/Mock, InsVV, § 4 Rn. 79. 578) Woltersdorf, INDat Report 02/2018, 17.
238
II. Vergütungsrechtliche Einordnung
Darüber hinaus ist seit der BGH-Entscheidung v. 11.11.2004 (IX ZB 48/04) 791 geklärt, dass, wenn überprüfbar (§ 8 Abs. 2 InsVV) eine besondere Aufgabe i. S. v. § 4 Abs. 1 Satz 3 InsVV bzw. (entsprechend) § 5 Abs. 1/2 InsVV579) vorliegt, dies dem Insolvenzverwalter nicht zum (betraglichen) Nachteil der festzusetzenden Vergütung gereicht. Dies hat auch für die Daten/EDV zu gelten. Praxistipp: Nach Vorstehendem empfiehlt es sich für den Insolvenzverwalter bei dementsprechendem Verfahrens-, genauer Datenzuschnitt, zur Haftungsbeschränkung entsprechende (EDV-)Spezialisten zu beauftragen, und die o. g. gesetzlichen Voraussetzungen gegen eine sonst evtl. drohende Vergütungsminderung in Form der §§ 4f., 8 InsVV zu dokumentieren.
Im Bereich der Zuschläge i. S. v. § 3 InsVV indes sollen vorliegend mit Daten 792 i. w. S. ggf. mittelbar zusammenhängende Zuschlagstatbestände wie „Buchhaltung bzw. Rechnungswesen580)“, „unzureichendes Rechnungswesen“581) oder „mangelhafte Personalbuchhaltung“582) unbetrachtet bleiben. Mit Graeber583) können die zuvor genannten konkreten Tätigkeiten des Insolvenzverwalters von der Sicherung der schuldnerischen Daten bis hin zur Verwertung derselben im Rahmen der Veräußerung des schuldnerischen Unternehmens unter Beachtung der datenschutzrechtlichen Bestimmungen an sich prinzipiell unstreitig einen Zuschlag rechtfertigen – zugrunde gelegt jeweils die konkrete Zuordnung der datenschutzmäßigen Befassung mit dem jeweiligen Insolvenzverfahren. Dieser kann der Höhe nach für die adäquate Bearbeitung dieser Spezialmaterie584) durchweg 5 – 15 % betragen. Nach Auffassung der Autoren585) kann sich der Zuschlag insbesondere bei Unternehmen, deren Assets im Wesentlichen aus Daten bestehen oder/und wo ein umfassender Datenbestand oder/und ungeordneter bzw. unklarer Datenbestand vorliegt, in der Gesamtschau gar auf bis zu 20 – 25 % belaufen, was wie im Vergütungsbereich der (vorläufigen) Insolvenzverwaltung natürlich entsprechenden Begründungsaufwand für die Belastung mit dem „Datenhandling“ voraussetzt.586)
___________ 579) 580) 581) 582) 583) 584)
Dazu im Einzelnen Nerlich/Römermann-Weiß, § 63 Rn. 21 ff. m. w. N. Dazu Haarmeyer/Mock, InsVV, § 3 Rn. 100. Haarmeyer/Mock, InsVV, § 3 Rn. 83 m. w. N. Haarmeyer/Mock, InsVV, § 3 Rn. 81a m. w. N. Graeber/Graeber, InsVV, Rn. 34a u. 152a/b. Exemplarisch und nicht abschließend für die Handhabung von (Patent- oder/und Arbeitnehmererfinder-)Daten, Schaffung eines Verarbeitungsverzeichnisses für den schuldnerischen Betrieb oder/und TOM. 585) So auch Nerlich/Römermann-Weiß, InsO, § 63 Rn. 7. 586) Nerlich/Römermann-Weiß, § 63 Rn. 1 ff., a. a. O.
239
J. Datenschutzrechtliche Belange und die Vergütung des Insolvenzverwalters Praxistipp: Der Umstand, dass ein Schuldner als Betroffener einmal pro Jahr des Insolvenzverfahrens eine Anfrage z. B. nach Art. 15 ff. DSGVO stellt, dürfte an sich weder eine „Renitenz“, noch einen Zuschlag wegen damit einhergehender Befassung mit dem Datenschutz durch die Insolvenzkanzlei darstellen. Sie ist nach dem modernen Datenschutzrecht höchstpersönliches (Schuldner-)Recht auf u. a. eben diese Auskunft! Zu Recht: Sofern der Verantwortliche in der Insolvenzkanzlei die Prozesse vorhält, die eine fristgerechte und korrekte Beantwortung solcher Anfragen möglichst einfach ermöglicht. Bei einem allein aus Daten bestehenden Asset Deal dürfte in der Regel eine Vergleichsrechnung analog der anlässlich einer Betriebsfortführung grundsätzlich angezeigt sein. Zur ggf. anteilig zuschlagkürzenden Auswirkung der Delegation hat sich jüngst der BGH für den Bereich arbeitsrechtlicher Aufgaben geäußert.587)
___________ 587) BGH, Beschl. v. 12.9.2019 – IX ZB 1/17, ZInsO 2019, 2239.
240
K. Exkurs: Postsperre, InsO-App, Löschung von InsolvenzEinträgen, Nachlassinsolvenzen etc. In diesem Kapitel folgen einige, die bisherigen Ausführungen ergänzende Ex- 793 kurse mit datenschutzrechtlichem Bezug zu Insolvenzangelegenheiten. I. Der Datenschutz und die (Insolvenz-)Gerichte Zwischenzeitlich haben auch die Insolvenzgerichte die seit dem 25.5.2018 794 geltende Datenschutzrechtslage zur Kenntnis genommen. Nach praktischer Erfahrung der Autoren in unterschiedlichsten Ausprägungen: Es macht den Eindruck als gäbe es Gerichte, die kurz gefasst mangels Motivation derzeit dem Datenschutz (noch) keine große Aufmerksamkeit zu schenken scheinen. Damit scheint zu korrespondieren, dass sich auch die Insolvenzverwalter offenbar nicht trauen, eventuelle Überschneidungen zwischen Kanzlei und Insolvenzgericht anzusprechen. Dies wäre ob der unklaren Rechtslage in der Schnittmenge aus Insolvenz- und Datenschutzrecht aber sicherlich sinnvoll. Erst recht im Hinblick auf eine „moderne Insolvenzverwaltung“ wie letztlich bisher insgesamt aufgezeigt. Andere Gerichte, z. B. in Nordrhein-Westfalen, sind dazu übergegangen, ihre 795 Schreiben an Anwälte, Zeugen etc. bezüglich der Verarbeitung personenbezogener Daten in Rechtssachen zu ergänzen, und zwar unter Verweis auf eine entsprechende Internetseite588) der Justizbehörden. Dort wird der „Rechtssuchende“ informiert, wie die Justiz des Landes Nordrhein-Westfalen personenbezogene Daten in Rechtssachen verarbeitet (Informationen nach Artikel 13 und 14 der Datenschutz-Grundverordnung und § 55 Bundesdatenschutzgesetz). Mitunter fügen einzelne Gerichte in Nordrhein-Westfalen noch „eigene“, analoge Hinweisblätter zur Erfüllung ihrer Informationspflichten nach der DSGVO ihren Schreiben bei. Unter Verweis auf die vorgenannte Internetseite der Justizbehörden NRW wird u. a. darum gebeten, diese Informationen für den Fall einer Bevollmächtigung oder eines gesetzlichen Vertretungsverhältnisses an die Betroffenen weiterzugeben. Aufgrund der fehlenden Unmittelbarkeit der Information bzw. Belehrung und letztlich des potentiell harten Medienbruchs589) ist dies sicherlich keine optimale Lösung. Jedenfalls haben selbst diese Gerichte begonnen, mit personenbezogenen Daten insgesamt datenschutzkonform umzugehen. Die Justizbehörden in Hessen scheinen noch weiterzugehen. Beispielsweise 796 versendet das Insolvenzgericht Kassel mit seinen Schreiben an Gläubigervertreter, Schuldnervertreter und den Gutachter nunmehr ein explizites Hinweisblatt zum Datenschutz als Verantwortlicher für die Datenverarbeitung mit ___________ 588) Siehe https://www.justiz.nrw/Service/datenschutz/rechtssachen/index.php (Stand: 17.8.2020). 589) Dieser ist derzeit datenschutzrechtlich ebenfalls in der Diskussion.
241
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
Benennung des Zwecks der Datenverarbeitung.590) Der Zweck soll letztlich im öffentlichen Interesse bzw. der Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 Satz 1 lit. e) DSGVO) liegen. Weiterhin wird auf die Widerruflichkeit einer erteilten Einwilligung zur Datenverarbeitung, der Speicherungsdauer etc. hingewiesen. Letztlich folgt ein Hinweis, dass eine Weigerung der Bereitstellung bestimmter personenbezogener Daten für Parteien eines Rechtsstreits, Zeugen und Sachverständige etc. je nach Verfahrensrecht und mit Ordnungsgeld von bis zu 1.000 € nach § 111 OWiG bzw. Ordnungshaft geahndet werden kann. 797 Der in Hessen nicht vorhandene Medienbruch mit seinen datenschutzrechtlichen Risiken, und insbesondere der zuvor erwähnte Hinweis für den Fall einer Weigerung zur Bereitstellung personenbezogener Daten lassen das hessische Vorgehen am weitesten als datenschutzkonform erscheinen. II. Die Postsperre 798 Die insolvenzgerichtlich angeordnete Postsperre591) stellt eines der einschneidensten Zwangsmittel der Insolvenzordnung dar (§§ 20 Abs. 2 Nr. 5, 99, 101 Abs. 1 Satz 1 InsO). Sie wird in der Praxis – zu Recht – zurückhaltend angeordnet. Denn die Anordnung der Postsperre stellt einen schweren gerichtlichen Eingriff in das Grundrecht des Art. 10 Abs. 1, Abs. 2 Satz 1 GG dar.592) Letztere Norm gestattet eine Beschränkung des Post- (und Fernmelde-)geheimnisses durch Gesetz, vorliegend die o. g. insolvenzrechtlichen Vorschriften. In der Praxis werden wohl neben einer ultima ratio nicht anders „in den Griff zu bekommenden“ Renitenz des Schuldners593) bzw. schuldnerischen Organs auch andere eklatante Beeinträchtigungen der Gläubigerinteressen und insbesondere Vermögensverlagerungen Indikationen für die Anregung dieser Sicherungsmaßnahme sein. Der BGH verlangt darüber hinaus aber, dass die gerichtlich angeordnete Postsperre auch erforderlich und angemessen war, was besonders bei möglichst konkreten Anhaltspunkten für eine Gefährdung der Insolvenzmasse der Fall sein soll. Abstrakte Verdachtsmomente dürften nicht ausreichen.594) So die insolvenzrechtliche Betrachtung. 799 Vonseiten des Insolvenzverwalterbüros sollte in der praktischen Umsetzung einer per Gerichtsbeschluss angeordneten Postsperre allgemein eine gestei___________ 590) Nämlich der Verpflichtung der Justiz aus dem jeweils einschlägigen Verfahrensrecht. 591) Vgl. dazu Nerlich/Römermann-Kruth, InsO, § 90 Rn. 2. 592) BGH, Beschl. v. 12.10.2006 – IX ZB 34/05, NJW-RR 2007, 193; Kolmann, in: BeckOK InsO, § 99 Rn. 2. 593) BGH, Beschl. v. 12.10.2006 – IX ZB 34/05, S. 7 f. zum ausreichenden Anordnungsgrund der fehlenden Mitwirkung/Auskunft des Schuldners zu seinen Vermögensverhältnissen ggü. dem vorläufigem Insolvenzverwalter und auch dem Insolvenzgericht, NJW-RR 2007, 193. 594) BGH, Beschl. v. 22.10.2009 – IX ZB 49/08, NZI 2010, 260; dazu auch jüngst insgesamt erfreulich eindeutig AG Ludwigshafen, Beschl. v. 9.5.2016 – 3d IN 36/16, ZInsO 2016, 2352 (LS).
242
III. InsO-App: AG Rockenhausen
gerte Sorgfalt und insbesondere natürlich auch Rücksicht auf den Datenschutz an den Tag gelegt werden: Diese Post darf der (vorläufige) Insolvenzverwalter nämlich öffnen. Sofern er dies kanzleiintern delegiert, sollten diese Mitarbeiter zu entsprechend sensitivem Umgang angehalten werden. Dabei empfiehlt es sich zudem, auf qualifizierte und ggf. diesbezüglich abermals zur Verschwiegenheit verpflichtete Kanzleimitarbeiter zurückzugreifen.595) Darüber hinaus besteht nach § 99 Abs. 2 Satz 2 InsO die Verpflichtung, der Insolvenzverwalterkanzlei zugeleitete Post, die nicht die Insolvenzmasse betrifft, nicht nur an den Schuldner weiterzuleiten. Mangels verfahrens- oder vermögensrechtlichen Bezugs ist der vorläufige Insolvenzverwalter im Rahmen seiner Berichterstattung darüber hinaus auch gar nicht befugt, entsprechende Inhalte dem Insolvenzgericht mitzuteilen.596) Praxistipp: Wer unbefugt ein verschlossenes Schriftstück, das nicht zu seiner Kenntnisnahme bestimmt ist, öffnet, kann sich nicht nur datenschutzwidrig verhalten, sondern auch nach § 202 Abs. 1 StGB strafbar machen.597) Dem sollte in der Insolvenzverwalterkanzlei bei der Bearbeitung einer Postsperre per penibler Beachtung/Bearbeitung nachgekommen werden. Es empfiehlt sich zudem von Anbeginn an die (digitale) Dokumentation, von der Einweisung/ggf. gesonderter Verschwiegenheitsverpflichtung der Mitarbeiter für den konkreten Vorgang über den konkreten Eingang und dessen Behandlung, der Verwendung für Insolvenzverfahrensvorgänge, Berichte oder gar Rechtsstreite des Insolvenzverwalters bzw. die möglichst sichere Weiterleitung der Post598). Letztlich ist die Postsperre somit je nach Einzelfall ein Paradeanwendungsbeispiel (gerade bei digitaler Post) für die datenschutzrechtlichen Postulate der Datensicherheit/TOM599) bzw. Zugriffssicherheit und daneben der Datensparsamkeit, Anonymisierung bzw. Pseudonymisierung!
III. InsO-App: AG Rockenhausen Ein gerichtlich zutreffend entschiedener Sachverhalt zeigt auf, dass der Schutz 800 personenbezogener Daten ein mehr als sinnvolles (EU-)gesetzgeberisches Anliegen ist: Die inzwischen rechtskräftige600) Entscheidung des Amtsgerichts Rockenhausen601) hatte sich mit 26 Seiten recht umfassend mit einer App befasst. Die ___________ 595) 596) 597) 598) 599) 600)
So bereits Uhlenbruck-Zipperer, InsO, § 99 Rn. 14. AG Ludwigshafen, Beschl. v. 9.5.2016 – 3d IN 36/16, ZInsO 2016, 2353 f. AG Ludwigshafen, Beschl. v. 9.5.2016 – 3d IN 36/16, ZInsO 2016, 2353 m. w. N. Inhaltlich und auch edv-technisch. Für die kanzleieigene, ggf. aber auch schuldnerische EDV. Das Landgericht Kaiserslautern hat mit Beschl. v. 14.7.2017 – 1 S 116/16 die Berufung zurückgewiesen. 601) Dazu im Einzelnen Weiß, Recherche von Daten aus Insolvenzbekanntmachungen mittels Anwendungssoftware (sog. App) unterfällt dem Bundesdatenschutzgesetz (BDSG): „Achtung Pleite“, Anmerkung zum Urteil des AG Rockenhausen v. 26.7.2016 – 2 C 341/16, ZInsO 2017, 180.
243
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
entgeltliche Recherche von Daten aus den öffentlichen Insolvenzbekanntmachungen anhand einer App wurde dem BDSG602) unterworfen. Aufgrund der „Prangerwirkung“ der Anwendungssoftware (App) – ähnlich einem InternetRestaurantfinder wurden (vermeintlich) insolvente Personen durch „Fähnchen“ auf einer Karte angezeigt – ordnete das Gericht sie i. E. als unzulässig ein (§§ 823 Abs. 2, 1004 BGB i. V. m. 4 Abs. 1 BDSG). Die App verletze nämlich das Recht der Schuldner auf informationelle Selbstbestimmung (Art. 2 Abs. 1, Art. 1 Abs. 1 GG). Denn deren Besonderheit sei darin zu sehen, dass die Nutzer als Dritte die Insolvenzbekanntmachungen durch diese App nicht nur gezielt selektieren können. Vielmehr sei durch sie gar eine kartografische „Suche“ statt der bei https://www.insolvenzbekanntmachungen.de erforderlichen konkreten Recherche unter Angabe individueller Parameter wie Namen, Gerichtsaktenzeichen oder Gerichtsort möglich. Aufgrund dessen handele es sich bei den von der App letztlich angebotenen um veränderte Daten i. S. v. § 3 Abs. 4 Nr. 2 BDSG, was eine Interessenabwägung (siehe Rn. 329 ff.) nach § 29 Abs. 1 Satz 1 Nr. 1, Nr. 2 BDSG erforderlich mache. Als deren Ergebnis überwogen die Interessen der Verfügungskläger als Schuldner in anhängigen bzw. abgeschlossenen Verbraucherinsolvenzverfahren zum einen das Auskunfts- und Informationsrecht der App-Nutzer, zum anderen insbesondere die wohl insbesondere primär wirtschaftlichen Interessen der Anbieterfirma. 801 Daneben stand bereits grundsätzlich infrage, ob diese App – anders als http://www.insolvenzbekanntmachungen.de – auch Löschungsfristen einhält:603) Die Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekV604) normiert in § 2 Abs. 1 Nr. 3, dass Veröffentlichungen nur noch zwei Wochen nach dem ersten Tag der Veröffentlichung abgerufen werden können, und zwar, wenn die Abfrage den Sitz des Insolvenzgerichts und mindestens eine weitere Angabe wie den Familiennamen enthält. § 3 Abs. 1 normiert, dass spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens die entsprechenden Daten gar zu löschen sind (zum Löschungsanspruch nach aktuellem Datenschutzrecht siehe Rn. 464 ff.). 802 Doch darüber hinaus warf die App, z. B. allein durch Eingabe einer Postleitzahl, letztlich persönliche Informationen aller evtl. Betroffener wie den vollständigen Namen, Geburtsdaten, aber auch Einzelheiten zu deren Insolvenzverfahren und hinsichtlich des Verfügungsklägers zu 2. des zur Entscheidung führenden Verfahrens, einem Jurastudenten, sogar den Umstand aus, dass sich dieser derzeit in Haft befände!605) Letzteres ist nicht nur im Hinblick auf § 14 ___________ 602) 603) 604) 605)
244
Insgesamt Normen des BDSG alter Fassung. Siehe S. 6 Ziff. 1.1. der (Original-)Entscheidung. Siehe http://www.gesetze-im-internet.de/insobekv/ (Stand: 17.8.2020) und Anhang. Zum ähnlich sensiblen Thema eines Löschungsanspruchs betreffend Insolvenzeintragungen gegenüber Auskunfteien OLG Karlsruhe, Urt. v. 1.3.2016 – 12 U 32/16, ZInsO 2016, 973 m. w. N.
III. InsO-App: AG Rockenhausen
Abs. 2 Nr. 2 der Bundesrechtsanwaltsordnung mehr als heikel. Regelmäßig muss im Rahmen der Zulassung zu den Staatsexamina, der Anwaltszulassung oder gar Bewerbung bei einem Insolvenzgericht angegeben bzw. versichert werden, dass u. a. keine Strafverfahren anhängig waren oder sind. Zweifelsohne war und ist dem Rechts- und Wirtschaftsverkehr und somit der 803 Allgemeinheit das Recht zuzusprechen, sich vor Abschluss eines Vertrages oder zur zwangsweisen Durchsetzung von (Zahlungs-)Ansprüchen über die Bonität oder gar Zahlungsfähigkeit des jeweiligen Vertragspartners informieren zu können. Dazu gibt es etablierte Auskunfteien, Schuldnerverzeichnisse oder einfacher, da im Internet verfügbar, ggf. die URL https://www.insolvenzbekanntmachungen.de. Seinerzeit hatten jedoch bereits mehr als 1 Million Kunden die gegenständliche App verwendet. Offenbar verleitete deren konkrete Aufmachung diese jedoch statt zu Vorstehendem lediglich zu evtl. von Neugier getriebenen Recherchen „in der Nachbarschaft“ der anonymen AppNutzer. Diese Gerichtsentscheidungen dürften auch nach aktuellem Datenschutzrecht 804 Bestand haben, was sich allein aus Erwägungsgrund 39606) zu Art. 5 DSGVO bereits ableiten lässt. Dieser lautet auszugsweise: „Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. 2Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. … 6Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. 7Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. 8Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. 9Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. 10Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. 11Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. 12Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.“
Die obigen Hervorhebungen lassen im Abgleich zu den vorigen Ausführun- 805 gen zur Entscheidung des Amtsgerichts Rockenhausen leicht erkennen, warum eben diese Anwendungsapplikation – zurecht – datenschutzrechtlich unzulässig war und es auch heute wäre. ___________ 606) Siehe https://dsgvo-gesetz.de/erwaegungsgruende/nr-39/ (Stand: 17.8.2020).
245
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
IV. Kein vorzeitiger Löschungsanspruch gegenüber Auskunfteien wegen Insolvenzvermerken 806 Mit der Löschung einer Auskunftei-Eintragung war bereits das OLG Frankfurt/M.607) befasst. In der Vergangenheit waren im Rahmen anwaltlicher Mandate immer wieder Auskunfteien, aber auch Gerichte, mit der speziellen Problematik befasst, dass die Erteilung der Restschuldbefreiung nach den Vorschriften der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet608) öffentlich bekannt gemacht und ihrem „Auftrag“ entsprechend von Auskunfteien zutreffend als solcher Eintrag für in der Regel drei weitere Jahre gespeichert wurden. Im Geschäftsverkehr zeigte sich in tatsächlicher Hinsicht oftmals die Schwäche, dass die „Lesenden“ dieses gespeicherte Datum nicht zutreffend, nämlich „Aha, die Person ist restschuldbefreit!“, auslegten. Offenbar kam es für die betroffenen (Ex-)Schuldner als Mandanten vielmehr immer wieder zu Nachteilen im Geschäftsverkehr, da „Insolvenzvermerk eben Insolvenzvermerk ist“. Die Betroffenen begehrten daher nicht selten die unverzügliche Löschung entsprechender Einträge, hilfsweise deren Sperre. Einige Auskunfteien zeigten sich dahingehend (außergerichtlich) zugänglich. Andere nicht. Das OLG Karlsruhe609) kam zu dem Schluss, dass die Datenspeicherung über die Restschuldbefreiung nach § 29 Abs. 1 Nr. 2 BDSG a. F. zulässig sei. Insbesondere, da die Daten aufgrund der Internetveröffentlichung aus allgemein zugänglichen Quellen kommen und kein überwiegendes Interesse des Betroffenen, d. h. restschuldbefreiten Schuldners, an einem Ausschluss der „Verarbeitung“ bestehe. 807 Diese gesonderte einzelne Betrachtung bezüglich der Daten aus allgemein zugänglichen Quellen findet unter der Anwendung der DSGVO nicht mehr statt. Die im BDSG a. F. noch als rechtmäßig anzusehende Verarbeitung gemäß § 28 Abs. 1 Nr. 3 BDSG a. F. unter den dort genannten Voraussetzungen findet in der DSGVO und dem BDSG kein Gegenstück. Allerdings kann eine rechtmäßige Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gegeben sein für personenbezogene Daten aus allgemein zugänglichen Daten im Rahmen einer Interessenabwägung. Dies vor allem, da die Rechte des Betroffenen und die Gefahr sowie das Risiko für diese Rechte weit geringer einzuschätzen sind, wenn die personenbezogenen Daten bereits in einer anderen Quelle der Allgemeinheit zugänglich sind. 808 In dieselbe Richtung entschied i. E. das Landgericht Bonn610) sogar noch weitergehend: Dass der Schuldner seine Verbindlichkeit erst nach einer Mitteilung an die Schufa beglichen habe, begründe kein überwiegendes Interesse611) ___________ 607) 608) 609) 610) 611)
246
OLG Frankfurt/M., Beschl. v. 14.12.2017 – 3 U 141/15, ZD 06/2018, 270. Siehe http://www.gesetze-im-internet.de/insobekv/ (Stand: 13.8.2020). OLG Karlsruhe, Urt. v. 1.3.2016 – 12 U 32/16, ZInsO 2016, 973. LG Bonn v. 23.10.2019 – 1 O 322/19, ZD 03/2020, 161. Auch nunmehr abstellend auf Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 31 BDSG.
V. Schuldnerberatung i. S. v. § 305 Abs. 1 Nr. 1 InsO via Internet-Videokonferenz
seinerseits. Vielmehr sei die unzuverlässige Begleichung offener Forderungen für potentielle Kreditgeber berechtigterweise auch weiterhin von Interesse. Die Datenübermittlung an die Schufa sah das Landgericht Bonn daher als rechtmäßig an.612) V. Schuldnerberatung i. S. v. § 305 Abs. 1 Nr. 1 InsO via InternetVideokonferenz Ob die Beratung des Schuldners im Rahmen der Verbraucher-Insolvenzan- 809 tragstellung noch höchstpersönlich i. S. v. § 305 Abs. 1 Nr. 1 InsO ist, wenn sie zwischen Anwalt und Schuldner via Skype®613) – also von Smartphone bzw. Computer zu Smartphone bzw. Computer per Ton- und Bildübertragung – erfolgte, war insolvenzrechtlich lange umstritten. Diesbezüglich wurde beanstandet, dass die von § 305 Abs. 1 Nr. 1 InsO verlangte, letztlich durch den per Bildtelefonie beratenden Anwalt ausgestellte Bescheinigung nicht hinreichend ist, um dem Schuldner letztlich gerichtlich die Restschuldbefreiung zu gewähren. Zwischenzeitlich dürfte – insolvenzrechtlich betrachtet – in zutreffender Weise vertretbar sein, die Beratung anhand der Bildtelefonie ausnahmsweise als ausreichend zu betrachten: Die „Telefonierenden“ können sich wechselseitig ein Bild von dem jeweiligen Gegenüber und dessen Reaktionen oder gar dem Verständnis des Schuldners machen. Denn die Restschuldbefreiung setzt einen redlichen Schuldner voraus, der seine vormalige (Verschuldens-)Situation erkannt und überdacht hat – was der beratende und nach § 305 Abs. 1 Nr. 1 InsO bescheinigende Anwalt bzw. die sonstige Stelle üblicherweise im Rahmen persönlicher Präsenzberatung feststellen kann. Anders als bei der reinen Beratung mithilfe des Telefons, der E-Mail oder anderer unpersönlicher bzw. weniger interaktiver Kommunikationswege, kann die Beratung durch Skype® oder andere Internetdienste ausnahmsweise zulässig sein.614) Nun stellen sich hier datenschutzrechtlich, insbesondere aufgrund der Be- 810 treiber bzw. deren Nutzungsbedingungen aber folgende – nicht abschließende und hier nicht abschließend zu beantwortende – Bedenken bzw. Fragen: „… Nach den Nutzungsbedingungen von Skype® werden Chat-Protokolle auf den Servern von Microsoft® in den USA bis zu 90 Tage615) zwischengespeichert. Es findet demnach eine Datenübermittlung dorthin616) statt.
___________ 612) Aufgehoben durch Anerkenntnisurteil OLG Köln – 15 U 283/19; wie LG Bonn auch LG Wiesbaden, Urt. v. 21.2.2019 – 2 O 237/18, LSK 2019, 11490 trotz erfüllter Verbindlichkeit. 613) Eines der wohl verbreitetsten Programme, siehe https://www.turn-on.de/tech/topliste/ die-12-besten-apps-und-programme-fuer-videotelefonie-5307 (Stand: 27.10.2018). 614) LG Düsseldorf, Beschl. v. 20.6.2016 – 25 T 334/16, ZInsO 2016, 1703. 615) Anders das Postulat der unverzüglichen Löschung nach Wegfall des Erhebungsgrundes. 616) Die Einwilligung zur Datenverarbeitung zu diesem Zweck wird der Anwalt vermutlich nicht einholen.
247
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc. Nach den entsprechenden Datenschutzbestimmungen von Microsoft® erhebt, verarbeitet und nutzt auch Microsoft® personenbezogene Daten (Kommunikationsnutzerdaten). Also kann auch Microsoft® ebenso auf die Daten der Nutzerinnen und Nutzer von Skype zugreifen, diese offenlegen und aufbewahren….“617)
811 Zunächst wird an der Stelle eines klar: Auch im Internet ist nichts umsonst zu haben. Grundsätzlich „zahlen“ wir „unentgeltliche“ Dienste mit Daten – mit unseren oder auch unbewusst mit Daten Dritter, beispielsweise mit den Daten des Beratenen. Die Berliner Datenschutzbehörde hat in Ihrem Hinweis vom 3.7.2020, welcher aufgrund der Prüfung der gängigsten Videokonferenzsysteme erging, ein Großteil dieser Systeme als nicht datenschutzkonform eingestuft.618) Zugleich wurden auch Empfehlungen ausgesprochen, welche Systeme nach Ansicht der Behörde genutzt werden können. 812 Ganz abgesehen von der anwaltlichen Verschwiegenheit und der Vertraulichkeit des gesprochenen Wortes spricht insgesamt Vorstehendes in der Gesamtschau – bereits aufgrund der unterschiedlichen insolvenzrechtlichen und letztlich nur instanzgerichtlichen Auffassungen – eher gegen eine Nutzung von Internet-Telefoniediensten für die Schuldnerberatung. Jedenfalls sollte deren Nutzung – letztlich datenschutzrechtlich – eher ausnahmsweise und mit der erforderlichen Sorgfalt, insbesondere der entsprechenden Einwilligung619) des Beratenen zur Nutzung dieser Kommunikationswege erfolgen. VI. Urteil OLG Brandenburg vom 6.11.2019: Besitz und Eigentum an Daten bzw. Einsicht der Kanzlei in die Akten eines angestellten Insolvenzverwalters? 813 Das OLG Brandenburg hatte sich im Urteil vom 6.11.2019620) mit Insolvenzverfahrensakten, einer eventuellen Besitzstörung sowie dem Mitbesitz an Akten und letztlich der Geheimhaltungspflicht zu befassen. Bereits der Sachverhalt war – insbesondere für die Leserschaft dieses Buches – interessant: Die Verfügungsbeklagte war eine überörtliche anwaltliche Berufsausübungsgemeinschaft mit dem Betätigungsfeld „Insolvenzverwaltung“. Der Verfügungskläger war dort an einem der Standorte angestellt tätig und zunächst lief alles gut. Es bestand die Absprache, dass der Kläger zum Insolvenzverwalter bestellt würde, er resultierende Vergütungsansprüche an die Beklagte auszukehren habe. Daneben verpflichtete sich der Kläger, für zwei Verwalter Insolvenzverfahren zu bearbeiten. Die Berufsausübungsgemeinschaft hingegen war verpflichtet, ___________ 617) Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 116. 618) BlnBDI, Hinweise für Berliner Verantwortliche zu Anbietern von VideokonferenzDiensten, Version 1.0 v. 3.7.2020. 619) Mindestens per entsprechendem Passus in Mandatsvereinbarungen, wie man ihn zur E-Mail-Nutzung kennt, eben erweitert um die „Video-Telefonie“. 620) OLG Brandenburg – 4 U 123/19 (rkr.), BeckRS 2019, 27106; siehe auch ZD 3/2020, 157 mit Anmerkung Weiß, Johanne, S. 160 f. bzw. NZI 2020, 129 mit Anmerkung Mitlehner.
248
VI. Urteil OLG Brandenburg vom 6.11.2019: Besitz und Eigentum an Daten
ihm neben dem Gehalt die sachliche und personelle Infrastruktur zur Verfahrensbearbeitung zur Verfügung zu stellen und den Kläger im Innenverhältnis von einer Haftung freizustellen. Bis zur fristlosen Kündigung wurde Vorstehendes offenbar umgesetzt: Bestellungsbeschlüsse im Original, kopierte Gerichtsakten, Korrespondenz mit den Beteiligten, Insolvenztabelle und -buchhaltung etc. befanden sich in den für die Insolvenzverfahren geführten Akten. Letztlich verlangte die Beklagte als Ausläufer einer gesellschaftsrechtlichen Auseinandersetzung zwischen den Partnern von dem Kläger einen Überblick über die von ihm bearbeiteten Verfahren. Dieses lehnte der Kläger ab und legte stattdessen lediglich eine Verfahrensliste vor. In der Folge verweigerte der Kläger die Herausgabe der Akten, dem Kläger wurde letztlich gar ein Hausverbot erteilt. Die Beklagte kopierte daraufhin die Daten auf dem Server des betroffenen Standorts unter Widerspruch des Klägers. Es kam zu dem gerichtlichen (Verfügungs-)Verfahren. Es überrascht nicht, dass der Kläger seine Anträge auf Untersagung der Akten- 814 sicht, der Vervielfältigung und Auswertung, der Nutzung und Weitergabe – gleich in welcher Datenform – auf §§ 862 Abs. 1 i. V. m. 90 BGB stützte. In aktuellen Zeiten der DSGVO könnte zwar auch daran gedacht werden, statt dieser Besitzschutzvorschriften der §§ 860 ff. BGB auf Ansprüche etwa aus Art. 15 ff. DSGVO abzustellen. Ein vermutlich „schärferes“ Schwert? Die DSGVO normiert aber explizit keinen Anspruch auf Akteneinsicht. Sehr wahrscheinlich ist zudem bereits, dass der Kläger vermutlich nicht bzw. kaum als Betroffener i. S. v. Art. 4 Nr. 1 DSGVO einzuordnen ist. Dies wären vielmehr und überwiegend wahrscheinlich Dritte, deren personenbezogene Daten sich in den Akten befinden; kann es sich um solche doch bereits bei personifizierten E-Mail-Adressen von Unternehmen, ganz zu schweigen von Schuldnerdaten in IK-Verfahren oder personenbezogenen Daten im Bereich der Insolvenztabelle handeln. Ein dahingehendes datenschutzrechtliches Vorgehen seinerseits wäre daher vermutlich ins Leere gelaufen. Dennoch zeigt gerade diese OLG-Entscheidung, dass es Insolvenzverwalter- 815 kanzleien sowie dort tätigen Insolvenzverwaltern auch und aus datenschutzrechtlichen Gründen zu empfehlen sein kann, entsprechende Vorkehrungen zu treffen, und zwar in vertraglicher, aber auch EDV-Hinsicht, nämlich digitale, aber auch physikalische Daten betreffend. Der Entscheidung des OLG Brandenburg ist, was die zivilrechtliche Einord- 816 nung von Daten betrifft, i. E. beizupflichten. Elektronische Daten sind keine Sachen i. S. d. § 90 BGB, weshalb auch die Besitzschutzvorschriften schon gar keine Anwendung finden, und zwar auch nicht analog. Letzteres mangels damaligen technischen Stands und mangels Vergleichbarkeit zu eindeutig körperlichen Gegenständen i. S. v. § 90 BGB. Aber auch aktuell sähe unsere Rechtsordnung kein absolutes Recht an Daten, insbesondere kein Eigentum vor.
249
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
817 Exkurs: Dateneigentum Die Diskussion bezüglich des Eigentums an den Daten kann für die Betrachtung des Insolvenzverwalters dahinstehen. Nach hiesiger Ansicht ergibt sich eine etwaige Massezugehörigkeit der Daten nicht aus der Eigentumszuordnung, sondern aus einem Nutzungs- und Verwertungsrecht, ähnlich der Regelungen im Urheberrecht. Die personenbezogenen Daten beziehen sich unstreitig auf eine identifizierte oder identifizierbare Person und somit sind diese Daten hinsichtlich ihrer Aussagekraft und ihres Informationsgehalts auch dieser Person zuzuordnen. Ob man hier von Eigentum spricht kann dahinstehen. Der Insolvenzverwalter hat ggf. aufgrund der vorliegenden Tatsachen ein Nutzungsrecht oder gar ein Verwertungsrecht für diese Daten. Dies kann aber nur bestehen, wenn eine solches Nutzungs- oder Verwertungsrecht sich auf eine rechtmäßige Verarbeitung stützt. Sind folglich die Daten rechtmäßig erhoben worden und wurde somit ein Nutzungsrecht erlangt, kann – sofern datenschutzrechtlich zulässig – zugleich ein Verwertungsrecht bestehen, wenn diese Daten nach den Regelungen des Datenschutzrechts übertragbar sind. 818 Bei physikalischen Daten, also Akten und Unterlagen betreffend, verneinte das OLG Brandenburg indes eine Besitzstörung i. S. v. § 862 BGB durch das Verhalten der Beklagten: Die alleinige Einsichtnahme in Akten bzw. das Fertigen von Kopien reiche dazu per se nicht aus. Zudem haben Kläger und Beklagte Mitbesitz an den gegenständlichen Insolvenzakten, obwohl der Kläger „nur“ angestellter Rechtsanwalt sei, aber ein höchstpersönliches Amt als Insolvenzverwalter ausübe. Letzteres schließe aber auch nicht aus, dass die Daten von einem Insolvenzverwalter/Kläger in die Büroorganisation der Beklagten/ Sozietät eingebracht würden. 819 Im Hinblick auf das geltende Datenschutzrecht empfiehlt es sich also – natürlich vorbehaltlich einer konkreten Einzelfallbetrachtung, was die Vertragsverhältnisse zwischen Insolvenzverwalter und -kanzlei, die Datenstruktur und natürlich die -Infrastruktur in der Kanzlei betrifft – Vorkehrungen zu treffen. Letztlich könnte hierdurch ein Streit wie der nun rechtskräftig vom OLG Brandenburg entschiedene bereits ansatzweise verhindert, jedenfalls optimalerweise rasch und unstreitig aufgelöst und umgesetzt werden. Vorkehrungen können sein: x
Separierung der Daten auf den jeweiligen Servern, falls möglich nach Verfahren bzw. Verfahrensstadien sortiert, ggf. mit flankierenden bzw. gestaffelten Zugriffsmöglichkeiten auch für die einzelnen Fachabteilungen innerhalb der Kanzlei oder eben die Zentrale.
x
(Arbeits-)vertragliche Vereinbarungen hinsichtlich der Zugriffsberechtigungen auch für einen Ausscheidens- bzw. Streitfall bis hin zu entsprechenden Vereinbarungen über eine Auftragsverarbeitung nebst
250
VII. Das Nachlassinsolvenzverfahren
x
(edv-)technischer Vorkehrungen zur tatsächlich möglichst einfachen Umsetzung vor/während/nach einer Trennung von Insolvenzverwalter und Kanzlei. Und letztlich Schaffung eines Löschungskonzepts. Man denke nur an die datenschutzrechtlichen Postulate der Datensparsamkeit/Datenminimierung, das Recht auf Vergessenwerden u. v. m.
Wobei ausdrücklich darauf hinzuweisen ist, dass das OLG Brandenburg ge- 820 genüber der beklagten Kanzlei im Hinblick auf die Erhebung von Daten Dritter klargestellt hat, dass dies schon besitzschutzmäßig allein zur Berechnung und Durchsetzung ihres Vergütungsanspruchs erfolgen darf. Auch dies wäre im Rahmen der o. g. Listenpunkte aus Datenschutzgründen zu berücksichtigen. Insbesondere als auch der vom OLG Brandenburg angenommene Mitbesitz der Parteien – nicht nur vorsichtshalber – i. S. e. gemeinsamen datenschutzrechtlichen Verantwortlichkeit von Insolvenzverwalter und Kanzlei angenommen werden sollte. Praxistipp Datenmanagement durch den Insolvenzverwalter: Sofern das OLG Brandenburg festgestellt hat, dass es de lege lata kein Eigentum an Daten gibt, ein solches zwar in Diskussion stehe, aber auch die Arbeitsgruppe „Digitaler Neustart“ ein solches absolutes Recht nicht anerkennt, ist der Insolvenzverwalter letztlich bereits aus § 60 InsO gehalten, den Daten eines schuldnerischen Betriebes durch Inbesitznahme und Schaffung der sonstigen (edv-technischen) Vorkehrungen die zu verlangende Exklusivität im zuvor dargestellten Sinne zu verschaffen. Und natürlich auch Vorkehrungen zu treffen, dass diese (Schuldner-)Daten – anders als vom OLG Brandenburg angenommen – eben nicht „beliebig kopierbar“ sind.
VII. Das Nachlassinsolvenzverfahren: Bitte keine Einladung zur datenschutzrechtlichen Fahrlässigkeit! Unter Verweis darauf, dass Daten des Erblassers also keinen Schutz mehr nach 821 Datenschutzrecht genießen, könnte man meinen, in der Insolvenzverwalterkanzlei sei der Datenschutz bei der Bearbeitung eines Nachlassinsolvenzverfahrens beinahe zu vernachlässigen. Dies ist indes mitnichten so:621) Zum einen können und werden Daten Dritter, z. B. potenzieller Erben oder/und Arbeitnehmer in dem Betrieb des Verstorbenen, durch die Kanzlei vollständig datenschutzkonform zu behandeln sein. Zum anderen sind derartige Daten nach Erfahrungen aus der Praxis gerade in Nachlassinsolvenzverfahren auch quantitativ in fast erhöhtem Umfang zu erwarten. x
Mit den bisherigen Ausführungen aus diesem Praxisbuch sind derartige Fälle auch datenschutzkonform in den Griff zu bekommen. Ein paar Beispiele aus der Praxis sollen jedoch selbstredend, nicht abschließend aufzeigen, wo gerade in Nachlass-Insolvenzverfahren neuralgische Punkte
___________ 621) Siehe bereits allgemein Rott/Rott, NWB-EV 2013, 160 ff.; Weiß, DSGVO Praxishinweise zum Datenschutz in Nachlasssachen – Was muss der Mandatsträger bei der Herausgabe von Unterlagen an die Erben beachten? NWB-EV 2019/105.
251
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
auftreten können: Gerade aufgrund des primär privaten Bereiches sind digitale und physikalische Daten bereits zur Gutachtenabfassung zu sichten und im Anschluss durch den Insolvenzverwalter möglichst datenschutzkonform zu archivieren oder/und zu entsorgen. Praxistipp: Um Letzteres zu vereinfachen mag man aus der Insolvenzverwalterkanzlei geneigt sein, Angebote ehemaliger Angehöriger anzunehmen, die Daten an sich zu nehmen. Dass es sich hierbei gar um eine Auftragsvereinbarung handeln kann, sollte in Erinnerung behalten und berücksichtigt werden. Bevor Daten – insbesondere Ordner – dergestalt herausgegeben werden, sollte im Übrigen – jedenfalls kursorisch – gesichtet und sichergestellt werden, dass keine Daten fremder Dritter wie z. B. private Darlehensgeber nebst Adressen und Kontoverbindungen vorhanden sind. Im Zweifel empfiehlt sich hier die Lagerung und Vernichtung durch die Insolvenzverwalterkanzlei, bevor der Vorwurf eines Datenschutzverstoßes im Raum steht!
x
Hard- und Software sind ebenfalls häufig in Nachlassinsolvenzverfahren anzutreffen, ebenso Cloud- und sonstige Online-Zugänge (siehe dazu im Einzelnen Rn. 760 ff.). In diesem Zusammenhang stellen sich erfahrungsgemäß nicht selten Überschneidungen zu Themen wie „(Urheber-)Recht am eigenen Bild“ dar, wenn (Familien-)Fotos der letzten Jahrzehnte in den Besitz der Insolvenzverwalterkanzlei gelangen.
x
Vorstehendes gilt entsprechend für der Insolvenzverwalterkanzlei im Zuge der Ermittlungen von dritter Seite wie Pflege-/Krankeneinrichtungen, Familien- und Betreuungsgerichte oder gar Bestattungsunternehmen überlassene Daten, bei denen es sich um besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO handeln kann.622) Man denke hier als Quellen z. B an (Führungs-)Zeugnisse, letztwillige Verfügungen, Atteste, psychologische Gutachten u. v. m., mit denen auch personenbezogene Daten Dritter durch den Insolvenzverwalter weitergegeben werden könnten.
x
Im Rahmen der Gutachten-/Berichterstattung des Insolvenzverwalters an das Insolvenzgericht mag sich der Insolvenzverwalter oder sein Sachbearbeiter immer wieder an die Möglichkeit der Anonymisierung/Pseudonymisierung (vgl. ausführlich Rn. 229 ff.) erinnern: Nur wenn z. B. die vollständigen Namen der (ehemaligen) Erben für eine Entscheidung des Gerichts tatsächlich von Relevanz sind, sollten diese im Volltext angegeben werden. Was selbstverständlich erst recht gilt, wenn diese Dokumente vom Insolvenzverwalter an Dritte wie z. B. Gläubiger herausgegeben werden. Hier kann die datenschutzrechtliche Zulässigkeitsperspektive wechseln! Und sich der Insolvenzverwalter mit einer (späteren) Anonymisierung/Pseudonymisierung sinnvollerweise behelfen.
___________ 622) Vgl. Schwartmann/Jaspers/Thüsing/Kugelmann-Jaspers/Schwartmann/Mühlenbeck, Art. 9 Rn. 26 ff. m. w. N.
252
VII. Das Nachlassinsolvenzverfahren
Zusammenfassend ist festzuhalten, dass es sich in Nachlassinsolvenzverfah- 822 ren empfiehlt, insbesondere dem Grundsatz der Datensparsamkeit gerecht zu werden. Zudem sollte letztlich immer geprüft werden, ob die vorliegenden digitalen oder/und physikalischen Daten zusätzlich zu schützen sind, wenn es sich um Sozialdaten i. S. d. SGB, vom Steuergeheimnis geschützte Daten oder Telekommunikationsdaten etc. handelt. Auf die Grundsätze der Zweckerfüllung und Berechtigung zu einer evtl. Weitergabe soll an der Stelle abschließend verwiesen werden. Praxistipp: Das LG Freiburg/Br., Beschl. v. 13.3.2019 – 3 T 39/19623) hat übrigens im Insolvenzeröffnungsverfahren ein Zeugnisverweigerungsrecht des Erben (i. S. v. § 388 Abs. 1 Nr. 3 ZPO) im Nachlassinsolvenzverfahren im Ergebnis abgelehnt.
___________ 623) LG Freiburg/Br., Beschl. v. 13.3.2019 – 3 T 39/19, Zerb 2019, 122.
253
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei I. Videoüberwachung am Eingangsbereich Die Videoüberwachung beispielsweise im Eingangsbereich der Kanzlei oder 823 in deren Kanzleiräumen ist ein Punkt, der datenschutzrechtlich betrachtet werden muss. Hat man doch den Eindruck, dass die Überwachung per Video zunimmt und vermutlich in Zukunft noch mehr zunehmen wird. Einige Jahre zuvor bereits erließ der nordrhein-westfälische Landesdaten- 824 schutzbeauftragte (LDI-NRW) wegen eines relativ schweren Verstoßes ein Bußgeld i. H. v. insgesamt 64.000 € gegen den Autowaschstraßenbetreiber „Mr. Wash“.624) Das Unternehmen hatte Mitarbeiter und Kunden rechtswidrig mit Videokameras überwacht. Zudem war ein Datenschutzbeauftragter nicht bestellt. Letzteres wurde mit einer in der vorgenannten Gesamtbuße enthaltenen Sanktion i. H. v. 10.000 € geahndet. Insgesamt fiel der Sanktionsrahmen aufgrund der Kooperationsbereitschaft von „Mr. Wash“ und dem Umstand, dass der LDI von einem lediglich fahrlässigen Handeln ausgegangen ist – schon nach damaligem Datenschutzrecht –, recht milde aus. Beispiel: Durch eine Kameraattrappe liegt in der Regel keine Persönlichkeitsverletzung nach Art. 1 Abs. 1, 2. Abs. 1 GG, §§ 823 Abs. 1, 1004 Abs. 1 BGB in Ausprägung des Rechts auf informelle Selbstbestimmung vor. Das OLG Frankfurt/M.625) hat entschieden, dass dies nur anders zu ist, wenn ein sog. Überwachungsdruck626) von der Attrappe ausgeht. Diesbezüglich sei der Unterlassungskläger – vorliegend der Besitzer des betroffenen Nachbargrundstücks – beweisbelastet, was ihm in der zitierten Entscheidung nicht gelungen ist, weil weder Schwenkarm noch Steuerungsanlage der blinkenden Attrappen vorhanden waren.627) Die Videoüberwachung hat somit jedenfalls datenschutzkonform zu erfolgen. 825 Für die im Rahmen einer tatsächlichen Videoüberwachung erforderlichen Informationen ist eine Einzelfallbetrachtung erforderlich. Neben den üblichen Piktogrammen sollte die Kanzlei im Besonderen auch 826 auf Folgendes hinweisen: ___________ 624) Im Einzelnen dazu https://www.haufe.de/compliance/mrwash-muss-64000-eur-wegenunerlaubter-videoueberwachung-zahlen_230128_268740.html (Stand: 17.8.2020). 625) OLG Frankfurt/M., Beschl. v. 12.10.2017 – 3 U 195/16, ZD 7/2018, 313. 626) Durch grundsätzlich tatsächlich zur Bildaufzeichnung geeignetes Gerät, dazu ausführlich AG Detmold, Urt. v. 1.3.2018 – 7 C 429/17, ZD 07/2018, 319; weitergehend LG Hamburg, Urt. v. 18.1.2018 – 304 O 69/17, ZD 10/2018, 491 und LG Paderborn, Urt. v. 30.11.2017 – 3 O 182/17, ZD 05/2018, 225 f. 627) OLG Frankfurt/M., Beschl. v. 12.10.2017 – 3 U 195/16, ZD 7/2018, 314 f.
255
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei
x
Wer ist der für die Überwachung Verantwortliche? Wer ist der Datenschutzbeauftragte? Wie und wozu findet die Videoüberwachung statt? Für welche Zeiträume ist die Speicherung der Bilder vorgesehen? Wann erfolgt eine automatische Löschung?
x
Warum findet die Videoüberwachung statt (z. B. aus Sicherheitsgründen gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, § 4 BDSG)?
x
Welche Rechte hat der Betroffene (Widerspruchsrecht, Auskunfts- und Berichtigungsanspruch, Anspruch auf Sperrung bzw. Löschung etc.)? Ausnahmsweise, nämlich bei einer spezifischen Auswertungsabsicht bei besonderen personenbezogenen bzw. biometrischen Daten i. S. v. Art. 9 Abs. 1 DSGVO kann gar mit der Videoüberwachung eine Datenvereinbarung einhergehen, die nicht an Art. 6 DSGVO, sondern an Art. 9 Abs. 2 DSGVO zu messen sein kann.628)
II. E-Mail-Nutzung 827 Einleitend muss als Gegenstück zum Vorteil der leichten Handhabbarkeit von E-Mails bzw. deren Kostenersparnis im Vergleich zur digitalen Post in Erinnerung gerufen werden, dass die Rechtsprechung durchweg relativ schnell von einer zu unterlassenden Belästigung durch (Werbe-)E-Mails ausgeht. Beispielsweise hat das LG Frankenthal einem Rechtsanwalt nach Erhalt unaufgeforderter E-Mail-Werbung eines Finanzdienstleistungsunternehmens einen Unterlassungsanspruch eingeräumt. Grund war eine „… erhebliche, im Ergebnis nicht hinnehmbare Belästigung im anwaltlichen Berufsalltag…“.629) 828 Die E-Mail-Nutzung kann – nicht zuletzt aufgrund der leichten Manipulierbarkeit von E-Mails – aber auch spezifisch datenschutzrechtlich relativ schnell heikel werden. Exemplarisch darüber hinaus beispielsweise bei Verwendung personenbezogener E-Mail-Adressen im „cc“ bei „Rundmails“ u. v. m. Denn auch der E-Mail-Verkehr als solcher unterliegt denselben datenschutzrechtlichen Vorschriften wie alle anderen Kommunikationswege. Die Bekanntgabe von personenbezogenen Daten bzw. deren Übermittlung darf bekannter Weise zur Vermeidung eines Bußgeldes grundsätzlich nur mit Rechtmäßigkeit für die jeweilige Zweckerfüllung erfolgen, was bei dem o. g. Beispiel der Rundmail leicht nicht der Fall sein kann. Für die Versendung von Rundmails, aber auch für den Fall, dass mehrere Personen, z. B. bei einem Vertragsschluss im Umlaufverfahren, beteiligt sein sollten, empfiehlt sich dringend die Verwendung per sog. „bcc“. Mithilfe dieser „Blind-Carbon-Copy“-Funktion ist es den anderen Empfängern nicht möglich, die weiteren Empfänger zu identifizieren.
___________ 628) Dazu ausführlich Schneider/Schindler, ZD 10/2018, 463, 469. 629) LG Frankenthal, Urt. v. 10.7.2018 – 6 O 322/17, AnwBl. 11/2018, 619 (LS) m. w. N.
256
III. Unser geliebtes „besonderes elektronisches Anwaltspostfach“ beA
Die Kanzleimitarbeiter sollten im Rahmen der gesetzlich vorgeschriebenen Mit- 829 arbeiterschulung (ggf. durch den Datenschutzbeauftragten) auf diese Problematik hingewiesen und dahingehend sensibilisiert werden. Darüber hinaus besteht eine gesetzliche Verpflichtung zur gesonderten Ver- 830 schlüsselung von E-Mails grundsätzlich nicht. Bei der Verwendung von handelsüblichen E-Mail-Programmen findet eine Transportverschlüsselung zwischen den E-Mail Servern statt. Es gibt verschiedene stärkere Verschlüsselungsformen, wie z. B. die PKI-basierte E-Mail-Verschlüsselung, die aber ebenso einen gewissen Aufwand erfordert. Diese Arten der Verschlüsselung sollten in Betracht gezogen werden, wenn besonders sensible Daten versendet werden. Bei E-Mails unterscheiden sich die Löschungsfristen grundsätzlich nicht von 831 anderen Löschungsfristen. Das kann insbesondere bei in der Kanzlei eingehenden E-Mail-Bewerbungen virulent werden. Diesbezüglich und wegen E-Mails etc. wird im Einzelnen auf die Rn. 130 ff. verwiesen. Praxistipp: Sogenannte Datenschutz-Abbinder in E-Mails können sinnvoll sein, insbesondere wenn aus der Anwaltskanzlei auf eine eingehende E-Mail geantwortet wird. Denn mit der Antwort (per entsprechendem Button) erfolgt jedenfalls eine Verarbeitung der E-Mail-Adresse des ersten E-Mail-Absenders. Da es ein Leichtes ist, die in Anwaltskanzleien bereits üblichen E-Mail-Abbinder zur Haftung für den Fall der Fehlleitung etc. dahingehend zu ergänzen und zeitgleich die bestehenden Informationspflichten zu erfüllen, sollte dort ein Hinweis wie „… Die Datenschutzinformationen unserer Kanzlei finden Sie hier: https:// www.musterkanzlei.de/datenschutz…“ zusätzlich aufgenommen werden.
III. Unser geliebtes „besonderes elektronisches Anwaltspostfach“ beA „Die Zukunft hat schon begonnen“ zitiert und lautet die Einleitung zu Kapi- 832 tel D. beA und zentrales Anwaltsregister in der Festschrift 60 Jahre Bundesrechtsanwaltskammer.630) 20 Jahre später ist beA tatsächlich Realität in der Anwaltschaft, sei es bei der Kommunikation zwischen Berufsträgern, sei es in der Kommunikation von Anwälten mit Gerichten, auch Insolvenzgerichten angekommen. Bekanntlich gab und gibt es erhebliche „Startschwierigkeiten“, auch aus technischen Gründen.631) Mit Bezugnahme auf das vorgenannte kurze Kapitel zu (un-)verschlüsselten 833 E-Mails ist auch an den zum 1.1.2020 in Kraft getretenen § 2 BORA zu denken. Jedenfalls ohne die anwaltliche Verschwiegenheitspflicht zu verletzen, ___________ 630) Wolf, in: FS Gaier, 2019, mit ausführlicher Entstehungsgeschichte, S. 133 ff. 631) Siehe https://www.lto.de/recht/juristen/b/bea-anwaltspostfach-zeigt-nutzerstatusanwaltliche-pflicht-nutzung/ (Stand: 20.3.2020).
257
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei
können Anwälte unter bestimmten Voraussetzungen mit Mandanten gar unverschlüsselt kommunizieren – sofern der Mandant belehrt ist und zugestimmt hat (§ 2 Abs. 2 Satz 5/6 BORA). § 2 Abs. 2 Satz 1 u. 2 BORA öffnet aber den Anwendungsbereich des Datenschutzrechts! Selbst bei der o. g. in § 2 BORA implizierten Möglichkeit der Zustimmung des Mandaten zur unverschlüsselten Kommunikation mit seinem Anwalt, müssen die IT632)-Sicherheitsanforderungen der DSGVO eingehalten werden (§ 2 Abs. 5 BORA). 834 Nun also ein wenig technischer: Das besondere elektronische Anwaltspostfach betreffend ist die Bundesrechtsanwaltskammer zur Bereitstellung eines sicheren Verfahrens (§ 31a Abs. 3 BRAO) verpflichtet. Technisch ist streitig, ob hier eine sog. End-to-End-Verschlüsselung erforderlich ist. Nach dem AGH Berlin ist Letzteres nicht erforderlich. Das beA, so wie es die Bundesrechtsanwaltskammer zur Verfügung stelle, sei sicher.633) Zutreffend titelt Marnau634) jedoch „Sicher im Rechtssinne – Ist ein halbwegs sicheres beA sicher genug?“ Ihr ist zudem darin Recht zu geben, dass sicher „(k)ein Korridor…“ ist. Im Ergebnis ist also i. E. der Stand der Technik (Art. 32 DSGVO) das Maß der Dinge, auch das beA betreffend. 835 Aktuell und vorbehaltlich einer weiteren Entscheidung zu dem Thema bleibt für die Anwaltskanzlei als beA-Anwender einstweilen die Möglichkeit, soweit noch zulässig, auf Fax oder Brief abzustellen. Selbst wenn das beA indes in der derzeitigen technischen Ausprägung mangels Alternative und Verwendungsverpflichtung gewählt wird, ist bei der Anwendung an sich ebenfalls Sorgfalt an den Tag zu legen: Beispielsweise, wenn dem beA-Dokument eine falsche Anlage und insbesondere eine Anlage mit personenbezogenen Daten beigefügt wird! IV. „Kanzlei-Facebook“ 836 Nicht selten finden sich insbesondere in standort-/abteilungsübergreifenden (Kanzlei-)Einheiten Mitarbeiterverzeichnisse mit Fotos der jeweiligen Mitarbeiter, deren E-Mail-Adressen, ggf. Geburtsdaten, Anwesenheitsangaben bei Teilzeitkräften etc. Es ist außerdem nicht unüblich, neue Mitarbeiter den bisherigen Kanzleimitarbeitern per E-Mail oder im Kanzlei-Intranet anzukündigen. Das ist zwar nett gemeint und dient der Kommunikation, sollte aber datenschutzkonform praktiziert werden. Beispielsweise lauten bereits § 22 Satz 1 u. 2 KUG: „… Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als er-
___________ 632) Dazu Kallenbach/Lührig, Anwaltsblatt, https://anwaltsblatt.anwaltverein.de/de/news/ verschwiegenheit-neue-bora-norm-zu-e-mails-an-mandanten?full=1 (Stand: 21.3.2020). 633) Dazu (auch technisch) ausführlich AGH Berlin, Urt. v. 14.11.2019 – I AGH 6/18, https://bea.brak.de/wp-content/uploads/2019/11/AGH_Urt.-v.-14.11.2019_I-AGH_ 6-18.pdf (Stand: 21.3.2020). 634) Marnau, DATENSCHUTZBERATER 12/2019, 268.
258
V. Informationsblatt vor bzw. bei Mandatsübernahme teilt, wenn der Abgebildete dafür, daß er sich abbilden ließ, eine Entlohnung erhielt…“
Die aus Beweisgründen demnach bestenfalls schriftlich eingeholte Einwilligung 837 des neuen Kollegen ist ebenso obligatorisch wie der Hinweis an die Mitarbeiter, dass die ungenehmigte, ggf. auch nur teilweise Veröffentlichung, Vervielfältigung oder Veränderung etc. entsprechender Mitarbeiterverzeichnisse unzulässig ist und wenn überhaupt jedenfalls die schriftliche Einwilligung der Betroffenen voraussetzt. Zur Vermeidung von Wiederholungen wird wegen evtl. Ansprüche auf Berichtigung bzw. Löschung im Einzelnen auf die Rn. 461 ff. verwiesen. Praxistipp: Das OLG Hamm hat abstellend auf §§ 823, 253, 1004 BGB entschieden, dass nicht jede, sondern nur schwerwiegend Eingriffe und Beeinträchtigungen des mit dem Recht am eigenen Bild einhergehenden allgemeinen Persönlichkeitsrechts zur Zahlung eines immateriellen Schadensersatzes (siehe dazu Rn. 89) in Form einer Geldentschädigung führen.
V. Informationsblatt vor bzw. bei Mandatsübernahme Man muss sich vor Augen führen, dass das Datenschutzrecht keine Ausnahmen 838 für das besondere Tätigkeitsfeld einer Rechtsanwalts- oder Steuerberaterkanzlei vorsieht. In den Artt. 13, 14 DSGVO ist sehr umfangreich und katalogmäßig dargestellt, was der Gesetzgeber im Rahmen der Informationspflichten von jedem von uns bei der Erhebung personenbezogener Daten beim Betroffenen, also z. B. den Mandanten (Art. 13 DSGVO), oder bei der Erhebung von Daten bei Dritten wie Banken oder sonstigen Beteiligten (Art. 14 DSGVO) erwartet. Nun muss und sollte es sicherlich mit der Information nicht so weit gehen wie in einer Anwaltskanzlei, die „ein Band“ mit den entsprechenden Informationen laufen lässt, indem der Angerufene umfassend über seine Rechte und Pflichten nach dem Datenschutzrecht informiert wird. Erst dann wird mit ihm von der Rezeption persönlich gesprochen. Hier stellt sich bereits die Frage der Praktikabilität. Streng genommen müsste man jedoch z. B. denjenigen, der die Kanzlei ange- 839 schrieben hat und dessen Daten dann erhoben werden, informieren bevor dessen Daten in die Kanzlei-EDV aufgenommen werden. Natürlich lässt sich hier in Anwendung von Art. 13 Abs. 4 DSGVO die Kenntnis des Absenders zur entsprechenden Erfassung seiner Daten in der Software der Rechtsanwaltskanzlei unterstellen. Notwendig ist es (darüber hinaus) jedoch, Mandanten und auch Dritten vor bzw. mit der Aktenanlage bzw. Vollmachtsübersendung ein Informationsblatt zur Mandatsübernahme mit zu übersenden. Oder, wie es einige Kanzleien handhaben, die Informationen nach Art. 13 f. DSGVO sozusagen wie „AGB“ auf der Rückseite des Kopfbogens aufzubringen.
259
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei
840 Ein entsprechendes Muster findet sich im Kapitel O. unter Rn. 874. VI. WhatsApp und andere Messenger-Dienste 841 Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI)635) hat sich mit dem im Dezember 2017 verfassten 3. Tätigkeitsbericht zum Datenschutz im nicht öffentlichen Bereich zur Nutzung von WhatsApp geäußert, und zwar zur datenschutzrechtlichen Zulässigkeit einer Serviceleistung, die in einer Nordthüringer Apotheke angeboten wurde: Arzneimittelvorbestellung über WhatsApp! 842 Hierzu wurde ein Foto vom Rezept oder der Verpackung des bereits vorliegenden Medikaments gefertigt und unter Verwendung der Telefonnummer und des Namens des Bestellenden übermittelt. Vor allem bei Rezepten handelt es sich um besonders schützenswerte, personenbezogene Daten gemäß § 3 Abs. 9 BDSG a. F. (jetzt Art. 9 DSGVO), da Informationen zu den vorliegenden Krankheiten oder dem Gesundheitszustand des Bestellers abgeleitet werden können, so der TLfDI damals zu Recht aufgrund der besonderen Daten. 843 Weiterhin wird bei diesem Kunden-/Patientenverhalten z. B. aber auch die Telefonnummer als personenbezogenes Datum an WhatsApp und an den Apotheker übermittelt. Letzteres ist wahrscheinlich nicht das größte Übel. Analog würde hier aber auch mit dem Adressbuch des Anwalts auf seinem Smartphone umgegangen werden. Zusätzlich dazu wird bei der Nutzung dieses Messenger-Dienstes das hinterlegte Adressbuch des Nutzers, hier des Anwalts- oder Kanzleimitarbeiters, mit ausgelesen und alle diese Kontaktdaten ungefragt an WhatsApp übertragen und auf den Servern in Kalifornien/USA gespeichert. Eine entsprechende Einwilligung dazu dürfte niemand von uns vorliegen haben. 844 Letztlich hat auch das OVG Hamburg636) erhebliche Zweifel an der Rechtmäßigkeit einer WhatsApp-Nutzung geäußert; im Wesentlichen wegen der Frage einer rechtmäßigen Einwilligung und der i. E. überwiegenden Interessen der Betroffenen. 845 Zudem ist nach wie vor unklar, was im Ergebnis mit diesen Daten geschieht. WhatsApp erhält Kenntnis von den Metadaten wie IP-Adresse, Geräte-ID, Zeitpunkt und vielem mehr, was zur Erstellung von Nutzerprofilen verwertet werden kann und vermutlich auch wird. Das „Horrror-Szenario“ einer „gemeinsamen Verantwortlichkeit“ für das, was dort zwischen Rechtsanwalt und Facebook geschieht, mag man sich gar nicht vorstellen. 846 Wie das weitere Prozedere innerhalb der Apotheke aussieht, z. B. was das Löschen der übermittelten Fotos nach Empfang und Auswertung betrifft, ___________ 635) Siehe TLfDI, TB LfDI Thüringen 2016/2017, S. 375; siehe auch ZD-Aktuell 2018, 06003. 636) OVG Hamburg, Beschl. v. 26.2.2018 – 5 Bs 93/17, ZD 05/2018, 230, 233.
260
VI. WhatsApp und andere Messenger-Dienste
kann hier dahinstehen. Analog dieser Betrachtung müssen jedenfalls auch in der Anwaltskanzlei technisch-organisatorische Maßnahmen zur Datensicherheit getroffen, umgesetzt und eingehalten werden (ausführlich dazu siehe Rn. 222 ff.). Exkurs:
847
Jedenfalls so lange, wie „alternative“ Messenger-Dienste wie das aus der Schweiz stammende und angabegemäß datenschutzkonforme Threema in der Praxis kaum tatsächliche Alternativen sind: Im Zuge der Vorträge zu dem Thema Datenschutz in der Insolvenzverwalterkanzlei haben sich die Autoren Gedanken gemacht, ob und wie der Datenschutz in dem Bereich tatsächlich zu leben ist: Auf die Mitteilung, WhatsApp bitte zukünftig nicht mehr geschäftlich zu nutzen, erntete man mitunter nur ein müdes Lächeln der Kontakte bzw. Fragen wie „im Ernst?!?“. Nach Erwerb der entgeltlichen Threema637)-Lizenz stellte sich bald darüber hinaus Ernüchterung ein: Von ca. 500 WhatsAppKontakten hatten 12 Teilnehmer – das entspricht ganzen 2,4 Prozent (!) – den alternativen Messanger-Dienst zur Verwendung.638) In der Praxis also zu vernachlässigen – noch. Als Fazit kann man festhalten, dass die geschäftliche Nutzung von WhatsApp 848 datenschutzrechtlich jedenfalls nach wie vor bedenklich ist. Stand heute scheint sie mangels tatsächlich praktikabler Alternativen und trotz Bußgeld- und gar gerichtlich festgestellter Delikts-Risiken639) immer noch verbreitet. Ob sog. „Container-Lösungen“640) bis dahin vor datenschutzrechtlichen Sanktionen schützen, soweit per verschlüsseltem „Container“ Unternehmensinformationen geschützt und vom privaten Bereich auf dem Smartphone technisch getrennt werden, kann genauso wie die Frage, ob man mit oder ohne diese Lösungen gegen die WhatsApp-Nutzungsbedingungen verstößt, nur im Einzelfall beleuchtet werden. Praxistipp: Der Kanzlei ist, um „auf Nummer sicher zu gehen“ zu empfehlen, die Nutzung von Messenger-Diensten wie WhatsApp zu untersagen oder/und die Mitarbeiter anzuweisen, SMS oder ähnliche Dienste wie Threema zu verwenden.
___________ 637) Zu dieser Alternative und anderen Alternativen siehe https://praxistipps.chip.de/ stiftung-warentest-whatsapp-alternativen-im-datenschutz-test_27876 (Stand: 17.8.2020). 638) Etwa im Zeitraum Oktober 2018. 639) AG Bad Hersfeld, Beschl. v. 15.5.2017 – F 120/17, NJW-Spezial 2017, 710. 640) Dazu https://www.mittelstand-nachrichten.de/technologie/auswahl-einer-containerloesung/ (Stand: 17.8.2020).
261
M. Kurze Geschichte des Datenschutzes Die Entstehung und Entwicklung des Datenschutzes und der Gedanke, dass 849 von einer unberechtigten Nutzung der Daten eines Dritten Gefahren für diesen ausgehen können, hielt spätestens mit dem technologischen Fortschritt im Rahmen der automatisierten Datenverarbeitungsmöglichkeiten Einzug. Vorerst nur in der Politik und mündend in einer entsprechenden Gesetzgebung. Die Politik und Gesetzgebung agierte bereits lange bevor die Öffentlichkeit den nötigen Schutz des Betroffenen vor unberechtigter Verwendung seiner Daten erkannte. Der Datenschutz war Anfang der 60er Jahre in der Öffentlichkeit weitestgehend unbekannt. Es gab ihn letztlich aber bereits, weit vor der DSGVO und dem BDSG 2018. Dieses Kapitel hilft dem Leser auch retrospektiv zu verstehen, was mit „Da- 850 tenschutz“ an sich gemeint war – und letztlich darauf zurückgehend auch heute noch ist. Der Insolvenz-/Sanierungskanzlei, dem Rechtsanwalt, dem Berater, letztlich aber auch dem dort tätigen Dienstleister wie z. B. einem externen Datenschutzberater ermöglicht das vorliegende Kapitel somit, auch die Besonderheiten in der Schnittmenge aus Datenschutz- und Insolvenzrecht umfassender einzuordnen- und noch mehr Gespür für evtl. Probleme mit dem Datenschutz in der Insolvenzkanzlei zu entwickeln. Deshalb haben die Autoren entschieden, auch in der zweiten Auflage des Praxisbuches den Lesern die nachfolgende kurze Geschichte des Datenschutzes zur Verfügung zu stellen. Exkurs:
851
Der Begriff „Datenschutz“ ist in diesem Zusammenhang bekanntlich eher missverständlich. Sinn und Zweck des Datenschutzes ist und war nicht der Schutz von Daten, sondern der Schutz der Menschen hinter diesen Daten, der sog. Betroffenen. Dennoch hat sich der Begriff „Datenschutz“ auch international durchgesetzt. I. Die 60er und 70er Jahre Zunächst keimte der Gedanke des Schutzes der Daten in den USA auf, wo sich 852 die Computertechnik in den 50er Jahren des letzten Jahrhunderts für damalige Verhältnisse rasant entwickelte. Im Rahmen dieser Entwicklung wurde früh vor den Gefahren der zunehmenden Datenverarbeitung und Informationstechnik gewarnt.641) Diese Warnungen wurden jedoch wenig beachtet, da die Computertechnik zu diesem Zeitpunkt keine allgemein zugängliche Technik war, die der Gesellschaft, anders als heutzutage, nur in sehr beschränktem Maße zur Verfügung stand und somit deren Empfindungshorizont nur peripher tangierte. ___________ 641) Däubler/Klebe/Wedde/Weichert, BDSG, Einleitung Rn. 4.
263
M. Kurze Geschichte des Datenschutzes
853 Unter anderem plante die amerikanische Regierung in den 60er Jahren, ein Datenzentrum zu errichten, in dem Daten aller Bürger des Landes erfasst werden sollten, um so eine Verbesserung des staatlichen Informationsaustausches der Behörden zu erwirken. Das Vorhaben scheiterte und die Rufe nach gesetzlichen Regeln für den Umgang mit Daten wurden lauter. Nach der Maßgabe „lieber spät als nie“ wurden im Rahmen der Verabschiedung des Privacy Act im Jahr 1974 den Bundesbehörden Regeln auferlegt, die die Grundprinzipen des Datenschutzes bereits enthielten: Transparenz, Sicherheit, Erforderlichkeit. 854 Im Jahr 1970 verabschiedete das Land Hessen das erste allgemeine Datenschutzgesetz der Welt.642) Nachdem 1971 ein erster Referentenentwurf für ein Bundesdatenschutzgesetz (BDSG) vorgelegt wurde,643) kam es erst im November 1973 zu einer ersten Lesung im Deutschen Bundestag über einen Entwurf für ein Bundesdatenschutzgesetz, der eine Beratung von drei Jahren folgte. Bedingt durch viele Vorbehalte gegen ein entsprechendes Gesetz aufseiten der Vertreter der Privatwirtschaft und aus den Reihen der Repräsentanten der Verwaltungen, verabschiedete der Deutsche Bundestag ein Bundesdatenschutzgesetz erst am 10.6.1976. Das am 1.2.1977 im Bundesgesetzblatt verkündete BDSG trat am 1.1.1979 in Kraft.644) 855 Vordringlicher Zweck des Gesetzes war es, den Schutz der personenbezogenen Daten zu gewährleisten und Beeinträchtigungen der schutzwürdigen Belange der Betroffenen entgegenzuwirken (§ 1 Abs. I BDSG i. d. F. v. 27.1.1977). Es handelt sich dabei um eine Umschreibung des Begriffs des Datenschutzes, ohne dass dies als Legaldefinition zu verstehen ist.645) II. Die 80er Jahre und das Volkszählungsurteil 856 Anfang der 80er Jahre fanden sich in allen (damaligen) Bundesländern Datenschutzgesetze erstmalig vor. Grundlegendes Prinzip war insbesondere der Erforderlichkeitsgrundsatz, wonach nur solche personenbezogenen Daten verarbeitet werden durften, die für die Erledigung der gesetzlichen Aufgaben der Behörde eben benötigt wurden. Personenbezogene Daten durften zudem nur verarbeitet werden, wenn entweder ein Gesetz dies vorsah oder der Betroffene der Verarbeitung freiwillig zustimmte. Eine geplante Volkszählung wurde mit dem sog. Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 teilweise für verfassungswidrig erklärt. Das aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG abgeleitete „Recht auf informationelle Selbstbestimmung“ – befand das höchste Gericht – wird verletzt, wenn und soweit die betroffenen Bürgerinnen und Bürger nicht grundsätzlich selbst über die Verwendung ___________ 642) Gola/Schomerus-Gola/Klug/Körffer, BDSG, Einleitung Rn. 1. 643) Gola/Schomerus-Gola/Klug/Körffer, BDSG, Einleitung Rn. 1. 644) Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG) v. 27.1.1977 (BGBl. I S. 201). 645) Taeger/Gabel-Schmidt, BDSG, § 1 Rn. 5.
264
III. Die 90er und 2000er Jahre: Diverse Skandale, aber auch das Inkrafttreten der InsO
ihrer Daten bestimmen können. Aus diesem Transparenzgebot wurden und werden individuelle Auskunftsansprüche abgeleitet. Der Gesetzgeber wurde aufgefordert, Maßnahmen zu treffen, die das Grundrecht auf informationelle Selbstbestimmung bei der automatisierten Datenverarbeitung gewährleisten. Noch wichtiger aber: Bereits seit dem Jahr 1983 gibt es kein „belangloses Datum“ mehr!646) Überraschend also heute nicht nur der „Hype“ um die DSGVO bzw. das BDSG 2018, sondern die oft in der Praxis anzutreffende Auffassung nicht nur von Laien, dass es erst seit Mai 2018 ein Datenschutzrecht gebe. Dies ist wie aufgezeigt mitnichten so. III. Die 90er und 2000er Jahre: Diverse Skandale, aber auch das Inkrafttreten der InsO Die „Neuzeit des Datenschutzes“ zeichnete sich datenschutzrechtlich neben 857 neuen Gesetzen auch durch Skandale aus. 1. Gesetzgeberische Akte Am 24.10.1995 legte die Datenschutzrichtlinie 95/46/EG neue Maßstäbe fest. 858 Es gab keine grundsätzliche Unterscheidung mehr zwischen öffentlichen und nicht öffentlichen Stellen. Zudem wurden als verpflichtende Tätigkeiten bereits vor nunmehr rd. 25 Jahren die Risikoanalyse, Vorabkontrolle, Technikfolgeabschätzung und letztlich die Beteiligung der Datenschutzbeauftragten vorgeschrieben. Auf Grundlage der EG-Verordnung 45/2001 vom 18.12.2000 wurde mit dem Europäischen Datenschutzbeauftragten eine unabhängige Kontrollinstanz für den Datenschutz geschaffen und Ende des Jahres 2003 der erste Europäische Datenschutzbeauftragte gewählt. Die Änderung des BDSG und die damit erfolgte Umsetzung der EG-Datenschutzrichtlinie ist am 23.5.2001 in Kraft getreten. Seit 2009 ist der Datenschutz auch in der Charta der Grundrechte der EU implementiert, die am 1.12.2009 gemeinsam mit dem Inkrafttreten des Vertrages von Lissabon Rechtskraft erlangte. 2. Skandale vs. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Ein weiteres Urteil des BVerfG, genauer gesagt das vom 27.12.2008 (1 BvR 859 370/07, 1 BvR 595/07), postulierte das Erfordernis, dass staatliche Maßnahmen nur unter engen, gesetzlich ausdrücklich geregelten Bedingungen vorgenommen werden dürfen. Stichworte waren „Grundrecht auf Gewährleistung der Vertraulichkeit“ bzw. „Integrität informationstechnischer Systeme“. In einen gewissen zeitlichen Kontext fielen „Datenschutzskandale“ in Form von illegalem Datenhandel und ausufernder Mitarbeiterkontrolle.647) Hinzu kamen ___________ 646) Dazu insgesamt Kühling/Seidel/Sivridis, Datenschutzrecht, Rn. 151 ff. m. w. N. 647) Gola/Schomerus-Gola/Klug/Körffer, Einleitung Rn. 24.
265
M. Kurze Geschichte des Datenschutzes
„Datenschutzpannen“. Beispielsweise bei Unternehmen wie der Deutschen Bahn, LIDL, Beate Uhse, Telekom und vielen mehr.648) 3. Das Inkrafttreten der InsO 860 Zum 1.1.1999 ist die InsO in Kraft getreten (Art. 110 EGInsO); also inmitten der oben aufgezeigten Gemengelage (siehe Rn. 858) – jedenfalls chronologisch: Zur Ermöglichung einer effizienten Abwicklung des Insolvenzverfahrens649) normiert § 5 Abs. 4 Satz 1 InsO die Ermächtigung, Tabellen und Verzeichnisse innerhalb eines solchen Verfahrens maschinell herstellen zu können – immerhin, aber mehr auch nicht:650) Von „Konzeptionslosigkeit“ des Gesetzgebers über „Rückständigkeit“ sind die Kommentare zu dieser Norm bis hin zu „… überflüssig […] weil sie [die Norm] den unzutreffenden Eindruck erweckt, ansonsten sei der Einsatz elektronischer Datenverarbeitung nicht gestattet.“651) Offenbar zeigt sich hier der (technologische) Rückschritt der Justiz gegenüber der datenverarbeitenden Realität. Galt es mit dieser Norm kurz gefasst nur klarzustellen, dass sozusagen bürotechnisch Tabellen und Verzeichnisse jedenfalls nicht in Papierform652) durch den Insolvenzverwalter bereitzustellen sind. Die Frage der darüber hinausgehenden digitalen Kommunikation zwischen Gericht, Insolvenzverwalter und insbesondere Dritten als Ausprägung einer Form des Datenschutzes regelt diese insolvenzrechtliche Vorschrift bis heute nicht. Dies soll „… im größeren, über das Insolvenzverfahren hinausweisenden Zusammenhang zu klären…653)“ sein – also durch das Datenschutzrecht. So viel sei an der Stelle als kurzes Zwischenfazit gesagt. IV. Die Entwicklung des Datenschutzes seit 2009 bis heute 1. Weiterentwicklung BDSG 861 Im Jahre 2009/2010 wurde das Bundesdatenschutzgesetz geändert: Unter anderem wurden die Tätigkeit von Auskunfteien und das Scoring neu geregelt. Die Bestimmungen zum Adresshandel wurden in § 28 BDSG a. F. geändert. Bereits vor nunmehr rund zehn Jahren normierte der Gesetzgeber im Hinblick auf einen Datenschutzbeauftragen einen weitestgehenden Kündigungsschutz und dessen Anspruch auf Fortbildung. Die Informationspflich___________ 648) Vgl. z. B. https://de.wikipedia.org/wiki/Lidl#Datenschutz (Stand: 17.8.2020) und https://www.welt.de/wirtschaft/article3107270/Der-raetselhafte-Datenskandal-derDeutschen-Bahn.html (Stand: 17.8.2020). 649) Nerlich/Römermann-Becker, § 5 Rn. 54 m. w. N. 650) Weiteres überlässt der Gesetzgeber der InsO in den § 5 Abs. 4 Satz 1 – 4 den Landesregierungen bzw. Landesjustizverwaltungen. 651) Nerlich/Römermann-Becker, InsO, § 5 Rn. 54 ff. 652) Relativ ausführlich zur Voraussetzung schriftlicher Dokumente bzw. deren elektronischer Kommunikation Nerlich/Römermann-Becker, InsO, § 5 Rn. 59 m. w. N. 653) Relativ ausführlich zur Voraussetzung schriftlicher Dokumente bzw. deren elektronischer Kommunikation Nerlich/Römermann-Becker, InsO, § 5 Rn. 59 m. w. N.
266
IV. Die Entwicklung des Datenschutzes seit 2009 bis heute
ten wurden in § 42a BDSG a. F. normiert und Bußgelder erhöht – wobei der damalige Sanktionsrahmen von immerhin bis zu 50.000 € (§ 43 Abs. 3 Satz 1 BDSG a. F.) offenbar im Gegensatz zu heute nicht ausreichte, um hinreichend Publizität auch über den Kreis der Datenschützer bzw. Datenschutzrechtler hinaus herbeizuführen. Die verhängnisvollen Geschehnisse um den 11.9.2001 herum führten zur Be- 862 fassung mit der Vorratsdatenspeicherung, national sowie international.654) 2. Die DSGVO und das BDSG 2018 Nach Jahren intensiver Diskussion um die Reform des europäischen Daten- 863 schutzrechts trat im April 2016 bereits die Datenschutz-Grundverordnung – Verordnung (EU) 2016/679 – in Kraft. Volle Wirksamkeit entfaltete sie zum 25.5.2018.655) Die Verordnung gilt unmittelbar und einheitlich in allen Mitgliedstaaten und 864 soll als Ausläufer einer „echten Vollharmonisierung des europäischen Datenschutzrechts656)“, insbesondere in grenzüberschreitenden Fällen, eine einheitliche Anwendung der Datenschutzvorschriften in der EU gewährleisten. Ihr Ziel ist es mithin, sowohl ein einheitliches Datenschutzniveau zu erreichen als auch den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten. Beispiel für Änderungen bzw. Neuerungen sind exemplarisch der Schadenser- 865 satz- bzw. Schmerzensgeldanspruch für Verbraucher bei Verstößen, die immaterielle Schäden verursacht haben (Art. 82 Abs. 1 DSGVO); die umfassende Normierung der Vorschriften zum Datenschutzbeauftragten in den Art. 37 ff. DSGVO; die mit der Rechenschaftspflicht nach Art. 5. Abs. 2 DSGVO letztlich einhergehende Beweislastumkehr, der man als Verantwortlicher, insbesondere durch entsprechende Dokumentation, nachkommen kann.657) Last but not least wurde aus dem BDSG a. F. mit seinerzeit 48 Regelungen 866 ein „neues“ Bundesdatenschutzgesetz mit nunmehr 85 Vorschriften – die teilweise nicht in Einklang mit der europäischen Datenschutz-Grundverordnung stehen. Bereits dies verdeutlicht, warum Kritiker von einem anwenderunfreundlichen Gesetz sprechen. Schwerer wiegen jedoch die zahlreichen Verweisungen im BDSG 2018 (auch) auf die DSGVO. Sie machen das deutsche Umsetzungsgesetz sehr komplex und nur schwer nachvollziehbar.
___________ 654) Dazu ausführlich Kühling/Seidel/Sivridis, Datenschutzrecht, Rn. 108 ff. m. w. N. 655) Unter anderem zum Gesetzgebungsverfahren Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 5. 656) Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 2. 657) Dazu ausführlich Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 5 DSGVO Rn. 52 m. w. N.
267
M. Kurze Geschichte des Datenschutzes Praxistipp: Im Internet658) finden sich sinnvolle Synopsen der DSGVO, des BDSG 2018 sowie des BDSG a. F., teilweise mit hilfreichen Erwägungsgründen. Weiterhin gibt z. B. die GDD (Gesellschaft für Datenschutz und Datensicherheit e. V.) für den betrieblichen Datenschutzbeauftragten und andere Verantwortliche ein solches Heft heraus, aber auch äußerst nützliche Arbeits-/Praxishilfen etwa zur Transparenzpflicht.659)
___________ 658) Exemplarisch, nicht abschließend und ohne Aussage zur Güte des Angebots siehe https://www.compliance-net.de/node/178 (Stand: 17.8.2020) und http://rsw.beck.de/ CMS/?toc=ZD.root&docid=328504 (Stand: 17.8.2020). 659) Siehe https://www.gdd.de.
268
N. Fazit Das ZRI Praxisbuch hat zusammenfassend aufgezeigt, dass eine Sensibilität im 867 Umgang mit Daten bzw. EDV nicht nur nötig, sondern auch möglich ist. Dies wird sicher für die Insolvenzkanzlei wie für andere „Unternehmen“ auch nicht einfach werden, insbesondere aufgrund der Ausprägung des Amtes des Insolvenzverwalters und dem damit einhergehenden Bezug bzw. Kontakt zu einer Vielzahl von Daten in der Kanzlei, beim Schuldner und im Betrieb. Ähnlich wie – inzwischen – für uns üblichere Problemfelder wie „Schrottimmobilien“, insbesondere aber dem Insolvenzsteuerrecht, werden Insolvenzkanzleien sich mit jedem datenschutzkonformen Schritt immer mehr an den Datenschutz gewöhnen und ihn recht bald schon als Erweiterung bzw. zusätzliche Säule des Qualitätsmanagement (er-)leben und fortschreiben,660) das Rechtsgebiet gar mit fortentwickeln. Hierbei handelt es sich nicht um die Auffassung von Datenschützern oder 868 den Autoren dieses ZRI Praxisbuches, die sich seit geraumer Zeit in Theorie und Praxis mit der Sondermaterie „Datenschutz in der Insolvenzkanzlei“ befassen und befassen werden. Woltersdorf hat in seinem Beitrag im INDat Report661) einige renommierte (Insolvenz-)Praktiker zu Wort kommen lassen. Er resümiert zutreffend: „… 3. Die EU-Vorgaben sind in die Spezifika der Insolvenzverwaltung und deren Abläufe, in die der Datenschutz hineinwirkt, zu implementieren. Das sind vor allem das Gläubigermanagement, die Auftragsverarbeitung und der Asset Deal…“.
In diesem Sinne: Viel Spaß und Erfolg mit dem Datenschutz in der Insolvenz- 869 kanzlei!
___________ 660) Woltersdorf, INDat Report 02/2018, 12 führt zu Recht zum Datenschutzmanagementsystem aus: „Ist ein solches System allerdings installiert, sind die Herausforderungen durch die DSGVO händelbar.“. 661) Woltersdorf, INDat Report 02/2018, 11.
269
O. Muster und Formulierungsvorschläge Herr Kollege Härting hat es treffend ausgedrückt: „Nach dem neuen Recht gibt es keine Zweifel mehr, dass – auch bei mandatsbezogenen Daten, sofern sie Bezug zu einer natürlichen Person haben – das Datenschutzrecht in seiner ganzen Härte gilt, ob uns Anwälten das gefällt oder nicht.662) […] Der Datenschutz bekommt durch drakonische Bußgelder Zähne – und das ist vom Gesetzgeber beabsichtigt.“663)
870
Es gilt, auch in der Insolvenzkanzlei soweit wie möglich vorzubeugen. Zwei- 871 felsohne empfiehlt sich für die Kanzlei-Bibliothek mitunter die Anschaffung eines Formularbuches oder von Mustern mit Erläuterungen. Einige Muster bzw. Formulierungsvorschläge speziell zu den in diesem ZRI Praxisbuch abgehandelten Themen werden in diesem Kapitel wiedergegeben. Bei den Mustern handelt es sich um Empfehlungen und Vorschläge ohne den Anspruch, dass diese Zustimmung bei den Aufsichtsbehörden finden. Insbesondere bezüglich der Muster zu Einwilligungen von Mitarbeitern sei auf die Ausführungen zu Rn. 491 ff. verwiesen. Hinweis: Es handelt sich hierbei um Muster und Vorschläge, die mit größter Sorgfalt erstellt wurden. Bitte beachten Sie, dass diese Muster und Vorschläge unverbindliche Empfehlungen darstellen und in den konkreten Einzelfällen dem Sachverhalt entsprechend ggf. geändert bzw. ergänzt werden müssen. Im Übrigen ist dringend auf Aktualität im Hinblick auf Literatur und Rechtsprechung zu achten. Diese ist nach wie vor im Fluss.
Darüber hinaus finden sich zu diesen, aber auch anderen Vorgängen, die in der 872 Insolvenzkanzlei auftreten können, recht hilfreiche Vorlagen im Internet.664) Daneben gibt es auch erste Zugriffsmöglichkeiten für Kanzlei und Schuldnerbetrieb durch Vorlagen und Handreichungen von Datenschutzbehörden etc.665) Damit verfügt man jedenfalls über eine nicht unkritische und auf den konkreten Einzelfall anwendbare Vorlagenidee. I. Muster Auftragsverarbeitungsvereinbarung Unter folgenden ausgewählten Internetadressen werden Muster für eine Auf- 873 tragsverarbeitungsvereinbarung verschiedener Organisationen zur Verfügung gestellt, die auf den jeweils vorliegenden Sachverhalt entsprechend angepasst werden können: x
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): https://www.lda.bayern.de/media/muster_adv.pdf (Stand: 17.8.2020)
___________ 662) Henke/Lührig/Härting, AnwBl. 5/2018, 263, 264. 663) Henke/Lührig/Härting, AnwBl. 5/2018, 263. 664) Ohne Anspruch auf Vollständigkeit bzw. Aussage zur Güte der Vorlagen z. B. https:// anwaltverein.de/de/praxis/datenschutz (Stand: 17.8.2020). 665) Siehe u. a. https://www.lda.bayern.de/de/orientierungshilfen.html (Stand: 17.8.2020).
271
O. Muster und Formulierungsvorschläge
x
Bundesverband Informationswirtschaft Telekommunikation und neue Medien e. V.: https://www.bitkom.org/sites/default/files/file/import/170515Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf (Stand: 17.8.2020)
x
Landesbeauftragte für Datenschutz Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/ 2018/01/muster_adv.pdf (Stand: 17.8.2020)
x
Landesbeauftragte für den Datenschutz Niedersachsen: https://www.lfd.niedersachsen.de/download/127630 (Stand: 17.8.2020)
x
Gesellschaft für Datenschutz und Datensicherheit (GDD): https://www.gdd.de/arbeitskreise/datenschutz-und-datensicherheit-imgesundheits-und-sozialwesen/materialien-und-links/auftragsverarbeitungsmustervertrag-fuer-das-gesundheitswesen (Stand: 17.8.2020)
272
II. Muster Informationspflichten gemäß Artt. 12 ff. DSGVO
II. Muster Informationspflichten gemäß Artt. 12 ff. DSGVO 874
273
O. Muster und Formulierungsvorschläge
III. Einwilligung zur Nutzung von Fotoaufnahmen und zur Weitergabe personenbezogener Daten 875
274
IV. Einwilligung Mitarbeiter zu Fotoaufnahmen für die Webseite
IV. Einwilligung Mitarbeiter zu Fotoaufnahmen für die Webseite 876
275
O. Muster und Formulierungsvorschläge
V. Muster Verzeichnis der Verarbeitungstätigkeiten 877 Unter folgenden ausgewählten Internetadressen werden Muster für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verschiedener Organisationen zur Verfügung gestellt, die auf den jeweils vorliegenden Sachverhalt entsprechend angepasst werden können: x
Deutscher Anwaltverein e. V.: https://anwaltverein.de/de/praxis/datenschutz (Stand: 17.8.2020)
x
Landesbeauftragte für Datenschutz und Informationsfreiheit NordrheinWestfalen: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Hinweis-und-Muster-zumneuen-Verzeichnis-von-Verarbeitungstaetigkeiten/Hinweis-und-Muster-zumneuen-Verzeichnis-von-Verarbeitungstaetigkeiten.html (Stand: 17.8.2020)
x
Landesbeauftragte für Datenschutz Niedersachsen: https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/verzeichnis_ von_verarbeitungstatigkeiten/verzeichnis-von-verarbeitungstatigkeiten179665.html (Stand: 17.8.2020)
x
Gesellschaft für Datenschutz und Datensicherheit (GDD): https://www.gdd.de/downloads/praxishilfen/ph-va-muster-zum-verzeichnisfuer-verarbeitungstaetigkeiten-vvt/view (Stand: 17.8.2020)
276
P. Gesetze und Rechtsprechung Die wesentlichen Gesetze bzw. Verordnungen, einige der erwähnten Urteile, 878 daneben Übersichten und Arbeitshilfen helfen dem Leser dieses ZRI Praxisbuches ergänzend, sich über das Buch hinaus in die Materie des Datenschutzes in der Insolvenzkanzlei einzufinden. Näheres siehe im Anhang. Auch Entscheidungen von Aufsichtsbehörden und deren Beweggründe un- 879 terstützen den Anwender bei der Beantwortung der datenschutzrechtlichen Fragestellungen. Praxistipp: Hilfreiche Synopsen zum „alten und neuen“ Recht, aber auch zur DSGVO sowie zum BDSG 2018 nebst korrespondierender Erwägungsgründe finden sich im Internet.
Rechtsprechung 880
OVG Lüneburg, Beschl. v. 22.7.2020 – 11 LA 104/19 (Übermittlung von Daten per Fax kann rechtswidrig sein) EuGH, Urt. v. 16.7.2020 – „Schrems-II“ C-311/18 (Privacy Shield Beschluss ungültig) OLG Stuttgart, Urt. v. 27.2.2020 – 2 U 257/19 (Abmahnung: DSGVO auch Marktverhaltensregeln) LG Heidelberg, Urt. v. 21.2.2020 4 O 6/19 (Auskunftsanspruch gemäß Art. 15 DSGVO gegen einen Insolvenzverwalter) EuGH, Urt. v. 1.10.2019 – „Planet49“ C 673/17 (Einwilligung bei dem Setzen von Cookies) OLG Dresden, Beschl. v. 11.6.2019 – 4 U 760/19 (Löschungsanspruch auf einem sozialen Netzwerk veröffentlichter Beitrag) LG Köln, Urt. v. 19.6.2019 – 26 S 13/18 (Reichweite des Datenauskunftsanspruches) LG Stuttgart, Beschl. v. 15.2.2019 – 12 O 33/19 (Insolvenzverwalter als öffentliche Stelle i. S. d. DSGVO) LG Frankfurt/M., Urt. v. 20.12.2018 – 2-05 O 151/18 (Vorzeitige Löschung eines Schufa-Eintrages) LG Leipzig, Urt. v. 24.10.2018 – 05 O 2873/17 (Übertragung Kundendaten im Insolvenzverfahren) OLG München, Teilurt. v. 24.10.2018 – 3 U 1551/17 (Auskunft über Abnehmers eines Krans mit Anschrift, Vertragsdatum, Typ, Kaufpreis und Vergütung) LG Frankfurt/Main, Urt. v. 13.9.2018 – 2-03 O 283/18, JurionRS 2018, 34422 (§§ 22 f. Kunsturhebergesetz (KUG) anwendbar i. R. v. Art. 6 Abs. 1 lit. f) DSGVO)
277
P. Gesetze und Rechtsprechung BGH, Urt. v. 12.7.2018 – III ZR 183/17, juris (Digitaler Nachlass) EuGH, Urt. v. 5.6.2018 – C-210/16, Curia-Dokumente (Facebook Fanpage) AG Brandenburg, Urt. v. 31.1.2018 – 31 C 212/17, ZD 06/2018, 277 (Kein Arbeitgeberzugriff auf gemischt genutzten Facebook-Account) OLG Frankfurt/M, Urt. v. 24.1.2018 – 13 U 165/16 (Unwirksamkeit des Verkaufs von Adressdaten durch den Insolvenzverwalter einer Adresshandelsfirma wegen fehlender Einwilligung der Adressinhaber) VG Karlsruhe, Urt. v. 6.7.2017 – 10 K 7698/16, BB 2017, 2449 (Datenschutzgrundverordnung, an Auskunftei gerichtete datenschutzrechtliche Verfügung) AG Rockenhausen, Urt. v. 9.8.2016 – 2 C 341/16, ZD 2017, 84 (m. Anm. Heyer) (App zu Insolvenzbekanntmachungen) LAG Köln, Urt. v. 12.1.2015 – 5 Sa 873/14, BeckRS 2015, 66721 (Datenschutzbeauftragter, Teilkündigung) OLG Köln, Urt. v. 17.1.2014 – 6 U 167/13, NJW 2014, 1820 (Unzulässige Datenverwendung zur Mandatsakquise Anlegerbrief) LAG Berlin-Brandenburg, Urt. v. 15.10.2013 – 3 Sa 567/13, BeckRS 2015, 73367 (Betriebsübergang, Datenschutzbeauftragter)
278
Q. Erwägungsgründe DSGVO Die der DSGVO beigefügten Erwägungsgründe – insgesamt 173 – dienen der 881 besseren Auslegung der Rechtsnormen. Sie zeigen dem Anwender auf, welche Gedanken und Überlegungen zum Erlass der DSGVO geführt haben. Darüber hinaus enthalten die Erwägungsgründe auch politische Grundsätze und Absichten des Gesetzgebers und sollen zum besseren Verständnis beitragen. Nachfolgend ein Überblick über die im ZRI-Praxisbuch explizit besprochenen 882 Erwägungsgründe:666) Erwägungsgrund 26 Keine Anwendung auf anonymisierte Daten*) 1 Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die 883 sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 2 Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. 3Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. 4Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. 5Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. 6Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
Erwägungsgrund 32 Einwilligung**) 1
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, 884 mit der freiwillig, für den konkreten Fall, in informierter Weise und unmiss___________
666) Zu den weiteren Erwägungsgründen siehe https://dsgvo-gesetz.de/erwaegungsgruende/ (Stand: 17.8.2020). *) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
279
Q. Erwägungsgründe DSGVO
verständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. 2Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. 3Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. 4Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. 5Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. 6Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen. Erwägungsgrund 39 Grundsätze der Datenverarbeitung*) 885
1
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. 2Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. 3Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. 4Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. 5Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. 6Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. 7Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwen___________ *)
280
Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
Q. Erwägungsgründe DSGVO
dige Maß beschränkt sein. 8Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. 9Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. 10Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. 11 Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. 12Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Erwägungsgrund 58 Grundsatz der Transparenz*) 1
Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlich- 886 keit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. 2Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. 3Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden wie etwa bei der Werbung im Internet. 4Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann. Erwägungsgrund 62 Ausnahmen von der Informationspflicht**) 1
Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, 887 wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. 2Letzteres könnte insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. ___________
*) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
281
Q. Erwägungsgründe DSGVO 3
Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden. Erwägungsgrund 63 Auskunftsrecht*)
888
1
Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. 2Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. 3Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. 4Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. 5Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. 6Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. 7Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Erwägungsgrund 75 Risiken für die Rechte und Freiheiten natürlicher Personen**)
889 Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezoge___________ *) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
282
Q. Erwägungsgründe DSGVO
nen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft. Erwägungsgrund 85 Meldepflicht von Verletzungen an die Aufsichtsbehörde*) 1
Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht 890 rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. 2Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. 3Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden. ___________ *)
Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
283
Q. Erwägungsgründe DSGVO
Erwägungsgrund 91 Erforderlichkeit einer Datenschutz-Folgenabschätzung*) 891
1
Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren. 2Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden. 3Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen. 4Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. 5In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein. Erwägungsgrund 97 Datenschutzbeauftragter**)
892
1
In Fällen, in denen die Verarbeitung durch eine Behörde – mit Ausnahmen von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln –, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen ___________
*) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
284
Q. Erwägungsgründe DSGVO
in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. 2Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. 3Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können. Erwägungsgrund 148 Sanktionen*) 1
Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Ver- 893 ordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. 2Im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. 3Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. 4Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.
___________ *)
Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
285
R. Legal Tech: Zuhilfenahme von Software? Nicht nur die Digitalisierung schreitet voran. Immer mehr (Startup-)Unter- 894 nehmen reagieren, indem sie ihre Produkte dem neuen, digitalen Zeitalter anpassen.667) Der Begriff „Legal Tech“668) oder „Legal Technology“ bezeichnet seit geraumer Zeit die Bestrebung, per Software bzw. online bis dato originär juristische (Hand-)Arbeitsprozesse in möglichst weitem Umfang zu „automatisieren“.669) Ausgabe 11/2018 des Anwaltsblatts befasst sich quantitativ in weitem Umfang mit diesem Thema. Auf mehreren Seiten finden sich Links zu entsprechenden Programmen für Unterstützungssoftware.670) Natürlich zu den „gängigeren“ Bereichen wie Vertragserstellung, Anwaltsvergütung nach dem RVG, aber auch zur Workflowoptimierung. In diesem Zusammenhang stellt sich die Frage, ob die in diesem ZRI Praxisbuch abgehandelte Thematik zum möglichst datenschutzkonformen Umgang mit personenbezogenen Daten ebenfalls softwareunterstützend angegangen werden kann. Gibt es solche überhaupt? Ja! Im Internet671) finden sich die unterschiedlichsten Anbieter, mitunter sogar kostenlose Angebote. Aus Großunternehmen abgeleitete Software ermöglicht die systematische Erfassung üblicherweise und bei vergleichbaren Unternehmen/Büros wichtiger und gewichtiger Parameter im Bereich Datenschutz – also wäre dies bzw. die Anwendbarkeit dieser Software grundsätzlich innerhalb der Kanzlei vorstellbar, aber auch zur Verwendung in dem schuldnerischen Betrieb, z. B. im Auftrag des Insolvenzverwalters an den Geschäftsführer, das in dem vom Insolvenzverwalter fortgeführten Betrieb evtl. vorhandene Datenschutzrisiko zu ermitteln. Was aber, wenn eine verwendete Software nun auf ein Datenschutzrisiko (quantitativ) hinweist, der Insolvenzverwalter dem bzw. der Behebung aber z. B. „mangels Masse“ nicht nachkommen kann: Handelt er als Verantwortlicher dann gar vorsätzlich oder mindestens grob fahrlässig? Diese kurzen Gedanken zeigen, dass auch der Einsatz von Software im Datenschutzbereich mit Augenmaß bzw. Fingerspitzengefühl erfolgen sollte. Software erscheint jedoch grundsätzlich und insbesondere im Bereich des Verzeichnisses von Verarbeitungstätigkeiten (ausführlich dazu siehe Rn. 193 ff.), eines Datenmanagements und eventuell auch der Datenschutz-Folgeabschätzung sinnvoll (siehe Rn. 180 ff.).
___________ 667) Rücker/Kugler, New European General Data Protection Regulation, Foreword, V. 668) Dazu illustrativ bereits Leibova, Bonner Rechtsjournal 1/2018, 73. 669) Ausführlich auch zu Vor-/Nachteilen siehe https://anwaltsblatt.anwaltverein.de/de/ anwaeltinnen-anwaelte/anwaltspraxis/deutscher-anwaltstag-legal-tech-ist-chance-fuerkleinere-kanzleien (Stand: 17.8.2020). 670) Ausgabe 11/2018 des Anwaltsblatts, S. 587, 596 sowie Fn. 12 auf S. 601. 671) Ohne Anspruch auf Vollständigkeit und Auskunft zur Güte des Angebotes.
287
S. Ultima Ratio: Versicherbarkeit entsprechender Risiken Auch wenn das vorliegende ZRI Praxisbuch dabei hilft, sich in der Insolvenz- 895 kanzlei im „Datenschutz-Dschungel der DSGVO“672) vermehrt zurechtzufinden: Bis heute und sicherlich noch einige Zeit wird unklar sein, wie die Behörden, aber auch Betroffene und insbesondere Insolvenzschuldner, mit ihren Rechten gegenüber dem Insolvenzverwalter und dessen Kanzlei umgehen. Möglicherweise eskaliert die Situation dergestalt, dass gar der Rechtsweg gegen ein Auskunftsbegehren etc. beschritten werden muss. Noch vielmehr stellt sich die Frage, ob ein Bußgeldrisiko – wenigstens mittelbar – versicherbar ist. Die nachfolgenden Folien skizzieren exemplarisch die Möglichkeiten nach heutigem Stand: Versicherungsmöglichkeiten bei Datenschutzverstößen
Bußgeldrisiko Betroffene Versicherungen: VermögenssschadenHaftpflicht des Unternehmens/ Kanzlei D&O VermögenssschadenHaftpflicht des externen/internen Datenschutzbeauftragten
GEFAHR: Wenn die Behörden gegen Unternehmen und ihre Manager ermitteln, können Geldbußen drohen.
im voraus gegebene Erstattungszusagen nach deutschem Recht sittenwidrig und NICHT versicherbar
Keine Deckung Funktionierender Innenregress beim Manager über D&O Funktionierender Innenregress beim Datenschutzbeauftragten über seine Haftpflicht
Wichtig: ausreichend hohe Versicherungssummen, die mit dem Bußgeldrisiko korrespondieren Fülling & Meysenburg GmbH & Co. KG Assekuranzmakler seit 1958, http://f-u-m.de, [email protected], 0201/82 01 80; Gerhard Embser und Wolfgang Nuyken
Abb. 5: Versicherbarkeit – Bußgeldrisiko
___________ 672) So das Zitat bzw. die Einschätzung eines Zuhörers in einem entsprechenden RWSSeminar der Autoren.
289
S. Ultima Ratio: Versicherbarkeit entsprechender Risiken Versicherungsmöglichkeiten bei Datenschutzverstößen
Rechtsschutzversicherung 01
02
Verteidigung wegen einer Straftat oder Ordnungswidrigkeit in Bezug auf Datenschutzverletzungen inkl. Vorsatz und Verbrechen, auch bei Honorarvereinbarungen Wahrnehmung der rechtlichen Interessen vor deutschen Verwaltungsgerichten, die sich aus vorgeworfenen Datenschutzpflichtverletzungen ergeben
03
Für die aktive Durchsetzung von Schadenersatzansprüchen, die sich aus Datenschutzpflichtverletzungen ergeben (für den Innenregress!)
04
Deckungsklage-Rechtsschutz gegen eigenen CyberVersicherer
01
Straf-/OWIRechtsschutz
04
02
Verwaltungs- VersicherungsVertragsRechtsschutz Rechtsschutz 03
SchadenersatzRechtsschutz
Fülling & Meysenburg GmbH & Co. KG Assekuranzmakler seit 1958, http://f-u-m.de, [email protected], 0201/82 01 80; Gerhard Embser und Wolfgang Nuyken
Abb. 6: Versicherbarkeit – Rechtschutzversicherung
Praxistipp: Für den Insolvenzverwalter empfiehlt es sich, für sich und seine Kanzlei allgemein, ggf. aber auch für das jeweilige Insolvenzverfahren je nach Vorhandensein von (kritischer/n) EDV/Daten, die Versicherungsagentur seines Vertrauens vorbereitend zu Sinn und Möglichkeiten der Absicherung von Cyber-/Datenschutzverstößen zu konsultieren. Inwieweit eine derartige Versicherung analog z. B. der Haftpflichtversicherung für den Gläubigerausschuss bzw. dessen Mitglieder673) die Masse belasten kann, soll hier nicht beleuchtet werden.
___________ 673) Zu dem Thema ausführlich Heyn/Kreuznacht/Voß, Arbeitshilfen für Insolvenzsachbearbeiter, Rn. 72.
290
Anhang Gesetze und Verordnungen BDSG 2018 https://www.gesetze-im-internet.de/bdsg_2018/BJNR209710017.html
Vertrauensdienstegesetz (VDG) vom 18. Juli 2017 (BGBl. I S. 2745) zuletzt geändert durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745)
Teil 1 Allgemeine Bestimmungen §1 Anwendungsbereich (1) Dieses Gesetz regelt die wirksame Durchführung der Vorschriften über Vertrauensdienste in der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73) in der jeweils geltenden Fassung. (2) Unberührt bleiben Rechtsvorschriften, die die Nutzung bestimmter Vertrauensdienste und die hierfür zu verwendenden Produkte regeln. §2 Aufsichtsstelle; zuständige Stelle für die Informationssicherheit (1) Die Aufgaben der Aufsichtsstelle nach Artikel 17 der Verordnung (EU) Nr. 910/2014 und nach diesem Gesetz sowie nach der Rechtsverordnung nach § 20 obliegen 1. der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) für die Bereiche a) Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel und Dienste für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten nach Artikel 3 Nummer 16 Buchstabe a der Verordnung (EU) Nr. 910/2014 und b) Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten nach Artikel 3 Nummer 16 Buchstabe c der Verordnung (EU) Nr. 910/2014 und
291
Anhang
2. dem Bundesamt für Sicherheit in der Informationstechnik für den Bereich Erstellung, Überprüfung und Validierung von Zertifikaten für die WebsiteAuthentifizierung nach Artikel 3 Nummer 16 Buchstabe b der Verordnung (EU) Nr. 910/2014. (2) Von der Aufgabenzuweisung an die Bundesnetzagentur unberührt bleiben die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik nach dem BSI-Gesetz und nach weiteren Fachgesetzen, insbesondere 1. bei der Erstellung technischer Standards in nationalen, europäischen und internationalen Gremien in Abstimmung mit der Bundesnetzagentur, 2. die Bewertung von Algorithmen und zugehörigen Parametern sowie 3. die Erstellung technischer Vorgaben und die Bewertung technischer Standards für den Einsatz von Vertrauensdiensten in Digitalisierungsvorhaben nach Maßgabe der entsprechenden Fachgesetze. (3) Das Bundesamt für Sicherheit in der Informationstechnik ist die für die Informationssicherheit zuständige nationale Stelle i. S. v. Artikel 19 Absatz 2 der Verordnung (EU) Nr. 910/2014. §3 Verfahren über eine einheitliche Stelle Verwaltungsverfahren nach diesem Gesetz oder nach der Rechtsverordnung nach § 20 können über eine einheitliche Stelle i. S. d. Verwaltungsverfahrensgesetzes abgewickelt werden. §4 Aufsichtsmaßnahmen; Untersagung des Betriebs (1) Ergänzend zu den Aufgaben aus der Verordnung (EU) Nr. 910/2014 obliegt der Aufsichtsstelle auch die Aufsicht über die Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20. (2) Die Aufsichtsstelle kann gegenüber Vertrauensdiensteanbietern die erforderlichen Maßnahmen zur Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20 treffen. Zur Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20 kann sie von Vertrauensdiensteanbietern Nachweise anfordern und selbst Überprüfungen vornehmen. Im Übrigen stehen der Aufsichtsstelle die Maßnahmen nach der Verordnung (EU) Nr. 910/2014, insbesondere nach Artikel 17 Absatz 4, auch zur Durchsetzung dieses Gesetzes sowie der Rechtsverordnung nach § 20 zur Verfügung. (3) Die Aufsichtsstelle kann einem Vertrauensdiensteanbieter den Betrieb vorübergehend, teilweise oder ganz untersagen, wenn 1. Maßnahmen nach Artikel 17 Absatz 4 Buchstabe j der Verordnung (EU) Nr. 910/2014 keinen Erfolg versprechen und 292
Gesetze und Verordnungen
2. Tatsachen die Annahme rechtfertigen, dass der Anbieter die Voraussetzungen für den Betrieb eines Vertrauensdienstes nach der Verordnung (EU) Nr. 910/2014 sowie nach diesem Gesetz und nach der Rechtsverordnung nach § 20 nicht erfüllt. §5 Mitwirkungspflichten der Vertrauensdiensteanbieter (1) Zur Prüfung der Einhaltung ihrer Verpflichtungen haben der Vertrauensdiensteanbieter und die für ihn tätigen Dritten den Bediensteten und Beauftragten 1. der Aufsichtsstelle das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten, 2. der Aufsichtsstelle auf Verlangen die in Betracht kommenden Bücher, Aufzeichnungen, Belege, Schriftstücke und sonstigen Unterlagen zur Einsicht vorzulegen, auch soweit sie in elektronischer Form geführt werden, 3. der Aufsichtsstelle Auskunft zu erteilen und 4. der Aufsichtsstelle die erforderliche Unterstützung zu gewähren. (2) Die zur Erteilung einer Auskunft verpflichtete natürliche Person kann die Auskunft auf solche Fragen verweigern, deren Beantwortung sie selbst oder einen der in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Hierüber ist die Person zu belehren. Die Vorschriften über die Glaubhaftmachung des Verweigerungsgrundes nach § 56 der Strafprozessordnung sind entsprechend anzuwenden. Die Sätze 1 und 2 gelten für die Vorlage von Unterlagen entsprechend. §6 Haftung Ein Vertrauensdiensteanbieter haftet für Dritte, die er mit Aufgaben nach der Verordnung (EU) Nr. 910/2014, nach diesem Gesetz und nach der Rechtsverordnung nach § 20 beauftragt hat, wie für eigenes Handeln. Die Vorschrift zum Nichteintritt der Ersatzpflicht nach § 831 Absatz 1 Satz 2 des Bürgerlichen Gesetzbuches ist nicht anzuwenden. §7 Barrierefreie Dienste (1) Soweit möglich, haben Vertrauensdiensteanbieter die von ihnen angebotenen Vertrauensdienste für Menschen mit Behinderungen zugänglich und nutzbar zu machen. Soweit sie für die Nutzung der Vertrauensdienste erforderliche Endnutzerprodukte von Drittanbietern anbieten, haben sie, soweit 293
Anhang
möglich, auch mindestens ein marktübliches Endnutzerprodukt für Menschen mit Behinderungen anzubieten. Bei der Bewertung der Durchführbarkeit von Maßnahmen nach den Sätzen 1 und 2 sind auch technische und wirtschaftliche Belange zu berücksichtigen. (2) Die Vertrauensdiensteanbieter haben auf ihrer Internetseite über die von ihnen vorgenommenen Maßnahmen zur Barrierefreiheit der Vertrauensdienste und der zur Erbringung solcher Dienste verwendeten Endnutzerprodukte zu informieren. Außerdem haben sie dort Hinweise zu geben, die die Nutzung der von ihnen angebotenen Vertrauensdienste und der hierbei verwendeten Endnutzerprodukte durch Menschen mit Behinderungen erleichtern. Diese Informationen und Hinweise sowie die Informationen, die sich an alle Verbraucher richten, müssen nach Maßgabe der Rechtsverordnung nach § 20 barrierefrei zugänglich und nutzbar sein. (3) Barrieren können von jedermann der Aufsichtsstelle gemeldet werden. §8 Datenschutz (1) Unbeschadet anderer Rechtsgrundlagen dürfen Vertrauensdiensteanbieter auch bei Dritten personenbezogene Daten verarbeiten, soweit dies für die Erbringung, einschließlich der Prüfung und Sicherstellung der rechtlichen Gültigkeit, des jeweiligen Vertrauensdienstes erforderlich ist. (2) Der Vertrauensdiensteanbieter darf personenbezogene Daten einer Person, die Vertrauensdienste nutzt, den zuständigen Stellen übermitteln, 1. soweit die zuständigen Stellen die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist a) für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, b) zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder c) für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder 2. soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Die Berechtigung zur Datenübermittlung nach Satz 1 Nummer 1 gilt nicht, soweit sie durch andere Gesetze ausdrücklich ausgeschlossen ist. (3) Die Vertrauensdiensteanbieter haben die Übermittlung zu dokumentieren. Die Dokumentation ist zwölf Monate aufzubewahren. (4) Hat die zuständige Stelle ein Verlangen nach Datenübermittlung nach Absatz 2 Nummer 1 gestellt, so unterrichtet sie die betroffene Person über 294
Gesetze und Verordnungen
die erfolgte Übermittlung der Daten. Von der Unterrichtung kann abgesehen werden, solange die Wahrnehmung der gesetzlichen Aufgaben gefährdet würde und solange das Interesse der betroffenen Person an der Unterrichtung nicht überwiegt. Fünf Jahre nach der Übermittlung kann endgültig von der Benachrichtigung abgesehen werden, wenn die Voraussetzungen für die Benachrichtigung mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht eintreten werden. (5) Die allgemeinen Datenschutzanforderungen bleiben unberührt. Teil 2 Allgemeine Vorschriften für qualifizierte Vertrauensdienste §9 Vertrauenslisten Die Bundesetzagentur ist für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten nach Artikel 22 Absatz 1 der Verordnung (EU) Nr. 910/ 2014 zuständig. § 10 Deckungsvorsorge Die Mindestsumme für die gemäß Artikel 24 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 910/2014 erforderliche angemessene Deckungsvorsorge beträgt jeweils 250 000 Euro für einen Schaden, der durch ein haftungsauslösendes Ereignis gemäß Artikel 13 der Verordnung (EU) Nr. 910/2014 verursacht worden ist. § 11 Identitätsprüfung (1) Die Bundesnetzagentur legt nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Verfügung im Amtsblatt fest, welche sonstigen Identifizierungsmethoden i. S. d. Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d Satz 1 der Verordnung (EU) Nr. 910/2014 anerkannt sind und welche Mindestanforderungen dafür jeweils gelten. (2) Die Bundesnetzagentur überprüft die Verfügung nach Absatz 1 regelmäßig im Abstand von vier Jahren sowie 1. bei der begründeten Annahme, dass Methoden nicht mehr hinreichend sicher sind, oder 2. auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik. (3) Innovative Identifizierungsmethoden, die noch nicht durch Verfügung im Amtsblatt anerkannt sind, können von der Bundesnetzagentur im Einver-
295
Anhang
nehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und nach Anhörung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für einen Zeitraum von bis zu zwei Jahren vorläufig anerkannt werden, sofern eine Konformitätsbewertungsstelle die gleichwertige Sicherheit der Identifizierungsmethode i. S. d. Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 bestätigt hat. Die Bundesnetzagentur veröffentlicht die vorläufig anerkannten Identifizierungsmethoden auf ihrer Internetseite. Die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik überwachen die Eignung der vorläufig anerkannten Identifizierungsmethoden über den gesamten Zeitraum der vorläufigen Anerkennung. Werden durch die Überwachung sicherheitsrelevante Risiken bei der vorläufig anerkannten Identifizierungsmethode erkannt, so kann die Aufsichtsstelle im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik dem qualifizierten Vertrauensdiensteanbieter die Behebung dieser Risiken durch ergänzende Maßnahmen auferlegen, sofern dies sicherheitstechnisch sinnvoll ist. Lässt sich durch ergänzende Maßnahmen keine hinreichende Sicherheit der vorläufig anerkannten Identifizierungsmethode gewährleisten, so soll die Aufsichtsstelle dem qualifizierten Vertrauensdiensteanbieter die Nutzung dieser Identifizierungsmethode untersagen. (4) Der qualifizierte Vertrauensdiensteanbieter darf nach Maßgabe der datenschutzrechtlichen Bestimmungen personenbezogene Daten nutzen, die zu einem früheren Zeitpunkt im Rahmen einer ordnungsgemäßen Identitätsprüfung erhoben wurden, sofern und soweit diese Daten zum Zeitpunkt der Antragstellung die zuverlässige Identitätsfeststellung des Antragstellers gewährleisten. § 12 Attribute in qualifizierten Zertifikaten für elektronische Signaturen und Siegel (1) Ein qualifiziertes Zertifikat für elektronische Signaturen kann auf Verlangen eines Antragstellers folgende Attribute enthalten: 1. Angaben über die Vertretungsmacht des Antragstellers für eine dritte Person, 2. amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers und 3. weitere personenbezogene Angaben. Angaben über die Vertretungsmacht dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn dem qualifizierten Vertrauensdiensteanbieter die Einwilligung der dritten Person nachgewiesen wird. Amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn die je-
296
Gesetze und Verordnungen
weils zuständige Stelle die Angaben bestätigt hat. Weitere personenbezogene Angaben dürfen in ein qualifiziertes Zertifikat nur mit Einwilligung des Betroffenen aufgenommen werden. (2) Soll in das qualifizierte Zertifikat anstelle des Namens ein Pseudonym eingetragen werden, so sind Angaben über eine Vertretungsmacht für eine dritte Person oder amts- und berufsbezogene oder sonstige Angaben zur Person nur zulässig, wenn eine Einwilligung der dritten Person oder der jeweils zuständigen Stelle zur Verwendung des Pseudonyms vorliegt. (3) Die Absätze 1 und 2 gelten entsprechend für qualifizierte Zertifikate für elektronische Siegel. Attribute in qualifizierten Zertifikaten für elektronische Siegel können auch die Vertretungsverhältnisse innerhalb der antragstellenden juristischen Person enthalten, sofern diese Vertretungsverhältnisse dem qualifizierten Vertrauensdiensteanbieter nachgewiesen werden. § 13 Unterrichtung über Sicherheitsmaßnahmen und Rechtswirkungen (1) Der qualifizierte Vertrauensdiensteanbieter hat die Personen, die er nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 über die Nutzungsbedingungen zu unterrichten hat, weil sie einen qualifizierten Vertrauensdienst nutzen wollen, auch 1. über die Maßnahmen zu unterrichten, die erforderlich sind, um zur Sicherheit der angebotenen qualifizierten Vertrauensdienste und deren zuverlässiger Nutzung beizutragen, und dabei auf entsprechende Informationsmöglichkeiten hinzuweisen, insbesondere auf Informationsangebote der Hersteller von Produkten für qualifizierte Vertrauensdienste und auf Informationsangebote der Aufsichtsstellen, 2. darauf hinzuweisen, dass entsprechend § 15 qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten bei Bedarf durch geeignete Maßnahmen neu zu schützen sind, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird, und 3. über die Rechtswirkungen der angebotenen qualifizierten Vertrauensdienste zu unterrichten. (2) Soweit eine Person, die einen qualifizierten Vertrauensdienst nutzen will, bereits zu einem früheren Zeitpunkt nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 sowie nach Absatz 1 unterrichtet worden ist und sich keine Änderungen ergeben haben, kann eine erneute Unterrichtung unterbleiben.
297
Anhang
§ 14 Widerruf qualifizierter Zertifikate (1) Der qualifizierte Vertrauensdiensteanbieter hat ein noch gültiges qualifiziertes Zertifikat insbesondere dann unverzüglich zu widerrufen, wenn 1. die Person, der das qualifizierte Zertifikat ausgestellt wurde, es verlangt, 2. das qualifizierte Zertifikat auf Grund falscher Angaben zu den Anhängen I, III und IV der Verordnung (EU) Nr. 910/2014 ausgestellt wurde, 3. er seine Tätigkeit beendet und diese nicht von einem anderen qualifizierten Vertrauensdiensteanbieter fortgeführt wird oder 4. Tatsachen die Annahme rechtfertigen, dass a) das qualifizierte Zertifikat gefälscht oder nicht hinreichend fälschungssicher ist oder b) die verwendeten qualifizierten elektronischen Signaturerstellungseinheiten oder qualifizierten elektronischen Siegelerstellungseinheiten Sicherheitsmängel aufweisen. Weitere Widerrufsgründe können vertraglich vereinbart werden. Wurde ein qualifiziertes Zertifikat mit falschen Angaben ausgestellt, so kann der qualifizierte Vertrauensdiensteanbieter dies zusätzlich kenntlich machen. (2) Enthält ein qualifiziertes Zertifikat Attribute nach § 12 Absatz 1 oder § 12 Absatz 3 Satz 2, so kann auch die dritte Person oder die für die amtsund berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle einen Widerruf des Zertifikats verlangen, wenn 1. die Vertretungsmacht entfällt oder 2. die Voraussetzungen für die amts- und berufsbezogenen oder sonstigen Angaben zur Person nach Aufnahme in das qualifizierte Zertifikat entfallen. (3) Liegen die in Absatz 1 Satz 1 Nummer 3 oder eine der in Absatz 1 Satz 1 Nummer 4 genannten Voraussetzungen vor, so kann die Aufsichtsstelle den Widerruf eines qualifizierten Zertifikats anordnen. § 15 Langfristige Beweiserhaltung Sofern hierfür Bedarf besteht, sind qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten durch geeignete Maßnahmen neu zu schützen, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird. Die neue Sicherung muss nach dem Stand der Technik erfolgen.
298
Gesetze und Verordnungen
§ 16 Beendigungsplan; auf Dauer prüfbare Vertrauensdienste (1) In dem Beendigungsplan nach Artikel 24 Absatz 2 Buchstabe i der Verordnung (EU) Nr. 910/2014 hat ein qualifizierter Vertrauensdiensteanbieter alle erforderlichen Maßnahmen vorzusehen, damit bei Einstellung der Tätigkeit, bei Entzug des Qualifikationsstatus oder wenn die Eröffnung eines Insolvenzverfahrens beantragt und die Tätigkeit nicht fortgesetzt wird, alle von ihm ausgegebenen qualifizierten Zertifikate im Zusammenhang mit elektronischen Signaturen und Siegeln sowie Zertifikate im Zusammenhang mit Anhang I Buchstabe g, Anhang III Buchstabe g und Artikel 42 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 910/2014 einschließlich der Widerrufsinformationen 1. von einem anderen qualifizierten Vertrauensdiensteanbieter übernommen werden können oder 2. von der Bundesnetzagentur in die Vertrauensinfrastruktur nach Absatz 5 übernommen werden können. Im Falle von Satz 1 Nummer 2 hat der qualifizierte Vertrauensdiensteanbieter die noch gültigen Zertifikate vor der Übermittlung an die Bundesnetzagentur zu widerrufen. Er hat in jedem Fall sicherzustellen, dass die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 an den Übernehmenden übermittelt werden. (2) Im Beendigungsplan hat der qualifizierte Vertrauensdiensteanbieter auch Vorkehrungen zu treffen, um die Inhaber der in Absatz 1 Satz 1 genannten Zertifikate, soweit möglich, mindestens zwei Monate im Voraus über die Einstellung seiner Tätigkeit und über die Übernahme seiner Zertifikate zu benachrichtigen. (3) In den Fällen des Absatzes 1 Satz 1 Nummer 2 erteilt die Bundesnetzagentur bei Vorliegen eines berechtigten Interesses Auskunft zu den Aufzeichnungen, soweit dies technisch und ohne unverhältnismäßig großen Aufwand möglich ist. Ein darüber hinausgehendes Auskunftsrecht gemäß § 19 des Bundesdatenschutzgesetzes und nach Artikel 15 der Verordnung (EU) 2016/679 bleibt hiervon unberührt. (4) Qualifizierte Vertrauensdiensteanbieter haben für die gesamte Zeit ihres Betriebs 1. die in Absatz 1 Satz 1 genannten Zertifikate auch über den Zeitraum ihrer Gültigkeit hinaus zusammen mit den dazugehörigen Widerrufsinformationen in einer Zertifikatsdatenbank nach Artikel 24 Absatz 2 Buchstabe k und Absatz 4 der Verordnung (EU) Nr. 910/2014 zu führen und 2. die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 aufzubewahren.
299
Anhang
(5) Die Bundesnetzagentur hat eine Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel einzurichten, zu unterhalten und laufend zu aktualisieren. Näheres regelt die Rechtsverordnung nach § 20 Absatz 2 Nummer 5. Fußnote (+++ § 16 Abs. 1: Zur Anwendung vgl. § 21 +++) Teil 3 Qualifizierte elektronische Signaturen und Siegel § 17 Benannte Stellen nach Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 (1) Die Bundesnetzagentur benennt auf Antrag eine Organisation als private Stelle gemäß Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 sowie gemäß Artikel 39 Absatz 2 in Verbindung mit Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014, sofern die Akkreditierungsstelle nach § 1 Absatz 1 des Akkreditierungsstellengesetzes durch Akkreditierung festgestellt hat, dass die private Stelle die erforderlichen Anforderungen erfüllt. Die Benennung kann 1. inhaltlich beschränkt werden, vorläufig erteilt werden oder mit einer Befristung versehen erteilt werden und 2. mit Auflagen verbunden sein. (2) Solange die Europäische Kommission keine delegierten Rechtsakte nach Artikel 30 Absatz 4 der Verordnung (EU) Nr. 910/2014 erlassen hat, erstellt und veröffentlicht 1. die Akkreditierungsstelle die fachlichen Kriterien, die für die Akkreditierung zu erfüllen sind, und 2. die Bundesnetzagentur die fachlichen Kriterien, die für die Benennung als private Stelle nach Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 zu erfüllen sind. Die Erstellung der fachlichen Kriterien erfolgt unter maßgeblicher Berücksichtigung der Entscheidung der Kommission vom 6. November 2000 über die Mindestkriterien, die von den Mitgliedstaaten bei der Benennung der Stellen gemäß Artikel 3 Absatz 4 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen zu berücksichtigen sind (ABl. L 289 vom 16.11.2000, S. 42). (3) Eine Stelle, die nach § 17 Absatz 4 Satz 1 des Signaturgesetzes in Verbindung mit § 18 des Signaturgesetzes anerkannt wurde, nimmt hinsichtlich der
300
Gesetze und Verordnungen
von ihr auf Grundlage des Signaturgesetzes bestätigten Produkte ihre hiermit zusammenhängenden Aufgaben bis zum Auslaufen der entsprechenden Produktbestätigungen wahr. (4) Das Bundesamt für Sicherheit in der Informationstechnik ist die öffentliche Stelle gemäß Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 sowie gemäß Artikel 39 Absatz 2 in Verbindung mit Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014. Teil 4 Qualifizierte Dienste für die Zustellung elektronischer Einschreiben § 18 Dienste für die Zustellung elektronischer Einschreiben Liegt der Konformitätsbewertungsstelle für einen qualifizierten Dienst für die Zustellung elektronischer Einschreiben eine Akkreditierung nach Abschnitt 4 des De-Mail-Gesetzes vor, so soll die Konformitätsbewertungsstelle die Konformitätsbewertung dieses qualifizierten Dienstes nach Möglichkeit auf die Prüfung der Nachweise beschränken, die im Rahmen der Akkreditierung nach § 18 Absatz 3 des De-Mail-Gesetzes erbracht worden sind. Teil 5 Schlussvorschriften § 19 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 12 Absatz 1 Satz 2, 3 oder 4 oder Absatz 2, jeweils auch in Verbindung mit Absatz 3 Satz 1 oder einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1, eine Angabe in ein qualifiziertes Zertifikat aufnimmt, 2. entgegen § 14 Absatz 1 Satz 1 Nummer 1 bis 4 oder § 16 Absatz 1 Satz 2 ein Zertifikat nicht oder nicht rechtzeitig widerruft, 3. entgegen § 16 Absatz 1 Satz 3, auch in Verbindung mit der Rechtsverordnung nach § 20 Absatz 2 Nummer 1, nicht sicherstellt, dass eine Aufzeichnung übermittelt wird, oder 4. entgegen § 16 Absatz 2 in Verbindung mit der Rechtsverordnung nach § 20 Absatz 2 Nummer 1 eine dort genannte Vorkehrung nicht oder nicht rechtzeitig trifft. (2) Ordnungswidrig handelt, wer gegen die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 301
Anhang
257 vom 28.8.2014, S. 73; L 23 vom 29.1.2015, S. 19) verstößt, indem er vorsätzlich oder fahrlässig 1. entgegen Artikel 19 Absatz 2 Unterabsatz 1 eine Meldung nicht, nicht richtig oder nicht rechtzeitig macht, 2. entgegen Artikel 19 Absatz 2 Unterabsatz 2 eine Person nicht, nicht richtig oder nicht rechtzeitig unterrichtet, 3. entgegen Artikel 21 Absatz 1 eine Mitteilung nicht, nicht richtig oder nicht rechtzeitig vorlegt, 4. entgegen Artikel 24 Absatz 1 Unterabsatz 1 die Identität einer Person nicht oder nicht rechtzeitig überprüft, 5. entgegen Artikel 24 Absatz 2 Buchstabe c in Verbindung mit § 10 in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 3 eine Haftpflichtversicherung nicht oder nicht rechtzeitig abschließt, 6. entgegen Artikel 24 Absatz 2 Buchstabe e oder f, jeweils in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1, ein vertrauenswürdiges System oder Produkt nicht verwendet, 7. entgegen Artikel 24 Absatz 2 Buchstabe g in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1 eine dort genannte Maßnahme nicht oder nicht rechtzeitig trifft, 8. entgegen Artikel 24 Absatz 2 Buchstabe h Satz 1 eine Information nicht richtig aufzeichnet oder 9. entgegen Artikel 24 Absatz 3 Satz 1 einen Widerruf nicht oder nicht rechtzeitig veröffentlicht. (3) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 5 bis 8 mit einer Geldbuße bis zu einhunderttausend Euro, in den übrigen Fällen mit einer Geldbuße bis zu zwanzigtausend Euro geahndet werden. (4) Verwaltungsbehörden i. S. d. § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten sind die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik jeweils im Rahmen ihrer Zuständigkeit nach § 2 Absatz 1. § 20 Verordnungsermächtigung (1) Die Bundesregierung legt durch Rechtsverordnung nähere Anforderungen an die Zugänglich- und Nutzbarmachung von Vertrauensdiensten nach Artikel 15 der Verordnung (EU) Nr. 910/2014 und nach § 7 fest. Sie hat dabei technische und wirtschaftliche Belange zu berücksichtigen. Die Rechtsverordnung kann auch Nachweis-, Mitwirkungs- und Informationspflichten der Vertrauensdiensteanbieter enthalten. 302
Gesetze und Verordnungen
(2) Die Bundesregierung wird ermächtigt, in der Rechtsverordnung nach Absatz 1 auch die zur Durchführung der Verordnung (EU) Nr. 910/2014 und dieses Gesetzes erforderlichen Rechtsvorschriften zu erlassen über 1. die Ausgestaltung der Pflichten der Vertrauensdiensteanbieter bei der Betriebsaufnahme, während des Betriebs und bei der Einstellung des Betriebs nach den Artikeln 17 bis 24 der Verordnung (EU) Nr. 910/2014 und nach den §§ 4 und 5, 9 bis 18, 2. die Durchführung gemeinsamer Untersuchungen nach Artikel 18 Absatz 3 der Verordnung (EU) Nr. 910/2014, 3. die zur Erfüllung der Verpflichtung zur Deckungsvorsorge nach § 10 zulässigen Sicherheitsleistungen sowie über deren Umfang, Höhe und inhaltliche Ausgestaltung, 4. die Anforderungen im Zusammenhang mit einer Zertifikatsdatenbank nach § 16 Absatz 4 Nummer 1, 5. die Einrichtung einer Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel nach § 16 Absatz 5 und 6. die Einzelheiten des Verfahrens der Anerkennung und der Tätigkeit von Zertifizierungsstellen nach § 17. § 21 Übergangsvorschrift Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate i. S. v. § 2 Nummer 3 des Signaturgesetzes ausgestellt haben, dürfen diese qualifizierten Zertifikate als qualifizierte Vertrauensdiensteanbieter für qualifizierte Zertifikate nach der Verordnung (EU) Nr. 910/2014 weiterhin in ihrem Zertifikatsverzeichnis führen. Sie dürfen weiter alle in diesem Zusammenhang mit ihren Kunden vereinbarten Dienste anbieten, insbesondere einen Widerrufsdienst. § 16 Absatz 1 gilt entsprechend. Die von der Bundesnetzagentur gemäß § 16 Absatz 1 des Signaturgesetzes ausgestellten Zertifikate werden mit Ablauf des 14. November 2018 gesperrt. ________________________________________________________________ Strafgesetzbuch (StGB) § 204 Verwertung fremder Geheimnisse (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein Betriebs- oder Geschäftsgeheimnis, zu dessen Geheimhaltung er nach § 203 verpflichtet ist, verwertet, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) § 203 Absatz 5 gilt entsprechend.
303
Anhang
Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Kunsturheberrechtsgesetz – KUG) vom 9. Januar 1907 zuletzt geändert durch Artikel 3 § 31 des Gesetzes vom 16. Februar 2001 (BGBl. I S. 266)
§§ 1 bis 21 – § 22 Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, daß er sich abbilden ließ, eine Entlohnung erhielt. Nach dem Tode des Abgebildeten bedarf es bis zum Ablaufe von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten. Angehörige i. S. d. Gesetzes sind der überlebende Ehegatte oder Lebenspartner und die Kinder des Abgebildeten und, wenn weder ein Ehegatte oder Lebenspartner noch Kinder vorhanden sind, die Eltern des Abgebildeten. § 23 (1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden: 1. Bildnisse aus dem Bereiche der Zeitgeschichte; 2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen; 3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben; 4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient. (2) Die Befugnis erstreckt sich jedoch nicht auf eine Verbreitung und Schaustellung, durch die ein berechtigtes Interesse des Abgebildeten oder, falls dieser verstorben ist, seiner Angehörigen verletzt wird. § 24 Für Zwecke der Rechtspflege und der öffentlichen Sicherheit dürfen von den Behörden Bildnisse ohne Einwilligung des Berechtigten sowie des Abgebildeten oder seiner Angehörigen vervielfältigt, verbreitet und öffentlich zur Schau gestellt werden.
304
Gesetze und Verordnungen
§§ 25 bis 32 – § 33 (1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer entgegen den §§ 22, 23 ein Bildnis verbreitet oder öffentlich zur Schau stellt. (2) Die Tat wird nur auf Antrag verfolgt. § 34 – § 35 – § 36 – § 37 (1) Die widerrechtlich hergestellten, verbreiteten oder vorgeführten Exemplare und die zur widerrechtlichen Vervielfältigung oder Vorführung ausschließlich bestimmten Vorrichtungen, wie Formen, Platten, Steine, unterliegen der Vernichtung. Das gleiche gilt von den widerrechtlich verbreiteten oder öffentlich zur Schau gestellten Bildnissen und den zu deren Vervielfältigung ausschließlich bestimmten Vorrichtungen. Ist nur ein Teil des Werkes widerrechtlich hergestellt, verbreitet oder vorgeführt, so ist auf Vernichtung dieses Teiles und der entsprechenden Vorrichtungen zu erkennen. (2) Gegenstand der Vernichtung sind alle Exemplare und Vorrichtungen, welche sich im Eigentume der an der Herstellung, der Verbreitung, der Vorführung oder der Schaustellung Beteiligten sowie der Erben dieser Personen befinden. (3) Auf die Vernichtung ist auch dann zu erkennen, wenn die Herstellung, die Verbreitung, die Vorführung oder die Schaustellung weder vorsätzlich noch fahrlässig erfolgt. Das gleiche gilt, wenn die Herstellung noch nicht vollendet ist. (4) Die Vernichtung hat zu erfolgen, nachdem dem Eigentümer gegenüber rechtskräftig darauf erkannt ist. Soweit die Exemplare oder die Vorrichtungen in anderer Weise als durch Vernichtung unschädlich gemacht werden können, hat dies zu geschehen, falls der Eigentümer die Kosten übernimmt. (5) (weggefallen) Fußnote § 37 Abs. 1 bis 3 Kursivdruck u. Abs. 5: Vgl. Fußnote zur Überschrift 305
Anhang
§ 38 Der Verletzte kann statt der Vernichtung verlangen, daß ihm das Recht zuerkannt wird, die Exemplare und Vorrichtungen ganz oder teilweise gegen eine angemessene, höchstens dem Betrage der Herstellungskosten gleichkommende Vergütung zu übernehmen. § 39 – § 40 – § 41 – § 42 Die Vernichtung der Exemplare und der Vorrichtungen kann im Wege des bürgerlichen Rechtsstreits oder im Strafverfahren verfolgt werden. § 43 (1) Auf die Vernichtung von Exemplaren oder Vorrichtungen kann auch im Strafverfahren nur auf besonderen Antrag des Verletzten erkannt werden. Die Zurücknahme des Antrags ist bis zur erfolgten Vernichtung zulässig. (2) Der Verletzte kann die Vernichtung von Exemplaren oder Vorrichtungen selbständig verfolgen. In diesem Falle finden die §§ 477 bis 479 der Strafprozeßordnung mit der Maßgabe Anwendung, daß der Verletzte als Privatkläger auftreten kann. Fußnote § 43 Abs. 2 Kursivdruck: Vgl. jetzt §§ 430 bis 432 StPO 312-2 § 44 Die §§ 42, 43 finden auf die Verfolgung des in § 38 bezeichneten Rechtes entsprechende Anwendung. § 45 – § 46 – 306
Gesetze und Verordnungen
§ 47 – § 48 (1) Der Anspruch auf Schadensersatz und die Strafverfolgung wegen widerrechtlicher Verbreitung oder Vorführung eines Werkes sowie die Strafverfolgung wegen widerrechtlicher Verbreitung oder Schaustellung eines Bildnisses verjähren in drei Jahren. (2) Die Verjährung beginnt mit dem Tage, an welchem die widerrechtliche Handlung zuletzt stattgefunden hat. Fußnote § 48 Abs. 1 Kursivdruck: Vgl. Fußnote zur Überschrift § 49 – § 50 Der Antrag auf Vernichtung der Exemplare und der Vorrichtungen ist so lange zulässig, als solche Exemplare oder Vorrichtungen vorhanden sind. § 51 – § 52 – § 53 – § 54 – § 55 (1) Das Gesetz tritt mit dem 1. Juli 1907 in Kraft. (2) (Aufhebungsvorschrift)
307
Anhang
Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet 12. Februar 2002 (BGBl. I S. 677) zuletzt geändert durch Artikel 2 des Gesetzes vom 13. April 2007 (BGBl. I S. 509)
Eingangsformel Auf Grund des § 9 Abs. 2 Satz 2 in Verbindung mit Satz 3 der Insolvenzordnung vom 5. Oktober 1994 (BGBl. I S. 2866), der durch Artikel 1 Nr. 2 des Gesetzes vom 26. Oktober 2001 (BGBl. I S. 2710) eingefügt worden ist, verordnet das Bundesministerium der Justiz: §1 Grundsatz Öffentliche Bekanntmachungen in Insolvenzverfahren im Internet haben den Anforderungen dieser Verordnung zu entsprechen. Die Veröffentlichung darf nur die personenbezogenen Daten enthalten, die nach der Insolvenzordnung oder nach anderen Gesetzen, die eine öffentliche Bekanntmachung in Insolvenzverfahren vorsehen, bekannt zu machen sind. §2 Datensicherheit, Schutz vor Missbrauch (1) Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass die Daten 1. bei der elektronischen Übermittlung von dem Insolvenzgericht oder dem Insolvenzverwalter an die für die Veröffentlichung zuständige Stelle mindestens fortgeschritten elektronisch signiert werden, 2. während der Veröffentlichung unversehrt, vollständig und aktuell bleiben, 3. spätestens nach dem Ablauf von zwei Wochen nach dem ersten Tag der Veröffentlichung nur noch abgerufen werden können, wenn die Abfrage den Sitz des Insolvenzgerichts und mindestens eine der folgenden Angaben enthält: a) den Familiennamen, b) die Firma, c) den Sitz oder Wohnsitz des Schuldners, d) das Aktenzeichen des Insolvenzgerichts oder e) Registernummer und Sitz des Registergerichts.
308
Gesetze und Verordnungen
Die Angaben nach Satz 1 Nr. 3 Buchstabe a bis e können unvollständig sein, sofern sie Unterscheidungskraft besitzen. (2) Als Ergebnis der Abfrage nach Absatz 1 Satz 2 darf zunächst nur eine Übersicht über die ermittelten Datensätze übermittelt werden, die nur die vollständigen Daten nach Absatz 1 Satz 1 Nr. 3 Buchstabe a bis e enthalten darf. Die übrigen nach der Insolvenzordnung zu veröffentlichenden Daten dürfen erst übermittelt werden, wenn der Nutzer den entsprechenden Datensatz aus der Übersicht ausgewählt hat. §3 Löschungsfristen (1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen. (2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt. (3) Sonstige Veröffentlichungen nach der Insolvenzordnung werden einen Monat nach dem ersten Tag der Veröffentlichung gelöscht. §4 Einsichtsrecht Die Insolvenzgerichte haben sicherzustellen, dass jedermann von den öffentlichen Bekanntmachungen in angemessenem Umfang unentgeltlich Kenntnis nehmen kann. § 4a Anwendbares Recht Die §§ 2 bis 4 gelten entsprechend für den Datenabruf über das Unternehmensregister (§ 8b des Handelsgesetzbuchs). §5 Inkrafttreten Diese Verordnung tritt am Tage nach der Verkündung in Kraft. Schlussformel Der Bundesrat hat zugestimmt. 309
Anhang
Übersichten Geldbußen nach Art. 83 DSGVO
310
Übersichten
311
Anhang
Bußgeldbescheid des BayLDA aus dem Jahr 2015 (anonymisiert)
312
Übersichten
313
Anhang
314
Übersichten
315
Stichwortverzeichnis
Abmahnungen – Ablehnung 116 – Abmahnwelle 111 ff. – Marktverhaltensregeln 114 ff. Altlasten 650 ff. – nach Verfahrenseröffnung 654 ff. – vor Verfahrenseröffnung 653 Anlagevermögen – Beauftragung Verwerter 752 ff. – Freigabe 541, 755 – Hardware 755 ff. – Löschung 756 – Verwertung 751 ff. Anonymisierung 66 ff. Antragsverfahren – Datenanalyse 570 f. – Datenkategorien 570 f. – Datensicherung 597 f. – Datensituation beim Schuldner 565 ff. – Zugriffsrechte 572 ff. Anwaltskanzlei 823 ff.; siehe auch Insolvenzverwalter – E-Mail-Nutzung 801 ff.; siehe auch Technische und organisatorische Maßnahmen – Informationspflichten 838 ff. – interne Daten 836 f. – Messenger 841 ff. – Videoüberwachung 823 ff. Archivierung – E-Mail 347 ff. – Geschäftsunterlagen 345 f. Art-29-Datenschutzgruppe – Auftragsverarbeiter 514 – Datenschutzausschuss 421 – Datenschutzverstoß 419 – umfangreiche Verarbeitung 145 f. – Verantwortlicher 507
Asset Deal 689 ff. – Auftragsvereinbarung zur Einholung von Einwilligungen 720 ff. – Dokumentation 725 – Einwilligung 704 ff. – Übertragung Kundendaten 689 ff. – Übertragung mit Vertragsübernahme 699 ff. Aufsichtsbehörde – Befugnisse 100 ff. – Einsichtsrecht Verzeichnis 215 f. – Inhalt Meldung Datenschutzverletzung 426 f. – Insolvenzverwalter 449, 497 – Umsetzung DSGVO 103 ff. – Widerspruchslösung 741 ff. – Zusammenarbeit 187 Auftragskontrolle 317 ff.; siehe auch Auftragsverarbeitung Auftragsverarbeiter 510 ff. – Abgrenzung zum Verantwortlichen 516 ff. – Auswahl 318 ff. – Beauftragung 320, 515 ff. – Datenschutzverletzung 420 – Handlungsspielraum 513 – Schuldner 604 – Verarbeitungsauftrag 323 ff. – Verzeichnis der Verarbeitungstätigkeiten 193 f. Auftragsverarbeitung – Due Diligence 624 f. – Haftung Auftraggeber 98 ff. – Insolvenzgericht 559 ff. – Leasinggeber 361 – schuldnerisches Unternehmen 604 ff. – Vereinbarung 323 f. – Verwertung 752 ff.
317
Stichwortverzeichnis
– vorläufiger Insolvenzverwalter 536 ff. – Weisungsgebundenheit 546 Auftragsverarbeitungsvereinbarung 323 ff. – Muster 873 – Rechtsinstrument 542 – Verwerter 752 ff. Auskunfteien 806 ff. Auskunftsrecht 450 ff.; siehe auch Betroffenenrechte – Art der Auskunftserteilung 453 ff. – Auskunftsfrist 456 – Inhalt der Auskunft 458 ff. – Kosten der Auskunft 457
Beeinflussung – Verarbeitungstätigkeit 541 Berechtigtes Interesse 737 ff. Berichtigung – Recht auf 461 ff.; siehe auch Betroffenenrechte Beschäftigtendatenschutz – Arbeitnehmerdaten des Schuldners 619 ff. – Datensicherung 606 – E-Mail-Account 610 ff. – nach Signing des Kaufvertrages 703 – Privatnutzung 611 – pseudonymisieren 621 ff. Besonderes elektronisches Anwaltspostfach (beA) 832 ff. Besondere Kategorien 628 ff. – Einwilligung 718 Betriebsfortführung – Auftragsvereinbarung 592 – Bußgelder 656 f. – Haftung Datenschutzverstoß 576 – Haftung Insolvenzverwalter 648 ff. – Kündigungsschutz Datenschutzbeauftragter 585
318
– Stilllegung aus rechtlichen Gründen 668 – Stilllegung aus wirtschaftlichen Gründen 656 f. – Verzeichnis der Verarbeitungstätigkeiten 577 Betroffenenrechte 370 ff. – Auskunftsrecht 450 ff.; siehe auch Auskunftsrecht – Ausübung 370 – Beschränkung 553 ff. – Recht auf Auskunft 69 – Recht auf Berichtigung 461 ff. – Recht auf Datenportabilität 72, 474 – Recht auf Einschränkung 471 ff. – Recht auf Löschung 464 ff.; siehe auch Löschungspflicht – Recht auf Vergessenwerden 71, 467 – Recht auf Widerspruch 475 ff.; siehe auch Widerspruchsrecht – Vorgehen bei einer Anfrage 484 Bitcoin 20, 369 Bundesdatenschutzgesetz – § 42 BDSG 2018 82 – § 64 BDSG 2018 275 ff. – Entwicklung BDSG 854 ff. – neue Fassung 866 – Weiterentwicklung 861 ff. Bußgeldbescheid Anhang – Übermittlung 678 ff. Bußgelder – Bescheid 125 – Datenschutzverletzung 423 f. – Sanktionsrahmen 192 – Schutzniveau 275 – Übersicht Anhang – Verhältnismäßigkeitsgrundsatz 55 – Versicherbarkeit 895 – Verzeichnis der Verarbeitungstätigkeiten 193, 221 – Videoüberwachung 823
Stichwortverzeichnis
Cloudzugänge
760 f.
Datenerhebung – Schuldnerdaten 575 f. Datenfluss 635 ff. Datenportabilität – Recht auf 474 ff.; siehe auch Betroffenenrechte Datenschutz – Geschichte 849 ff. Datenschutzbeauftragter 135 ff. – Anforderungen 159 ff. – Aufgaben 171 ff. – Benennung 140 ff. – Haftung 176 f. – interner, externer Datenschutzbeauftragter 164 ff. – Konkretisierung durch § 38 BDSG 148 ff. – Kündigungsschutz 152 ff. – Mitarbeiterschulung 188 – öffentliche und nicht öffentliche Stelle 141 f. – Rechte und Pflichten 155 f. – schuldnerisches Unternehmen 581 ff. – Tätigkeitskonflikt 163 – Überwachung der Einhaltung 175 ff. – Unterrichtung und Beratung 172 ff. – Veröffentlichung Kontaktdaten 139 – Verschwiegenheitspflicht 155 – Weisungsfreiheit 153 – Zeugnisverweigerungsrecht 156 Datenschutzfolgeabschätzung 180 ff. Datenschutz-Grundverordnung – Art. 2 Abs. 1 DSGVO 30 – Art. 4 Nr. 1 DSGVO 34 – Art. 4 Nr. 7 DSGVO 41 – Art. 6 Abs. 1 DSGVO 48 – Art. 58 DSGVO 100
– Entwicklung 863 ff. – personenbezogene Daten 34 ff. – Verantwortlicher 40 ff. Datenschutzkonferenz – Auftragsverarbeitung 322 – Informationspflichten 385 – Risiko 210, 271 Datenschutzmanagementsystem 306 ff. – Prozesse 308 ff. Datenschutzverletzung – Aufsichtsbehörde 418 – Auftreten 422 – Ausnahmen Benachrichtigung 442 ff. – Betroffener 437 ff. – Datenpanne 419 – Dokumentation 432 ff. – Form der Meldung 425 – Geräteverlust 363 – Informationspflichten 416 ff. – Inhalt der Meldung 426 f. – Meldefrist 423 f. – Risikoabwägung 429 f. Datensicherung 597 ff. – Antragsverfahren 599 f. – Betroffenenrechte 609 ff. – Datenübertragung 607 f. – Zweck der Sicherung 603 ff. Datenträger – Vernichtung 356 ff. Datenübertragung – Datensicherung 607 – Prüfung Datenübermittlung 750 f. Double-Opt-In-Verfahren – Einwilligung 713 Dritter 508 f.
Eigenverwaltung 658 ff. Einflussnahme 540 Eingabekontrolle 298 ff.; siehe auch Technische und organisatorische Maßnahmen 319
Stichwortverzeichnis
Einschränkung – Recht auf 471 ff.; siehe auch Betroffenenrechte Einwilligung 705 ff. – Auftragsverarbeitung 729 ff.; siehe auch Auftragsverarbeitung – Erforderlichkeit 715 ff. – Form 705 – Freiwilligkeit 51 – Höchstpersönlichkeit 706 – Inhalt 707 ff. – Mitarbeiter 491 ff. – Muster Mitarbeiter 876 f. – Prüfungsreihenfolge 727 – Übertragung 704 ff. – Voraussetzungen 50 – Widerruflichkeit 494 – Wirksamkeit Mitarbeiter 492 E-Mail-Nutzung – in der Kanzlei 827 ff. E-Privacy-Verordnung – Einwilligung 717 Erforderlichkeit 63 ff. – Sachverständigengutachten 626 ff. Erlaubnistatbestände 48 ff. – Aufgabe im öffentlichen Interesse 57 – berechtigtes Interesse 58 – Einwilligung 49 ff. – Erfüllung einer rechtlichen Verpflichtung 53 – Schutz von lebenswichtigen Interessen 54 – Vertragserfüllung 52 Erwägungsgründe – Erläuterung 23 – ErwGr. 26 66 – ErwGr. 32 200, 705, 712 – ErwGr. 39 343, 791 – ErwGr. 58 386 – ErwGr. 62 400 ff. – ErwGr. 63 452, 455 – ErwGr. 75 261, 265 – ErwGr. 85 429
320
– ErwGr. 91 147 – ErwGr. 97 144, 160, 164, 174 – ErwGr. 148 674
Facebook – Arbeitgeberzugriff 333 – Fanpage 506; siehe auch Verantwortlicher, gemeinsame Verantwortlichkeit
GDPdU 788 Geldbußen – nach Art. 83 DSGVO, Übersicht Anhang Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie, auch Kunsturhebergesetz – Auszug Anhang Gesetze und Rechtsprechungen 878 Gesetzgeber 552 ff. – Gesetze, Verordnungen 878 f. Gesetzgebungsverfahren 555 ff. Gläubigerausschuss 649, 660 GoBD 788 Grundsätze Datenschutz – anonymisieren 66 f.; siehe auch Technische und organisatorische Maßnahmen – Datensparsamkeit und Datenvermeidung 63 ff. – Geschichte 849 ff. – pseudonymisieren 68, 291; siehe auch Technische und organisatorische Maßnahmen – Rechenschaftspflicht 59 ff. – Transparenzgebot 59 ff. – Verbot mit Erlaubnisvorbehalt 47 ff. Haftungsrisiken – Insolvenzverwalter 552
Influencer
25
Stichwortverzeichnis
Informationspflichten 381 ff. – Art und Weise 385 ff. – Ausnahmen 399 ff. – Ausnahmen bei Dritterhebung 411 ff. – Datenkategorien 405 ff. – Datenschutzverletzung 416 f. – Direkterhebung 384 ff. – Erhebung bei einem Dritten 404 ff. – Inhalt 391 ff. – Interessenten 616 – Mandatsübernahme 838 ff. – Medienbruch 385 ff. – Muster Informationspflichten 874 – Nichterteilung 564 – Quellenbenennung 408 – Rechtsbelehrungspflichten 395 – Weiterverarbeitung 410 – Zweckänderung 397 f. InsO-App – AG Rockenhausen 800 ff. Insolvenzakte 521 Insolvenzbekanntmachungen – InsO-App 800 ff. – Löschungsfristen 801 Insolvenzgericht – Auftragsvereinbarung 534 – Datenschutz 794 ff. – Vorauswahlliste 485 ff. Insolvenzplan 685 ff. Insolvenzverfahren – Bestandsaufnahme Datensituation 567 ff. Insolvenzverwalter – Altverfahren 352 ff. – Archivierung 345 ff. – Beachtung Datenschutz 123 ff. – Benennung Datenschutzbeauftragter 664 ff. – berechtigtes Interesse 739 – Betriebsfortführung 592 – Bewerbung bei Gericht 485 ff.; siehe auch Vorauswahlliste
– Bewerbungen Mitarbeiter 131 f. – Datenschutz in der Kanzlei 123 ff. – Datenschutzbeauftragter 135 ff.; siehe auch Datenschutzbeauftragter – Datenschutzorganisation 72 – Datenschutzverstoß 127 f.; siehe auch Sanktionen – Datensicherung 597 ff. – Datenträger 356 ff. – Dienstleister 320 ff. – E-Mail-Versand 294 f.; siehe auch Technische und organisatorische Maßnahmen – Haftung Altlasten 650 ff. – Haftung wg. Datenschutzverstoß 80 ff. – Informationspflichten 73 f.; siehe auch Informationspflichten – Insolvenzverfahren 4.0 10 ff. – interne Daten 836 ff. – Kontakt Aufsichtsbehörde 647 – Löschungskonzept 339 ff. – Lösung Datenübertragung Einwilligung 720 ff. – Meldepflicht bei Datenschutzverletzung 77, 418, 446; siehe auch Datenschutzverletzung – Notebooks, Handys 362 ff. – Pflichten eines Verantwortlichen 548 ff. – Problemfelder Datenschutz 78 f. – Prüfung Datenschutzvorgaben 669 ff. – Rechte Betroffener 373 ff. – Rechtmäßigkeit Datenverarbeitung 49 ff. – Regelung E-Mail-Accounts 325 ff. – Regelung Internetnutzung 336 ff.
321
Stichwortverzeichnis
– Risikobetrachtung 667 f. – Unternehmensdaten 540 ff.; siehe auch vorläufiger Insolvenzverwalter, Verfahrensdaten – Verantwortlicher 43; siehe auch Verantwortlicher – Verantwortlicher für eigene Kanzlei 46 – Verantwortlicher im Verfahren 519 ff. – Verfahrensdaten 539 ff. – Vergütung 785 ff. – Widerspruchslösung 746 – Zugriffsberechtigungen 295 f.; siehe auch Technische und organisatorische Maßnahmen Interessenabwägung – Asset Deal 694 ff. – berechtigtes Interesse 737 ff. – Gläubiger vs. Schuldner 557 – Sicherung E-Mail-Account 611 f. – Widerspruchsrecht 481 – Zugriff Postfach Mitarbeiter 329 ff.
Konkretisierungsklausel – Beschäftigungsdatenschutz 490 – Beschränkungen Betroffenenrechte 553 ff. – Insolvenzrecht 559 Kopplungsverbot 702
Legal Tech – Zuhilfenahme von Software 894 Listenprivileg 691 Löschung – Recht auf 464 ff. Löschungspflicht 465 f. – Antrag 468 – Ausnahmen 469 f.
Masseverbindlichkeit
648 – Ordnungspflicht 652 f.
322
Medienbruch 385 ff. Melde- und Frühwarnsystem 437 ff. Messengerdienste 841 ff.; siehe auch Technische und organisatorische Maßnahmen Mitarbeiterschulung – Sensibilisierung 367 ff.
Negativauskunft
458
Onlinezugänge
760 f.
Personenbezogene Daten – besondere Kategorie, Art. 9 DSGVO 38 – Datenträger 357 ff. – Definition 34 ff. – Übertragung Asset Deal 689 ff. Postsperre 798 ff. Privacy by Default 182 ff.; siehe auch Technische und organisatorische Maßnahmen Privacy by Design 182 ff.; siehe auch Technische und organisatorische Maßnahmen Pseudonymisierung 229 ff.
Rechte und Pflichten – Eintritt des Insolvenzverwalters 540 Rechtsgrundlage – Datensicherung 604 ff. – Gutachten besonderer Kategorie, Art. 9 DSGVO 630 – Übertragung mit berechtigtem Interesse 731 ff. – Übertragung mit Einwilligung 704 – Übertragung rechtlicher Verpflichtung 728 ff. – Verarbeitung Verfahrensdaten 537 – Verarbeitung zur Vertragsübernahme 699 ff.
Stichwortverzeichnis
Rechtsnormen 22 ff.; siehe auch Datenschutz-Grundverordnung, Bundesdatenschutzgesetz – Anwendungsbereich der Datenschutzgesetze 30 ff. – Berufsordnung für Rechtsanwälte 26 f. – ePrivacy-Verordnung 25 – Gesetz gegen unlauteren Wettbewerb 25 – Kunsturhebergesetz 25 – Sozialgesetzbuch 25 – Strafgesetzbuch 25 – Telekommunikationsgesetz 25 – VDG, Signaturgesetz 25 Rechtsprechung 880 Risiko 257 ff. – Arten von Risiken 262 – Eintrittswahrscheinlichkeit 269 f. – Identifikation 265 ff. – Risikoanalyse 263 f. – Risikoquelle 268 – Schadensausmaß 272 ff. Risikoabwägung – Datenschutzverstoß 429 ff.; siehe auch Risiko
– Insolvenzplan 685 ff. – Share Deal 688 – Verstoß 677 ff. Sanktionen – Beweislast 95 – Bußgeld BayLDA 125 f. – Bußgelder 80 – Höhe Schadensersatz 99 – Nichtbenennung Datenschutzbeauftragter 192 – Schadensersatz 89 ff. – Strafbarkeit 80 ff. Schuldnerberatung 809 ff. Schuldnerdaten – Datenschutzbeauftragter 581 ff. – Datenschutzmanagementsystem 586 ff. – technische und organisatorische Maßnahmen 580 – Verzeichnis der Verarbeitungstätigkeiten 577 ff. Share Deal 688 Strafbarkeit – Verstoß gg. Datenschutz 80 ff. Strafgesetzbuch – Auszug Anhang
Sachverständigengutachten
Technische und organisatorische
– besondere Kategorie, Art. 9 DSGVO 628 ff. – Datenfluss 635 ff. – Datensparsamkeit 632 ff. – Einsichtsrecht 640 ff. – Erforderlichkeit 627 ff. – Zweck 643 f. Sachverständiger 542 ff. – Datensituation beim Schuldner 565 ff. – Gutachtenauftrag 543 – Verantwortlicher 545 Sachwalter 546 f. – Aufgabe 659 ff. Sanierung 675 ff. – Asset Deal 689 ff.
Maßnahmen 222 ff. – Back-up- und RecoveryKonzepte 302 – Bildschirmschoner 287 – Datenschutzmanagementsystem 306 ff. – Datenschutzniveau 248 ff. – Dienstgeräte 363 ff. – Inhaltsverschlüsselung 294 – Integrität 242 ff. – Maßnahmenkatalog gem. § 64 BDSG 275 ff. – Passwortrichtlinie 285 f. – Privacy by Default 316 – Privacy by Design 315 – Pseudonymisierung 229 ff., 291
323
Stichwortverzeichnis
– – – – – – – –
Reaktionsmanagement 313 f. Risikoabwägung 254 ff. Schuldnerdaten 580 Sicherheitsmaßnahmen 228 ff. Stand der Technik 225 ff. Transportverschlüsselung 294 Verfügbarkeit 251 ff. Verfügbarkeit und Belastbarkeit 236 ff. – Verschlüsselung 233 ff. – Vertraulichkeit 238 ff. – Zugriffssperren 296 Trennungskontrolle 288 ff.; siehe auch Technische und organisatorische Maßnahmen
Übertragende Sanierung – – – – – – – – –
Arbeitnehmerdaten 619 ff. Auftragsvereinbarung 720 ff. berechtigtes Interesse 731 ff. Bußgelder 675 Datenraum 617 f. Due Diligence 624 Einwilligung 710 ff. Informationspflichten 610 rechtliche Verpflichtung 728 ff. – Vorbereitungen 615 ff. – Widerspruchslösung 741 ff. Unternehmensdaten 520
Verantwortlicher – Abgrenzung zum Auftragsverarbeiter 510 ff. – Aktionismus 112 ff. – Antragsverfahren 498 ff. – Begriffsbestimmung 498 ff. – Definition 504 ff. – Dienstgeräte 362 ff. – gemeinsame Verantwortlichkeit 119 ff. – Hinweis auf Widerspruchsrecht 483 – Karenzzeit Berichtigung 471
324
– Konkretisierung des Auskunftsverlangens 460 – Pflicht zur Auskunft 451 ff.; siehe auch Betroffenenrechte – Pflicht zur Löschung 340 ff.; siehe auch Betroffenenrechte – Prognose Datenschutzverstoß 430 f. – Protokollierung und Löschungsfristen 299 f. – Rechenschaftspflicht 307 – Sensibilisierung Mitarbeiter 367 ff. – Verantwortlicher für den Umgang mit Daten 40 ff. – Verzeichnis der Verarbeitungstätigkeiten 213 f. Verfahrensdaten 521 Verfahrensverzeichnis 194 f.; siehe Verzeichnis der Verarbeitungstätigkeiten Verfügbarkeitskontrolle 301 ff.; siehe auch Technische und organisatorische Maßnahmen Vergessenwerden – Recht auf 482 ff.; siehe auch Betroffenenrechte Vergütung – datenschutzrechtliche Befassung 785 ff. – Zuschläge 792 Verhältnismäßigkeitsgrundsatz 554 – Auswertung 613 f. Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet Anhang Versicherbarkeit 895 Vertrauensdienstegesetz (ehm. Signaturgesetz) Anhang Verwaltungs- und Verfügungsbefugnis 519 Verzeichnis der Verarbeitungstätigkeiten 193 ff. – Ausnahmen 206 ff.
Stichwortverzeichnis
– Datenschutzbeauftragter 189 ff. – Dokumentation 196 ff. – Einsichtsrecht der Aufsichtsbehörde 215 f. – Form 200 ff. – Inhalt 217 ff. – Muster 877 – nach altem Recht 203 ff. – Nichterstellung, Falscherstellung 221 – öffentliches und internes Verzeichnis 223 ff. – Schuldnerdaten 577 ff. – Verpflichtung zum Führen 206 ff. Videoüberwachung 823 ff. Vorauswahlliste – Antrag 485 – Mitarbeiterdaten 487 ff. – Rechtmäßigkeit Datenverarbeitung 489 Vorläufiger Insolvenzverwalter – Auftragsverarbeiter 527 ff. – Betroffenenrechte 538; siehe auch Betroffenenrechte – gemeinsame Verantwortlichkeit 536 – starker bzw. schwacher vorläufiger Insolvenzverwalter siehe auch Verantwortlicher – Unternehmensdaten 523 f. – Verantwortlicher 44 f.; siehe auch Verantwortlicher
– Verantwortlicher Verarbeitung Verfahrensdaten 536 – Verfahrensdaten 525 f. Vorläufiger Sachwalter 526 f.
Weitergabekontrolle
292 ff.; siehe auch Technische und organisatorische Maßnahmen Widerspruchslösung 741 ff. Widerspruchsrecht 475 ff. – Direktwerbung 477 – Pflicht zur Löschung 495 – Verarbeitungstätigkeit 480 ff. – Voraussetzungen 482 ff.
Zugangskontrolle
278 ff.; siehe auch Technische und organisatorische Maßnahmen Zugriffskontrolle 283 ff.; siehe auch Technische und organisatorische Maßnahmen Zutrittskontrolle 278 ff.; siehe auch Technische und organisatorische Maßnahmen Zwangsvollstreckungsrecht – Durchsetzung zivilrechtlicher Ansprüche 557 Zweck – Verarbeitung 62 Zweckänderung 733 ff. – Vereinbarkeit 735 Zweckbindung 732 Zweckerfüllung – Bewerbungen 350
325