133 86 3MB
German Pages 323 [322] Year 2019
Weiß/Reisener Datenschutz in der Insolvenzkanzlei
ZIP Praxisbuch 13
Datenschutz in der Insolvenzkanzlei von RA/FA InsR/Insolvenzverwalter Christian Weiß, Köln
und Wirtschaftsjurist/LL.M./Zert. u. betrieblicher Datenschutzbeauftragter Nico Reisener, Berlin
RWS Verlag Kommunikationsforum GmbH Köln
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
© 2019 RWS Verlag Kommunikationsforum GmbH Postfach 27 01 25, 50508 Köln E-Mail: [email protected], Internet: http://www.rws-verlag.de Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion, der Vervielfältigung auf fotomechanischem oder anderen Wegen und der Speicherung in elektronischen Medien. Satz und Datenverarbeitung: SEUME Publishing Services GmbH, Erfurt Druck und Verarbeitung: Hundt Druck GmbH, Köln
Vorwort Die EU-Datenschutz-Grundverordnung (DSGVO) hat zum 25.5.2018 volle Wirksamkeit entfaltet. Sie stellt vermutlich die bedeutendste Datenschutzvorschrift in Europa dar. Mit ihr gingen weitere Änderungen einher. Sie werden auch in Zukunft vorkommen – und zwar im Bundesdatenschutzgesetz (BDSG 2018), aber ebenso in den korrespondierenden Ländergesetzen. Erst recht in der Rechtsprechung. Diese vollständige Umsetzung des „emsigen“ Willens des EU-Gesetzgebers wird noch Monate oder gar Jahre dauern. Neben der rechtlichen ist immer aber auch die tatsächliche Realität zu betrachten. „Industrie 4.0“, „Insolvenzverwaltung 4.0“ sind nicht nur Schlagworte: Wir sind definitiv in einer neuen Ära der Digitalisierung angekommen. Nicht selten trifft der Praktiker daher auf Insolvenzverfahren, bei denen die einzigen Vermögenswerte (Kunden-)Daten und somit personenbezogene Daten sind. Wie geht der Insolvenzverwalter damit um? Wie geht er darüber hinaus mit den zu beachtenden datenschutzrechtlichen Rahmenbedingungen beim Insolvenzschuldner in seiner eigenen Kanzlei um? Das vorliegende ZIP Praxisbuch richtet sich in Beantwortung dessen an Praktiker der Insolvenzverwaltung. Es kann (und soll) in dem Zusammenhang jedoch für Steuer-, Unternehmens- und sonstige Berater, insbesondere aber auch (externe) Datenschutzbeauftragte oder sonstige Datenschutzexperten eins sein: ein wichtiger erster Ratgeber. Und zwar immer dann, wenn eine Überschneidung von Daten, Datenschutz und Insolvenzverfahren vorliegt. Denn dies ist die spezielle Fokussierung der beiden Autoren in ihrer Praxis und somit auch dieses Werkes. Das Buch gibt den „Rechtsstand“ zum Jahresanfang 2019 wieder (sofern man von einem solchen insbesondere anhand kaum vorhandener Entscheidungen sprechen kann). Die hier geäußerten Meinungen der Autoren, vorhandene Beispiele, Muster und Praxishinweise wurden demgemäß und entsprechend der eingeschätzten Interessenslage der Leser ausgesucht. Sie machen indes eine einzelfallbezogene Prüfung – aktuell und auch in Zukunft – mitnichten obsolet. Eine solche ist dem Insolvenzverwalter insbesondere angeraten, da Stand heute nicht klar ist, wie Datenschützer, (Insolvenz-)Gerichte u. a. mit unserem Aufgabenfeld überhaupt umgehen. Anspruch auf Vollständigkeit, Richtigkeit etc. kann das Werk also nicht beanspruchen. Dies liegt ebenfalls in dem Umstand begründet, dass sich das Datenschutzrecht erst noch entwickeln muss. Auch die einzelnen Aufsichtsbehörden vertreten zu den jeweiligen Themen zum Teil unterschiedliche Ansichten. Teilweise haben „Datenschützer“ aber keinen Einblick in die eigentlich korrespondierenden Besonderheiten eines Insolvenzverfahrens.
V
Vorwort
Die Leser sind deshalb eingeladen, diese Entwicklung unbedingt mitzugestalten! Bereits jetzt daher ein herzliches Dankeschön für interessante Diskussionen, Anmerkungen, Lob und Kritik, aber auch Fragen und Entscheidungen. Gerne über den Verlag, aber auch per E-Mail: [email protected]. Abschließend einen großen Dank an Verlag und insbesondere Lektorat, die in wesentlichem Umfang zur Verwirklichung dieses Buchprojektes beigetragen haben.
Köln/Berlin, im Mai 2019
VI
Christian Weiß Nico Reisener
Inhaltsverzeichnis Rn.
Seite
Vorwort ............................................................................................................ V Literaturverzeichnis .................................................................................. XVII A. Vorbemerkung ............................................................................. 1 ........ 1 I.
Intention des Buches .................................................................... 2 ........ 1
II. Aufbau des ZIP Praxisbuches ...................................................... 6 ........ 2 B. Einleitung ..................................................................................... 8 ........ 5 I.
Die bedeutendste Datenschutzvorschrift Europas – die DSGVO ................................................................................. 11 ........ 5
II. Fiktive Beispiele mit datenschutzrechlichem Bezug aus einer Anwaltskanzlei .................................................................. 12 ........ 6 III. Insolvenzverfahren 4.0 ............................................................... 14 ........ 8 IV. Und nun lieber Insolvenzverwalter? Zwischen Baum und Borke? ......................................................................................... 1. „Beispielunternehmen 1“ .................................................... 2. „Beispielunternehmen 2“ .................................................... 3. Vorweggenommenes Zwischenergebnis ............................
17 18 19 20
........ ........ ........ ........
8 8 9 9
C. Kurze Geschichte des Datenschutzes ...................................... 23 ...... 11 I.
Die 60er und 70er Jahre .............................................................. 25 ...... 11
II. Die 80er Jahre und das Volkszählungsurteil ............................. 29 ...... 12 III. Die 90er und 2000er Jahre: Diverse Skandale, aber auch das Inkrafttreten der InsO ......................................................... 1. Gesetzgeberische Akte ....................................................... 2. Skandale vs. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ............................................................ 3. Das Inkrafttreten der InsO ................................................
30 ...... 13 31 ...... 13
32 ...... 13 33 ...... 13
IV. Die Entwicklung des Datenschutzes seit 2009 bis heute ......... 35 ...... 14 1. Weiterentwicklung BDSG .................................................. 35 ...... 14 2. Die DSGVO und das BDSG 2018 ..................................... 37 ...... 15 D. Überblick zum Datenschutzrecht ........................................... 41 ...... 17 I.
Rechtsnormen des Datenschutzrechts ...................................... 42 ...... 17 VII
Inhaltsverzeichnis Rn.
II. Datenschutzrechtliche Grundsätze ........................................... 1. Anwendungsbereich der Datenschutzgesetze ................... 2. Verantwortlicher für den Umgang mit Daten ................... 3. Verbot mit Erlaubnisvorbehalt ........................................... a) Grundsätzliches (Art. 6 Abs. 1 DSGVO) .................. b) Die einzelnen Erlaubnistatbestände des Art. 6 Abs. 1 Satz 1 DSGVO in Kürze ................................. 4. Das Transparenzgebot und die Rechenschaftspflicht des Datenschutzrechts ........................................................ 5. Der Grundsatz der Datensparsamkeit und Datenvermeidung, Pseudonymisierung und Anonymisierung ..... 6. Erweiterte Betroffenenrechte, insbesondere das Recht auf Auskunft, Vergessenwerden und Datenportabilität ...
49 50 59 66 67
Seite
...... ...... ...... ...... ......
22 22 25 27 27
68 ...... 28 76 ...... 32 80 ...... 33 86 ...... 35
III. Erstes Zwischenergebnis für die Insolvenzverwalterkanzlei und weitere Problemfelder ......................................................... 94 ...... 37 IV. Strafbarkeit, Bußgelder und Schadensersatz ............................. 96 1. § 42 BDSG 2018 .................................................................. 98 2. Sonstige infrage kommende Strafvorschriften ................ 101 3. Exkurs: Der (immaterielle) Schadensersatzanspruch nach Art. 82 DSGVO ....................................................... 105
...... 39 ...... 39 ...... 40 ...... 42
V. Zur Beweislast und Sonstiges ................................................... 111 ...... 43 VI. Befugnisse der Datenschutzbehörde (insbesondere nach Art. 58 DSGVO) ............................................................. 116 ...... 45 E.
Erste Erfahrungen mit der DSGVO ..................................... 118 ...... 49
I.
Aufsichtsbehörden verzweifeln am neuen Datenschutzrecht ................................................................................ 119 ...... 49
II. Bürger sind durch Berichterstattung sensibilisiert ................. 125 ...... 50 III. Befürchtete Abmahnwelle blieb bis dato aus .......................... 127 ...... 50 1. Aktionismus der Verantwortlichen .................................. 135 ...... 53 2. Ausbleiben der „Abmahnwelle“ und Versuch der Verhinderung .............................................................. 139 ...... 53 IV. EuGH entscheidet zur gemeinsamen Verantwortlichkeit ..... 141 ...... 54 F.
Aus der Praxis – Datenschutz in der Kanzlei ....................... 145 ...... 57
I.
Allgemeines ............................................................................... 152 ...... 59
II. Datenschutzbeauftragter .......................................................... 1. Pflichtbenennung und/oder freiwillige Benennung ........ a) Öffentliche Stellen ..................................................... b) Nichtöffentliche Stellen ............................................
VIII
158 163 164 165
...... ...... ...... ......
61 63 63 63
Inhaltsverzeichnis Rn.
2.
3.
4.
Nutzung der Konkretisierungsklausel durch § 38 BDSG ....................................................... d) Kündigungsschutz und Grundsätze für den Datenschutzbeauftragten ................................... aa) Kündigungsschutz ............................................ bb) Verschwiegenheitspflicht ................................. cc) Zeugnisverweigerungsrecht .............................. Wer kann zum Datenschutzbeauftragten benannt werden? .............................................................................. a) Anforderungen an einen Datenschutzbeauftragten ............................................................... b) Konflikt mit einer anderen Tätigkeit ........................ c) Interner oder externer Datenschutzbeauftragter .... Welche Aufgaben hat der Datenschutzbeauftragte? ....... a) Unterrichtung und Beratung der verantwortlichen Stelle und der Beschäftigten ...................................... b) Überwachung der Einhaltung von Datenschutzvorschriften ................................................................ c) Durchführung der Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO ............................................. d) Zusammenarbeit mit der Aufsichtsbehörde ............ e) Schulung der Mitarbeiter ........................................... f) Führen des Verzeichnisses von Verarbeitungstätigkeiten .................................................................. Sanktion bei Nichtbeachtung ...........................................
Seite
c)
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ........................................................................ 1. Dokumentation des Umgangs mit personenbezogenen Daten ................................................................................. 2. Öffentliches und internes Verzeichnis bis zum 25. Mai 2018 ....................................................................... 3. Kein öffentliches Verzeichnis (mehr) seit 25. Mai 2018 ....................................................................... 4. Ausnahmen von der Verpflichtung zum Führen eines Verzeichnisses .......................................................... 5. Pflicht des Verantwortlichen und des Auftragsverarbeiters ........................................................................ 6. Einsichtsrecht der Aufsichtsbehörden ............................. 7. Inhalt des Verzeichnisses von Verarbeitungstätigkeiten .......................................................................... 8. Sanktion bei Nicht- oder Falscherstellung ......................
171 ...... 65 174 176 179 180
...... ...... ...... ......
66 66 67 67
182 ...... 67 183 187 188 195
...... ...... ...... ......
67 68 69 70
196 ...... 71 199 ...... 71 204 ...... 72 211 ...... 73 212 ...... 74 213 ...... 74 215 ...... 74 216 ...... 75 219 ...... 75 226 ...... 77 228 ...... 77 229 ...... 78 236 ...... 79 238 ...... 79 240 ...... 80 244 ...... 81
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ........................................................................ 245 ...... 81 1. Schutzmaßnahmen nach dem Stand der Technik ........... 248 ...... 82
IX
Inhaltsverzeichnis Rn.
2.
3.
4.
Ergreifung von Sicherheitsmaßnahmen ........................... a) Pseudonymisierung ................................................... b) Verschlüsselung ......................................................... c) Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme .......... aa) Vertraulichkeit .................................................. bb) Integrität ............................................................ cc) Verfügbarkeit und Belastbarkeit ...................... dd) Dauerhafte Sicherstellung des Datenschutzniveaus .................................................... d) Wiederherstellbarkeit der Verfügbarkeit .................. Risikoabschätzung bzw. Risikoabwägung ....................... a) Rechte und Freiheiten des Betroffenen .................... b) Begriff des Risikos ..................................................... c) Arten von Risiken ...................................................... d) Risikoanalyse .............................................................. aa) Identifikation der Risiken ................................ bb) Einschätzung der Eintrittswahrscheinlichkeit ..................................................... cc) Schwere des Risikos (Schadensausmaß) .......... Vorgaben aus § 64 BDSG ................................................. a) Zugangskontrolle ....................................................... b) Zugriffskontrolle ....................................................... c) Trennungskontrolle ................................................... d) Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO) .................................................................... e) Weitergabekontrolle .................................................. f) Eingabekontrolle ....................................................... g) Verfügbarkeitskontrolle ............................................ h) Zuverlässigkeit und Belastbarkeit ............................. i) Datenschutzmanagementsystem .............................. j) Reaktionsmanagement .............................................. k) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) .......................................... l) Auftragskontrolle ......................................................
V. Weitere interne Maßnahmen für den Datenschutz ................ 1. Auftragsverarbeiter ........................................................... 2. Klärung hinsichtlich der privaten Nutzung des E-Mail-Accounts u. Ä. ...................................................... a) Private Nutzung – erlaubt oder geduldet ................. aa) Gegenläufige Ansichten ................................... bb) Interessenabwägung .......................................... cc) Verhältnismäßigkeit des Zugriffs ..................... b) Exkurs: Kein Arbeitgeberzugriff auf gemischt genutzten Facebook-Account .................................. X
Seite
251 ...... 83 252 ...... 83 256 ...... 84 259 261 265 268
...... ...... ...... ......
85 86 87 87
271 274 277 278 280 285 286 288
...... ...... ...... ...... ...... ...... ...... ......
88 88 89 89 90 91 92 92
292 295 298 301 306 311
...... 94 ...... 95 ...... 96 ...... 98 ...... 99 .... 100
314 315 321 324 327 329 336
.... .... .... .... .... .... ....
101 101 102 103 104 104 106
338 .... 107 340 .... 107 343 .... 108 343 .... 108 348 349 350 352 353
.... .... .... .... ....
109 110 110 110 111
356 .... 111
Inhaltsverzeichnis Rn.
3. 4. 5.
6. 7. 8.
c) Private Nutzung verbieten oder einschränken ........ Regelung der Internetnutzung ......................................... Schaffung eines Löschungskonzepts ............................... Prüfung der Archivierung und Aufbewahrung ............... a) E-Mail-Archivierung ................................................. b) Altverfahren ............................................................... Vernichtung von Datenträgern ........................................ Regelungen für Notebooks und Handys ......................... Sensibilisierung der Mitarbeiter .......................................
VI. Rechte Betroffener ................................................................... 1. Allgemeines ....................................................................... 2. Informationsrechte des Betroffen bzw. Informationspflichten des Verantwortlichen ........................................ a) Informationspflicht bei Direkterhebung ................. aa) Art und Weise der Informationserteilung ....... bb) Inhalt der Informationspflichten ..................... cc) Information bei Weiterverarbeitung zu einem anderen Zweck ....................................... dd) Ausnahmen von der Informationspflicht ........ b) Informationspflicht bei Erhebung bei einem Dritten ............................................................. aa) Kategorien personenbezogener Daten ............ bb) Benennung der Quelle ...................................... cc) Art und Weise der Informationserteilung ....... dd) Information bei Weiterverarbeitung zu einem anderen Zweck ....................................... ee) Ausnahmen von der Informationspflicht ........ c) Informationspflicht bei einer Datenpanne ............... aa) Pflicht zur Meldung gegenüber der Aufsichtsbehörde .............................................................. (1) Datenschutzverletzung – Datenpanne ..... (2) Meldefrist und Form der Meldung ........... (3) Inhalt der Meldung .................................... (4) Ausnahme aufgrund der Risikoabwägung ................................................... bb) Dokumentation ................................................. d) Pflicht zur Benachrichtigung des Betroffenen ......... e) Zwischenfazit ............................................................. 3. Auskunftsrecht .................................................................. a) Art und Weise der Auskunftserteilung .................... b) Frist und Kosten der Auskunftserteilung ................ c) Inhalt der Auskunftserteilung .................................. 4. Recht auf Berichtigung ..................................................... 5. Recht auf Löschung .......................................................... a) Voraussetzungen für Pflicht zur Löschung .............
357 359 362 368 370 374 378 384 389
Seite
.... .... .... .... .... .... .... .... ....
112 112 113 114 115 116 117 118 120
392 .... 121 395 .... 122 401 404 405 410
.... .... .... ....
123 124 124 127
416 .... 128 418 .... 128 423 424 427 428
.... .... .... ....
129 130 130 131
429 .... 131 430 .... 131 435 .... 133 437 438 442 445
.... .... .... ....
133 133 135 135
447 451 456 465 469 471 474 476 479 482 483
.... .... .... .... .... .... .... .... .... .... ....
136 137 138 140 141 141 142 142 144 144 144 XI
Inhaltsverzeichnis Rn.
Seite
b) Recht auf Vergessenwerden ...................................... c) Antrag auf Löschung ................................................. d) Ausnahmen von der Löschungspflicht ..................... Recht auf Einschränkung .................................................. Recht auf Datenübertragbarkeit ....................................... Widerspruchsrecht ............................................................
485 486 487 489 492 493
.... .... .... .... .... ....
145 145 146 146 147 147
VII. Bewerbung als Insolvenzverwalter bei Gericht ....................... 1. Antrag auf Aufnahme zur Vorauswahlliste ..................... 2. Mitarbeiterdaten – personenbezogene Daten? ................ 3. Rechtmäßigkeit der Übermittlung ................................... 4. Einwilligung der Mitarbeiter ............................................
503 503 505 507 509
.... .... .... .... ....
150 150 150 150 151
6. 7. 8.
G. Datenschutz im Antragsverfahren ........................................ 513 .... 153 I.
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ...................... 1. Begriffsbestimmung .......................................................... a) Verantwortlicher ........................................................ b) Dritter ........................................................................ c) Auftragsverarbeiter .................................................... 2. Einordnung Insolvenzverwalter nach seiner jeweiligen Funktion ............................................................................ a) Arten der Daten und Zweck ihrer Erhebung ........... b) Einordnung vorläufiger Insolvenzverwalter ............ aa) Betrachtung hinsichtlich der Unternehmensdaten .................................................................. bb) Betrachtung hinsichtlich der Verfahrensdaten .................................................................. cc) Auftragsverarbeitung ........................................ dd) Verantwortlicher ............................................... c) Einordnung Insolvenzverwalter ............................... d) Einordnung Sachverständiger ................................... e) Einordnung (vorläufiger) Sachwalter ....................... 3. Datenschutzrechtliche Pflichten des Insolvenzverwalters ........................................................................... 4. Unterstützung durch den Gesetzgeber bzw. die Insolvenzgerichte ........................................................ a) Beschränkungen der Betroffenenrechte durch den Gesetzgeber ........................................................ b) Auftragsvereinbarung für die Insolvenzgerichte ..... 5. Zwischenfazit ....................................................................
517 520 522 526 528
.... .... .... .... ....
153 154 154 155 156
536 .... 158 537 .... 158 540 .... 159 540 .... 159 542 544 553 556 559 563
.... .... .... .... .... ....
159 160 162 163 164 165
565 .... 166 569 .... 167 570 .... 167 576 .... 169 579 .... 169
II. Datensituation beim Schuldner ............................................... 582 .... 170 1. Bestandsaufnahme: Daten beim Schuldner ..................... 584 .... 170 a) Wo befinden sich welche Daten und um welche Datenkategorien handelt es sich? ............................. 585 .... 170
XII
Inhaltsverzeichnis Rn.
2. 3. 4. 5. 6. 7.
8.
b) Wer hat Zugriff auf diese Daten? Wie lauten die Zugangsdaten? ..................................................... c) Wie sind diese Daten erhoben worden? ................... Sichtung Verzeichnis von Verarbeitungstätigkeiten ....... Datenschutzbeauftragter im schuldnerischen Unternehmen .................................................................... Sichtung Datenschutzmanagement .................................. Auftragsverarbeitung mit Dienstleister bzw. Schuldner als Auftragsverarbeiter ...................................................... Datenpannen und Meldungen Betroffener ...................... Datensicherung ................................................................. a) Daten auf dem Stick .................................................. b) Datenübertragung ...................................................... c) Beachtung Rechte Betroffener .................................. Vorbereitungen zur übertragenden Sanierung ................ a) Datenschutzrechtliche Prüfung der Daten für den Datenraum .......................................................... b) Mitarbeiterdatenschutz ............................................. c) Nutzung eines Dienstleisters für Due Diligence .....
Seite
589 .... 171 592 .... 172 594 .... 173 598 .... 174 603 .... 175 606 610 614 618 624 626 632
.... .... .... .... .... .... ....
175 176 177 177 179 179 181
634 .... 181 636 .... 181 641 .... 183
H. Sachverständigengutachten ................................................... 643 .... 185 I.
Allgemeines ............................................................................... 643 .... 185
II. Grundsatz Datensparsamkeit .................................................. 1. Datenfluss .......................................................................... 2. Großer Empfängerkreis .................................................... 3. Zweck des Gutachtens ......................................................
649 652 655 660
.... .... .... ....
186 187 187 188
I.
Datenschutz im eröffneten Verfahren .................................. 662 .... 191
I.
Situation Insolvenzverwalter ................................................... 662 .... 191
II. Haftung für „Altlasten“ und Weiterverarbeitung ................... 1. „Altlasten“ vor Verfahrenseröffnung ............................... 2. „Altlasten“ nach Verfahrenseröffnung ............................ a) Stilllegung aus rechtlichen Gründen ......................... b) Stilllegung aus wirtschaftlichen Gründen ................ 3. Sonderfall Eigenverwaltung .............................................. 4. Fortführung nach Verfahrenseröffnung und interne Maßnahmen ....................................................................... a) Benennung DSB ......................................................... b) Risikobetrachtung der datenschutzrechtlichen Grundlagen ................................................................ c) Prüfung Verzeichnis und Datenschutzmanagement ............................................................... 5. Sanierung des schuldnerischen Unternehmens ............... a) Insolvenzplan .............................................................
666 669 670 671 672 674
.... .... .... .... .... ....
192 192 193 193 193 194
678 .... 195 679 .... 195 682 .... 196 684 .... 196 690 .... 198 700 .... 200 XIII
Inhaltsverzeichnis Rn.
6.
7.
b) Share Deal .................................................................. c) Übertragende Sanierung mit Asset Deal .................. aa) Übertragung mit Vertragsübernahme ............. bb) Übertragung mit Einwilligung ......................... (1) Einwilligung ............................................... (2) Probleme bei der Einwilligungseinholung ................................................... (3) Erfordernis der Einwilligung für bestimmte Daten ....................................... (4) Möglicher Lösungsweg bei einer Einwilligung ............................................... d) Übertragung wegen rechtlicher Verpflichtung ........ e) Übertragung mit berechtigtem Interesse ................. aa) Zweckänderung ................................................. bb) Interessenabwägung .......................................... cc) Widerspruchslösung ......................................... dd) Prüfung bei anstehender Übermittlung ........... Verwertung von Anlagevermögen (Hardware) ............... a) Beauftragung Verwerter ............................................ b) Verwertung der Hardware ........................................ Online- und Cloudzugänge ..............................................
703 704 711 716 717
Seite
.... .... .... .... ....
201 201 203 205 205
722 .... 206 727 .... 207 732 740 743 745 749 753 761 763 764 767 772
.... .... .... .... .... .... .... .... .... .... ....
208 211 211 212 213 215 218 218 218 219 220
J.
Datenschutzrechtliche Belange und die Vergütung des Insolvenzverwalters .......................................................... 774 .... 221
I.
Vorausgesetzte Tätigkeiten nach der vergütungsrechtlichen Literatur .................................................................................... 775 .... 221
II. Vergütungsrechtliche Einordnung .......................................... 779 .... 222 K. Exkurs: Postsperre, InsO-App, Löschung von InsolvenzEinträgen etc. ........................................................................... 783 .... 225 I.
Der Datenschutz und die (Insolvenz-)Gerichte .................... 784 .... 225
II. Die Postsperre .......................................................................... 788 .... 226 III. InsO-App: AG Rockenhausen ................................................ 790 .... 227 IV. Kein vorzeitiger Löschungsanspruch gegenüber Auskunfteien wegen Insolvenzvermerken .............................. 797 .... 230 V. Schuldnerberatung i. S. v. § 305 Abs. 1 Nr. 1 InsO via Internet-Videokonferenz ................................................... 798 .... 230 L.
Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei ........................................................................ 802 .... 233
I.
Videoüberwachung am Eingangsbereich ................................. 802 .... 233
XIV
Inhaltsverzeichnis Rn.
Seite
II. E-Mail-Nutzung ....................................................................... 806 .... 234 III. „Kanzlei-Facebook“ ................................................................. 811 .... 235 IV. Informationsblatt vor bzw. bei Mandatsübernahme .............. 813 .... 236 M. Fazit ........................................................................................... 824 .... 239 N. Muster und Formulierungsvorschläge ................................. 826 .... 241 I.
Muster Auftragsverarbeitungsvereinbarung ........................... 828 .... 241
II. Muster Informationspflichten gemäß Artt. 12 ff. DSGVO ..... 829 .... 243 III. Einwilligung zur Nutzung von Fotoaufnahmen und zur Weitergabe personenbezogener Daten ............................. 830 .... 244 IV. Einwilligung Mitarbeiter zu Fotoaufnahmen für die Webseite .............................................................................. 831 .... 245 V. Muster Verzeichnis der Verarbeitungstätigkeiten .................. 832 .... 246 O. Gesetze und Rechtsprechung ................................................. 833 .... 247 P.
Erwägungsgründe DSGVO ................................................... 836 .... 249
Q. Legal Tech: Zuhilfenahme von Software? ............................ 849 .... 257 R. Ultima Ratio: Versicherbarkeit entsprechender Risiken ... 850 .... 259 Anhang .......................................................................................................... 261 Gesetze und Verordnungen .......................................................................... BDSG 2018 ............................................................................................ Vertrauensdienstegesetz (VDG) .......................................................... Strafgesetzbuch (StGB) ........................................................................ Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Kunsturheberrechtsgesetz – KUG) .... Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet ............................................................................
261 261 261 273 274 278
Übersichten ................................................................................................... 280 Geldbußen nach Art. 83 DSGVO ........................................................ 280 Bußgeldbescheid des BayLDA aus dem Jahr 2015 (anonymisiert) .... 282 Stichwortverzeichnis ................................................................................... 287
XV
Literaturverzeichnis Kommentare, Handbücher, Monographien, Praxishilfen1) Achenbach u. a. Handbuch Wirtschaftsstrafrecht, 4. Aufl., 2015 (zit.: Achenbach u. a.-Bearbeiter, HdB Wirtschaftsstrafrecht) Ascheid/Preis/Schmidt (Hrsg.) Kündigungsrecht, Kommentar, 5. Aufl., 2017 (zit.: Ascheid/Preis/Schmidt-Bearbeiter, Kündigungsrecht) Bayerisches Landesamt für Datenschutzaufsicht (Hrsg.) Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine – Das Sofortmaßnahmen-Paket, 2018 Bitkom Leitfaden: Risk Assessment & Datenschutz-Folgenabschätzung, Berlin 2017 Däubler/Klebe/Wedde/Weichert Bundesdatenschutzgesetz, Kommentar zum Bundesdatenschutzgesetz – inklusive Safe-Harbor-Urteil des EuGH, 5. Aufl., 2016 (zit.: Däubler/Klebe/Wedde/Weichert, BDSG) Ehmann/Selmayr Kommentar zur Datenschutz-Grundverordnung, 2017 (zit.: Ehmann/Selmayr-Bearbeiter, DS-GVO) Forgo/Helfrich/Schneider (Hrsg.) Betrieblicher Datenschutz, 2. Aufl., 2017 Fridgen/Geiwitz/Göpfert (Hrsg.) Beck’scher Online-Kommentar, InsO, 12 Ed. 2018 (zit.: Bearbeiter, in: BeckOK InsO) GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der DatenschutzGrundverordnung, Stand November 2016 (zit.: GDD-Praxishilfe, DS-GVO I.) GDD-Praxishilfe DS-GVO IV – Vertragsmuster zur Auftragsverarbeitung, Stand April 2017 (zit.: GDD-Praxishilfe, DS-GVO IV) GDD-Praxishilfe DS-GVO VII – Transparenzpflichten bei der Datenverarbeitung, Stand April 2018 (zit.: GDD-Praxishilfe, DS-GVO VII) ___________ 1)
Entsprechend der Intention dieses Praxisbuches findet sich hier über die tatsächlich berücksichtigten Fundstellen hinaus auch weiterführende Literatur, sodass sich der Leser je nach seinem konkreten Bedarf dorthinein vertiefen kann.
XVII
Literaturverzeichnis
Gola/Schomerus Bundesdatenschutzgesetz, 12. Aufl., 2015 (zit.: Gola/Schomerus-Bearbeiter, BDSG) Graeber/Graeber InsVV, Kommentar zur Insolvenzrechtlichen Vergütungsverordnung, 2. Aufl., 2016 (zit.: Graeber/Graeber, InsVV) Haarmeyer/Mock Insolvenzrechtliche Vergütung (InsVV), 5. Aufl., 2014 (zit.: Haarmeyer/Mock, InsVV) Henke/Lührig/Härting Das Projekt Datenschutz, AnwBl. 5/2018, 263, 264 Heyn/Kreuznacht/Voß Arbeitshilfen für Insolvenzsachbearbeiter, 2014 Kirchhof/Eidenmüller/Stürner Münchener Kommentar zur Insolvenzordnung, 3. Aufl., 2013 (zit.: Bearbeiter, in: MünchKommInsO) Köhler/Bornekamm/Feddersen Gesetz gegen den unlauteren Wettbewerb, 36. Aufl., 2018 (zit.: Köhler/Bornekamm/Feddersen-Bearbeiter, UWG) Kühling/Buchner (Hrsg.) Kommentar Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Aufl., 2018 (zit.: Kühling/Buchner-Bearbeiter, DS-GVO/BDSG) Kühling/Seidel/Sivridis (Hrsg.) Datenschutzrecht, 3. Aufl., 2015 Brink/Schwab Landesbeauftragter für Datenschutz und Informationsfreiheit BadenWürttemberg (LfDI), Daten nützen – Daten schützen, Der Ratgeber – Beschäftigtendatenschutz: Zwischen wirtschaftlicher und persönlicher Abhängigkeit und informationeller Selbstbestimmung, 2. Aufl., 2018 Musielak/Voit Kommentar zur Zivilprozessordnung mit Gerichtsverfassungsgesetz, 15. Aufl., 2018 (zit.: Musielak/Voit-Bearbeiter, ZPO) Nerlich/Römermann (Hrsg.) Insolvenzordnung, Loseblatt, 36. Ergänzungslieferung, 2018 (zit.: Nerlich/Römermann-Bearbeiter, InsO) Paal/Pauly (Hrsg.) Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2. Aufl., 2018 (zit.: Paal/Pauly-Bearbeiter, DS-GVO/BDSG)
XVIII
Literaturverzeichnis
Plath (Hrsg.) Kommentar zu BDSG/DSGVO, 2. Aufl., 2016 (zit.: Plath-Bearbeiter, BDSG/DSGVO) Rücker/Kugler (Hrsg.) New European General Data Protection Regulation, 2018 Simitis (Hrsg.) Kommentar zum Bundesdatenschutzgesetz, 7. Aufl., 2011 (zit.: Simitis-Bearbeiter, BDSG) Schmidt, Karsten (Hrsg.) Insolvenzordnung, 19. Aufl., 2016 (zit.: Karsten Schmidt-Bearbeiter, InsO) Taeger/Gabel (Hrsg.) BDSG und Datenschutzvorschriften TKG und TMG, 2. Aufl., 2013 (zit.: Taeger/Gabel-Bearbeiter) Wächter Datenschutz im Unternehmen, 5. Aufl., 2017 Wolff/Brink (Hrsg.) Beck’scher Online-Kommentar, Datenschutzrecht, 24. Ed., 2018 (zit.: Bearbeiter, in: BeckOK DatenschutzR) Wedde Handbuch Datenschutz und Mitbestimmung, 2016 (zit.: Bearbeiter, in: Wedde, HdB Datenschutz) Aufsätze und Zeitungsartikel Abel/Djagani Weitergabe von Kreditnehmerdaten bei Forderungskauf und Inkasso, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 34 Andrea Voßhof Frankfurter Allgemeine Zeitung v. 25.6.2018, Onlineausgabe, https://www.faz.net/aktuell/wirtschaft/diginomics/behoerdenverzweifeln-am-neuen-datenschutz-15657324.html (Stand 12.4.2019) Arns Datenschutz-Compliance in der Insolvenzverwalterkanzlei – Neue Anforderungen nach DSGVO und BDSG-neu, VIA 2018, 65 Berberich/Kanschik Daten in der Insolvenz, NZI 2017, 1 Beyer/Beyer Verkauf von Kundendaten in der Insolvenz – Verstoß gegen datenschutzrechtliche Bestimmungen?, NZI 2016, 241
XIX
Literaturverzeichnis
Brink/Schmidt Die rechtliche (Un-)Zulässigkeit von Mitarbeiterscreenings – Vom schmalen Pfad der Legalität, MMR 2010, 592 Braun/Wybitul Übermittlung von Arbeitnehmerdaten bei Due Diligence – Rechtliche Anforderungen und Gestaltungsmöglichkeiten, BB 2008, 782 du Carrois Datenschutz im Insolvenzverfahren – ein Interview mit einem Fachanwalt für IT-Recht, Insbüro 2013, 10 Däubler Betriebsübergang, Personaldaten und Mandat des betrieblichen Datenschutzbeauftragten, RDV 2004, 55 Diller/Deutsch Arbeitnehmer-Datenschutz contra Due Diligence, K&R 1998, 16 Eckhardt Auftragsvereinbarung, Gestaltungsmöglichkeiten und Fallstricke, DuD 9/2013, 585 Eckhardt DS-GVO Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externer, CCZ 2017, 111 Eckhardt/Mentz Datenschutz bei der Übertragung von Kundendaten in der Insolvenz, ZInsO 2016, 1917 Filip Von der Artikel-29-Gruppe zum Europäischen Datenschutzausschuss – Zukunft und Bedeutung der Working Papers, BvD-News, 3/2017, 9 Geiser „Big Data“ im Insolvenzverfahren, ZInsO 2017, 1185 Gerlach Sicherheitsanforderungen für Telemediendienste – der neue § 13 Abs. 7 TMG, CR 2015, 581 Gossen/Schramm Das Verarbeitungsverzeichnis der DS-GVO, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 20 Göpfert/Meyer Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486 Greve Das neue Bundesdatenschutzgesetz, NVwZ 2017, 737 Hartung Datenschutz und Insolvenzverwaltung, ZInsO 2011, 1225 XX
Literaturverzeichnis
Heyer Insolvenzbekanntmachung und Datenschutz, ZVI 2015, 45 Hofert Blockchain-Profiling, ZD-Sonderausgabe zur Datenschutzgrundverordnung Mai 2017, 44 Hoffmann Einwilligung der betroffenen Person als Legitimationsgrundlage eines datenverarbeitenden Vorgangs im Sozialrecht nach dem Inkrafttreten der DSGVO, NZS 2017, 807 Hoffmann/Wolf Mitarbeiterbeurteilung durch Kollegen – datenschutzkonform?, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 43 Jung Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO, ZD 05/2018, 208 Kazemi Der Datenschutzbeauftragte in der Rechtsanwaltskanzlei, NJW 2018, 443 Kleemann/Kader EU-Datenschutz-Grundverordnung und Bundesdatenschutzgesetz, DStR 2018, 1091 Klug Der Datenschutzbeauftragte in der EU. Maßgaben der Datenschutzgrundverordnung, ZD 2016, 315 Köhler Die DS-GVO – eine neue Einnahmequelle für gewerbsmäßige Abmahner? Editorial ZD 8/2018, 337, 338 Kort Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden und Betriebsrat mit der DS-GVO?, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 16 Kort Neuer Beschäftigtendatenschutz und Industrie 4.0, RdA, 24 Körner Regierungsentwurf zum Arbeitnehmerdatenschutz, AuR 2010, 416 Lantwin Risikoberuf Datenschutzbeauftragter? Die Haftung nach der neuen DS-GVO, ArbRAktuell 2017, 508 Maja Smoltczyk Berliner Datenschutzbeauftragte gegenüber dpa, Becklink 2010027, beck-online, https://beckonline.beck.de/Dokument?vpath=bibdata%2Freddok%2Fbecklink%2F2010027.htm&pos=4 (Stand: 12.4.2019) XXI
Literaturverzeichnis
Maja Smoltczyk Berliner Datenschutzbeauftragte, auf Anfrage der dpa, dpa, 23.6.2018, Berliner Morgenpost, https://www.morgenpost.de/politik/inland/ article214666763/Ein-Monat-DSGVO-Neue-Regeln-ueberlastenDatenschutz-Behoerden.html (Stand: 12.4.2019) Maja Smoltczyk Berliner Datenschutzbeauftragte auf Anfrage der dpa, Welt-online, 23.8.2018, https://www.welt.de/regionales/berlin/article181273500/ Beschwerden-bei-Datenschutzbeauftragter-vervierfacht.html (Stand: 12.4.2019) Marschall/Müller Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DS-GVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen, ZD 2016, 415 Nicklisch Wechselwirkungen zwischen Technologie und Recht – Zur kontrollierten Rezeption wissenschaftlich-technischer Standards durch die Rechtsordnung, NJW 1982, 2633 Niering Berufsverband der Insolvenzverwalter schmiedet digitalen Plan – Neuaufstellung mit Insolvenzverfahren 4.0, INDat-Report 04/2016, 14 Niklas/Faas Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, NZA 2017, 1092 Petri EuGH: Datenschutzrecht: Verantwortlichkeit von Facebook und des Betreibers einer Facebook-Fanpage für die Verarbeitung personenbezogener Daten, EuZW 2018, 534 Podszun/de Toma Die Durchsetzung des Datenschutzes durch Verbraucherrecht, Lauterkeitsrecht und Kartellrecht, NJW 2016, 2987 Reisener/Weiß Datensparsamkeit, Datenvermeidung und Pseudonymisierung: Problembewusstsein für Datenschutz in der Insolvenzverwaltung?!, ZInsO 2017, 416 Reisener/Weiß „Datenschutz in der Insolvenzverwalterkanzlei?“ Interview mit einem Datenschutzbeauftragten!, InsbürO 2017, 363 Reisener/Weiß Datenschutz in der Insolvenzkanzlei: Fragen über Fragen? Einige konkrete Antworten! Teil 1, Insbüro 09, 334
XXII
Literaturverzeichnis
Reisener/Weiß Datenschutz in der Insolvenzkanzlei: Fragen über Fragen? Einige konkrete Antworten! Teil 2, Insbüro 10, 383 Roßnagel Pseudonymisierung personenbezogener Daten – ein zentrales Instrument im Datenschutz nach der DSGVO, ZD 06/2018, 243. Sackmann Die Beschränkung datenschutzrechtlicher Schadensersatzhaftung in Allgemeinen Geschäftsbedingungen, ZIP 2017, 2450 von Schenck/Mueller-Stöfen Die Datenschutz – Grundverordnung: Auswirkungen in der Praxis, GWR 2017, 171 Schmitz/v. Dall’Armi Datenschutz-Folgenabschätzung – verstehen und anwenden, ZD Sonderausgabe Datenschutzgrundverordnung Mai 2017, 27 Schneider/Schindler Videoüberwachung als Verarbeitung besonderer Kategorien personenbezogener Daten, Datenschutzrechtliche Anforderungen beim Erheben von Videodaten, ZD 10/2018, 463. Schreiber Wettbewerbsrechtliche Abmahnung von Konkurrenten wegen Verstößen gegen DS-GVO, GRUR-Prax 2018, 371 Selk Datenschutz bei Unternehmenstransaktionen: ein Überblick über Rechtslage und Diskussionsstand sowie Auswirkungen der BDSG-Novelle II., RDV 2009, 254 Thole Der (vorläufige) Insolvenzverwalter als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO, ZIP 2018, 1001 Wipperfürth Datenschutz in aller Munde, Editorial, InsBürO 2013, 337 Weiß Sollte der Insolvenzverwalter lieber unwirksame Verträge über Adressdaten schließen? Zugleich eine Anmerkung zum Urteil des OLG Frankfurt/M. vom 24.1.2018 – 13 U 165/16, ZInso 2018, 1717 Weiß Datenschutz nicht nur in der Insolvenzverwalterkanzlei: Warum drehen eigentlich alle durch?, Beitrag RWS-Blog vom 6.8.2018, https://rws-blog.de/ datenschutz-in-der-insolvenzverwalterkanzlei/ (Stand: 30.10.2018) Weiß/Reisener „Praktische Konkordanz“ zwischen Datenschutz und Insolvenzrecht. Dringend nötig! Aber wie? Einige Thesen, ZInsO 2019, 481 XXIII
Literaturverzeichnis
Wolff UWG und DSGVO: Zwei separate Kreise?, ZD 06/2018, 248 Woltersdorf DSGVO bringt Schärfe in die Insolvenzpraxis, InDat Report 02/2018, 11 Wybitul EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht?, BB 2016, 1077 Wybitul/Neu/Strauch Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen, ZD 05/2018, 202 Zwanziger Speicherung und Nutzung der Information über eine bewilligte Restschuldbefreiung nach neuem Datenschutzrecht, ZInsO 2017, 2193 Sonstige Quellen Artikel-29-Datenschutzgruppe (Europäische Kommission) WP169, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, https:// ec.europa.eu/justice/article-29/documentation/opinion-recommendation/ files/2010/wp169_de.pdf (Stand 12.4.2019) WP243 rev.01, Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), 5.4.2017 vom 13.12.2016, https://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=612048 (Stand 12.4.2019) WP250 rev.01, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/ 679 vom 6.2.2018, https://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=612052 (Stand 12.4.2019) BayLDA 5. Tätigkeitsbericht 2011/2012 vom 19.3.2019, https://www.lda.bayern.de/media/baylda_report_05.pdf (Stand: 12.4.2019) (zit.: BayLDA, TB 2011/2012) BayLDA FAQ zur DS–GVO, Abgrenzung Auftragsvereinbarung vom 20.7.2018, https://www.lda.bayern.de/media/ FAQ_Abgrenzung_Auftragsverarbeitung.pdf (Stand: 12.4.2019) (zit.: BayLDA, FAQ-DS -GVO)
XXIV
Literaturverzeichnis
Berliner Beauftragte für Datenschutz und Informationsfreiheit Datenschutz und Informationsfreiheit, Jahresbericht 2016 zum 31. Dezember 2016, https://www.datenschutz-berlin.de/ infothek-und-service/veroeffentlichungen/jahresberichte/ (Stand: 29.3.2019) BfDI Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 – Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG), https://www.bfdi.bund.de/SharedDocs/Publikationen/ Entschliessungssammlung/DuesseldorferKreis/24112010MindestanforderungenAnFachkunde.html (Stand: 19.3.2019) Bundesamt für Sicherheit in der Informationstechnik Glossar, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html (Stand: 29.3.2019) Koalitionsvertrag 19. Legislaturperiode zwischen CDU, CSU und SPD vom 12.3.2018, https://www.bundesregierung.de/resource/blob/975226/847984/ 5b8bc23590d4cb2892b31c987ad672b7/2018-03-14-koalitionsvertragdata.pdf?download=1 (Stand: 12.4.2019) Datenschutzkonferenz (DSK) DS-GVO-Kurzpapiere vom 30.11.2018, https://www.datenschutzkonferenz-online.de/kurzpapiere.html (Stand: 12.4.2019) Datenschutzkonferenz (DSK) Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Januar 2016, https://www.baden-wuerttemberg.datenschutz.de/ wp-content/uploads/2016/02/OH_E-Mail_Internet_Arbeitsplatz.pdf (Stand: 12.4.2019) Die Landesbeauftragte für den Datenschutz Niedersachsen Transparenzanforderungen und Hinweisbeschilderung bei einer Videoüberwachung durch nichtöffentliche Stellen, https:// www.lfd.niedersachsen.de/startseite/dsgvo/transparenzanforderungen-undhinweisbeschilderung-bei-einer-videoueberwachung-nach-der-ds-gvo158959.html (Stand: November 2018) ISO (International Organization for Standardization) ISO 31000:2009, Risk management – Principles and guidelines vom 20.11.2009, https://www.iso.org/standard/43170.html (Stand: 12.4.2019)
XXV
Literaturverzeichnis
ISO (International Organization for Standardization) ISO Guide 73:2009, Risk management – Vocabulary vom 1.4.2008, https://www.iso.org/standard/44651.html (Stand: 12.4.2019) Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen FAQ-Datenschutz, https://www.ldi.nrw.de/mainmenu_Datenschutz/ submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/index.php (Stand: 29.3.2019) Regierungspräsidium Darmstadt Datenschutzaufsicht im nicht öffentlichen Bereich, Tätigkeitsbericht für 2008, S. 48 Synopse der Vorschriften zum Verfahrensverzeichnis ZD Fokus XIII, ZD 7/2018 Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit 2. Tätigkeitsbericht zum Datenschutz: Nicht-öffentlicher Bereich Thüringen 2014/2015 (zit.: TLfDI, 2. TB LfDI Thüringen 2014/2015) Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit 3. Tätigkeitsbericht zum Datenschutz: Nicht-öffentlicher Bereich Thüringen 2016/2017 (zit.: TLfDI, 3. TB LfDI Thüringen 2016/2017) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten vom 25.5.2018, https://www.datenschutzzentrum.de/artikel/1220-Die-DatenschutzGrundverordnung-tritt-in-Kraft-das-muessen-selbststaendigeHeilberufler-beachten.html (Stand: 12.4.2019) VID (Verband Insolvenzverwalter Deutschlands e. V.) Stellungnahme des Verbandes Insolvenzverwalter Deutschlands (VID) zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 vom 28.1.2019, https://www.vid.de/stellungnahmen/rege-zur-umsetzung-der-richtlinie-eu2016-680-im-strafverfahren-sowie-zur-anpassung-datenschutzrechtlicherbestimmungen-an-die-dsgvo/ (Stand: 15.4.2019) VID (Verband Insolvenzverwalter Deutschlands e. V.) Stellungnahme zum Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) vom 7.12.2016, https://www.vid.de/stellungnahmen/stellungnahme-des-vid-zumreferentenentwurf-eines-gesetzes-zur-anpassung-des-datenschutzrechtsan-die-verordnung-eu-2016679-und-zur-umsetzung-der-richtlinie-eu2016680-dsanpug-eu/ (Stand: 15.4.2019)
XXVI
A. Vorbemerkung Datenschutz, Datenschutz, ach komm, Datenschutz …!? Einer der beiden 1 Autoren dieses Buches kann sich noch gut an den an ihn als Mitarbeiter gerichteten Auftrag eines Insolvenzverwalters nach Erhalt des Gutachtenbeschlusses erinnern: „Fahren Sie mal raus… und ziehen Sie im Betrieb alles was wir brauchen auf den Stick!“ Dies ist nun einige Jahre her. Es zeigt aber zweierlei: Zum einen die „Not“ eines Insolvenzverwalters1) bereits für das Gutachten, aber auch die vielseitigen Aufgaben eines Insolvenzverwalters nach Insolvenzeröffnung, Daten zu benötigen. Dies ist nicht nur bei kleinen Betrieben oftmals ein Problem, werden doch Daten nicht selten bewusst von den Schuldnern bzw. schuldnerischen Betrieben beiseitegeschafft. Zum anderen ist der Insolvenzverwalter zweifelsohne „Ärger“ gewohnt: Obstruktive Schuldner, Altlasten bei Immobilien u. v. m. sind Problematiken, für die jeder Insolvenzverwalter im Laufe der Berufsjahre schon fast ein Gespür entwickelt hat. So wird es im Bereich des Datenschutzes in Zukunft ebenfalls sein. I. Intention des Buches Dieses Gespür für den Bereich Daten und den gewiss seit Mai 2018 ver- 2 schärften Bereich des Datenschutzes zu entwickeln, ist eine der Intentionen dieses ZIP Praxisbuches. Daneben möchte es aber ganz pragmatische Lösungsvorschläge und -ideen anbieten. „Den“ Lösungsvorschlag und „die“ Musterformulierung kann es heute2) noch nicht geben. Zu inhomogen ist die (EU-)gesetzgeberische Vorgabe mit der DSGVO, da sie wohl „DatenDickschiffe“ wie Facebook und Co. im Auge gehabt haben dürfte. Die (europaweite) inländische Umsetzung ist nicht stringent bzw. gerade im Anfangsstadium. Rechtsprechung ist naturgemäß noch nicht vorhanden. Eine „praktische Konkordanz“3) zwischen Datenschutz und Insolvenzrecht 3 ist ergo dringend nötig, gegenwärtig aber nicht einmal ansatzweise ersichtlich. Der Insolvenzverwalter braucht sie aber – jedenfalls seit dem 25.5.2018 – bereits heute: Schon zur Gutachtenabfassung, spätestens aber auch zur Verwertung nach Insolvenzeröffnung, war es bisher immer Usus, anlassbe___________ 1)
2) 3)
Sofern im Folgenden von „Insolvenzverwalter“ oder „Insolvenzverwaltung“ gesprochen wird, meint dies jedenfalls das Betätigungsgebiet. Auch wenn der Insolvenzverwalter noch kein solcher ist, sondern zunächst mit dem Gutachtenauftrag betraut wurde. Darüber hinaus: Wenn in diesem Buch terminologisch richtig vom Verantwortlichen die Rede ist, schließt dies natürlich den Insolvenzverwalter bzw. die Insolvenzverwalterkanzlei, das dort tätige Mitarbeiterteam und auch jedes andere tätige Unternehmen mit ein, das personenbezogene Daten verarbeitet. Des Weiteren wurde zugunsten der Lesbarkeit auf die Nennung der einzelnen Begrifflichkeiten in weiblicher bzw. transgender Form verzichtet. Ebenso in den nächsten Wochen und Monaten, vermutlich gar Jahren. Weiß/Reisener, ZInsO 2019, 481.
1
A. Vorbemerkung
zogen Whois-Auskünfte bei der DENIC einzuholen oder Vergleichbares beim Kraftfahrt-Bundesamt zu erfragen. Nun verweist Letzteres auf das Erfordernis einer „…konkreten Einwilligung des Insolvenzschuldners als Betroffenen nach seiner freien Entscheidung (Art. 15 Abs. 1 i. V. m. 6 Abs. 1 lit. a) und Art. 4 Nr. 11 DSGVO) und fordert die Vorlage einer entsprechenden Bevollmächtigung durch den Insolvenzschuldner!“ Wenn man eine solche Bevollmächtigung als Insolvenzverwalter überhaupt erhält: Kann man im Insolvenzverfahren bei einer bevorstehenden Verwertungshandlung – ggf. unter Druck der Versagung einer angestrebten Restschuldbefreiung – einfach von einer freien Entscheidung des Schuldners i. S. d. Datenschutzrechts ausgehen? Was, wenn der Schuldner seine Einwilligung oder gar die Bevollmächtigung des Insolvenzschuldners widerruft? Oder immer dann widerruft, wenn ihm das (Verwertungs-)Verhalten des Insolvenzverwalters nicht passt? 4 Geltendes Datenschutzrecht und das Insolvenzverfahren gehen bis dato augenscheinlich noch nicht überein. Mit dem vorliegenden Buch dürfte es dem Leser jedoch möglich sein, sein Tätigwerden als Insolvenzverwalter und seine Kanzlei in Richtung Errichtung und Aufrechterhaltung einer angemessen Datenschutzinfrastruktur bereits heute zu lenken; was ggf. auch im schuldnerischen Betrieb zu beachten sein kann. Insgesamt hat dies daneben in mehrfacher Hinsicht zu erfolgen: (EDV-)technisch, tatsächlich-administrativ und nachweisbar juristisch. 5 Vorweggeschickt sollte der Leser dennoch eines wissen: das „Law Lag“4), also die Kluft zwischen der rasanten technischen Entwicklung, der auch das (Insolvenz-)Recht standhalten muss, ist da. Diese Lücke müsste jedoch nach Auffassung der Autoren argumentativ auch zum Vorteil des mit Daten bzw. Datenschutz befassten Insolvenzverwalters Anwendung finden. II. Aufbau des ZIP Praxisbuches 6 Nach einer kurzen (historischen) Einleitung (Kapitel B. [Rn. 8 – 22]) folgt ein Überblick zur Geschichte und Entwicklung des Datenschutzrechts (Kapitel C. [Rn. 23 – 40]) sowie die Einführung in das Datenschutzrecht mit seinen Grundsätzen (Kapitel D. [Rn. 41 – 117]). Im Anschluss berichten die Autoren über erste Erfahrungen zu dem Thema Datenschutz seit dem In Krafttreten der DSGVO (Kapitel E. [Rn. 118 – 144]), bevor die praktische Anwendung und die Umsetzung der aufgezeigten datenschutzrechtlichen Vorschriften thematisiert (Kapitel F. [Rn. 145 – 512]) und diese ausführlich dargestellt werden. Zuletzt wenden sich die Autoren den verschiedenen Problemstellungen innerhalb der jeweiligen Verfahren zu. Dabei orientiert sich das Werk am zeitlichen Ablauf eines Insolvenzverfahrens, also dem Gutachtenauftrag, der vorläufigen und endgültigen Insolvenzverwaltung (Kapitel G.–I. [Rn. 513 – 773]). Das Kapitel I. befasst sich u. a. mit der übertragen___________ 4)
2
So Hofert, ZD-Sonderausgabe Mai 2017, 44.
II. Aufbau des ZIP Praxisbuches
den Sanierung bzw. dem Asset Deal (Rn. 704 – 762) als Königsdisziplin der Insolvenzverwaltung und vermutlich dem datenschutzrechtlich sehr heiklen Vorhaben eines Insolvenzverwalters. Denn bei der übertragenden Sanierung treffen Insolvenzrecht und Datenschutz als Paradebeispiel aufeinander: Den Sanktionen gemäß §§ 60 ff. InsO im Falle der Nichtverwertung stehen die der Art. 82 ff. DSGVO bei der nicht datenschutzkonformen Verwertung gegenüber. Was soll der Insolvenzverwalter nun tun: Keine Masse generieren oder sich gar wegen Verstößen gegen den Datenschutz strafbar oder in empfindlichem Maße haftbar machen? Im Anschluss daran finden sich in Kapitel J. (Rn. 774 – 782) positive Bereiche 7 der Befassung des Insolvenzverwalters mit dem Datenschutz, nämlich der Erhöhung der Vergütung des Insolvenzverwalters wegen der Beschäftigung mit der datenschutzrechtlichen Spezialmaterie, die die vergütungsrechtliche Literatur bereits seit Jahren als selbstverständlich voraussetzt! Kapitel K. (Rn. 783 – 801) zeigt als Exkurs Spezialthemen mit Bezug zur Insolvenzverwaltung auf, Kapitel L. (Rn. 802 – 823) solche, die jede Anwaltskanzlei betreffen. Muster und Formulierungsvorschläge (Kapitel N. [Rn. 826 – 832]) sowie einschlägige Gesetze, Rechtsprechung (Kapitel O. [Rn. 833 – 835] und Anhang) und Erwägungsgründe (Kapitel P. [Rn. 838 – 848]) runden das Buch ab.
3
B. Einleitung Es war bereits 2013, als die Kollegin Wipperfürth in ihrem Editorial „Daten- 8 schutz in aller Munde“5) ausführte: „… BND, BfV, NSA beschäftigen CDU, SPD … während sich der Insolvenzverwalter ganz im Sinne vom IFG mit TKK, AOK und BKK rumschlägt. InsO(weit) ist (er) augenscheinlich fein raus und kann dem ganzen Zirkus nach stoischer Merkel-Manier mit „Mein Name ist Hase …“ begegnen. Sollte man meinen … Zwar geht es in Bezug auf Daten im Insolvenzverfahren nicht um Spionage (…), dennoch ist auch in der Abwicklung von Insolvenzen das Thema „Datenschutz“ nicht zu vernachlässigen…“
Was aber ist in den letzten fünf Jahren im Bereich Datenschutz Insolvenz- 9 verwaltung trotz dieses Appells tatsächlich geschehen? Nach Auffassung der Autoren zunächst reichlich wenig: Zwischen 2010 – 2017 nach ausreichender Erfahrung kaum ein Thema, weder im Sachverständigengutachten noch im Bereich Datenschutzbeauftragter für Rechtsanwaltskanzleien. Vor einigen Jahren galten Datenschutzrechtler noch als „Robin Hoods“ der Anwaltsszene. In der Insolvenzverwalterszene war lange vielmehr die „Informationsbeschaffung“ nur für das Sachverständigengutachten und evtl. im Anschluss zur Mehrung der Masse per Insolvenzanfechtung ein Thema; in dem Zusammenhang damals in dem Zitat zuvor „brandaktuell“ z. B. das Gesetz zur Regelung des Zugangs zu Informationen des Bundes (Informationsfreiheitsgesetz – IFG). Diese Zeiten haben sich jüngst geändert, und zwar nachhaltig. Vermutlich 10 aufgrund des empfindlichen Sanktionsrahmens ab Mai 2018 und die damit einhergehende erhebliche Publizität rund um die Datenschutz-Grundverordnung (DSGVO) erlebte der Datenschutz im Zeitraum April/Mai 2018 einen regelrechten Hype. Nicht nur nach dem Empfinden der Autoren gibt es zunehmend fachfremdes bzw. vielfältiges Interesse von Insolvenzverwaltern, Anwälten, Erbrechtlern, Nachlasspflegern, aber auch juristisch vollkommen unbedarften Kreisen wie Sportvereinen, Berufsreitern oder gar Physiotherapeuten. Der Datenschutz ist plötzlich in aller Munde. Ebenso das Bewusstsein, aufgrund des Sanktionsrahmens von „20 Millionen“6) in seinem Umfeld bzw. Betrieb unbedingt etwas tun zu müssen. Dies wird auch in Zukunft und besonders für den Bereich der Insolvenzverwaltung so bleiben. I. Die bedeutendste Datenschutzvorschrift Europas – die DSGVO Ohne Zweifel darf die DSGVO als die bedeutendste Neuerung und Daten- 11 schutzvorschrift in Europa seit langer Zeit angesehen werden. Sie hat am
___________ 5) 6)
Wipperfürth, Insbüro 2013, 337. So scheint das „Strafmaß“ landläufig immer zu lauten.
5
B. Einleitung
25. Mai 2018 ihre volle Wirksamkeit entfaltet und war, wie zuvor dargestellt, in aller Munde. Exemplarisch wies eine der großen deutschen Privatbanken dementsprechend darauf hin: „… am 25. Mai 2018 entfaltet die EU-Datenschutz-Grundverordnung (DSGVO) Wirksamkeit… –
Datenschutz ist hierdurch deutlich gestärkt.
–
Bedeutendste Datenschutzvorschrift in Europa, löst nunmehr veraltete EU-Datenschutz-RiLi und in weiten Teilen einzelstaatliche DS-Gesetze ab … unmittelbare Wirkung in allen Mitgliedstaaten“
Praxistipp: An dieser Stelle ergeben sich für den Insolvenzverwalter bereits erste „Sensibilisierungspunkte“: x Wie sieht es bei EU-Auslands-Insolvenzverfahren bzw. Vermögen im Abgleich zu den jeweiligen landesrechtlichen Datenschutzvorschriften aus? x Personenbezogene Daten (wie Name, Adresse, Telefon, E-Mail, Wohnstatus, Ausweisdaten, Unterschriftenprobe, private KV-Daten) erhebt die Bank von Kunden aus öffentlich zugänglichen Quellen, aber ebenso durch sog. Profiling.7) Was nun, wenn der Insolvenzverwalter diese Daten wie auch immer erhält und für sein Sachverständigengutachten oder im Rahmen des eröffneten Insolvenzverfahrens gar nutzt? Mag auch die Erhebung durch die Bank datenschutzrechtlich zulässig erfolgt sein, bedeutet dies nicht zwingend, dass auch die „Nutzung“ durch den Insolvenzverwalter datenschutzrechtlich nicht zu beanstanden ist.
II. Fiktive Beispiele mit datenschutzrechlichem Bezug aus einer Anwaltskanzlei 12 Nachfolgend etwas themennäher zunächst einige Beispiele aus der Kanzleirealität, wie man sie vermutlich vielerorts vorfindet – nur zur weiteren „Sensibilisierung“ und mit einer kursorischen Einschätzung. x Der Aktendeckel im Müll mit der Beschriftung: „Insolvenzverfahren Peter Müller“: Nun handelt es sich jedenfalls bei dem Vor- und Nachnamen um personenbezogene Daten i. S. v. Art. 4 Nr. 1 DSGVO. Über die Zuordnung zur Insolvenz und ggf. zur Kanzlei bzw. deren räumlichem Umfeld besteht jedenfalls die Gefahr, dass ein hinreichend personennaher Bezug hergestellt werden kann, insbesondere bei nicht derart landläufigen Namen wie „Peter Müller“. Der Aktendeckel gehört also in eine Datenschutztonne bzw. geschreddert! x Anfrage eines auf Dienstleistungen für Insolvenzverwalter spezialisierten Steuerberaters: „Wie sollen wir gewährleisten, dass wir Arbeitnehmerdaten nur so kurz wie möglich speichern, aber eine Anfrage nach der Lohn___________ 7)
6
Kurz gefasst per teilweise automatisierter Datenverarbeitung mit dem Ziel, bestimmte persönliche Aspekte zu bewerten.
II. Fiktive Beispiele mit datenschutzrechlichem Bezug aus einer Anwaltskanzlei
steuerbescheinigung noch nach zwei Jahren beantworten können?“ Neben den Grundsätzen des Datenschutzes hinsichtlich der Datensparsamkeit sind ebenso entsprechende Aufbewahrungspflichten, die sich aus anderen Gesetzen und Rechtsvorschriften ergeben, zu beachten. Die selbstgesetzten Löschungsfristen müssen natürlich auch Umstände berücksichtigen, die sich aus den jeweiligen Sachverhalten ergeben können. Es ist zu empfehlen, dass sich der Verantwortliche im Voraus Gedanken macht, wann welche Daten ggf. nochmalig benötigt werden. Als Anhaltspunkt können hier Verjährungsfristen herangezogen werden. Wichtig ist für die Insolvenzkanzlei, das für sich gefundene Löschungskonzept nachvollziehbar darlegen und begründbar darstellen zu können. x In einem Anfechtungsrechtsstreit wurden Rechnungen des schuldnerischen Steuerberaters mit vollständigem Briefkopf inkl. Tätigkeitsbeschreibungen als Anlage zu einer Anfechtungsklage „fremden“ Dritten, nämlich dem Anfechtungsgegner, überlassen: Ob die Verarbeitung, die hier in der Übertragung auf den Anfechtungsgegner als Anlage zum Schriftsatz zu sehen ist, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse durch den Insolvenzverwalter, genauer gesagt zur Durchsetzung von Anfechtungsansprüchen, rechtmäßig ist, um somit eine Mehrung der Insolvenzmasse gemäß Art. 6 Abs. 1 Satz 1 lit. e) zu erwirken, scheint zweifelhaft. Denn zwar können auch Privatpersonen als Beliehene nach dieser Norm tätig werden. Dies ist aber bei einem Insolvenzverwalter unstreitig nicht der Fall. Die Auftragsermächtigung muss zudem Ausläufer einer gesetzlich definierten öffentlichen Aufgabe sein. Ein erwerbwirtschaftlicher Zweck des Tätigwerdenden reicht nicht aus, selbst wenn ein öffentliches Interesse an dem Zweck bestünde,8) woran man mittelbar bei einem geordneten Insolvenzverfahren noch denken könnte. Praxistipp: Pragmatisch gesehen hätte sich diese Frage vermutlich erst gar nicht gestellt, wenn der Insolvenzverwalter die entsprechenden personenbezogenen Daten wie Vor-/Nachnamen der Mitarbeiter des schuldnerischen Unternehmens, für die die Lohnabrechnung durch den Steuerberater abgerechnet wurde, anonymisiert bzw. pseudonymisiert oder schlichtweg geschwärzt hätte.
Nachdem ein Be-/Verwertungsunternehmen bei dem bis dato beauftragen- 13 den Insolvenzverwalter in „Ungnade gefallen“ ist, wurde das entsprechende Auftragsverhältnis beendet. Pikanterweise fand sich im letzten Absatz des Kündigungsschreibens die Aufforderung des Insolvenzverwalters, das Be-/Verwertungsunternehmen möge doch bitte entsprechend der aktuellen datenschutzrechtlichen Lage Auskunft erteilen, welche personenbezogenen Daten von ihm bzw. seinem Team dort gespeichert seien und die Löschung binnen Frist nachweisen. Entsprechend dem zweiten Ordnungspunkt zuvor steht ___________ 8)
Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 23 f. m. w. N.
7
B. Einleitung
jedoch gerade der zu erwartende Rechtsstreit zwischen dem Insolvenzverwalter und dem Be-/Verwertungsunternehmen bis zum Abschluss des Rechtsstreits jedenfalls einer Löschung entgegen. Zwischenzeitlich hat das betroffene Unternehmen nach entsprechender anwaltlicher Beratung aber in Form eines Verfahrensverzeichnisses u. v. m. die Voraussetzung geschaffen, um auch einem Informations-/Auskunftsanspruch des Insolvenzverwalters dem aktuellen Datenschutzrecht entsprechend nachkommen zu können. III. Insolvenzverfahren 4.0 14 Auch die Insolvenzverwalterzunft ist inzwischen im digitalen Zeitalter durchaus angekommen. Der Kollege Dr. Christoph Niering9) hat sich zum digitalen Plan zur Neuaufstellung mit dem Schlagwort „Insolvenzverfahren 4.0“ zu Wort gemeldet: „Wenn der schnelle und direkte Zugriff auf Informationen eine zentrale Voraussetzung für die Teilhabe am Wirtschaftsleben insgesamt geworden ist, darf das Insolvenzverfahren in seinem staatlichen Zwang zur kollektiven Beteiligung diese Entwicklung nicht verleugnen.“
15 So einfach, wie der Vorstandsvorsitzend des Verbands der Insolvenzverwalter Deutschlands meint, ist dies jedenfalls in der Umsetzung nicht. Daten und Insolvenz können leicht ein zweischneidiges Schwert für den Insolvenzverwalter werden – und zwar besteht auf der einen Seite die Abhängigkeit von Daten, auf der anderen Seite der unten noch näher dargestellte Sanktionsrahmen der DSGVO! Auch findet sich jedenfalls bis dato eher keine Einheit der Rechtsordnung bzw. kein „Abgleich“ zwischen gesetzlichem (Gesamtvollstreckungs-)Insolvenzverfahren und den datenschutzrechtlichen Vorstellungen, insbesondere des europäischen Gesetzgebers. 16 Inzwischen hat aber auch der VID einen entsprechenden Arbeitskreis eingerichtet, der sich in regelmäßigen Treffen, aber auch mit Beiträgen bemüht, die Interessen der Insolvenzverwalter im Bereich Datenschutz zu vertreten. IV. Und nun lieber Insolvenzverwalter? Zwischen Baum und Borke? 17 Die bisherigen Ausführungen lassen den Schluss zu, dass der Insolvenzverwalter bei der Ausübung des ihm vom Insolvenzgericht übertragenen Amtes von der Rechtsordnung, insbesondere der InsO, alleingelassen ist und sozusagen faktisch „zwischen Baum und Borke“ steht. Ob dies tatsächlich so ist, sollen zunächst zwei „Paradebeispiele“ für Insolvenzverfahren mit Daten aufzeigen: 1. „Beispielunternehmen 1“ 18 Bei der Insolvenz des „Beispielunternehmens 1“ handelte es sich um ein 2012 gegründetes Unternehmen, das eine 360°-Kamera mit mehreren Einzelkame___________ 9)
8
Niering, INDat-Report 04/2016, 14.
IV. Und nun lieber Insolvenzverwalter? Zwischen Baum und Borke?
ras anbot. Alles war cloudbasiert. Das sog. Rollout erfolgte 2015. Neben technischen Problemen konnte auch der ursprünglich angepeilte Preis nicht gehalten werden. In diesem Zusammenhang wichtiger war jedoch, dass alle (Bilder-)Daten auf dem Server des Unternehmens lagen. Und nun, lieber Insolvenzverwalter? 2. „Beispielunternehmen 2“ Auch dieses „Beispielunternehmen 2“ wurde 2012 gegründet. Kurz gefasst wa- 19 ren Geschäftsgegenstand Schnittblumen im Abo-Modell. Das Unternehmen verfügte über mehrere tausend Kunden-/Adressdaten, die nun nach Eröffnung des Insolvenzverfahrens auch für Mitbewerber von Interesse waren. Und nun, lieber Insolvenzverwalter? 3. Vorweggenommenes Zwischenergebnis Die Insolvenzkanzlei hat wie jedes andere Unternehmen auch den Daten- 20 schutz beim Umgang mit personenbezogenen Daten zu beachten.10) Was soll der Insolvenzverwalter nun tun? Nicht verwerten? Mitnichten, denn das ist seine gemäß § 60 Abs. 1 InsO sogar sanktionierte Verpflichtung! Sicherlich wird der Insolvenzverwalter zudem auch in Zukunft seinem gerichtlichen Gutachtenauftrag nachkommen wollen und letztlich zur Aufrechterhaltung seines Kanzleibetriebs auch müssen. Hierzu sind Daten wie die oben genannten, sonstige Geschäftsunterlagen u. v. m. erforderlich und jedenfalls mittelbar auch für die Jahresabschlusserstellung durch den Insolvenzverwalter bzw. dessen Rechnungslegung i. S. v. § 66 InsO mitunter unerlässlich. Nun steht dem der empfindliche Sanktions- und Haftungsrahmen bzw. gar ein evtl. Strafbarkeitsrisiko nach der DSGVO gegenüber? Obige Schlagwörter mögen Gedanken eines Insolvenzverwalters sein, wenn 21 er wie in den zwei Beispielfällen oben in der Schnittmenge aus Datenschutz und Insolvenzrecht steht. Derartige Gedanken soll, nein muss er sich aber im Sinne einer Sensibilisierung im Umgang mit Daten, insbesondere Daten als Vermögenswerte machen. Es gibt keine Patentlösungen des Gesetzgebers. Es gibt aber Lösungsvorschläge, die dieses Buch aufzeigt. Damit kann der Insolvenzverwalter, bezogen auf das jeweilige Verfahren, nach Abwägung vertretbare Lösungen erarbeiten. Praxistipp: Diese sollten unter Einbeziehung des Datenschutzbeauftragten und je nach Kompliziertheit auch eines auf das Datenschutzrecht spezialisierten Rechtsanwalts erfolgen. Unter Umständen kann es sich auch anbieten, entsprechende Gutachten, jedenfalls aber Aktennotizen zu den Akten zu nehmen. Ganz pragmatisch kann auch über eine Konsultation der jeweiligen (Landes-)Datenschutzbehörde nachgedacht werden.
___________ 10) So auch Woltersdorf, INDat Report 02/2018, 11.
9
B. Einleitung
22 Insbesondere der Datenschutz in der Insolvenzkanzlei zeigt abermals, dass Insolvenzverwaltung nur im (interdisziplinären) Team funktioniert: Zweifelsohne muss der Insolvenzverwalter an sich den Mut auch zum Asset Deal haben, wie die beiden Beispiele zuvor zeigen. Hierbei handelt es sich nämlich letztlich um eine Form der Sanierung und ist auch Auftrag i. S. v. § 1 Satz 1 InsO. Sein Unterlassen kann für den Insolvenzverwalter bekanntlich haftungsträchtig sein. Daneben ist diese Sanierung, aber auch die Befassung mit Daten bzw. dem Datenschutz an sich zweierlei: Mitunter vergütungstechnisch interessant (im Einzelnen siehe Rn. 774 ff.) und vielleicht auch eine Gelegenheit, dem Gericht bei dem immer weiter fortschreitenden „Insolvenzverwalter-Ranking“ die Qualität und Modernität der jeweiligen Insolvenzverwaltung aufzuzeigen.
10
C. Kurze Geschichte des Datenschutzes Die Entstehung und Entwicklung des Datenschutzes und der Gedanke, dass 23 von einer unberechtigten Nutzung der Daten eines Dritten Gefahren für diesen ausgehen können, hielt spätestens mit dem technologischen Fortschritt im Rahmen der automatisierten Datenverarbeitungsmöglichkeiten Einzug. Vorerst nur in der Politik und mündend in einer entsprechenden Gesetzgebung. Die Politik und Gesetzgebung agierte bereits lange bevor die Öffentlichkeit den nötigen Schutz des Betroffenen vor unberechtigter Verwendung seiner Daten erkannte. Der Datenschutz war Anfang der 60er Jahre in der Öffentlichkeit weitestgehend unbekannt. Exkurs:
24
Der Begriff „Datenschutz“ ist in diesem Zusammenhang auch eher missverständlich. Sinn und Zweck des Datenschutzes ist und war nicht der Schutz von Daten, sondern der Schutz der Menschen hinter diesen Daten, der sog. Betroffenen. Dennoch hat sich der Begriff „Datenschutz“ auch international durchgesetzt. I. Die 60er und 70er Jahre Zunächst keimte der Gedanke des Schutzes der Daten in den USA auf, wo 25 sich die Computertechnik in den 50er Jahren des letzten Jahrhunderts für damalige Verhältnisse rasant entwickelte. Im Rahmen dieser Entwicklung wurde früh vor den Gefahren der zunehmenden Datenverarbeitung und Informationstechnik gewarnt.11) Diese Warnungen wurden jedoch wenig beachtet, da die Computertechnik zu diesem Zeitpunkt keine allgemein zugängliche Technik war, die der Gesellschaft, anders als heutzutage, nur in sehr beschränktem Maße zur Verfügung stand und somit deren Empfindungshorizont nur peripher tangierte.12) Unter anderem plante die amerikanische Regierung in den 60er Jahren, ein 26 Datenzentrum zu errichten, in welchem Daten aller Bürger des Landes erfasst werden sollten, um so eine Verbesserung des staatlichen Informationsaustausches der Behörden zu erwirken. Das Vorhaben scheiterte und die Rufe nach gesetzlichen Regeln für den Umgang mit Daten wurden lauter. Nach der Maßgabe „lieber spät als nie“ wurden im Rahmen der Verabschiedung des Privacy Act im Jahr 1974 den Bundesbehörden Regeln auferlegt, die die Grundprinzipen des Datenschutzes bereits enthielten: Transparenz, Sicherheit, Erforderlichkeit.
___________ 11) Däubler/Klebe/Wedde/Weichert, BDSG, Einleitung Rn. 4. 12) Wagner, in: BeckOK DatenschutzR, Landesdatenschutz Rn. 1.
11
C. Kurze Geschichte des Datenschutzes
27 Im Jahr 1970 verabschiedete das Land Hessen das erste allgemeine Datenschutzgesetz der Welt.13) Nachdem 1971 ein erster Referentenentwurf für ein Bundesdatenschutzgesetz (BDSG) vorgelegt wurde,14) kam es erst im November 1973 zu einer ersten Lesung im Deutschen Bundestag über einen Entwurf für ein Bundesdatenschutzgesetz, der eine Beratung von drei Jahren folgte.15) Bedingt durch viele Vorbehalte gegen ein entsprechendes Gesetz aufseiten der Vertreter der Privatwirtschaft und aus den Reihen der Repräsentanten der Verwaltungen, verabschiedete der Deutsche Bundestag ein Bundesdatenschutzgesetz erst am 10.6.1976.16) Das am 1.2.1977 im Bundesgesetzblatt verkündete BDSG trat am 1.1.1979 in Kraft.17) 28 Vordringlicher Zweck des Gesetzes war es, den Schutz der personenbezogenen Daten zu gewährleisten und Beeinträchtigungen der schutzwürdigen Belange der Betroffenen entgegenzuwirken (§ 1 Abs. I BDSG i. d. F. v. 27.1.1977). Es handelt sich dabei um eine Umschreibung des Begriffs des Datenschutzes, ohne dass dies als Legaldefinition zu verstehen ist.18) II. Die 80er Jahre und das Volkszählungsurteil 29 Anfang der 80er Jahre fanden sich in allen (damaligen) Bundesländern Datenschutzgesetze erstmalig vor. Grundlegendes Prinzip war insbesondere der Erforderlichkeitsgrundsatz, wonach nur solche personenbezogenen Daten verarbeitet werden durften, die für die Erledigung der gesetzlichen Aufgaben der Behörde eben benötigt wurden. Personenbezogene Daten durften zudem nur verarbeitet werden, wenn entweder ein Gesetz dies vorsah oder der Betroffene der Verarbeitung freiwillig zustimmte. Eine geplante Volkszählung wurde mit dem sog. Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 teilweise für verfassungswidrig erklärt. Das aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG abgeleitete „Recht auf informationelle Selbstbestimmung“ – befand das höchste Gericht – wird verletzt, wenn und soweit die betroffenen Bürgerinnen und Bürger nicht grundsätzlich selbst über die Verwendung ihrer Daten bestimmen können. Aus diesem Transparenzgebot wurden und werden individuelle Auskunftsansprüche abgeleitet. Der Gesetzgeber wurde aufgefordert, Maßnahmen zu treffen, die das Grundrecht auf informationelle Selbstbestimmung bei der automatisierten Datenverarbeitung gewährleisten. Noch wichtiger aber: Bereits seit dem Jahr 1983 gibt es kein „belangloses Datum“ mehr!19) Überraschend also heute nicht nur ___________ 13) 14) 15) 16) 17)
Gola/Schomerus-Gola/Klug/Körffer, BDSG, Einleitung Rn. 1. Gola/Schomerus-Gola/Klug/Körffer, BDSG, Einleitung Rn. 1. Wagner, in: BeckOK DatenschutzR, Landesdatenschutz Rn. 17. Wagner, in: BeckOK DatenschutzR, Landesdatenschutz Rn. 18. Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG) v. 27.1.1977 (BGBl. I S. 201). 18) Taeger/Gabel-Schmidt, BDSG, § 1 Rn. 5. 19) Dazu insgesamt Kühling/Seidel/Sivridis, Datenschutzrecht, Rn. 151 ff. m. w. N.
12
III. Die 90er und 2000er Jahre: Diverse Skandale, aber auch das Inkrafttreten der InsO
der „Hype“ um die DSGVO bzw. das BDSG 2018, sondern die oft in der Praxis anzutreffende Auffassung nicht nur von Laien, dass es erst seit Mai 2018 ein Datenschutzrecht gebe. Dies ist wie aufgezeigt mitnichten so. III. Die 90er und 2000er Jahre: Diverse Skandale, aber auch das Inkrafttreten der InsO Die „Neuzeit des Datenschutzes“ zeichnete sich datenschutzrechtlich neben 30 neuen Gesetzen auch durch Skandale aus. 1. Gesetzgeberische Akte Am 24.10.1995 legte die Datenschutzrichtlinie 95/46/EG neue Maßstäbe fest. 31 Es gab keine grundsätzliche Unterscheidung mehr zwischen öffentlichen und nichtöffentlichen Stellen. Zudem wurden als verpflichtende Tätigkeiten bereits vor nunmehr rd. 25 Jahren die Risikoanalyse, Vorabkontrolle, Technikfolgeabschätzung und letztlich die Beteiligung der Datenschutzbeauftragten vorgeschrieben. Auf Grundlage der EG-Verordnung 45/2001 vom 18.12.2000 wurde mit dem Europäischen Datenschutzbeauftragten eine unabhängige Kontrollinstanz für den Datenschutz geschaffen und Ende des Jahres 2003 der erste Europäische Datenschutzbeauftragte gewählt. Die Änderung des BDSG und die damit erfolgte Umsetzung der EG-Datenschutzrichtlinie ist am 23.5.2001 in Kraft getreten. Seit 2009 ist der Datenschutz auch in der Charta der Grundrechte der EU implementiert, die am 1.12.2009 gemeinsam mit dem Inkrafttreten des Vertrages von Lissabon Rechtskraft erlangte. 2. Skandale vs. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Ein weiteres Urteil des BVerfG, genauer gesagt das vom 27.12.2008 (1 BvR 32 370/07, 1 BvR 595/07), postulierte das Erfordernis, dass staatliche Maßnahmen nur unter engen, gesetzlich ausdrücklich geregelten Bedingungen vorgenommen werden dürfen. Stichworte waren „Grundrecht auf Gewährleistung der Vertraulichkeit“ bzw. „Integrität informationstechnischer Systeme“. In einen gewissen zeitlichen Kontext fielen „Datenschutzskandale“ in Form von illegalem Datenhandel und ausufernder Mitarbeiterkontrolle.20) Hinzu kamen „Datenschutzpannen“. Beispielsweise bei Unternehmen wie der Deutschen Bahn, LIDL, Beate Uhse, Telekom und vielen mehr.21) 3. Das Inkrafttreten der InsO Zum 1.1.1999 ist die InsO in Kraft getreten (Art. 110 EGInsO); also inmitten 33 der oben aufgezeigten Gemengelage (Rn. 30, 31) – jedenfalls chronologisch: ___________ 20) Gola/Schomerus-Gola/Klug/Körffer, Einleitung Rn. 24. 21) Vgl. z. B. https://de.wikipedia.org/wiki/Lidl#Datenschutz (Stand: 31.3.2019) und https:// www.welt.de/wirtschaft/article3107270/Der-raetselhafte-Datenskandal-der-DeutschenBahn.html (Stand: 31.3.2019).
13
C. Kurze Geschichte des Datenschutzes
Zur Ermöglichung einer effizienten Abwicklung des Insolvenzverfahrens22) normiert § 5 Abs. 4 Satz 1 InsO die Ermächtigung, Tabellen und Verzeichnisse innerhalb eines solchen Verfahrens maschinell herstellen zu können – immerhin, aber mehr auch nicht:23) Von „Konzeptionslosigkeit“ des Gesetzgebers über „Rückständigkeit“ sind die Kommentare zu dieser Norm bis hin zu „… überflüssig […] weil sie [die Norm] den unzutreffenden Eindruck erweckt, ansonsten sei der Einsatz elektronischer Datenverarbeitung nicht gestattet.“24) Offenbar zeigt sich hier der (technologische) Rückschritt der Justiz gegenüber der datenverarbeitenden Realität. Galt es mit dieser Norm kurz gefasst nur klarzustellen, dass sozusagen bürotechnisch Tabellen und Verzeichnisse jedenfalls nicht in Papierform25) durch den Insolvenzverwalter bereitzustellen sind. Die Frage der darüber hinausgehenden digitalen Kommunikation zwischen Gericht, Insolvenzverwalter und insbesondere Dritten als Ausprägung einer Form des Datenschutzes regelt diese insolvenzrechtliche Vorschrift bis heute nicht. Dies soll „… im größeren, über das Insolvenzverfahren hinausweisenden Zusammenhang zu klären…26)“ sein – also durch das Datenschutzrecht. So viel sei an der Stelle als kurzes Zwischenfazit gesagt. 34 Nun sind wir im Jahre 2019 erfreulicherweise weiter, was neben § 9 InsO auch dieses Buch zeigt. IV. Die Entwicklung des Datenschutzes seit 2009 bis heute 1. Weiterentwicklung BDSG 35 Im Jahre 2009/2010 wurde das Bundesdatenschutzgesetz geändert: Unter anderem wurden die Tätigkeit von Auskunfteien und das Scoring neu geregelt. Die Bestimmungen zum Adresshandel wurden in § 28 BDSG a. F. geändert. Bereits vor nunmehr rund zehn Jahren normierte der Gesetzgeber im Hinblick auf einen Datenschutzbeauftragen einen weitestgehenden Kündigungsschutz und dessen Anspruch auf Fortbildung. Die Informationspflichten wurden in § 42a BDSG a. F. normiert und Bußgelder erhöht – wobei der damalige Sanktionsrahmen von immerhin bis zu 50.000,– € (§ 43 Abs. 3 Satz 1 BDSG a. F.) offenbar im Gegensatz zu heute nicht ausreichte, um hinreichend Publizität auch über den Kreis der Datenschützer bzw. Datenschutzrechtler hinaus herbeizuführen.
___________ 22) Nerlich/Römermann-Becker, § 5 Rn. 54 m. w. N. 23) Weiteres überlässt der Gesetzgerber der InsO in den § 5 Abs. 4 Satz 1 – 4 den Landesregierungen bzw. Landesjustizverwaltungen. 24) Nerlich/Römermann-Becker, InsO, § 5 Rn. 54 ff. 25) Relativ ausführlich zur Voraussetzung schriftlicher Dokumente bzw. deren elektronischer Kommunikation Nerlich/Römermann-Becker, InsO, § 5 Rn. 59 m. w. N. 26) Relativ ausführlich zur Voraussetzung schriftlicher Dokumente bzw. deren elektronischer Kommunikation Nerlich/Römermann-Becker, InsO, § 5, Rn. 59 m. w. N.
14
IV. Die Entwicklung des Datenschutzes seit 2009 bis heute
Die verhängnisvollen Geschehnisse um den 11.9.2001 herum führten zur Be- 36 fassung mit der Vorratsdatenspeicherung, national sowie international.27) 2. Die DSGVO und das BDSG 2018 Nach Jahren intensiver Diskussion um die Reform des europäischen Daten- 37 schutzrechts trat im April 2016 bereits die Datenschutz-Grundverordnung – Verordnung (EU) 2016/679 – in Kraft. Volle Wirksamkeit entfaltete sie zum 25.5.2018.28) Die Verordnung gilt unmittelbar und einheitlich in allen Mitgliedstaaten und 38 soll als Ausläufer einer „echten Vollharmonisierung des europäischen Datenschutzrechts29)“, insbesondere in grenzüberschreitenden Fällen, eine einheitliche Anwendung der Datenschutzvorschriften in der EU gewährleisten. Ihr Ziel ist es mithin, sowohl ein einheitliches Datenschutzniveau zu erreichen als auch den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten. Beispiel für Änderungen bzw. Neuerungen sind exemplarisch der Schadenser- 39 satz- bzw. Schmerzensgeldanspruch für Verbraucher bei Verstößen, die immaterielle Schäden verursacht haben (Art. 82 Abs. 1 DSGVO); die umfassende Normierung der Vorschriften zum Datenschutzbeauftragten in den Art. 37 ff. DSGVO; die mit der Rechenschaftspflicht nach Art. 5. Abs. 2 DSGVO letztlich einhergehende Beweislastumkehr, der man als Verantwortlicher, insbesondere durch entsprechende Dokumentation, nachkommen kann.30) Last but not least wurde aus dem BDSG a. F. mit seinerzeit 48 Regelungen ein 40 „neues“ Bundesdatenschutzgesetz mit nunmehr 85 Vorschriften – die teilweise nicht in Einklang mit der europäischen Datenschutz-Grundverordnung stehen. Bereits dies verdeutlicht, warum Kritiker von einem anwenderunfreundlichen Gesetz sprechen. Schwerer wiegen jedoch die zahlreichen Verweisungen im BDSG 2018 (auch) auf die DSGVO. Sie machen das deutsche Umsetzungsgesetz sehr komplex und nur schwer lesbar. Praxistipp: Im Internet31) finden sich sinnvolle Synopsen der DSGVO, des BDSG 2018 sowie des BDSG a. F., teilweise mit hilfreichen Erwägungsgründen. Daneben gibt z. B. die GDD (Gesellschaft für Datenschutz und Datensicherheit e. V.) ein solches Heft heraus.32)
___________ 27) Dazu ausführlich Kühling/Seidel/Sivridis, Datenschutzrecht, Rn. 108 ff. m. w. N. 28) Unter anderem zum Gesetzgebungsverfahren Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 5. 29) Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 2. 30) Dazu ausführlich Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 5 DSGVO Rn. 52 m. w. N. 31) Exemplarisch, nicht abschließend und ohne Aussage zur Güte des Angebots https://www.compliance-net.de/node/178 (Stand: 1.4.2019); http://rsw.beck.de/CMS/ ?toc=ZD.root&docid=328504 (Stand: 31.3.2019). 32) Siehe https://www.gdd.de.
15
D. Überblick zum Datenschutzrecht Dieses Kapitel bietet zum Datenschutzrecht als Einstieg in diese Spezialma- 41 terie einen ersten Überblick, der in den folgenden Kapiteln bzw. über das Stichwortverzeichnis auch fallbezogen vertieft werden kann. I. Rechtsnormen des Datenschutzrechts „Das Datenschutzrecht“ ist in Ausprägung der DSGVO Teil des Europa- 42 rechts; in Ausprägung des BDSG 2018 bzw. der Datenschutzgesetze unserer Bundesländer öffentliches Recht. Was sich insbesondere an dem Volkszählungsurteil des BVerfG33), natürlich aber auch am Aufgabenbereich des Datenschutzes, die informationelle Selbstbestimmung als Ausläufer des allgemeinen Persönlichkeitsrechts sowie der Würde des Menschen (Artt. 2 Abs. 1, 1 Abs. 1 GG) und rechtlich geschützter (Post- und Fernmelde-) Geheimnisse nach Art. 10 GG zu gewährleisten, zeigt. Daneben gewährt das Datenschutzrecht aber auch einen Ausgleich zwischen dem Datenschutz des Einzelnen – also des Betroffenen als demjenigen, der tatsächlich geschützt wird, denn nur er ist Inhaber der zuvor genannten Grundrechte – und den berechtigten Interessen der Allgemeinheit, staatlichen und privaten Telekommunikationsanbietern etc. Folglich können folgende Normen „dem Datenschutzrecht“ zugeordnet 43 werden: x
Datenschutz-Grundverordnung (DSGVO)34) Nebst deren 173 Erwägungsgründen35): Ähnlich den Materialien bzw. Protokollen zum BGB36) oder den BT-Drucksachen geben diese Erwägungsgründe „… in komprimierter Form wichtige – bisweilen aber auch widersprüchliche – Auskünfte über Zielsetzungen und Hintergründe…“ letztlich der DSGVO.37) Denn in Erwägung dieser wurde die DSGVO erlassen.38)
x
Bundesdatenschutzgesetz (BDSG a. F. bzw. ab 25.5.2018 BDSG 2018)39)
___________ 33) BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, NJW 1984, 419. 34) Siehe https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2016/04/ CONSIL_ST_5419_2016_INIT_DE_TXT.pdf (Stand: 27.10.2018). 35) Siehe https://dsgvo-gesetz.de/erwaegungsgruende/ (Stand: 27.10.2018). 36) Siehe https://www.rewi.uni-jena.de/Fakultät/Lehrstühle+und+Dozenten/ Zivilrechtliche+Lehrstühle/Prof_+Dr_+Christian+Fischer/Mugdan.html (Stand: 27.10.2018). 37) Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 10. 38) Siehe https://dsgvo-gesetz.de/erwaegungsgruende/ (Stand: 27.10.2018). 39) Siehe http://www.gesetze-im-internet.de/bdsg_2018/ (Stand: 27.10.2018).
17
D. Überblick zum Datenschutzrecht
x
Landesdatenschutzgesetze (LDSG) unserer Bundesländer40)
44 Aber auch in einigen anderen Gesetzen finden sich Regelungen, die dem Datenschutzrecht unterfallen: x
Telemediengesetz: Das TMG gilt nach der Legaldefinition für Telemedien i. S. v. § 1 Abs. 1 Satz 1 TMG41), also kurz gefasst für alle elektronischen Informations- und Kommunikationsdienste, die in negativer Abgrenzung weder Telekommunikationsdienste42) noch Rundfunk nach dem Rundfunkstaatsvertrag sind. Grundsätzlich fallen darunter alle im Internet zum Abruf vorgehaltene Dienstleistungen wie juristische Datenbanken, Teleshopping, Streamingdienste etc. Das TMG enthält in Abschnitt 4 Datenschutz (§§ 11 – 15a) entsprechende Datenschutznormen.
45 Exkurs: Die erwartete ePrivacy-Verordnung43) soll in Zukunft das o. g. TMG spezifizieren und daneben die aktuell noch geltende Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie 2002/58/EG) sowie die CookieRichtlinie (2009/136/EG). Mit der ePrivacy-Verordnung erwartet uns eine weitere EU-Verordnung mit heute en detail noch nicht absehbaren Regelungen. Sehr wahrscheinlich wird sie die DSGVO ergänzen.44) Derzeit spekuliert man, welche Auswirkungen von ihr z. B. auf Unternehmen, die Tracking-Maßnahmen auf ihren Internetauftritten anwenden, ausgehen werden. Online die Privatsphäre von Bürgern und das Vertrauen der Nutzer in digitale Kommunikationswege zu stärken (vgl. Kontext des Vorschlags Ziff. 1.1), sind sinnvolle Intentionen. Sicherlich wird die ePrivacy-Verordnung aber unser aller Internetverhalten nachhaltig ändern: Wir sind es gewohnt, selbst lapidare Onlinezeitungsdienste „vermeintlich kostenlos“ zu erhalten. Zukünftig werden wir diese Internetdienste nicht mehr „einfach so mit unseren“ (Cookie- und sonstigen) persönlichen Daten bezahlen, sondern stattdessen vermutlich gegen echte Entgelte. Telekommunikationsgesetz: Das TKG45) gilt für Telekommunikation. Gemäß § 3 Nr. 22 TKG ist Telekommunikation der technische Vorgang des ___________
x
40) Exemplarisch: DSG NRW (https://recht.nrw.de/lmi/owa/ br_text_anzeigen?v_id=3520071121100436275, Stand: 27.10.2018); BInDSG (http://gesetze.berlin.de/jportal/?quelle=jlink&query=DSG+BE&psml=bsbeprod.p sml&max=true (Stand: 27.10.2018); Bayern (https://www.datenschutz-bayern.de/ datenschutzreform2018/BayDSG.pdf (Stand: 27.10.2018); Hessen (https://www.rv.hessenrecht.hessen.de/lexsoft/default/ hessenrecht_rv.html#docid:8074311,1,20180525 (Stand: 27.10.2018). 41) Siehe https://www.gesetze-im-internet.de/tmg/TMG.pdf (Stand: 28.10.2018). 42) Kurz gefasst Übertragung von Signalen. 43) Kommissions-Vorschlag, https://eur-lex.europa.eu/legal-content/EN/TXT/ ?uri=CELEX%3A52017PC0010 (Stand: 28.10.2018). 44) Dazu im Einzelnen Paal/Pauly-Pauly, DS-GVO/BDSG, Art. 95 DSGVO Rn. 1 ff. m. w. N. 45) Siehe http://www.gesetze-im-internet.de/tkg_2004/index.html# BJNR119000004BJNE000507123 (Stand: 28.10.2018).
18
I. Rechtsnormen des Datenschutzrechts
Aussendens, Übermittelns und Empfangens von Signalen durch Telekommunikationsanlagen. Exemplarisch bedeutet dies in der Praxis, dass Telegrafie, Telefax und Telefonie unter Telekommunikation zu verstehen sind. §§ 91 ff. TKG enthalten Vorschriften, die sich mit dem Datenschutz bei Telekommunikationsvorgängen befassen. x
Strafgesetzbuch: Auch das StGB46) enthält diverse Normen mit Bezug zu Daten bzw. dem Datenschutz. Beispielsweise –
§ 201 StGB Verletzung der Vertraulichkeit des Wortes
–
§ 201a StGB Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen
–
§ 202 StGB Verletzung des Briefgeheimnisses
–
§§ 202a ff. StGB Ausspähen von Daten etc.
–
§ 202d StGB Datenhehlerei
–
§ 203 StGB Verletzung von Privatgeheimnissen
–
§ 204 StGB Verwertung fremder Geheimnisse (siehe Anhang)
x
Datenschützende Vorschriften finden sich auch in den Sozialgesetzbüchern, wie z. B. das in § 35 SGB I normierte Sozialgeheimnis als Betroffenenanspruch darauf, dass seine Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden; oder §§ 67 ff. SGB X, die – ergänzend zu Artikel 4 der Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 – zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr etc. den Umgang entsprechender Verantwortlicher mit Sozialdaten, Betriebsund Geschäftsgeheimnissen u. v. m. regeln, § 67 Abs. 1 u. 2 SGB X.
x
Signaturgesetz bzw. Vertrauensdienstegesetz: Das Signaturgesetz47) bzw. das das SigG letztlich seit 29.7.2017 ersetzende Vertrauensdienstegesetz (VDG)48) haben i. E. die Rahmenbedingungen für zuverlässige und möglichst sicher elektronische Signaturen normiert. Diese stellen, wie nachfolgend noch im Einzelnen erläutert wird, ein Mittel zur Gewährleistung, insbesondere der Datenintegrität dar. Neben dem Asset Deal bzw. seiner Vorbereitung ist hier insbesondere die Übermittlung der Insolvenztabelle an das Insolvenzgericht das Paradebeispiel, bei dem sich der Insolvenzverwalter ggf. entsprechend dieser Normen qualifizierter Signaturen bedienen sollte. § 8 VDG enthält eine explizite Regelung zum Datenschutz,
___________ 46) Siehe http://www.gesetze-im-internet.de/stgb/ (Stand: 28.10.2018). 47) Siehe https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/ QES/Rechtsgrundlagen/SignaturGesetz16052001Id2247pdf.pdf?__ blob=publicationFile&v=1 (Stand: 28.10.2018). 48) Siehe https://www.gesetze-im-internet.de/vdg/VDG.pdf (Stand: 28.10.2018).
19
D. Überblick zum Datenschutzrecht
die gemäß § 8 Abs. 5 VDG aber allgemeine Datenschutzanforderungen unberührt lässt (§§ 8 ff. VDG, siehe Anhang). x
Kunsturhebergesetz: Fotografie ist heutzutage überwiegend digital. Fotos von Personen, sei es von Mitarbeitern der Anwaltskanzlei, sei es von Dritten, können letztlich bei der entsprechenden Veröffentlichung, insbesondere im Internet schnell auch datenschutzrechtlich relevant werden. Mit fortschreitender (Video-)Überwachung, Profiling und vielem mehr liegt ein personenbezogenes Datum i. S. d. DSGVO bzw. dem BDSG 2018 vor. Das Kunsturhebergesetz (KUG)49) enthält insbesondere in den §§ 22 f. (§§ des KUG siehe Anhang). Normierungen zu einer Einwilligung sowie zur (grundsätzlich dann zulässigen) Veröffentlichung von Fotografien. Hier greifen also das Kunsturhebergesetz und die DSGVO in gewisser Weise ineinander.
x
Letztlich ist im Bereich des Datenschutzes immer auch das Gesetz gegen unlauteren Wettbewerb (UWG50) zu berücksichtigen. Dort werden nach § 1 UWG zum Schutz von Mitbewerbern sowie Verbrauchern beispielsweise in § 7 UWG Regelungen zu unzumutbaren Belästigungen per Werbung bzw. E-Mail, letztlich aber auch die Einwilligung niedergelegt. § 17 UWG sanktioniert den Verrat von Geschäfts- und Betriebsgeheimnissen. Für den Bereich dieses Gesetzes gegen den unlauteren Wettbewerb definiert § 2 Abs. 1 Nr. 4 UWG den Begriff einer Nachricht. Mit der Frage, ob aufgrund von Verstößen gegen das Datenschutzrecht Abmahnungen einhergehen können bzw. dürfen, befasst sich Rn. 127 ff. § 8 UWG ist hier eine der zentralen Normen. Danach kann auf Beseitigung und bei Wiederholungsgefahr auch auf Unterlassung in Anspruch genommen werden, wer eine nach § 3 oder § 7 UWG unzulässige geschäftliche Handlung vornimmt (§ 8 Abs. 1 Satz 1 UWG).
46 Exkurs: § 2 Abs. 7 BORA Seit Januar 2018 wurde diese Norm neu gefasst, auch was die organisatorischen und technischen Maßnahmen zur Wahrung der anwaltlichen Verschwiegenheitspflicht betrifft: „§ 2 Verschwiegenheit (1) 1Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet und berechtigt. 2 Dies gilt auch nach Beendigung des Mandats. […]
___________ 49) Siehe https://www.gesetze-im-internet.de/kunsturhg/index.html# BJNR000070907BJNE002801320 (Stand: 28.10.2018). 50) Siehe http://www.gesetze-im-internet.de/uwg_2004/index.html# BJNR141400004BJNE000704360 (Stand: 28.10.2018).
20
I. Rechtsnormen des Datenschutzrechts (7) 1Die Verschwiegenheitspflicht gebietet es dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. 2Technische Maßnahmen sind hierzu ausreichend, soweit sie im Falle der Anwendbarkeit des Datenschutzrechts dessen Anforderungen entsprechen. 3Sonstige technische Maßnahmen müssen ebenfalls dem Stand der Technik entsprechen. 4Abs. 3 lit. 5c) bleibt hiervon unberührt. (8) Die Bestimmungen des Datenschutzrechts zum Schutz personenbezogener Daten bleiben unberührt.“
Hierbei zeigt sich ebenfalls ein ausweislich des o. g. Wortlauts bzw. der o. g. 47 Hervorhebungen gar wechselseitiges Ineinandergreifen von Datenschutzund sonstigem, vorliegend anwaltlichem Standesrecht. Es zeigt sich zudem erneut, dass die Anwalts- und somit Insolvenzkanzlei ab sofort zukünftig sensibler und umsichtiger sein sollte: von abgeschlossenen Aktenschränken über von diesen räumlich abgetrennten Besprechungszimmern, sodass i. E. auch hier nur Mitarbeiter der Kanzlei die Möglichkeit des Zugriffs auf personenbezogene Daten von Mandanten haben. Die EDV der Kanzlei darf dem natürlich nicht nachstehen (siehe Rn. 245 ff.). An der Stelle soll hinsichtlich der Hierarchie bzw. dem Ineinandergreifen 48 dieser und anderer Normen des Datenschutzrechts darauf hingewiesen werden, dass künftig primär die DSGVO heranzuziehen ist (Art. 288 Abs. 2 AEUV, § 1 Abs. 5 BDSG 2018). Als Verordnung hat sie unmittelbare Wirkung in allen Mitgliedstaaten der EU. Bei vorhandenen DSGVO-Handlungsoptionen für die einzelnen EU-Mitgliedstaaten ist eine den Sachverhalt betreffende Regelung im jeweiligen LandesdatenschutzG bzw. BDSG 2018 zu berücksichtigen. Zukünftig wird sich für den Insolvenzverwalter neben „dem Insolvenzrecht“51) beim Bezug zu Daten in der Kanzlei bzw. im schuldnerischen Betrieb ein „…Hin- und Herspringen […]zwischen den oben dargestellten datenschutzrechtlichen Normen […] kaum vermeiden lassen….“52) Dies gilt ebenfalls für die zuvor genannten, weiteren datenschutzrechtlichen Vorschriften für spezielle Lebenssachverhalte wie die Fotografie etc. Mitunter normieren diese selbst, wie z. B. § 8 Abs. 5 VDG, dass die allgemeinen Datenschutzbestimmungen unberührt bleiben. Was dann wiederum solche Datenschutzbestimmungen des Landes-/Bundesdatenschutzgesetzes sowie der DSGVO meinen muss.
___________ 51) Als eine einheitliche Kodifizierung gibt es das nicht. 52) Dazu und zur Normenhierarchie Paal/Pauly-Paal/Pauly, DS-GVO/BDSG, Einleitung Rn. 20 ff.
21
D. Überblick zum Datenschutzrecht Praxistipp: Im Datenschutzrecht gibt es keinen Bestandsschutz! Erwägungsgrund 171 lautet aber: „Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, sodass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“ Für die Anwaltskanzlei kann man hieraus sozusagen im Umkehrschluss vertretbar herleiten, dass eine Einwilligung von Mandanten etc. nicht rückwirkend eingeholt werden muss. Seit dem 25.5.2018 und ab dann für die Zukunft sollte jedoch Datenschutzkonformität vorliegen bzw. herbeigeführt werden.
II. Datenschutzrechtliche Grundsätze 49 Um das Ergebnis vorwegzunehmen: Selbstverständlich unterliegt auch eine Anwalts-, Steuerberater- oder sonstige Kanzlei53) dem Datenschutz in zuvor aufgezeigter gesetzlicher Ausprägung. Warum und welche Grundbegriffe in dem Zusammenhang von Bedeutung sind, erläutert einleitend das folgende Kapitel. 1. Anwendungsbereich der Datenschutzgesetze Art. 2 Abs. 1 DSGVO lautet: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Hiervon nimmt Art. 2 Abs. 2 DSGVO aus: „Diese Verordnung findet keine Anwendung auf die Verarbeitung … […] c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten…“
50 Werden vom Anwalt einer Insolvenzverwalterkanzlei z. B. Telefonnummern allein zu seiner persönlichen, privaten und familiären Verwendung in seinem EDV-System gespeichert, findet das Datenschutzrecht gemäß Art. 2 Abs. 2 lit. c) schon keine Anwendung. Ansonsten, im Umkehrschluss, grundsätzlich schon. 51 Aber was ist nun unter einer Verarbeitung im vorgenannten und datenschutzrechtlichen Sinne zu verstehen? ___________ 53) Siehe exemplarisch darüber hinaus für den Bereich des Notariats https:// www.notarkammer-ffm.de/aktuelles/273-datenschutzgrundverordnung-rundschreibender-bundesnotarkammer-2.html (Stand: 3.11.2018) bzw. die Wirtschaftsprüfer https:// www.wpk.de/mitglieder/praxishinweise/datenschutz/ (Stand: 3.11.2018).
22
II. Datenschutzrechtliche Grundsätze
Das aktuelle Datenschutzrecht unterscheidet nicht mehr zwischen der Erhe- 52 bung, Verarbeitung und Nutzung eines personenbezogenen Datums. Diese vormals vorzufindende Differenzierung zwischen der – kurz gefassten – Eruierung bzw. Ermittlung (= Erhebung), Einbringung in die bzw. Verwendung per EDV (= Verarbeitung) und z. B. Auswertung oder Verwendung dieser personenbezogenen Daten (= Nutzung) ist jedenfalls in der vormals z. B. in § 11 BDSG a. F. vorzufindenden Ziselierung weggefallen: Der aktuelle Oberbegriff der Verarbeitung beinhaltet diese Begriffe jedoch. Er geht aber auch weiter. Die diesbezügliche Legaldefinition des Art. 4 Nr. 2 DSGVO lautet: „Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Praxistipp: Die Hervorhebungen oben in der Legaldefinition des Art. 4 Nr. 2 DSGVO machen im Besonderen klar, dass vorbehaltlich des Datenschutzausschlusses nach Art. 2 Abs. 2 lit. c) im heutigen digitalen Zeitalter im Rahmen einer vermutlich zu 99 % per EDV arbeitenden Insolvenzkanzlei davon auszugehen ist, dass grds. jeder Umgang mit personenbezogenen Daten dem aktuellen Datenschutzrecht entsprechend zu erfolgen hat! Denn Erfassen, Organisation und Speicherung kann vorstellbar bereits bei dem o. g. Beispiel bei der Aufnahme einer Telefonnummer in das Smartphone des Insolvenzverwalters vorliegen. Die Verwendung durch Nutzung z. B. einer E-Mail-Adresse durch das Team der Insolvenzkanzlei und letztlich das Löschen, wenn z. B. E-Mail-Bewerbungen nach Stellenbesetzung in der Kanzlei gelöscht werden. All dies54) und viele im Internetzeitalter durchweg gängige Umgangsformen mit Daten können eine Verarbeitung im datenschutzrechtlichen Sinne darstellen. Und das Datenschutzrecht kennt kein „erlaubtes Risiko“!55)
Aber was sind nun „personenbezogene Daten“? Denn nur um diese geht es 53 beim Datenschutz! Hierzu hält Art. 4 Nr. 1 DSGVO eine weitere Legaldefinition vor: „Im Sinne dieser Verordnung bezeichnet der Ausdruck: … „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
___________ 54) Dazu ausführlich Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 20 ff. m. w. N. 55) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 13.
23
D. Überblick zum Datenschutzrecht
54 Die obigen Hervorhebungen stellen (abermals) zunächst klar, dass der Datenschutz nicht Daten schützt, sondern letztlich die Betroffenen.56) Und zwar natürliche Personen, um deren zu schützende Daten es geht. In den Daten enthaltene Einzelangaben stellen den zu fordernden Personenbezug her. Wobei die mittelbare Identifizierbarkeit ausweislich des eindeutigen Gesetzeswortlautes ausreichend ist, um den Schutzbereich zu eröffnen. 55 Dies führt dazu, dass selbst im Rahmen des sog. Data-Minings gewonnene Rückschlüsse bzw. Identifizierungen einer Person ausreichend sein können, um die datenschutzrechtliche Relevanz zu begründen. Bei diesen technischen Verfahren des „Datengrabens“ werden im Einzelnen, ggf. sogar ohne eigenständige Aussagekraft, stehende Daten erst durch deren (statistische) Kombination, Auswertung und Wertung riesiger Datenmengen, z. B. im Hinblick auf die Ermittlung von Nutzerverhalten, zu relevanten personenbezogenen Daten i. S. v. Art. 4 Nr. 1 DSGVO. Beispiele für dementsprechende personenbezogene Daten können sein: x
Name und andere Identifikationsmerkmale
x
Kennnummern –
Standortdaten (der Kanzlei, aber ggf. auch einer Niederlassung des insolventen Betriebes; natürlich jeweils bei Mitarbeiterbezug)
–
Bankverbindung
–
Familienstand eines Schuldners
–
Vermögens-, Einkommens- und Bonitätsdaten
–
Qualifikationen
–
Tätigkeitszeiten
–
Kontaktdaten wie (E-Mail-)Adressen, Telefonnummern
–
Fotografische Abbildungen, Videoaufnahmen u. v. m.
56 Insbesondere die Rechtsprechung57) postuliert in dem Zusammenhang eine weite Auslegung entsprechender Kriterien: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“58). Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben.59) ___________ 56) Auch „Data Subject“ genannt. 57) EUGH, Urt. v. 19.10.2016, Rs. C-582/14, NJW 2016, 3579; BGH, Urt. v. 16.5.2017 – VI ZR 135/13, BGHZ 215, 56. 58) EUGH, Urt. v. 19.10.2016, Rs. C-582/14, Rn. 49, NJW 2016, 3579; BGH, Urt. v. 16.5.2017 – VI ZR 135/13, BGHZ 215, 56. 59) BGH, Urt. v. 16.5.2017 – VI ZR 135/13, BGHZ 215, 56.
24
II. Datenschutzrechtliche Grundsätze
Körperliche Merkmale, wie z. B. Behinderungen, Beziehungen, charakterliche 57 Eigenschaften, genetische Daten, Gewerkschaftszugehörigkeit60) und andere „besonders“ bezogene Daten, können recht schnell gar in die besondere Kategorie personenbezogener Daten einzuordnen sein, deren Verarbeitung nach Art. 9 Abs. 1 DSGVO sogar grundsätzlich untersagt ist, es sei denn es liegen die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor.61) Praxishinweis: Betroffene im datenschutzrechtlichen Sinne sind natürliche Personen zwischen ihrer Geburt und deren Tod. Für den Fall eines Nachlassinsolvenzverfahrens genießen die Daten des Erblassers also keinen Schutz mehr nach Datenschutzrecht! Erwägungsgrund 27 Satz 1 ist da eindeutig, er lautet: „… Diese Verordnung62) gilt nicht für die personenbezogenen Daten Verstorbener…“. Dies gilt selbstredend vorbehaltlich anderer Schutzvorschriften z. B. zum postmortalen Persönlichkeitsschutz,63) die von der Insolvenzkanzlei z. B. im Rahmen der Berichterstattung an das Gericht zu beachten sein können. Daten Dritter, z. B. potenzieller Erben oder/und Arbeitnehmer in dem Betrieb des Verstorbenen, sind jedoch vollständig datenschutzkonform durch den Insolvenzverwalter zu behandeln.
Zusammenfassend lässt sich sagen, dass die Chance sehr groß ist, im Zusam- 58 menhang mit der Tätigkeit als Insolvenzverwalter mit personenbezogenen Daten in Kontakt zu kommen. Man denke neben den vorgenannten Beispielen z. B. an die Verpflichtung des Insolvenzverwalters, nach Insolvenzeröffnung Zeugnisse für die Arbeitnehmer des fortgeführten Betriebs auszustellen. 2. Verantwortlicher für den Umgang mit Daten Verantwortung für den Umgang mit personenbezogenen Daten hat jedoch 59 „nur“ der sog. Verantwortliche. Die Frage, ob der Insolvenzverwalter überhaupt und ab wann in welchem Umfang für personenbezogene Daten verantwortlich ist, ist in den unterschiedlichsten Facetten und überaus differenziert zu betrachten. Wobei sich nach heutigen Stand sicherlich die Frage stellt, ob der Datenschutzgesetzgeber, originäre Datenschutzrechtler, (Landes-)Datenschutzbeauftragte aber auch externe, ggf. von einem Insolvenzverwalter beauftragte Datenschutzbeauftragte diese insolvenzrechtlichen Besonderheiten präsent haben. Ausgangspunkt soll hier zunächst die Legaldefinition des Art. 4. Nr. 7 DSGVO 60 sein: „Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind
___________ 60) 61) 62) 63)
Beispielsweise eines Mitarbeiters in dem schuldnerischen Betrieb. Dazu ausführlich Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 9 DSGVO Rn. 10 ff. m. w. N. Gemeint ist die DSGVO. Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 4.
25
D. Überblick zum Datenschutzrecht die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“
61 Unbestritten ist somit grundsätzlich jede natürliche oder juristische Person, Behörde und Einrichtung, die relevante Daten verarbeitet, verantwortlich für den Datenumgang, aber z. B. auch bei Tätigkeitsauslagerung im Rahmen der Auftragsverarbeitung, etwa nach Beauftragung eines externen Dienstleisters durch den Insolvenzverwalter. 62 Dass der Insolvenzverwalter „im klassischen Sinne“, also nach Eröffnung des Insolvenzverfahrens und mit Übergang der Verwaltungs- und Verfügungs- sowie sonstiger Befugnisse i. S. d. §§ 80 ff. InsO, insbesondere im Hinblick auf die schuldnerische EDV bzw. dort vorhandenen Daten vermutlich unstreitig64) datenschutzrechtlich verantwortlich ist, dürfte sicher sein. Der Umgang damit – z. B. in einem Verbraucherinsolvenzverfahren, in dem sich die EDV beim Schuldner befindet und dort zur privaten Nutzung verbleibt, oder auch hinsichtlich einer evtl. Freigabe nach § 295 InsO – wird letztlich in Zukunft in der Schnittmenge aus Datenschutz- und Insolvenzrecht fortzuentwickeln sein. 63 Im Ergebnis dürfte eine datenschutzrechtliche (Mit-)Verantwortlichkeit hinsichtlich der schuldnerischen EDV für den starken vorläufigen Insolvenzverwalter ebenfalls zu bejahen sein. Auf ihn ist die Verwaltungs- und Verfügungsbefugnis nach § 21 Abs. 1 Satz 1 InsO sozusagen bereits vor Eröffnung des Insolvenzverfahrens übergegangen; was üblicherweise auch die EDV des Schuldners betrifft. 64 Nach hiesiger Auffassung trifft diese datenschutzrechtliche Verantwortlichkeit den lediglich „schwachen“ vorläufigen Insolvenzverwalter nicht. Auch den lediglich zum Gutachter bestellten Anwalt nicht – was beides im Hinblick auf die schuldnerische EDV bzw. dort vorhandenen Daten gemeint ist. 65 All den Vorgenannten ist jedoch eine Verantwortlichkeit für den datenschutzkonformen Umgang mit personenbezogenen Daten innerhalb ihrer Kanzlei zweifelsohne zuzusprechen! Denn jeder, der personenbezogene Daten nicht rein persönlich bzw. intrafamiliär für sich verarbeitet, also erhebt, speichert, ggf. auswertet oder weitergibt, kann Verantwortlicher sein.65) Im beruflichen Alltag ist regelmäßig der Inhaber der Insolvenzverwalterkanzlei – aber letztlich auch der Mitarbeiter – verantwortlich für Daten der Kanzleimitarbeiter, Mandanten und der Daten aus dem Insolvenzverfahren, die er z. B. für das Sachverständigengutachten (per Fragebogen oder Erstgespräch bzw. im Laufe des Ermittlungsverfahrens) erhebt, naturgemäß in der EDV speichert, insbesondere im Rahmen der Insolvenzgründe u. v. m., in seinem Sachverständigengutachten auswertet und letztlich an das Insolvenzgericht weitergibt. ___________ 64) Woltersdorf, INDat Report 02/2018, 16. 65) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 55.
26
II. Datenschutzrechtliche Grundsätze
3. Verbot mit Erlaubnisvorbehalt Ein Blick ins Gesetz erleichtert die Rechtsfindung bekannterweise ungemein. 66 Dies gilt auch für die Frage, wann die Verarbeitung personenbezogener Daten in der Insolvenzkanzlei nun überhaupt erlaubt ist. Denn es gilt das Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung ist verboten, außer sie ist im konkreten Einzelfall gestattet: a) Grundsätzliches (Art. 6 Abs. 1 DSGVO) Art. 6 Abs. 1 Satz 1 DSGVO lautet:
67
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f)
die Verarbeitung ist im Interesse des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. […].“
Praxistipp: Bevor wir uns anhand der obigen Hervorhebungen den einzelnen Erlaubnistatbeständen im Anschluss grundsätzlich nähern, muss darauf hingewiesen werden, dass selbst, wenn ein Erlaubnistatbestand wie die Einwilligung vorliegen sollte, sich dieser auf den jeweiligen Verarbeitungsschritt zu beziehen hat. Wenn der Insolvenzkanzlei beispielsweise eine Einwilligung zur Datenerhebung für das Sachverständigengutachten vorliegen sollte, bedeutet dies also nicht, dass sich die Einwilligung auch auf eine Nutzung der Daten nach Insolvenzeröffnung bzw. gar zur Veräußerung im Rahmen eines Asset Deals bezieht. Hierauf muss in der Insolvenzkanzlei peinlichst genau geachtet werden! Das Landgericht Bonn66) hat jüngst in dem Zusammenhang plastisch ausgeführt: „…Vor diesem Hintergrund kann […] Vertragstreue insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mit geltendem
___________ 66) LG Bonn, Beschl. v. 29.5.2018 – 10 O 171/18, ZD 2018, 588.
27
D. Überblick zum Datenschutzrecht Recht stehen, § 242 BGB. Gemessen an der Regelung des Art. 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten […] nur „für festgelegte, eindeutige und legitime Zwecke erhoben“ werden dürfen […] und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen […].“
b) Die einzelnen Erlaubnistatbestände des Art. 6 Abs. 1 Satz 1 DSGVO in Kürze 68 Die Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten i. S. v. Art. 6 Abs. 1 Satz 1 lit. a) DSGVO stellt im Datenschutzrecht außerhalb der Schnittmenge zum Insolvenzrecht sicherlich einen der gängigsten Erlaubnistatbestände dar. Insbesondere im Internet und grundsätzlich eher außerhalb eines Arbeitsverhältnisses. Denn hier stellt sich oftmals die Frage, ob die Einwilligung eines Arbeitnehmers gegenüber seinem Arbeitgeber freiwillig genug ist. Eine Einwilligung ist nämlich nur dann eine Einwilligung i. S. d. DSGVO, genauer der Legaldefinition in Art. 4 Nr. 11 (i. V. m. Art. 7) DSGVO, wenn sie aktiv, bewusst, freiwillig, nach entsprechender Information und transparent sowie mit angemessenem Inhalt vorformuliert und dokumentiert erteilt wurde.67) 69 Exkurs zur Einwilligung an sich: Eine wirksame Einwilligung im Datenschutzrechtlichen Sinne setzt insbesondere Folgendes voraus:68) x
Auf der freien Entscheidung des Betroffenen beruhend, der
x
auf den konkret vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie […]
x
auf die Folgen der Verweigerung der Einwilligung hingewiesen wurde.
x
Grundsätzlich schriftlich abgegeben bzw.
x
besondere Hervorhebung, wenn die Einwilligung zusammen mit anderen Erklärungen wie Teilnahmebedingungen erteilt wird.
70 Auch wenn einige Insolvenzkanzleien in der Praxis dazu überzugehen scheinen, sich im Eröffnungsverfahren von dem Schuldner eine Einwilligung zur Datenverarbeitung geben zu lassen. Die Frage der Freiwilligkeit einer solchen Erklärung stellt sich nach Vorstehendem auf jeden Fall. Insbesondere bei einer natürlichen Person als Schuldner bereits (mittelbar) vor dem Hin___________ 67) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 61 ff. m. w. N.; Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 117, die Einwilligungsfähigkeit eines Bewerbers zur Weitergabe seiner Daten betreffend und im Ergebnis verneinend. 68) OLG Frankfurt/M., Urt. v. 24.1.2018 – 13 U 165/16, ZIP 2018, 644; dazu auch ausführlich Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 61 ff.
28
II. Datenschutzrechtliche Grundsätze
tergrund der angestrebten – und je nach Berichterstattung des Insolvenzverwalters i. E. ggf. nicht gewährter – Restschuldbefreiung. Zudem müsste diese Einwilligung – Freiwilligkeit unterstellt – im Hinblick auf jede Verarbeitung und wie zuvor dargestellt auch jeden Verfahrensschritt eines Insolvenzverfahrens i. w. S. erfolgen. Natürlich kann ein Schuldner nur in Bezug auf seine personenbezogenen Daten einwilligen, nicht etwa auf die Daten seiner Frau, z. B. deren Lohnbezüge. Seine Einwilligung wäre zudem jederzeit widerruflich nach Art. 7 Abs. 3 DSGVO. Letzteres ein Umstand, der eine Einwilligung als Erlaubnistatbestand im Eröffnungsverfahren, neben den zuvor aufgezeigten Bedenken in datenschutzrechtlicher Hinsicht, nach hiesiger Auffassung kaum praktikabel macht (im Rahmen eines Asset Deals siehe Rn. 716 ff.). Die Verarbeitung zur Erfüllung eines Vertrags scheidet im Insolvenzverfah- 71 ren als Erlaubnistatbestand, zumindest im Zusammenhang mit den Verfahrensdaten überwiegend aus. Bereits aufgrund des eindeutigen Wortlautes von Art. 6 Abs. 1 Satz 1 lit b) DSGVO: Eine (angehende) Vertragspartei muss demnach betroffene Person sein. Darüber hinaus muss die Datenverarbeitung zur Begründung, Durchführung oder/und Beendigung eines Vertrags erfolgen und nur Mittel zum Zweck sein, nicht Hauptzweck. Hier stellt sich gerade aber die Frage einer Ermächtigung zur Datenerhebung durch die Insolvenzkanzlei. Diese ist keine Vertragspartei des betroffenen Schuldners, was im Rahmen eines Mandatsverhältnisses in Richtung der Erhebung von Mandantendaten aber Legitimationsgrundlage sein dürfte. Es spricht viel dafür, dass die Verarbeitung durch die Insolvenzkanzlei zur 72 Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO), erforderlich ist. Dies setzt eine Verpflichtung des Verantwortlichen, Daten zu verarbeiten, kraft objektiven bzw. materiellen Recht voraus. In Deutschland begründen grundsätzlich Vorschriften wie §§ 11 ff. GewO, §§ 34 ff. BBiG, Paragrafen des allgemeinen Melderechts (§§ 30 Abs. 4 ff. BMG) sowie des Gefahrenabwehrrechts (§ 31a Abs. 1 PolG zu Fluggastdaten), aber auch Tarifverträge und Betriebsvereinbarungen derartige rechtliche Verpflichtungen.69) Mithin lässt sich der Intention dieses Praxisbuches an Vorschriften wie §§ 5, 20 bzw. 97 InsO denken. Nun normieren die §§ 5 und 20 InsO jedoch Verpflichtungen des Insolvenzgerichts zur Ermittlung bzw. Massesicherung und nicht des Gutachters. Ebenso auferlegt § 97 InsO dem Insolvenzschuldner Auskunfts- und Mitwirkungspflichten. Sinn, Zweck und Wortlaut dieser insolvenzrechtlichen Vorschriften lassen sich somit nicht zur unmittelbaren Herleitung einer Verarbeitungsberechtigung in der Insolvenzkanzlei heranziehen. Vertretbar ist aber deren analoge Anwendung. Dies deckt sich zum einen mit den aktuellen Bestrebungen einer rechtordnungsübergreifenden Konkordanz zwischen Erbund Datenschutzrecht. Zum anderen wäre so auch eine Befugnis zur Verarbeitung personenbezogener Daten Dritter gegeben. Soweit für das jeweilige ___________ 69) Im Einzelnen Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 16 ff. m. w. N.
29
D. Überblick zum Datenschutzrecht
Stadium des Insolvenz(-eröffnungs-)verfahrens erforderlich. Denn auch hier gilt70) der von der Insolvenzkanzlei zu beachtende Erforderlichkeitsgrundsatz.71) 73 Lebenswichtige zu schützende Interessen der betroffenen Person72) oder einer anderen natürlichen Person i. S. v. Art. 6 Abs. 1 Satz 1 lit. d) DSGVO sind in einem Insolvenzverfahren grundsätzlich nicht vorhanden. Gegebenenfalls könnte man dies innerhalb eines Verfahrens mit pflegebedürftigen Personen in Betracht ziehen. Beispielsweise wird für diesen Erlaubnistatbestand in der datenschutzrechtlichen Literatur die Bekanntgabe von Daten aus einem Handyvertrag diskutiert, um dadurch mögliche Opfer vor Straftaten gegen Leib, Leben und Freiheit zur Abwehr schwerer Gefährdungslagen zu schützen.73) 74 Eine für die Wahrnehmung einer Aufgabe – die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde – erforderliche Datenverarbeitung (Art. 6 Abs. 1 Satz 1 lit. e) DSGVO scheidet im Rahmen der Insolvenzverwaltung aus. Es kann sich bei den Verarbeitern zwar auch um Privatpersonen, wie z. B. einen im Insolvenzrecht tätigen Rechtsanwalt oder Steuerberater handeln. Die zugewiesene Aufgabe im öffentlichen Interesse setzt aber eine Beleihung zur Wahrnehmung des öffentlichen Interesses voraus,74) woran es zwar nicht bei einem Notar, jedoch bei einem im Insolvenzrecht Tätigen regelmäßig scheitern wird. Selbst nach Insolvenzeröffnung übt ein Insolvenzverwalter kein Amt als Beliehener aus, sondern er ist Partei kraft Amtes. 75 Letzter und derzeitig vermutlich bis zu einer wünschenswert einhelligen Auffassung bzw. (höchst-)gerichtlicher Klärung zu Art. 6 Abs. 1 Satz 1 lit c) DSGVO stichhaltigster Legitimationsgrund für die Datenverarbeitung durch eine Insolvenzkanzlei im Rahmen des Insolvenzverfahrens welcher Ausprägung auch immer dürfte sich aus Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, der Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, ergeben: Im Grundsätzlichen setzt dies nämlich im Gleichordnungsverhältnis unter Privaten75) eine Abwägung der durch die Datenverarbeitung jeweils berührten Interessen voraus. Sie fordert darüber hinaus dreierlei,76) wozu nachfolgend kurz Stellung genommen wird: 1. Berechtigte Interessen des Verantwortlichen oder Dritter: Der Gutachter – aber auch der Insolvenzverwalter – hat nicht zuletzt aufgrund des gerichtlichen (Gutachten-)Auftrags – bzw. mit dem Amt nach Insolvenz___________ 70) Wie grundsätzlich immer im öffentlichen Recht. 71) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 16 ff.; Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 117. 72) Hier also beispielsweise des Schuldners. 73) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 20 m. w. N. 74) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 23 f. 75) Wie z. B. dem Insolvenzschuldner und dem Anwalt der Insolvenzkanzlei. 76) Dazu ausführlich Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 6 DSGVO Rn. 26 ff. m. w. N.
30
II. Datenschutzrechtliche Grundsätze
eröffnung – ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten, insbesondere des Schuldners, soweit für den jeweiligen „Auftrag“ nötig. 2. Erforderlichkeit der Datenverarbeitung: Die Erforderlichkeit der Erhebung dieser Daten dürfte – bei Beachtung der noch zu erörternden Grundsätze der Datensparsamkeit etc. – unstreitig sein. Denn sowohl die Gutachtenabfassung, aber auch die Abwicklung des Insolvenzverfahrens als (vorläufiger) Insolvenzverwalter ist ohne Erhebung, Verarbeitung, ggf. Weitergabe auch personenbezogener Daten nicht möglich. 3. Keine überwiegenden berechtigten Interessen des Betroffenen: Bei Berücksichtigung des Vorstehenden ist kaum ersichtlich, wie die berechtigen Interessen des Betroffenen überwiegen sollen. Handelt es sich um eine natürliche Person und einen Eigenantrag, hat er bereits seinerseits das Interesse auch an der Datenverarbeitung etc. klar zum Ausdruck gebracht. Läge hingegen ein Fremdantrag vor, mag das anders zu beurteilen sein. Das berechtigte Interesse des Verantwortlichen in der Ausübung seines Berufs als Sachverständiger bzw. Insolvenzverwalter überwiegt neben dem „noch schwerer wiegenden“ Interesse des Antragstellers an dem geordneten Insolvenzverfahren und letztlich dem Interesse der Gläubigergesamtheit definitiv die Datenschutzinteressen eines Schuldners. Eine andere Einordnung bzw. ein anderes Abwägungsergebnis wäre nur vorstellbar bei „Datenexzessen“ in der Insolvenzkanzlei. Aber dem lässt sich durch die möglichst datenschutzkonforme Bearbeitung vorbeugen. Praxistipp: Aktuell lässt sich „die Ermächtigungsgrundlage“ zur Verarbeitung personenbezogener Daten in der Insolvenzkanzlei nicht benennen. Evtl. bis zu einer Klarstellung durch Literatur/Rechtsprechung bzw. den nationalen Gesetzgeber kann jedoch Art. 6 Abs. 1 Satz 1 lit. c) Erfüllung einer rechtlichen Verpflichtung jedenfalls analog für eine solche Verarbeitung als Legitimation streiten. Noch klarer jedoch die Verarbeitung zur Wahrung der berechtigten Interessen (Art. 6 Abs. 1 Satz 1 lit. f) DSGVO). Dafür spricht auch der in Zusammenhang mit lit. f) jedenfalls zu beachtende Art. 21 Abs. 1 DSGVO. Zwar wird nach dieser Norm ein Widerspruchsrecht des Betroffenen eingeräumt. Trotz eines solchen Widerspruchs – und etwa anders als bei der eingangs genannten Einwilligung – kann die Verarbeitung der für das jeweilige Verfahrensstadium notwendigen personenbezogenen Daten des Schuldners, seiner Familie, aber auch der Arbeitnehmer eines schuldnerischen Betriebs zur Insolvenzgeldvorfinanzierung u. v. m. in der Insolvenzkanzlei weiter erfolgen, sofern zwingend schutzwürdige Gründe für die Verarbeitung nachgewiesen werden, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Was insbesondere bei einer Verarbeitung, die der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient, ausweislich Art. 21 Abs. 1 Satz 2 DSGVO der Fall sein soll. Hier kann auf den gerichtlichen Gutachtenauftrag per Beschluss, den Auftrag und die Rechtsmacht des Insolvenzverwalters nach §§ 80 ff. InsO, auf §§ 129 ff. InsO für Anfechtungsrechtsstreite und letztlich über §§ 160 ff. InsO auch im Hinblick auf einen Asset Deal u. v. m. verwiesen werden. Weiteren und verfahrensdienlichen Ermächtigungsspielraum wird es nicht geben; ein solcher wird bei einer letztlich insolvenzrechtlichen Auslegung des aktuellen Datenschutzrechts aber auch nicht nötig sein.
31
D. Überblick zum Datenschutzrecht
4. Das Transparenzgebot und die Rechenschaftspflicht des Datenschutzrechts 76 Das Datenschutzrecht moderner Ausprägung, mit dem sich dieses ZIP Praxisbuch befasst, hat insbesondere das Transparenzgebot und die Rechenschaftspflicht, letztlich somit auch die Informations- und Benachrichtigungspflicht der verantwortlichen Stelle ausgeweitet. Dies schlägt sich insbesondere in den in Art. 5 Abs. 1 lit. a) DSGVO normierten Grundsätzen für die Verarbeitung personenbezogener Daten im Besonderen nieder: „Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)…“.
77 Bereits das BVerfG hatte in seinem Volkszählungsurteil klargestellt, dass es kein belangloses personenbezogenes Datum gäbe, und es darüber hinaus retrospektiv nachvollziehbar sein müsse, die Datenverarbeitung in jedem Schritt nachzuverfolgen.77) Dies weiten DSGVO und letztlich auch BDSG 2018 aus. Das Transparenzgebot soll dem Betroffenen vom Schutzniveau her gewährleisten, hinsichtlich seiner Daten nicht nur bestmöglich geschützt zu sein. Er soll auch bestmöglich informiert sein, insbesondere um sich „mündig“ gegen einen Schutz seiner Daten zu entscheiden.78) Folgende Beispiele zeigen auf, in welche Bereiche das Transparenzgebot hineinspielt – und zwar grundsätzlich vor Verarbeitung, der Klarheit halber chronologisch an der Stelle Erhebung, der Daten: x
Unterrichtung des Betroffenen
x
Einwilligung; insbes. Text der Einwilligung
x
Aufgrund welcher gesetzlicher Grundlage die Verarbeitung stattfindet
x
Identität der verantwortlichen Stelle
x
Zweckbestimmungen der Datenverarbeitung
x
Ggf. Kategorien von Datenempfängern u. v. m.
x
Alles zuvor in leicht verständlicher, einfacher Sprache
78 Wie ernst der DSGVO-Gesetzgeber Vorstehendes meint, zeigt die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO: „(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
79 Sobald die Insolvenzkanzlei also für personenbezogen Daten verantwortlich ist,79) hat sie die in Art. 5 Abs. 1 DSGVO legaldefinierten Grundsätze der ___________ 77) BVerfGE 65, 1, 43. 78) Paal/Pauly-Frenzel, Art. 5 DSGVO, Rn. 18 ff. m. w. N. 79) Sei es kanzleiintern i. e. S., sei es kanzleiintern für Daten Dritter wie die eines Schuldners, sei es extern im Rahmen einer Betriebsfortführung etc.
32
II. Datenschutzrechtliche Grundsätze
Datenverarbeitung von dem oben kurz dargestellten Transparenzgebot über die Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit zu beachten. Und nicht nur das. Rechenschaft bedeutet an der Stelle eine Beweislastumkehr:80) Die Insolvenzkanzlei muss sozusagen exkulpierend beweisen können, dass und wie den Grundsätzen für die Verarbeitung personenbezogener Daten eigenverantwortlich nachgekommen wurde und wird. Praxistipp: An dieser Stelle zeigt sich für die Insolvenzkanzlei die Wichtigkeit einer Dokumentation über den Umgang mit Daten, insbesondere in Form von Verzeichnissen von Verarbeitungstätigkeiten nach Art. 30 DSGVO (siehe Rn. 216 ff.), die Einwilligung (siehe Rn. 717 ff.), Auftragsverarbeitung (siehe Rn. 544 ff.) und vieles mehr betreffend.
5. Der Grundsatz der Datensparsamkeit und Datenvermeidung, Pseudonymisierung und Anonymisierung Für die Insolvenzkanzlei gilt es im Übrigen, den Grundsatz der Datenspar- 80 samkeit und Datenvermeidung zu beachten. Gemäß Art. 5 Abs. 1 lit. c) bedeutet dies insbesondere, dass – bezogenen auf den jeweiligen Zweck der Datenverarbeitung – eine solche Verarbeitung nur im notwendigen Umfang erfolgen darf. Es gilt also durch die Kanzlei so wenig wie möglich und nur so viel wie nötig an Daten zu verarbeiten. Auch die Datenverarbeitungsprozesse der Insolvenzkanzlei sind vorher und fortlaufend auf Datensparsamkeit zu prüfen.81) An der Stelle muss ergänzend – und zwar im Ergebnis sicherlich noch einmal 81 den in der Insolvenzkanzlei zu verarbeitenden Datenumfang einschränkend – explizit darauf hingewiesen werden, dass der eindeutige Wortlaut von Art. 5 Abs. 1 lit. c) DSGVO mit den Worten „… dem Zweck angemessen und erheblich…“ keine Zweifel an der Relevanz des Postulates der Datenminimierung lässt. Praxistipp: Bitte immer im Hinterkopf behalten: Wofür benötige ich die Daten bei der Verarbeitung gerade? Im Ermittlungsverfahren für das Gutachten? Zur Vorbereitung einer Insolvenzgeldfinanzierung? Nach Insolvenzeröffnung zur Kündigung der Arbeitnehmer des Schuldners, für die Insolvenztabelle oder evtl. die übertragende Sanierung? Datenschutzrechtlich muss die Insolvenzkanzlei davon ausgehen, dass es unzulässig sein dürfte, sich im Ermittlungsverfahren alle „vielleicht einmal“ benötigten Daten „auf Halde“ zu legen! Das eingangs erwähnte Motto „Bringen Sie mal alle Daten mit, die wir vielleicht brauchen können“ kann heute datenschutzrechtlich schnell heikel werden!
___________ 80) Paal/Pauly-Frenzel, Art. 5 DSGVO, Rn. 51 f. m. w. N. 81) Dies gilt natürlich sinngemäß auch für den Schuldner bzw. den Betrieb solange der Insolvenzverwalter für die personenbezogenen Daten dort verantwortlich ist.
33
D. Überblick zum Datenschutzrecht
82 Maßnahmen des Datenschutzes sind auch das Pseudonymisieren oder gar Anonymisieren personenbezogener Daten in der Insolvenzkanzlei. 83 Unter Anonymisieren82) ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft oder im Ergebnis eigentlich gar nicht mehr (!)83) einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, zu verstehen. Dergestalt anonymisierte Daten unterliegen bereits aufgrund fehlender, auch fehlender mittelbarer Zuordenbarkeit bereits im Umkehrschluss aus Art 4 Ziff. 1 DSGVO nicht mehr dem Datenschutzrecht; was auch Erwägungsgrund 26 in Sätzen 5 und 6 bestätigt: „5Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h., für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. 6Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“
84 Paradebeispiel für eine Anonymisierung sind geheime Abstimmungen bei unseren politischen Wahlen. Dort ist nicht nachvollziehbar, welcher Wähler welche Stimme abgegeben hat. Bezüge zwischen den Datensätzen sind nicht (mehr) vorhanden. 85 Die o. g. Anonymisierung geht über die Pseudonymisierung hinaus. Pseudonymisierung84) meinte nach der Legaldefinition des § 3 Abs. 6a BDSG a. F. „… das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen [eben dem sog. Pseudonym, also z. B. einem Code oder Kürzeln wie „xxx“ oder „AB“] zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren…“. Es muss sich jedoch vor Augen gehalten werden, dass Satz 2 von Erwägungsgrund 26 ausdrücklich lautet: „… Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
___________ 82) Vormals legaldefiniert in § 3 Abs. 6 BDSG alt. 83) Zu den unterschiedlichen Stufen einer Zuordenbarkeit z. B. Paal/Pauly-Ernst, DSGVO/BDSG, Art. 4 DSGVO Rn. 48 ff. m. w. N. 84) Ausführlich dazu Roßnagel, ZD 06/2018, 243.
34
II. Datenschutzrechtliche Grundsätze Praxistipp: Diese Differenzierung im Hinblick auf die ggf. noch oder wieder herzustellenden Bezüge zwischen den in der Insolvenzkanzlei vorhandenen Datensätzen gilt es zu beachten. Während bei anonymer Verwendung z. B. von Arbeitnehmerdaten, Schwerbehinderteneigenschaften o. Ä. wie dargestellt gar keine datenschutzrechtlichen Probleme mehr gegeben sein dürften, kann dies bei lediglich pseudonymisierten Daten je nach Kontext wieder anders werden. Es ist jedoch schon ein Fortschritt hin zum Datenschutz in der Insolvenzkanzlei, wenn schon Namen nicht mehr im Volltext verwendet werden. Mit der Zeit wird man feststellen, dass dies nämlich nicht in jedem Fall85) erforderlich ist. Je nach Zweck, z. B. Ausführungen zu Unterhaltsverpflichtungen des Schuldners im Gutachten, dürfte es ausreichend sein, auszuführen, dass folgende Zahl an Unterhaltsverpflichtungen besteht. Zudem kann hier noch mal das Postulat der Datenminimierung von gerade in Erinnerung gebracht werden.
6. Erweiterte Betroffenenrechte, insbesondere das Recht auf Auskunft, Vergessenwerden und Datenportabilität Der Auskunftsanspruch eines Betroffenen wird „über kurz oder lang“ auch 86 in einer Insolvenzkanzlei gestellt werden – sei es vonseiten eines Schuldners, sei es eines (ehemaligen) Arbeitnehmers der Kanzlei oder/und des Schuldners u. v. m. Gemäß Art. 15 Abs. 1 DSGVO haben nämlich Betroffene das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn dies nicht so sein sollte, hat die Insolvenzkanzlei dem Anfragenden eine entsprechende Negativerklärung zu erteilen. Sollte dem jedoch in der Insolvenzkanzlei oder/und dem fortgeführten Schuldnerbetrieb nicht so sein, also Daten verarbeitet werden, hat der Anfragende dem jeweils Verantwortlichen gegenüber ein Recht auf Auskunft über eben diese Daten und deren Verarbeitung etc., wie: x
Verarbeitungszwecke
x
Kategorien personenbezogener Daten
x
geplante Speicherdauer
x
Löschung
x
Widerspruchs-/Beschwerderecht u. v. m.
Das Recht auf Vergessenwerden86) ist in Art. 17 DSGVO normiert als Recht 87 des Betroffenen auf Löschung, mit dem die Verpflichtung des Verantwortlichen korrespondiert. Letztlich bedeutet dies, dass vonseiten des Verantwortlichen auch die technischen Voraussetzungen vorgehalten werden müssen, um dem Löschungsanspruch unverzüglich nachkommen zu können (zu den ___________ 85) Beispielsweise Kinder des Schuldners betreffend. 86) Right to be forgotten.
35
D. Überblick zum Datenschutzrecht
sog. TOM siehe Rn. 245 ff.).87) Jedoch ist nicht in jedem Fall ein Löschungsverlangen Voraussetzung. Beispielsweise mit Zweckerfüllung wie der Gutachtenabfassung oder Stellenbesetzung, kann ohne ein solches Begehr aus Art. 17 DSGVO eine Löschungsverpflichtung hergeleitet werden. 88 Mit Art. 20 DSGVO, der Datenportabilität, wird abermals Datenschutz (auch) durch Technik gewährt: Ein Betroffener soll nach Art. 20 DSGVO seine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausverlangen oder alternativ zur Übermittlung an einen Dritten verlangen dürfen. Schon naturgemäß setzt dies voraus, dass sich die Insolvenzkanzlei mit entsprechender Hard- und Software sowie Verarbeitungsverzeichnissen und anderen Maßnahmen des Datenmanagementsystems rüstet (siehe Rn. 156, 332 ff.), um einem nach Art. 20 DSGVO berechtigten – bei Zuwiderhandlung nach Art. 83 DSGVO bußgeldbewährten – Anspruch88) auch nachkommen zu können. 89 Denn letztlich verlangen Artt. 12, 24 DSGVO auch der Insolvenzkanzlei eine datenschutzkonforme Datenschutzorganisation ab. Eine solche gilt es sukzessive zu schaffen und permanent ähnlich den bisher bereits bekannten Säulen einer Zertifizierung aktuell fortzuentwickeln. 90 Die nächsten, nicht abschließenden und an dieser Stelle kurz skizzierten Punkte sollen die allgemeinen Grundsätze des Datenschutzes zunächst abschließen: 91 Die sehr weitreichenden Informationspflichten nach Artt. 13 bzw. 14 DSGVO sind auch in der Insolvenzkanzlei unbedingt zu beachten. Ein entsprechendes Muster (Informationspflicht gemäß Artt. 12 ff. für Verfahrensbeteiligte), das nach Ansicht der Autoren ausreichend wäre, ohne Anspruch auf Richtigkeit und ohne ausdrückliche Zustimmung einer Aufsichtsbehörde bzgl. der Verwendbarkeit, ist im Kapitel N. unter Rn. 829 abgedruckt. 92 Diese Normen regeln katalogartig, welche Informationen89) dem Betroffenen durch die Insolvenzkanzlei konkret mitzuteilen sind (siehe Rn. 404 ff.). Werden die Daten im Wege der Direkterhebung, also „beim Betroffenen erhoben“, ist Art. 13 DSGVO einschlägig. Beispielsweise sind dies durch den Insolvenzverwalter bei dem Schuldner selbst erhobene Daten. Verarbeitet die Insolvenzkanzlei indes personenbezogene Daten, die nicht „beim Betroffenen“ selbst, sondern bei einem Dritten erhoben wurden, ist im Hinblick auf die entsprechende Information des Betroffenen durch die Insolvenzkanzlei Art. 14 DSGVO einschlägig. Etwa bei Erhebung personenbezogener Daten des Schuldners bei Dritten wie Banken etc. Weil die betroffene Person in einem ___________ 87) Siehe dazu ausführlich Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 2 ff. m. w. N. 88) Dazu im Einzelnen Paal/Pauly-Paal, DS-GVO/BDSG, Art. 20 DSGVO Rn. 9 ff. 89) Wie z. B. die Mitteilung des Datenschutzbeauftragten der Insolvenzkanzlei.
36
III. Erstes Zwischenergebnis für die Insolvenzverwalterkanzlei und weitere Problemfelder
solchen Fall oftmals keine Kenntnis von der Erhebung hat, sieht Art. 14 DGSVO grundsätzlich weitergehende Informationspflichten vor als Art. 13 DSGVO, nämlich insbesondere gemäß Art. 14 Abs. 2 lit. f) DSGVO zusätzlich über die Herkunft der empfangenen Daten90) aufzuklären. Praxistipp: Im insolvenzverwaltenden Alltag haben sich bereits unterschiedliche Arten der Handhabung der Pflichten nach Artt. 13f. DSGVO gezeigt: Teilweise werden entsprechende Informationen per separatem Hinweisblatt übermittelt. Andere Kanzleien sind dazu übergegangen, diese obligatorischen Informationen sozusagen standardmäßig auf die Rückseite ihres Kopfbogens – ähnlich den AGB eines Lieferanten – aufzudrucken. Wichtig ist jedenfalls, dass informiert wird; und zwar auch hier wieder vollständig, präzise, klar, leicht verständlich – und grundsätzlich vor der Erhebung bzw. vor einer vielleicht in Zukunft anders gearteten Verwendung der ehemals erhobenen Daten zu einem anderen Zweck!91) Zudem ist zu beachten, dass Artt. 13 ff. DSGVO auch im anwaltlich-beratenden bzw. prozessualen Bereich Anwendung findet.
An eine Datenpanne i. S. v. Art. 33 DSGVO ist auch in der anwaltlichen 93 Praxis schnell zu denken: Ein Hackerangriff auf die EDV der Insolvenzkanzlei, ein fehlgeleitetes Fax mit personenbezogenen Daten, das verlorene Notebook bzw. Smartphone des Insolvenzverwalters ohne technische Sperrvorkehrungen u. v. m.; teilweise also eigentlich ganz Lapidares können Sachverhalte sein, in denen eine Risikoabwägung bzw. gar Meldung92) binnen 72 Stunden (siehe Art. 33 Abs. 1 DSGVO) angezeigt sein kann. Zudem ist hier abermals an die Dokumentationspflicht bzw. Dokumentationsempfehlung zu erinnern (Art. 33 Abs. 5 DSGVO). Im Einzelnen siehe Rn. 451 ff. III. Erstes Zwischenergebnis für die Insolvenzverwalterkanzlei und weitere Problemfelder Bereits an dieser Stelle wird ganz eindeutig klar, dass eine Insolvenzkanzlei 94 den Datenschutz in vielfacher Weise nicht ignorieren kann. Nicht zuletzt aufgrund der Verschärfung der Haftung bzw. zu erwartender Mehrung bußgeldbewehrter Verstöße, letztlich aber auch aufgrund der (Selbst-)Verpflichtung zu einer modernen Insolvenzverwaltung und ordnungsgemäßen bzw. bestmöglichen Durchführung des Insolvenzverfahrens (§§ 1, 60 ff. InsO), wird der Datenschutz jede Insolvenzkanzlei in Zukunft permanent begleiten. Daher soll an die potenziellen Schadenersatzrisiken (Art. 82 DSGVO), evtl. Ordnungswidrigkeiten (Art. 83 DSGVO) oder gar Straftaten im Zusammen___________ 90) Paal/Pauly-Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 11 ff. m. w. N. 91) Paal/Pauly-Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 1. 92) Zum Umgang mit Datenpannen siehe das Bayerische Landesamt für Datenschutzaufsicht, https://www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf (Stand: 4.11.2018).
37
D. Überblick zum Datenschutzrecht
hang mit datenschutzwidrigem Verhalten (Art. 84 DSGVO) nur der Vollständigkeit halber hingewiesen werden. 95 Darüber hinaus zeigt sich auch beim Datenschutz erneut und derzeit aktueller denn je, dass die Insolvenzverwaltung ein besonderes Betätigungsfeld darstellt. Dies zeigen folgende weitere praktische Problemfelder in der Schnittmenge aus Insolvenzverwaltung und Datenschutzrecht: x
Wie sieht es mit Datenschutzverstößen beim Schuldner gar vor Insolvenzantrag aus? Die Berliner Landesbehörde hat sich hier in der Praxis mit ihrem Auskunftsbegehren an den Insolvenzverwalter gewandt.
x
Es kann davon ausgegangen werden, dass die datenschutzrechtlichen Pflichten bei Insolvenz bestehen bleiben.
x
Aktuell sind datenschutzrechtlich keine Privilegierungen des Insolvenzverfahrens ersichtlich. Ein Finanzierungsvorbehalt dürfte den datenschutzrechtlichen Anforderungen auch nicht entgegengehalten werden können. Was ist aber nun tatsächlich, wenn der Insolvenzverwalter MUZ anzeigen musste? Oder der schwache vorläufige Insolvenzverwalter eine Zustimmung zu Maßnahmen zur Behebung von Datenschutzproblemen beim Schuldner schlichtweg nicht erteilen durfte, weil die Liquidität dies nicht hergab?
x
(Nicht behobene) Datenschutzprobleme beim Schuldner können nicht nur zu Schwierigkeiten bei der Verwertung, sondern gar Wertminderung von (immateriellen) Assets wie Daten oder EDV führen. Zurecht räumen die von Woltersdorf93) befragten Insolvenzverwalterkollegen daher dem Datenschutz auch im Unternehmen den „Prüfpunkt der Priorität A“ ein.
x
Ist in (Verbraucher-)Insolvenzverfahren, die bis dato nicht unübliche Verwertung von lediglich einigen 100,– € werten Smartphones, Tabletts etc. des Schuldners noch vertretbar, wenn jedenfalls die datenschutzkonforme Sichtung, Löschung bzw. Übertragung leicht einen ähnlichen Betrag kostet bis der Insolvenzverwalter ein ihn exkulpierendes Zertifikat eines Fachunternehmens zu seiner Exkulpation zu den Akten nehmen kann?
___________ 93) Woltersdorf, INDat Report 02_2018, 15.
38
IV. Strafbarkeit, Bußgelder und Schadensersatz Praxistipp: Bis zu einer (rechtssicher) herbeigeführten praktischen Konkordanz aus Datenschutz- und Insolvenzrecht empfiehlt es sich für den Insolvenzverwalter bei (sich abzeichnenden) Problemen bzw. Problemfeldern wie den zuvor Aufgezeigten die Möglichkeit der Abstimmung mit dem in-/externen Datenschutzbeauftragten, aber auch den jeweils zuständigen Landesdatenschutzbehörden.94) Letztere erhalten regelmäßig Anfragen auch von öffentlichen Stellen, deren Beantwortung – wie hier im Rahmen der Fußnoten auch gezeigt – gar veröffentlich werden. Im Anschluss könnte sich die entsprechende Abstimmung mit dem Insolvenzgericht oder gar einer entsprechenden Abstimmung der Gläubigerversammlung über eine Nicht Verwertung von Daten bzw. datenschutzkonformer Löschung stattdessen wegen überwiegender Datenschutzrisiken anbieten. Jedenfalls empfiehlt sich die anlassbezogene Dokumentation interner bzw. externer Erwägungen und Abstimmungen.
IV. Strafbarkeit, Bußgelder und Schadensersatz95) Man muss sich vor Augen führen, dass die Verletzung datenschutzrechtli- 96 cher Bestimmungen in vielfacher Weise Folgen mit sich ziehen kann, sie gar sanktioniert bzw. pönalisiert ist. Insbesondere aufgrund hinreichender Pressemeldungen zu den „neuen Bußgeldern in (bis dato vermeintlicher96)) Millionenhöhe“97) i. S. v. Art. 83 DSGVO scheinen diese auch in Insolvenzkanzleien als Besorgnis bzw. Befürchtung im Vordergrund zu stehen. Die Grenze zu einer evtl. Strafbarkeit ist für die Insolvenzkanzlei aber auch 97 und insbesondere im Zusammenhang mit schuldnerischen Daten relativ leicht nahe: 1. § 42 BDSG 2018 § 42 BDSG 2018 lautet auszugsweise98):
98
„(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, 1.
einem Dritten übermittelt oder
2.
auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt.
___________ 94) Was ebenso Woltersdorf, INDat Report 02_2018, 16, empfiehlt, auch zur Vermeidung der Verringerung liquider Mittel bzw. von Bußgeldern; Letztere sollen lediglich einfache Insolvenzforderungen sein; riskant, aber jedenfalls letztlich das Risiko einer Nutzungsuntersagung durch die Behörde. 95) Nicht abschließend und lediglich zur Sensibilisierung für den Insolvenzverwalter bzw. dessen Team. 96) Siehe https://www.saarbruecker-zeitung.de/saarland/saarland/dsgvo-20-verfahren-imsaarland-wegen-verstoessen-gegen-den-datenschutz_aid-34324465 (Stand: 11.11.2018). 97) Eine Übersicht zu den mitunter erheblich bußgeldsanktionierten Verhalten findet sich im Anhang. 98) Hervorhebung seitens der Autoren.
39
D. Überblick zum Datenschutzrecht (2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, 1.
ohne hierzu berechtigt zu sein, verarbeitet oder
2.
durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
[…]“
99 Kurz zusammengefasst wird nach Vorstehendem ein gewerbliches Verhalten in einem Mehrpersonenverhältnis umfasst: Rechtswidriges Handeln gegen den/ die Verantwortlichen bzw. Betroffenen – und zwar mit dem Ziel der Weitergabe der personenbezogenen Daten entweder an jemanden Bestimmten oder einen unbestimmten Personenkreis.99) Die Einzelheiten sollen hier dahinstehen. Einschlägig ist jedenfalls ein rechtswidriger bzw. unberechtigter Zugriff z. B. auf eine Datenbank; was sich sehr leicht auf die Insolvenzkanzlei bzw. einen von dort verwaltenden schuldnerischen Betrieb vom Sachverhalt und den tatsächlichen Gegebenheiten her übertragen lässt. Selbst wenn der Zugriff nicht auf eine solche Datenbank erfolgt und mit der wohl herrschenden Auffassung100) das Tatbestandsmerkmal einer „großen Zahl“ bei mehr als 20 betroffenen Personen verwirklicht sein soll, sind auch solche Quantitäten in der Insolvenzkanzlei bei entsprechenden Verfahren schnell vorhanden. 100 Zudem ist darauf hinzuweisen, dass sozusagen im Umkehrschluss datenschutzrechtlich gefordert wird, dass die verarbeitende Stelle bzw. der Verantwortliche mit einem dementsprechenden Datenschutzmanagement de facto bestehende Schwachstellen beseitigt.101) 2. Sonstige infrage kommende Strafvorschriften 101 Darüber hinaus und bitte leidglich exemplarisch:102) Beispielsweise im Rahmen der (vorl.) Betriebsfortführung eines Unternehmens, das Internetportale, pornografische oder „schlimmere“ Inhalte (§§ 184 ff. StGB) zur Verfügung stellt bzw. Webseiten mit strafbaren Werbeinhalten nach § 16 UWG erstellt, stellt sich darüber hinaus schnell die Frage nach einer Beihilfe des (vorläufigen) Insolvenzverwalters; zum Beispiel zu § 202a StGB: Hier ist die Bestimmung der Daten aus Sicht des Verfügungswillens des legitimen Datenbesitzers maßgeblich. Sind die Daten also nicht für „Täter“ bestimmt? Insbesondere bei der Benutzung fremder Kennungen durch den Insolvenzverwalter oder in seinem Auftrag ist eine Einzelfallbetrachtung mehr als ratsam, um eine (Beihilfe-)Strafbarkeit zu vermeiden. ___________ 99) 100) 101) 102)
40
Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 1 ff. Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 6. m. w. N. Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 4. Siehe dazu auch die bei Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 6 erwähnten Strafvorschriften.
IV. Strafbarkeit, Bußgelder und Schadensersatz
Im Rahmen des „Verrats von Geschäfts-/Betriebsgeheimnissen“ i. S. v. § 17 102 Abs. 2 UWG; 204 StGB ist jedermann tauglicher Täter. Auch Software oder andere Daten sind taugliches Tatobjekt. Dies sollte sich der Insolvenzverwalter insbesondere im Rahmen der Vorbereitung eines Asset Deals immer vor Augen führen und entsprechend agieren. Der sog. „Datendiebstahl“ meint insbesondere unbefugtes Kopieren bzw. In- 103 besitznehmen oder Besitzverschaffen von digitalen Daten bzw. Festplatten; selbst wenn diese der Täter zunächst legal erlangt hatte.103) Weitere Strafvorschriften des StGB in der Schnittmenge aus Persönlich- 104 keits-/Datenschutzrecht und Insolvenzverfahren i. S. v. Art. 84 DSGVO können sein:104) x
§ 201a Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen
x
§ 202 Verletzung des Briefgeheimnisses
x
§ 202b Abfangen von Daten
x
§ 202d Datenhehlerei
x
§ 203 Verletzung von Privatgeheimnissen
x
§ 303a Datenveränderung
x
§ 303b Computersabotage u. v. m. Praxistipp: Zwar normiert insbesondere § 43 Abs. 3 BDSG 2018 ein Antragserfordernis und somit den Strafantrag des Betroffenen, des für den Datenschutz Verantwortlichen oder/und der (Bundes-)Datenschutzbehörde. Werden die oben unter a) genannten „Schwellenwerte“ insbesondere im Mehrpersonenbereich nicht verwirklicht, soll zudem keine Strafbarkeit, sondern lediglich ein Bußgeldverfahren einschlägig sein. Unstreitig soll im Datenschutzbereich von den entsprechenden Normen jedoch eine präventive und abschreckende Wirkung ausgehen. Den Strafverfolgungsbehörden und Strafgerichten wird gar aufgegeben, auch das Nebenstrafrecht nunmehr entsprechend und zwar letztlich erfolgreich anzuwenden.105) Die oftmals im Betrieb vorzufindende Datensituation, wie Datenabflüsse u. v. m. werden daher den Insolvenzverwalter in Zukunft fordern: wegen des präventiven Charakters und der Forderung eines dementsprechenden Datenmanagementsystems und zur Vermeidung einer Beihilfestrafbarkeit. Schließlich darf in der Insolvenzkanzlei die Verpflichtung zur Strafantragstellung bei entsprechenden Anhaltspunkten nicht vergessen werden!
___________ 103) Achenbach u. a.-Heghmanns, HdB Wirtschaftsstrafrecht, Kap. 6, Rn. 237. 104) Die Vorschriften können unter dem entsprechenden Stichwort im Internet jederzeit abgerufen werden; siehe auch Anhang. 105) Paal/Pauly-Frenzel, DS-GVO/BDSG, § 42 BDSG Rn. 6 u. 11 f.
41
D. Überblick zum Datenschutzrecht
3. Exkurs: Der (immaterielle) Schadensersatzanspruch nach Art. 82 DSGVO 105 Neuerdings sieht unsere Rechtsordnung mit Art. 82106) DGVO – neben den in diesem ZIP Praxisbuch abgehandelten Informations-/Auskunfts-/Berichtigungsund sonstigen Ansprüchen des Betroffenen, (präventiven) Ordnungswidrigkeits- und Strafbarkeitsnormen – auch Schadensersatzansprüche des Betroffenen wegen Verstoßes des Verantwortlichen oder Auftragsverarbeiters gegen die DSGVO vor, und zwar wegen materiellen oder immateriellen Schadens (Art. 82 Abs. 1 Halbs. 1 a. E. DSGVO). Ein Novum im deutschen Recht. Die DSGVO ist unmittelbar geltendes Recht auch in Deutschland und sie begründet eben mit der Anspruchsgrundlage des Art. 82 einen unmittelbaren deliktsrechtlichen Anspruch.107) Vorstehendem entsprechend ist Zweck dieses Schadensersatzanspruchs neben Prävention etc. der Ausgleich erlittener materieller und immaterieller Schäden des Betroffenen aus einer Verletzung seines allgemeinen Persönlichkeitsrechts – ohne die uns bis dato aus dem deutschen Recht, insbesondere § 253 BGB, bekannten Einschränkungen. Und zwar von jedem „Unternehmen“, das eine Niederlassung in der EU hält und personenbezogenen Daten verarbeitet oder verarbeiten lässt – unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der EU stattfindet (Art. 3 Abs. 1 DSGVO). 106 Mithin ist jede Insolvenzkanzlei grundsätzlich passivlegitimiert. Der Insolvenzverwalter eines Betriebs ist in der Pflicht, beispielsweise auch, wenn dort die personenbezogenen Daten in der Cloud auf einem Server in Indien oder wo auch immer liegen! Anspruchsgegner ist ausweislich Art. 82 Abs. 2 DSGVO der Verantwortliche i. S. v. Art. 4 Nr. 7 DSGVO und ebenso der Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO. In unserer Schnittmenge aus Insolvenz- und Datenschutzrecht also der Insolvenzverwalter, aber auch der von ihm beauftragte EDV- oder sonstige Dienstleister. 107 Aktivlegitimiert ist grundsätzlich der Betroffene – vorstellbar also Kunden oder/und ehemalige Arbeitnehmer.108) 108 Im Hinblick auf die Pflichtverletzung des Auftragsverarbeiters ist zunächst Art. 82 Abs. 2 Satz 2 DDSGVO zu berücksichtigen. Demnach haftet der Auftragsverarbeiter nur, wenn er x seinen speziell auferlegten Verpflichtungen der DSGVO oder x den rechtmäßig erteilten Anweisungen des Verantwortlichen109) nicht nachgekommen ist. ___________ 106) Weitergehend der zugehörige Erwägungsgrund Nr. 146, https://dsgvo-gesetz.de/ erwaegungsgruende/nr-146/ (Stand: 11.11.2018). 107) Sackmann, ZIP 2017, 2450; Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 1. 108) Wybitul/Neu/Strauch, ZD 05/2018, 202, 203 f. 109) Also grundsätzlich des Insolvenzverwalters.
42
V. Zur Beweislast und Sonstiges
Grundsätzlich meint eine Pflichtverletzung i. S. v. Art. 82 DSGVO jeden 109 Verstoß gegen deren Bestimmungen in formeller oder/und materieller Hinsicht – insbesondere Verstöße gegen die allgemeinen Grundsätze des Art. 5 DSGVO.110) Der durch Missachtung der datenschutzrechtlichen Vorschriften eingetrete- 110 ne Schaden muss darüber hinaus kausal auf diesem Verhalten beruhen, was sich aus der Formulierung „wegen“ in Art. 82 Abs. 1 Halbs. 2 DSGVO herleiten lässt. Gemäß Art. 82 Abs. 3 DSGVO wird der Pflichtverletzer von seiner Haftung befreit, wenn er nachweist, dass er für den Umstand, aufgrund dessen der Schaden eingetreten ist, in „keinerlei Hinsicht“ verantwortlich ist. Es handelt sich hier um einen Entlastungsbeweis,111) dem objektive Pflichtverletzung, Kausalität, ein eventuelles Verschulden der Insolvenzkanzlei oder eines beauftragen Datenverarbeiters sowie Schaden zugänglich sind. Praxishinweis: Die bloße Beteiligung an einer Datenverarbeitung reicht zur Haftung aus!112) Es kann daher nicht oft genug die Bedeutung der datenschutzrechtlichen Grundsätze betont werden, die es in der Insolvenzkanzlei und bei deren Auftragsverarbeitern zu beachten gilt. Eine Exkulpation nach Art. 82 Abs. 3 DSGVO wird nämlich nur möglich sein, wenn alle datenschutzrechtlichen Vorschriften – nachweislich und vollumfänglich – erfüllt wurden. Bei Hackerangriffen und sonstigen Fällen rechtswidriger Eingriffe Dritter ist insbesondere die Einhaltung des Stands der Technik zur Exkulpation von Relevanz.
V. Zur Beweislast und Sonstiges Nach den allgemeinen Regeln trägt die verletzte Person bzw. der Betroffene 111 grundsätzlich auch die Beweislast für die Schadensersatzansprüche nach Art. 82 DSGVO. Aufgrund des Umstands, dass der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO die Einhaltung seiner Datenschutzpflichten dokumentieren muss, kann vermutlich eine dahingehende Auskunftsverpflichtung bis hin zu einer Beweislastumkehr angenommen werden, sobald der Betroffene hinreichend substantiiert dargelegt hat, dass der Verantwortliche an der Verarbeitung beteiligt war und dem Betroffenen eben ein (immaterieller) Schaden entstanden ist. Auch die umfassenden Informationspflichten nach Art. 12 ff. DSGVO erleichtern dem passivlegitimierten Betroffenen vermutlich die Prozess- und insbesondere Beweisführung erheblich, insbesondere, wenn der verantwortliche Insolvenzverwalter in seiner Kanzlei oder dem von ihm verwalteten Betrieb die „Datenschutzbasics“ nachweislich nicht eingehalten hat, solche schlichtweg nicht vorhanden waren bzw. nicht geschaffen wurden.
___________ 110) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 6 ff. m. w. N. 111) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 15 m. w. N. 112) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 15 m. w. N.
43
D. Überblick zum Datenschutzrecht
112 Mehrere Schädiger haften als Gesamtschuldner (Art. 82 Abs. 4 DSGVO), gleich ob sie als Verantwortlicher oder „lediglich“ Auftragsverarbeiter gehandelt haben. Die (internationale) Zuständigkeit richtet sich gemäß Art. 82 Abs. 6 DSGVO nach Art. 79 Abs. 2 DSGVO, die sachliche und örtliche wie gewohnt nach §§ 23, 71 GVG bzw. §§ 12 ff. ZPO.113) 113 Aktuell hat Deutschland von der in den entsprechenden Konkretisierungsklauseln gewährten Möglichkeit, per entsprechenden Regelungen im BDSG 2018 Normierungen zu einer Verbandsklage zu gestalten, also der kollektiven Geltendmachung von Schadensersatzansprüchen, keinen Gebrauch gemacht.114) 114 Ob die datenschutzrechtliche Haftung der o. g. Passivlegitimierten zukünftig durch entsprechende Klauseln in AGB beschränkt oder gar ausgeschlossen werden kann, darf bezweifelt werden.115) Jedenfalls ein vollständiger Ausschluss scheint mehr als fraglich. Im Übrigen könnte ein solcher Ausschluss exemplarisch bei Hackerangriffen vorstellbar sein, sofern der Anspruchsgegner seinerseits alles denkbar Mögliche und Zumutbare proaktiv bzw. während oder/und nach einer solchen Attacke getan hatte, um den/die Betroffenen bestmöglich zu schützen. Denn Daten bzw. die dahinter stehenden natürlichen Personen sind auch nach Auffassung des EU-Datenschutzgesetzgebers bestmöglich zu schützen. Bis zu einer klarstellenden Entscheidung des EUGH bzw. der nationalen Gerichte zu diesem Thema sollte sich daher niemand auf einen Haftungsausschluss per AGB weder durch den Verantwortlichen noch den Auftragsverarbeiter verlassen. 115 Die Schadensersatzhöhe ist aktuell nicht vorhersehbar. Während im „allgemeinen Zivilrecht“ üblicherweise Schadensersatztabellen etc. zur Bestimmung der konkreten Höhe herangezogen werden, fehlen diese für immaterielle Schäden nach der DSGVO bis dato. Durchweg zeigt sich aber, dass selbst die uns bisher von dort bekannten Beträge nicht ausreichen dürften: Von einem erheblichen Sicherheitsaufschlag über eine Präventionsprämie zur unbedingten Durchsetzung des Datenschutzes neuer Ausprägung bis hin zu einer Pönalisierung datenschutzwidrigen Verhaltens sind viele „Aufschläge“ betraglich denkbar. Sie werden auch in der Literatur116) im Übrigen thematisiert.
___________ 113) Hierzu und zur Regel-Verjährung nach § 195 BGB siehe Paal/Pauly-Frenzel, DSGVO/BDSG, Art. 82 DSGVO Rn. 18 ff. 114) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 1. 115) So i. E. bereits Sackmann, ZIP 2017, 2450, 2454. 116) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 82 DSGVO Rn. 13; Wybitul/Neu/Strauch, ZD 05/2018, 202 m. w. N.
44
VI. Befugnisse der Datenschutzbehörde (insbesondere nach Art. 58 DSGVO) Praxistipp: Sackmann117) resümiert, dass sich auch beim Schadensersatzanspruch nach Art. 82 DSGVO abermals zeigt, „… welche horizontale Wirkung das Datenschutzrecht […] entfaltet und wie sorgfältig sich Unternehmen auf die neue Datenschutzordnung vorbereiten sollten.“ Die gilt für die Insolvenzkanzlei, aber auch den im Insolvenzverfahren vorhandenen schuldnerischen Datenbestand, Betrieb oder gar im Rahmen des Asset Deals für einen Insolvenzverwalter! In dem Zusammenhang darf auch nicht vergessen werden, dass neben der neuen Anspruchsnorm des Art. 82 DSGVO selbstredend weitere Ansprüche auf Grundlage des „regulären“ Vertragsrechts, aber auch des allgemeinen Deliktsrechts der §§ 823 ff. BGB möglich sind. Ob Art. 82 DSGVO sozusagen als überkompensatorischer oder „strafender“ Schadensersatz auch für jene Fälle datenschutzwidrigen Verhaltens „verwendet“ werden wird, in denen der Owi- oder gar Strafbarkeitsbereich nicht eröffnet ist, wird die zukünftige Praxis erst zeigen. Dem kann insgesamt sicherlich „nur“ durch bestmöglich datenschutzkonformes Verhalten der Insolvenzkanzlei nachgekommen werden.
VI. Befugnisse der Datenschutzbehörde (insbesondere nach Art. 58 DSGVO) Korrespondierend zur inhaltlichen/materiellen Verschärfung des „neuen“ 116 Datenschutzrechts sind auch die Befugnisse der Datenschutzbehörde im Wesentlichen in Art. 58 DSGVO ausgeweitet niedergelegt worden: „Art. 58 DSGVO Befugnisse Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen, […] den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten, gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
___________ 117) Sackmann, ZIP 2017, 2450, 2454.
45
D. Überblick zum Datenschutzrecht Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten, einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen, […] den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, […] eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls, […] Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten, […]“.
117 Zusammengefasst ist es den Bundes-/Landesdatenschutzbehörden somit insbesondere gestattet, die Beachtung des Datenschutzes vor Ort zu überprüfen,118) was das Betreten der Geschäftsräume während der Geschäftszeiten voraussetzt. Auch Einsicht in Geschäftsunterlagen steht der Behörde zu. Dem korrespondiert eine entsprechende Duldung durch den Auskunftspflichtigen bzw. Verantwortlichen, also im Fall dieses Praxisbuches jedenfalls dem schuldnerischen Betrieb, unter Einschränkungen der Insolvenzkanzlei. Für diese streitet nach wie vor119) – wenn auch nicht unmittelbar bei der reinen Insolvenzverwalterkanzlei – das Mandatsgeheimnis. In dem Zusammenhang ist darauf hinzuweisen, dass Art. 58 DSGVO keinen abschließenden Katalog an Berechtigungen der Aufsichtsbehörden enthält. Zudem gibt es nach Art. 58 Abs. 6 DSGVO die Möglichkeit, den Aufsichtsbehörden auch durch nationales Recht der EU-Mitgliedstaaten zusätzliche Befugnisse einzuräumen.120) Dem ist unser Gesetzgeber etwa in den §§ 8 ff. BDSG 2018 nachgekommen. In diesem 4. Kapitel des BDSG 2018 finden sie die Vor___________ 118) Also in der Insolvenzkanzlei, aber ggf. auch dem fortgeführten Schuldnerbetrieb. 119) Henke/Lührig/Härting, AnwBl. 5/2018, 263, 264. 120) Paal/Pauly-Körffer, DS-GVO/BDSG, Art. 58 DSGVO Rn. 1.
46
VI. Befugnisse der Datenschutzbehörde (insbesondere nach Art. 58 DSGVO)
schriften über „Die oder den Bundesbeauftragten für Datenschutz und Informationsfreiheit“. Praxistipp: Um absehen zu können, was bei Anhaltspunkten eines (evtl.) Verstoßes gegen Datenschutzrecht auf die Kanzlei zukommen kann, hilft § 16 BDSG 2018 ausgezeichnet weiter. Diese Norm betrifft zwar streng genommen die Rechtsund Fachaufsicht. Aus ihr dürfte sich aber – nicht zuletzt aufgrund des öffentlichrechtlichen Amtsermittlungs- sowie Verhältnismäßigkeitsgrundsatzes, auch was die Insolvenzkanzlei betrifft – ableiten lassen, dass die Datenschutzaufsichtsbehörden zunächst einen Verantwortlichen hinsichtlich des Umgangs mit Daten in seinem Verantwortungsbereichen unter Fristsetzung zur Stellungnahme auffordern werden; es sei denn dies ist wegen Gefahr im Verzug oder im öffentlichen Interesse untunlich. Was das vorgenannte Betreten der Kanzleiräume betrifft, ist auf § 16 Abs. 3 BDSG 2018 (für die Insolvenzkanzlei analog) zu verweisen: Hier findet sich eine gesetzliche Einschränkung des Post-/Fernmeldegeheimnisses des Artikels 10 GG. Zudem betrifft § 16 Abs. 3 Nr. 2 BDSG 2018 Amts- und insbesondere Steuergeheimnisse nach § 30 AO. Was insgesamt dafür sprechen dürfte, dass das Datenschutzrecht, insbesondere im Bereich der Behördenbefugnisse, bei jedenfalls konkretem Anlass eines Datenschutzverstoßes auch eigentlich zur Verschwiegenheit verpflichteten Mandatsträgern wie Rechtsanwälten und Steuerberatern vorgeht.
47
E. Erste Erfahrungen mit der DSGVO Die intensive und teilweise überzogene Berichterstattung zu den aktuell gel- 118 tenden Datenschutzgesetzen vor dem Inkrafttreten führte zu einer Sensibilisierung der Betroffenen und der Unternehmen. Bei Letzteren waren nicht selten Panik- und Überreaktionen erkennbar, obwohl viele Regelungen nicht zwingend neue Änderungen darstellten. Viele Vorschriften der DSGVO sind so oder so ähnlich bereits aus dem BDSG a. F. bekannt, was aber vermutlich aufgrund der vergleichsweise geringen Strafandrohungen bis dato weniger beachtet wurde. I. Aufsichtsbehörden verzweifeln am neuen Datenschutzrecht Die ausführliche und wie bereits erwähnt, teilweise übertriebene Berichter- 119 stattung zur DSGVO und zu den Änderungen des Bundesdatenschutzgesetz führten ebenso dazu, dass die jeweiligen Betroffenen aufgrund der erhöhten Aufmerksamkeit ihre vermeintlich bestehenden Rechte seit dem vollumfänglichen Wirksamwerden der DSGVO verstärkt bei Unternehmen und Behörden geltend machen. Seit dem 25.5.2018 ist ein stark erhöhtes Eingabeaufkommen bei den jewei- 120 ligen Aufsichtsbehörden zu verzeichnen gewesen, so entsprechende Pressemitteilungen.121) Im ersten Monat nach dem Inkrafttreten seien bis zu zehnmal mehr Eingaben eingegangen, als in vergleichbaren Zeiträumen vor dem Inkrafttreten üblich gewesen war. Die Aufsichtsbehörde Baden-Württemberg teilte mit, dass im ersten Monat 121 nach dem Stichtag allein 15.000 Mitteilungen zur Benennung eines Datenschutzbeauftragten eingingen. Auch sind im selbigen Zeitraum 211 Beschwerden von Betroffenen zu Datenschutzverstößen eingegangen und ebenso in den ersten zwei Wochen 83 Meldungen von Unternehmen wegen einer möglichen Datenpanne. Nach Angaben des Sprechers der Aufsichtsbehörde wurde diese Anzahl an Eingaben sonst in einem kompletten Jahr erreicht. Auch die Berliner Aufsichtsbehörde ließ verlautbaren, dass die Eingaben stark 122 gestiegen seien.122) Es gingen täglich so viele Beschwerden ein, wie sie vor dem Stichtag in vier Wochen eintrafen. Von Mai bis Juli 2018 seien 1380 Beschwerden von Betroffenen eingegangen, 344 Beschwerden waren es noch im Vorjahreszeitraum.123) Dies führte bei der Aufsichtsbehörde zu einem Rückstand bereits bei der Erstbearbeitung der jeweiligen Meldungen und im Um___________ 121) Welt am Sonntag v. 1.7.2018, Onlineausgabe, https://www.welt.de/wirtschaft/ article178537272/DSGVO-Zahl-der-Beschwerden-im-ersten-Monat-bis-zu-zehn-Malso-hoch.html (Stand: 12.4.2019). 122) Maja Smoltczyk, Berliner Datenschutzbeauftragte, gegenüber dpa, Becklink 2010027. 123) Maja Smoltczyk, Berliner Datenschutzbeauftragte auf Anfrage der dpa, Welt-online, 23.8.2018.
49
E. Erste Erfahrungen mit der DSGVO
kehrschluss auch zu einer nicht unerheblichen Verzögerung bei der Bearbeitung und Mitteilung an die Betroffenen. 123 Auch die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff, deren Aufgabe in der Kontrolle der Bundesbehörden und anderen öffentlichen Stellen des Bundes liegt, berichtete von einem stark erhöhten Aufkommen. Im ersten Monat nach dem 25.5.2018 seien allein von den Finanzämtern 193 Meldungen in Bezug auf eine Datenpanne eingegangen.124) Des Weiteren teilte die Behörde mit, dass es aufgrund von Personalknappheit zu Engpässen in der Bearbeitung von Eingaben kommt und sich zwischenzeitlich die Bearbeitung der einzelnen Meldungen um bis zu vier Wochen verzögert. Auch sei eine Beratung von Unternehmen aufgrund der Situation zu diesem Zeitpunkt nicht mehr möglich. 124 Alle Aufsichtsbehörden gaben bekannt, dass der Personalbestand drastisch aufgebaut werden muss, um eine Durchsetzung der DSGVO und auch Beratung erfolgen kann. II. Bürger sind durch Berichterstattung sensibilisiert 125 Die Mehrung der Eingaben und das stark gestiegene Aufkommen bei den jeweiligen Aufsichtsbehörden ist auch auf den Umstand zurückzuführen, dass im Rahmen der intensiven Berichterstattung die jeweiligen Betroffenen, mehr als in der Vergangenheit, ihr Wissen intensivieren konnten, was der Datenschutz für sie bedeutet, welche Rechte die Betroffenen haben und insbesondere wie die Betroffenen ihre Rechte wahrnehmen können. 126 Dieses erhöhte Wissen führte zu eben jenen gehäuften Anfragen an die jeweiligen Aufsichtsbehörden, aber auch zu einem erhöhten Aufkommen bei Unternehmen, die sich nun vermehrt mit Anfragen vom Betroffenen bezüglich der Auskunftserlangung oder aber aufgrund der Geltendmachung eines Löschungsanspruchs mit diesen in Verbindung setzen. III. Befürchtete Abmahnwelle blieb bis dato aus 127 Die Vorschriften der DSGVO und die Unsicherheiten bei der Einhaltung der Regelungen ließen bei großen Teilen der Verantwortlichen die Angst vor einer Inanspruchnahme im Rahmen von Abmahnungen wachsen. 128 Zum Teil verfielen Verantwortliche bei der Einführung der DSGVO in einen ausartenden Aktionismus. Grund hierfür war zum einen der nicht unerhebliche per Gesetz und ohne Beachtung des Verhältnismäßigkeitsgrundsatzes angedrohte Bußgeldrahmen. Zum anderen waren es aber auch die Befürchtungen hinsichtlich einer einsetzenden sog. „Abmahnwelle“, wenn z. B. die er-
___________ 124) Andrea Voßhoff, Frankfurter Allgemeine Zeitung, Onlineausgabe, 25.6.2018.
50
III. Befürchtete Abmahnwelle blieb bis dato aus
forderlichen Datenschutzerklärungen auf den Internetseiten nicht den Erfordernissen der DSGVO gerecht werden. Vereinzelt wurde und wird in der Presse von Abmahnungen gesprochen. Wäh- 129 rend jedoch der Branchendienst „heise“ im Mai 2018 gar titelte: „DSGVO: Die Abmahn-Maschinerie ist angelaufen“125) und die Politik126) sozusagen prophylaktisch einen Schutz vor Abmahnungen wegen DSGVO-Verstößen forderte, ist eines festzuhalten: Von einer Abmahnwelle kann nach derzeitigem Stand nicht die Rede sein. Es soll nach Auffassung von Experten, Handwerks- und sonstigen Verbänden zwar vereinzelte und laut entsprechenden Mitteilungen tatsächlich „eine Handvoll“ Abmahnungen gegeben haben. Mehr aber auch nicht.127) Grund hierfür mag zum einen die Unsicherheit aufseiten der potenziellen Abmahner sein, ob überhaupt und welche Datenschutzverstöße wettbewerbsrechtlich abmahnfähig sind. Auch sprach sich die Regierung zwischenzeitlich klar dafür aus, die Möglichkeit von Abmahnungen zu beschränken. Zum anderen ist jedoch auch rechtlich in dem Zusammenhang noch einiges 130 streitig: Ein Teil der Literatur spricht sich für die Möglichkeit von Abmahnungen 131 gemäß § 3a UWG aufgrund eines Datenschutzverstoßes aus.128) Es werden in den Regeln des Datenschutzes Marktverhaltensregeln gesehen i. S. d. § 3a UWG. Auch wurde diese Auffassung zum Teil von der Rechtsprechung vertreten.129) Letzteres wurde nunmehr vom LG Würzburg inhaltlich jedenfalls bestätigt. 132 In einem Beschluss vom 13.9.2018130) entschied neben dem o. g. LG Hamburg nun auch das LG Würzburg, dass ein abmahnfähiger Wettbewerbsverstoß bei der Nutzung einer unzureichenden Datenschutzerklärung vorliegt. Entsprechend dem Beschluss können Wettbewerber Konkurrenten wegen eines Verstoßes gegen die DSGVO abmahnen. Dabei ist das Gericht davon ausgegangen, dass in einem Verstoß gegen bestehende Datenschutzgesetze eine Verletzung des Wettbewerbsrechts gemäß § 3a UWG zu sehen ist. Allerdings wurde ein vergleichsweise geringer Streitwert angesetzt i. H. v. 2.000,– €. ___________ 125) Siehe https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerieist-angelaufen-4061044.html (Stand: 12.11.2018). 126) Siehe http://www.spiegel.de/forum/politik/datenschutzgrundverordnungwirtschaftsfluegel-der-union-verlangt-schutz-vor-abmahnung-thread-756372-1.html (Stand: 12.11.2018). 127) Siehe https://www.tagesschau.de/inland/dsgvo-datenschutz-grundverordnung-101.html (Stand: 13.11.2018). 128) Ausführlich dazu Wolff, ZD 06/2018, 248 m. w. N.; Schreiber, GRUR-Prax 2018, 373; Podszun/de Toma, NJW 2016, 2992. 129) LG Hamburg, Urt. v. 2.3.2017 – 327 O 148/16, ZD 2018, 186. 130) LG Würzburg, Beschl. v. 13.9.2018 – 11 O 1741/18, LSK 2018, 22735.
51
E. Erste Erfahrungen mit der DSGVO
133 Die Gegenmeinung vertritt im Wesentlichen131) die Ansicht, dass die Sanktionsregeln in Art. 77 – 84 DSGVO – bis auf die Regelung in Art. 80 Abs. 2 DSGVO – abschließend sind. Argumentiert wird kurz gefasst damit, dass nunmehr im Gegensatz zum alten BDSG ein abschließender Sanktionskatalog vorliegt. Verstöße gegen die DSGVO können daher nicht nach § 3a UWG verfolgt werden132). Im Ergebnis sah es so auch das Landgericht Bochum133): Die fehlende Datenschutzerklärung auf der Webseite sei letztlich wegen Art. 77 – 84 DSGVO nicht abmahnfähig. 134 Es bleibt abzuwarten, wie sich die Rechtsprechung zukünftig mit etwaigen Ansprüchen auseinandersetzt und eine vom Gesetzgeber geplante Umsetzung der Beschränkung von Abmahnungen im Datenschutzrecht erfolgt. Nach jetzigem Stand sollte jedenfalls nach dem Vorsichtsprinzip mit der erstgenannten Meinung jedenfalls davon ausgegangen werden, dass in den Vorschriften des Datenschutzes zum Teil Marktverhaltensregeln zu sehen sind. Mit den entsprechenden Konsequenzen, die sich aus dem UWG etc. ergeben. Rein juristisch betrachtet, spricht insbesondere gegen eine Abmahnfähigkeit von DSGVO-Verstößen, dass Mitbewerber gar nicht anspruchs- und somit auch nicht abmahnberechtigt sein dürften.134) Praxistipp: Die Frage, die sich aber stellt, ist, ob es die Insolvenzkanzlei überhaupt so weit kommen lassen möchte. Streitwerte > 50.000,– € sind in entsprechenden einstweiligen Verfügungsverfahren oder Rechtsstreiten als gering anzusehen.135) Daneben gelten vorstehende Ausführungen für Abmahnungen durch Mitbewerber, Wettbewerbszentralen etc., aber nicht was die Betroffenenrechte angeht. Die Betroffenenrechte sind in jedem Fall durchsetzbar! Das Wichtigste: Schon nach heutigem Stand sind diese potenziellen (Datenschutz-)Risiken für die Insolvenzkanzlei leicht zu minimieren bzw. gar auszuschalten: Gegenstand der vorgenannten Entscheidung des LG Würzburg waren z. B: eine unzureichende Datenschutzerklärung bzw. eine nicht vorhandene SSL-Verschlüsselung der Webseite (zu den TOM siehe Rn. 245 ff.). Wegen der fehlenden Datenschutzerklärung bzw. Information nach Art. 13 DSGVO wird auf zuvor verwiesen. Spätestens mit Umsetzung der Informationen aus diesem ZIP Praxisbuch in der Insolvenzkanzlei sowie Fortschreibung ihrer Datenschutzprozesse ist diese vor Abmahnung soweit wie möglich gefeit.
___________ 131) Ausführlich dazu Köhler, Editorial, ZD 8/2018, 337. 132) Köhler/Bornkamm/Feddersen-Köhler, UWG, § 3a Rn. 1.40a. 133) LG Bochum, Teil-Versäumnis- und Schlussurteil v. 7.8.2018 – I-12 O 85/18, LSK 2018, 25219. 134) So auch Köhler, Editorial, ZD 8/2018, 337, 338. 135) So LG Bonn, Beschl. v. 29.5.2018 – 10 O 171/18, ZD 2018, 588, ebenfalls zur DSGVO ergangen.
52
III. Befürchtete Abmahnwelle blieb bis dato aus
1. Aktionismus der Verantwortlichen Im zeitlichen Zusammenhang mit dem 25.5.2018 (dem vollumfänglichen 135 Wirksamwerden der DSGVO) versuchten Verantwortliche Einwilligungen ihrer Kunden, meist per E-Mail, einzuholen. Dies auch häufig in Fällen, in denen es keiner Einwilligung gemäß Art. 7 DSGVO für eine entsprechende Verarbeitung bedurfte, da die Verarbeitung der Daten (z. B. im Rahmen der Vertragserfüllung) durch eine andere Rechtsgrundlage gemäß Art. 6 DSGVO gedeckt war. Nachteilig an diesem Vorgehen ist u. a. die Möglichkeit des Betroffenen, eine 136 entsprechende Einwilligung jederzeit ohne Angaben von Gründen zu widerrufen. Zwar sieht die DSGVO keine explizite Wertigkeit der angegebenen rechtmäßigen Verarbeitungen in Art. 6 DSGVO vor, ob dies auch die jeweilige Aufsichtsbehörde am Sitz des Verantwortlichen so interpretiert, bleibt abzuwarten und stellt somit zumindest ein Risiko für die Verarbeitung dar. Fraglich ist in diesem Fall, welche Rechtsgrundlage für die Verarbeitung gilt. Es ist anzunehmen, dass in diesen Fällen die Einwilligung der Betroffenen vorrangig als Rechtsgrundlage herangezogen wird und dementsprechend ist es nach erfolgtem Widerspruch im Nachhinein unklar, ob der Verantwortliche sich parallel auf eine andere Rechtsgrundlage stützen kann. Es ist zu vermuten, dass die Aufsichtsbehörde dem Widerspruch eine gewisse „Stärke“ zuspricht und eine weitere Verarbeitung, die ursprünglich auf Grundlage der Einwilligung vorgenommen wurde, untersagt. Weiterhin wurden aufgrund der Unsicherheiten und Ängste, in Bezug auf 137 Sanktionen der Aufsichtsbehörde, aufseiten der Verantwortlichen teilweise sogar Abschaltungen von Internetseiten vorgenommen. Dies meist aufgrund der Befürchtungen einer einsetzenden Abmahnwelle und der Gefahr fehlender bzw. falscher Datenschutzerklärungen auf den jeweiligen Webseiten. Eine weitere häufige Maßnahme der Verantwortlichen war die Untersagung spezieller Applikationen auf den Firmennotebooks und -handys. Insbesondere kleine Unternehmen waren (und sind es immer noch) mit den 138 Bestimmungen des Datenschutzes überfordert. Insbesondere hinsichtlich der erhöhten Dokumentations- und Informationspflichten, wie das Führen eines Verzeichnisses der Verarbeitungstätigkeiten, der Erfüllung der Informationspflichten gemäß Art. 13, 14 DSGVO und u. a. der Mitteilung zu möglichen Datenpannen gegenüber der Aufsichtsbehörde. Auch bestanden und bestehen Unsicherheiten in Bezug auf die Benennung eines Datenschutzbeauftragten – wann eine solche Benennung zu erfolgen hat und was mit der Benennung einhergeht. 2. Ausbleiben der „Abmahnwelle“ und Versuch der Verhinderung Die Befürchtungen hinsichtlich einer einsetzenden „Abmahnwelle“ mit dem 139 25.5.2018 haben sich bis dato nicht bewahrheitet. Dies mag insbesondere auch daran liegen, dass aufseiten der potenziellen Abmahner Unsicherheiten 53
E. Erste Erfahrungen mit der DSGVO
zu der korrekten Umsetzung der DSGVO bestehen. Zwar liegen erste Berichte vor, dass es zu vereinzelten Abmahnungen wegen Datenschutzverstößen kam, dies aber bisher nicht gehäuft. Dennoch beabsichtigt die Regierung, einen Gesetzentwurf vorzulegen, um einem möglichen Abmahnmissbrauch zuvor zu begegnen. Dies nicht nur auf das Datenschutzrecht beschränkt. Auf Anfrage von Abgeordneten der Fraktion der FDP teilte die Bundesregierung mit: „Die Bundesregierung beobachtet aufmerksam, dass Unternehmen bereits unmittelbar mit Beginn der Anwendbarkeit der DSGVO am 25. Mai 2018 Abmahnungen von Rechtsanwaltskanzleien erhalten haben, die mit Verstößen gegen die DSGVO begründet und in denen nicht unerhebliche Abmahnkosten geltend gemacht wurden. Die Bundesregierung nimmt die vonseiten der Unternehmen und Aufsichtsbehörden geäußerten Befürchtungen ernst, dass die Zahl von Abmahnungen aufgrund von datenschutzrechtlichen Verstößen mit Anwendbarkeit der DSGVO zunehmen könnte.“136)
140 Auch gemäß des Koalitionsvertrages zwischen CDU, CSU und SPD für die 19. Legislaturperiode steht ein solches Vorhaben in Aussicht.137) IV. EuGH entscheidet zur gemeinsamen Verantwortlichkeit 141 Auch der Europäische Gerichtshof hat zwischenzeitlich einige richtungsweisende Entscheidungen erlassen. Er hat u. a. mit seiner Entscheidung am 5.6.2018 klarstellend zur gemeinsamen Verantwortlichkeit ausgeführt und geurteilt. 142 Entsprechend der Entscheidung ist ein Betreiber einer Fanpage auf einem Onlineportal – in diesem Sachverhalt auf dem Onlineportal Facebook – gemeinsam mit dem Betreiber des Onlineportals für die Verarbeitung der personenbezogenen Daten verantwortlich. Dieses Urteil erging zwar noch im Rahmen der Auslegung der Richtlinie 95/46/EG des europäischen Parlamentes und des Rates138) und hier speziell des Art. 2 lit. b) DSRL. Die Entscheidung kann aber sogleich als Auslegung für die DSGVO zurate gezogen werden und im speziellen als Erläuterung zum Art. 26 DSGVO verstanden werden.139) 143 In dem Urteil140) stellte der EuGH klar, dass eine gemeinsame Verantwortlichkeit für die Verarbeitung von personenbezogenen Daten nicht immer auf eine Gleichrangigkeit der Einflussmöglichkeiten beruht. Allein die Einrichtung einer solchen Fanpage, für die zweifelsohne der jeweilige Betreiber dieser Fanpage verantwortlich ist, ist risikoerhöhend für den Betroffenen. So___________ 136) BT-Drucks. 19/3510, S. 5. 137) Koalitionsvertrag 19. Legislaturperiode zwischen CDU, CSU und SPD, Rn. 5819 – 5821. 138) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt Nr. L 281 v. 23.11.1995, S. 0031 – 0050. 139) Petri, EuZW 2018, 540. 140) EuGH, Urt. v. 5.6.2018 – C-210/16: Gemeinsame Verantwortlichkeit eines FanpageBetreibers und des dazugehörigen sozialen Netzwerks, ZD 08/2018, 357 (mit Anmerkung Marosi/MatthéSchulz, S. 361 ff.).
54
IV. EuGH entscheidet zur gemeinsamen Verantwortlichkeit
mit muss auch dieser Betreiber das Risiko mittragen, das sich aus der Verarbeitung der personenbezogenen Daten ergeben kann.141) Man mag nun sagen, diese Entscheidung hat, wenn überhaupt, nur entfernt Anknüpfungspunkte zu einer Insolvenz und somit zum Thema dieses Handbuches. Aber insbesondere mit Blick auf die Marketingaktivitäten einzelner Schuldner besteht eine nicht unerhebliche Wahrscheinlichkeit, im Rahmen eines Insolvenzverfahrens eine solche Fanpage bei Facebook oder auch bei einem anderen Onlineportal vorzufinden. Des Weiteren kann diese Entscheidung Auswirkung auf die Verantwortlichkeiten zur Verarbeitung von personenbezogenen Daten innerhalb eines Insolvenzverfahrens haben. Überspitzt gesagt, könnte es bereits bei der Erteilung des Sachverständigenauftrags durch das Gericht zu einer gemeinsamen Verantwortlichkeit des Sachverständigen und des Gerichts im Rahmen der Verarbeitung der personenbezogenen Daten kommen (im Einzelnen siehe Rn. 553 ff.). Als erste Erkenntnis aus den Ereignissen rund um die Umsetzung der DSGVO 144 und des BDSG bleibt festzuhalten, dass nicht nur aufseiten der Verantwortlichen häufig Punkte vernachlässigt oder auf die leichte Schulter genommen wurden, sondern die Intensität der Umstellung auch die Aufsichtsbehörden überrascht hat. Auch bei den Aufsichtsbehörden zeigten sich bei der Vorbereitung auf den Zeitpunkt des Inkrafttretens ebenfalls Defizite, u. a. bei der Personalausstattung und Infrastruktur. Gleichwohl ist im Jahre 2019 bereits zu beobachten, dass die Behörden gegen kleinere Unternehmen – anlassbezogen auch vereinzelt gegen Insolvenzverwalter – Verfahren anhängig machen und auch 4-stellige Bußgelder verhängen. Der Datenschutz ist und wird ergo in Zukunft mitnichten zu ignorieren sein!
___________ 141) EuGH, Urt. v. 5.6.2018 – C-210/16: Gemeinsame Verantwortlichkeit eines FanpageBetreibers und des dazugehörigen sozialen Netzwerks, ZD 08/2018, 357 (mit Anmerkung Marosi/MatthéSchulz, 361 ff.).
55
F. Aus der Praxis – Datenschutz in der Kanzlei In der Insolvenzverwaltung hat der Datenschutz unzweifelhaft Einzug gehalten 145 und dies nicht erst seit dem 25.5.2018. Bereits 2011 attestierte Hartung142) dem Thema eine gestiegene Bedeutung. Für die Sondersituation „Insolvenzverwaltung“ gebe es hingegen im Datenschutzrecht keine besonderen Regelungen, jedoch grundsätzlich auch keine Ausnahmeregelungen zugunsten des Insolvenzverwalters. Im Rahmen seiner Funktion als Insolvenzverwalter bei der Erhebung, Verarbeitung und Nutzung von Daten zur Erstellung des Berichts nach § 156 InsO sei dem Insolvenzverwalter die sparsame Nutzung von (personenbezogenen) Daten anzuraten.143) Heyer144) befasst sich mit einer weiteren Facette der Schnittmenge aus Insolvenzverfahren und Datenschutz – nämlich mit der Internetveröffentlichung amtlicher Informationen über Insolvenzverfahren. Vor nicht allzu langer Zeit wurden die Regeln des Datenschutzes eher stief- 146 mütterlich behandelt und es wurden, wenn überhaupt, im Rahmen der ITSicherheit datenschutzrelevante Maßnahmen ergriffen. Die Maßnahmen wurden jedoch, zumindest in den meisten Fällen, aus Gründen des Eigenschutzes und weniger aus den Beweggründen, die personenbezogenen Daten der Betroffenen zu schützen ergriffen. Intensivere Bemühungen und Überlegungen für einen effektiven Datenschutz der vorhandenen personenbezogenen Daten eines Insolvenzverfahrens und in der Insolvenzkanzlei, konnten ab etwa 2015 innerhalb der Verwalterschaft festgestellt werden. Ausschlaggebend war hier vermutlich der Erlass eines Bußgeldes des Bayeri- 147 schen Landesamtes für Datenschutzaufsicht (BayLDA) gegen den Käufer von Kundendaten und den Verkäufer als Insolvenzverwalter. In dem besagten Sachverhalt verkaufte der Insolvenzverwalter im Rahmen eines Asset Deals Vermögensgegenstände und Teile eines schuldnerischen Unternehmens an den Käufer. Im Rahmen dieser Übertragung wurden ebenso Datensätze von Kunden an den Käufer übergeben, u. a. die E-Mail-Adressen der Kunden. Das BayLDA monierte, dass die Übertragung der Kundendaten, insbesondere der E-Mail-Adressen, unzulässig war i. S. d. § 4 Abs. 1 BDSG a. F. Es fehlte an einer Rechtsgrundlage, auf die die Übermittlung gestützt werden konnte, und eine ausdrückliche Einwilligung der Kunden für die Übertragung lag nicht vor.145) Nicht zuletzt das erlassene Bußgeld in diesem Sachverhalt verhalf den Daten- 148 schutz zu einer höheren Aufmerksamkeit. Aber auch die nahende DSGVO ___________ 142) 143) 144) 145)
Hartung, ZInsO 2011, 1225 ff. So du Carrois, Insbüro 2013, 10 ff. Heyer, ZVI 2015, 45 ff. Pressemitteilung des BayLDA v. 30.7.2015, Kundendaten beim Unternehmensverkauf – ein Datenschutzproblem, https://www.lda.bayern.de/media/pm2015_10.pdf (Stand: 19.3.2019).
57
F. Aus der Praxis – Datenschutz in der Kanzlei
war ausschlaggebend dafür, dass die Verwalterschaft den Datenschutz ab diesem Zeitpunkt mehr wahrgenommen hat. 149 Exkurs zu weiterem – jedenfalls datenschutzrechtlich – allenfalls schwer nachvollziehbarem Verwalterhandeln im Zusammenhang mit Daten: 150 Die Entscheidung des OLG Frankfurt/M. v. 24.1.2018 – 13 U 165/16146) befasste sich mit der Unwirksamkeit des Vertrages über den Erwerb von Domains und Daten vom Insolvenzverwalter – letztlich wegen fehlender Einwilligung der Adressinhaber zu dem Verkauf ihrer persönlichen Daten nach § 28 BDSG, § 7 UWG, § 134 BGB. In der Folge konnte der Insolvenzverwalter den Kaufpreis von 15.000,– € gemäß § 817 Satz 2 BGB in der Insolvenzmasse behalten. Letztlich stellte das OLG Frankfurt/M. nämlich fest, dass eine, nein jegliche, Rückabwicklung nach § 817 Abs. 1 BGB aufgrund beidseitiger Verstöße gegen die zwingenden Vorgaben des Bundesdatenschutzgesetzes (BDSG) ausgeschlossen sei. Man leiste in derartigen Fällen auf eigenes Risiko. Und mit der Übertragung der Daten ist der Insolvenzverwalter faktisch auch „quitt“: Einmal per Stick und ein anderes Mal per Verwertung der Server. In dem Zusammenhang stellt sich, vorbehaltlich der vermutlich zu erwartenden Bußgeldentscheidung der Aufsichtsbehörde, die Frage der Begründung im Bericht des Insolvenzverwalters an das Insolvenzgericht. Vor allem deshalb, weil der Insolvenzverwalter recht „unvorsichtig“ agierte: Zugespitzt wurde der der Entscheidung zugrunde liegende Sachverhalt nämlich noch dadurch, dass der Geschäftsführer der Klägerin zuvor Geschäftsführer der Schuldnerin war. Er hatte – wie üblicherweise auf den Tag der Insolvenzeröffnung – vom Beklagten unterschiedliche Internetdomains sowie offenbar über diese durch eine Adresserfassungsmaske generierte personenbezogene Daten wie Namen, Adresse, Telefonnummer und E-Mail-Adresse gegen ein Entgelt von 15.000,– € erworben. Diese Daten wurden auf einem USB-Stick übergeben. Die Server selbst, auf denen sich die Daten bei der Schuldnerin ursprünglich befanden und wo sie – bis dato sehr wahrscheinlich unter der „Herrschaftsmacht“ des Insolvenzverwalters liegend – weiterhin rekonstruierbar waren, wurden vom Beklagten als Teil der Geschäftsausstattung der B-GmbH an eine weitere, ebenfalls mit Adressen handelnde Firma zu einem Betrag von rd. 2.000,– € verkauft. Letztere nutze die Adressen im Anschluss für ein Werbemailing zugunsten einer Pornowebseite.147) Jedenfalls bei per Gewinnspiel, Callcenter etc. ursprünglich generierten Daten von Adresshandelsfirmen als Mailing für eine Sex-Internetseite u. ä. Herkunfts-/Verwendungszwecken sollte der Insolvenzverwalter besondere Sorgfalt und Vorsicht an den Tag legen! 151 In einem weiteren Fall148) soll es einem Sicherheitsforscher gelungen sein, auf einer Kleinanzeigenplattform die Überreste einer IT-Infrastruktur zu erhalten. ___________ 146) Dazu weitergehend Weiß, ZInsO 2018, 1717. 147) Weiß, ZInsO 2018, 1718. 148) Siehe https://winfuture.de/news,105179.html (Stand: 12.11.2018).
58
I. Allgemeines
Es stellte sich heraus, dass diese zu einem zwischenzeitlich insolventen Unternehmen bzw. dessen hiesiger Niederlassung gehörten. Diese war vom Insolvenzverwalter im Zuge des Insolvenzverfahrens letztlich den ehemaligen Vermietern der Niederlassung überlassen worden. Es handelte sich insgesamt um mehrere Server und Systeme. Noch schlimmer:149) Schon die insolvente Firma hatte die Daten ihrer Kunden nicht ordentlich verschlüsselt aufbewahrt: Die Kundenkonten von 385.000 Käufern waren problemlos abrufbar, ebenso 260.000 Kreditkartendaten im Klartext. Hier hätte der Insolvenzverwalter also mindestens das Datenschutzverhalten des insolventen Unternehmens ermitteln und notwendige Maßnahmen einleiten sollen. Die nicht datenschutzkonforme Überlassung an einen Dritten wie den Vermieter ist heute – jedenfalls in der scheinbar erfolgten nonchalanten Ausprägung – für eine Insolvenzkanzlei nicht mehr haltbar! Praxistipp: Sollten sich datenschutzrechtliche Risiken bei IT-Assets oder gar Daten wg. § 60 InsO nachweislich nicht ausräumen oder mindestens minimieren lassen, sollte der Insolvenzverwalter drüber nachdenken, im Zweifel ggf. gar in Abstimmung mit dem Insolvenzgericht bzw. der Gläubigerversammlung statt der Verwertung der Daten deren datenschutzkonforme Löschung zu wählen.
I. Allgemeines Der Datenschutz muss durch den Insolvenzverwalter (bzw. die Kanzlei) als 152 Verantwortlichen nicht nur innerhalb seiner Tätigkeit im Rahmen der Bearbeitung eines Insolvenzverfahrens beachtet werden, sondern verlangt vom Insolvenzverwalter als Verantwortlichen auch, bei der kanzleiinternen Verarbeitung von personenbezogenen Daten, die Vorschriften der Datenschutzgesetze zu beachten. Dabei bringt die DSGVO zahlreiche Regelungen mit sich, welche neue Verpflichtungen, neue Anforderungen und Verschärfungen vorsehen.150) Die Grundsätze sowie die meisten Regeln haben allerdings bereits im BDSG a. F. Bestand gehabt. Wie bei jedem anderen Unternehmen auch bedarf es beim Insolvenzverwal- 153 ter einer datenschutzrechtlichen Betrachtung hinsichtlich der Datensicherheit und des Schutzes der Daten, der Zugriffe und Zugänge zu den Daten bei der Kommunikation per E-Mail sowie der vielen anderen Bereiche, in denen personenbezogene Daten Gegenstand der Verarbeitung sind und geschützt werden müssen. Praxistipp: Der nachfolgende Sachverhalt soll verdeutlichen, dass zunächst nicht anwaltsspezifische oder insolvenzspezifische datenschutzrechtliche Bedenken gegeben sind, sondern alltägliche Probleme eines Unternehmens betrachtet werden müssen.
___________ 149) Aber in der Praxis der Insolvenzverwaltung überhaupt nicht selten. 150) Arns, VIA 2018, 65.
59
F. Aus der Praxis – Datenschutz in der Kanzlei Im Datenschutz gibt es bestimmte Löschungsfristen welche vorsehen, dass Daten, deren Zweck der Erhebung entfallen ist, gelöscht werden müssen. Dies betrifft auch u. a. Bewerbungen, die in der heutigen Zeit häufig per E-Mail eingehen. Die den Bewerbungen beigefügten Unterlagen müssen nach der Stellenbesetzung gelöscht bzw. an den Bewerber zurückgesandt werden. Spätestens sechs Monate nach Stellenbesetzung muss diese Löschung vorgenommen werden. Auch Notizen zu den Bewerbungsgesprächen müssen im genannten Zeitraum gelöscht werden.151) Eine Ausnahme dieser Löschungsfrist könnte sich aus einer ausdrückliche Einwilligung zu einer längeren Speicherung ergeben. Denken Sie auch an ein bestehendes Archivierungsprogramm für E-Mails. Auch dort dürfen die Unterlagen nicht länger gespeichert werden.
154 Wie im vorstehenden Praxistipp bereits angerissen, ist ein Bereich das Personalmanagement und die datenschutzrechtliche Einordung von Bewerbungen, insbesondere die Aufbewahrung der Bewerbung. Da sich der Verantwortliche als potenzieller Arbeitgeber gegen eine Beschwerde aufgrund der Nichteinhaltung des Antidiskriminierungsgesetzes (AGG) zu Wehr setzen können muss, besteht zunächst die Möglichkeit, die Bewerbung auch nach erfolgter Stellenbesetzung für den genannten Zeitraum aufzubewahren. Nach herrschender Meinung müssen die eingegangenen Bewerbungen aber nach einigen Monaten, spätestens sechs Monate nach der Stellenbesetzung gelöscht werden.152) Die Bundesbeauftragte für Datenschutz und Informationsfreiheit sieht in ihrer Stellungnahme zu Bewerbungsunterlagen sogar eine Aufbewahrung von zwei Monaten als ausreichend an. Letzterem ist aus den angeführten Gründen nicht beizupflichten. Für eine längere Speicherung der Bewerberdaten – z. B. um diese bei späteren Stellenausschreibung zurate ziehen zu können bzw. diese Bewerberdaten verbundenen Unternehmen zur Verfügung stellen zu können – kommt nur eine ausdrückliche Einwilligung des Bewerbers in Betracht.153) Diese Einwilligung muss entsprechend der Voraussetzung gemäß Art. 7 DSGVO ausdrücklich, freiwillig und informativ erfolgen. Ein entsprechender Hinweis, der dem Ablehnungsschreiben beigefügt ist, erfüllt die Voraussetzungen für eine Einwilligung nicht; so auch bereits das BayLDA in seinem Tätigkeitsbericht 2011/2012.154) 155 Setzt die Kanzlei allerdings ein Archivierungsprogramm für den E-Mailverkehr ein, was aufgrund der Pflicht zur Archivierung meistens geschehen wird, muss eine Lösung gefunden werden, wie die eingegangenen Bewerbungen dennoch dauerhaft und datenschutzsicher gelöscht werden können. 156 Aufgrund der digitalen Arbeitsvorgänge in Kanzleien kommen die Insolvenzverwalter, aber auch deren Mitarbeiter, nicht mehr umhin, sich mit dem ___________ 151) Reisener/Weiß, InsbürO 9, 337. 152) Plath-Stamer/Kuhnke, BDSG/DSGVO, § 32 Rn. 31; Gola/Schomerus-Gola/Klug/Körffer, BDSG, § 32 Rn. 15; Schulze, in: Wedde, HdB Datenschutz, Rn. 241 ff. 153) Plath-Stamer/Kuhnke, BDSG/DSVO, § 32 Rn. 31; Gola/Schomerus-Gola/Klug/Körffer, BDSG, § 32 Rn. 15. 154) BayLDA, TB 2011/2012, S. 62.
60
II. Datenschutzbeauftragter
Datenschutz auch „intern“ zu befassen. Hierzu gehört u. a. die Ergreifung von technischen und organisatorischen Maßnahmen – wie sie in Art. 32 der DSGVO beschrieben sind (ähnlich bereits im § 9 BDSG a. F.) – die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, ggf. die Benennung eines Datenschutzbeauftragten sowie die Einführung eines Datenschutzmanagementsystems, das die Prozesse und Maßnahmen abbildet und deren Einhaltung für den datenschutzkonformen Umgang mit personenbezogenen Daten sorgt. Es ist erforderlich, dass vor allem Arbeitsabläufe und andere Prozesse, IT- 157 Systeme und Strukturen an die Datenverarbeitung angepasst werden. Schwerpunkte liegen dabei auf Transparenz und Dokumentation. In diesem Abschnitt sind einige Maßnahmen aufgezeigt, die innerhalb der Kanzlei erfolgen müssen, um organisatorisch und strukturell die Einhaltung der Datenschutzvorschriften im täglichen Kanzleialltag sicherstellen zu können. II. Datenschutzbeauftragter Bei der Funktion des Datenschutzbeauftragten handelt es sich nicht um eine 158 neue Erfindung der DSGVO. Vielmehr war eine solche Position bereits im BDSG a. F. seit 1977 verankert (§ 4f Abs. 1 Satz 1 BDSG a. F.). Die Position wurde im Laufe der Zeit von der Wichtigkeit im BDSG weiter aufgewertet. Auch wurde die Tätigkeit, die in dem Aufgabengebiet weisungsfrei durch den Datenschutzbeauftragten ausgeführt wird, mit besonderen arbeitsrechtlichen Schutzmechanismen ausgestattet, um eben genau diese Unabhängigkeit zu schützen. Daher sah die Datenschutzrichtlinie aus dem Jahr 1995 ebenso eine solche 159 Funktion bereits als Alternative zu weiteren Kontrollmöglichkeiten für die Datenschutzvorgänge vor, allerdings als nicht verpflichtend. Erstmalig mit der Umsetzung der DSGVO entstand eine Regelung, die europaweit den Verantwortlichen unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu benennen.155) Somit konnte sich die bis dato geltende deutsche Regelung zur Bestellung eines Datenschutzbeauftragten, zumindest in Teilen, auch auf europäischer Ebene durchsetzen. Anders als das BDSG a. F., das von einer Bestellung des Datenschutzbeauf- 160 tragten sprach, sieht die DSGVO lediglich eine Benennung des Datenschutzbeauftragten vor. Der Unterschied liegt hier in der Form. Bedurfte die Bestellung nach § 4f Abs. 1 Satz 1 BDSG a. F. noch einer Schriftform mit entsprechendem Erklärungscharakter, so sieht die Benennung des Datenschutzbeauftragten nach der DSGVO keine besonderen Formerfordernisse vor.
___________ 155) GDD-Praxishilfe, DS-GVO I, S. 3.
61
F. Aus der Praxis – Datenschutz in der Kanzlei Praxistipp: Anzuraten ist aber dennoch die Benennung des Datenschutzbeauftragten in einer notwendigen Form zu dokumentieren, um den Nachweispflichten gemäß Artt. 5 Abs. 2, 24 Abs. 1 DSGVO im ausreichenden Maße nachkommen zu können, hierzu auch die Datenschutzkonferenz (DSK)156) in ihrem Kurzpapier Nr. 12, S. 1.
161 Ist ein Datenschutzbeauftragter aufgrund der bestehenden Notwendigkeit benannt oder wurde die Möglichkeit einer freiwilligen Benennung genutzt, sind die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen und ebenso die Kontaktdaten zu veröffentlichen, z. B. auf der Webseite (Art. 37 Abs. 7 DSGVO). Die Mitteilung erfolgt je nach jeweiliger Aufsichtsbehörde in unterschiedlicher Form. Teilweise stellen die einzelnen Aufsichtsbehörden Formulare zum Download zur Verfügung. Andere Aufsichtsbehörden bieten die Möglichkeit der Onlinemeldung des Datenschutzbeauftragten an. 162 Die Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten kann z. B. auf der Internetseite erfolgen und muss nicht auf jedem Schreiben explizit wiederholt werden. Des Weiteren müssen sich die Kontaktdaten auch in den Informationen des Verantwortlichen an die Betroffenen wiederfinden, im Rahmen der Erfüllung der Informationspflichten gemäß Artt. 13, 14 DSGVO. Damit soll den Betroffenen die Möglichkeit eröffnet werden, schnell und einfach ihr Anliegen bei dem richtigen Ansprechpartner vorbringen zu können. Praxistipp: Es genügt, nichtpersonalisierte Kontaktdaten zu verwenden. Eine Zentralnummer, unter der der Datenschutzbeauftragte erreichbar ist und eine Vermittlung mit dem Datenschutzbeauftragten vorgenommen werden kann, ist ausreichend. Auch genügt es, eine E-Mail-Adresse als Kontaktmöglichkeit anzubieten, die nicht auf die natürliche Person des Datenschutzbeauftragten hinweist. Wichtig ist es natürlich, dass der benannte Datenschutzbeauftragte tatsächlich die Anfragen erhält. Ausreichend wäre für die Angabe der Kontaktmöglichkeit: Unseren Datenschutzbeauftragten erreichen Sie unter: Mustermann Kanzlei Straße 1 12345 Musterstadt Tel: +49 (0)123 55555 – 0 Fax: +49 (0)123 55555 – 100 E-Mail: [email protected]
___________ 156) Die Datenschutzkonferenz (DSK) ist ein Zusammenschluss der unabhängigen Aufsichts- und Datenschutzbehörden der Länder und des Bundes, welche die Grundsätze des Datenschutzes zu wahren und zu schützen und für eine einheitliche Anwendung des Datenschutzrechts einzutreten hat. Hierzu fasst die Datenschutzkonferenz Beschlüsse, veröffentlicht Orientierungshilfen, wie die benannten Kurzpapiere, drängt auf Standardisierungen in Bezug auf die Anwendung des Datenschutzrechts und veröffentlicht Stellungnahmen zu einzelnen Datenschutzbereichen.
62
II. Datenschutzbeauftragter
1. Pflichtbenennung und/oder freiwillige Benennung Die DSGVO unterscheidet an vielen Stellen im Gesetz zwischen den öffent- 163 lichen Stellen und den nichtöffentlichen Stellen. Den öffentlichen Stellen, wie Behörden, Gerichten und anderen staatlichen Institutionen, werden durch die Regelung der Mitgliedstaaten und die Umsetzung der DSGVO in die nationalen Gesetze einige Erleichterungen zugesprochen. Bei der Benennung eines Datenschutzbeauftragten gibt es hingegen eine Verschärfung im Verhältnis zu den nichtöffentlichen Stellen, den Unternehmen der Privatwirtschaft. a) Öffentliche Stellen Die Pflicht zur Benennung eines Datenschutzbeauftragten kann für den Ver- 164 antwortlichen und auch für den Auftragsverarbeiter bestehen. Gemäß Art. 37 Abs. 1 lit. a) DSGVO ist zunächst jede Behörde oder öffentliche Stelle, die eine Verarbeitung personenbezogener Daten vornimmt, unabhängig von weiteren Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu benennen. Diese Verpflichtung besteht mit einer Ausnahme für jede öffentliche Stelle. Diese Ausnahme bilden die Gerichte, wenn sie im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a) DSGVO). Neben den Verfassungsgerichten können alle ordentlichen Gerichte unter dieser Ausnahme zusammengefasst werden, sofern diese im Rahmen ihrer Funktion als Organ der Rechtsprechung tätig werden.157) b) Nichtöffentliche Stellen Nichtöffentliche Stellen, wozu nach h. M. auch der Insolvenzverwalter zu 165 zählen ist,158) müssen als Verantwortliche oder als Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn die jeweilige Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt und diese aufgrund ihres Umfangs oder Zweck eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen erfordert (Art. 37 Abs. 1 lit. b) DSGVO). Des Weiteren bedarf es der Benennung eines Datenschutzbeauftragten, wenn 166 die Kerntätigkeit des Verantwortlichen in einer umfangreichen Verarbeitung besonders sensibler Daten liegt, wie sie in Artt. 9, 10 DSGVO beschrieben werden.159) Für die übrigen Fälle sieht die DSGVO keine Pflichtbenennung vor, kann aber fakultativ erfolgen.160) Der Begriff Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Ver- 167 antwortlichen (ErwGr. 97 DSGVO)161) und ist nicht so zu verstehen, dass ___________ 157) 158) 159) 160) 161)
Paal/Pauly-Paal, DS-GVO/BDSG, Art. 37 DSGVO Rn. 6. Anders LG Stuttgart, Beschl. v. 15.2.2019 – 12 O 33/19, ZIP 2019, 585. Vgl. Niklas/Faas, NZA 2017, 1092. Plath-Bussche, BDSG/DSGVO, Art. 37 DSGVO Rn. 3. Paal/Pauly-Paal, DS-GVO/BDSG, Art. 37 DSGVO Rn. 8.
63
F. Aus der Praxis – Datenschutz in der Kanzlei
jede Nebentätigkeit, die eine Verarbeitung von personenbezogenen Daten erfordert unter diesem Begriff subsumiert werden kann. Die Haupttätigkeiten des Verantwortlichen sind durch die Arbeitsabläufe gekennzeichnet, die für die jeweilige Organisation des Verantwortlichen die wichtigsten darstellen162) und über welche seine Geschäftstätigkeit definiert wird. Tätigkeiten die unterstützend erbracht werden, um die Kerntätigkeit vornehmen zu können, z. B. die Verarbeitung der Beschäftigtendaten der Mitarbeiter, werden nicht hinzugerechnet.163) Beispiel: Die Kerntätigkeit eines Anwalts liegt in der Erbringung von Rechtdienstleistungen (§ 2 Abs. 1 RDG). Im Rahmen dieser Tätigkeit werden ebenso personenbezogene Daten verarbeitet, dies muss jedoch nicht zwingend immer der Fall sein.164) Liegt aber in der Kerntätigkeit des Verantwortlichen per se eine umfangreiche Verarbeitung von personenbezogenen Daten und ist diese Verarbeitung untrennbar Bestandteil der Kerntätigkeit so liegt nach Ansicht der Artikel-29Datenschutzgruppe eine Verpflichtung zur Benennung eines Datenschutzbeauftragten vor.165) 168 Um den Begriff „umfangreich“ näher zu bestimmen, sind die Faktoren aus Erwägungsgrund 91 der DSGVO als Anhaltspunkte heranziehbar. Diese stellen sowohl auf das Gesamtvolumen der Daten, der geografischen und zeitlichen Auswirkung der Verarbeitung und auf die absolute Zahl der Betroffenen ab. In ihren Leitlinien sieht die Artikel-29-Datenschutzgruppe jedenfalls eine umfangreiche Verarbeitung für folgende Sachverhalte: Beispiele: x
Die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses.
x
Die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z. B. Nachverfolgung über Netzkarten).
x
Die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter.
x
Die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank.166)
___________ 162) 163) 164) 165) 166)
64
Kazemi, NJW 2018, 443. DSK-Kurzpapier Nr. 12, S. 1. Kazemi, NJW 2018, 443. Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 8. Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 9.
II. Datenschutzbeauftragter
Im Gegensatz dazu stellt gemäß der Artikel-29-Datenschutzgruppe die Ver- 169 arbeitung von Patientendaten durch einen einzelnen Arzt oder auch die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten durch einen einzelnen Anwalt keine umfangreiche Verarbeitung dar.167) Überträgt man diese Ansicht auf eine Kanzlei mit mehreren Anwälten und 170 hält an dem Beispiel eines allein praktizierenden Arztes fest, könnte sich im Zusammenschluss der Rechtsanwälte und des sich daraus ergebenden Umfangs der Verarbeitungstätigkeiten ebenso eine Verpflichtung zur Benennung eines Datenschutzbeauftragten aus Art. 37 DSGVO ergeben.168) Dies u. a. auch dann, wenn die Anzahl der Betroffenen über das hinausgeht, was einem (durch ErwGr. 91 Satz 4 DSGVO) privilegierten Einzelarzt im Regelfall zugeschrieben wird.169) Sollten in diesem Fall die nachfolgend genannten Voraussetzungen aus dem BDSG bezüglich einer Benennung des Datenschutzbeauftragten nicht zutreffen, wäre eine Konsultation der zuständigen Aufsichtsbehörde anzuraten. c) Nutzung der Konkretisierungsklausel durch § 38 BDSG Die Möglichkeit, die jedem EU Mitgliedstaat aufgrund der in Art. 37 Abs. 4 171 Satz 1 DSGVO eingeräumten Konkretisierungsklausel (auch als Öffnungsklausel bezeichnet) an die Hand gegeben wurde, durch nationale Gesetzgebung die Benennungspflicht eines Datenschutzbeauftragten auch auf andere Stellen auszuweiten, wurde durch die Bundesregierung im § 38 BDSG genutzt. Durch die Anwendung der Konkretisierungsklausel im § 38 BDSG wurden 172 die bis dato geltenden Vorschriften aus § 4f BDSG a. F., mit inhaltlichen Veränderungen, ebenso im BDSG n. F. aufgenommen. So wurde ergänzend zum Art. 37 Abs. 1 lit. b) und c) DSGVO, die Ver- 173 pflichtung für nichtöffentliche Stellen zur Benennung eines Datenschutzbeauftragten verankert für den Fall, dass in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind bzw. wenn der Verantwortliche eine Verarbeitung personenbezogener Daten vornimmt, die einer Datenschutzfolgeabschätzung bedarf (§ 38 Abs. 1 Satz 2 BDSG). Liegt Letzteres beim Verantwortlichen vor, ist ein Datenschutzbeauftragter unabhängig von der Anzahl der beschäftigten Mitarbeiter zu benennen. Dies gilt ebenso, wenn eine geschäftsmäßige Verarbeitung zum Zwecke der Übermittlung vorgenommen wird, welche zur anonymisierten Übermittlung oder zur Markt- und Meinungsforschung dient.170) ___________ 167) 168) 169) 170)
Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 10; DSK-Kurzpapier Nr. 12, S. 1. Kazemi, NJW 2018, 443. DSK-Kurzpapier Nr. 12, S. 2. Paal/Pauly-Pauly, DS-GVO/BDSG, § 38 BDSG Rn. 1.
65
F. Aus der Praxis – Datenschutz in der Kanzlei
d) Kündigungsschutz und Grundsätze für den Datenschutzbeauftragten 174 Mit dem Verweis in § 38 Abs. 2 BDSG auf die Regelung des § 6 Abs. 4, 5 Satz 2, Abs. 6 BDSG wird der besondere Kündigungsschutz, wie er für einen Datenschutzbeauftragten öffentlicher Stellen gilt, auf den Datenschutzbeauftragten nichtöffentlicher Stellen ausgeweitet. Dies gilt nach der Rechtsprechung für alle intern benannten Datenschutzbeauftragten.171) Selbiges gilt aufgrund der Verweisung in § 38 Abs. 2 BDSG für die Verschwiegenheitspflicht und das Zeugnisverweigerungsrecht des Datenschutzbeauftragten. 175 Eine Einschränkung gilt hinsichtlich einer freiwilligen Benennung eines Datenschutzbeauftragten. Für diesen ist die Anwendung des § 6 Abs. 4 BDSG ausgeschlossen und daher besteht bei einer freiwilligen Benennung eines Datenschutzbeauftragten der in § 6 BDSG festgeschriebene Kündigungsschutz nicht. aa) Kündigungsschutz 176 Der Verweis des § 38 Abs. 2 BDSG auf die Regelungen für den Datenschutzbeauftragten öffentlicher Stellen, wie sie im § 6 Abs. 4 BDSG normiert sind, führt zu dem besonderen Kündigungsschutz für Datenschutzbeauftragte von nichtöffentlichen Stellen,172) sofern deren Benennung nicht im Rahmen der Freiwilligkeit erfolgte, sondern aufgrund einer Verpflichtung, die sich aus der DSGVO bzw. aus dem BDSG ergibt. 177 Um die bestehende Weisungsfreiheit gemäß § 6 Abs. 3 Satz 1 BDSG des Datenschutzbeauftragten in seinem Aufgabengebiet sicherstellen zu können, soll dieser aufgrund der Erfüllung seiner Aufgaben nicht benachteiligt werden, § 6 Abs. 3 Satz 3 BDSG. Daher ist eine Abberufung des Datenschutzbeauftragten nur unter Anwendung der Voraussetzungen des § 626 BGB zulässig (§ 6 Abs. 4 Satz 1 BDSG). Eine Kündigung des Arbeitsverhältnisses ist nur aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist möglich.173) Dieser Kündigungsschutz erstreckt sich auch auf das Folgejahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter. 178 Eine Amtsniederlegung durch den Datenschutzbeauftragten selbst steht dem nicht entgegen. Ebenso besteht die Möglichkeit des Abschlusses eines Aufhebungsvertrags bezüglich der Tätigkeit und Pflichten des Datenschutzbeauftragten.
___________ 171) BAG, Urt. v. 27.7.2017 – 2 AZR 812/16, ZD 07/2018, 321 m. w. N. 172) Paal/Pauly-Pauly, DS-GVO/BDSG, § 38 BDSG Rn. 16. 173) Vgl. LAG Köln, Urt. v. 12.1.2015 – 5 Sa 873/14, ZD 2015, 288; LAG BerlinBrandenburg, Urt. v. 15.10.2013 – 3 Sa 567/13, LSK 2016, 040522.
66
II. Datenschutzbeauftragter
bb) Verschwiegenheitspflicht Der Datenschutzbeauftragte ist zur Verschwiegenheit verpflichtet, insbe- 179 sondere im Hinblick auf die Identität des Betroffenen und auf Umstände, die Rückschlüsse auf die Identität des Betroffenen zulassen würden. Eine solche Pflicht ergibt sich auch aus Art. 38 Abs. 5 DSGVO. Von dieser Verschwiegenheitspflicht kann der Datenschutzbeauftragte sich von dem Betroffenen befreien lassen (§ 6 Abs. 5 Satz 2 BDSG). Ein Verstoß gegen diese Verpflichtung kann zu einem Schadensersatzanspruch des Betroffenen gegen den Datenschutzbeauftragten führen. Weiterhin kann ein solcher Verstoß für den Verantwortlichen einen wichtigen Grund für die Abberufung des Datenschutzbeauftragten darstellen, wenn dieser aufgrund des Verstoßes an der erforderlichen Zuverlässigkeit des Datenschutzbeauftragten Zweifel hat. cc) Zeugnisverweigerungsrecht Liegt aufseiten des Verantwortlichen oder bei einer Person, die bei dem Ver- 180 antwortlichen beschäftigt ist, aus beruflichen Gründen ein Zeugnisverweigerungsrecht für bestimmte personenbezogene Daten vor, so gilt dieses Zeugnisverweigerungsrecht auch für den Datenschutzbeauftragten, was wiederum in der Entscheidungssphäre desjenigen liegt, dem aufgrund der beruflichen Gründe dieses Zeugnisverweigerungsrecht zusteht. Dies ergibt sich aus dem Verweis in § 38 Abs. 2 BDSG i. V. m. § 6 Abs. 6 BDSG. Mit diesem Zeugnisverweigerungsrecht geht auch ein Beschlagnahmeverbot 181 für Akten oder andere Dokumente in diesem Zusammenhang einher. 2. Wer kann zum Datenschutzbeauftragten benannt werden? Bis zum Inkrafttreten der DSGVO waren die Anforderungen an den Daten- 182 schutzbeauftragten eher vage definiert. Ein Datenschutzbeauftragter sollte einige Voraussetzungen mitbringen, die ihn dazu befähigen diese Aufgabe gewissenhaft wahrnehmen zu können. Es sollte ein Grundwissen über Datenschutzrecht vorliegen und es sollten Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung vorhanden sein. Auch sollte der Datenschutzbeauftragte ein Verständnis für betriebswirtschaftliche Zusammenhänge vorweisen.174) a) Anforderungen an einen Datenschutzbeauftragten Rechtlich wird lediglich die DSGVO in Art. 37 Abs. 5 DSGVO etwas genau- 183 er: Hier wird auf das Fachwissen, das der Datenschutzbeauftragte auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis aufweist, Bezug genommen.175) ___________ 174) Reisener/Weiß, InsbürO 2017, 363; Beschluss des Düsseldorfer Kreises, 24./25.11.2010, I. 2. 175) Beschluss des Düsseldorfer Kreises, 24./25.11.2010, I. 2.
67
F. Aus der Praxis – Datenschutz in der Kanzlei
184 Die Anforderungen aus Art. 37 Abs. 5 DSGVO sehen vor, dass der Datenschutzbeauftragte eine entsprechende berufliche Qualifikation vorweisen kann und die Fähigkeit besitzt, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Für die Erfüllung dieser Aufgaben ist das Fachwissen des Datenschutzbeauftragten auf dem Gebiet des Datenschutzrechts und aus der Datenschutzpraxis immanent.176) Gemäß ErwGr. 97 zur DSGVO richtet sich das erforderliche Fachwissen an den durchgeführten Verarbeitungen der personenbezogenen Daten und an dem erforderlichen Schutz dieser Daten aus. Die Anforderungen an die Fachkunde des Datenschutzbeauftragten steigen, im Verhältnis zu den Kategorien der verarbeiteten Daten. Werden besondere sensible Daten (Artt. 9, 10 DSGVO) verarbeitet, sind die Anforderungen an die Fachkunde entsprechend höher anzusetzen.177) 185 Um diese Fachkunde zu erreichen bzw. zu erhalten, ist der Verantwortliche zur Unterstützung des Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO angehalten, die erforderlichen Ressourcen zur Verfügung zu stellen. Hierzu zählen Ressourcen zur Durchführung von Weiterbildungsmaßnahmen, aber auch betriebliche Ressourcen. Diese Unterstützung schließt auch ggf. die Bereitstellung von personellen Mitteln und eine entsprechende zeitliche Komponente mit ein. 186 Eine weitere Anforderung, die sich nicht aus dem Gesetz ergibt, aber mit dem Aufgabenbereich eines Datenschutzbeauftragten einhergeht, ist die Kommunikationsfähigkeit des Datenschutzbeauftragten, um die umfangreichen Aufgaben erfüllen zu können.178) Des Weiteren muss sichergestellt sein, dass der Datenschutzbeauftragte sowohl für den Betroffenen als auch für andere Stellen leicht erreichbar ist. Seitens der Aufsichtsbehörde wird hier eine Hotline oder auch ein Kontaktformular, welches auf der Webseite bereitgehalten wird, empfohlen. Aber auch eine nicht personalisierte E-Mail-Adresse, die dem Datenschutzbeauftragten direkt zugeht, sollte ausreichend sein. b) Konflikt mit einer anderen Tätigkeit 187 Der Datenschutzbeauftragte kann innerhalb der Organisation auch andere Aufgaben und Pflichten wahrnehmen gemäß Art. 38 Abs. 6 Satz 1 DSGVO. Entscheidend für die Benennung ist es, dass kein Interessenkonflikt in der Person des Datenschutzbeauftragten vorliegt. Ein solcher Konflikt kann vermutet werden, wenn der Datenschutzbeauftragte bei seiner Tätigkeit, sich und seine andere Tätigkeit außerhalb des Datenschutzes kontrollieren müsste. Aufgrund der absehbaren Interessenkollision ist eine Benennung des Geschäftsführers oder von jemanden aus der Geschäftsleitung zum betrieblichen Datenschutzbeauftragten ausgeschlossen. Des Weiteren sind Personen für eine ___________ 176) Vgl. Niklas/Faas, NZA 2017, 1093. 177) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 37 DSGVO Rn. 6. 178) Klug, ZD 2016, 318.
68
II. Datenschutzbeauftragter
solche Tätigkeit ungeeignet, die in ihrer Hauptfunktion als Leiter der ITAbteilung oder Personalabteilung tätig sind.179) Umstritten ist auch, inwieweit der Datenschutzbeauftragte dem Betriebs- oder Personalrat zugehörig sein darf. Ebenso bestehen Bedenken bei Mitarbeitern aus der ComplianceAbteilung. c) Interner oder externer Datenschutzbeauftragter Grundsätzlich unerheblich ist es, ob ein Unternehmen einen internen oder 188 externen Datenschutzbeauftragten benennt. Wichtig ist lediglich der Umstand, dass der benannte Datenschutzbeauftragte die bestehenden Pflichten und Aufgaben vollständig und unabhängig ausüben kann (ErwGr. 97 DSGVO). Ein externer Datenschutzbeauftragter ist jemand, der nicht Mitarbeiter des 189 Unternehmens ist und betrieblich in diesem Unternehmen nicht eingeordnet wird. Dieser fungiert als Dienstleister für die Kanzlei bzw. das jeweilige Unternehmen. Ob ein Verantwortlicher einen internen oder externen Datenschutzbeauftragten einsetzt, hängt von den jeweiligen Abwägungen der Unternehmensleitung ab. Es gibt Vor- und Nachteile auf beiden Seiten. Strittig ist hingegen ob der externe Datenschutzbeauftragte eine juristische 190 Person sein kann und mit einer Benennung der juristischen Person den Vorschriften genüge getan ist. Die DSGVO und das BDSG schließen eine solche Benennung nicht explizit aus. Allerdings deuten die Anforderungen im Art. 37 Abs. 5 DSGVO darauf hin, dass der Gesetzgeber grundsätzlich eine natürliche Person im Blick hatte.180) Auch einige Aufsichtsbehörden sehen eine Benennung einer juristischen Person zum Datenschutzbeauftragten als unzulässig an.181) Die Gegenmeinung sieht in den benannten Anforderungen kein Hindernis 191 für die Benennung einer juristischen Person als Datenschutzbeauftragter.182) Dies auch mit Verweis auf andere gesetzliche Regelungen (u. a. § 27 WPO), die ebenfalls die persönliche Zuverlässigkeit voraussetzen, diese Anforderung aber nicht nur auf natürliche Personen anwenden. Auch die Artikel-29Datenschutzgruppe hält eine Einbeziehung einer juristischen Person für möglich.183) Es wird auf einen Dienstleistungsvertrag abgestellt, der die Funktion eines Datenschutzbeauftragten regelt und der mit einer natürlichen oder auch juristischen Person geschlossen werden kann. Hierfür sei es aber zwin___________ 179) Reisener/Weiß, InsbürO 2017, 363; Kazemi, NJW 2018, 444. 180) Vgl. Kühling/Buchner-Bergt, DS-GVO/BDSG, Art. 37 DSGVO Rn. 36; Ehmann/ Selmayr-Heberlein DS-GVO, Art. 37 Rn. 43. 181) Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, FAQDatenschutz. 182) Simitis-Simitis, BDSG, § 4f. Rn. 48 ff.; Taeger/Gabel-Scheja, BDSG, § 4f Rn. 83 f.; PlathBussche, BDSG/DSGVO, Art. 37 DSGVO Rn. 3; Kazemi, NJW 2018, 444. 183) Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 14.
69
F. Aus der Praxis – Datenschutz in der Kanzlei
gend notwendig, dass jeder Beschäftigte der juristischen Person, der die Tätigkeit im Rahmen der Aufgaben eines Datenschutzbeauftragten ausführt, die in der DSGVO genannten Anforderungen erfüllt und durch die Bestimmung der DSGVO geschützt ist.184) Die DSK hat in ihrem Kurzpapier Nr. 12 in Bezug auf den Datenschutzbeauftragten auf eine Auseinandersetzung mit dieser strittigen Frage verzichtet. Es kann davon ausgegangen werden, dass eine Benennung einer juristischen Person per se zulässig ist, aber aufgrund der Erfordernisse und Anforderungen dies nicht zwingend die beste Alternative darstellt. Praxistipp: Aufgrund der aktuellen Streitfrage hinsichtlich einer Benennung einer juristischen Person und da einige der Aufsichtsbehörden eine solche Benennung als unzulässig ansehen, empfiehlt sich zurzeit die Benennung einer natürlichen Person zum Datenschutzbeauftragten.
192 Die Vorteile eines internen Datenschutzbeauftragten sind u. a. die tägliche Einbindung in die Kommunikation, die Kenntnisse der betrieblichen Abläufe, die vorhandenen Branchenkenntnisse und die Sicherheit bezüglich der Kostensituation. 193 Dahingehend liegen die Vorteile eines externen Datenschutzbeauftragten in der Nichtanwendung des besonderen Kündigungsschutzes, des sofortigen Bestehens der Fachkenntnisse sowie der Unvoreingenommenheit und Unabhängigkeit. 194 Schlussendlich muss jeder Verantwortliche für sich entscheiden und die Vorund Nachteile gegeneinander abwägen. 3. Welche Aufgaben hat der Datenschutzbeauftragte? 195 Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 Abs. 1 DSGVO benannt. Bei der Aufzählung handelt es sich um Aufgaben, die der Datenschutzbeauftragte mindestens zu erfüllen hat. Eine ähnliche Aufzählung findet sich im § 7 BDSG für den Datenschutzbeauftragten öffentlicher Stellen wieder. Bei der Aufgabenerfüllung hat der Datenschutzbeauftragte dem Risiko, welches mit einer Verarbeitung von personenbezogenen Daten unter Berücksichtigung der jeweiligen Umstände und Zwecke einhergeht, entsprechend Rechnung zu tragen (Art. 39 Abs. 2 DSGVO). Die Funktion des Datenschutzbeauftragten sollte als Dienstleister bzw. Berater des Verantwortlichen verstanden werden.
___________ 184) Artikel-29-Datenschutzgruppe, WP 243 rev.01, S. 14.
70
II. Datenschutzbeauftragter
a) Unterrichtung und Beratung der verantwortlichen Stelle und der Beschäftigten Eine der wichtigsten Aufgabe des Datenschutzbeauftragten ist es, den Ver- 196 antwortlichen und die Beschäftigten des Verantwortlichen auf Probleme bei der Verarbeitung von personenbezogenen Daten hinzuweisen. Dabei soll der Datenschutzbeauftragte über die datenschutzrechtlichen Pflichten unterrichten, über deren Einhaltung beraten und bei der Lösung von Problemen helfen. Diese Unterstützung bezieht sich auf alle Vorschriften zum Thema Datenschutz185) und ist nicht beschränkt auf die Vorschriften der DSGVO bzw. des BDSG. Zum Teil müssen die einzelnen Landesdatenschutzgesetze beachtet werden, z. B. bei einem Notar, der als öffentliche Stelle angesehen wird. Praxistipp: Um diese Aufgabe verantwortlich erfüllen zu können bedarf es des entsprechenden Fachwissens und insbesondere der Aktualität dieses Fachwissens. Daher sollten Sie schon aus eigenem Interesse versuchen, ihrem Datenschutzbeauftragten eine entsprechende Auffrischung und Weiterbildung regelmäßig zu ermöglichen. Das Datenschutzrecht ist in ständigem Wandel. Die EDV in technologischer Hinsicht noch viel mehr.
Eine Unterrichtung findet in der Regel über Mitteilungen und Erklärungen 197 zu den einschlägigen Datenschutzvorschriften gegenüber dem Verantwortlichen und seinen Mitarbeitern statt. Diese Unterrichtung sollte anlasslos vorgenommen werden und bestenfalls unverzüglich bei Änderungen des Datenschutzrechts, die den Tätigkeitsbereich des Verantwortlichen betreffen. Die Beratung durch den Datenschutzbeauftragten erfolgt meist aufgrund 198 bestimmter Sachverhalte und ergibt sich aus dem aktuellen Tagesgeschäft. Dabei sollte der Datenschutzbeauftragte dem Verantwortlichen mögliche Handlungsalternativen und ggf. Konsequenzen aufzeigen können. Auch ist es sinnvoll, Verbesserungsvorschläge und Lösungsansätze bei Besprechungen mit dem Verantwortlichen anzubieten. Wie bereits im ErwGr. 97 der DSGVO angeführt, kann der Datenschutzbeauftragte im Rahmen der Beratung dem Verantwortlichen für die Durchführung von Maßnahmen (sofern die Verarbeitung von personenbezogenen Daten betroffen ist) und zur Einhaltung entsprechender Vorschriften der DSGVO Hinweise geben. b) Überwachung der Einhaltung von Datenschutzvorschriften Dem Datenschutzbeauftragten wird in Art. 39 Abs. 1 lit. b) DSGVO die 199 Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. Mitgliedstaaten hinsichtlich der Verarbeitungsvorgänge beim Verantwortli___________ 185) Eventuell sind Landesdatenschutzgesetze zu beachten, wenn es sich beim Verantwortlichen um einen Notar handelt. Weiterhin sind andere Datenschutzvorschriften z. B. aus dem TMG, TKG, SGB etc. zu beachten. Auch werden mit Inkrafttreten der ePrivacyVerordnung, voraussichtlich im Jahr 2019, neue Datenschutzvorschriften hinzutreten.
71
F. Aus der Praxis – Datenschutz in der Kanzlei
chen auferlegt. Allerdings ist in Art. 24 Abs. 1 DSGVO sehr deutlich die Pflicht des Verantwortlichen verankert, die Regeln des Datenschutzes bei der Verarbeitung von personenbezogenen Daten sicherzustellen und die Einhaltung dieser Regeln nachweisbar darzulegen. Somit bleibt der Verantwortliche weiterhin verantwortlich für die Einhaltung des geforderten Schutzes der personenbezogenen Daten. Diese Pflicht kann auch nicht auf den Datenschutzbeauftragten übertragen werden, lediglich können ihm entsprechende Aufgaben zugewiesen werden. 200 Teilweise sieht die Literatur in der Aufgabe der Überwachung ein hohes Haftungsrisiko für den Datenschutzbeauftragten.186) Der Begriff der „Überwachung“ wurde bereits im BDSG a. F. verwendet und man hat auch dort keine Unterlassungshaftung angenommen, daher sei nicht ersichtlich, warum für die DSGVO ein anderer Maßstab gelten soll.187) Dem Datenschutzbeauftragten ist zwar die Aufgabe der Überwachung der Einhaltung der Datenschutzvorschriften zugetragen, allerdings fehlt es ihm in der Regel an der entsprechenden Weisungsbefugnis, um Datenschutzverstöße zu unterbinden. 201 Hinsichtlich der Haftung ist aber zwischen externen und internen Datenschutzbeauftragten zu unterscheiden. Der Datenschutzbeauftragte haftet nicht per se für jeden Datenschutzverstoß des Verantwortlichen. Der interne Datenschutzbeauftragte haftet dem Verantwortlichen gegenüber wie jeder andere Arbeitnehmer. Der externe Datenschutzbeauftragte haftet hingegen nach den allgemeinen zivilrechtlichen Grundsätzen, wenn er schuldhaft seine Pflicht verletzt. 202 Um der Überwachungsaufgabe gerecht zu werden empfiehlt es sich für den Datenschutzbeauftragten, in regelmäßigen Abständen Kontrollen der Verarbeitungstätigkeiten durchzuführen. Stellt er bei einer dieser Kontrollen fest, dass die Einhaltung der Datenschutzvorschriften nicht sichergestellt ist oder gar nicht beachtet wird, sollte er umgehend Maßnahmen zur Behebung dieser Problematik mit dem Verantwortlichen besprechen und nach Bedarf einleiten. 203 Auch wenn in dieser Aufgabe des Datenschutzbeauftragten nur entfernt ein Haftungsrisiko begründet liegt, sollte er dennoch auf eine entsprechende Dokumentation seiner Tätigkeit nicht verzichten. Somit kann er ggf. auch gegenüber der Aufsichtsbehörde nachweisen, dass er seine Aufgaben ordnungsgemäß erfüllt hat. c) Durchführung der Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO 204 Bestimmte Verarbeitungstätigkeiten bedürfen vor der Einführung, Implementierung bzw. schlichtweg der Aufnahme der Verarbeitung in der Insolvenzkanzlei, aber ggf. auch in dem schuldnerischen Betrieb einer Datenschutz___________ 186) Marschall/Müller, ZD 2016, 418. 187) Vgl. Lantwin, ArbRAktuell 2017, 511; Niklas/Faas, NZA 2017, 1093.
72
II. Datenschutzbeauftragter
folgeabschätzung. Eine solche soll schlichtweg die Risiken für die Betroffenen beurteilen. Exkurs:
205
Eine solche Risikoabwägung im Zusammenhang mit Daten ist dem Datenschutzrecht eigentlich nicht neu. Bereits mit einer Vorabkontrolle nach § 4d Abs. 5 BDSG a. F. war eine dahingehende Vorab-Verpflichtung bereits normiert. Sie ist letztlich Ausprägung der Grundsätze „Privacy by Design“ bzw. „Pri- 206 vacy by Default“.188) Privacy by Design lässt sich verkürzt mit „Datenschutz durch Technik“ um- 207 schreiben: Der Datenschutz lässt sich am „einfachsten“ einhalten, wenn schon bei – genauer ab – Erarbeitung eines Datenverarbeitungsvorgangs die entsprechende Technik eingeführt bzw. verwendet wird (zu den TOM siehe Rn. 245 ff.). Unter Privacy by Default versteht man verkürzt, dass Betroffene oder Nutzer 208 durch entsprechende (Vor-)Einstellungen geschützt werden, insbesondere technisch nicht so versierte Personen. Auch in Art. 39 Abs. 1 lit. c) DSGVO wird wieder, wenn auch indirekt, die 209 Pflicht zur Einhaltung der Datenschutzvorschriften dem Verantwortlichen zugewiesen. Die hier benannte Aufgabe des Datenschutzbeauftragten sieht vor, dass dieser die Beratung im Zusammenhang mit der Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO zu erbringen hat – dies aber nur auf Anfrage. Zugleich ist der Datenschutzbeauftragte im Rahmen seiner Beratungstätig- 210 keit für die Überwachung der Durchführung der Datenschutzfolgeabschätzung zuständig. d) Zusammenarbeit mit der Aufsichtsbehörde Der Datenschutzbeauftragte soll als Verbindungsglied zwischen Aufsichts- 211 behörde und Verantwortlichem dienen. Dies war er zumeist bereits in der Vergangenheit, indem sich die Aufsichtsbehörde auch vor Inkrafttreten der DSGVO meist direkt an den Datenschutzbeauftragten mit Fragen zur Verarbeitung gewandt hat.189) In der Funktion als Datenschutzbeauftragter soll er Ansprechpartner und Anlaufstelle der Aufsichtsbehörde sein.190) Dies kann aber nicht dazu führen, dass der Datenschutzbeauftragte zu einer sofortigen Meldung an die Aufsichtsbehörde verpflichtet ist. Vielmehr gebietet ihm be___________ 188) Ausführlich dazu Paal/Pauly-Martini, DS-GVO/BDSG, Art. 24 DSGVO Rn. 5; Praxisbeispiele finden sich im Übrigen bei Schmitz/v. Dall´Armi, ZD-Sonderausgabe 2017, 27, 30 ff. 189) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 39 DSGVO Rn. 8. 190) Plath-Bussche, BDSG/DSGVO, Art. 39 DSGVO Rn. 5.
73
F. Aus der Praxis – Datenschutz in der Kanzlei
reits die entsprechende Treue gegenüber dem Verantwortlichen, alle notwendigen internen Maßnahmen zu ergreifen, welche darauf hinwirken, die Einhaltung der Datenschutzvorschriften zu gewährleisten bzw. etwaige Verstöße zu beseitigen. e) Schulung der Mitarbeiter 212 Eine weitere Aufgabe (und nicht weniger wichtig) ist die Schulung und Sensibilisierung von Mitarbeitern, die an den Verarbeitungsvorgänge beteiligt sind, welche sich aus Art. 39 Abs. 1 lit. b) DSGVO ergibt. Ziel dieser Aufgabe ist es, das Problembewusstsein der an den Verarbeitungsvorgängen beteiligten Mitarbeiter zu wecken und diese bezüglich der einzelnen Risiken aufzuklären und zu schulen. Auch sollen die Mitarbeiter im Rahmen dieser Schulung über ihre Pflichten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten informiert werden. Praxistipp: Bei den Schulungen muss es sich nicht zwingend um Präsenzschulungen handeln. Es ist auch möglich die Sensibilisierung bzw. Information der Mitarbeiter über das Intranet oder aber auch über entsprechende Informationsblätter vorzunehmen. Im Rahmen von Präsenzschulungen sollte mit aktuellen Beispielen gearbeitet werden, bestenfalls solchen, die die jeweiligen Mitarbeiter direkt betreffen, um die Aufmerksamkeit hochzuhalten. Es ist anzuraten, die Schulungen nach Abteilungen oder Zuständigkeiten zu unterteilen, insbesondere wenn die Schulungen entsprechend thematisch eingeteilt sind.
f) Führen des Verzeichnisses von Verarbeitungstätigkeiten 213 Das Führen des Verzeichnisses von Verarbeitungstätigkeit (ehemals auch als Verfahrensverzeichnis bezeichnet, siehe Rn. 216 ff.) und die Auskunft aus diesem, was nach dem BDSG a. F.191) eine Aufgabe des Datenschutzbeauftragten darstellte, ist nunmehr gemäß Art. 30 DSGVO explizit die Aufgabe des Verantwortlichen bzw. des Auftragsverarbeiters. 214 Damit ist dem Datenschutzbeauftragten vom Gesetz eine Aufgabe abgenommen worden, zumindest theoretisch. In der Praxis wird diese Aufgabe sehr wahrscheinlich häufig auf den Datenschutzbeauftragten delegiert, insbesondere da dieser diese Aufgabe nach dem BDSG a. F. bereits vollumfänglich erfüllt hat. 4. Sanktion bei Nichtbeachtung 215 Nimmt der Verantwortliche keine Benennung eines Datenschutzbeauftragten vor, trotz einer bestehenden Verpflichtung, findet der Sanktionsrahmen ___________ 191) Eine in dem Zusammenhang sehr sinnvolle Synopse der Vorschriften zum Verfahrensverzeichnis findet sich in ZD Fokus XIII, ZD 7/2018.
74
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
des Art. 83 Abs. 4 DSGVO Anwendung. Dieser sieht Bußgelder von bis zu 10 Millionen € bzw. 2 % des weltweiten Jahresumsatzes des Vorjahres vor (zu den einzelnen Bußgeldern siehe Anhang). III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO Das Prinzip der Dokumentation der Verarbeitungstätigkeiten in einem Ver- 216 zeichnis ist bereits aus dem BDSG a. F. (§§ 4e, 4g Abs. 2, 2a BDSG a. F.) bekannt. Aber nunmehr kann ein Verstoß gegen die Vorhalteverpflichtung mit einem Bußgeld gemäß Art. 83 Abs. 4 lit. a) DSGVO bestraft werden. Eine Erleichterung bringt die Verordnung dergestalt mit, dass nicht wie bisher Teile des Verzeichnisses von Verarbeitungstätigkeiten jedermann zugänglich gemacht werden müssen. Das Verzeichnis muss derzeit nur der Aufsichtsbehörde auf Verlangen vorgelegt werden. Die Pflicht zum Führen des Verzeichnisses von Verarbeitungstätigkeiten besteht für den Verantwortlichen und ggf. für den Auftragsverarbeiter. Vormals als „Übersicht“ über Verarbeitungsvorgänge des Verantwortlichen be- 217 zeichnet, setzte sich im allgemeinen Sprachgebrauch und teilweise in der Literatur192) die Bezeichnung „Verfahrensverzeichnis“ durch. Auch nutzten die Landesdatenschutzgesetze zum Teil diesen Begriff (z. B. § 6 HDSG, § 8 DSG NRW, § 7 LDSG-SH), sodass sich der Begriff „Verfahrensverzeichnis“ weiter verbreitete, obwohl diese Bezeichnung im BDSG a. F. nie Verwendung fand. Insbesondere für den Insolvenzverwalter und seine Mitarbeiter führt die 218 Nutzung des Begriffs „Verfahrensverzeichnis“ häufig zu Verwirrungen. Es ist naheliegend, dass in diesem Bereich die Bezeichnung „Verfahrensverzeichnis“ missverstanden wird und als Übersicht aller Insolvenzverfahren interpretiert wird. Dies ist natürlich nicht der Fall. Das Verzeichnis soll alle Verarbeitungstätigkeiten, die mit der Verarbeitung von personenbezogenen Daten einhergehen, auflisten und entsprechend Art. 30 Abs. 1 DSGVO Angaben zu den jeweiligen Verarbeitungstätigkeiten beinhalten. 1. Dokumentation des Umgangs mit personenbezogenen Daten In dem Verzeichnis hat der Verantwortliche den Umgang mit personenbe- 219 zogenen Daten zu beschreiben und zu dokumentieren. Dabei werden die eigenen Prozesse und Arbeitsabläufe bezüglich der Verarbeitung personenbezogener Daten geprüft und ausführlich beschrieben. Die Beschreibung und Dokumentation betrifft alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten erfasst, gespeichert, ausgewertet oder anderweitig bearbeitet werden. Die DSGVO fasst sämtliche Vorgänge unter dem Begriff „Verarbeitung“ zusammen. ___________ 192) Vgl. von Schenck/Mueller-Stöfen, GWR 2017, 173; Gola/Schomerus-Gola/Klug/Körffer, BDSG, § 4g Rn. 23 – 25a.
75
F. Aus der Praxis – Datenschutz in der Kanzlei
220 Das Verzeichnis soll u. a. der Aufsichtsbehörde die Möglichkeit geben, zunächst aufgrund der Dokumentation zu prüfen, ob die jeweiligen Verarbeitungen rechtmäßig sind und den Grundsätzen des Datenschutzrechts folgen. Das Verzeichnis ist ebenso Teil des in der DSGVO geforderten Datenschutzmanagementsystems und stellt sogleich für den Verantwortlichen die Möglichkeit dar, Anhaltspunkte dafür zu liefern, dass die datenschutzrechtlichen Pflichten eingehalten werden. 221 Die Dokumentation der Prozesse, in denen personenbezogene Daten verarbeitet werden, soll zugleich dem Verantwortlichen helfen, einen besseren Überblick über die einzelnen Verarbeitungstätigkeiten zu erlangen und aufgrund der Informationen, die in diesem Verzeichnis hinterlegt werden, z. B. auf ein Auskunftsverlangen eines Betroffenen gemäß Art. 15 DSGVO leichter reagieren zu können (siehe Rn. 469 ff.). Da die Informationen wie, wann und wozu bestimmte Daten verarbeitet werden, dem Verzeichnis entnehmbar sind, ist eine Beantwortung von Anfragen Betroffener, sofern diese erfolgen muss, schnell und einfacher erstellbar. 222 Exkurs: Im Zusammenhang mit einem Auskunftsverlangen eines Betroffenen muss man sich in der Insolvenzkanzlei immer auch § 43 Abs. 1 und 2 BDSG 2018 vor Augen halten. Beispielhaft sei hier der § 30 BDSG erwähnt, der den Datenschutz bei Verbraucherkrediten regelt. Wird ein Auskunftsverlangen entgegen § 30 Abs. 1 BDSG 2018 nicht richtig behandelt, kann diese Ordnungswidrigkeit mit bis zu 50.000,– € Bußgeld sanktioniert werden (§ 43 Abs. 1 Nr. 1 BDSG 2018). 223 Zur Form ist in Art. 30 Abs. 3 DSGVO vorgeschrieben, dass das Verzeichnis in Schriftform zu führen ist, aber auch in einem elektronischen Format erstellt werden kann. Die Möglichkeit der Erstellung des Verzeichnisses auch in elektronischer Form soll, wie auch in anderen Bereichen des Datenschutzes (ErwGr. 32 Satz 1, Art. 12 Abs. 1 Satz 2 DSGVO), den Bürokratieaufwand nicht unangemessen erhöhen.193) Praxistipp: Es ist anzuraten, das Verzeichnis elektronisch zu erstellen. Dabei kann auch auf das bereits bestehende Verzeichnis der Verarbeitungstätigkeiten, welche auf Grundlage des BDSG a. F. erstellt wurde, zurückgegriffen und dieses aktualisiert werden.
224 Da die Pflicht zum Führen dieses Verzeichnisses auch die ständige Aktualisierung beinhaltet, sind Änderungen in den Verarbeitungstätigkeiten leichter in das Verzeichnis einzuarbeiten. Auch ergeben sich häufig aufgrund der technischen Weiterentwicklung Änderungen, die ebenso im Verzeichnis vermerkt werden müssen. ___________ 193) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 24.
76
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
Dabei sollte darauf geachtet werden, dass mit verschiedenen Versionen gear- 225 beitet wird, um die entsprechenden Änderungen nachvollziehen zu können und ggf. bei Anfrage der Aufsichtsbehörde eine zeitliche Abfolge der Verarbeitungstätigkeiten besser darstellen zu können. 2. Öffentliches und internes Verzeichnis bis zum 25. Mai 2018 Bis zum Inkrafttreten der DSGVO und dem neuen BDSG zum 25.5.2018 226 war der Verantwortliche gehalten, zwei Verzeichnisse zu erstellen und dem Datenschutzbeauftragten zur Verfügung zu stellen, da ihm die Aufgabe zukam, die Verzeichnisse zu führen. Dabei handelte es sich zum einen um das sog. „interne Verzeichnis“, welches sämtliche Angaben enthielt und dem Einsichtsrecht der Aufsichtsbehörde unterlag. Zum anderen bedurfte es eines zweiten Verzeichnisses, des sog. „öffentlichen Verzeichnisses“, auch „Jedermann-Verzeichnis“ genannt. Mit dem öffentlichen Verzeichnis sollte dem datenschutzrechtlichen Grundsatz der Transparenz der Verarbeitungstätigkeiten Ausdruck verliehen werden. So war der Datenschutzbeauftragte gemäß § 4g Abs. 2 Satz 2 BDSG a. F. gehalten, dieses öffentliche Verzeichnis auf Antrag jedermann in geeigneter Weise verfügbar zu machen. Dieses grundsätzliche Einsichtsrecht führte zu der Bezeichnung „Jedermann-Verzeichnis“. Die Verzeichnisse unterschieden sich insbesondere hinsichtlich der Angaben 227 zu den Maßnahmen, die ergriffen wurden, um die personenbezogenen Daten zu schützen und die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Die technischen und organisatorischen Maßnahmen, die im § 9 BDSG a. F. geregelt waren, mussten nicht „jedermann“ offengelegt werden. Diese Einschränkung sollte das Geheimhaltungsinteresse der Unternehmen bewahren.194) 3. Kein öffentliches Verzeichnis (mehr) seit 25. Mai 2018 Ein öffentliches Verzeichnis, welches der Verantwortliche zur Einsichtnah- 228 me durch jeden vorhalten muss, sieht die DSGVO nicht mehr vor. Ein Verzeichnis von Verarbeitungstätigkeiten, welches ggf. der Aufsichtsbehörde im Rahmen der Zusammenarbeit und auf Anfrage vorgelegt werden muss, ist weiterhin zu führen. Es besteht aber keine Herausgabepflicht an jedermann oder eine Veröffentlichungspflicht.195) Praxistipp: Es empfiehlt sich, die nach den alten Regeln erstellten Verzeichnisse weiterhin aufzubewahren. Diese müssen der Aufsichtsbehörde ebenfalls auf Anfrage zur Verfügung gestellt werden, z. B., wenn sie Datenschutzvorgänge aus der Zeit von vor dem 25.5.2018 prüft.196)
___________ 194) Taeger/Gabel-Scheja, BDSG, § 4 g Rn. 48. 195) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 4. 196) Vgl. DSK-Kurzpapier Nr. 1, S. 1 – 2.
77
F. Aus der Praxis – Datenschutz in der Kanzlei
4. Ausnahmen von der Verpflichtung zum Führen eines Verzeichnisses 229 Die Verpflichtung zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten kann auch entfallen. Dies allerdings nur unter sehr engen Voraussetzungen und diese Ausnahme wird den Großteil der Unternehmen nicht tangieren. Im Art. 30 Abs. 5 DSGVO werden kleine und mittlere Unternehmen von dieser Verpflichtung per se ausgenommen. Diese Ausnahme bezieht sich nur auf Unternehmen und Einrichtungen, unabhängig von der Rechtsform.197) Damit soll der besonderen Situation von Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung getragen werden (ErwGr. 13 DSGVO). 230 Ausschlaggebend ist die Anzahl der Mitarbeiter. Demnach sind Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, von der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ausgenommen, sofern diese bestimmte Voraussetzungen nicht erfüllen. Die Ausnahme von der Verpflichtung zur Führung eines Verzeichnisses greift nicht, wenn der Verantwortliche eine Verarbeitung von personenbezogenen Daten durchführt und einer der folgenden Sachverhalte vorliegt: x
Bestehendes Risiko für die Rechte und Freiheiten des Betroffenen.
x
Die Verarbeitung findet nicht nur gelegentlich statt.
x
Es werden besondere Datenkategorien gemäß Artt. 9 Abs. 1, 10 DSGVO verarbeitet.
231 Trifft einer dieser Sachverhalte auf das Unternehmen zu, besteht weiterhin die Verpflichtung zum Führen eines Verzeichnisses. 232 Insbesondere hinsichtlich des bestehenden Risikos für die Rechte und Freiheiten der Betroffenen, wird es kaum ein Unternehmen geben, auf das diese Ausnahmeregelung anwendbar ist. Im Rahmen der wörtlichen Auslegung dieser Regelung und unter Beachtung der sonstigen datenschutzrechtlichen Grundsätze stellt sich das Problem, dass die datenschutzrechtlichen Vorschriften grundsätzlich davon ausgehen, dass in jeder Verarbeitung von personenbezogenen Daten ein Risiko liegt. Eine Verarbeitung von personenbezogenen Daten ohne jegliches Risiko gibt es nicht198) und kann es nach der h. M. auch nicht geben. 233 Die DSK führt zu dieser Problematik in Ihrem Kurzpapier aus, dass die Formulierung in der DSGVO „nicht zu einem Risiko“ nach Sinn und Zweck der Vorschrift als „nur zu einem geringen Risiko“ zu verstehen ist.199) Eine ent___________ 197) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 27. 198) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 32; DSK-Kurzpapier Nr. 18, S. 2. 199) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 32; DSK-Kurzpapier Nr. 18, S. 2.
78
III. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
sprechende Abwägung sollte immer in Bezug auf eine Risikobeurteilung i. S. d. DSGVO erfolgen. Aber auch der weitere genannte Sachverhalt, die gelegentliche Verarbeitung, 234 trägt nicht zur Klarheit bei. Insbesondere da die DSGVO den Begriff „gelegentlich“ nicht näher definiert. Nur die Gegenüberstellung mit dem sonst benutzten Begriff „regelmäßig“ lässt darauf schließen, dass hier eine Abgrenzung zur Haupttätigkeit des Verantwortlichen erfolgen sollte. Allerdings liegt die Unterscheidung zwischen „regelmäßig“ und „gelegentlich“ dem Wortsinn nach nicht in der Art der Tätigkeit, sondern in der zeitlichen Komponente, also der Häufigkeit der ausgeübten Tätigkeit.200) Daher ist davon auszugehen, dass nur ein verschwindend kleiner Teil von 235 Unternehmen und Einrichtungen unter diese Ausnahme fallen. Sicherheitshalber sollte die zuständige Aufsichtsbehörde kontaktiert werden für den Fall, dass der Verantwortliche davon ausgeht, dass diese Ausnahmeregelung auf sein Unternehmen zutrifft. 5. Pflicht des Verantwortlichen und des Auftragsverarbeiters Jeder Verantwortliche und ggf. sein Vertreter ist gemäß Art. 30 Abs. 1 236 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet, sofern die Verarbeitungstätigkeiten in seine Zuständigkeit fallen. Für den Auftragsverarbeiter und ggf. seinen Vertreter ergibt sich die Verpflichtung aus Art. 30 Abs. 2 DSGVO zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten im Rahmen der Verarbeitung von personenbezogenen Daten. Die Bezeichnung des Vertreters bezieht sich nicht auf den Datenschutzbeauftragten. Der Begriff „Vertreter“ ist in Art. 4 Nr. 17 DSGVO definiert und bezeich- 237 net eine natürliche oder juristische Person, die in der Union niedergelassen ist und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die datenschutzrechtlichen Pflichten vertritt und entsprechen des Art. 27 DSGVO schriftlich benannt wurde. Einen solchen Vertreter benötigen insbesondere Verantwortliche oder Auftragsverarbeiter, die keine eigene Niederlassung im Anwendungsbereich der DSGVO innehaben, aber deren Verarbeitungstätigkeiten sich auf Betroffene innerhalb der Union auswirken (ErwGr. 80 DSGVO). 6. Einsichtsrecht der Aufsichtsbehörden Die Befugnisse der Aufsichtsbehörden sind sehr umfangreich und ergeben 238 sich zum einen aus Art. 58 DSGVO und unter Nutzung der Konkretisierungsklausel in Art. 58 Abs. 6 DSGVO aus § 16 BDSG. Das bestehende Ein___________ 200) So auch Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 34; Artikel-29Datenschutzgruppe, WP 243 rev.01, S. 10.
79
F. Aus der Praxis – Datenschutz in der Kanzlei
sichtsrecht der zuständige Aufsichtsbehörde in das Verzeichnis ergibt sich wiederum aus Art. 30 Abs. 4 DSGVO, welcher als lex specialis im Verhältnis zum Art 58 Abs. 1 lit. a) DSGVO anzusehen ist. 239 Auf Anfrage der Behörde hat der Verantwortliche das Verzeichnis zur Verfügung zu stellen. Mit dem Einsichtsrecht oder der Zurverfügungstellung soll aufseiten der Aufsichtsbehörde eine wirksame Rechtmäßigkeitskontrolle ermöglicht werden.201) Zugleich gestattet die Sichtung des Verzeichnisses der Aufsichtsbehörde vorab eine Datenschutzprüfung gemäß Art. 58 Abs. 1 lit. b) DSGVO. Der explizite Hinweis in Art. 30 Abs. 4 DSGVO, dass eine Zurverfügungstellung nur „auf Anfrage“ erfolgt, führt dazu, dass eine Vorlagepflicht des Verantwortlichen bzw. des Auftragsverarbeiters besteht, aber keine grundsätzliche Meldepflicht. 7. Inhalt des Verzeichnisses von Verarbeitungstätigkeiten 240 Die Mindestinhalte des Verzeichnisses werden in Art. 30 Abs. 1 DSGVO beschrieben. Diese Mindestinhalte dienen u. a. dazu, dass sich die Aufsichtsbehörde ein entsprechendes Bild hinsichtlich der Verarbeitungstätigkeiten machen kann. Die Aufsichtsbehörde soll in die Lage versetzt werden zu erkennen wo, wie und warum der Verantwortliche personenbezogene Daten verarbeitet, um so ggf. gezielt Prüfungsmaßstäbe und Nachfragen festlegen zu können. Ebenso sollen die Angaben dem Verantwortlichen helfen, die Verarbeitungstätigkeiten ständig kontrollieren zu können, aber auch aufgrund der Angaben im Verzeichnis leicht seine Informationspflichten gemäß Art. 12 ff. DSGVO erfüllen zu können (im Einzelnen siehe Rn. 401 ff.). 241 Die nachfolgenden Mindestinhalte ähneln den Angaben, die im Rahmen der Erfüllung der Informationspflichten des Verantwortlichen bei der erstmaligen Datenverarbeitung dem Betroffenen zur Verfügung gestellt werden müssen. Auch korrespondiert der Katalog der Mindestinhalte mit den Auskunftsrechten gemäß Art. 15 DSGVO.202) 242 Folgende Angaben sind in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen: x
Name und Kontaktdaten des Verantwortlichen, des Vertreters und, wenn vorhanden, des Datenschutzbeauftragten.
x
Der Zweck der Verarbeitung.
x
Beschreibung der Kategorien Betroffener und personenbezogene Daten.
x
Kategorien von Empfängern, die Zugang zu den Daten erhalten.
x
Übermittlung an ein Drittland oder eine internationale Organisation.
___________ 201) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 25. 202) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 6.
80
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
x
Vorgesehene Löschungsfristen.
x
Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO.
Die Inhalte hinsichtlich der Löschungsfristen und die Beschreibung der 243 technischen und organisatorischen Maßnahmen erfahren eine geringe Abstufung durch die Aufnahme der Wörter „wenn möglich“ (Art. 30 Abs. 1 Satz 2 lit. f) und g) DSGVO). Damit beschränkt der Gesetzgeber die Verpflichtung zur Angabe dieser Inhalte auf die Umstände, die keinen unzumutbaren Aufwand für den Verantwortlichen darstellen, und darauf, dass diese Angaben per se vernünftigerweise umsetzbar sind.203) Da nach dem Dafürhalten der Autoren eine Beschreibung, insbesondere eine wie gefordert allgemeine Beschreibung der technischen und organisatorischen Maßnahmen stets möglich sein sollte, kann dieses Merkmal nur i. S. v. „soweit angemessen“ verstanden werden.204) 8. Sanktion bei Nicht- oder Falscherstellung Unterlässt der Verantwortliche das Führen eines Verzeichnisses der Verar- 244 beitungstätigkeiten trotz einer bestehenden Verpflichtung, findet der Sanktionsrahmen des Art. 83 Abs. 4 DSGVO Anwendung. Demnach kann die Aufsichtsbehörde hohe Bußgelder verhängen (zu den einzelnen Bußgeldern siehe Anhang). IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO Die technischen und organisatorischen Maßnahmen (kurz: TOM), wie sie in 245 Art. 32 DSGVO unter Berücksichtigung des aktuellen Stands der Technik gefordert werden, betreffen die Datensicherheit und meinen die Vorkehrungen, die der Verantwortliche oder auch der Auftragsverarbeiter treffen muss, um mithilfe der Datensicherheit den Datenschutz zu gewährleisten. Diese werden ebenso dem Verzeichnis der Verarbeitungstätigkeiten als Anhang beigefügt, um das Schutzniveau der einzelnen Verarbeitungsvorgänge nachweisen zu können. Es besteht eine Wechselwirkung zwischen den Begriffen Datenschutz und 246 Datensicherheit. Beides ist nur in Verbindung möglich.205) Ohne entsprechende Vorkehrungen bei der Datensicherheit, welche der Verantwortliche zu treffen hat, kann dieser naturgemäß die Unversehrtheit der personenbezogenen Daten und die Sicherheit der Verarbeitung nicht gewährleisten. Gemäß Art. 32 Abs. 1 DSGVO hat der Verantwortliche bei der Implementierung der Maßnahmen den Stand der Technik zu beachten, die Art und ___________ 203) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 30 DSGVO Rn. 18c. 204) Plath-Plath, BDSG/DSGVO, Art. 30 Rn. 2. 205) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 1.
81
F. Aus der Praxis – Datenschutz in der Kanzlei
den Umfang sowie den Zweck der Verarbeitung und muss im Rahmen einer Risikoeinschätzung ein mögliches bestehendes Risiko für die Betroffenen und deren Rechte und Freiheiten bestimmen. Er hat ein angemessenes Schutzniveau der personenbezogenen Daten und der Verarbeitungen zu gewährleisten, kann bei seinen Überlegungen aber auch die entsprechenden Implementierungskosten für diese Maßnahmen berücksichtigen. Ist das Risiko der Betroffenen entsprechend gering einzuschätzen und gelangen innerhalb der Risikoeinschätzung Verantwortliche zu der Erkenntnis, dass die bereits ergriffenen Maßnahmen ausreichend sind, bedarf es ggf. keiner zusätzlichen Investitionen. Natürlich ist eine solche Risikoeinschätzung regelmäßig zu wiederholen, da sich der Stand der Technik jederzeit durch Innovation ändern kann und somit eine Anpassung der Sicherheitsmaßnahmen erforderlich ist. 247 Die Datenschutzregelungen bleiben in ihren Vorgaben im Art. 32 Abs. 1 DSGVO überwiegend abstrakt und schaffen damit Flexibilität bei den Maßnahmen, die der Verantwortliche zu ergreifen hat. Gleichzeitig setzen die Regelungen auf der anderen Seite auf eine eigenverantwortliche Einschätzung des Verantwortlichen für die erforderlichen Maßnahmen.206) Auch handelt es sich bei den genannten Maßnahmen um Mindestvorgaben,207) die zwingend ergriffen werden müssen. Darüber hinaus kann immer gegangen werden. 1. Schutzmaßnahmen nach dem Stand der Technik 248 Die Bezugnahme in der DSGVO auf den Stand der Technik erfolgt bereits in Art. 25 DSGVO. Für die Verantwortlichen bzw. den Auftragsverarbeiter bedeutet dies, dass sie ihre ergriffenen Maßnahmen an dem technisch Machbaren messen lassen müssen, was zu diesem Zeitpunkt auch tatsächlich realisierbar ist208) unter Beachtung der Implementierungskosten. 249 Der Verantwortliche ist nicht verpflichtet, jede Neuerung oder Innovation sofort umzusetzen, sondern sollte die Maßnahmen umsetzen, die ausreichend erprobt und auch entsprechend zur Verfügung stehen. Im Umkehrschluss darf er jedoch nicht auf eine veraltete und längst überholte Technik, deren Sicherheitslücken bereits hinlänglich bekannt sind, als Sicherheitsmaßnahme zurückgreifen. 250 Des Weiteren ergibt sich aus dem Begriff „Stand der Technik“ auch eine Verpflichtung, die Maßnahmen in regelmäßigen Abständen zu kontrollieren. Das Bundesamt für Sicherheit und Formationstechnik (BSI) hat IT-Grundschutzkataloge herausgegeben, welche Anhaltspunkte dafür liefern, was aktueller Stand der Technik ist.
___________ 206) Plath-Grages, BDSG/DSGVO, Art. 32 Rn. 2. 207) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 1. 208) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 25 DSGVO Rn. 39d.
82
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO Praxistipp: Es ist anzuraten, bestenfalls im Rahmen der regelmäßigen Überprüfung des Verzeichnisses von Verarbeitungstätigkeiten, zeitgleich mit dem IT-Zuständigen neue Techniken und Innovationen zu besprechen, die Erkenntnisse im Rahmen der Risikoabwägung hinsichtlich der zu ergreifenden Maßnahmen mit einfließen zu lassen und ggf. eine entsprechende Anpassung vorzunehmen. In jedem Fall sollten diese Gespräche und Überlegungen dokumentiert werden, um im Nachhinein der Aufsichtsbehörde belegen zu können, dass eine Aktualisierung zumindest in regelmäßigen Abständen geprüft wird.
2. Ergreifung von Sicherheitsmaßnahmen Die Maßnahmen, die ergriffen werden sollen und müssen, richten sich an der 251 Art der Verarbeitung und insbesondere an der Kategorie der verarbeiteten personenbezogenen Daten aus. Der Verantwortliche und Auftragsverarbeiter hat im Rahmen einer Gesamtbetrachtung festzulegen, welche TOM ergriffen werden müssen, um die vorliegenden personenbezogenen Daten angemessen zu schützen. Dies unter Berücksichtigung der genannten Faktoren und unter Einbeziehung des Stands der Technik und des Kostenaufwands, der betrieben werden muss. Die zu ergreifenden Maßnahmen sind dabei nicht rein technischer Natur, sondern betreffen z. B. auch bauliche Maßnahmen. Sie können sich als relativ trivial darstellen und sind des Weiteren zum Teil schnell umsetzbar. Beispiel: Die Bezeichnung des Serverraums ist nicht nötig, da die Person, die zu diesem Raum Zutritt haben sollte, in der Regel weiß, wo sich dieser Raum befindet. a) Pseudonymisierung In der nicht abschließenden Aufzählung des Art. 32 DSGVO wird lediglich 252 konkret die Pseudonymisierung und die Verschlüsselung von personenbezogenen Daten benannt (Art. 32 Abs. 1 lit. a) DSGVO). Die möglichst frühzeitige Pseudonymisierung soll dafür Sorge tragen, dass der Zugriff auf Daten, insbesondere der ungewollte Zugriff auf sensible Daten, weitestgehend erschwert wird bzw., wenn dieser doch erfolgt, die Gefahren eines Risikos für die Betroffenen mit dieser Maßnahme bereits minimiert werden. In dieser technischen Maßnahme wird ein nachhaltiger Schutz der vorliegenden Daten gesehen und auch die Möglichkeit, das Risiko für die Betroffenen zu senken und den Verantwortlichen bzw. Auftragsverarbeiter zu unterstützen, die Datenschutzpflichten einzuhalten (ErwGr. 28 DSGVO).209) Es soll erwirkt werden, dass ohne das Hinzuziehen weiterer Informationen die Daten einem speziellen Betroffenen nicht mehr zuordenbar sind (Art. 4 Nr. 5 DSGVO). ___________ 209) So auch Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 33; so auch Schild, in: BeckOK DatenschutzR, Art. 4 Nr. 5 Rn. 69.
83
F. Aus der Praxis – Datenschutz in der Kanzlei
Entgegen der Anonymisierung, welche vorsieht, den Bezug des Betroffenen zu den Daten vollständig aufzuheben. 253 Eine wirksame Pseudonymisierung setzt zugleich voraus, dass die Informationen, die für eine Identifizierung erforderlich sind, von den anderen Daten getrennt aufbewahrt werden. Praxistipp: Eine Pseudonymisierung oder auch Anonymisierung sollte u. a. im Rahmen der Vorbereitung eines Asset Deals und einer übertragenden Sanierung im Hinblick auf die Arbeitnehmerliste vorgenommen werden. Bis ein entsprechender Kaufvertrag unterschrieben wurde, bedarf es i. d. R. keines Personenbezugs zu den einzelnen Mitarbeitern. Dies kann natürlich bei für die Fortführung zwingend notwendigen Mitarbeitern oder leitenden Angestellten aufgrund der jeweiligen Interessenlage auch anders angesehen werden. Dann bedarf es einer dokumentierten Interessenabwägung. Vom Grundsatz her bleibt anzuraten, die Beschäftigtendaten entsprechend zu bearbeiten und erst nach dem Unterzeichnen der Verträge dem Erwerber zur Verfügung zu stellen, damit dieser seine notwendigen Verpflichtungen in Bezug auf die Anmeldung der übernommenen Mitarbeiter erfüllen kann.
254 Bei der Pseudonymisierung wird z. B. der Name des Betroffenen durch einen fingierten Namen oder auch eine Nummer ersetzt. Werden Daten unter Verwendung des fingierten Namens verarbeitet, sind ohne das Hinzuziehen weiterer Information Rückschlüsse auf die tatsächliche Person, die sich hinter den Daten verbirgt, nicht bzw. nur schwer möglich. Ein gutes Beispiel gibt der Bereich der Insolvenzen. Die Verwendung der Insolvenzaktenzeichen kann als Pseudonymisierung angesehen werden. Der Betroffene hinter diesem Aktenzeichen ist ohne das Hinzuziehen weiterer Information (z. B. Beschluss, in dem der Name genannt ist) nicht einfach identifizierbar. 255 Auch innerhalb des Audits, insbesondere des Audits bezüglich der Überprüfung der Einhaltung der Grundsätze ordnungsgemäßer Insolvenzverwaltung (GOI), wird eine Form der Pseudonymisierung angewandt. Der Auditor lässt sich eine Liste der Verfahren mit internen Aktenzeichen, wie sie in der Insolvenzverwalterkanzlei verwendet werden, überreichen. Somit ist es ihm ohne weitere Informationen nicht möglich, zu erkennen, ob es sich bei der Prüfung um ein Verbraucherinsolvenzverfahren handelt oder um ein Regelinsolvenzverfahren, da ihm das Aktenzeichen nicht bekannt ist. b) Verschlüsselung 256 Auch die Verschlüsselung ist eine konkret benannte Maßnahme. Dabei werden die Daten nicht geändert oder ein entsprechender Zusammenhang wird aufgelöst, sondern diese Daten werden in ihrer Gesamtheit anhand eines technischen Verfahrens für einen Unberechtigten, der den entsprechenden Entschlüsselungscode nicht sein eigen nennt, unbrauchbar gemacht. Ursprünglich war die Verpflichtung zur Verschlüsselung Teil der Zugriffskontrolle 84
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
bzw. der Weitergabekontrolle, wie sie in der Anlage zu § 9 Satz 1 BDSG a. F. vorgesehen war. In Abhängigkeit zu den jeweiligen personenbezogenen Daten, den Datenka- 257 tegorien und dem bestehenden Risiko, dass diese Daten unberechtigten Dritten zur Kenntnis gelangen könnten, sind unterschiedliche Verschlüsselungsmethoden geboten.210) Unter anderem sind diese Überlegungen in Bezug auf den E-Mail-Versand vorzunehmen. Gängige häufig genutzte Software zum Versand von E-Mails verfügen standardmäßig i. d. R. über eine Transportverschlüsselung. Dabei werden die versandten Nachrichten auf dem Transportwege verschlüsselt. Des Weiteren gibt es die sog. Inhaltsverschlüsselung, bei der die Daten der 258 E-Mail verschlüsselt werden und nur mit dem jeweiligen Entschlüsselungscode lesbar werden. Eine explizite Pflicht, den E-Mail-Verkehr ebenfalls mit einer Inhaltsverschlüsselung zu versehen, sieht das Datenschutzrecht nicht vor. Allerdings sind alle Maßnahmen zum Schutze von personenbezogenen Daten an dem aktuellen Stand der Technik und unter einer Risikoabwägung zu messen.211) Praxistipp: Beim Versenden von E-Mails mit sensiblen Daten oder Daten, deren Inhalt für den Betroffenen ein hohes Risiko für seine Rechte und Freiheit beinhalten kann, und wenn ein unberechtigter Dritter Zugriff auf diese Daten nehmen kann, empfiehlt es sich, eine Kombination aus verschiedenen Verschlüsselungsmethoden zu wählen.
c) Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme Die in Art. 32 Abs. 1 lit. b) DSGVO genannten Schlagwörter beziehen sich 259 auf die Datensicherheit, welche der Verantwortliche gewährleisten soll, um genau die weit gefassten Punkte hinsichtlich der Verarbeitung personenbezogener Daten sicherzustellen. Hierbei handelt es sich um klassische Schutzziele, wie sie auch u. a. in der ISO 27000-Reihe in Bezug auf die Standards zur Informationssicherheit vorkommen. Auch korrespondieren die Schlagwörter zum Teil mit den in Art. 5 DSGVO genannten Grundsätzen für die Verarbeitung personenbezogener Daten. Mit der Einhaltung der Schutzziele soll eine wirksame Datensicherheit her- 260 gestellt werden, um u. a. unberechtigten Dritten den Zugriff auf die Daten zu verwehren (Vertraulichkeit) und dem versehentlichen Untergang bzw. der Unversehrtheit der Daten entgegenzuwirken (Integrität).212) ___________ 210) Vgl. Kühling/Buchner-Jandt, DS-GVO/BDSG, Art. 32 DSGVO Rn. 19 ff. 211) Reisener/Weiß, InsbürO 9/2018, 336. 212) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 5 DSGVO Rn. 46.
85
F. Aus der Praxis – Datenschutz in der Kanzlei
aa) Vertraulichkeit 261 Die Vertraulichkeit ist eines der herkömmlichen Ziele, wie sie die Informationssicherheit vorsieht. Der Begriff der Vertraulichkeit umfasst sowohl die Beschränkung des Zugriffs (Zugriffskontrolle), die Überwachung und die Verhinderung eines unberechtigten Zutritts (Zutrittskontrolle) als auch Maßnahmen, um den Zugang weit möglichst zu beschränken (Zugangskontrolle).213) Die Vertraulichkeit ist bereits im Art. 5 Abs. 1 lit. f) DSGVO im Rahmen der Grundprinzipien verankert. 262 Auch ist in diesem Begriff, die nach BDSG a. F. noch bekannte „Verpflichtung auf das Datengeheimnis“ mit eingeflossen. Eine vergleichbare und ebenso eindeutige Verpflichtung nach der der Verantwortliche seine Mitarbeiter auf das Datengeheimnis zu verpflichten hat, kennt die DSGVO nicht.214) Der Verantwortliche muss natürlich sicherstellen, dass die bei ihm Beschäftigten, die personenbezogene Daten verarbeiten, nur auf seine Anweisung eine Verarbeitung vornehmen.215) Diese Pflicht ist auch im Art. 32 Abs. 4 DSGVO geregelt. Für den Auftragsverarbeiter liegt hingegen eine Verpflichtung vor, zu gewährleisten, dass sich die bei ihm tätigen Personen zur Vertraulichkeit verpflichtet haben bzw. diese einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 S. 2 lit. b) DSGVO). 263 Eine entsprechende Bedingung, Mitarbeiter hinsichtlich der Vertraulichkeit anhand einer ausdrücklichen (schriftlichen) Erklärung zu verpflichten, wie es beim Datengeheimnis im BDSG a. F. bisher vorgesehen war, besteht nicht. Dennoch sollte eine schriftliche Verpflichtung der Mitarbeiter aus Gründen der Rechenschaftspflicht und Dokumentationspflicht des Verantwortlichen erfolgen und wird auch von der Datenschutzkonferenz empfohlen.216) 264 Aus der Verpflichtung zur Einhaltung der Grundsätze des Datenschutzes des Verantwortlichen ergibt sich die Aufgabe u. a. sicherzustellen, dass die Beschäftigten datenschutzkonform mit personenbezogenen Daten umgehen können und dies nachgewiesen werden kann.217) Praxistipp: Auch wenn die DSGVO keine grundsätzliche Vorschrift in Bezug auf eine schriftliche Verpflichtung der Mitarbeiter vorsieht, sollte dennoch aus Gründen der Nachweisbarkeit und Rechenschaftspflicht eine solche niedergelegt und z. B. in der Personalakte bzw. beim Datenschutzbeauftragten aufbewahrt werden.
___________ 213) 214) 215) 216) 217)
86
Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 35. Reisener/Weiß, InsbürO 9/2018, 337. Vgl. DSK-Kurzpapier Nr. 19, S. 1. Vgl. DSK-Kurzpapier Nr. 19, S. 1. Reisener/Weiß, InsbürO 9/2018, 338.
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
bb) Integrität Die Notwendigkeit der Integrität der verarbeiteten personenbezogenen Daten 265 ergibt sich bereits aus den Grundprinzipien des Datenschutzrechts (Art. 5 Abs. 1 lit. f) DSGVO) und findet sich als Ziel in der Informationssicherheit wieder. Entsprechend der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezeichnet der Begriff Integrität die Sicherstellung der Unversehrtheit der Daten und die korrekte Funktionsweise von Systemen.218) Bezogen auf die Grundprinzipien des Datenschutzes, müssen die Daten vor Verfälschung und unerlaubter oder unbeabsichtigter Veränderung geschützt werden. Eine unbeabsichtigte Veränderung kann u. a. durch eine Fehlfunktion des 266 Systems erfolgen. Daher ist der Verantwortliche gehalten, Maßnahmen zum Schutz des Betriebssystems und der sonstigen Programme zu ergreifen. Hierzu zählen u. a. Virenscanner, regelmäßige Updates oder auch der Einsatz von Firewalls und Spamfilter. Auch gehören zu den technischen Maßnahmen Verschlüsselungen von Da- 267 tenträgern und der elektronischen Post zum Schutz der Integrität der Daten. Dabei muss im Rahmen der Weitergabe der Daten sichergestellt werden, dass unberechtigte Dritte keinen Zugriff auf diese Daten nehmen können bzw. diese nicht verändert werden können. Auch die sog. Eingabekontrolle unterstützt die Integrität der Daten, zumindest kann mithilfe dieser über entsprechende Protokolldaten nachvollziehbar dargestellt werden, wer wann und wie Daten verändert hat.219) cc) Verfügbarkeit und Belastbarkeit Der Verantwortliche hat die Verfügbarkeit der Daten sicherzustellen, wenn 268 diese von zur Verarbeitung berechtigten Personen benötigt werden. Die Systeme müssen entsprechend belastbar sein, um eine ständige Verfügbarkeit und dauerhaften Zugang zu den Daten zu ermöglichen bzw. diesen schnell wieder herstellen zu können. Organisatorische Maßnahmen zum Schutz der Verfügbarkeit der Daten stel- 269 len Datensicherungskonzepte oder auch die Überwachung der Systeme und eine regelmäßig festgelegte Risikobeurteilung der vorliegenden Hard- und Software dar. Einer Risikobeurteilung kann u. a. ein entsprechender Stresstest der Systeme vorangestellt werden, mit dessen Hilfe mögliche Schwachstellen erkannt werden können. Mit diesen Stresstests kann festgestellt werden, wie widerstandsfähig und belastbar die Systeme auch bei hohem Aufkommen und starker Auslastung funktionieren. ___________ 218) Bundesamt für Sicherheit in der Informationstechnik, Online-Glossar. 219) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 37.
87
F. Aus der Praxis – Datenschutz in der Kanzlei
270 Des Weiteren bedarf es Maßnahmen für den Schutz der Datensysteme vor Angriffen von außen durch Dritte, die durch entsprechende Vorkehrungen versuchen könnten, eine Überlastung der Systeme zu erwirken.220) Auch die Sicherstellung, dass aufgrund eines möglichen Stromausfalls es nicht zu Datenverlusten kommt und z. B. der Einsatz einer unterbrechungsfreien Stromversorgung (USV) in Erwägung zu ziehen ist, gehört zu den Pflichten des Verantwortlichen. dd) Dauerhafte Sicherstellung des Datenschutzniveaus 271 Der Art. 32 Abs. 1 lit. b) DSGVO verlangt weiterhin vom Verantwortlichen, bestimmte Punkte dauerhaft zu gewährleisten. Aufgrund der Formulierung im Gesetz „auf Dauer sicherzustellen“ bedarf es einer regelmäßigen Überprüfung der ergriffenen Maßnahmen, um den datenschutzrechtlichen Ansprüchen Genüge zu leisten. 272 Auch ist ein Verfahren zu entwickeln, welches die regelmäßige Überprüfung, Bewertung und Evaluierung der ergriffenen TOM zum Inhalt hat. Wie die Vorgehensweise innerhalb eines solchen Verfahrens auszusehen hat und in welchen konkreten Zeitabständen ein solches Verfahren einzusetzen ist, regelt die DSGVO nicht. 273 Allerdings kann der Grundgedanke der Datenschutzvorschriften „Je höher das Risiko für die Betroffenen ist und je sensibler die verarbeiteten Daten, umso höher muss das Sicherheitsniveau sein“ als Betrachtungsgrundlage dienen. Demnach sollte der Verantwortliche die Intensität eines solchen Verfahrens und die Häufigkeit der Durchführung dieses Verfahrens in Abhängigkeit zu den verarbeiteten Daten und dem bestehenden Risiko der Betroffenen, welches im Rahmen einer Risikoeinschätzung ermittelt wurde, stellen. Je höher das Risiko und je sensibler die im Rahmen der Verarbeitung genutzten personenbezogenen Daten, umso häufiger sollte ein entsprechendes Verfahren zur Überprüfung der ergriffenen TOM erfolgen. Praxistipp: Zeitgleich zu den regelmäßigen Besprechungen und Berichterstattungen hinsichtlich der Änderungen und Sachverhalte zum Datenschutzrecht und der Überprüfung der TOM, sollte der entsprechende IT-Verantwortliche dahingehend angehört werden, ob die Maßnahmen und Systeme den geforderten Schutz der personenbezogenen Daten weiterhin erfüllen. Außerdem sind die entsprechenden Dokumentationspflichten auch in diesem Fall zu beachten.
d) Wiederherstellbarkeit der Verfügbarkeit 274 Weiterhin muss der Verantwortliche Maßnahmen vorhalten für den Fall, dass es trotz aller Sicherheitsmaßnahmen zu einem Systemausfall oder einem an___________ 220) Vgl. Gerlach, CR 2015, 585.
88
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
deren Zwischenfall kommt. Dabei spielt es zunächst keine Rolle wie es zu diesem Zwischenfall kam, wichtig ist es, schnell oder wie der Normgeber formuliert „rasch“ die Daten wiederherzustellen. Sollten Datenbestände aufgrund des Vorfalls beschädigt worden sein, sind die entsprechend vorzuhaltenden Back-up-Systeme zu nutzen, um auch die Integrität der Daten wiederherzustellen. Im Anschluss bedarf es einer Überprüfung des Vorfalls. Im Rahmen einer 275 Risikoeinschätzung sollte weiterhin geprüft werden, ob die Gefahr einer Wiederholung dieses Vorfalls besteht und die TOM entsprechend angepasst werden. Außerdem sollte aufgrund des Vorfalls eine Prüfung hinsichtlich des Vorlie- 276 gens einer meldepflichtigen Datenpanne erfolgen, wie sie in Artt. 33, 34 DSGVO beschrieben ist (zu Datenpannen und den daraus resultierenden Meldepflichten im Einzelnen siehe Rn. 435 ff.). In diesem Fall sind die zuständige Aufsichtsbehörde und ggf. die Betroffenen, deren personenbezogene Daten aufgrund des Vorfalls in Mitleidenschaft gezogen wurden, zu informieren. 3. Risikoabschätzung bzw. Risikoabwägung Ziel der ergriffenen Maßnahmen sowohl technischer als auch organisatori- 277 scher Art muss es sein, unter Berücksichtigung des bestehenden Risikos für die jeweiligen Verarbeitungen, ein angemessenes Schutzniveau zu erreichen. Dabei muss nicht das höchste Schutzniveau erreicht werden. Es kommt gemäß Art. 32 Abs. 2 DSGVO auf die mit der Datenverarbeitung verbundenen Risiken an.221) Diese Risikoabwägung findet unter Berücksichtigung des jeweiligen Einzelfalls und der Besonderheiten innerhalb der Verarbeitungsprozesse des Verantwortlichen statt. Im Rahmen der Risikoabwägung sind insbesondere Risiken zu berücksichtigen, die in Vernichtung, Verlust oder Veränderung von Daten liegen können.222) Dieser risikobasierte Ansatz findet sich an mehreren Stellen innerhalb der DSGVO wieder.223) a) Rechte und Freiheiten des Betroffenen Der Begriff „Rechte und Freiheiten natürlicher Person“ ist die Bezugsgröße, 278 an der sich die Risikobetrachtung orientieren muss. Der Begriff umfasst sämtliche Grundrechte und Grundfreiheiten des Betroffenen, insbesondere den Schutz der informationellen Selbstbestimmung.224) Das Grundrecht na___________ 221) Vgl. von Schenck/Mueller-Stöfen, GWR 2017, 175. 222) Plath-Grages, BDSG/DSGVO, Art. 32 Rn. 9. 223) Siehe u. a. Verantwortung des für die Verarbeitung Verantwortlichen (Art. 24 Abs. 1 DSGVO), Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DSGVO), Meldungen von Datenpannen (Artt. 33, 34 DSGVO), Datenschutz-Folgeabschätzung (Art. 35 DSGVO). 224) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 24 DSGVO Rn. 27.
89
F. Aus der Praxis – Datenschutz in der Kanzlei
türlicher Personen auf Schutz ihrer personenbezogenen Daten bei der Verarbeitung ist dabei besonders im Blickfeld der DSGVO (ErwGr. 1 Satz 1 DSGVO, ErwGr. 2 Satz 1 DSGVO). Aber auch sonstige gesetzliche individuelle Rechte werden von dem Begriff mit erfasst. Diese Rechte und Freiheiten zu schützen ist Ziel der DSGVO (Art. 1 Abs. 2 DSGVO). 279 Eine Auslegung des Begriffs muss im Rahmen des europarechtlichen Kontexts erfolgen und ist nicht nach dem alleinigen nationalen Verständnis auszulegen.225) Grundbaustein bildet der Art. 8 Abs. 1 der Charta der Grundrechte und Grundfreiheiten der Europäischen Union (GrCh). Aber auch der mittelbare Schutz einzelner Grundrechte durch das Datenschutzrecht wird von dem Begriff umfasst.226) b) Begriff des Risikos 280 Entgegen der üblichen und auch in der DSGVO umfangreich vorgenommenen Begriffsbestimmungen und Definitionen, sucht man eine konkrete Definition des Begriffs „Risikos“ in der DSGVO vergebens.227) Dies verwundert, da der risikobasierte Ansatz, wie bereits erwähnt, an zahlreichen Stellen in der DSGVO auftaucht und den dortigen Normen immanent ist. 281 Die Bedeutung des Begriffs Risiko wird im Duden als möglicher negativer Ausgang bei einer Unternehmung, der mit Nachteilen, Verlust oder Schäden verbunden ist, umschrieben. Aus dem allgemeinen Sprachgebrauch ergibt sich die Bedeutung einer Prognose, mit welcher Wahrscheinlichkeit ein Schaden eintritt oder ein erwarteter Vorteil ausbleibt.228) 282 In der „ISO 31000 Risikomanagement“ wird Risiko definiert als Auswirkung von Unsicherheit auf die Ziele.229) Dies schließt grundsätzlich auch positive Auswirkungen mit ein. Im Rahmen des Risikomanagements wird dennoch der Risikobegriff vom Schadensausmaß her betrachtet und somit nur hinsichtlich der negativen Folgen. Das Risikomanagement und auch andere Bereiche verstehen das Risiko als Produkt aus Schadensausmaß (Schwere) und Eintrittswahrscheinlichkeit (Legaldefinition § 2 Nr. 23 ProdSG).230) 283 Mithilfe der Erwägungsgründe der DSGVO und in diesen aufgezählten Beispielen für Datenschutzrisiken wird die Möglichkeit gegeben, den Begriff des Risikos näher zu bestimmen. Grundsätzlich sollen objektiv die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten des Betroffenen bestimmt werden, unter Bezugnahme auf die Art, den Um___________ 225) 226) 227) 228) 229)
Vgl. DSK-Kurzpapier Nr. 18, S. 1 I. Vgl. DSK-Kurzpapier Nr. 18, S. 1 I. Paal/Pauly-Martini, DS-GVO/BDSG, Art. 35 DSGVO Rn. 15a. Paal/Pauly-Martini, DS-GVO/BDSG, Art. 35 DSGVO Rn. 15a. „Effect of uncertainty on objectives“, siehe ISO 31000:2009, Risk management – Principles and guidelines; ISO Guide 73:2009, Risk management – Vocabulary. 230) Nicklisch, NJW 1982, 2635.
90
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
fang, die Umstände und die Zwecke der Verarbeitung der personenbezogenen Daten (ErwGr. 76 DSGVO). Der Ausdruck „die Schwere des Risikos“ kann zu Missverständnissen führen. In der Literatur wird teilweise vermutet, dass mit diesem Ausdruck die „Schwere der Schäden“ durch die DSGVO gemeint sei.231) Grundsätzlich ist dies zu bejahen, wobei davon ausgegangen wird, dass die Bezeichnung bewusst gewählt wurde mit Blick auf die oben erwähnte Begriffsbestimmung im Rahmen des Risikomanagements. Der ErwGr. 75 zur DSGVO zählt verschiedene Datenschutzrisiken auf, die 284 zu einem physischen, materiellen oder immateriellen Schaden führen könnten und ein Risiko für die Rechte und Freiheiten natürlicher Personen beinhalten können. In seiner Aufzählung nennt der ErwGr. 75 DSGVO als Datenschutzrisiko u. a., wenn die Verarbeitung zu einer Diskriminierung, eines Identitätsdiebstahls, eines finanziellen Verlusts oder Rufschädigung führen kann oder andere erheblich wirtschaftliche oder gesellschaftliche Nachteile möglich sind (ErwGr. 75 DSGVO). Auch sieht der Verordnungsgeber u. a. in der Verarbeitung personenbezogener Daten unter Einsatz neuer Technologien, bei denen der Verantwortliche noch keine Datenschutzfolgenabschätzung durchgeführt hat, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen (ErwGr. 89 DSGVO). Beispiel: Folgendes fiktives (und übertriebenes) Szenario zur Veranschaulichung hinsichtlich möglicher Risiken: x
Der selbstständige Schuldner betrieb ein Portal für SM-Spielzeug. Im Rahmen seiner Auskunftspflicht gibt der Schuldner den Zugang zur Onlinekundendatenbank mit personenbezogenen Daten der Kunden an den Insolvenzverwalter heraus. Dieser speichert die Zugangsdaten in seinem System, sodass jeder Mitarbeiter Zugriff auf diese Daten nehmen kann. Zwei Tage später gibt ein Mitarbeiter eine Liste der Kunden an die Presse weiter. Diesen ist dadurch ein gesellschaftlicher Nachteil erwachsen.
x
Der Insolvenzverwalter hätte das Risiko der unerlaubten Weitergabe durch nicht zugriffsberechtigte Mitarbeiter durch ein Berechtigungskonzept verhindern können. Er hätte im Rahmen der Risikoabwägung dazu kommen müssen, dass ein Risiko für die Rechte und Freiheiten der Betroffenen (hier der Kunden des Schuldners) bestand, und hätte entsprechende Maßnahmen ergreifen müssen, um ein entsprechendes Schutzniveau dieser Daten zu gewährleisten.
c) Arten von Risiken Hinsichtlich der Arten von Risiken unterscheidet die DSGVO zwischen 285 „Risiko“ und „hohem Risiko“ (Art. 34, 35 DSGVO, ErwGr. 76 DSGVO). ___________ 231) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 24 DSGVO Rn. 29.
91
F. Aus der Praxis – Datenschutz in der Kanzlei
Des Weiteren wird in den Artt. 27 Abs. 2 lit. a), 33 Abs. 1 DSGVO die Formulierung „voraussichtlich nicht zu einem Risiko führen“ genutzt. Wie bereits erwähnt, ist eine Verarbeitung personenbezogener Daten nie vollständig risikolos. Es besteht bei einer Verarbeitung immer, wenn auch nur geringfügig, ein gewisses Restrisiko für die Rechte und Freiheiten der Betroffenen. Daher kann die gewählte Formulierung ausgehend vom Sinn und Zweck nur als „nur zu einem geringen Risiko führen“ verstanden werden.232) Bezüglich der Formulierung in Art. 33 Abs. 1 DSGVO ist beispielhaft davon auszugehen, dass der Normgeber zum Ausdruck bringen wollte, dass bei einem geringfügigen Risiko für den Betroffenen hinsichtlich der Eintrittswahrscheinlichkeit und der Schwere des Risikos, eine Meldung an die Aufsichtsbehörde unter Beachtung aller relevanten Informationen entbehrlich ist.233) d) Risikoanalyse 286 Um beurteilen zu können, welche Art von Risiko einschlägig ist, bedarf es einer Betrachtung des vollständigen Sachverhalts und insbesondere der Betrachtung der Art, des Umfangs und der Zwecke der Verarbeitung. Eine Risikoanalyse wird im Rahmen des Risikomanagements außerhalb des Datenschutzes i. d. R. durch das jeweilige Unternehmen durchgeführt, um mögliche Gefahren aus den bestehenden Risiken für sich ableiten und im Vorfeld Maßnahmen ergreifen zu können. 287 Die eigene Sichtweise bei einer Risikoanalyse hinsichtlich eines Datenschutzrisikos erfährt eine Umkehrung und muss aus Sicht der Betroffenen in Bezug auf das Risiko hinsichtlich der Rechte und Freiheiten der natürlichen Personen erfolgen. Es sind die potenziellen Schäden zu identifizieren, die ein mögliches bestehendes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringen können. Des Weiteren ist zu bestimmen, wie hoch die Eintrittswahrscheinlichkeit und die Schwere des Risikos sind. Im Anschluss kann eine Einteilung erfolgen, welche Art von Risiko vorliegt. aa) Identifikation der Risiken 288 Im Rahmen der Identifikation des Risikos bedarf es der Prüfung, welche Schäden für die Betroffenen aus der Verarbeitung der personenbezogenen Daten entstehen können. Gemäß ErwGr. 75 der DSGVO können Schäden physischer, materieller oder immaterieller Art auftreten. Eine Begrenzung auf ausschließlich finanziell auswirkende Schäden nimmt die DSGVO nicht vor (ErwGr. 75 DSGVO). Dabei sind die möglichen negativen Folgen der Verarbeitung zu betrachten. Auch Szenarien und Ereignisse müssen in diese Überlegungen mit einbezogen werden, die unabhängig von der Verarbeitung auftreten können und das Schutzniveau der Daten stören können, wie z. B. ___________ 232) DSK-Kurzpapier Nr. 18, S. 2 III. 233) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 22.
92
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
Zugriff durch unberechtigte Dritte, Zerstörung der Daten oder unberechtigte Veränderungen. Schließlich müssen die Umstände und Aktionen gewürdigt werden, die ein Eintritt der Szenarien und Ereignisse begünstigen. Alle möglichen negativen Folgen, Bedrohungen und Schäden für den Betrof- 289 fenen bei der Verarbeitung der personenbezogenen Daten sind zu betrachten. Dazu zählen sowohl die Einschränkung von Rechten und Freiheiten von Betroffenen durch die Verarbeitung als auch mögliche negative Folgen für alle erdenklichen Interessen des Betroffenen. Diese Schäden sind vielseitig und können sich u. a. wie folgt darstellen: Durch x
Diskriminierung
x
Identitätsdiebstahl
x
Rufschädigung
x
gesellschaftliche Nachteile
x
Verhinderung der Rechtsausübung
x
ungewolltes Profiling
x
körperliche oder seelische Schäden aufgrund fehlerhafter oder offengelegter Daten.234)
Danach werden den identifizierten und für möglich erachteten Schäden und 290 Bedrohungen die Szenarien oder Ereignisse zugeordnet, die zum Entstehen der jeweiligen Schäden führen können. Diese Ereignisse liegen in der Regel begründet in der Nichteinhaltung der Grundsätze des Datenschutzrechts gemäß Art. 5 DSGVO oder in der Nichtbeachtung der Rechte der Betroffenen entsprechend der Artt. 12 ff. DSGVO. Dabei sind auch die Risikoquellen zu beachten, die Auslöser einer Bedrohung sein können.235) Die Risikoquelle ist meist ein interner Bezugspunkt beim Verantwortlichen, 291 der aufgrund einer bestimmten Aktion Auslöser des jeweiligen Ereignisses ist. Dabei kann es sich um Mitarbeiter, Vorgesetzte und sonstige Gehilfen handeln, aber auch externe Risikoquellen, die z. B. die Hardwaresysteme des Verantwortlichen angreifen. Auch ein Auftragsverarbeiter könnte eine entsprechende Risikoquelle darstellen und bedarf aus diesem Grund sowohl einer vorhergehenden eindringlichen Prüfung als auch einer regelmäßigen Kontrolle; auch vor dem Hintergrund, dass sich der Verantwortliche zunächst jedes Handeln des Auftragsverarbeiters bei der in Auftrag gegebenen Verarbeitung zurechnen lassen muss und dafür auch haftet.
___________ 234) DSK-Kurzpapier Nr. 18, S. 3 IV. 235) Bitkom, Risk Assessment & Datenschutz-Folgenabschätzung, Leitfaden, S. 26.
93
F. Aus der Praxis – Datenschutz in der Kanzlei Praxistipp: Die Überlegungen hinsichtlich der Identifikation des Risikos müssen (wie grundsätzlich alle Überlegungen bzgl. der Verarbeitung von personenbezogenen Daten) nachvollziehbar dokumentiert werden. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom e. V.) stellt eine Bespieldokumentation in seinem Leitfaden zur Verfügung. Beispiel für die Dokumentation und Bewertung von Ereignissen Ereignis (potentielle Datenschutzvorfälle)
Risikoquelle
Folge des Eintritts Mögliche Auswirkungen des (unerwünsch- für die interessierten ten) Ereignisses Parteien
Unbefugter Zugriff Mitarbeiter, • Keine auf personenbezogene Vorgesetzter, • Weiterverteilung Daten (Vertraulichkeit) Wartungspersonal • Nutzung der personenbezogenen Daten
Offenbarung von Zahlungsdaten (Bankdaten) von Kreditoren und daraus resultierende monetäre Schäden bei Missbrauch (Schadensersatz).
Unerwünschte Veränderung von personenbezogenen Daten (Integrität)
Mitarbeiter, • Fehlfunktion im Vorgesetzter, Verfahren Wartungspersonal
Liquiditätsprobleme der Organisation
Verlust personenbezogener Daten (Verfügbarkeit)
Mitarbeiter, • Fehlfunktion im Vorgesetzter, Verfahren Wartungspersonal, • Störung im Schadcode, Verfahren Wasserschaden, Feuer
Liquiditätsprobleme der Organisation
Abb. 1: Beispiel Dokumentation und Bewertung von Ereignissen Quelle: Bitkom, Risk Assessment & Datenschutz-Folgenabschätzung, Leitfaden, S. 28
bb) Einschätzung der Eintrittswahrscheinlichkeit 292 Eine Einschätzung der Eintrittswahrscheinlichkeit – also die Erwartung, mit der ein bestimmtes Ereignis eintritt und dass aus dem Risiko oder der Bedrohung ein Schaden wird – gehört ebenso zur Risikoanalyse und ist auch Bestandteil der Anforderung, ein dem Risiko angemessenen Schutzniveau der personenbezogenen Daten gemäß Art. 32 Abs. 1 Satz 1 DSGVO zu gewährleisten. 293 Die Eintrittswahrscheinlichkeit wird unter Berücksichtigung aller Aspekte bestimmt. Dabei spielen z. B. räumliche Gegebenheiten oder auch Erfahrungen zu vergleichbaren Vorfällen eine Rolle und nicht zuletzt auch allgemeine Statistiken.236) ___________ 236) Bitkom, Risk Assessment & Datenschutz-Folgenabschätzung, Leitfaden, S. 30.
94
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
Setzt der Verantwortliche neue Verarbeitungstätigkeiten ein, ohne dass er für 294 einen solchen Einsatz auf Erfahrungswerte zurückgreifen kann, muss die Eintragswahrscheinlichkeit nachvollziehbar prognostiziert werden.237) Praxistipp: Für die qualitative Beurteilung der Eintrittswahrscheinlichkeit empfiehlt es sich, näher bestimmte Stufen für die Dokumentation zu schaffen. Entsprechende Vorgaben macht der Gesetzgeber nicht. Häufig werden die Einteilungen in vier Stufen vorgenommen. Die DSK nutzt in ihrem Kurzpapier folgende Bezeichnungen: x Geringfügig x Überschaubar x Gravierend x Groß.238) Dabei ist die Bezeichnung nicht ausschlaggebend im Falle einer Überprüfung durch die Aufsichtsbehörde, sondern die Definition der jeweiligen Begrifflichkeiten.
cc) Schwere des Risikos (Schadensausmaß) Das Schadensausmaß oder die Schwere des Risikos für den Betroffenen hin- 295 sichtlich seiner Rechte und Freiheiten beurteilt sich nach der Wichtigkeit (aus Sicht des Betroffenen) des bedrohten Rechts bzw. der bedrohten Freiheit und welche Schäden mit welcher Intensität aufgrund der Verarbeitung entstehen können.239) Bei der Beurteilung sind in jedem Einzelfall die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen (ErwGr. 76 DSGVO). Bei der Betrachtung des Schadensausmaßes ist es unerheblich ob es sich um 296 materielle oder immaterielle Schäden handelt. Dies folgt auch bereits aus der Haftung des Verantwortlichen für immaterielle Schäden (Art. 82 Abs. 1 DSGVO). Einzelne Schadensereignisse werden explizit durch den Gesetzgeber hervorgehoben und ausdrücklich erwähnt. Auch hinsichtlich des Schadensausmaßes kann auf eine Einteilung in ent- 297 sprechenden Stufen zurückgegriffen werden, wie sie auch bei der Betrachtung der Eintrittswahrscheinlichkeit genutzt werden können. Somit kann eine entsprechende Risikoanalyse im Rahmen einer Matrix dargestellt werden.
___________ 237) Vgl. Kühling/Buchner-Jandt, DS-GVO/BDSG, Art. 32 DSGVO Rn. 13. 238) DSK-Kurzpapier Nr. 18, S. 5 IV. 239) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 34 DSGVO Rn. 29.
95
F. Aus der Praxis – Datenschutz in der Kanzlei
Risikobewertung
Schwere des möglichen Schadens Groß
Gravierend
Überschaubar
Geringfügig
d
G
ro
ß
en er vi ra G
rs be Ü
G
er
in
ch
gf
au
üg
ig
ba
r
Eintrittswahrscheinlichkeit
Risikobereiche nach GS-GVO Geringes Risiko
Risiko
Hohes Risiko
Abb. 2: Risikoanalyse Quelle: Bayrisches Landesamt für Datenschutzaufsicht, https://www.lda.bayern.de/de/dsfa.html (Stand: 12.4.2019)
4. Vorgaben aus § 64 BDSG 298 Da die DSGVO auf eine Auflistung von explizit zu ergreifen Datensicherheitsmaßnahmen verzichtet und einen relativen Ansatz verfolgt, führt dies zur Flexibilität hinsichtlich der zu ergreifenden Maßnahmen im Einzelfall.240) Gleichwohl wird bei der Durchführung der genannten Risikoabwägung vom Verantwortlichen Eigenverantwortlichkeit gefordert, um das benötigte und angemessene Schutzniveau gewährleisten zu können. Eine Unterschreitung des angemessenen Schutzniveaus würde einen bußgeldbewehrten Verstoß darstellen. ___________ 240) Plath-Grages BDSG/DSGVO, Art. 32 DSGVO Rn. 2.
96
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
Die bisher bekannten Pflichten hinsichtlich der zu ergreifenden Maßnahmen 299 aus § 9 BDSG a. F. nebst Anlage verlieren nicht ihre Gültigkeit und können der Konzeption des Art. 32 Abs. 1 DSGVO zugeordnet werden.241) Sie werden ergänzt durch die Verpflichtung zur Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO) und eigenständige Maßnahmen zur Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO). Der nationale Gesetzgeber hat unter Ausnutzung des Präzisierungsspielraums 300 den § 64 BDSG geschaffen, welcher detailliert die einzelnen zu ergreifenden Maßnahmen bestimmt,242) wie es vorher bereits die Anlage zu § 9 BDSG a. F. zum Großteil vorsah. Zwar findet sich dieser Paragraf im 3. Teil des BDSG wieder und ist somit dem Anwendungsbereich des § 45 BDSG dahingehend unterworfen, dass dieser Teil nur für die zuständigen öffentlichen Stellen gilt, die eine Verarbeitung personenbezogener Daten für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten vornehmen (§ 45 BDSG). Allerdings kann der § 64 BDSG und ebenso die Anlage zu § 9 BDSG a. F. mit dem etablierten Maßnahmenkatalog für die Umsetzung der TOM als Leitlinie mit den jeweiligen nötigen Ergänzungen herangezogen werden.243) Auch der Deutsche Anwaltverein (DAV) nutzt in der von ihm erstellten Checkliste zu den TOM die bekannten Begrifflichkeiten aus den genannten Paragrafen.244) Praxistipp: Folgende Zuordnung zu den geforderten Maßnahmen (TOM) gemäß Art. 32 DSGVO der zum Teil in der Anlage zu § 9 BDSG a. F. und in § 64 BDSG benannten Begrifflichkeiten könnte genutzt werden mit den entsprechenden Überschneidungen, um die ergriffenen Maßnahmen nachweisbar zu beschreiben. 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DSGVO) x Zugangskontrolle x Zugriffskontrolle (Datenträgerkontrolle, Benutzerkontrolle) x Trennungskontrolle x Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO) 2. Integrität (Art. 32 Abs. 1 lit. b) DSGVO) x Weitergabekontrolle (Transportkontrolle, Übertragungskontrolle) x Eingabekontrolle (Speicherkontrolle)
___________ 241) 242) 243) 244)
GDD-Praxishilfe, DS-GVO IV, S. 21. Vgl. von Schenck/Mueller-Stöfen, GWR 2017, 175. Plath-Grages, BDSG/DSGVO, Art. 32 DSGVO Rn. 4. DAV-Muster als Checkliste, Technische und organisatorische Maßnahmen der Datensicherheit, https://anwaltverein.de/de/praxis/datenschutz (Stand: 29.3.2019).
97
F. Aus der Praxis – Datenschutz in der Kanzlei 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) und c) DSGVO) x Verfügbarkeitskontrolle (Wiederherstellbarkeit) x Zuverlässigkeit und Belastbarkeit 4. Verfahren zur Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO) x Datenschutzmanagementsystem x Reaktionsmanagement x Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO); x Auftragskontrolle
a) Zugangskontrolle 301 Wurde im BDSG a. F. noch eine Unterscheidung zwischen Zutrittskontrolle und Zugangskontrolle getroffen, so entfällt dies in der DSGVO und ebenso in § 64 BDSG. Die bisher unter der Zutrittskontrolle getroffenen Maßnahmen, meist baulicher und physischer Gestalt, werden nunmehr vom Begriff der Zugangskontrolle mit umfasst. Dennoch bedarf es weiterhin der Gewährleistung der räumlichen Sicherheit,245) um auch die weiteren technischen und organisatorischen Maßnahmen nicht zu gefährden. Als grobe Unterteilung mit entsprechenden Überschneidungen kann man der Zutrittskontrolle die organisatorischen Maßnahmen in diesem Bereich zuordnen und der Zugangskontrolle die technischen Maßnahmen, die überwiegend mit den IT-Systemen im Zusammenhang stehen. 302 Die Zutrittskontrolle soll verhindern, dass Unbefugte die Räumlichkeiten, in denen eine Datenverarbeitungsanlage aufbewahrt wird, betreten können. Die Zugangskontrolle setzt die Sicherungsmaßnahmen dort an, wo ein Zutritt zu den räumlichen Gegebenheiten bereits erfolgt, erlaubt oder nicht benötigt wird (Zugang von außen), will aber verhindern, dass der Zugang zu den Systemen stattfindet. 303 Die Maßnahmen für die Zutrittskontrolle können teilweise mit einfachen Mitteln umgesetzt werden. Es kann z. B. innerhalb der Kanzlei die Beschriftung „Serverraum“ von diesem entfernt werden, was einem unbefugten Dritten bereits in gewisser Weise erschwert, eben diesen Raum gezielt anzusteuern.246) Derjenige, der berechtigten Zutritt zum Serverraum hat, weiß i. d. R. wo sich dieser Raum befindet und benötigt keinen zusätzlichen Hinweis. 304 Ein weiteres Mittel, um relativ einfach organisatorische Maßnahmen umzusetzen, ist, die Kanzleimitarbeiter zu sensibilisieren und aufzufordern darauf zu achten, dass sich Dritte nicht unbefugt in der Kanzlei frei bewegen ___________ 245) Karg, in: BeckOK DatenschutzR, BDSG 2003, Anlage § 9 Rn. 16. 246) Reisener/Weiß, InsbürO 09/2018, 336.
98
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
können. Weitere Maßnahmen im Rahmen der Zutrittskontrolle könnten sein die Absicherung des Gebäudes, der Fenster und Türen, die Installation von Alarmanlagen, Videoüberwachungsanlagen oder auch Zutrittskontrollsysteme. Wie dargestellt umfasst die Zutrittskontrolle überwiegend bauliche Maßnahmen und Vorkehrungen physischer Art. Die in diesem Zusammenhang ergriffenen Maßnahmen können im Anschluss Einzug in die Dokumentation der TOM halten. Praxistipp: Zur Zugangs- und Zutrittskontrolle gehören technische Maßnahmen, z. B. die Installation von Alarmanalgen, automatische Zugangskontrollsysteme, Chipkartensysteme und auch Videoüberwachung des Eingangsbereiches.
Organisatorische Maßnahmen können z. B. die Vergabe von Besucheraus- 305 weisen, die Begleitung von Besuchern durch Mitarbeiter, eine Schlüsselvergaberegelung oder auch die Besetzung eines Empfangsbereiches sein. b) Zugriffskontrolle Die Zugriffskontrolle bezieht sich auf Maßnahmen, die gewährleisten sollen, 306 dass Berechtigte nur dann Zugriff auf die Daten nehmen können, wenn diese auch tatsächlich berechtigt sind, auf die Datenverarbeitungssysteme zuzugreifen. Vereinfacht gesagt sollen die Maßnahmen der Zugriffskontrolle sicherstellen, dass Zutrittsberechtigte zu den Räumlichkeiten nicht ungehindert Zugriff auf solche Daten nehmen können, für die sie keine Berechtigung haben. Die Zugriffskontrolle prüft die individuellen Rechte der Zutrittsberechtigten hinsichtlich der Möglichkeiten, die Daten zur Kenntnis zu nehmen oder diese zu verändern,247) wobei sich das Verändern auch auf das Löschen oder Kopieren der Daten bezieht. Auch soll die Zugriffskontrolle unbefugte externe Zugriffe, die von außer- 307 halb der Kanzleiräume erfolgen könnten, verhindern und so sicherstellen, dass eventuelle Datenlecks schnellstmöglich erkannt werden. Zu den Schutzmaßnahmen der Zugangskontrolle, die ein angemessenes Schutz- 308 niveau gewährleisten sollen, zählen z. B. die Einrichtung entsprechender ITHindernisse (z. B. Firewall, Virenscanner, digitale Zertifikate), welche gemäß der Vorgaben des Datenschutzrechts dem aktuellen Stand der Technik entsprechen müssen. Aber auch die Nutzung von Benutzerrollen und -kennungen auf dem IT-System und die Einführung einer Passwortrichtlinie fallen unter diesen Punkt. Der Verantwortliche muss sicherstellen, dass der Zugang zu den Daten nur 309 den berechtigten Personen gewährt wird. Dies erfolgt in der Regel über die Einbindung von Benutzerkonten, die über ein Passwort geschützt sind. Da___________ 247) Karg, in: BeckOK DatenschutzR, BDSG 2003, Anlage § 9 Rn. 22.
99
F. Aus der Praxis – Datenschutz in der Kanzlei
bei sind auch innerhalb der Kanzlei unterschiedliche Zugriffsberechtigungen einzuführen: Der Insolvenzverwalter darf „alle“ Daten einsehen und verarbeiten, Mitarbeiter der Buchhaltung dürfen aber nur die Daten im Rahmen der Buchführung einsehen.248) Bei den für die jeweiligen Benutzerkonten verwendeten Passwörtern sollte es sich in jedem Fall um sichere Passwörter handeln, wie sie z. B. vom Bundesamt für Sicherheit in der Informationstechnik empfohlen werden.249) 310 Auch ist es ratsam, einen Bildschirmschoner einzurichten, der sich nach einer gewissen Abwesenheit des Mitarbeiters aktiviert und nur über die Eingabe eines Reaktivierungspassworts wieder deaktiviert werden kann. Zusätzlich sollten Verschlüsselungen von Datenträgern den Zugang eines Unberechtigten verhindern. Praxistipp: Für die Sicherstellung, dass ausschließlich sichere Passwörter verwendet werden und das Schutzniveau hinsichtlich dieser Maßnahme angemessen ist, empfiehlt es sich, z. B. eine kanzleiweite Passwortrichtlinie zu erarbeiten und in der EDV zu verankern, die nur die Verwendung von dementsprechend sicheren Passwörtern erlaubt.
c) Trennungskontrolle 311 Die Trennungskontrolle soll verhindern, dass es bei Daten die zu unterschiedlichen Zwecken erhoben wurden zu einer Vermischung kommt und zeitgleich gewährleisten, dass eine getrennte Verarbeitung erfolgen kann. 312 Mit den Maßnahmen der Trennungskontrolle soll eine getrennte Speicherung sichergestellt werden. Dabei kann die Trennung sowohl physikalisch unter Nutzung unterschiedliche Hardware (mehrere voneinander getrennte Server) erfolgen oder auch logisch durch eine entsprechende Programmierung der jeweiligen Anwendungen.250) Richtungsweisend für eine entsprechende Entscheidung, wie eine solche Trennung erfolgen soll, ist die Höhe des angemessenen Schutzniveaus der Daten. 313 In diesen Bereich fallen auch neue technische Lösungen, wie z. B. die Containerlösung auf mobilen Endgeräten. Dabei werden mithilfe einer Software Bereiche des mobilen Endgeräts von dem restlichen Datenbestand abgeschottet. So können z. B. Anwendungen und die in den Anwendungen verarbeiteten Daten von anderen Daten auf dem Gerät isoliert werden. Neben ___________ 248) Reisener/Weiß, InsbürO 9/2018, S. 336. 249) Ein solches Passwort muss bestimmte Qualitätsanforderungen erfüllen bzgl. der Zeichenwahl, der Länge des Passwortes und auch hinsichtlich der Art des Wortes. Ein sicheres Passwort sollte mindestens alle 90 Tage gewechselt werden und möglichst nicht in Wörterbüchern vorkommen, aus mindestens 8 Zeichen bestehen und alle verfügbaren Zeichen wie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen nutzen. 250) Vgl. Karg, in: BeckOK DatenschutzR, BDSG 2003, Anlage § 9 Rn. 22.
100
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
der Trennung dieser Daten fördert eine solche Containerlösung auch den Schutz der isolierten Daten vor Viren oder einem möglichen Ausspähen. d) Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO) Anhand der Pseudonymisierung soll gewährleistet werden, dass eine Identi- 314 fizierbarkeit der Betroffenen ohne das Hinzuziehen weiterer Informationen nicht möglich ist (siehe Rn. 54 ff.). Unter Zuhilfenahme der Trennungskontrolle, im Einklang mit der Pseudonymisierung, sind die weiteren Informationen, die eine spezifisch betroffene Person identifizierbar machen, von den pseudonymisierten Daten zu trennen. Praxistipp: Eine Pseudonymisierung ist überall dort vorzunehmen, wo die Verarbeitung der Daten eine Identifizierung der Betroffenen nicht erfordert. Ein Beispiel aus der Insolvenzverwaltung ist u. a. die Erstellung von Arbeitnehmerlisten im Rahmen der Vorbereitung auf einen Asset Deal. Diese Arbeitnehmerlisten sind zumindest bis zur Unterschrift der etwaigen Verträge zu pseudonymisieren. Der Übernehmer benötigt i. d. R. für seine Entscheidung nicht die Angabe der Namen bzw. des Alters der Arbeitnehmer. Anstelle der Namen könnte eine Nummerierung erfolgen (z. B. Personalnummern).
e) Weitergabekontrolle Die Maßnahmen der Weitergabekontrolle sind Teil der Gewährleistung der 315 Integrität, wie sie Art. 32 Abs. 1 lit. b) DSGVO verlangt. Mithilfe von technischen Maßnahmen und organisatorischen Abläufen ist die Sicherheit von personenbezogenen Daten bei der elektronischen oder auch physischen Weitergabe zu gewährleisten. Es soll eine Manipulation der Daten auf dem Transportweg verhindert werden. Die Weitergabekontrolle betrifft – wie die Bezeichnung bereits vermuten 316 lässt – die Sicherheit der Daten auf dem Weg zwischen den einzelnen Bestimmungsorten. Es muss sichergestellt werden, dass die Daten auf ihrem Weg nicht unberechtigten Dritten zugänglich bzw. kompromittiert werden. Hierzu gehört ebenso die Prüfung der ordnungsgemäßen Adressierung vor dem Versand251), wie auch die Verschlüsselung u. a. bei dem Versand von personenbezogenen Daten per E-Mail, die dem Stand der Technik entsprechen sollte. Aktuelle Verschlüsselungstechniken werden von einer Vielzahl von alltäglich genutzten Applikationen zum Versand von E-Mails angeboten.252) Auch die Nutzung von elektronischen Signaturen und die Verwendung von VPN253)-Zugängen schützen die Integrität der Daten. ___________ 251) Vgl. Karg, in: BeckOK DatenschutzR, BDSG 2003 Anlage § 9 Rn. 25. 252) Reisener/Weiß, InsbürO 9/2018, S. 337. 253) Virtual Private Network bezeichnet eine verschlüsselte Kommunikation zwischen zwei Endstellen. Zwischen diesen wird ein Tunnel i. d. R. im Internet aufgebaut und die Kommunikation oder auch die Daten sind von außen nicht einsehbar.
101
F. Aus der Praxis – Datenschutz in der Kanzlei
317 Meist handelt es sich dabei um eine Transportverschlüsselung. Dabei werden die versandten Nachrichten auf dem Transportwege verschlüsselt, kommen aber beim Empfänger unverschlüsselt an. Die Transportverschlüsselung will sicherstellen, dass ein Abfangen von E-Mails auf ihrem Weg zum Empfänger nicht zum gewünschten Ergebnis führt. Des Weiteren gibt es die sog. Inhaltsverschlüsselung, bei der die Daten der E-Mail verschlüsselt werden und ohne einen entsprechenden Entschlüsselungscode oder ein Zertifikat nicht geöffnet werden können. 318 Eine explizite Pflicht, jeglichen E-Mail-Verkehr ebenfalls mit einer Inhaltsverschlüsselung zu versehen, sieht das Datenschutzrecht nicht vor. Allerdings sind alle Maßnahmen zum Schutze von personenbezogenen Daten an dem aktuellen Stand der Technik zu messen und immer anhand des benötigten angemessenen Schutzniveaus zu betrachten. Verschlüsslungstechniken, wie hier angesprochen, gehören mittlerweile zum Stand der Technik. Somit sollte der Verantwortliche bemüht sein, diese Maßnahmen zu ergreifen. Gleichwohl bedarf es auch der Einschätzung des „Gegenübers“. Wenn dieser nicht in der Lage ist, die empfangenen Daten zu entschlüsseln oder nicht über die technischen Mittel für eine Verschlüsslung verfügt, muss der Verantwortliche dies ebenso in seine Überlegungen mit einbeziehen. Praxistipp: Es empfiehlt sich – insbesondere bei dem Versand von sensiblen personenbezogenen Daten – eine Kombination der verschiedenen Verschlüsselungsmethoden zu wählen.
319 Auch der Transport der Daten durch externe Datenträger sollte über Verschlüsselungen bzw. Zugriffssperren abgesichert werden. Ein Verlust eines Datenträgers, der personenbezogene Daten enthält, kann bei nicht ausreichender Sicherung zu einem Zugriff durch einen unberechtigten Dritten und ggf. einer Verarbeitung der vorhandenen Daten durch den Dritten führen. 320 Eine weitere Aufgabe der Weitergabekontrolle ist die Sicherstellung der Berechtigung des Empfängers, die ihm übersandten Daten weiter verarbeiten zu dürfen. Bevor Daten weitergegeben werden ist zu prüfen, ob eine Empfangsberechtigung beim Empfänger vorliegt. f) Eingabekontrolle 321 Ein weiterer Schutz der Integrität der Daten stellen die Maßnahmen der Eingabekontrolle da. Eine nachträgliche Überprüfung – wer, wann und von wo aus personenbezogene Daten eingegeben, verändert oder verarbeitet hat, soll anhand der Eingabekontrolle sichergestellt werden. Durch die Implementierung automatischer oder manueller Protokollierungsmechanismen wird ein entsprechendes Kontrollerfordernis erfüllt.254) Hierzu werden innerhalb der ___________ 254) Plath-Plath, BDSG/DSGVO, § 9 BDSG Rn. 45.
102
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
Verarbeitungssysteme Protokollroutinen erstellt. Diese Protokolle können im Nachhinein ausgewertet werden, um die Wirksamkeit der entsprechenden Maßnahmen zu überprüfen und ggf. einen Missbrauch feststellen zu können. Aber auch die Eingabekontrolle selbst steht im Spannungsverhältnis zu den 322 datenschutzrechtlichen Vorgaben. Die Protokollierung der Zugriffe auf das Datensystem stellt eine Art Überwachung da und ist insbesondere unter dem Gesichtspunkt des Beschäftigtendatenschutzes (§ 26 BSDG) zu betrachten, in deren Spannungsverhältnis eine Protokollierung steht. Der Grundsatz der Erforderlichkeit zwingt den Verantwortlichen dazu, nur diese Daten zu protokollieren, die für die Erfüllung des Zwecks (Gewährleistung der Integrität der Daten) notwendig sind. Auch dürfen diese Protokolldateien nicht herangezogen werden, um die Leistung der Beschäftigten auszuwerten. Des Weiteren gilt es, Löschungsfristen hinsichtlich der angelegten Protokolldateien zu beachten. Nicht zuletzt sollten die Mitarbeiter in Bezug auf diese Protokollierung un- 323 terrichtet und ihnen die erforderlichen Informationen erteilt werden, um den Informationspflichten des Verantwortlichen gerecht zu werden. g) Verfügbarkeitskontrolle Verfügbarkeit bezeichnet in der Fachsprache der Informationstechnik die 324 „Wahrscheinlichkeit“, dass ein System eine geforderte Leistung tatsächlich erbringt.255) Im Einklang mit der Wiederherstellbarkeit der Daten soll mit der Verfügbarkeitskontrolle die ständige Zugriffsmöglichkeit auf die Daten sichergestellt werden. Mithilfe der in diesem Zusammenhang ergriffenen Maßnahmen wird dafür Sorge getragen, dass eine Unterbrechung des Zugriffs, eine (unbeabsichtigte) Zerstörung oder ein Datenverlust sich nicht auf die zukünftige Verarbeitung der Daten auswirken. Der Verantwortliche ist gehalten, Maßnahmen zu ergreifen, um auch bei einem Auftreten eines entsprechenden Ereignisses über die Daten verfügen zu können. Vornehmlich sind in diesem Zusammenhang Maßnahmen zu den Back-up- 325 und Recovery-Konzepten angesprochen. Im Rahmen von Datensicherungskonzepten sind Maßnahmen zu entwickeln, die eine Verfügbarkeit und ggf. schnelle Wiederherstellbarkeit gewährleisten können. Zu den typischen Datensicherungen zählt auch das Vorhalten von mehreren Komponenten der Datenverarbeitungssysteme, z. B. Serverspiegelungen oder RAID-Systeme256) für mehrere Massenspeichermedien. Weiterhin können das Vorhalten einer USV, die sichere und ausgelagerte 326 Aufbewahrung von Datenträgern und Datensicherung, Feuer- und Rauch___________ 255) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 32 DSGVO Rn. 38. 256) Redundant Array of Independent Disks – Organisation mehrerer Speichermedien, um z. B. eine höhere Ausfallsicherheit zu schaffen.
103
F. Aus der Praxis – Datenschutz in der Kanzlei
meldeanlagen, ein entsprechender Virenschutz sowie viele weitere Vorkehrungen zu den Maßnahmen gehören, die der Verfügbarkeitskontrolle zuzurechnen sind. Wie bei allen anderen Maßnahmen auch, die zum Schutze der Daten getroffen werden, findet die Prüfung im Rahmen der Risikoabwägung und unter Findung eines für die jeweils vorliegenden Daten angemessenen Schutzniveaus statt. h) Zuverlässigkeit und Belastbarkeit 327 Die Zuverlässigkeit geht einher mit der Verfügbarkeitskontrolle und ist von dieser nur schwerlich zu trennen. Grundsätzlich bedarf es der Sicherstellung der Funktion des Systems und der Möglichkeit, dass Fehlfunktionen des Verarbeitungssystems erkannt und bestenfalls gemeldet werden. Dabei ist die Belastbarkeit der Verarbeitungssysteme ein hoher Indikator dafür, wie zuverlässig die Verarbeitungssysteme funktionieren, auch bei besonders hoher Belastung. 328 Ein System zur Verarbeitung personenbezogener Daten wird dann als belastbar bezeichnet, wenn es in der Lage ist, trotz Störung und Fehler funktionsfähig zu bleiben, und weiterhin die Sicherheit der Daten gewährleisten kann. Auch sollten die Systeme gezielte Angriffe von außen, die eine Überlastung der Systeme herbeizuführen in der Lage sind, entgegentreten können. Praxistipp: Regelmäßige Belastungstests der genutzten IT-Systeme können Schwachstellen aufdecken. Unter Zuhilfenahme von Spezialisten können die Systeme Stresstests unterzogen werden, um ein dauerhaftes angemessenes Schutzniveau aufrechtzuerhalten.
i) Datenschutzmanagementsystem 329 Das Prinzip eines Datenschutzmanagementsystems ist nicht neu. Dem Insolvenzverwalter ist ein ähnliches System bereits vom Qualitätsmanagement bekannt. Die Verpflichtung zur Einführung eines Datenschutzmanagementsystems ergibt sich aus den Rechenschaftspflichten und den weiteren Pflichten des Verantwortlichen. Auch die umfangreichen Dokumentationspflichten und die Erwirkung eines umfassenden Schutzes der personenbezogenen Daten bedürfen der Schaffung von einheitlichen Abläufen und Prozessen. 330 Nicht zuletzt die bestehenden Rechenschaftspflichten, wie sie in Art. 5 Abs. 1, 2 DSGVO festgehalten sind, und die weitreichenden Nachweispflichten, die einen Verantwortlichen treffen, bedürfen der Organisation und Umsetzung. Der Insolvenzverwalter als Verantwortlicher kommt nicht umhin, ein Datenschutzmanagementsystem einzuführen, seine Mitarbeiter dahingehend genauestens zu informieren und dieses auch zu leben. 331 Die DSGVO macht keine Vorgaben, wie ein solches Datenschutzmanagementsystem aufzubauen ist bzw. was dieses beinhalten muss. Vom Grund104
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
satz hat ein Datenschutzmanagementsystem alle Dokumentationen hinsichtlich der einzelnen Verarbeitungstätigkeiten zu enthalten und die Regelungen, Prozesse und Maßnahmen darzustellen, um alle datenschutzrelevanten Vorgänge zu kontrollieren und steuern zu können. Bei der Umsetzung sollte der Verantwortliche sich auf Erfahrungen mit anderen Managementsystemen stützen. Es ist denkbar, ein solches System in ein bestehendes Managementsystem (z. B. das QM-System) zu integrieren bzw. an dieses anzuhängen und mit der Schaffung von Prozessen Abläufe zu gestalten, um die datenschutzrechtlichen Vorgaben zu erfüllen. Es ist nötig, Ziele zu entwickeln, die mithilfe des Datenschutzmanagement- 332 systems erreicht werden sollen. Diese Ziele, die u. a. in der Senkung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder auch in der Begrenzung möglicher Schäden für Betroffene liegen können, gilt es herunterzubrechen und den zu entwerfenden Prozessen und Maßnahmen voranzustellen. Dabei ist im Rahmen eines kontinuierlichen Verbesserungsprozesses auch auf altbewährte Methoden zurückzugreifen. Die Erstellung der einzelnen Prozesse kann unter Beachtung des sog. PDCA-Zyklus257) erfolgen. Das entwickelte Datenschutzmanagementsystem, mit den dort enthaltenen 333 Prozessen, Abläufen und Maßnahmen kann gegenüber der Aufsichtsbehörde auch als Nachweis dienen, dass bei dem Insolvenzverwalter die datenschutzrechtlichen Vorgaben umgesetzt und erfüllt werden. Um der Nachweis- und Rechenschaftspflicht gegenüber der Aufsichtsbehörde schnell und wirksam nachkommen zu können, bedarf es einer zentralen Regelung hinsichtlich der Aufbewahrung der Dokumentationen der einzelnen Vorgänge, wie sie ein Datenschutzmanagementsystem beinhalten kann. Ratsam ist es weiterhin, die einzelnen Vorgaben und Pflichten prozessge- 334 steuert zu verinnerlichen, eine für alle Mitarbeiter zugängliche zentrale Dokumentation der einzelnen Prozesse vorzuhalten und die so entstandenen Datenschutzmanagementprozesse258) einer regelmäßigen Überprüfung zu unterziehen. Praxistipp: Die datenschutzrechtliche Literatur setzt durchgängig Datenschutzmanagementsysteme259) auch zum Nachweis der Rechenschaftspflichten nach der DSGVO voraus. Zu Recht: Als „Ausläufer“ einer unternehmerischen Compliance, letztlich aber auch einer modernen und qualitätsorientierten Insolvenzverwaltung, werden sich Insolvenzkanzleien zukünftig für sich, aber auch für die schuldnerische EDV, entsprechenden Datenschutzstandards nicht mehr verschließen können und dürfen.
___________ 257) PDCA-Zyklus (Plan, Do, Check, Act) beschreibt die vier Phasen eines kontinuierlichen Verbesserungsprozesses und ist Bestandteil vieler Qualitätsmanagementsysteme. 258) Neben sonstiger Essentialia wie einem Datenschutzbeauftragten etc. 259) Dazu ausführlich Jung, ZD 05/2018, 208.
105
F. Aus der Praxis – Datenschutz in der Kanzlei Mithilfe des Qualitätsmanagements können Prozesse entworfen werden, die die Einhaltung der datenschutzrechtlichen Vorschriften gewährleisten. Folgende Prozesse seien beispielhaft aufgezählt: x Prozess zur datenschutzrechtlichen Nachweispflicht und Dokumentation. x Prozess zum Führen des Verzeichnisses von Verarbeitungstätigkeiten. x Prozess zur Durchführung von Datenschutzfolgenabschätzung. x Prozess zur Erfüllung von Informationspflichten bei der Datenerhebung. x Prozess zur Behandlung von Datenpannen und deren Meldepflichten.
335 Weiterhin gibt es viele externe Anbieter, die umfangreiche Softwarelösungen für Datenschutzmanagementsysteme anbieten. j) Reaktionsmanagement 336 Das Reaktionsmanagement oder auch Incident-Response-Management sollte bestenfalls vor dem Eintreten einer Sicherheitsverletzung bereits eine Reaktion auf die mögliche Sicherheitsverletzung vorhalten. Weiterhin greift das Reaktionsmanagement ein, wenn es zu Schadensereignissen kommt, und beschreibt das Vorgehen, wie eine entsprechende Reaktion auf dieses Ereignis zu erfolgen hat. 337 Vorangehen muss eine Analyse der potenziellen Schadensereignisse. Im Anschluss entwickelt der Verantwortliche aus der Analyse Maßnahmen, die in bestimmten Fällen zu ergreifen sind. Beispiel: Als Beispiel sei hier eine Datenpanne aufgeführt: Der Administrator des Insolvenzverwalters stellt im Rahmen der routinemäßigen Überprüfung der IT-Systeme fest, dass auf bestimmte Datenbestände von außerhalb des Netzwerkes zugegriffen wurde. Die im Rahmen des Reaktionsmanagement festgehaltenen Sofortmaßnahmen werden umgehend eingeleitet: 1. Ergreifung von Erstmaßnahmen (Port-Schließung, Änderungen der Sicherheitseinstellung der Firewall, ggf. Trennung des betroffenen Bereichs vom Netzwerk) 2. Einleitung von Notfallmaßnahmen (Prüfung der betroffenen Datenbestände auf Beschädigung, ggf. Wiederherstellung der Datenintegrität) 3. Erfüllung von Informationspflichten (Prüfung ob Information der Behörde und des Betroffenen notwendig) 4. Prüfung der Ursachen und der Angriffspunkte 5. Dokumentation der Vorgänge 6. Entscheidung über erforderliche Ressourcen zur Verbesserung
106
IV. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
k) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) Dieser Bereich, der entsprechend in den TOM Niederschlag findet, bezieht sich 338 auf Maßnahmen, die im Zusammenhang mit den Begriffen „Privacy by Design“ und „Privacy by Default“ Anwendung finden. Dabei handelt es sich um die Implementierung von Maßnahmen unter Beachtung der Maßgabe, dass die Einhaltung des Datenschutzes bereits im Vorfeld der Verarbeitung beachtet werden muss. Privacy by Design bezeichnet dabei Maßnahmen (meist technischer Art), bei denen die Technikgestaltung bei der Erarbeitung von Datenverarbeitungsvorgängen bereits im Vorfeld im Vordergrund steht. So sollen bereits im Rahmen der Entwicklung der Software und Hardware die datenschutzrechtlichen Belange beachtet werden. Eine Maßnahme, die unter diesen Begriff subsumiert werden kann, ist die Einräumung der Möglichkeit für die Betroffenen, ihr Widerrufsrecht mit einfachen technischen Mitteln auszuüben. Der Begriff „Privacy by Default“ spiegelt Maßnahmen wieder, die es ermög- 339 lichen, die Grundeinstellung der einzelnen Verarbeitungssysteme im Voraus bereits datenschutzrechtlich freundlich zu gestalten, um auch weniger erfahrenen Nutzern die Möglichkeit zu bieten, entsprechende datenschutzrechtliche Einstellungen nach den Grundsätzen des Datenschutzrecht zu verwenden. Als Beispiel sind Trackingeinstellungen von Internetbrowsern aufzuzählen. Die in Anspruch genommenen Maßnahmen sollen den Grundsätzen der Datenvermeidung und der Datensparsamkeit Ausdruck verleihen. l) Auftragskontrolle Die Auftragskontrolle umfasst u. a. Maßnahmen, die vom Verantwortlichen 340 bei der Kontrolle der von ihm genutzten Auftragsverarbeiter zu ergreifen sind. Die personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, dürfen nur gemäß der Weisung des Verantwortlichen verwendet werden. Dies hat der Verantwortliche mit den niedergelegten Maßnahmen zu gewährleisten. Die zu dokumentierenden Maßnahmen beinhalten die Auswahl des jeweili- 341 gen Auftragnehmers unter den Gesichtspunkten der Sorgfalt, die vorhergehende Prüfung der durch den Auftragnehmer mitgeteilten und bei diesem getroffenen Sicherheitsmaßnahmen, den Abschluss entsprechender Vereinbarungen gemäß Art. 28 DSGVO und die Einhaltung der wirksamen Kontrollrechte des Verantwortlichen.260) Weiterhin hat der Verantwortliche im Rahmen der Auftragskontrolle sicher- 342 zustellen, dass der Auftragnehmer nur Subunternehmer einsetzt, die ebenso die datenschutzrechtlichen Vorgaben erfüllen. Hierzu bedarf es entsprechender Nennungen der Subunternehmer in der Vereinbarung über den Auftrag zur Verarbeitung personenbezogener Daten. ___________ 260) Reisener/Weiß, InsbürO 9/2018, 336.
107
F. Aus der Praxis – Datenschutz in der Kanzlei
V. Weitere interne Maßnahmen für den Datenschutz 1. Auftragsverarbeiter 343 Grundsätzlich besteht die Möglichkeit einer Beauftragung Dritter und die damit einhergehende Übertragung von Daten durch den Insolvenzverwalter auf diese.261) Diese Beauftragungen sind die Regel, insbesondere bei ITDienstleistungen, Softwareanbietern, Archivaren, Be- und Verwerter, Personalbearbeiter etc. Der Auftragsverarbeiter als Auftragnehmer des Verantwortlichen verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, der die Zwecke und Mittel hinsichtlich der Verarbeitung bestimmt. 344 Eine Definition von „Zweck“ lautet: „Erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“. Die Definition von „Mittel“ verweist auf die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“.262) Die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem liegt demnach in der Entscheidungsmacht über die Verarbeitung. Allerdings können Entscheidungen im geringen Umfang, die den Schutz der Daten betreffen und sich auf die technischen und organisatorischen Maßnahmen beziehen, auch an den Auftragsverarbeiter delegiert werden.263) 345 Zunächst gilt es zu klären, ob es sich tatsächliche um eine Auftragsverarbeitung für den Insolvenzverwalter handelt oder eine neue Verantwortlichkeit entstehen würde. Grob gesagt liegt der Unterschied darin, dass im Rahmen einer neuen Verantwortlichkeit der Auftragnehmer sein Handeln für die Erfüllung der Tätigkeit vollständig selbstbestimmt, z. B. bei Beauftragung eines Steuerberaters oder externen Rechtsanwalts. In der Stellungnahme der DSK264) wird eine grobe Einteilung vorgenommen, wer als Auftragsverarbeiter nicht infrage kommt. Bezug nehmend auf diese Stellungnahme vertritt das BayLDA die Ansicht, dass der Steuerberater selbst dann nicht als Auftragsverarbeiter zählt, wenn dieser ausschließlich die Lohnbuchhaltung vornimmt.265) In diesem Fall bedarf es einer Rechtsgrundlage für die Übertragung der Daten. Es ist also u. a. auf die standesrechtliche Selbstständigkeit des von dem Insolvenzverwalter beauftragten Dritten abzustellen. Ebenso liegt keine Auftragsverarbeitung vor, wenn die Verarbeitung durch eine gemäß Art. 26 DSGVO gemeinsame Verantwortlichkeit geprägt ist. 346 Für die Auftragsverarbeitung gemäß Art. 28 ff. DSGVO, die beispielsweise bei Beauftragung eines Verwerters zum Tragen kommt, muss zwischen Auftragnehmer (z. B. Be- und Verwerter) und Auftraggeber (also Insolvenzverwalter) eine Vereinbarung geschlossen werden, die die Vorgaben des Art. 28 ___________ 261) 262) 263) 264) 265)
108
Reisener/Weiß, InsbürO 10/2018, 384. Artikel-29-Datenschutzgruppe, WP169, S. 16 ff. DSK-Kurzpapier Nr. 13, Stand 16.1.2018, S. 1. DSK-Kurzpapier Nr. 13, Stand 16.1.2018, S. 4. BayLDA, FAQ-DS-GVO v. 20.7.2018 – Muss mit Steuerberatern ein Vertrag zur Auftragsverarbeitung nach der DS-GVO geschlossen werden?
V. Weitere interne Maßnahmen für den Datenschutz
DSGVO ausführlich beschreibt und die weisungsgemäße Umsetzung bestimmt.266) Ein einheitliches Formular für eine Auftragsverarbeitungsvereinbarung gibt es nicht, jedoch sind einige Muster267) als auf die jeweilige Kanzlei konkret anzupassende Vorlagen vorhanden. Die Auftragsvereinbarung muss schriftlich abgefasst werden, was aber auch 347 in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO). Somit ist grundsätzlich ein Abschluss einer solchen Vereinbarung auch per E-Mail möglich und bedarf keiner eigenhändigen Unterschrift. Zum Teil wird vertreten, dass der Abschluss nur mit einer entsprechenden Signatur erfolgen kann.268) In der Vereinbarung sind zwingend alle Vorgaben aus dem Art. 28 Abs. 2, 3 DSGVO zu regeln. Praxistipp: Prüfen Sie, welche Dienstleister Sie nutzen, ob diesen personenbezogene Daten übergeben werden oder diese Zugriff auf die Daten nehmen können und dafür eine Rechtsgrundlage vorliegt. Im Anschluss ist zu schauen, ob es für diese Dienstleistung einer Auftragsvereinbarung bedarf. Grundsätzlich kann davon ausgegangen werden, dass fast jede Dienstleistung, die nicht von einem Berufsträger für den Insolvenzverwalter oder die Kanzlei erbracht wird, eine Auftragsverarbeitung darstellt. Dabei kann es sich z. B. um IT-Dienstleistungen, Softwareanbieter, Personaldienstleistungen, Dienstleistungen rund um die Vernichtung von Daten oder auch Archivierungsdienstleistungen handeln. Keine Auftragsverarbeiter sind jedenfalls Berufsträger, Inkassobüros bei der Übertragung von Forderungen, Bankinstitute bei der Abwicklung des Geldverkehres, Postdienstleistungen oder Botendienste.
2. Klärung hinsichtlich der privaten Nutzung des E-Mail-Accounts u. Ä. Bereits die Nutzung des dienstlichen E-Mail-Accounts durch die Beschäftig- 348 ten stellt den Insolvenzverwalter für den internen Kanzleibereich vor datenschutzrechtliche Fragen. Es besteht zum Teil das Bedürfnis aufseiten des Insolvenzverwalters, Einsicht in die E-Mail-Postfächer seiner Beschäftigten nehmen zu können, wenn diese aufgrund einer länger andauernden Krankheit oder auch aufgrund eines Arbeitgeberwechsels nicht verfügbar sind. Dabei ist nicht das Durchsuchen der Postfächer nach Fehlern der Beschäftigten gemeint, sondern lediglich der dienstlich bedingte Zugriff.
___________ 266) Reisener/Weiß, InsbürO 10/2018, 384. 267) Zum Beispiel der GDD = Gesellschaft für Datenschutz und Datensicherheit e. V., https://www.gdd.de > Links/Materialien > Mustervereinbarung zur Auftragsverarbeitung; auch Deutsche Anwaltsvereins: www.anwaltverein.de > Praxis > Datenschutz: Download von Merkblättern, Musterverträgen, Checklisten etc. (Stand: 8.10.2018). 268) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 28 DSGVO Rn. 75.
109
F. Aus der Praxis – Datenschutz in der Kanzlei
a) Private Nutzung – erlaubt oder geduldet 349 Problematisch wird es insbesondere dann, wenn der Insolvenzverwalter den dienstlichen E-Mail-Account zur privaten Nutzung (konkludent) freigegeben hat bzw. die private Nutzung anderweitig duldet. Datenschutzrechtlich zu betrachten sind in diesem Zusammenhang die angefallenen personenbezogenen Daten sowohl der Beschäftigten als auch ihrer Kommunikationspartner. Hier sind ggf. neben dem Datenschutzrecht auch die Vorgaben des Telekommunikationsgesetzes (TKG) bzw. des Telemediengesetzes (TMG) zu beachten. Auch wäre aus datenschutzrechtlicher Sicht die Archivierung des E-Mail-Verkehrs bzw. von dessen Teilen erschwert, wozu der Insolvenzverwalter gemäß der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) verpflichtet ist. aa) Gegenläufige Ansichten 350 Seit Jahren besteht hierzu eine kontroverse Diskussion inwieweit der Arbeitgeber beim Vorliegen der entsprechenden Voraussetzungen als Anbieter von Telekommunikationsdienstleistungen i. S. d. § 3 Nr. 6 TKG angesehen werden muss.269) Nach Auffassung einzelner Aufsichtsbehörden ist der Arbeitgeber in dem Fall, da er die private Nutzung des dienstlichen E-Mail-Accounts erlaubt oder auch duldet, Telekommunikationsdienst- bzw. Telemediendienstanbieter und muss das Fernmeldegeheimnis gemäß § 88 Abs. 2 Satz 1 TKG beachten.270) Dies hätte eine Strafbarkeit des Insolvenzverwalters gemäß § 206 StGB zur Folge, wenn dieser ohne Einwilligung des betroffenen Mitarbeiters Einsicht in das E-Mail-Postfach nimmt. 351 Die h. M. und Rechtsprechung lehnt eine solche Einordnung zumindest in der jüngeren Vergangenheit überwiegend ab.271) Dem ist sich anzuschließen. Leider verpassen es die DSGVO und auch der deutsche Gesetzgeber, bei der Umsetzung des BDSG zu diesem Thema eine klärende Antwort zu liefern. bb) Interessenabwägung 352 Dennoch ist unter Beachtung des § 26 BDSG die Frage hinsichtlich der Nutzung des dienstlich zur Verfügung gestellten Accounts vor einem etwaigen Zugriff auf das Postfach des Beschäftigten zu klären. Dies auch mit Hinweis auf die (wenn auch nur noch geringen) Einwände der Aufsichtsbehörden. Wenn eine private Nutzung erlaubt ist bzw. geduldet wird muss der Insolvenzver___________ 269) Kort, RdA 2018, 30. 270) DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, II. 2. b). 271) LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1181; VG Karlsruhe, Urt. v. 27.5.2013 – 2 K 3249/12, LSK 2013, 340480; VGH Mannheim Urt. v. 30.7.2014 – 1 S 1352/13, ZD 2014, 579.
110
V. Weitere interne Maßnahmen für den Datenschutz
walter davon ausgehen, dass der Inhalt des Postfachs auch private Dokumente umfasst, eventuell sogar besondere Kategorien von Daten gemäß Art. 9 DSGVO. Der Insolvenzverwalter muss in diesem Fall mithilfe einer Interessenabwägung die Entscheidung hinsichtlich des Zugriffs auf das Postfach treffen. Dabei ist davon auszugehen, dass bei einer geringen Möglichkeit von vorhandenen Daten, die umso höher anzusehen ist, wenn die Privatnutzung des Postfach geduldet ist, die Interessen des Beschäftigten als Betroffenen höher anzusetzen sind. Diese Interessenabwägung muss der Insolvenzverwalter abermals ausführlich dokumentieren. cc) Verhältnismäßigkeit des Zugriffs Führt die Interessenabwägung zur Erkenntnis, dass zur Wahrung der berechtig- 353 ten Interessen des Insolvenzverwalters ein Zugriff auf das Postfach erfolgen kann, ist weiterhin der Verhältnismäßigkeitsgrundsatz zu beachten. Der Insolvenzverwalter hat auch andere Möglichkeiten der Kenntniserlangung in Erwägung zu ziehen. Hierzu zählen auch die Benachrichtigung des abwesenden Beschäftigten, die Information hinsichtlich des geplanten Zugriffs und der Versuch, ggf. mithilfe des Beschäftigten die benötigten Informationen auf anderem Wege zu erlangen. Der Insolvenzverwalter hat alle zumutbaren Alternativen auszuschöpfen, bevor er Zugriff auf das Postfach des Beschäftigten nimmt. Kommt der Insolvenzverwalter im Rahmen der oben genannten Interessen- 354 abwägung und unter Beachtung der möglichen Handlungsalternativen zu dem Entschluss, dass ein Zugriff auf das Postfach zwangsläufig erfolgen muss und eine Rückkehr des Beschäftigten nicht abgewartet werden kann, empfiehlt es sich, diesen Zugriff nur unter Zeugen vorzunehmen. Des Weiteren muss darauf geachtet werden, möglichst von vorliegenden privaten Inhalten keine Kenntnis zu nehmen. Ist eine E-Mail als private E-Mail erkennbar, bedarf es keiner in Augenscheinname und diese darf auch nicht erfolgen. Es liegt in der Natur der Sache, dass der Insolvenzverwalter automatisch im 355 Rahmen der Sichtung des Postfachs Kenntnis von privaten E-Mails erlangt und somit im Zweifel auch Kenntnis hinsichtlich der Absender, der Betreffe und eventuellen Versanddaten. Da bei dieser Art der Sichtung des Postfachs automatisch die Privatsphäre des Beschäftigten verletzt wird bzw. die Gefahr einer Verletzung der Privatsphäre als sehr hoch anzusehen ist, wäre eine EDVgestützte Durchsuchung nach Stichwörtern anzuraten, sofern eine Möglichkeit dazu besteht. b) Exkurs: Kein Arbeitgeberzugriff auf gemischt genutzten Facebook-Account Das AG Brandenburg272) hatte sich mit der Frage zu beschäftigen, ob ein 356 Arbeitgeber Zugriff auf einen von ihm und dem (ehemaligen) Arbeitnehmer ___________ 272) AG Brandenburg, Urt. v. 31.1.2018 – 31 C 212/17, ZD 06/2018, 277.
111
F. Aus der Praxis – Datenschutz in der Kanzlei
gemeinsam genutzten Facebook-Account hatte. Daneben war streitig, ob der Arbeitgeber einen Anspruch auf Änderung sowie auf Untersagung einer Änderung durch den (ehemaligen) Arbeitnehmer hatte. Das Arbeitsgericht entschied letztlich zugunsten des Arbeitnehmers: Selbst der Aufbau eines Benutzerkontos durch den Arbeitnehmer „… mit Wissen und Wollen des Arbeitgebers gewährt diesem allein noch keine Herausgaberecht oder inhaltliche Änderungsansprüche.273)“ Praxistipp: Sind Sie gezwungen, auf ein Postfach eines Beschäftigten ohne dessen Beisein zuzugreifen, empfiehlt es sich, den Datenschutzbeauftragten, ein Betriebsratsmitglied oder einen neutralen Zeugen hinzuzuziehen.
c) Private Nutzung verbieten oder einschränken 357 Trotz oder gerade wegen dieser Problematik ist dem Insolvenzverwalter als Arbeitgeber anzuraten, eine klare Regelung hinsichtlich der privaten Nutzung des dienstlich zur Verfügung gestellten E-Mail-Accounts zu treffen und eine private Nutzung des E-Mail-Accounts zu untersagen. Damit wird dem Insolvenzverwalter die Möglichkeit eingeräumt, bei einer entsprechenden Veranlassung Zugriff auf die Postfächer der Beschäftigten zu nehmen. Eine solche Regelung kann im Rahmen einer Betriebsvereinbarung erfolgen. Auch besteht die Möglichkeit, die Privatnutzung unter ausdrücklichem Vorbehalt eines Zugriffs seitens des Insolvenzverwalters bei berechtigtem Interesse zu stellen. 358 Damit wäre ein Zugriff des Insolvenzverwalters unter Nutzung des Erlaubnistatbestandes des § 26 BDSG aufgrund der Notwendigkeit zur Durchführung des Arbeitsverhältnisses, sofern dies besteht, rechtmäßig. Auch die bestehenden Archivierungspflichten des Insolvenzverwalters setzen eine entsprechende Regelung voraus. 3. Regelung der Internetnutzung 359 Ähnlicher Überlegungen, wie bereits im Rahmen der Nutzung des dienstlichen E-Mail-Accounts, bedarf es in Bezug auf die Internetnutzung. Eine unentgeltliche Überlassung des Internetzugangs durch den Insolvenzverwalter führt nach zutreffender Ansicht (wie bereits bei der Überprüfung der Nutzung des dienstlichen E-Mail-Accounts) nicht dazu, dass der Insolvenzverwalter als Dienstanbieter i. S. d. TKG anzusehen ist.274) 360 Da aber, ebenso wie bei den E-Mail-Accounts, unterschiedliche Ansichten u. a. auch aufseiten der Aufsichtsbehörden vorliegen, empfiehlt es sich, die Privatnutzung zu untersagen. Dies insbesondere, da der Insolvenzverwalter ___________ 273) AG Brandenburg, Urt. v. 31.1.2018 – 31 C 212/17, LS 4, ZD 06/2018, 277. 274) Plath-Stammer/Kuhnke, BDSG/DSGVO, § 32 Rn. 113.
112
V. Weitere interne Maßnahmen für den Datenschutz
die Internetnutzung und den Datenverkehr auch hinsichtlich der Datensicherheit überwachen sollte und die Verarbeitung der Daten auch zu diesem Zweck erfolgen kann. Dies beinhaltet ebenso eine Protokollierung und somit Speicherung des Internetverkehrs. Der Anspruch an die Datensicherheit darf wiederum nicht in eine anlass- 361 und lückenlose Überwachung der Beschäftigten ausarten. Liegt der Zweck der Überwachung nicht in der Sicherstellung der Datensicherheit, sondern im Beschäftigungsverhältnis begründet, ist eine solche Maßnahme nur zur Durchführung des Arbeitsverhältnisses oder zur Aufdeckung einer Straftat rechtmäßig. Dann bedarf es aber eines konkreten Anlasses für eine Auswertung. 4. Schaffung eines Löschungskonzepts Ein Grundgedanke des Datenschutzes ist es, „so wenig wie möglich, so viel 362 wie nötig“ Daten zu verarbeiten. Ebenso spielt die zeitliche Komponente hinsichtlich der Aufbewahrung der Daten eine wichtige Rolle, immer gemäß dem Grundsatz der (zeitlichen) Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO. Entsprechend diesem Grundsatz dürfen personenbezogene Daten grundsätzlich nur so lange aufbewahrt werden, wie es ihr Verarbeitungszweck erfordert.275) Dies ist durch die bestimmten und festgelegten Löschfristen zu dokumentieren. Die Verpflichtung des Insolvenzverwalters zur Löschung von personenbezo- 363 genen Daten, deren Verarbeitungszweck erfüllt ist, ergibt sich aus Art. 17 Abs. 1 DSGVO. Es besteht die Pflicht des Verantwortlichen zur Löschung auf Verlangen des Betroffenen, sofern einer der Gründe vorliegt, die in Art. 17 Abs. 1 DSGVO aufgezeigt werden, Für den Antrag des Betroffenen zur Löschung seiner personenbezogenen Daten an den für die Verarbeitung Verantwortlichen gelten keine Formvorschriften.276) Die Pflicht zur Löschung trifft den Verantwortlichen beim Vorliegen einer 364 der genannten Gründe aber auch bereits ohne einen entsprechenden Antrag des Betroffenen. Dies führt dazu, dass der Verantwortliche hinsichtlich der Löschungsverpflichtungen regelmäßig und eigenständig zu prüfen hat, ob eine solche Verpflichtung bei den jeweiligen personenbezogenen Daten bestehen.277) Ausnahmen von der Löschungsverpflichtung ergeben sich u. a. aus den han- 365 delsrechtlichen Aufbewahrungspflichten. Weitere Ausnahmen finden sich in Art. 17 Abs. 3 DSGVO sowie im § 35 BDSG. Dennoch unterliegt der Verantwortliche der Rechenschaftspflicht, wie sie die DSGVO vorsieht. Der ___________ 275) Kleemann/Kader, DStR 2018, 1096. 276) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 12 DSGVO Rn. 42. 277) Vgl. Herbst, in: Kühling/Buchner, DS-GVO/BDSG, Art. 17 DSGVO Rn. 9 ff.
113
F. Aus der Praxis – Datenschutz in der Kanzlei
Verantwortliche muss seine Überlegung zur Löschung bzw. die Annahme, dass in dem jeweiligen Datenbestand eine Ausnahme gegeben ist, nachweislich dokumentieren. 366 Eine ausdrückliche Verpflichtung zur Erarbeitung eines Löschungskonzepts sieht die DSGVO nicht vor. An vielen Stellen im Gesetz wird aber auf entsprechende geeignete Maßnahmen hingewiesen und der Verantwortliche verpflichtet, diese zu ergreifen, um die Löschungspflichten zu erfüllen.278) Die Speicherfrist für personenbezogene Daten ist auf das unbedingt erforderliche Mindestmaß zu beschränken (ErwGr. 39 Satz 8 DSGVO). Auch hat der Verantwortliche Fristen zur Löschung der personenbezogenen Daten zu setzen und eine regelmäßige Überprüfung vorzunehmen, um zu verhindern, dass diese Daten länger als nötig gespeichert werden (ErwGr. 39 Satz 10 DSGVO). 367 Diese Vorgaben lassen den Verantwortlichen unter Beachtung der Rechenschaftspflicht kaum Raum, wenn es um die Dokumentation der Löschungsvorgänge und Löschungsfristen geht. Der Verantwortliche hat ein Löschungskonzept zu erarbeiten und die Überlegungen zu dokumentieren. Um ein Löschungskonzept zu erarbeiten, das ein wirksames Unterstützungsmittel für die Pflichterfüllung des Verantwortlichen darstellt, ist es zunächst nötig, die verarbeiteten Daten zu analysieren. Praxistipp: Der Insolvenzverwalter kann auf die Norm DIN 66398 zurückgreifen, welche Empfehlungen für die Erstellung eines solchen Löschungskonzepts ausspricht. Folgende Schritte werden von der DIN empfohlen: x Datenarten bestimmen x Datenarten Löschklassen zuordnen und Startzeit für Löschfristen festlegen x Löschregeln für die Datenarten definieren x Umsetzungsregeln festlegen x Verantwortlichen für die Umsetzung benennen x Dokumentation der veranlassten Maßnahmen x Überwachung der Löschung und Pflege der Dokumentation
5. Prüfung der Archivierung und Aufbewahrung 368 Die Archivierung von Geschäftsunterlagen bzw. Daten aus Verfahren stehen den umfangreichen Löschungspflichten, wie sie die DSGVO vorsieht, entgegen. Das Recht auf Löschung oder das Recht auf Vergessenwerden, wie es von der DSGVO auch bezeichnet wird, ergibt sich aus Art. 17 DSGVO. Demnach kann der Betroffene vom Insolvenzverwalter als Verantwortlichem ___________ 278) Paal/Pauly-Martini, DS-GVO/BDSG Art. 30 DSGVO Rn. 18.
114
V. Weitere interne Maßnahmen für den Datenschutz
verlangen, dass seine personenbezogenen Daten unverzüglich gelöscht werden, wenn einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. Des Weiteren ist der Insolvenzverwalter im Rahmen der Eigeninitiative ver- 369 pflichtet, die personenbezogenen Daten auch ohne Aufforderung des Betroffenen zu löschen, wenn z. B. der Zweck der Erhebung oder Verarbeitung obsolet und eine Verarbeitung der Daten nicht mehr notwendig ist.279) a) E-Mail-Archivierung Wie bereits erwähnt steht die grundsätzliche Löschungsverpflichtung der 370 Pflicht zur Archivierung des E-Mail-Verkehrs, sofern diese z. B. unter den Anwendungsbereich des § 257 Abs. 1 Nr. 4 HGB bzw. des § 147 AO fällt, entgegen. Für diesen und weitere Fälle finden sich in Art. 17 Abs. 3 DSGVO bzw. in § 35 BDSG Ausnahmen von der Löschungspflicht. Ist die Verarbeitung der personenbezogenen Daten erforderlich, auch über 371 die Zweckerreichung hinaus, so besteht die Verpflichtung zur Löschung nicht. Dies kann bei der Pflicht zur Archivierung der Fall sein. Die Erforderlichkeit der weiterführenden Aufbewahrung kann dabei u. a. in einer Erfüllung einer rechtlichen Verpflichtung (Aufbewahrungsfristen für Geschäftsunterlagen), in wissenschaftlichen oder historischen Forschungszwecken und in der notwendigen Verarbeitung zur Geltendmachung von Rechtsansprüchen liegen. Problematisch ist die Bestimmung, welche Daten unter diese Ausnahmen fal- 372 len und dementsprechend archiviert werden können und wie lange diese aufzubewahren sind. Auch sind weiterhin die Grundsätze des Datenschutzes zu beachten, so z. B. die Datenminimierung und die Speicherbegrenzung. Der Insolvenzverwalter oder die Kanzlei ist als Verantwortlicher auch aus diesem Grund gehalten, ein Löschungskonzept zu entwerfen, welches sich auch auf die Archivierung erstreckt, die Maßnahmen und Überlegungen zu den Löschungsvorgängen zu dokumentieren und das entworfene Löschungskonzept nachweisbar umzusetzen, dies auch aus Eigennutz und dem Schutz vor Bußgeldern.280) Beispielhaft sei nochmalig auf den Zugang von Bewerbungen abgestellt. Be- 373 werbungsunterlagen fallen nicht unter die Archivierungspflichten nach § 147 AO bzw. § 257 HGB. Bewerbungsunterlagen sowie Notizen aus Bewerbungsgesprächen sollten nicht länger als sechs Monate281) nach der Stellenbesetzung aufbewahrt und im Anschluss aufgrund der Zweckerfüllung gelöscht werden, es sei denn, es liegt eine Einwilligung des Betroffenen für eine längere ___________ 279) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 1. 280) Vgl. VG Karlsruhe, Urt. v. 6.7.2017 – 10 K 7698/16, BB 2017, 2449. 281) Dagegen sieht z. B. der LfDI Baden-Württemberg in seinem Ratgeber zum Beschäftigtendatenschutz eine Speicherung von drei Monaten nach Stellenbesetzung als ausreichend an.
115
F. Aus der Praxis – Datenschutz in der Kanzlei
Verarbeitung vor. Der Zweck ist streng genommen aber spätestens mit Stellenbesetzung erfüllt. Allerdings muss dem Arbeitgeber die Möglichkeit zuteilwerden, sich gegen eine Geltendmachung etwaiger Ansprüche durch den abgelehnten Bewerber verteidigen zu können. Praxistipp: Nach Möglichkeit sollte ein eigenes Postfach für den Eingang elektronischer Bewerbungen angelegt werden. Dieses Postfach kann von der Archivierung ausgeschlossen und im Löschungskonzept gesondert betrachtet werden sowie z. B. alle sechs Monate eine Prüfung der Inhalte vorsehen, um den bestehenden Löschungspflichten nachkommen zu können.
b) Altverfahren 374 Auch für Insolvenzverfahren und die aus diesen Verfahren erhobenen Daten sollten Regelungen zur Löschung im Löschungskonzept vorgehalten werden. Grundsätzlich ist der Zweck der Verarbeitung von personenbezogenen Daten, die im Rahmen einer Verfahrensbearbeitung erhoben wurden, mit dem Abschluss des Verfahrens oder der Abweisung des Verfahrens mangels Masse entfallen. 375 Demgegenüber stehen die gesetzlichen Aufbewahrungspflichten für einen Teil der Daten, die i. d. R. zehn Jahre betragen. Auch eine Geltendmachung von Rechtsansprüchen kann einer Löschung entgegenstehen. Denkbar wären in diesem Fall eine Verfahrensaufhebung aufgrund einer Antragsrücknahme und Ansprüche des vorl. Insolvenzverwalters oder Sachverständigen gegen den ehemaligen Insolvenzschuldner auf Zahlung der Vergütung. 376 Auch wäre per se eine Einschränkung der Verarbeitung gemäß § 35 BDSG denkbar, zumindest für die automatisierte Datenverarbeitung, wenn in der Löschung ein unverhältnismäßiger Aufwand zu sehen ist und das Interesse des Betroffenen an der Löschung als gering einzustufen ist. In diesem Fall kann der Zugriff auf die Daten durch den Verantwortlichen auch eingeschränkt werden i. S. d. Art. 18 DSGVO. Diese Voraussetzungen wären aber, insbesondere bei personenbezogenen Daten aus einem Insolvenzverfahren, nur bedingt nachweis- und dokumentierbar sein. 377 Die Ausnahmen von der Löschungsverpflichtung berechtigen aber im Umkehrschluss nicht zu einer unbegrenzten Verarbeitung und Speicherung.282) Auch dieser Zweck, der die Ausnahme bedingt, ist irgendwann erfüllt. Dann wiederum tritt die Löschungspflicht auch für diese Daten ein.
___________ 282) DSK-Kurzpapier Nr. 11, S. 2.
116
V. Weitere interne Maßnahmen für den Datenschutz Praxistipp: Insolvenzverfahren, die abgeschlossen und in denen alle Ansprüche erfüllt und ggf. Nachtragsverteilungen erfolgt sind, sollten hinsichtlich des Datenbestands geprüft werden. Zunächst muss bestimmt werden, welche Unterlagen und dazugehörigen personenbezogenen Daten aufgrund von bestehenden Aufbewahrungspflichten nicht gelöscht werden können. Alle anderen Daten und Unterlagen (Fragebögen, Anschreiben zu Terminen etc.) sollten nach Verfahrensbeendigung und der damit einhergehenden Zweckerfüllung gelöscht oder zumindest der Zugriff auf diese eingeschränkt werden. Selbige Vorgehensweise empfiehlt sich bei Verfahren, die mangels Masse abgewiesen wurden. Verfahren, die aufgrund einer Antragsrücknahme beendet wurden und bei denen aufgrund von Folgeanträgen die Möglichkeit besteht, dass eine neue Bestellung durch das Gericht stattfindet, sollten zumindest durch Zugriffsbeschränkungen geschützt und nach Möglichkeit verschlüsselt werden. Im Rahmen der Dokumentation wäre in dem Fall ein Hinweis auf Art. 17 Abs. 3 lit. b) DSGVO auf das berechtigte Interesse des Insolvenzverwalters bzw. der Kanzlei angebracht. Die gesetzliche Regelung spricht bei dieser Ausnahme zwar von der Wahrnehmung einer dem Insolvenzverwalter übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.283) Diese Aufgabe kann in den Fällen der Antragsrücknahme als erledigt betrachtet werden, aber ein Aufleben dieser Aufgabe durch einen Neuantrag kann eintreten. Allerdings sollte auch hier keine unendliche Speicherung vorgenommen werden.
6. Vernichtung von Datenträgern Die Vernichtung von Datenträgern aus kanzleiinterner Hardware oder von 378 nicht benötigten USB-Sticks und CD/DVDs bedarf einer genauen datenschutzrechtlichen Betrachtung. Ein einfaches Löschen der Datenträger reicht unter datenschutzrechtlichen Gesichtspunkten nicht aus, sofern auf diesen Datenträgern personenbezogene Daten gespeichert waren. Vor diesem Hintergrund müssen ebenso Kopierer, Drucker und Telekommunikationsanlagen284) u. v. m. betrachtet werden, da diese heutzutage ebenso über interne Speichermedien verfügen. Personenbezogene Daten, die sich auf Datenträgern befinden und entsorgt 379 werden sollen, müssen unwiderruflich und nicht wiederherstellbar gelöscht werden. Ein einfaches Verschieben der Daten in den elektronischen „Papierkorb“ reicht dafür nicht aus. Das Verschieben in den Papierkorb und auch das spätere Leeren desselben führt nicht zu einer datenschutzrechtlichen Löschung. Bei diesem Vorgang werden lediglich einzelne Bereiche des Speichers für ein neuerliches Überschreiben freigegeben. Findet das Überschreiben nachträglich nicht statt, sind die Daten mit einem entsprechenden (oft kostenlosen) Programm wiederherstellbar. ___________ 283) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 43. 284) Woltersdorf, INDat Report 02/2018, 16.
117
F. Aus der Praxis – Datenschutz in der Kanzlei
380 Eine Formatierung des Datenträgers führt ebenfalls nicht zwingend zu einer vollständigen Löschung der Daten. Bei einer solchen Aktion wird in der Regel nur die Dateiensystemstruktur verändert, die Daten hingegen können weiterhin in Bereichen des Speichermediums vorhanden sein. 381 Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für Fälle, in der der Verantwortliche die Datenträger selbstständig datenschutzrechtlich löschen will, die Datenträger mehrfach vollständig zu überschreiben. Es gibt spezielle Software, die durch mehrfaches Überschreiben die vorhandenen Daten vernichtet. In der Regel spricht man davon, dass die Daten siebenfach überschrieben werden müssen bevor diese nicht wiederherstellbar sind. Diese Methode führt dazu, dass die Datenträger im Anschluss an diesen Vorgang weiterhin nutzbar sind. 382 Auch eine physische Vernichtung der Datenträger kommt in Betracht, um personenbezogene Daten wirksam zu vernichten. Dies hat natürlich den gravierenden Nachteil, dass die Datenträger im Nachhinein verständlicherweise nicht mehr verwendbar sind. 383 Einen Problemfall könnten die vielfach vorkommenden Multifunktionsgeräte, Drucker und Telekommunikationsanlagen darstellen. Diese speichern auf ihren internen Datenträgern zum Teil personenbezogene Daten u. a. im Rahmen von Scanvorgängen. Da diese überwiegend von den jeweiligen Kanzleien geleast werden, bedarf es beim Austausch des Geräts einer Regelung. Natürlich kann die Kanzlei eine Herausgabe des Geräts nicht verweigern oder gar den Ausbau des internen Datenträgers vornehmen und diesen ggf. zerstören. In diesen Fällen empfiehlt es sich, eine Auftragsbearbeitung gemäß Art. 28 DSGVO mit dem jeweiligen Leasinggeber abzuschließen, in der dieser sich verpflichtet, im Auftrag des Auftraggebers (der Kanzlei) die vorhandenen personenbezogenen Daten einer datenschutzrechtlichen Vernichtung zuzuführen. Praxistipp: Mittlerweile gibt es eine große Anzahl von Dienstleistungsunternehmen, die durch eine Auftragsverarbeitung die Vernichtung von Datenträgern mit personenbezogenen Daten vornehmen und meist zeitgleich die Entsorgung übernehmen. Bei der Nutzung dieser Dienstleistungsunternehmen ist seitens der Kanzlei darauf zu achten, dass der Kanzlei als Auftraggeber ein Zertifikat im Anschluss an die Vernichtung ausgehändigt wird, welches die datenschutzrechtliche Löschung oder Vernichtung des Datenträgers nachweist. Dieses Zertifikat sollte entsprechend aufbewahrt werden und ggf. als Nachweis gegenüber der Aufsichtsbehörde dienen.
7. Regelungen für Notebooks und Handys 384 Der Insolvenzverwalter als Verantwortlicher sollte außerdem Regelungen für die Nutzung von dienstlich genutzten Notebooks und Handys treffen. Diese
118
V. Weitere interne Maßnahmen für den Datenschutz
Regelungen sind ebenso Bestandteil der technischen und organisatorischen Maßnahmen. Im Rahmen des Datenschutzmanagements sind für die Mitarbeiter verbindliche Prozesse festzulegen, die bei der Nutzung der Geräte einzuhalten sind. Zunächst sind Vorgaben für die Zugänge zu benennen. Die Geräte müssen 385 über einen sicheren Passwortschutz vor unberechtigtem Zugriff geschützt werden (siehe Rn. 309 ff.). Dabei sind die selbigen Passworteinstellungen vorzunehmen, wie Sie auch die Passwortrichtlinie auf den internen Systemen vorsieht. Des Weiteren ist die Möglichkeit zu schaffen, die vorhanden dienstlichen Geräte aus der Ferne zu deaktivieren bzw. löschen zu können. Bei Verlust der Geräte wäre eine solche Fernlöschung eine Maßnahme, die erforderlich sein könnte, um die auf den Geräten vorhandenen personenbezogenen Daten zu schützen. Ein Verlust eines dienstlichen Geräts führt unweigerlich zur Prüfung ob eine meldepflichte Datenpanne (siehe Rn. 438 ff.) vorliegt. Wenn die Möglichkeit besteht, das entsprechende Gerät aus der Ferne löschen zu können, dürfte eine Meldepflicht entfallen, da nach der Löschung nur noch ein geringes Risiko für die Betroffenen vorliegen dürfte. Auch ist eine Regelung denkbar, die Mitarbeitern untersagt, auf den Dienst- 386 geräten Software ohne Rücksprache mit der IT-Abteilung oder mit dem Datenschutzbeauftragten zu installieren. Dies kann auch einfach voreingestellt werden, indem eine Installation nur der Administrator vornehmen kann. Der Umgang mit gängiger und datenschutzrechtlich problembehafteter Software oder Applikationen, wie etwa bekannte und häufig genutzte Chatmanager,285) sollte ebenso geregelt werden. Große datenschutzrechtliche Bedenken bestehen bereits bei der Installation 387 dieser Programme. Für die Funktionsweise dieser Applikationen ist es i. d. R. notwendig, die vollständige Kontaktliste für die Verwendung der Applikation freizugeben. Bereits in der Zurverfügungstellung der Kontaktdaten kann eine unrechtmäßige Übermittlung von personenbezogenen Daten liegen. Es wird erfahrungsgemäß keine Einwilligung sämtlicher Kontakte zur Übermittlung vorliegen. Auch fehlt es bei einer solchen Möglichkeit an der Informiertheit der Betroffenen und per se wird nicht bekannt sein, wie die Kontaktdaten im Nachhinein von der Applikation Verwendung finden und an wen diese weitergegeben werden. Des Weiteren sind sichere und unterstützende Arbeitsmittel zu nutzen. So 388 könnten für Notebooks und Handys sog. Containerlösungen genutzt werden. Auch ist die Möglichkeit der Nutzung einer Blickschutzfolie zu prüfen. Der Verantwortliche muss dafür Sorge tragen, dass der Verarbeitung von personenbezogenen Daten auch auf externen Geräten der Mitarbeiter ein ___________ 285) Insbesondere Instant-Messaging-Dienst, dessen Verwendung aus datenschutzrechtlicher Sicht umstritten ist.
119
F. Aus der Praxis – Datenschutz in der Kanzlei
entsprechendes und benötigtes Schutzniveau zuteilwird; und dies auch auf aktuellem Stand der Technik. Praxistipp: Es gibt eine Vielzahl von Anbietern mit entsprechenden Komplettlösungen für den aus Datenschutzsicht sicheren Einsatz von Notebooks und Handys. Diese sehen u. a. Containerlösungen (sicherer Bereich für die betreffenden Daten auf den Geräten), Möglichkeiten der Fernlöschung und Ortung vor. Auch andere Sicherheitsmaßnahmen sind bereits auf dem Markt verfügbar. Als grundsätzlicher Schutz ist zu empfehlen, eine Blickschutzfolie oder auch Sichtschutzfolie zu verwenden. Die Nutzung einer solchen Folie führt dazu, dass die Anzeige des Geräts nur bei direkter Sicht erkennbar ist und z. B. der Sitznachbar im Flugzeug keine Möglichkeit hat, die aufgerufenen Daten zu identifizieren. Auch sollte immer die Möglichkeit der Fernlöschung gegeben sein.
8. Sensibilisierung der Mitarbeiter 389 Unabdingbar für den Schutz der personenbezogenen Daten, der Systeme der Verarbeitungstätigkeiten und letztlich auch zum Schutz des Unternehmens selbst, ist die stetige Sensibilisierung der Mitarbeiter hinsichtlich der Einhaltung der datenschutzrechtlichen Vorgaben. Alle Maßnahmen, die der Verantwortliche ergreift oder vorsieht, funktionieren nur, wenn auch die Mitarbeiter sensibilisiert sind, das bestehende Risiko kennen und sich dessen bewusst sind. Den Mitarbeitern sollte z. B. durch Schulungen die Wichtigkeit ihres Handelns für den Schutz der Verarbeitungstätigkeiten der Daten aufgezeigt werden. Es muss versucht werden, Verständnis für die ergriffenen Maßnahmen und deren Einhaltung bei den Mitarbeitern zu verankern. Nur durch diese Erkenntnis und die Akzeptanz der Mitarbeiter ist es möglich, dass das eingerichtete Datenschutzmanagement in seiner Gänze Anwendung findet und nur so der Erfolg des Unternehmens gesichert werden kann. 390 Die Sensibilisierung der Mitarbeiter und deren Schulung ist Aufgabe des Datenschutzbeauftragten (siehe Rn. 195 ff.). Ob dies in Präsensveranstaltungen oder über interne Benachrichtigungen geschieht, spielt dabei keine Rolle, allerdings sollten diese Maßnahmen hinsichtlich ihrer Wirksamkeit überprüft werden. Der Insolvenzverwalter als Verantwortlicher sollte sich bewusst sein, dass jeder Verstoß gegen den Datenschutz empfindliche Bußgelder und/ oder Schadensersatzansprüche nach sich ziehen kann und dies auch gilt, wenn Mitarbeiter aufgrund von Unwissenheit oder aber Unachtsamkeit eine entsprechende Datenpanne verursachen. 391 Auch die Gefahr, dass bei fehlender Aufklärung hinsichtlich aktueller Bedrohungen, z. B. durch Malware286) per E-Mail, die eigenen Systeme Schaden nehmen, ist neben der Bedrohung für die Daten der Betroffenen ein ernstzu___________ 286) Wird als Oberbegriff für Schadsoftware genutzt, bezeichnet u. a. Viren, Würmer, Trojaner etc.
120
VI. Rechte Betroffener
nehmendes Risiko für die Kanzlei. Die finanziellen Risiken für Reparaturarbeiten und Neuanschaffungen stehen genauso im Raum wie der Imageverlust der Kanzlei. Auch sollte sich jeder Insolvenzverwalter die Frage stellen, inwieweit das Gericht aufgrund der Information, dass die Systeme des Insolvenzverwalters nicht sicher sind und er mit personenbezogenen Daten nicht datenschutzkonform umgeht, seine Bestellpraxis eventuell ändert. Praxistipp: Anzuraten ist, mindestens zweimal im Jahr die Mitarbeiter zu datenschutzrechtlichen Probleme zu schulen. Dabei hat sich in der Praxis herausgestellt, dass die Schulungen abteilungsbezogen mit aktuellen Beispielen aus dem täglichen Betrieb für die Mitarbeiter und somit auch für den Datenschutz am nachhaltigsten sind. Auch bei aktuellen Bedrohungen sollten die Mitarbeiter auf die Gefahren aufmerksam gemachen werden. Das BSI287) gibt Warnungen zu aktuellen Bedrohungen heraus, wie diese aussehen und wie sich die Gefahr darstellt. Wenn diese Informationen für den Insolvenzverwalter oder die Kanzlei relevant sind, sind sie den Mitarbeitern asap zur Verfügung zu stellen.
Beispiel: Eine Zeitlang sind gefälschte Bewerbungen verschickt worden. Diese Bewerbungen enthielten einen unauffälligen Bewerbungstext, eine Bilddatei und einen weiteren Dateianhang. Dieser Dateianhang sah vor, dass nach Auswahl ein Programm installiert wurde, das den PC sperrte und nach der Bezahlung einer „Lösegeldforderung in Bitcoins“ die Freigabe in Aussicht stellte. Das BSI hatte bereits eine Warnung herausgegeben. Wird der Anhang der Mail versehentlich aktiviert, sollten die betreffenden PCs sofort vom Netzwerk getrennt werden. Es war zwingend angezeigt, die Mitarbeiter aus dem Bereich Personal und auch dem Empfangsbereich für diese Art der Eingänge zu sensibilisieren. Noch am selbigen Tag gingen E-Mails ein mit den genannten Inhalten. Die Mitarbeiter waren aufgrund der frühen Information vorgewarnt und reagierten entsprechend. Natürlich wurden in der Folgezeit auch Bewerbungen gemeldet, die willkommen waren, aber gleichzeitig zeigte sich, dass diese Vorgehensweise ihren Zweck nicht verfehlt hat. Und jedem Verantwortlichen bzw. jedem Datenschutzbeauftragten wird es wahrscheinlich lieber sein, Fehlmeldungen zu untersuchen, als einmal auf diesem Weg Bekanntschaft mit Kryptowährung zu machen bzw. das System neu aufzusetzen. VI. Rechte Betroffener Die Rechte der Betroffenen sind in der DSGVO im dritten Kapitel festge- 392 schrieben und werden im BDSG noch einmal in bestimmen Bereichen konkretisiert. In den Artt. 12 – 23 DSGVO sind die Rechte der Betroffenen nor___________ 287) Bundesamt für Sicherheit in der Informationstechnik.
121
F. Aus der Praxis – Datenschutz in der Kanzlei
miert. Art. 12 DSGVO statuiert das Transparenzgebot für den Verantwortlichen bei der Unterrichtung der Betroffenen288) und regelt in den Abs. 2 – 6 die Verfahrensabläufe bei der Ausübung der Betroffenenrechte. Artt. 12 Abs. 1 DSGVO verpflichtet den Verantwortlichen, geeignete Maßnahmen zu treffen, um den Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form alle Informationen, die sich aus Artt. 13 und 14 DSGVO ergeben, und alle Mitteilungen, die zur Erfüllung der Anforderungen der Artt. 15 – 22, 34 DSGVO notwendig sind, zu übermitteln (Art. 12 Abs. 1 DSGVO). 393 Exkurs: Im Zusammenhang mit der Informationsverpflichtung eines Betroffenen muss sich eine Insolvenzkanzlei immer auch § 43 Abs. 1 und 2 BDSG 2018 vor Augen halten. Als Beispiel sollen wieder die Regelungen des § 30 BDSG zu Verbraucherkreditverträgen dienen. Wird ein Verbraucher entgegen § 30 Abs. 2 Satz 1 BDSG 2018 durch die Insolvenzkanzlei nicht richtig und vollumfänglich informiert, kann diese Ordnungswidrigkeit mit bis zu 50.000,– € Bußgeld sanktioniert werden (§ 43 Abs. 1 Nr. 2 BDSG 2018). 394 Der Art. 12 Abs. 1 DSGVO ist als Generalklausel zur Transparenz der Informationen und Mitteilungen zu verstehen.289) Die Regelungen zu den Betroffenenrechten in den §§ 32 – 37 BDSG sehen gemäß der Konkretisierungsklausel in Art. 23 DSGVO punktuelle Beschränkungen der Rechte der Betroffenen vor.290) 1. Allgemeines 395 Der Insolvenzverwalter hat die Rechte der Betroffenen auch außerhalb einer Verfahrensabarbeitung zu beachten. Im Rahmen der internen Kanzleiabläufe ist es u. a. notwendig, dass Beratungsmandanten, ggf. Lieferanten, Dienstleister und sonstige Dritte, deren personenbezogenen Daten durch die Kanzlei verarbeitet werden, Informationen gemäß Art. 13 bzw. Art. 14 DSGVO durch den Insolvenzverwalter zuteilwerden. 396 Des Weiteren ist der Insolvenzverwalter als Verantwortlicher gefordert, dem Auskunftsersuchen eines Betroffenen nachzukommen und die entsprechenden Auskünfte zu erteilen, sofern eine Verpflichtung hierzu vorliegt. Denkbar wäre dies z. B. bei einem ehemaligen Mitarbeiter, der eine entsprechende Anfrage an die Kanzlei stellt. Die beschriebenen Verfahrensabläufe aus Art. 12 DSGVO sehen hierfür vor, dass die Beantwortung der Anfrage unverzüglich und vollständig erfolgen muss, in jedem Fall innerhalb eines Monats. ___________ 288) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 12 DSGVO Rn. 1. 289) Plath-Kamlah, BDSG/DSGVO, Art. 12 DSGVO Rn. 1. 290) Greve, NVwZ 2017, 739.
122
VI. Rechte Betroffener
Ein weiteres Recht des Betroffenen ist das Recht auf Berichtigung der Da- 397 ten gemäß Art. 16 DSGVO, welches dem Betroffenen die Möglichkeit gibt, eine Korrektur der innerhalb der Kanzlei vorliegenden Daten zu verlangen. Dies wäre möglicherweise der Fall, wenn ein Mitarbeiter heiratet und eine entsprechende Korrektur seines Namens verlangt. Eins der stärksten Rechte des Betroffenen stellt das Recht auf Löschung oder 398 auch Recht auf Vergessenwerden gemäß Art. 17 DSGVO dar, was bereits bei den Archivierungspflichten Gegenstand der Betrachtung war, einhergehend oder besser ergänzend durch das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Hier wäre ebenso an einen ehemaligen Mitarbeiter zu denken oder auch an einen unzufriedenen Mandanten, der sich auf dieses Recht beruft. Wobei nochmalig festzustellen ist, dass die Verpflichtung zur Löschung aufseiten des Insolvenzverwalters bzw. der Kanzlei als Verantwortlicher vorliegt, sobald der Zweck der Verarbeitung entfallen ist. Diesen Rechten schließt sich die Pflicht des Verantwortlichen zur Mitteilung 399 an alle Empfänger der personenbezogenen Daten an, wenn ein Betroffener sein Recht auf Berichtigung, Löschung oder Einschränkung einfordert (Art. 19 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Art. 22 DSGVO, der die Entscheidung aufgrund einer automatisierten Ver- 400 arbeitung, einschließlich des Profilings regelt, hat für den Insolvenzverwalter bzw. die Kanzlei grundsätzlich keine einschneidende Bedeutung. Auch Art. 23, der den Mitgliedstaaten durch die Nutzung der Konkretisierungsklausel die Möglichkeit gibt, die Rechte der Betroffenen, z. B. aufgrund der nationalen Sicherheit oder auch aus Gründen, die dem Schutz öffentlicher Interessen dienen, zu beschränken, hat keine aktiven Auswirkungen, stellt jedoch für den Gesetzgeber die Möglichkeit dar, bestimmt Rechte der Betroffenen für den Bereich des Insolvenzrechts zu beschränken. Zukünftig kann nur die Hoffnung bestehen, dass der Gesetzgeber von der Möglichkeit der Nutzung einer Konkretisierungsklausel, insbesondere für das Insolvenzrecht, mehr Gebrauch machen wird. 2. Informationsrechte des Betroffen bzw. Informationspflichten des Verantwortlichen Die Rechte der Betroffenen sind in der DSGVO noch weiter gewichtet wor- 401 den.291) Die Information des Betroffenen über die Verarbeitung seiner personenbezogenen Daten durch den Verantwortlichen ist Ausdruck des Transparenzgrundsatzes der DSGVO und findet ihren Ausdruck in den Informationspflichten gemäß Artt. 13, 14 DSGVO sowie im Rahmen einer Datenpanne im Art. 34 DSGVO. Dabei ist der Betroffene bei der ersten Verarbeitung, meist der ersten Erhebung der Daten, über eben diese Verarbeitung zu ___________ 291) Arns, VIA 2018, 65.
123
F. Aus der Praxis – Datenschutz in der Kanzlei
informieren und über seine Rechte aufzuklären. Ihm ist zu erläutern, welche Daten verarbeitet werden, zu welchem Zweck, durch wen und innerhalb welchen Zeitraums bzw. wann eine Löschung erfolgt. 402 Die Erfüllung der Informationspflichten bildet dabei die Basis für den Betroffenen, seine Rechte, insbesondere die Rechte gemäß Artt. 15 ff DSGVO, wahrzunehmen.292) Dieser kann seine Rechte auch nur effektiv wahrnehmen, wenn er Kenntnis von der Verarbeitung seiner personenbezogenen Daten hat. 403 Für einen Insolvenzverwalter als Verantwortlichen bedeutet dies, wie für jeden anderen Verantwortlichen auch, dass unter Beachtung der möglichen Beschränkungen jeder Betroffene (z. B. Lieferant, Mandant, Dienstleister, Bewerber, Mitarbeiter etc.) über die Verarbeitung seiner Daten informiert werden muss, wenn es sich bei den Daten um personenbezogene Daten handelt. a) Informationspflicht bei Direkterhebung 404 Für einen Betroffenen kann es für die Ausübung seiner Rechte von Bedeutung sein, dass er über die Verarbeitung und deren Zweck informiert wird. Auch zielt die Verpflichtung zur Informationserteilung, statuiert in Artt. 13, 14 DSGVO, auf eine faire und transparente Verarbeitung (Art. 13 Abs. 2 DSGVO) ab, und die Möglichkeit der Wahrnehmung seiner Rechte setzt voraus, dass der Betroffene über die jeweiligen Verarbeitungsvorgänge informiert wird (ErwGr. 60 DSGVO). Die Unterrichtungspflichten des Verantwortlichen, die sich aus den Artt. 13, 14 DSGVO ergeben, gehen weit über die Bestimmungen der §§ 4 Abs. 3, 33 BDSG a. F., die bis zum 24.5.2018 galten, hinaus.293) aa) Art und Weise der Informationserteilung 405 Der Insolvenzverwalter hat jeden Betroffenen, dessen personenbezogenen Daten er verarbeitet, über diese Verarbeitung per se bereits zum Zeitpunkt der Erhebung zu informieren (Art. 13 Abs. 1 DSGVO). Für die Art und Weise der Informationserteilung sieht die DSGVO vor, dass diese in verständlicher und leicht zugänglicher Form zu übermitteln sind (Art. 12 Abs. 1 DSGVO). Dabei kann die Information in schriftlicher oder anderer Form erfolgen, ggf. auch elektronisch (Art. 12 Abs. 1 Satz 2 DSGVO). Die DSK sieht in der Formulierung „leicht zugänglicher Form“ die Vorgabe, dass die Information in der konkreten Situation verfügbar sein muss294) und vertritt die
___________ 292) DSK-Kurzpapier Nr. 10, S. 1. 293) Wybitul, BB 2016, 1079. 294) DSK-Kurzpapier Nr. 10, S. 3.
124
VI. Rechte Betroffener
Ansicht, dass ein sog. Medienbruch295) nicht zulässig ist. So würde ein Verweis auf eine Information im Internet bei einem Faxversand nicht die leicht zugängliche Form widerspiegeln, da diese Information zum Zeitpunkt des Eintreffens des Faxes nicht direkt verfügbar ist. Selbiges gilt nach Einschätzung der DSK ebenso für eine Korrespondenz auf dem Postweg. Auch hier sei eine Linksetzung nicht statthaft, weil der Betroffenen in dem Moment der Brieföffnung nicht zwingend über einen entsprechenden Anschluss verfügt, um sich die Informationen im Internet ansehen zu können. In der Literatur wird ebenfalls zum Teil dieser Einschätzung gefolgt.296) Die Gegenmeinung sieht sehr wohl die Möglichkeit des Medienbruchs und 406 favorisiert u. a. eine Linklösung. Es wird angeführt, dass bestimmte Verarbeitungssituationen es von Hause aus nicht zulassen, einen mehrseitigen Abdruck der Informationen unmittelbar zur Verfügung zu stellen.297) Auch kann ein Übermaß an Informationen bei den Betroffenen zu einer Überforderung führen mit der Folge, dass wesentliche Informationen verloren gehen.298) Auch einzelne Aufsichtsbehörden sehen zumindest die Möglichkeit einer stufenweisen Informationserteilung.299) Des Weiteren spricht sich der ErwGr. 58 der DSGVO ebenso für eine Bereitstellung in elektronischer Form aus, dies aber mit dem eindeutigen Verweis, wann diese Informationen für die Öffentlichkeit bestimmt sind. Diese Argumente sind aus Sicht des Verantwortlichen zutreffend und ver- 407 ständlich, in ihrer Tiefe aber nicht plausibel. Wenn es einem Verantwortlichen nicht gelingt, die entsprechenden Informationen, die er gemäß Art. 13 DSGVO dem Betroffenen zur Verfügung stellen muss, im Rahmen des genutzten Mediums (z. B. Postkarte) umzusetzen, so hat er das Medium zu wechseln und z. B. einen Brief zu verwenden. Wirtschaftliche Gesichtspunkte des Verantwortlichen können nicht dazu führen, dass der Betroffene in seinen Rechten eingeschränkt wird. Im Hinblick auf die mögliche Überforderung des Betroffenen bleibt anzu- 408 merken, dass Inhalt und Umfang der Informationen auch bei einer Linksetzung dieselben sein müssen, als würden sie dem Betroffenen auf eine andere ___________ 295) Medienbruch bezeichnet den Umstand, dass zwischen verschiedenen Medien gewechselt wird. Dies wäre der Fall, wenn eine Verarbeitung personenbezogener Daten schriftlich geschieht, die Informationsplichten aber durch Angabe eines Links auf einer Webseite erfolgt. 296) Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 12 DSGVO Rn. 26; Plath-Kamlah, BDSG/DSGVO, Art. 12 DSGVO Rn. 12; Quaas, in: BeckOK DatenschutzR, DS-GVO Art. 12 Rn. 32. 297) GDD-Praxishilfe, DS-GVO VII, S. 5. 298) GDD-Praxishilfe, DS-GVO VII, S. 5. 299) Die Landesbeauftragte für den Datenschutz Niedersachsen in Transparenzanforderungen und Hinweisbeschilderung bei einer Videoüberwachung durch nichtöffentliche Stellen, S. 1; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein in einer Information zur Datenschutz-Grundverordnung für selbstständige Heilberufler, S. 2.
125
F. Aus der Praxis – Datenschutz in der Kanzlei
Art zur Verfügung gestellt. Wenn der Betroffene trotz einer klaren und verständlich gewählten Sprache mit den Informationen, die ihm im Rahmen der ersten Verarbeitung z. B. per Brief zuteilwird, überfordert ist, wird er diese Überforderung auch dann vernehmen, wenn ihm die Informationen ausschließlich per Linksetzung zur Verfügung gestellt würden. Am Inhalt der Information sollte sich nichts ändern. Demzufolge kann eine mögliche Überforderung kein Argument für einen Medienbruch sein. 409 Der Meinung zur Unzulässigkeit eines Medienbruchs ist beizupflichten. Auch wenn ein Medienbruch eine mögliche Vereinfachung für den Verantwortlichen darstellt und somit auch den Insolvenzverwalter bzw. die Kanzlei entlasten kann, überzeugen dennoch die Argumente der ablehnenden Meinung. Insbesondere der Umstand, dass eine entsprechende Information bereits zum Zeitpunkt der erstmaligen Verarbeitung der Daten erfolgen muss, deutet auf das Nichtbestehen der Möglichkeit eines Medienbruchs hin, da beim Erhalt eines postalischen Schreibens nicht zwangsläufig immer die zeitgleiche Möglichkeit besteht, das Internet zu bemühen und die entsprechenden Informationen abzurufen. Beispiel: Als Beispiel sei der Mandant genannt, der im Rahmen des Abschlusses einer Mandatsvereinbarung im Büro des Insolvenzverwalters weilt. Diesem sind die Informationspflichten gemäß Art. 13 DSGVO zum Zeitpunkt der Verarbeitung zu erteilen. Dieser Zeitpunkt ist bereits in der Vorbereitung auf den Abschluss der Vereinbarung zu sehen. Dabei kann nicht sichergestellt werden, dass der Mandant – im Falle eines Hinweises auf die Internetseite des Insolvenzverwalters – auf eine entsprechende Information im Internet zu diesem Zeitpunkt selbstständig zugreifen kann. Somit wäre der leichte Zugang zu den Informationen, wie sie der Art. 12 Abs. 1 DSGVO vorsieht, nicht gegeben. Praxistipp: Aufgrund der rechtlichen Unsicherheiten und unter der Beachtung der drohenden Bußgelder (Art. 83 Abs. 5 lit. b) DSGVO) ist es ratsam, von einem Medienbruch Abstand zu nehmen. Dies zumindest bis zu dem Zeitpunkt, an dem sich die Aufsichtsbehörden auf eine einheitliche Vorgehensweise geeinigt haben bzw. an dem die Rechtsprechung über die Art und Weise der Erteilung der Informationspflicht entschieden hat. Bis dahin sollten dieselbigen Kommunikationswege genutzt werden, wie sie bei der Erhebung der Verarbeitung der personenbezogenen Daten Verwendung gefunden haben. Für eine Erhebung auf elektronischem Weg ist die Erteilung der Informationen auf diesem Weg natürlich möglich und gedeckt von der DSGVO. Bei der Nutzung des Postwegs sollten in eben diesem Schreiben die Informationen direkt enthalten sein.
126
VI. Rechte Betroffener
bb) Inhalt der Informationspflichten Der Verantwortliche hat die Informationen, wie sie in Art. 13 Abs. 1 DSGVO 410 aufgezählt sind, dem Betroffenen mitzuteilen, wenn die personenbezogenen Daten direkt bei ihm erhoben werden. Auch bedarf es einer neuerlichen Information, wenn eine Verarbeitung zu einem anderen Zweck erfolgen soll, als dem ursprünglich bei der Erhebung bekannt gegebenen. Der Verantwortliche hat dem Betroffenen anzugeben, wer Verantwortlicher 411 der Verarbeitung ist und dessen Kontaktdaten, ggf. die Kontaktdaten des Datenschutzbeauftragten, was der Zweck der Verarbeitung ist sowie die Rechtsgrundlage für die Verarbeitung. Weiterhin bedarf es der Information, ob Auftragsverarbeiter in Anspruch genommen werden, es bedarf der Benennung der Empfänger bzw. der Kategorien von Empfängern der personenbezogenen Daten, der beabsichtigten Übermittlung der Daten an ein Drittland und des Vorhandenseins oder Fehlens eines Angemessenheitsbeschlusses der Kommission bzw. eines Verweises auf die Geeignetheit oder Angemessenheit von Garantien. Auch muss ein Hinweis erfolgen, worin die berechtigten Interessen des Verantwortlichen oder eines Dritten liegen, sofern die Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stattfindet (Art. 13 Abs. 1 lit. a). Des Weiteren müssen die Informationen, wie sie in Art. 13 Abs. 2 DSGVO 412 aufgezählt sind, mitgeteilt werden, wenn diese für eine faire und transparente Verarbeitung notwendig sind. Zwar verwendet die deutsche Übersetzung der DSGVO in Art. 13 Abs. 2 DSGVO den Begriff „zur Verfügung stellen“, in Abweichung zu dem in Art. 13 Abs. 1 DSGVO verwendeten Begriff „mitzuteilen“, dies hat aber keine Relevanz. Die Abweichung ist vielmehr Ausdruck eines Übersetzungsfehlers, sie hat keine Bedeutung.300) In der englischen Fassung der DSGVO wird jeweils „provide“ genutzt. Zu den zusätzlichen Informationen zählen die Angabe über die Dauer der 413 Speicherung bzw. die Kriterien für die Festlegung der Dauer und der Hinweis auf bestehende Rechte des Betroffenen. Sofern die Verarbeitung auf Grundlage einer Einwilligung basiert und der Hinweis auf das bestehende Widerrufsrecht für die Einwilligung. Weiterhin sind Angaben notwendig zum Beschwerderecht bei der Aufsichtsbehörde, zur Aufklärung, ob die Bereitstellung der personenbezogenen Daten durch den Betroffenen gesetzlich oder vertraglich vorgeschrieben ist, über die möglichen Folgen bei einer Nichtbereitstellung der Daten sowie bezüglich des Bestehen einer automatisierten Entscheidungsfindung einschließlich des Profilings (Art. 13 Abs. 2 DSGVO). Warum insbesondere diese Punkte für eine Gewährleistung einer fairen und 414 transparenten Verarbeitung notwendig sein sollen, ist nicht einleuchtend. Im ___________ 300) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 13 DSGVO Rn. 21.
127
F. Aus der Praxis – Datenschutz in der Kanzlei
Hinblick auf die Rechtsbelehrungspflichten in Art. 13 Abs. 2 lit. b), c) und d) DSGVO ist dies besonders fraglich. Diese Rechte sind in der DSGVO normiert. Warum also eine gesonderte Information über das Bestehen dieser Rechte für eine faire und transparente Verarbeitung erforderlich sein soll, erschließt sich nicht.301) Verständlich wäre es nur, wenn die Belehrung über die Rechte nicht kumulativ erfolgen soll ohne Bezug zur individuellen Datenverarbeitung,302) wie es der missverständliche Wortlaut vorsieht. 415 Ein Sinn und somit eine Notwendigkeit kann nur dann gesehen werden, wenn eine Information nur in Bezug auf die tatsächlich bestehenden Rechte für den Betroffenen in Betracht kommt.303) cc) Information bei Weiterverarbeitung zu einem anderen Zweck 416 Eine erneute Information hat durch den Verantwortlichen zu erfolgen, wenn dieser eine Verarbeitung der personenbezogenen Daten zu einem anderen als dem Zweck vornehmen will, für den die Daten ursprünglich erhoben wurden. Diese Mitteilung muss vor der geplanten Verarbeitung zu dem neuen Zweck stattfinden und gemäß Art. 13 Abs. 3 DSGVO alle maßgeblichen Informationen beinhalten, wie sie für eine Gewährleistung einer fairen und transparenten Verarbeitung (Abs. 2) notwendig sind. 417 Mit dieser Vorschrift wird die zulässige Zweckänderung gemäß Art. 6 Abs. 4 DSGVO nochmalig verschärft, indem diesem eine weitere Hürde auferlegt wird, nämlich über die bevorstehende Weiterverarbeitung vorab zu informieren. Dies erinnert stark an die von dem BayLDA entworfene Widerspruchslösung304) bei der Übertragung von Kundendaten. Diese Vorgehensweise dürfte die Praxis vor erhebliche Probleme stellen.305) dd) Ausnahmen von der Informationspflicht 418 Eine Ausnahme von der Informationspflicht sieht der Art. 13 Abs. 4 DSGVO vor für den Fall, dass der Betroffene bereits über die Informationen verfügt. Ausgangspunkt ist die positive Kenntnis des Betroffenen, nicht ausreichend ist der Umstand, dass der Betroffene mit dem Inhalt der Informationen hätte rechnen müssen.306)
___________ 301) 302) 303) 304)
Plath-Kamlah, BDSG/DSGVO, Art. 13 Rn. 16. Ehmann/Selmayr-Knyrim, DS-GVO, Art. 13 Rn. 44 f. Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 13 DSGVO Rn. 37. BayLDA, Kundendaten beim Unternehmenskauf – ein Datenschutzproblem, Pressemitteilung v. 30.7.2015, https://www.lda.bayern.de/media/pm2015_10.pdf (Stand: 29.3.2019). 305) Plath-Kamlah, BDSG/DSGVO, Art. 13 DSGVO Rn. 30; i. E. auch Woltersdorf, INDat Report 02/2018, 13. 306) Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 13 DSGVO Rn. 31, 84 f.
128
VI. Rechte Betroffener
Der ErwGr. 62 der DSGVO geht erheblich über den Wortlaut des Art. 13 419 Abs. 4 DSGVO hinaus307) und beschreibt zusätzlich Ausschlusstatbestände in den Fällen, in denen die Speicherung oder Offenlegung der personenbezogenen Daten durch Rechtsvorschriften geregelt ist bzw. die Informationsgewährung gegenüber dem Betroffenen sich als unmöglich erweist oder nur mit unverhältnismäßigen hohem Aufwand verbunden ist (ErwGr. 62 DSGVO). Der hohe Aufwand wird gemäß ErwGr. 62 Satz 2 DSGVO insbesondere bei 420 der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, bei wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken gesehen. Dabei soll die Zahl der Betroffenen und das Alter der Daten Anhaltspukte liefern. Die dort beschriebenen Ausschlusstatbestände stellen die Ausnahmen von 421 den Informationspflichten gemäß Art. 14 Abs. 5 DSGVO da. Demzufolge spricht es dafür, dass der ErwGr. 62 der DSGVO nur auf den Art. 14 DSGVO Bezug nimmt.308) Dies ist demselbigen allerdings nicht zu entnehmen, sodass zumindest eine Anwendung auch auf den Art. 13 DSGVO in Erwägung zu ziehen ist. Weitere Ausnahmen ergeben sich aus dem § 29 Abs. 2 BDSG hinsichtlich 422 Daten, die im Rahmen eines Mandantenverhältnisses an einen Berufsgeheimnisträger übermittelt werden. Diese Ausnahme unterliegt einer Interessenabwägung in Bezug auf die Interessen des Betroffenen an einer Informationserteilung. Des Weiteren finden sich Ausnahmen in § 32 BDSG. Praxistipp: Auch für den Inhalt der Mitteilung bezüglich der Erfüllung der Informationspflichten sollte der Insolvenzverwalter bzw. die Kanzlei bemüht sein, diese Informationen vollständig zu erteilen und so besagten Unsicherheiten aus dem Wege gehen. Des Weiteren ist anzuraten bestenfalls den selbigen Kommunikationsweg zu nutzen, wie dieser auch für die Erhebung der personenbezogenen Daten verwendet wurde. Eine Information zu viel schadet i. d. R. nicht. Eine zu wenig kann mit einem Bußgeld im Rahmen des Art. 83 Abs. 5 lit. b) DSGVO geahndet werden.
b) Informationspflicht bei Erhebung bei einem Dritten Werden die personenbezogenen Daten des Betroffenen bei einem Dritten 423 erhoben so ist der Art. 14 DSGVO einschlägig in Bezug auf die Informationspflichten des Verantwortlichen. Die zu erteilenden Auskünfte und Informationen decken sich weitgehend mit den Informationen, wie sie auch bei der Direkterhebung erteilt werden müssen. Eine Unterscheidung wird in ___________ 307) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 13 DSGVO Rn. 35. 308) Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 13 DSGVO Rn. 35.
129
F. Aus der Praxis – Datenschutz in der Kanzlei
Art. 14 Abs. 1 lit. d) DSGVO vorgenommen, die besagt, dass der Verantwortliche dem Betroffenen mitzuteilen hat, welche Kategorien von personenbezogenen Daten verarbeitet werden. aa) Kategorien personenbezogener Daten 424 Zum Teil wird vertreten, dass die Kategorien der personenbezogenen Daten so präzise und detailliert wie möglich anzugeben sind, damit der Betroffene eine Risikoabschätzung der Verarbeitung vornehmen kann.309) Die Gegenmeinung sieht es als ausreichend an, Oberbegriffe für die Kategorien zu verwenden, wie z. B. Adressdaten, Vertragsdaten, Zahlungsdaten etc.310) 425 Letzterem ist beizupflichten. Der Begriff „Kategorie“ bezeichnet sprachgebräuchlich eine Einteilung in eine Gruppe, in die jemand oder etwas eingeordnet wird.311) Somit nutzt die DSGVO diesen Begriff als Möglichkeit, eine Einteilung der vorhanden personenbezogenen Daten in Gruppen oder auch Oberbegriffe vorzunehmen. Dieser Begriff findet auch Anwendung in Bezug auf die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und wird dort so verstanden, dass Gruppen und Klassen von Daten als Oberbegriffe Verwendung finden können. Beispiel: Die Daten der Mitarbeiter werden in die Kategorie Personaldaten gefasst oder bei wirtschaftlichen Beziehungen ist von Kundendaten als Kategorie die Rede. 426 Eine präzise Unterteilung, um welche Daten es sich im Einzelnen handelt muss nicht erfolgen und würde auch die Übersichtlichkeit stören. Nach der Ansicht der Autoren genügt es, wenn die personenbezogenen Daten, wie es auch das Gesetzt beschreibt, in Kategorien eingeteilt werden und nicht auf jedes einzelne Datum heruntergebrochen werden. bb) Benennung der Quelle 427 Zu den zusätzlichen Informationen gehört auch die Mitteilung, aus welcher Quelle die erhobenen Daten stammen. Dies ist folgerichtig im Hinblick auf eine faire und transparente Verarbeitung. Dem Betroffenen soll die Herkunft der Daten bewusst sein und ihm soll ebenso die Möglichkeit gegeben werden, feststellen zu können, ob die Quelle eine rechtmäßige Quelle darstellt. Stellt der Betroffene fest, dass die Daten von der Quelle unrechtmäßig verarbeitet wurden, kann er genau bei dieser Quelle seine Ansprüche geltend machen. ___________ 309) Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 14 DSGVO Rn. 17; DSK-Kurzpapier Nr. 10, S. 2. 310) Vgl. Plath-Kamlah, BDSG/DSGVO Art. 14 DSGVO Rn. 3. 311) „Kategorie“, Duden online, https://www.duden.de/node/652134/revisions/1884900/ view (Stand: 9.10.2018).
130
VI. Rechte Betroffener
cc) Art und Weise der Informationserteilung Auch hinsichtlich der Form sowie der Art und Weise der Informationsertei- 428 lung ist auf die Ausführungen zum Art. 13 DSGVO zu verweisen. Allerdings bestimmt Art. 14 Abs. 3 DSGVO den Zeitpunkt, wann der Verantwortliche die Informationspflicht zu erteilen hat folgerichtig abweichend zu Art. 13 DSGVO. Grundsätzlich hat der Verantwortliche den Betroffenen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten zu unterrichten. Dies unter Beachtung der spezifischen Umstände und maximal innerhalb eines Monats (Art. 14 Abs. 3 lit. a) DSGVO). Des Weiteren wird der Zeitpunkt der Information in Art. 14 Abs. 3 lit. b) und c) DSGVO konkretisiert. Diese stellen auf eine Informationserteilung an den Betroffenen ab spätestens zum Zeitpunkt der ersten Mitteilung an diesen bzw. bei der Offenlegung der Daten gegenüber einem anderen Empfänger spätestens zum Zeitpunkt der Offenlegung. dd) Information bei Weiterverarbeitung zu einem anderen Zweck Erfolgt die Weiterverarbeitung, wie auch in Art. 13 DSGVO vorgesehen, zu 429 einem anderen als dem ursprünglichen Zweck, zu dem die Daten erhoben wurden, und liegt eine rechtmäßige Zweckänderung vor, ist auch bei der Erhebung der Daten bei einem Dritten, der Betroffene erneut zu informieren. Grundsätzlich folgt dies dem Gedanken, dass der Betroffene jederzeit von der Verarbeitung und davon, zu welchem Zweck diese erfolgt, in Kenntnis gesetzt ist. Diese Mitteilung muss ebenso vor der Weiterverarbeitung der Daten erfolgen (Art. 14 Abs. 4 DSGVO). ee) Ausnahmen von der Informationspflicht Informationspflichten nach Art. 14 Abs. 1 – 4 DSGVO bestehen nicht bei 430 den in Art. 14 Abs. 5 DSGVO angeführten Sachverhalten. Gemäß Art. 14 Abs. 5 lit. a) DSGVO besteht eine entsprechende Informationspflicht des Verantwortlichen nicht, sofern der Betroffene bereits über die Information verfügt. Diese Ausnahme kann auch bei Sachverhalten vorliegen, die dem Art. 13 DSGVO zuzuordnen sind. Den Verantwortlichen trifft die Beweislast, dass sich bei Abwägung der Um- 431 stände eine Ausnahme von der Informationspflicht ergibt. Hier bedarf es wieder einer umfangreichen Dokumentation. Weiterführend in Art. 14 Abs. 5 lit. b) DSGVO wird auf die Unmöglichkeit 432 einer Informationserteilung bzw. einen damit verbundenen unverhältnismäßigen Aufwand Bezug genommen. Liegen diese Umstände und Voraussetzungen vor, finden die Regelungen des Art. 14 Abs. 1 – 4 DSGVO keine Anwendung. Bei der Auslegung ist der ErwGr. 62 der DSGVO heranzuziehen und die dort genannte, nicht abschließende Aufzählung von Sachverhalten,
131
F. Aus der Praxis – Datenschutz in der Kanzlei
für die ein unverhältnismäßiger Aufwand einzukalkulieren ist.312) Dies insbesondere dann, wenn die Informationserteilung dazu führen kann, dass die Ziele der Verarbeitung nicht verwirklicht werden können oder ernsthaft beeinträchtigt sind.313) 433 Beruht die Ausnahme auf dem Umstand, dass die Erlangung oder Offenlegung der Daten durch Rechtsvorschriften, denen der Verantwortliche unterliegt, geregelt ist und hat der Verantwortliche geeignete Maßnahmen zum Schutz der personenbezogenen Daten getroffen, so bedarf es auch keiner Information des Betroffenen (Art. 14 Abs. 5 lit. c) DSGVO). Diese Regelung eröffnet die Möglichkeit der Nutzung einer weiteren Konkretisierungsklausel. Beispiel: Die vorgenannte Ausnahme wäre u. a. dann anzunehmen, wenn ein Notar personenbezogene Daten eines Dritten aufgrund der Angabe in einem Testament verarbeitet. In diesem Fall bedarf es keiner Information des Dritten, da die Verpflichtung, die Angaben zu verarbeiten, im Beurkundungsgesetz (BeurkG) gesetzlich normiert ist 434 Eine weitere Ausnahme bildet der Umstand, dass der Verantwortliche einem Berufsgeheimnis gemäß einer Berufssatzung unterliegt. Auch hier ist den Mitgliedstaaten die Möglichkeit eröffnet worden, konkretisierend einzugreifen, was zum Teil auch genutzt wurde (siehe § 29 BDSG). Unter satzungsmäßigen Geheimhaltungspflichten sind nur berufsständische Satzungen, nicht hingegen gesellschaftsrechtliche Geheimhaltungspflichten zu verstehen.314) Dazu zählen u. a. Rechtsanwälte, Steuerberater, Ärzte, Notare und Wirtschaftsprüfer, die aufgrund ihrer berufsständischen Satzung einer Geheimhaltung in den jeweiligen Bereichen unterliegen. Der VID315) befürworte eine Berufsordnung für Insolvenzverwalter und Sachwalter, wie es auch bereits im Koalitionsvertrag vom 12.3.2018 in Teilen vorgesehen ist.316) Eine Einführung einer Berufsordnung für Insolvenzverwalter mit einer entsprechenden Geheimhaltungspflicht würde dafür Sorge tragen, dass auch Insolvenzverwalter unter etwaige Ausnahmen fallen. Praxistipp: Sofern der Insolvenzverwalter personenbezogene Daten in seinen internen Arbeitsabläufen verarbeitet, sind die Betroffenen, abhängig von der Erhebung, entsprechend zu informieren. Natürlich gibt es Unterschiede hinsichtlich des Inhalts der Informationspflichten, nichtsdestotrotz sollten interne Abläufe und Muster so gesteuert werden, dass die Belastung des Insolvenzverwalters und der Mitarbeiter so gering wie möglich ausfällt.
___________ 312) 313) 314) 315) 316)
132
Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 40. Paal/Pauly-Paal/Hennemann, DS-GVO/BDSG, Art. 14 DSGVO Rn. 40. Plath-Kamlah, BDSG/DSGVO Art. 14 DSGVO Rn. 20. Verband Insolvenzverwalter Deutschlands e. V. Koalitionsvertrag v. 12.3.2018, Zeile 6.195.
VI. Rechte Betroffener Ratsam ist es, mindestens zwei Musterschreiben (oder auch mehr) zu entwerfen und diese Musterschreiben in den Prozess Postausgang mit einfließen zu lassen. Diese Musterschreiben können nach der Art der Erhebung eingeteilt werden oder auch nach Kategorien der Betroffenen.
c) Informationspflicht bei einer Datenpanne Nicht unter das Kapitel Rechte der Betroffenen in der DSGVO gefasst sind 435 die Meldungen von Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) gemäß Artt. 33, 34 DSGVO. Dennoch kann man diese, zumindest entfernt, zu den Rechten der Betroffenen zählen. Die vorrangige Pflicht des Verantwortlichen bei einer Datenpanne ist es zwar, unter den nachfolgend dargestellten Voraussetzungen die Aufsichtsbehörde zu informieren (Art. 33 DSGVO), allerdings kann sich dieser Informationspflicht auch eine Verpflichtung zur Information des Betroffenen (Art. 34 DSGVO) anschließen. Ziel dieser Vorschriften ist es, die Gefahren für die Betroffenen bei einer 436 Verletzung des Schutzes der personenbezogenen Daten zu minimieren und diese vor Schäden physischer, materieller oder immaterieller Art zu bewahren. Daher ist der Verantwortliche gehalten, innerhalb der vorgesehenen Frist, die Aufsichtsbehörde zu informieren sowie bei dem Hinzutreten weiterer Voraussetzungen den Betroffenen zu informieren. aa) Pflicht zur Meldung gegenüber der Aufsichtsbehörde Stellt der Insolvenzverwalter fest oder wird ihm mitgeteilt, dass es zu einer 437 Verletzung des Schutzes der personenbezogenen Daten gekommen ist, besteht für ihn als Verantwortlicher die Verpflichtung, die Aufsichtsbehörde zu informieren und diesen Vorfall zu melden. Bei dem Einsatz eines Auftragsverarbeiters trifft diesen eine solche Meldepflicht im Rahmen seines Auftrags nicht, aber er ist (oder sollte) vertraglich zur Unterstützung des Insolvenzverwalters und zur unverzüglichen Meldung an den Verantwortlichen nach Kenntnis einer Verletzung des Schutzes verpflichtet (sein). Neu in der DSGVO ist, dass keine Unterscheidung hinsichtlich der Datenkategorien vorgenommen wird. Der § 42a BDSG a. F. sah eine Pflicht zur Information gegenüber den Betroffenen und der Aufsichtsbehörde vor für eine Datenpanne beim Umgang mit besonderen Arten personenbezogener Daten, bei personenbezogenen Daten, die einem Berufsgeheimnis unterliegen, bei personenbezogenen Daten aus strafbaren Handlungen sowie bei personenbezogenen Daten zu Bank- und Kreditkartenkonten. Eine solche Einschränkung ist der DSGVO nicht mehr zu entnehmen. (1) Datenschutzverletzung – Datenpanne Wann eine Verletzung des Schutzes (folgend: Datenpanne) vorliegt, wird in 438 Art. 4 Nr. 12 DSGVO legal definiert und ist als Verletzung der Sicherheit
133
F. Aus der Praxis – Datenschutz in der Kanzlei
bezeichnet, die zu einer Vernichtung, zu einem Verlust oder zu einer Veränderung personenbezogener Daten führt, gleich ob unbeabsichtigt oder unrechtmäßig.317) Des Weiteren ist eine Datenpanne dann anzunehmen, wenn die Verletzung zu einer unbefugten Offenlegung bzw. zu einen unbefugten Zugang von personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO). Völlig unerheblich ist, ob die Folgen herbeigeführt werden sollten oder auch ob dem Verantwortlichen ein Verschulden trifft.318) 439 Auch inwieweit der Insolvenzverwalter als Verantwortlicher in diesem Vorfall eine Verletzung bzw. Datenpanne sieht oder nicht, ist unerheblich. Grundsätzlich gilt jeder Vorgang als Datenpanne, bei dem der Schutz der Daten oder die TOM unbeabsichtigt oder unrechtmäßig kompromittiert wurden und es trotz dieser Maßnahmen zu einem der genannten Ereignisse gekommen ist.319) Ebenso ist das Fehlverhalten des Auftragsverarbeiters dem Verantwortlichen zuzurechnen und muss vom Verantwortlichen der Aufsichtsbehörde gemeldet werden. Der Auftragsverarbeiter selbst, hat den Verantwortlichen unverzüglich über eine Datenpanne zu informieren. 440 Um eine einheitliche Überprüfung einer Datenpanne sicherzustellen und die gleichlaufende Anwendung der Verordnung zu erreichen, ist der Datenschutzausschuss gemäß Art. 70 Abs. 1 lit. d) DSGVO gehalten, Leitlinien, Empfehlungen und bewährte Verfahren zur Feststellung einer Datenpanne bereitzustellen. Dieser Aufforderung ist der Datenschutzausschuss, der das Nachfolgegremium der Artikel-29-Datenschutzgruppe darstellt, nur bedingt gefolgt, indem dieser die bis dato entworfenen Leitlinien der Artikel-29-Datenschutzgruppe bestätigt hat. Hierzu zählt auch die Leitlinie für die Meldung von Verletzungen des Schutzes personenbezogener Daten (WP 250 rev.01). 441 Eine Datenpanne kann vielfältig auftreten. Es kann zu einer Datenpanne aufgrund eines technischen Versagens kommen, z. B. bei Ausfall oder versehentlicher Deaktivierung des Sicherheitssystems und dadurch erfolgtem unberechtigtem Zugriff. Außerdem kann das Versagen von organisatorischen Maßnahmen, z. B. bei Verlust eines Datenträgers, dem Zerstören von Servern durch Wassereinbruch oder einem Datenverlust durch eine Verschlüsselung, deren Entschlüsselungsmethode nicht bekannt ist, zu einer Datenpanne führen. Nicht zuletzt ist auch in dem Versenden einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger eine Datenpanne zu sehen. Auch die entworfenen Leitlinien zählen zusätzlich viele Beispiele einer Datenpanne auf.320) Selbst ein vom Sekretariat der Insolvenzkanzlei versehentlich an eine falsche Nummer gesendetes Fax kann eine Datenpanne darstellen! ___________ 317) 318) 319) 320)
134
Artikel-29-Datenschutzgruppe, WP250rev.01, S. 7. Paal/Pauly-Martini, DS-GVO/BDSG, Art. 14 DSGVO Rn. 40. Plath-Schreiber, BDSG/DSGVO, Art. 4 DSGVO Rn. 40. Artikel-29-Datenschutzgruppe, WP250rev.01.
VI. Rechte Betroffener
(2) Meldefrist und Form der Meldung Der Verantwortliche hat eine Datenpanne unverzüglich und möglichst inner- 442 halb von 72 Stunden nach Kenntnis der Datenpanne, der zuständigen Aufsichtsbehörde zu melden. Die Meldefrist beginnt gemäß dem Rechtsgrundsatz „ignoranti non currit tempus“ zu dem Zeitpunkt, da die Datenpanne dem Verantwortlichen bekannt wurde.321) Hinsichtlich der Kenntnis ist eine solche auch von den ergriffenen Maßnahmen im Rahmen der TOM abhängig. Eine späte Kenntnisnahme einer Datenpanne lässt, je nach Art der Datenpanne, Rückschlüsse auf unzureichende Maßnahmen zum Schutz der Daten zu. Gegebenenfalls besteht ein Verstoß gegen die Sorgfaltspflichten des Verantwortlichen hinsichtlich der Fähigkeit, sicherheitsrelevante Ereignisse zu erkennen.322) Dies wiederum kann die Aufsichtsbehörde zusätzlich auf den Plan rufen und einen bußgeldbewehrten Verstoß darstellen. Ein Ausnutzen des Zeithorizonts von 72 Stunden könnte ebenso einen Ver- 443 stoß beinhalten, wenn die Meldung nicht unverzüglich erfolgt ist. Diese Frist sollte nur beansprucht werden, wenn noch Aufklärungsarbeit in Bezug auf die Datenpanne notwendig wird, um die Meldung gegenüber der Aufsichtsbehörde vollständig und umfänglich zu gestalten. Sollte eine vollständige Meldung nicht innerhalb der Frist von 72 Stunden möglich sein, so ist die Meldung gemäß Art. 33 Abs. 4 DSGVO schrittweise vorzunehmen ohne eine unangemessene weitere Verzögerung. Auch ist der Verantwortliche im Rahmen seiner Rechenschaftspflicht gehalten, eine Begründung einzureichen, warum ihm eine Meldung innerhalb der gesetzlichen Frist nicht möglich war. Hinsichtlich der Form der Meldung sieht das Gesetz nichts vor. Es ist keine 444 ausdrückliche Form vorgeschrieben, sodass entsprechend eine Meldung auch mündlich erfolgen kann. In der Formulierung „… ist ihr eine Begründung für die Verzögerung beizufügen“ werden Anhaltspunkte vermutet, dass der Normgeber zumindest von einer Textform ausgegangen ist.323) Allein aus der Sicht der Nachweisbarkeit ist dem Verantwortlichen nahezulegen, diese Meldungen schriftlich abzufassen. Zum Teil halten die Aufsichtsbehörden Formulare für die Meldungen vor. (3) Inhalt der Meldung Anders als bei der Form der Meldung sieht das Gesetz für den Inhalt der 445 Meldung genaue Angaben vor. So sind in Art. 33 Abs. 3 DSGVO Mindestangaben aufgezählt, die eine entsprechende Meldung enthalten müssen. Somit schreibt das Gesetz die Pflichtangaben, die Inhalt einer solchen Meldung sein müssen, für den Verantwortlichen vor, sie schränken ihn aber nicht ein, ___________ 321) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 32. 322) Plath-Grages, BDSG/DSGVO, Art. 33 DSGVO Rn. 3. 323) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 30; Plath-Grages BDSG/ DSGVO, Art. 33 DSGVO Rn. 5.
135
F. Aus der Praxis – Datenschutz in der Kanzlei
weitere Angaben und Informationen mitzuteilen, insbesondere wenn diese erforderlich sind, den Sachverhalt zu beurteilen und ggf. weitere Datenpannen dieser Art zu verhindern.324) 446 Folgende Pflichtangaben sind innerhalb der Meldung vorzunehmen: x
Beschreibung der Art der Verletzung (Abs. 3 lit. a), soweit möglich mit Angabe zu den Kategorien und der ungefähren Anzahl der Betroffenen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze.
x
Name und Kontaktdaten des Datenschutzbeauftragten (Abs. 3 lit. b).
x
Beschreibung der wahrscheinlichen Folgen der Verletzung (Abs. 3 lit. c).
x
Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und ggf. Maßnahmen zur Abmilderung der nachteiligen Auswirkungen (Abs. 3 lit. d).
(4) Ausnahme aufgrund der Risikoabwägung 447 Eine Meldepflicht besteht hingegen nicht, wenn die Datenpanne voraussichtlich nur zu einem geringen Risiko (die DSGVO spricht von keinem Risiko) für die Rechte und Freiheiten natürlicher Personen führt. Zur inkonsequenten Handhabung des Risikobegriffs wird auf die Ausführungen zum Risikobegriff verwiesen (siehe Rn. 280 ff.). 448 Die Risikoabwägung oder -analyse hat alle möglichen Schäden für den Betroffenen einzuschließen (physische, materielle, immaterielle) und den Umstand des Verlusts der Kontrolle über die Daten (ErwGr. 85 DSGVO) besonders zu würdigen. Das Gefahrenpotential – insbesondere wenn die Daten Dritten in die Hände gefallen sind – wird u. a. in der Diskriminierung, dem Identitätsdiebstahl oder -betrug, in finanziellen Verlusten, der unbefugten Aufhebung der Pseudonymisierung, Rufschädigung, im Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten und in anderen wirtschaftlichen und gesellschaftlichen Nachteilen für den Betroffenen gesehen (ErwGr. 85 Satz 1 DSGVO). Auch die Art, der Umfang und die Umstände der zugrunde liegenden Verarbeitung sind in die Bewertung des Risikos miteinzubeziehen.325) 449 Es bedarf einer Prognose des Verantwortlichen, dass die Datenpanne „voraussichtlich“ nur zu einem geringen Risiko aufseiten des Betroffenen führt. Dabei geht der Verantwortliche das Wagnis ein, dass die Aufsichtsbehörde bei einer Untersuchung des Vorfalls zu einer anderen Einschätzung gelangt. Daher sollte der Verantwortliche bestrebt sein, alle Umstände bestmöglich ___________ 324) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 44. 325) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 23.
136
VI. Rechte Betroffener
zu berücksichtigen und alles ausführlich dokumentieren. Entscheidend wird es sein, dass die Erwägungen und Prognoseentscheidungen überprüfbar sind und die Entscheidung des Verantwortlichen unter Beachtung einer methodisch nachvollziehbaren Analyse des zum Zeitpunkt der Prognose verfügbaren Wissens326) erfolgt ist. Kommt der Verantwortliche im Rahmen der Risikoanalyse und der Prognose 450 zum Schluss, dass nur ein geringes Risiko für die Rechte und Freiheiten der natürlichen Person besteht, so entfällt die Meldepflicht gegenüber der Behörde. bb) Dokumentation Der Grundsatz der Rechenschaftspflicht findet auch in Art. 33 Abs. 5 DSGVO 451 seinen Niederschlag. Dem Verantwortlichen wird nicht nur eine Meldepflicht auferlegt, sondern ihn trifft auch eine Dokumentationspflicht der Vorgänge gemäß Art. 33 Abs. 5 DSGVO. Er ist verpflichtet, jede Datenpanne zu dokumentieren, unabhängig von dem Ergebnis der Risikoabwägung und Prognoseentscheidung. Der Verantwortliche ist gehalten, sowohl den Vorgang und die Datenpanne selbst zu dokumentieren als auch alle Fakten, die mit der Datenpanne im Zusammenhang stehen, sowie seine Überlegungen bezüglich der Risikoabwägung und Prognoseentscheidung. Zusätzlich müssen Maßnahmen nachgewiesen werden, die durch den Verantwortlichen ergriffen wurden, um zukünftig derartige Datenpannen zu verhindern. Die „ergriffenen Abhilfemaßnahmen“ muss der Verantwortliche nach dem Willen des Gesetzgebers sowohl in ihrer Breite als auch in ihrer Tiefe umfassend darstellen.327) Kommt er hingegen zu dem Schluss, dass keine Datenpanne, also keine Ver- 452 letzung des Schutzes personenbezogener Daten vorliegt, bedarf dies auch keiner Dokumentation, da Abs. 5 bezüglich der Dokumentationspflichten auf die Verletzung abzielt.328) Diese Aufzeichnungen und Dokumentationen dienen einem späteren Nach- 453 weis gegenüber der Aufsichtsbehörde, sofern die Aufsichtsbehörde die einzelnen Vorgänge und Überlegungen zu den entstanden Datenpannen überprüft. Ein Prozess zur Prüfung und Dokumentation einer Datenpanne sollte ebenso Bestandteil des Datenschutzmanagements sein (ausführlich siehe Rn. 329 ff.). Die Aufsichtsbehörden haben zum Teil Onlineformulare zum Melden einer 454 Datenpanne bereitgestellt. Wie oben bereits erwähnt, kommen Unternehmen und Verantwortliche, auch mit Blick auf den hohen Bußgeldrahmen, bei ihrer Einschätzung aktuell häufig zu dem Schluss, dass eine Meldung an die Aufsichtsbehörde erfolgen muss. Dies ist zum einen verbunden mit der Un___________ 326) Paal/Pauly-Martini, DS-GVO, Art. 33 DSGVO Rn. 26. 327) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 57. 328) Zustimmend Paal/Pauly-Martini, DS-GVO/BDSG, Art. 33 DSGVO Rn. 56.
137
F. Aus der Praxis – Datenschutz in der Kanzlei
sicherheit in Bezug auf die Auslegung der Vorschriften, aber auch aufgrund der fehlenden (einheitlichen) Hinweise der Aufsichtsbehörden. 455 Nach Mitteilungen der Aufsichtsbehörden sind aber viele Meldungen nicht nötig, da in diesen Datenpannen nur ein geringes Risiko für die Betroffenen gesehen wird. Allerdings ist nicht davon auszugehen, dass sich das Aufkommen frappierend verringern wird. Frei nach dem Motto „melden macht frei“ werden voraussichtlich weiterhin Datenpannen gemeldet, auch wenn eine richtig vorgenommene Risikobetrachtung zu einem anderen Ergebnis führen würde. Auch werden viele Verantwortliche Meldungen zur Sicherheit abgeben, um nicht im Nachhinein aufgrund einer falschen Einschätzung belangt zu werden. d) Pflicht zur Benachrichtigung des Betroffenen 456 Was ist aber, wenn der Insolvenzverwalter oder auch die Aufsichtsbehörde bei der Risikoabwägung und Prognose, ob ein Risiko für den Betroffenen besteht, zu dem Schluss kommt, dass voraussichtlich ein hohes Risiko besteht? 457 In diesem Fall ist der Insolvenzverwalter als Verantwortlicher verpflichtet, alle Personen zu benachrichtigen, deren Daten von der Datenpanne betroffen sind. Diese Benachrichtigung soll die Betroffenen in die Lage versetzen, selber Maßnahmen zu ergreifen, um die Gefahr einzudämmen, ihr Betroffenenrecht gemäß Artt. 12 ff. DSGVO wahrnehmen zu können und ggf. einen Anspruch auf Schadensersatz gemäß Art. 82 DSGVO geltend zu machen. 458 Abgestellt wird hierbei auf ein voraussichtliches hohes Risiko für den Betroffenen. Der risikobasierte Ansatz, wie er sich in der DSGVO an vielen Stellen wiederfindet, wird auch hier angewandt. Abermals sind Eintrittswahrscheinlichkeit und Schwere des Schadens zu beurteilen. Dabei steht der Art. 34 DSGVO mit dem Art. 33 DSGVO in einem engen thematischen Zusammenhang.329) 459 Wann ein hohes Risiko für die Rechte und Freiheit des Betroffenen vorliegt, gibt die Vorschrift nicht vor. Ein hohes Risiko ist aber dann anzunehmen, wenn prognostiziert eine hohe Wahrscheinlichkeit besteht, dass ein Schaden für die Rechte und Freiheiten natürlicher Personen droht.330) Ist die Wahrscheinlichkeit des Eintritts eines Schadens nicht als sonderlich hoch einzuschätzen, im Gegenzug aber anzunehmen, dass die Auswirkungen und die Schadenstiefe als sehr hoch zu prognostizieren sind, ist auch von einem hohen Risiko auszugehen. Anhaltspunkte zur Einschätzung des Risikos können auch die Überlegungen zur Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO liefern. 460 Eine Frist, wie sie sich bezüglich der Meldung einer Datenpanne gegenüber der Aufsichtsbehörde aus dem Gesetz ergibt, sieht Art. 34 DSGVO für die ___________ 329) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 34 DSGVO Rn. 3. 330) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 34 DSGVO Rn. 30.
138
VI. Rechte Betroffener
Benachrichtigung der Betroffenen nicht vor. Lediglich normiert ist, dass die Benachrichtigung der Betroffenen unverzüglich zu erfolgen hat. Die Benachrichtigung an den Betroffenen hat in klarer und einfacher Sprache zu erfolgen und muss über die Art der Verletzung des Schutzes informieren. Weiterhin sind als „Minimum“-Information die Angaben mitzuteilen, wie sie auch Art. 33 Abs. 3 lit. b) – d) DSGVO vorsieht. Es finden aber auch eine Reihe von Ausschlusstatbeständen Anwendung für 461 die Meldung gegenüber dem Betroffenen (Art. 34 Abs. 3 DSGVO). So besteht u. a. eine Benachrichtigungspflicht nicht, wenn der Verantwortliche geeignete Sicherheitsvorkehrungen getroffen hat und diese auch auf die Daten angewendet hat, die von der Verletzung betroffen sind. Damit sind z. B. Maßnahmen der Verschlüsselung gemeint, die es Dritten auch bei Besitz der Daten nicht ermöglichen, diese einzusehen (Abs. 3 lit. a). Eine weitere Ausnahme liegt vor, wenn der Verantwortliche mit Maßnahmen 462 nach der Datenpanne sicherstellen kann, dass ein Schaden nicht mehr eintreten kann. So zum Beispiel, wenn Dritte Zugangsdaten zu einem Onlinekonto einsehen konnten und der Verantwortliche diese Zugangsdaten unverzüglich ändert. Auch dann bedarf es keiner Benachrichtigung des Betroffenen (Abs. 3 lit. b). Letztlich kann der Verantwortliche von einer Benachrichtigung absehen, 463 wenn die Benachrichtigung einen unverhältnismäßigen Aufwand darstellt. Sollte dies der Fall sein, kann stattdessen eine öffentliche Bekanntmachung erfolgen oder eine ähnliche Maßnahme ergriffen werden, die die Betroffenen vergleichbar wirksam informiert (Abs. 3 lit. c). Ein unverhältnismäßiger Aufwand ist z. B. anzunehmen, wenn die Anzahl der Betroffenen sehr hoch ist. Die Nutzung dieser Ausnahme findet häufig Anwendung, wenn etwa bei einem Telekommunikationsdienstleister (Onlineplattform, Onlinehändler, Telefongesellschaft etc.) eine Datenpanne im Zusammenhang mit der Kundendatenbank eintritt. Häufig findet die Information der Betroffenen in diesem Fall über öffentliche Kanäle statt. In Anbetracht des möglichen Imageverlusts durch die Bekanntgabe in der 464 Öffentlichkeit stellt diese Ausnahme aber nach Ansicht der Autoren nur eine Möglichkeit dar, die ausschließlich genutzt werden sollte, wenn alle anderen Maßnahmen nicht den erhofften Erfolg bringen.331)
___________ 331) Siehe aktuelle Vorfälle: Datenpanne bei Facebook am 18.5. und 27.5.2018, 14 Millionen Nutzer von Fehlern in der „Teilen-Funktion“ betroffen; Datenpanne bei Facebook am 25.9.2018, Hackerattacke auf fast 50 Millionen Nutzerprofile; Datenpanne bei Google, Google Plus wird für Verbraucher geschlossen nachdem festgestellt wurde, dass AppEntwickler Zugriff auf personenbezogene Daten hatten.
139
F. Aus der Praxis – Datenschutz in der Kanzlei
e) Zwischenfazit 465 Der Insolvenzverwalter als Verantwortlicher sollte bestenfalls ein Melde- und Frühwarnsystem installieren. Dies auch in Anbetracht der kurzen Fristen in Bezug auf eine Meldung gegenüber der Aufsichtsbehörde. Zunächst muss nach dem Bekanntwerden der Datenpanne eine Einschätzung durch Risikoabwägung und Prognose erfolgen. Dies kann i. d. R. nur erfolgen, wenn der Insolvenzverwalter über alle Informationen verfügt. 466 Man stelle sich vor, am Freitagnachmittag wird eine Datenpanne bekannt. Die 72-Stunden-Frist läuft. Bis der Insolvenzverwalter die entsprechenden Informationen zusammenstellen und die Beteiligten befragen kann, wird vermutlich der Beginn der neuen Woche abzuwarten sein. Es bedarf i. d. R. einer Rücksprache mit dem Zuständigen für IT, dem verantwortlichen Mitarbeiter für diesen Bereich und zeitgleich einer Prüfung, ob die Schwachstellen behoben wurden bzw. behoben werden können. Bis der Insolvenzverwalter in dieser besonderen Situation zu den notwendigen Erkenntnissen gelangt ist, ist die Frist meist verstrichen. 467 Nun hat der Insolvenzverwalter zwei Möglichkeiten. Erstens: Er gibt eine stufenweise Meldung an die Aufsichtsbehörde und meldet zunächst, dass eine Datenpanne eingetreten ist und die Aufarbeitung und Risikobeurteilung noch andauert. Zweitens: Der Insolvenzverwalter gibt ggf., wenn die Risikobeurteilung dazu führt, dass nicht nur ein geringes Risiko besteht, eine verspätete Meldung ab und begründet diese Verspätung. Bei letzterer Variante kann es aber dazu führen, dass die Aufsichtsbehörde die aktuellen TOM als nicht ausreichend betrachtet. Dies vor dem Hintergrund, dass genau diese Maßnahmen eine Datenpanne verhindern und zugleich den Verantwortlichen helfen sollen, schnell entsprechende Meldungen absetzen zu können. 468 Ein weiteres Beispiel für eine Datenpanne, wie sie alltäglich in einer Kanzlei vorkommen kann und häufig auch vorkommt: Ein Mitarbeiter versendet eine E-Mail mit personenbezogenen Daten. Bei der Auswahl des Absenders wird auf den automatischen Vorschlag des E-Mailprogramms nicht intensiv geachtet und so erfolgt versehentlich der Versand der E-Mail an einen falschen Empfänger. Damit liegt eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) vor. Der Verantwortliche ist jetzt gefordert, gemeinsam mit dem Datenschutzbeauftragten zu beurteilen, ob für den Betroffenen voraussichtlich ein Risiko seiner Rechte und Freiheiten vorliegt. Hierzu ist zu betrachten, welche Daten waren Gegenstand der E-Mail, wer war der tatsächliche Empfänger, kann dieser die Daten verwenden und würde aus dieser Verwendung ein Risiko hervorgehen können. Dazu bedarf es ebenso einer Prognose, ob der tatsächliche Empfänger die Daten nutzen wird, falls er dazu in der Lage ist und was der Empfänger mit der Nutzung erreichen kann. In diesem fiktiven Fall waren die personenbezogenen Daten verschlüsselt und der eigentlich gewollte Empfänger verfügt nur über die Möglichkeit der Entschlüsselung.
140
VI. Rechte Betroffener
Damit besteht kein Risiko für den Betroffenen und die Aufsichtsbehörde muss nicht informiert werden. Eine entsprechende Dokumentation der Datenpanne mit den zugrunde liegenden Fakten, den zeitlichen Rahmen und den Beteiligten wurde als Nachweis vorgenommen. 3. Auskunftsrecht Die folgenden Ausführungen beziehen sich auf ein Recht des Betroffenen, 469 welches, wenn es gehäuft ausgeübt wird, die täglichen Arbeitsabläufe stark behindern kann. Die Erfüllung dieses Rechts erfordert vom Verantwortlichen einen sehr hohen Arbeitsaufwand und die benötigten Unterlagen sowie Informationen sind nicht schnell nebenbei erstellbar. Dem Betroffenen, dessen Daten vom Verantwortlichen verarbeitet werden, 470 steht auf Antrag ein umfassendes Auskunftsrecht gemäß Art. 15 DSGVO zu, welche Daten verarbeitet werden, wie diese Daten verarbeitet werden und wer ggf. Empfänger der Daten ist. Dieses Auskunftsverlangen muss von ihm nicht begründet werden und unterliegt keiner Form. Das Recht soll der Betroffene in angemessenen Abständen wahrnehmen können, um ihm selbst die Möglichkeit einzuräumen, die Rechtmäßigkeit der Verarbeitung zu überprüfen (ErwGr. 63 DSGVO). Es ist aufseiten des Verantwortlichen sicherzustellen, dass der Auskunftsersuchende wirklich der Betroffene ist. Die Identität des Auskunftsersuchenden sollte vor Auskunftserteilung für den Verantwortlichen feststehen. Dies stellt die mögliche mündliche Auskunft am Telefon teilweise vor Probleme. Praxistipp: Anzuraten ist es immer, sich die Identität des Auskunftsersuchenden bestätigen zu lassen. Eine telefonische Auskunft sollte nur erteilt werden, wenn eindeutig Klarheit besteht, dass es sich tatsächlich um den Betroffenen handelt. Grundsätzlich kann der Insolvenzverwalter, mit Hinweis auf eine Feststellung der Identität, um eine schriftliche Anfrage bitten.
a) Art und Weise der Auskunftserteilung Der Verantwortliche muss Maßnahmen und Prozesse entwerfen, die es ihm 471 ermöglichen, den Betroffenen die Mitteilungen gemäß Art. 15 DSGVO unter den Gesichtspunkten des Art. 12 DSGVO (präzise, transparent, verständlich, in leicht zugänglicher Form, klare und einfache Sprache) übermitteln zu können. Es ist dem Betroffenen eine Kopie der Daten zur Verfügung zu stellen, wie die Daten beim Verantwortlichen vorliegen (Art. 15 Abs. 3 Satz 1 DSGVO). Dabei ist darauf zu achten, dass die Kopie selbst nicht die Rechte und Freiheiten anderer Personen gefährdet (Abs. 4). Eventuell hat der Verantwortliche entsprechende Daten zu schwärzen bzw. zu pseudonymisieren.
141
F. Aus der Praxis – Datenschutz in der Kanzlei
472 Die Auskunftserteilung ist gemäß Art. 12 Abs. 1 Satz 2, 3 DSGVO je nach Sachverhalt schriftlich, elektronisch oder mündlich möglich.332) Erfolgt die Anfrage auf dem elektronischen Weg, so ist dem Betroffenen die Auskunft entsprechend des Art. 15 Abs. 3 Satz 2 DSGVO in einem gängigen elektronischen Format zu übermitteln, sofern der Betroffene keine andere Art der Auskunft wünscht. Als gängiges Format ist dabei z. B. ein PDF-Format in Betracht zu ziehen. 473 Sofern die Möglichkeit besteht, sollte ein Fernzugriff durch den Verantwortlichen eingerichtet werden und so dem Betroffenen direkt Zugang zu seinen Daten zu ermöglichen. Dies wird in den Erwägungsgründen als datenschutzfreundliche Maßnahme der Auskunftserteilung angesehen (ErwGr. 63 Satz 4 DSGVO). b) Frist und Kosten der Auskunftserteilung 474 Die Erteilung der Auskunft hat unverzüglich, spätestens aber innerhalb eines Monats zu erfolgen. Sollte in Ausnahmefällen die Monatsfrist nicht eingehalten werden können, so ist der Betroffene darüber zu informieren, gemäß Art. 12 Abs. 3 Satz 3 DSGVO. Macht der Verantwortliche von dieser Ausnahme gebrauch, könnte es sich zeitgleich um einen Verstoß gegen die Pflichten des Verantwortlichen handeln, da dieser im Rahmen des Datenschutzmanagements dafür Sorge zu tragen hat, dass Prozesse und Abläufe integriert werden, die eine zeitnahe und vollständige Rechteausübung der Betroffenen gewährleisten. 475 Die Mitteilung und Auskünfte hat der Verantwortliche dem Betroffenen grundsätzlich unentgeltlich zur Verfügung zu stellen. Sollte der Betroffene weitere Kopien anfordern, so steht es dem Verantwortlichen frei, ein angemessenes Entgelt in Höhe der Verwaltungskosten zu verlangen. c) Inhalt der Auskunftserteilung 476 Der Inhalt der Auskunftserteilung richtet sich grundsätzlich nach dem Vorliegen der entsprechenden Daten beim Verantwortlichen und der Tiefe des Auskunftsverlangens. Entsprechend des Art. 15 Abs. 1 DSGVO handelt es sich bei dem Auskunftsrecht um einen abgestuften Anspruch. Das heißt, dass der Betroffene zunächst verlangen kann, dass Auskünfte darüber gegeben werden, ob personenbezogene Daten von ihm verarbeitet werden. Sollten keine Daten des Auskunftsersuchenden beim Verantwortlichen verarbeitet werden, bedarf es einer Negativauskunft gegenüber dem Betroffenen.333) 477 Als weitere Stufe kann der Betroffene verlangen, konkrete Auskünfte zu erhalten, welche Daten von ihm verarbeitet werden.334) Des Weiteren treffen ___________ 332) DSK-Kurzpapier Nr. 6, S. 2. 333) Vgl. Kühling/Buchner-Bäcker, DS-GVO/BDSG, Art. 15 DSGVO Rn. 7; Ehmann/ Selmayr-Ehmann, DS-GVO, Art. 15 Rn. 11. 334) DSK-Kurzpapier Nr. 6, S. 1.
142
VI. Rechte Betroffener
den Verantwortlichen weitere Auskunftspflichten, die sich zum Teil mit den Informationspflichten gemäß Artt. 13, 14 DSGVO decken. Folgende Auskünfte müssen bei Vorliegen eines entsprechenden und berechtigten Auskunftsverlangens erteilt werden: x
Verarbeitungszwecke
x
Kategorien personenbezogener Daten, die einer Verarbeitung unterliegen
x
aktuelle und zukünftige Empfänger bzw. Kategorien von Empfängern
x
Speicherdauer bzw. Kriterien der Festlegung für die Speicherung
x
Rechte des Betroffenen
x
Herkunft der Daten, wenn diese bei einem Dritten erhoben wurden
x
Vorliegen einer automatisierten Entscheidungsfindung
Handelt es sich bei den Daten um große Mengen an Informationen, so hat 478 der Verantwortliche das Recht, vom Betroffenen eine Konkretisierung des Auskunftsgesuchs zu verlangen, sofern dieses im Vorfeld zu pauschal gestaltet war (ErwGr. 63 Satz 7 DSGVO). Der Betroffene muss benennen, auf welche Auskünfte, zu welchen Verarbeitungstätigkeiten sich sein Begehren stützt. Auch kann der Antrag auf Auskunftserteilung durch den Verantwortlichen abgelehnt werden, wenn es sich um offenkundig unbegründete Anträge handelt bzw. die Anträge in einer exzessiven Art erfolgen (Art. 12 Abs. 5 Satz 2 lit. b) DSGVO). Praxistipp: Mithilfe des Datenschutzmanagements sind Prozesse anzulegen, die eine schnelle Abarbeitung dieser Anfragen ermöglichen. Diese Prozesse sollten regeln, wie die Identität des Auskunftsersuchenden zu bestätigen ist, wie die Auskünfte erteilt werden und im welchen Zeitfenster die Anfragen (unter Beachtung der vorgegebenen Frist) beantwortet werden. Des Weiteren sind gemeinsam mit der IT-Abteilung die Möglichkeiten abzustimmen, inwieweit ein Fernzugriff einzurichten ist und wenn dies nicht möglich ist, wie eine vollständige und in einem gängigen Format erstellbare Kopie der verarbeiteten Daten ausgegeben werden kann. Obwohl die 72-Stunden-Frist vielleicht den Anschein erweckt, bei Vorliegen einer (evtl.) Datenpanne grundsätzlich rasch handeln zu müssen: Bereits die bisherigen Ausführungen zeigen auf, dass in der Insolvenzkanzlei in Zusammenarbeit mit deren (externem) Datenschutzbeauftragten, der IT und letztlich dem verantwortlichen Insolvenzverwalter dennoch mit Augenmaß und nach entsprechenden Abwägungen vorgegangen werden sollte. Was sich schon organisatorisch wesentlich einfacher gestalten dürfte, sofern die Insolvenzkanzlei (als Ergänzung z. B. ihres bisherigen QM-Systems) über entsprechende Prozesse auch in dem Bereich des Datenschutzes verfügt.
143
F. Aus der Praxis – Datenschutz in der Kanzlei
4. Recht auf Berichtigung 479 Ein weiteres Recht des Betroffenen ist das Recht auf Berichtigung. Stellt der Betroffene fest, dass die von ihm verarbeiteten Daten unrichtig sind, hat er das Recht, vom Verantwortlichen unverzüglich die Berichtigung dieser Daten zu verlangen (Art. 16 Satz 1 DSGVO). Auch eine Berichtigung im Rahmen einer Vervollständigung kommt in Betracht und kann durch den Betroffenen verlangt werden (Art. 16 Satz 2 DSGVO). 480 Folgend dem Grundsatz der Datenrichtigkeit (Art. 5 Abs. 1 lit. d) DSGVO), sollen die Daten sachlich richtig und auf dem neusten Stand sein. Mit dem Recht zur Berichtigung hat der Betroffene die Möglichkeit, auf die Verarbeitung inhaltlich einzuwirken, indem er sicherstellen kann, dass nur die richtigen personenbezogenen Daten verwendet werden. 481 Ebenso wie bei dem Recht auf Auskunftserteilung hat der Verantwortliche Zweifel an der Identität des Antragstellers zu beseitigen und kann einen weiterführenden Nachweis abfordern, um die Zweifel auszuräumen. Selbiges gilt für die Stellung von offenkundig unbegründeten oder exzessiven Anträgen, bei denen der Verantwortliche ein Tätigwerden verweigern kann. Auch die Berichtigung muss unentgeltlich erfolgen (Art. 12 Abs. 5, 6 DSGVO). Eine entsprechende Berichtigung hat der Verantwortlich Dritten, die in seinem Namen auf Grundlage einer Auftragsverarbeitung Daten verarbeiten oder denen die Daten rechtmäßig offengelegt wurden, mitzuteilen. Dies ergibt sich aus Art. 19 DSGVO. 5. Recht auf Löschung 482 Zu dem Recht auf Löschung (auch Recht auf Vergessenwerden) ist im Abschnitt Löschungskonzept bereits Stellung genommen worden (siehe Rn. 362 ff.), u. a. im Rahmen von Bewerbungen ausführlich. Neben der bestehenden Verpflichtung des Verantwortlichen Daten zu löschen, wenn z. B. der Zweck der Erhebung erledigt ist, besteht gleichwohl ein Anspruch des Betroffenen auf Löschung der Daten, falls dieser eine Löschung vom Verantwortlichen verlangt und die Voraussetzungen zur Löschung der Daten gegeben sind. a) Voraussetzungen für Pflicht zur Löschung 483 Auch bei diesem Recht soll sich der Verantwortliche über die Identität des Betroffenen im Klaren sein und er hat die Möglichkeit, zusätzliche Informationen anzufordern, um bestehende Zweifel auszuräumen. Hinsichtlich der Voraussetzungen und Gründe listet Art. 17 Abs. 1 DSGVO diese auf. Demnach bestehen eine Löschungspflicht des Verantwortlichen nach dem Gesetz und zugleich ein Anspruch des Betroffenen auf Löschung seiner personenbezogenen Daten, wenn einer der folgenden Gründe zutrifft: x
144
Daten sind für den Zweck der Verarbeitung nicht mehr notwendig und eine zulässige Zweckänderung liegt nicht vor (lit. a).
VI. Rechte Betroffener
x
Widerruf der Einwilligung, wenn diese Einwilligung Rechtsgrundlage für die Verarbeitung war (lit. b).
x
Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1, 2 DSGVO (lit. c).
x
Unrechtmäßigkeit der Verarbeitung (lit. d).
x
Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (lit. e).
x
Widerruf einer Einwilligung bezüglich der Verarbeitung personenbezogener Daten von Kindern (lit. f).
Soweit einer der in Art. 17 Abs. 1 lit. a) – f) DSGVO genannten Gründe vor- 484 liegt, ist die unverzügliche Löschung die angeordnete Rechtsfolge.335) Diese Löschung muss der Verantwortliche anhand hierfür vorgesehener Verfahren automatisch vornehmen. Das Löschen hat dergestalt zu erfolgen, dass die gegenständlichen Daten vollkommen und nicht wiederherstellbar vernichtet werden. Dies kann (wie oben bereits beschrieben) durch physische Zerstörung oder auch über technische Lösungen erfolgen. b) Recht auf Vergessenwerden Das „Recht auf Vergessenwerden“, welches in Art. 17 Abs. 2 DSGVO Ein- 485 zug gefunden hat, verpflichtet den Verantwortlichen, bei Dritten auf die Löschung von Veröffentlichungen, die durch den Verantwortlichen z. B. im Internet veranlasst wurden, hinzuwirken und diese Dritten darüber zu informieren, dass der Betroffene die Löschung aller Links verlangt. Dies unter der Berücksichtigung der verfügbaren Technologie und der Implementierungskosten.336) Dabei wird insbesondere auf große Suchmaschinenbetreiber abgestellt. Das Recht setzt das Urteil des EuGH um, in dem Google verpflichtet wurde, die Suchtreffer zu löschen, wenn die Interessen des Betroffenen überwiegen und keine weitere Rechtsgrundlage für eine Verarbeitung vorliegt.337) c) Antrag auf Löschung Die DSGVO sieht für den Antrag keine Form vor. Auch ist die Ausübung 486 dieses Recht per Antrag für den Betroffenen grundsätzlich unentgeltlich, erst bei dem Hinzutreten von Umständen gemäß Art. 12 Abs. 5 Satz 1, 2 DSGVO kann ein angemessenes Entgelt erhoben werden. Ist der Antrag berechtigt und die Identität steht ebenso fest, bedarf es einer unverzüglichen Löschung, sofern diese nicht bereits aufgrund der bestehenden Verpflichtungen erfolgt ___________ 335) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 17 DSGVO Rn. 29. 336) DSK-Kurzpapier Nr. 11, S. 2. 337) EuGH, Urt. v. 13.5.2014 – C-131/12, GRUR 2014, 895.
145
F. Aus der Praxis – Datenschutz in der Kanzlei
ist. Des Weiteren hat eine Information des Betroffenen zu erfolgen, dass der Löschungsvorgang durchgeführt wurde bzw. wenn nicht, warum dies nicht stattgefunden hat. d) Ausnahmen von der Löschungspflicht 487 Sollte die Verarbeitung gemäß Art. 17 Abs. 3 DSGVO weiterhin erforderlich sein, bedarf es keiner Löschung. Diese Ausnahme könnte der Fall sein, wenn die Verarbeitung notwendig ist zur Ausübung des Rechts der freien Meinungsäußerung, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für in öffentlichem Interesse liegende Archivzwecke oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Weitere Ausnahmen finden sich in § 35 BDSG. 488 Die Ausnahmen in § 35 Abs. 1 BDSG beziehen sich auf Daten, die nicht automatisiert verarbeitet werden, und sehen in diesem Fall eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO vor. Eine weitere Ausnahme aus § 35 Abs. 3 BDSG, wonach von der Löschungsverpflichtung abgewichen werden kann, liegt für den Fall bestehender satzungsgemäßer oder vertraglicher Aufbewahrungsfristen vor, die sich z. B. aus den handelsrechtlichen Aufbewahrungspflichten ergeben können. 6. Recht auf Einschränkung 489 Das Recht auf Einschränkung gemäß Art. 18 DSGVO stellt das mildere Mittel gegenüber der Löschung dar und gewährt dem Betroffenen zunächst eine mildere Art des Rechtsschutzes. Abermals ist die Identität des Antragstellers vorab zu klären. Art. 18 Abs. 1 lit. a) und d) DSGVO stellt zunächst einen Ausgleich zwischen den Interessen des Verantwortlichen für die Verarbeitung und den Interessen des Betroffenen dar. Dies, um bei einem Antrag auf Berichtigung durch den Betroffenen dem Verantwortlichen eine Karenzzeit einzuräumen, den Anspruch gemäß lit. a) zu prüfen bzw. gemäß lit. d) dem Verantwortlichen die Möglichkeit zu geben, bei einem Widerspruch gemäß Art. 21 Abs. 1 DSGVO zu prüfen, ob berechtigte Gründe für einen Widerspruch vorliegen. 490 Des Weiteren sehen die Vorgaben in Art. 18 Abs. 1 lit. b) eine „Wahlmöglichkeit“ des Betroffenen vor, in dem dieser bei einer unrechtmäßigen Verarbeitung anstelle des Löschens der Daten die Einschränkung der Verarbeitung verlangen kann. Art. 18 Abs. 1 lit. c) DSGVO gibt dem Betroffenen die Möglichkeit an die Hand, eine Einschränkung zu verlangen, wenn die Daten für die Zweckerfüllung nicht mehr benötigt werden, der Betroffene aber ggf. diese Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
146
VI. Rechte Betroffener
Auch diese Ausübung des Rechts auf Einschränkung ist grundsätzlich un- 491 entgeltlich, außer es handelt sich um offenkundig unberechtigte oder exzessive Anträge.338) Eine Verarbeitung nach der Einschränkung darf durch den Verantwortlichen nur noch unter den Voraussetzungen des Art. 18 Abs. 2 DSGVO erfolgen. Dies bezieht sich nicht auf die Speicherung, die natürlich in jedem Fall Bestand haben muss. Bevor der Verantwortliche diese Einschränkung aufhebt, hat dieser den Betroffenen hiervon zu unterrichten. 7. Recht auf Datenübertragbarkeit Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) soll dem Betroffenen 492 ermöglichen, schnell und unkompliziert den Anbieter einer Leistung wechseln zu können. Das auch als „Datenportabilität“ bezeichnete Recht sieht vor, dass der Verantwortliche die vorhandenen und benötigten Daten in einem übertragbaren Format dem Betroffenen zur Verfügung zu stellen hat. Dieses Recht ist u. a. dafür gedacht, wenn der Betroffene einen Dienstleister wechseln will. In diesem Fall soll der Betroffene seine Daten in einem Format erhalten, welches er bei dem neuen Dienstleister einreichen kann. Der Betroffene kann auch vom Verantwortlichen verlangen, die Daten direkt an den neuen Verantwortlichen zu übermitteln, soweit keine technischen Beschränkungen einer direkten Übertragung entgegenstehen. 8. Widerspruchsrecht Dem Betroffenen steht für bestimmte Verarbeitungstätigkeiten ein Wider- 493 spruchsrecht zu gemäß Art. 21 DSGVO. Es soll den Betroffenen vor Verarbeitungen schützen, die nicht mit seinem Willen im Einklang stehen.339) Dabei besteht das Widerspruchsrecht nicht per se für jede Art der Verarbeitung. Einer Verarbeitung, die u. a. gemäß Art. 6 Abs. 1 Satz 1 lit. b) DSGVO zur Erfüllung eines Vertrags stattfindet, kann der Betroffene nicht gemäß Art. 21 DSGVO widersprechen. Ein Widerspruchsrecht besteht grundsätzlich in den Fällen, in denen die recht- 494 mäßige Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 lit. e) oder f) erfolgt. Dies betrifft zum einen die Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind bzw. im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen, zum anderen Verarbeitungen die im Rahmen des berechtigten Interesses vorgenommen werden. Zwar überrascht der Verweis auf Art. 6 Abs. 1 Satz 1 lit. e) DSGVO, da dieser die Verarbeitung im öffentlichen Interesse vorsieht, aber auch der ErwGr. 69 DSGVO bestätigt dies nochmals ausdrücklich.340) ___________ 338) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 18 DSGVO Rn. 4. 339) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 21 DSGVO Rn. 1. 340) Plath-Kamlah, BDSG/DSGVO, Art. 21 DSGVO Rn. 3.
147
F. Aus der Praxis – Datenschutz in der Kanzlei
495 Auch inkludiert in das normierte Widerspruchsrecht des Art. 21 DSGVO ist der Umstand, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen bzw. eines Dritten gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stattfindet.341) Weiterhin besteht ein Widerspruchsrecht bei der Verarbeitung im Rahmen der Direktwerbung und unter entsprechenden Voraussetzungen auch bei einer Verarbeitung zu Forschungs- und Statistikzwecken. 496 Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO hinsichtlich der Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 Satz 1 lit. e) und f) DSGVO verlangt als weiteren Voraussetzungsgrund das Vorliegen einer besonderen Situation beim Betroffenen. Näher spezifiziert die Vorschrift dies nicht. Grundsätzlich muss die Frage gestellt werden, welche besondere Situation beim Betroffenen vorliegen muss, die als Grund dafür heranzuziehen ist, einer an sich rechtmäßigen Verarbeitung zu widersprechen. 497 Diese besondere Situation muss nach der ursprünglichen Abwägung im Rahmen der Zulässigkeit eingetreten sein. Andernfalls hätte die notwendige Interessenabwägung zur Prüfung der Zulässigkeit, welche gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO erfolgen muss, bereits vorab ergeben, dass eine Verarbeitung unzulässig ist. Denkbar wäre eine Änderung der Lebenssituation des Betroffenen (familiär oder auch geschäftlich), die nachträglich eine Verarbeitung seiner personenbezogenen Daten in einem anderen Lichte erscheinen lassen. 498 Ob in diesem Widerspruch auch zeitgleich eine Pflicht zur Löschung zu sehen ist, beantwortet das Gesetz in Art. 17 Abs. 1 lit. c) DSGVO. Hier wird eindeutig bestimmt, dass eine Löschung unverzüglich zu erfolgen hat, wenn der Betroffene gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe des Verantwortlichen für die Verarbeitung gegeben sind. Aber auch ohne diese Verknüpfung in Art. 17 DSGVO wäre von einer Verpflichtung zur Löschung auszugehen, da mit einem wirksamen Widerspruch auch zeitgleich die Untersagung der Verarbeitung dieser Daten einhergeht. Der rechtmäßig ausgeübte Widerspruch des Art. 21 Abs. 1 Satz 1 DSGVO löst für den Verantwortlichen ein Verarbeitungsverbot aus. Somit wäre der Zweck der Verarbeitung entfallen bzw. kann nicht mehr verfolgt werden und es besteht per se eine Löschungspflicht. 499 Ein wirksamer Widerspruch, der sich auf Art. 21 Abs. 1 DSGVO bezieht liegt dahingehend nicht vor, wenn der Verantwortliche zwingende schutzwürdige Gründe nachweisen kann und diese bei einer Interessenabwägung dazu führen, dass die Interessen des Betroffenen nicht überwiegen. 500 Das Widerspruchsrecht gemäß Art. 21 Abs. 2 DSGVO in Bezug auf das Recht, Widerspruch gegen eine Verarbeitung der personenbezogenen Daten zur ___________ 341) Paal/Pauly-Martini, DS-GVO/BDSG, Art. 21 DSGVO Rn. 1.
148
VI. Rechte Betroffener
Durchführung von Direktwerbung zu erheben, ist nicht an weitere Voraussetzungen geknüpft. Der Betroffene muss keine weiteren Gründe für seinen Widerspruch anführen. Auch eine Möglichkeit des Verantwortlichen, dem Widerspruch mit dem Hinweis auf zwingende schutzwürdige Gründe entgegenzutreten, besteht nicht. Art. 21 Abs. 4 DSGVO sieht eine Verpflichtung des Verantwortlichen vor, 501 den Betroffenen zum Zeitpunkt der ersten Kommunikation auf die Widerspruchsrechte hinzuweisen. Diese Verpflichtung ist als Ergänzung zu den Informationspflichten gemäß Artt. 13, 14 DSGVO zu verstehen. Insbesondere die Kenntlichmachung dieses Hinweises durch eine verständliche und von anderen Informationen getrennten Form, wie es der Art. 21 Abs. 4 Halbs. 2 DSGVO vorsieht, lässt den Schluss zu, dass dieser Hinweis sich von den anderen Informationen der Informationspflichten absetzen muss. Der Hinweis auf die Widerspruchsrechte sollte demnach explizit hervorgehoben werden (eventuell fett gedruckt); jedenfalls getrennt von der Information hinsichtlich der weiteren bestehenden Rechte erfolgen. Praxistipp: Der Insolvenzverwalter sollte als Verantwortlicher, wie jedes andere Unternehmen auch, die Rechte der Betroffenen zwingend beachten und diese bestmöglich sicherstellen. So gilt es, für den Insolvenzverwalter entsprechende Prozesse zu entwickeln, diese im Datenschutzmanagement zu verankern und auch dafür Sorge zu tragen, dass diese von seinen Mitarbeitern gelebt werden. Dies gebietet sich bereits aufgrund der bestehenden Bußgeldproblematik des Art. 83 Abs. 5 lit. b) DSGVO für Verstöße gegen Verpflichtungen aus den Artt. 12 ff DSGVO und der sich daraus ergebenden Haftung auf Schadensersatz gemäß Art. 82 DSGVO, aber auch hinsichtlich etwaiger Außenwirkung des Insolvenzverwalters auf das Gericht. Auch der Umstand, dass sich ein Betroffener relativ leicht und unproblematisch an die Aufsichtsbehörde wenden kann und diese bei einer entsprechenden Meldung aktiv werden muss, sollte den Insolvenzverwalter dazu bewegen, in diesem Bereich Vorkehrungen zu treffen. Es ist davon auszugehen, dass die Aufsichtsbehörde bei einer entsprechenden Meldung, diese intensiv prüft und zeitgleich sich auch alle anderen Verarbeitungstätigkeiten von personenbezogenen Daten beim Insolvenzverwalter genauer anschauen wird.
Grundsätzliches Vorgehen bei einer Anfrage:
502
x
Klärung Identität des Antragstellers,
x
Prüfung des Antrags und mögliche Ausnahmen,
x
Prüfung des vorliegenden Datenbestands,
x
Aktion vornehmen in Bezug auf das eingeforderte Recht,
x
unentgeltliche Information an Betroffenen oder Aufsichtsbehörde innerhalb der Frist, ggf. Negativauskunft.
149
F. Aus der Praxis – Datenschutz in der Kanzlei
VII. Bewerbung als Insolvenzverwalter bei Gericht 1. Antrag auf Aufnahme zur Vorauswahlliste 503 Um seiner Tätigkeit nachkommen zu können und entsprechende Verfahren zu bearbeiten, bewirbt sich der Insolvenzverwalter bekanntlich bei unterschiedlichen Gerichten, um eine Listung für die Verteilung von Insolvenzverfahren bei diesen Gerichten zu erwirken. 504 Der Insolvenzverwalter wird i. d. R. beim jeweiligen Gericht einen Antrag auf Aufnahme in die Vorauswahlliste ausfüllen müssen. Diese Anträge sehen vor, dass der Insolvenzverwalter genaue Informationen zu seiner Person abgibt. Dazu zählen neben den fachlichen Qualifikationen und Berufserfahrungen auch personenbezogene Daten, nämlich die des Insolvenzverwalters selbst, aber auch zum Teil personenbezogene Daten seiner Mitarbeiter. 2. Mitarbeiterdaten – personenbezogene Daten? 505 Einzelne Insolvenzgerichte belehren den Insolvenzverwalter innerhalb des Antrags über die datenschutzrechtlichen Bestimmungen. Hinsichtlich der personenbezogenen Daten des Insolvenzverwalters und der meist innerhalb des Antrags abgegebenen Einwilligung zur Verarbeitung dieser Daten gibt es keine datenschutzrechtlichen Bedenken. Dies vor dem Hintergrund, dass der Insolvenzverwalter über seine personenbezogenen Daten naturgemäß selbst verfügen und auch die Einwilligung zur Verarbeitung jederzeit widerrufen kann. 506 Wie sieht es aber im Gegensatz dazu mit personenbezogenen Daten seiner Mitarbeiter aus? Dürfen einzelne Daten wie Unternehmenszugehörigkeit, Ausbildung, Eintrittsdatum, aktuelle Tätigkeit und ggf. Kontaktdaten der Mitarbeiter im Rahmen dieses Antrags an das Gericht übergeben werden? In einigen Fällen werden noch weitere Daten der Mitarbeiter verlangt. Die Daten in der Gesamtheit können dazu führen, dass der Mitarbeiter identifizierbar ist und somit die Daten als personenbezogene Daten anzusehen sind. Beispielsweise besteht die Möglichkeit der Identifizierbarkeit, wenn innerhalb einer Tätigkeit beim Insolvenzverwalter drei Personen tätig sind, verschiedenen Alters und mit unterschiedlichen Ausbildungen. Anhand der Angaben in einigen Antragsbögen, wären diese Mitarbeiter bei der Zusammenfassung der einzelnen Informationen identifizierbar und diese Angaben somit als personenbezogene Daten zu betrachten. 3. Rechtmäßigkeit der Übermittlung 507 Fraglich bleibt nun, inwieweit eine Übermittlung der Mitarbeiterdaten eine rechtmäßige Verarbeitung nach der DSGVO darstellt. Die Weitergabe der Daten der Mitarbeiter ist von § 26 Abs. 1 BDSG gedeckt, da eine Verarbeitung zu Zwecken der Durchführung des Beschäftigungsverhältnisses stattfindet. Auch ist die Übermittlung der Daten an das Gericht erforderlich für
150
VII. Bewerbung als Insolvenzverwalter bei Gericht
den Zweck der Durchführung des Beschäftigungsverhältnisses. Damit ist auch das Merkmal der Erforderlichkeit für die Zweckerreichung, das den zentralen Maßstab für die Zulässigkeit und Rechtmäßigkeit der Verarbeitung342) darstellt, erfüllt. Zur Prüfung der Erforderlichkeit kann sich der Insolvenzverwalter die Überlegungen und Vorgaben zum § 32 BDSG a. F. zunutze machen. Diese werden bei der Beurteilung der Erforderlichkeit weiterhin heranzuziehen sein, was auch angesichts der weitreichenden Übernahme der Regelung des § 32 BDSG a. F. in den nunmehr neuen § 26 BDSG angebracht scheint.343) Der § 26 BDSG ist, soweit er eine Regelung für den Sachverhalt vorsieht, 508 einschlägig aufgrund der Konkretisierungsklausel in Art. 88 DSGVO und der Ausnutzung dieses Spielraumes durch den deutschen Gesetzgeber. Somit ist nach hiesiger Einschätzung eine Übertragung der Daten der Mitarbeiter – sofern dies unter den datenschutzrechtlichen Grundsätzen erfolgt – aufgrund des § 26 Abs. 1 BDSG rechtmäßig. Die Rechtmäßigkeit steht unter dem Vorbehalt, dass nur Daten übermittelt werden, die tatsächlich für die Zweckerreichung, hier die benötigten Angaben für die Bewerbung des Insolvenzverwalters, benötigt werden und deren Übermittlung auch erforderlich ist. 4. Einwilligung der Mitarbeiter Nicht zuletzt aufgrund der bestehenden Unsicherheiten im Umgang mit der 509 DSGVO und der teilweise unsachlichen Berichterstattung sind viele Verantwortliche der Meinung, dass eine Einwilligung ein Allheilmittel für mögliche Probleme sei.344) Häufig wird auch die Verwalterkanzlei als Verantwortlicher vorbereitend das 510 Einverständnis der Mitarbeiter zur interessengerechten Weitergabe der Daten i. S. v. Art. 7 DSGVO einholen.345) Die Wirksamkeit einer Einwilligung durch die Mitarbeiter ist in der Literatur umstritten. Fraglich ist, inwieweit die geforderte Freiwilligkeit der Einwilligung im Rahmen eines Arbeitsverhältnisses bestanden hat. Zum Teil wird angeführt, dass eine Freiwilligkeit, die einer Einwilligung immanent ist, bereits an der Abhängigkeit und am Über-/ Unterordnungsverhältnis scheitert. Zumindest seien sehr hohe Anforderungen an den Zweck der Einwilligung zu stellen.346) Demgegenüber sieht selbst das Gesetz in § 26 Abs. 2 BDSG die Möglichkeit 511 der Einwilligung durch den Beschäftigten und gibt Beurteilungsmaßstäbe für ___________ 342) Paal/Pauly-Gräber/Nolden, DS-GVO/BDSG, § 26 BDSG Rn. 13. 343) Paal/Pauly-Gräber/Nolden, DS-GVO/BDSG, § 26 BDSG Rn. 14; DSK-Kurzpapier Nr. 14, S. 1. 344) So i. E. wohl auch Woltersdorf, INDat Report 02/2018, 13. 345) Reisener/Weiß, InsbürO 10/2018, 383. 346) Ablehnend DSK-Kurzpapier Nr. 14, S. 2; Brink/Schmidt, MMR 2010, 593; Körner, AuR 2010, 419.
151
F. Aus der Praxis – Datenschutz in der Kanzlei
die Freiwilligkeit an die Hand. Auch das BAG hat in einer Entscheidung347) ausgeführt, dass die Einwilligung im Beschäftigungsverhältnis der Schriftform bedarf. Im Umkehrschluss bedeutet dies, dass auch das BAG eine Einwilligung innerhalb eines Beschäftigungsverhältnisses per se als rechtmäßig ansieht. 512 Abgesehen vom Meinungsstreit und dem Umstand, dass nach Meinung der Autoren eine Einwilligung entbehrlich ist, da eine Rechtsgrundlage bereits in Art. 6 Abs. 1 Satz 2 lit. b) DSGVO i. V. m. § 26 Abs. 1 BDSG zu sehen ist,348) ist neben dem Aufwand bzw. den Kosten der Insolvenzkanzlei im Zusammenhang mit der Einholung entsprechender Einwilligung, ein weiterer Punkt die Widerruflichkeit der Einwilligung ohne Angabe von Gründen und stellt ein großes Hindernis dar. Ein solcher Widerruf gilt zwar zwangsläufig nur für die Zukunft, allerdings werden entsprechende Bewerbungen der Insolvenzverwalter regelmäßig erneuert bzw. aktualisiert.349) Eine solche Erneuerung dürfte dann aufgrund des Widerrufs diese Daten nicht mehr enthalten – jedenfalls die des konkreten Mitarbeiters nicht mehr. Praxistipp: Der Insolvenzverwalter sollte seine Bewerbung wie gewohnt versenden und die Angaben machen, die das Gericht verlangt. Natürlich hat er diese Angaben immer auch unter Beachtung der Grundsätze des Datenschutzes vorzunehmen und sollte prüfen, inwieweit diese Daten zwingend für die Zweckerfüllung benötigt werden. Der Zweck der Datenverarbeitung ist in der Bewerbung des Insolvenzverwalters zu sehen und zugleich zumindest als Nebeneffekt zum Zwecke der Durchführung des Beschäftigungsverhältnisses. Zu beachten ist, dass die Mitarbeiter des Insolvenzverwalters im Rahmen der Informationspflichten von der Verarbeitung in Kenntnis gesetzt werden. Von einer Einwilligung durch die Mitarbeiter wird wegen der bekannten Probleme abgeraten. Wichtig ist es, (wie immer) die Überlegungen und die Verarbeitung zu dokumentieren.
___________ 347) BAG, Urt. v. 11.12.2014 – 8AZR 1010/13, NZA 2015, 604. 348) Reisener/Weiß, InsbürO 10/2018, 383. 349) Reisener/Weiß, InsbürO 10/2018, 383.
152
G. Datenschutz im Antragsverfahren Im folgenden Abschnitt wird beschrieben, was der (vorläufige) Insolvenzver- 513 walter, der (vorläufige) Sachwalter und der Sachverständige datenschutzrechtlich bei der Verfahrensbearbeitung zu beachten haben. In der Insolvenzverwaltung wird eine Vielzahl von Daten an verschiedensten Stellen innerhalb des Verfahrens verarbeitet. Ebenso werden verschiedenste Kategorien von Daten verwertet. Häufig handelt es sich unstreitig um personenbezogene Daten. Dies erfordert vom Insolvenzverwalter, der bereits wie jedes Unternehmen als Verantwortlicher die internen personenbezogenen Daten verarbeitet, auch besondere Obacht bei der Verarbeitung von Daten aus dem jeweiligen Verfahren. Die Verfahrensbearbeitung unter datenschutzrechtlichen Gesichtspunkten 514 ist bisher in der Literatur bis auf einige Ausarbeitungen in Bezug auf die Übertragung von Kundendaten und damit einhergehend eine Diskussion bezüglich der Verantwortlichkeit des (vorläufigen) Insolvenzverwalters nur wenig beleuchtet worden. Im Folgenden werden die im Rahmen der Verfahrensbearbeitung festgestellten Probleme beschrieben. Außerdem wird die von den Autoren empfohlene Vorgehensweise aufgezeigt werden. Auf eine gefestigte Rechtsprechung zur Verfahrensbearbeitung und deren 515 datenschutzrechtlichen Gesichtspunkten kann sich der Insolvenzverwalter nicht stützen, da Entscheidungen bis auf wenige Ausnahmen (meist zum Thema Datenübertragung) kaum vorliegen. Auch aufseiten der Aufsichtsbehörden liegen nur vereinzelt Handlungsempfehlungen für den Bereich der Insolvenzverwaltung vor. Die Autoren haben sich intensiv mit dem Thema Datenschutz in den einzelnen Verfahrensstadien befasst und unter Beachtung der aktuellen Gesetzeslage die Probleme diskutiert und Handlungsszenarien erstellt. Es wurden Ableitungen aus Empfehlungen der Aufsichtsbehörden aus anderen Bereichen gebildet und an eigene Erfahrungen bei der Betrachtung der Schnittmenge Insolvenzrecht und Datenschutzrecht angeknüpft. Um die Punkte, die ein (vorläufiger) Insolvenzverwalter, (vorläufiger) Sach- 516 walter oder Sachverständigen aus Datenschutzsicht beachten muss, und um die Aufgaben und Pflichten genauer einschätzen zu können, bedarf es zunächst der Bestimmung der Verantwortlichkeit für die jeweiligen personenbezogenen Daten in den jeweiligen Verfahrensstadien. I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO Vorrangig muss die Frage beantwortet werden, welche datenschutzrechtliche 517 Stellung der Insolvenzverwalter im jeweiligen Verfahrensstadium und hinsichtlich der vorliegenden und zusätzlich erhobenen Daten einnimmt. Danach kann festgestellt werden, welche Bestimmungen einschlägig350) sind und welche Pflichten sich aus einer Verarbeitung ergeben. ___________ 350) Hartung, ZInsO 2011, 1229.
153
G. Datenschutz im Antragsverfahren
518 Grundsätzlich bezeichnet der Begriff des „Verantwortlichen“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die Normadressaten der DSGVO und des BDSG sind. Wer für die Verarbeitung der personenbezogenen Daten grundsätzlich verantwortlich ist, den treffen die verschiedenen Verpflichtungen bei der Verarbeitung von personenbezogenen Daten. Im Rahmen der Anpassung an die DSGVO wird auch im BDSG nunmehr diese Begrifflichkeit verwendet. Der ehemals genutzte Begriff der „verantwortlichen Stelle“, wie er in § 3 Abs. 7 BDSG a. F. zu finden war, ist im Rahmen der Anpassung entfallen. 519 In der EG-Datenschutzrichtlinie,351) welche durch die DSGVO mit Wirkung zum 25.5.2018 gemäß Art. 94 DSGVO aufgehoben wurde, wurde noch der Begriff „für die Verarbeitung Verantwortlichen“ in der deutschen Übersetzung verwendet. In der englischen Fassung der EG-Datenschutzrichtlinie und auch in der DSGVO ist jeweils von „Controller“ die Rede. Die Definition in der DSGVO ist hingegen wortidentisch mit der Begriffsbestimmung in der EG-Datenschutzrichtlinie.352) 1. Begriffsbestimmung 520 Zunächst müssen die Begriffe der handelnden Subjekte gemäß der DSGVO bestimmt werden, um danach eine Festlegung oder Einschätzung zur Verantwortlichkeit vornehmen zu können. Die einzelnen Begriffsbestimmungen finden sich anhand der Legaldefinition im Art. 4 DSGVO wieder. 521 Grundsätzlich kennt die DSGVO neben dem Betroffenen drei weitere Handelnde, die mehr oder weniger Bezugspunkte zur Verarbeitung von Daten haben. Dies sind der Verantwortliche (Art. 4 Nr. 7 DSGVO), der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) und der Dritte (Art. 4 Nr. 10). Es bedarf einer Abgrenzung der definierten Handelnden, um die datenschutzrechtliche Stellung des Insolvenzverwalters bestimmen zu können. a) Verantwortlicher 522 Die Definition des Begriffs des Verantwortlichen wird in Art. 4 Nr. 7 DSGVO vorgenommen. Dort heißt es: „Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise
___________ 351) Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 352) Plath-Schreiber, BDSG/DSGVO, Art. 4 DSGVO Rn. 25.
154
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.“
Der Begriff des Verantwortlichen ist demzufolge weit auszulegen.353) Die 523 Entscheidungsbefugnis des Verantwortlichen kann sich ausdrücklich aus dem Recht ergeben oder durch eine Zuweisung von Aufgaben, die eine Zuständigkeit implizieren.354) Wichtig bei der Zuordnung ist der faktische Einfluss auf die Verarbeitung, aber nicht nur dieser. Entscheidend ist u. a. auch die tatsächliche Entscheidungs- und Verfügungsgewalt über die jeweiligen Verarbeitungsvorgänge.355) Die EuGH Entscheidung zur sog. Facebook-Fanpage356) relativiert diese An- 524 sicht etwas und meint, wenn an einer Entscheidung über die Zwecke und Mittel zumindest eine Beteiligung besteht, kann dies ein Anhaltspunkt für eine Verantwortung sein. In diesen Fällen ist von einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO auszugehen. Um den Verantwortlichen bestimmen zu können, ist die Kenntnis darüber 525 wichtig, wer nach den Umständen und/oder der rechtlichen Zuweisung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.357) Wichtig für die Bestimmung als Verantwortlicher ist also die Feststellung, welcher Handelnde über die Entscheidungsmacht zur Verarbeitung verfügt. Des Weiteren spielt gemäß der Artikel-29-Datenschutzgruppe auch die Fachkompetenz des Verarbeitenden eine wichtige Rolle und führt bei Bestehen zu einer Einstufung als Verantwortlicher für die Verarbeitung. So u. a. bei Rechtsanwälten bei der Vertretung von Mandanten vor Gericht. b) Dritter Gemäß Art. 4 Nr. 10 DSGVO ist Dritter eine natürliche oder juristische 526 Person, Behörde, Einrichtung oder andere Stelle in Abgrenzung zu den anderen Handelnden und des Betroffenen. Es handelt sich um einen datenschutzrechtlich Außenstehenden, der weder Verantwortlicher, Auftragsverarbeiter noch Betroffener ist und auch nicht unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt ist, die personenbezogenen Daten zu verarbeiten. Somit wird eine negative Abgrenzung zu den anderen genannten Akteuren vorgenommen.358) Dritte können Empfänger von Daten sein, z. B. im Rahmen einer übertragenden Sanierung oder auch Lieferanten von Daten, z. B. bei einer Datenerhebung bei Dritten. ___________ 353) 354) 355) 356)
EuGH, Urt. v. 13.5.2014 – C – 131/12, GRUR 2014, 895. Thole, ZIP 2018, 1002. Thole, ZIP 2018, 1002. EuGH, Urt. v. 5.6.2018 – C – 210/16, ZD 08/2018, 357 (mit Anmerkung Marosi/ MatthéSchulz, 361 ff.). 357) Vgl. Kühling/Buchner-Hartung DS-GVO/BDSG, Art. 4 DSGVO Rn. 13. 358) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 59; Plath-Schreiber, BDSG/ DSGVO, Art. 4 DSGVO Rn. 33.
155
G. Datenschutz im Antragsverfahren
527 Eine Einordnung als Dritter für den Insolvenzverwalter scheidet aus, da der Dritte bei dieser Betrachtung und der Begriffseinordnung keine Verarbeitung vornimmt. c) Auftragsverarbeiter 528 Art. 4 Nr. 8 DSGVO definiert den Auftragsverarbeiter als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 529 Eine rechtmäßige Verarbeitung kann nur der Verantwortliche auf Basis einer Einwilligung oder gesetzlichen Grundlage veranlassen. Allerdings besteht für den Verantwortlichen die Möglichkeit, durch einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einen Auftragsverarbeiter zu beauftragen unter der Verantwortung des Verantwortlichen für diesen tätig zu werden. Der Auftragsverarbeiter fungiert in Bezug auf die personenbezogenen Daten für den Verantwortlichen quasi als Marionette.359) Er ist bei der Verarbeitung weisungsgebunden und darf die personenbezogenen Daten ausschließlich im Rahmen der Weisung verarbeiten (Art. 29 DSGVO). 530 Der Auftragsverarbeiter nimmt eine Verarbeitung personenbezogener Daten ausschließlich im Auftrag des Verantwortlichen vor (siehe Rn. 343 ff.). Der Auftragsverarbeiter selbst ist im Rahmen der gegenständlichen Verarbeitung von personenbezogenen Daten nicht Verantwortlicher. Außerhalb des Auftrags für interne Verarbeitungen von personenbezogene Daten fungiert er als Verantwortlicher weiter für die von ihm vorgenommene und veranlasste Verarbeitung. 531 Der Verantwortliche trifft die Entscheidungen bezüglich der Zwecke und Mittel der Verarbeitung. Somit entscheidet dieser über das „Warum“ und das „Wie“ der Verarbeitung. Der Auftragsverarbeiter muss sich an diese Anweisungen zwingend halten. Dem Auftragsverarbeiter wird dabei ein gewisser Handlungsspielraum beim „Wie“ zugesprochen, wenn es um das Schutzniveau der personenbezogenen Daten geht, insbesondere hinsichtlich der TOM. Diese muss der Auftragsverarbeiter ergreifen, um die personenbezogenen Daten aus dem Verantwortungsbereich des Auftraggebers als Verantwortlichen zu schützen,360) und das Bestehen der TOM innerhalb der Vereinbarung zur Auftragsverarbeitung angeben. 532 Auch die Artikel-29-Datenschutzgruppe nimmt in ihrem Arbeitspapier361) eine umfangreiche Begutachtung der Stellung des Verantwortlichen und des Auftragsverarbeiters vor. Dieses Arbeitspapier bezieht sich auf die Vorschriften der EU-Datenschutzrichtlinie, die grundsätzlichen Erwägungen sind aber auch ___________ 359) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 56. 360) DSK-Kurzpapier Nr. 13, S. 1. 361) Artikel-29-Datenschutzgruppe, WP169.
156
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
auf die DSGVO anwendbar.362) Die Datenschutzgruppe vertritt dabei die Ansicht, dass es eines Ermessenspielraums im Hinblick auf die Verarbeitung bedarf, um festlegen zu können, wann jemand als Verantwortlicher und wann jemand als Auftragsverarbeiter anzusehen ist. Entscheidend für die Bestimmung des Verantwortlichen ist die Frage, wer die Verfügungs- oder Entscheidungsgewalt über die Daten hat, so die Artikel-29-Datenschutzgruppe. Das grundlegende Element der Zuordnung des Verantwortlichen ist gemäß Übereinkommen in der ausgearbeiteten englischen Fassung „zuständig ist, (…) zu entscheiden“ („who is competent…to decide“). Demnach ist es möglich, auch unabhängig von gesetzlichen Zuständigkeiten oder Befugnissen zur Kontrolle von Daten, ein Verantwortlicher zu sein. Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, 533 in denen eine Stelle von einer anderen im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.363) Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.364) Dabei ist z. B. abzustellen auf Botendienste, Postdienstleistungen, Bankdienstleistungen bei Geldkonten etc. Dieser harten Abgrenzung ist nicht vollständig beizupflichten. Der BayLDA 534 sieht u. a. die Tätigkeit eines IT-Dienstleisters als Auftragsverarbeitung an. Zwar hat dieser einen potenziellen Zugriff auf personenbezogene Daten, aber es kann bei der Dienstleistung nicht davon gesprochen werden, dass eine Datenverarbeitung von personenbezogenen Daten ein wichtiger Bestandteil der Tätigkeit ist. Ähnlich muss die Betrachtung bei Entsorgern von Datenträgern erfolgen. Auch die Artikel-29-Datenschutzgruppe nimmt eine ähnliche Abgrenzung 535 wie die BayLDA vor, indem sie einen Auftragnehmer, der einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, mit einem für die Verarbeitung Verantwortlichen (oder möglicherweise einen gemeinsam für die Verarbeitung Verantwortlichen) gleichsetzt.365) Dieser Abgrenzung ist beizupflichten, sofern die Abgrenzung hinsichtlich des Einflusses auf die Verarbeitung abstellt. Der Auftragsverarbeiter ist ebenso als Verantwortlicher anzusehen, wenn er entgegen der Vereinbarung oder
___________ 362) DSK-Kurzpapier Nr. 13, S. 1; zustimmend Filip, BvD-News 3/2017, 11; Schild, in: BeckOK DatenschutzR, DS-GVO Art. 4 Rn. 88; Kühling/Buchner-Hartung, DS-GVO/ BDSG, Art. 4 DSGVO Rn. 13. 363) BayLDA, FAQ-DS-GVO v. 20.7.2018 – Was ist Auftragsverarbeitung und was nicht? 364) BayLDA, FAQ-DS-GVO v. 20.7.2018 – Was ist Auftragsverarbeitung und was nicht? 365) Artikel-29-Datenschutzgruppe, WP169, S. 18.
157
G. Datenschutz im Antragsverfahren
Grundlage des Auftrags über die Zwecke und Mittel der Verarbeitung bestimmt.366) 2. Einordnung Insolvenzverwalter nach seiner jeweiligen Funktion 536 In der Literatur wurde bisher nur vereinzelt das Thema Verantwortlichkeit des Insolvenzverwalters hinsichtlich seiner jeweiligen Funktion bzw. des jeweiligen Verfahrensstadiums behandelt. Zum Sachverständigen und Sachwalter wird kaum Stellung genommen. Zum Insolvenzverwalters und vorläufigen Insolvenzverwalter gibt es einige Stimmen im Schrifttum, die sich dem Thema zugewandt haben. Die h. M. geht davon aus, dass der Insolvenzverwalter spätestens im eröffneten Verfahren Verantwortlicher ist.367) Dabei wird i. d. R. auf die Verfahrenseröffnung und den Eröffnungsbeschluss gemäß § 27 Abs. 1 Satz 1 InsO abgestellt sowie auf den Übergang der Verwaltungs- und Verfügungsbefugnis.368) Die Verantwortlichkeit des Insolvenzverwalters resultiert aus dem Übergang der Verwaltungs- und Verfügungsbefugnis auf den Insolvenzverwalter gemäß § 80 Abs. 1 InsO und dem gleichzeitigen Verlust des Schuldners, auf die Verarbeitung von personenbezogenen Daten Einfluss nehmen zu können.369) Zum Teil wird auf die Inbesitznahme und den tatsächlichen Besitz und die Entscheidungsgewalt über die Verarbeitungsvorgänge zusätzlich abgestellt,370) was auch interessensgerecht wäre. a) Arten der Daten und Zweck ihrer Erhebung 537 Die genannten Erwägungen beziehen sich überwiegend auf Daten, die meist vom Schuldner zur Durchführung seiner geschäftlichen Tätigkeit erhoben wurden. Dabei handelt es sich u. a. um Mitarbeiterdaten, Kundendaten, Daten von Dienstleistern etc. Diese Daten beinhalten zum Teil personenbezogene Daten, die betrachtet werden müssen und für deren Verarbeitung der Verantwortliche bestimmt werden muss. Dies gilt insbesondere für die vom Schuldner erhobenen und bis dato verarbeiteten personenbezogenen Daten. Diese sog. „Unternehmensdaten“ wurden i. d. R. vom Schuldner bereits vorinsolvenzlich zu geschäftlichen Zwecken des Schuldners erhoben. Für die hier vorgenommene Betrachtung wird davon ausgegangen, dass die Daten rechtmäßig durch den Schuldner erhoben wurden. 538 Es gibt aber auch Daten, die sich nicht aus den vorliegenden Unternehmensdaten speisen, sondern von den Gerichten, z. B. in der Insolvenzakte, und durch den Insolvenzverwalter selbst erhoben bzw. verarbeitet werden. Diese Daten, hier als „Verfahrensdaten“ bezeichnet, beinhalten ebenso häufig per___________ 366) 367) 368) 369) 370)
158
Schild, in: BeckOK DatenschutzR, DS-GVO Art. 4 Rn. 96. Berberich/Kanschik, NZI 2017, 5; Beyer/Beyer, NZI 2016, 243. Berberich/Kanschik, NZI 2017, 5. Beyer/Beyer, NZI 2016, 243; Berberich/Kanschik, NZI 2017, 5. Berberich/Kanschik, NZI 2017, 5; Thole, ZIP 2018, 1003.
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
sonenbezogene Daten und haben mit der schuldnerischen geschäftlichen Tätigkeit vorwiegend nichts zu tun. Natürlich gibt es hier Schnittmengen. Gemeint sind u. a. Daten hinsichtlich des Vermögens des Schuldners, Daten 539 von Gläubigern zur Tabellenbearbeitung, Daten von potenziellen Interessenten sowie sehr persönliche Daten des Schuldners und dessen familiären Umkreises. Zweck der Erhebung dieser Daten ist die Durchführung des Insolvenzverfahrens unter Beachtung der insolvenzrechtlichen Bestimmungen. b) Einordnung vorläufiger Insolvenzverwalter aa) Betrachtung hinsichtlich der Unternehmensdaten Den oben genannten Ausführungen folgend ist davon auszugehen, dass der 540 vorläufige Insolvenzverwalter aufgrund der fehlenden Einflussmöglichkeit und Entscheidungsbefugnis für die Datenverarbeitungsvorgänge nicht als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist. Zumindest in den Fällen, in denen der Schuldner im Hinblick auf das Vermögen verwaltungsund verfügungsbefugt bleibt und es sich um Unternehmensdaten handelt.371) Zum einen hat der vorläufige (schwache) Insolvenzverwalter weder die für 541 die Verantwortlichkeit nach der DSGVO erforderliche Entscheidungsbefugnis für die Zwecke und Mittel der Verarbeitung, noch hat er wegen des fehlenden tatsächlichen Einflusses die Möglichkeit, die Verarbeitungsvorgänge im schuldnerischen Unternehmen zu lenken. Die Verantwortlichkeit für die Unternehmensdaten liegt in diesem Fall weiterhin beim Schuldner. Dies dürfte unstreitig sein, allein aufgrund der fehlenden Entscheidungsmöglichkeiten und Kenntnisse des vorläufigen Insolvenzverwalters hinsichtlich der Verarbeitungsvorgänge. bb) Betrachtung hinsichtlich der Verfahrensdaten Bezüglich der Verfahrensdaten muss etwas anderes gelten. Diese verarbeitet 542 der vorläufige Insolvenzverwalter, um verfahrensrelevante Punkte zu klären und zu bearbeiten. Er schreibt in seiner Funktion als vorläufiger Insolvenzverwalter Debitoren an, bezieht Auskünfte von Dritten, erkundigt sich bei Vermietern und erhebt bei diesen Daten, führt ggf. Gespräche mit Interessenten und verarbeitet in Vorbereitung der Gespräche deren Daten. Insbesondere erhebt er beim Schuldner personenbezogene Daten, die der vorläufige Insolvenzverwalter bzw. Sachverständige für sein Gutachten benötigt. Eine Verarbeitung liegt in jeglicher Art des Umgangs mit personenbezogenen Daten, auch lediglich im Speichern. Es stellt sich die Frage, inwieweit der vorläufige Insolvenzverwalter als Ver- 543 antwortlicher für die Verarbeitung der Verfahrensdaten, die durch ihn oder ___________ 371) Berberich/Kanschik, NZI 2017, 5.
159
G. Datenschutz im Antragsverfahren
das Gericht erhoben werden, anzusehen ist oder eventuell als Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO für das Gericht fungiert. Letzteres wird u. a. vom VID vertreten.372) cc) Auftragsverarbeitung 544 Der VID sieht in seiner Stellungnahme die Tätigkeit des Insolvenzverwalters in einigen Bereichen datenschutzrechtlich als Auftragsverarbeitung an, da dem Insolvenzverwalter im Rahmen seiner Funktion als Sachverständiger, als vorläufiger Sachwalter, als vorläufiger Insolvenzverwalter, als Sachwalter, als Insolvenzverwalter und auch als Sonderinsolvenzverwalter unter Bezugnahme auf den gerichtlichen Auftrag und der Bestallungsurkunde, die dort genau bezeichneten Aufgaben zugewiesen wurden.373) Dabei sind zahlreiche Rechte und Pflichten des Insolvenzverwalters gesetzlich fixiert.374) Diese Ansicht ist hinsichtlich des Auftrags und der Tätigkeit für das Gericht auch nachvollziehbar. Allerdings bedarf es zunächst gesetzlicher Regelungen oder aber entsprechender Vereinbarungen, um eine solche Auftragsverarbeitung auf rechtliche Beine zu stellen. 545 Die Grundlage einer Auftragsverarbeitung (siehe Rn. 347) bildet ein Vertrag oder ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter bei seiner Tätigkeit für den Verantwortlichen an ebenjenen bindet (Art. 28 Abs. 3 DSGVO). Innerhalb eines solchen Vertrages oder eines entsprechenden Rechtsinstruments sind die zugrunde gelegten Inhalte der Auftragsverarbeitung festzulegen. Ein solches Rechtsinstrument könnte nach Sicht des VID die Bestallungsurkunde sein.375) Es wird darauf verwiesen, dass die Aufgaben des Verwalters dabei entweder in der Bestallungsurkunde dokumentiert sind oder sich unmittelbar aus dem Gesetz ergeben.376) 546 Eine Einordung des vorläufigen Insolvenzverwalters als Auftragsverarbeiter für das Gericht hinsichtlich der Verarbeitung der personenbezogenen Daten, die sich bei der Erhebung der Verfahrensdaten ergeben, hätte eine für den Insolvenzverwalter positive und vor allem erleichternde Konsequenz. So wäre die Beachtung und Erfüllung der Betroffenenrechte (siehe Rn. 392 ff.) beim Ge___________ 372) VID, Stellungnahme des Verbandes Insolvenzverwalter Deutschlands (VID) zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 (im Folgenden: DSGVO). 373) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 7. 374) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 7. 375) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 8. 376) Stellungnahme des VID zum Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680, S. 8.
160
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
richt als Verantwortlicher verortet. Auch wäre die Haftungssituation des Insolvenzverwalters als Auftragsverarbeiter neu zu beleuchten. Einige, nicht unwesentliche Punkte, sprechen aktuell aber gegen eine Einordung des (vorläufigen) Insolvenzverwalters oder Sachwalters als Auftragsverarbeiter. Wann ein Auftragnehmer als Auftragsverarbeiter einzuordnen ist und die Be- 547 auftragung des Dienstleisters datenschutzrechtlich privilegiert und zugleich von der Betrachtung der Rechtmäßigkeit der Vereinbarung gemäß Art. 6 DSGVO entbunden wird, ergibt sich aus Art. 28 DSGVO.377) Gegen die Einordung des vorläufigen Insolvenzverwalters als Auftragsverarbeiter zur Verarbeitung der Verfahrensdaten für das Gericht spricht bereits das Nichtvorliegen eines Vertrages über eine solche Auftragsverarbeitung bzw. eines entsprechenden Rechtsinstruments. Eine wirksame Auftragsvereinbarung, wie sie das Gesetz in Art. 28 DSGVO vorsieht, wird mit dem Gericht nicht abgeschlossen. Der Beschluss als solcher enthält nicht die benötigten Angaben einer Vereinbarung, gemäß Art. 28 Abs. 3 DSGVO. Auch eine entsprechende gesetzliche Regelung liegt bis dato nicht vor. Der Vertrag (bzw. das äquivalente Rechtsinstrument) muss den Auftragsver- 548 arbeiter an den Verantwortlichen rechtlich und nicht nur tatsächlich binden.378) Sollte eine unrichtige, unvollständige oder gar keine Vereinbarung bzw. ein äquivalentes Rechtsinstrument vorliegen, wird der Auftragnehmer mit Empfang der Daten zum Verantwortlichen und es bedarf für die Verarbeitung einer Rechtsgrundlage.379) Eine streng weisungsgebundene Datenverarbeitung, wie sie das Gesetz für 549 den Auftragsverarbeiter vorsieht, findet beim vorläufigen Insolvenzverwalter, zumindest bei den Daten, die er selbst erhebt, nach Ansicht der Autoren nicht statt. Der vorläufige Insolvenzverwalter steht lediglich unter der Aufsicht des Gerichts (§ 58 InsO), die Art und Weise der Verarbeitung liegt im pflichtgemäßen Ermessen des vorläufigen Insolvenzverwalter. Dies auch umfangreicher, als es teilweise dem Auftragsverarbeiter zugesprochen wird. Der vorläufige Insolvenzverwalter entscheidet selbstständig nicht nur bezüglich der technischen und organisatorischen Maßnahmen, sondern entscheidet eigenständig auch das „Ob“ und „Wo“ in Bezug auf die Erhebung der personenbezogenen Daten. Damit wäre der vorläufige Insolvenzverwalter bei Betrachtung als Auftragsverarbeiter gemäß Art. 28 Abs. 10 DSGVO aufgrund der Bestimmung über die Zwecke und Mittel, zumindest für einen umfangreichen Teil der Verarbeitung, als Verantwortlicher anzusehen. Außerdem wird seitens einiger Aufsichtsbehörden aktuell die Ansicht vertreten, 550 dass der Insolvenzverwalter nicht als Auftragsverarbeiter tätig sein kann.380) ___________ 377) 378) 379) 380)
Eckhardt, CCZ 2017, 114. Paal/Pauly-Martini, DS-GVO/BDSG, Art. 28 DSGVO Rn. 28. Vgl. auch Eckhardt, DuD 9/2013, 587. Vgl. Schreiben des BayLDA v. 20.7.2018 zur Abgrenzung der Auftragsverarbeitung, BayLDA, FAQ-DS -GVO.
161
G. Datenschutz im Antragsverfahren
Begründet wird dies nicht ausdrücklich. Es ist zu vermuten, dass sich diese Ansicht im Zusammenhang mit den speziellen Fachkenntnissen und insbesondere der Einstufung von Rechtsanwälten und Steuerberatern als Verantwortliche aufgrund der bestehenden Berufsordnungen und den sich daraus ergebenen Berufsgeheimnissen gebildet hat. Für den Insolvenzverwalter liegt eine solche Berufsordnung (bislang) zwar nicht vor, aber die Vermutung liegt nahe, dass diese Einordnung nach Ansicht der Aufsichtsbehörden aufgrund der Nähe zu diesen Berufen vorgenommen wird. 551 Ein weiterer Punkt, der nicht zwingend gesetzlich begründet ist, aber dennoch in die Betrachtung mit einfließen sollte, ist die Ansicht der jeweiligen Gerichte. Diese sehen, nach aktueller Einschätzung und einigen Gesprächen, eine Auftragsverarbeitung des vorläufigen Insolvenzverwalters für das Gericht und somit das Gericht als Verantwortlichen zutreffenderweise nicht. Dies mag auch dem Umstand geschuldet sein, dass unter Betrachtung der umfangreichen Betroffenenrechte und Verortung der sich daraus ergebenden Pflichten beim Verantwortlichen, das Gericht als dann anzusehender Verantwortlicher sich vor organisatorische Schwierigkeiten gestellt sehen könnte.381) Natürlich kann dies nicht als Begründung für ein Nichtbestehen einer entsprechenden Auftragsverarbeitung dienen, aber im Hinblick auf die notwendige Auftragsvereinbarung in solchen Fällen sollte dies nicht außer Acht gelassen werden. 552 Aufgrund der aktuellen Rechtslage ist die Einordnung des vorläufigen Insolvenzverwalters bei der Verarbeitung der Verfahrensdaten als Auftragsverarbeiter des Gerichts nach Ansicht der Autoren – auch wenn die Einordung als Auftragsverarbeiter zu einer erheblichen Erleichterung der Arbeitsweise des (vorläufigen) Insolvenzverwalters führen könnte – nicht anzunehmen, da es an den Grundlagen einer solchen Auftragsverarbeitung fehlt. dd) Verantwortlicher 553 Der vorläufige Insolvenzverwalter ist bis dato als Verantwortlicher für die Verarbeitung der Verfahrensdaten anzusehen. Eine Auftragsverarbeitung i. S. d. DSGVO liegt nicht vor bzw. es fehlt an den rechtlichen Voraussetzungen. Eventuell ist eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit dem Gericht gegeben, wie sie auch bereits durch den EuGH in einem anderen Sachverhalt bestätigt wurde.382) Hierfür bedarf es aber einer Vereinbarung zwischen den Verantwortlichen in transparenter Form bzw. einer Rechtsvorschrift der Union oder des Mitgliedstaates, insbesondere wer welche Verpflichtungen bei den Betroffenenrechten übernimmt, explizit die Erfüllung der Informationspflichten gemäß Art. 13, 14 DSGVO. Eine solche Vereinba___________ 381) Dies würde auch der Realität in Insolvenz(-eröffnungs-)verfahren nicht gerecht werden. 382) EuGH, Urt. v. 5.6.2018 – C – 210/16, ZD 08/2018, 357 (mit Anmerkung Marosi/ MatthéSchulz, S. 361 ff.).
162
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
rung wird aber bis dato nicht abgeschlossen. Auch würde eine Vereinbarung zu einer gemeinsamen Verantwortlichkeit nicht zwingend dazu führen, dass der vorläufige Insolvenzverwalter entlastet wird. Vielmehr ist zu erwarten, dass im Rahmen einer Vereinbarung diesem die Verpflichtung zugesprochen wird, etwaige Rechte und Ansprüche der Betroffenen zu erfüllen. Die Rechtsgrundlage für die Verarbeitung der Verfahrensdaten ist in Art. 6 554 Abs. 1 Satz 1 lit. c) und f) i. V. m. §§ 5, 22, 97 InsO zu sehen. Für den vorläufigen Insolvenzverwalter ergibt sich eine rechtliche Verpflichtung zur Verarbeitung von personenbezogenen Daten aufgrund des Auftrags des Gerichts und seiner Bestellung anhand eines gerichtlichen Beschlusses. Der Umfang und Zweck ergibt sich zum Teil aus der Insolvenzordnung. So ist der vorläufige Insolvenzverwalter berechtigt, zum Zweck der Erfüllung seines Auftrags und weiterführend zur Durchführung des Insolvenzverfahrens alle Daten zu erfassen und zu verarbeiten. Sofern keine Vereinbarung oder Rechtsvorschrift in Bezug auf die gemein- 555 same Verantwortlichkeit vorliegt, ist der vorläufige Insolvenzverwalter als Verantwortlicher gehalten, in Bezug auf die Verfahrensdaten die entsprechenden Betroffenenrechte zu gewährleisten und im Rahmen der gesetzlichen Vorgaben zu erfüllen. c) Einordnung Insolvenzverwalter Beim Insolvenzverwalter bedarf es keiner Einordnung der Verarbeitung der 556 personenbezogenen Daten in Unternehmensdaten und Verfahrensdaten, wie sie beim vorläufigen Insolvenzverwalter aufgezeigt wurde. Bezüglich der Verfahrensdaten ändert sich an der Betrachtung nichts. Bei den Unternehmensdaten ist der Meinung der Literatur zu folgen, dass 557 der Insolvenzverwalter für die Verarbeitung der personenbezogenen Daten im schuldnerischen Unternehmen nach Verfahrenseröffnung verantwortlich ist, zumindest für diese Daten, deren Verarbeitung er auch tatsächlich beeinflussen und entscheiden kann.383) Der Insolvenzverwalter tritt nach Verfahrenseröffnung für das zur Masse gehörende Vermögen in die Rechte und Pflichten des Schuldners ein.384) Dies betrifft auch die Pflicht zur Einhaltung der datenschutzrechtlichen Regeln. Dem Schuldner fehlt es ab dem Übergang der Verwaltungs- und Verfügungsbefugnis auf den Insolvenzverwalter gemäß § 80 Abs. 1 InsO an der rechtlichen Entscheidungsmacht und Einflussnahme auf die Verarbeitungsvorgänge.385) Allerdings kann weiterhin eine tatsächliche Einflussnahme vorliegen, da u. a. der Schuldner im Besitz der Daten sein kann. ___________ 383) Vgl. Thole, ZIP 2018, 1001. 384) Thole, ZIP 2018, 1002. 385) Beyer/Beyer, NZI 2016, 243.
163
G. Datenschutz im Antragsverfahren
558 Der Insolvenzverwalter ist somit als Verantwortlicher für die Verarbeitungstätigkeiten im schuldnerischen Unternehmen einzuordnen, zumindest für die Verarbeitungstätigkeiten, die er tatsächlich beeinflussen und über die er entscheiden kann.386) Dies kann aber nicht für personenbezogene Daten oder Verarbeitungsvorgänge gelten, die der Insolvenzverwalter nicht in Besitz genommen hat bzw. nicht in Besitz nehmen konnte. Ohne die Möglichkeit eines tatsächlichen Zugriffs kann der Verantwortliche die Entscheidung über Zweck und Mittel der Verarbeitung nicht treffen.387) Auch das OLG Hamburg geht in einer Entscheidung davon aus, dass die rechtliche Verantwortung für den Verarbeitungsvorgang verlorengehen kann, wenn in tatsächlicher Hinsicht keine Möglichkeit besteht, auf diesen einzuwirken, weil z. B. ein entsprechender Datenträger nicht mehr in Besitz ist.388) Demzufolge kann der Insolvenzverwalter nur für die Verarbeitung von personenbezogenen Daten als Verantwortlicher angesehen werden, wenn er über die Daten verfügen und auch faktisch auf diese zugreifen kann.389) Selbiges muss auch für freigegebene Gegenstände und Daten gelten. Auch auf diese Daten kann der Insolvenzverwalter nach der Freigabe nicht mehr faktisch zugreifen. Er kann außerdem weder die Verarbeitungstätigkeit beeinflussen noch über diese entscheiden. Somit geht die Möglichkeit verloren, über Zweck und Mittel der Verarbeitung zu entscheiden, und mit Blick auf die Legaldefinition bezüglich des Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO kann diese auf den Insolvenzverwalter nach erfolgter Freigabe nicht mehr angewendet werden. Beispiel: Nach der hier vertretenen Meinung, kann der Insolvenzverwalter nicht als Verantwortlicher angesehen werden für Verarbeitungstätigkeiten, die er nicht beeinflussen, entscheiden oder gar kontrollieren kann. Liegen also Daten des schuldnerischen Unternehmens auf Systemen, die nicht im Zugriff des Insolvenzverwalters stehen, kann dieser per se nicht dafür Sorge tragen, dass die datenschutzrechtlichen Vorschriften für diese Daten eingehalten werden. Dies insbesondere, wenn der Insolvenzverwalter keine Kenntnis von diesen Daten hat. Eine Verantwortlichkeit für diese Daten kann in diesem Fall nicht beim Insolvenzverwalter zu sehen sein, auch und gerade unter Betrachtung der Definition des Begriffs „Verantwortlicher“. d) Einordnung Sachverständiger 559 Für den Sachverständigen müssen dieselben Vorgaben und Ansichten wie für den vorläufigen Insolvenzverwalter gelten. Lediglich der Umstand, dass bei der Beauftragung des Sachverständigen i. d. R. innerhalb des Verfahrens keine ___________ 386) 387) 388) 389)
164
Thole, ZIP 2018, 1003. Thole, ZIP 2018, 1003. OLG Hamburg, Urt. v. 2.8.2011 – 7 U 134/10, ZUM 2012, 405. Vgl. Thole, ZIP 2018, 1003.
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
Verarbeitung von Unternehmensdaten stattfindet, da die geschäftlichen Tätigkeiten meist bereits eingestellt wurden, führt dazu, dass keine Unterscheidung zwischen Unternehmensdaten und Verfahrensdaten vorgenommen werden muss. Andernfalls erfolgt i. d. R. im Nachhinein die Bestellung zum vorläufigen Insolvenzverwalter. Für die sog. Verfahrensdaten kann auf die Ausführungen zum vorläufigen Insol- 560 venzverwalter verwiesen werden (siehe Rn. 540 ff.). Der Sachverständige erhebt ebenso wie der vorläufige Insolvenzverwalter Verfahrensdaten, darunter auch personenbezogene Daten zum Zweck der Durchführung des Insolvenzverfahrens und im speziellen der Erfüllung des Gutachtenauftrags. Als Rechtsgrundlage für die rechtmäßige Verarbeitung ist ebenso Art. 6 Abs. 1 Satz 1 lit. c) und f) DSGVO einschlägig. Auch für den Sachverständigen hält der VID die Stellung als Auftragsverar- 561 beiter für möglich. Der gerichtliche Beschluss, der die Bestellung des Sachverständigen vorsieht, benennt die einzelnen Aufgaben des Sachverständigen.390) Wenn das Gericht seine Amtsermittlungen nach § 5 InsO zulässigerweise auf einen Sachverständigen delegiert, ist der Sachverständige als „Gehilfe des Gerichts“ anzusehen.391) Gegebenenfalls könnte der Sachverständige in diesem Fall im Rahmen der justiziellen Tätigkeit des Gerichts handeln. Dies würde dazu führen, dass der Sachverständige bei dieser Tätigkeit gemäß Art. 55 Abs. 3 DSGVO nicht in den Zuständigkeitsbereich der Aufsichtsbehörden fallen würde, aber dennoch nichts an einer notwendigen Einordung des Sachverständigen ändern. Eine Auftragsverarbeitung liegt dennoch nicht vor, da bis dato kein Rechtsinstrument geschaffen wurde, das eine solche Auftragsvereinbarung regelt, und nach bisherigen Erkenntnissen mit dem Gericht auch keine entsprechende Vereinbarung abgeschlossen wurde, wie es der Art. 28 Abs. 3 DSGVO vorsieht. Daher muss nach Ansicht der Autoren für den Sachverständigen ebenso 562 gelten, dass dieser für die Verfahrensdaten, die er erhebt bzw. vom Gericht erhält, als Verantwortlicher angesehen werden muss. Dies führt ebenfalls dazu, dass der Sachverständige die datenschutzrechtlichen Vorgaben für die personenbezogenen Daten insbesondere hinsichtlich der Betroffenenrechte erfüllen muss. e) Einordnung (vorläufiger) Sachwalter Der (vorläufige) Sachwalter wird hinsichtlich der Unternehmensdaten nicht als 563 Verantwortlicher anzusehen sein, auch nicht nach Verfahrenseröffnung. Der (vorläufiger) Sachwalter ist aufgrund des gerichtlichen Auftrags nicht in der ___________ 390) VID-Stellungnahme zum RefE des Datenschutz-Anpassungs-u. Umsetzungsgesetzes EU, S. 8. 391) VID-Stellungnahme zum RefE des Datenschutz-Anpassungs-u. Umsetzungsgesetzes EU, S. 8.
165
G. Datenschutz im Antragsverfahren
Lage, die Verarbeitungstätigkeiten beim eigenverwaltenden Schuldner zu bestimmen oder zu beeinflussen. Ihm obliegt die Überwachung und Überprüfung der wirtschaftlichen Lage des eigenverwaltenden Schuldners und der Geschäftsführung der Eigenverwaltung – und zwar im Hinblick auf eine Insolvenzrechtskonformität. Auf die laufenden Datenverarbeitungsvorgänge hat er anhand seiner Berichtspflicht an das Gericht, wenn überhaupt, nur bedingt eine Einflussmöglichkeit. Eine direkte Einwirkung auf die jeweilige Verarbeitung ist dem Sachwalter nicht möglich. Nur wenn der (vorläufige) Sachwalter – erst recht unter Ausschluss des Schuldners – Datenverarbeitungsvorgänge steuern könnte, kann er als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO angesehen werden.392) 564 Für die personenbezogenen Daten aus dem Bereich der Verfahrensdaten, die vom (vorläufigen) Sachwalter z. B. im Rahmen der Berichtserstattung an das Gericht übermittelt werden, ist der (vorläufiger) Sachwalter als Verantwortlicher anzusehen, zumindest bis eine Auftragsvereinbarung mit dem Gericht abgeschlossen wurde oder der Gesetzgeber ein entsprechendes Rechtsinstrument geschaffen hat. 3. Datenschutzrechtliche Pflichten des Insolvenzverwalters 565 Den Insolvenzverwalter treffen als Sachverständigen, als (vorläufigen) Insolvenzverwalter und als (vorläufigen) Sachwalter, zumindest bezüglich der Verfahrensdaten, die Pflichten eines Verantwortlichen, sofern keine Auftragsverarbeitung für das Gericht rechtmäßig Bestand haben kann. Des Weiteren tritt der Insolvenzverwalter bezüglich der Verarbeitungstätigkeiten des Schuldners und des schuldnerischen Unternehmens in dessen Rechte und Pflichten nach Eröffnung des Verfahrens ein und muss sich auch ab diesem Zeitpunkt die datenschutzrechtlichen Vorgänge zurechnen lassen. Dies zumindest in den Fällen, da er aufgrund vorliegender tatsächlicher Einflussmöglichkeiten diese Verarbeitungsvorgänge auch bestimmen und über diese entscheiden kann. 566 Bereits der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit (TLfDI) hat sich mit der Frage der Verantwortlichkeit des Insolvenzverwalters in seinem 3. Tätigkeitsbericht: Nichtöffentlicher Bereich 2016/2017 beschäftigt. Der TLfDI führt dabei aus, dass mit Eröffnung des Insolvenzverfahrens an die Stelle des bisherigen Eigentümers und bis dato Verantwortlichen der Insolvenzverwalter tritt. Das Recht des Schuldners geht gemäß § 80 Abs. 1 InsO auf den bestellten Insolvenzverwalter über, der somit auch als Verantwortlicher zu betrachten ist.393) Die Betrachtung des TLfDI erfolgt in Bezug auf das BDSG a. F. und im Rahmen der Auslegung des § 3 Abs. 7 BDSG a. F. auf die verantwortliche Stelle. ___________ 392) Vgl. Berberich/Kanschik, NZI 2017, 5. 393) TLfDI, 3. TB LfDI Thüringen 2016/2017, S. 232.
166
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
Die Änderung der Begrifflichkeit in der Übersetzung der DSGVO und im 567 BDSG ändert nichts an der inhaltlichen Betrachtung des Verantwortlichen. Sowohl das BDSG a. F. als auch die neuen Regelungen sehen in der verantwortlichen Stelle bzw. im Verantwortlichen denjenigen, der die Kontrolle über die Verarbeitung innehat, also über die Vorgänge an sich entscheiden kann.394) Demzufolge ist der Insolvenzverwalter gehalten, die Betroffenenrechte zu 568 beachten und Ansprüche, die sich aus diesen ergeben, auch innerhalb von Insolvenzverfahren zu erfüllen. So muss der Insolvenzverwalter Auskunftsansprüche entsprechend behandeln und diese gemäß Art. 15 DSGVO beantworten, sofern nicht Anhaltspunkte gegen einen Auskunftsanspruch bestehen. Hier bedarf es abermals der ausführlichen Dokumentation. 4. Unterstützung durch den Gesetzgeber bzw. die Insolvenzgerichte Wie eindringlich aufgezeigt, führt die Eingliederung des Insolvenzverwalters 569 als Verantwortlicher, zumindest für die Verfahrensdaten und nach Eröffnung des Verfahrens auch für die Verarbeitungstätigkeiten des Schuldners, zu einer exorbitanten Mehrbelastung des Insolvenzverwalters hinsichtlich der datenschutzrechtlichen Pflichten. Nicht zuletzt sind die damit einhergehenden Haftungsrisiken des Insolvenzverwalters zu beachten. Der Gesetzgeber sollte zwingend aktiv werden bzw. die Gerichte sollten unterstützend eingreifen. a) Beschränkungen der Betroffenenrechte durch den Gesetzgeber Der Gesetzgeber hat die Möglichkeit, die Betroffenenrechte unter Nutzung 570 der Konkretisierungsklausel gemäß Art. 23 DSGVO zu beschränken. Der Gesetzgeber sollte im Interesse des Insolvenzrechts, der Interessen der Verfahrensziele und nicht zuletzt im Interesse der Gläubiger von der in Art. 23 DSGVO genannten Konkretisierungsklausel für den Bereich des Insolvenzrechts Gebrauch machen. Gemäß Art. 23 Abs. 1 lit. e) DSGVO kann ein Mitgliedstaat die Pflichten und Rechte gemäß den Artt. 5, 12 – 22, 34 DSGVO unter den Voraussetzungen des Art. 23 Abs. 2 DSGVO beschränken, wenn dies dem Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses dient. Grundsätzlich einschränkbar sind die Rechte der Betroffenen hinsichtlich der 571 Informationspflichten, der Auskunftsrechte, der Rechte auf Berichtigung, das Recht auf Löschung, das Recht auf Übertragbarkeit sowie das Widerspruchsrecht.395) Rechtsvorschriften, die gemäß Art. 23 DSGVO erlassen werden, müssen die europäischen Grundrechte einhalten und ebenso nach der jeweiligen nationalen Verfassung zulässig sein.396) Dabei ist der Verhältnismäßig___________ 394) Plath-Schreiber, BDSG/DSGVO, Art. 4 Rn. 26. 395) Plath-Grages, BDSG/DSGVO, Art. 23 DSGVO Rn. 2. 396) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 23 DSGVO Rn. 4.
167
G. Datenschutz im Antragsverfahren
keitsgrundsatz zu beachten und ebenso müssen diese Beschränkungen notwendig sein, wie es auch Art. 23 Abs. 1 DSGVO vorschreibt. Die Rechte der Betroffenen können nur insoweit eingeschränkt werden, um eines der aufgezählten Rechtsgüter zu wahren.397) 572 Um derartige Beschränkungen vorzunehmen bedarf es eines formellen Gesetzgebungsverfahrens. Unter Beachtung des ErwGr. 41 DSGVO sind die Anforderungen gemäß der Verfassungsordnung des Mitgliedstaats zu beachten. 573 Als Rechtsgut, das es zu wahren gilt, kommt „der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“ gemäß Art. 23 Abs. 1 lit. i) DSGVO in Betracht. Anknüpfungspunkt kann dabei das widerstreitende Interesse in Bezug auf Auskunft und Vertraulichkeit398) zwischen Schuldner als Betroffenen und den Gläubigern als Dritte sein. Die Interessen des Schuldners auf der einen und die der Gläubiger auf der anderen Seite müssen dabei gegen die Interessen des Verantwortlichen abgewogen werden. 574 Auch wären weiterführende Beschränkungen gemäß Art. 23 Abs. 1 lit. j) DSGVO zur „Durchsetzung zivilrechtlicher Ansprüche“ denkbar. Von diesem Rechtsgut erfasst ist auch und insbesondere das Zwangsvollstreckungsrecht. Den Mitgliedstaaten wird die Möglichkeit an die Hand gegeben, die Rechte der Betroffenen zum Schutz der Gläubiger zu beschränken.399) Diese Möglichkeit der Beschränkung hat der deutsche Gesetzgeber u. a. in den §§ 32, 33 BDSG bereits genutzt, aber nicht explizit für das Insolvenzrecht. 575 Die Konkretisierungsklausel sollte der Gesetzgeber umfangreich auch für das Insolvenzrecht und den Insolvenzverwalter als Verantwortlichen nutzen, um so die Rechte der Gläubiger zu wahren und eine zügige Verfahrensbearbeitung zu gewährleisten. Dies könnte angesichts der aktuell bestehenden Rechte der Betroffenen stark gefährdet sein, wenn der Insolvenzverwalter im Rahmen seiner Tätigkeit, z. B. wegen der Erfüllung von Auskunftsansprüchen von Schuldnern oder anderen Verfahrensbeteiligten, sich intensiv um die Erfüllung der bis dato vorliegenden datenschutzrechtlichen Pflichten kümmern muss. Entsprechende Anträge können massiv das Arbeitsaufkommen erhöhen und den Insolvenzverwalter an seiner eigentlichen Arbeit, nämlich der Bearbeitung des jeweiligen Verfahrens hindern. Auch wenn der Insolvenzverwalter aufgrund von offenkundigen, unbegründeten und exzessiven Anträgen ein entsprechendes Tätigwerden gemäß Art. 12 Abs. 5 lit. b) DSGVO verweigern kann, bedarf es dennoch einer Beurteilung der Situation und insbesondere einer Dokumentation im Rahmen der Rechenschaftspflicht.
___________ 397) Paal/Pauly-Paal, DS-GVO/BDSG, Art. 23 DSGVO Rn. 10. 398) Plath-Grages, BDSG/DSGVO, Art. 23 DSGVO Rn. 7. 399) Stender-Vorwachs, in: BeckOK DatenschutzR, Art. 23 Rn. 32.
168
I. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
b) Auftragsvereinbarung für die Insolvenzgerichte Auch für den Fall, dass die Tätigkeit des Insolvenzverwalters zumindest für 576 die Verfahrensdaten als Auftragsverarbeitung angesehen wird, was aufgrund der Ausführung zum Auftragsverarbeiter bei der Betrachtung der Verantwortlichkeit des Insolvenzverwalters zu bezweifeln ist, bedarf es eines Rechtsinstruments bzw. einer Auftragsvereinbarung mit dem Gericht. In diesem Fall wäre für den Insolvenzverwalter eine Auftragsvereinbarung 577 mit den Gerichten, wie sie das Gesetz in Art. 28 DSGVO vorsieht, eine Möglichkeit, dass die zügige Verfahrensbearbeitung nicht durch Erfüllung etwaiger Betroffenenrechte gebremst oder durch Erfüllung und Beantwortung von Anträgen möglicher Betroffener behindert wird. Dies unter der Prämisse, dass die Gerichte diese Betroffenenrechte erfüllen müssen, sofern die Verantwortlichkeit bei diesen zu sehen sein wird. Dementsprechend müssten u. a. die Informationspflichten der Verfahrensbeteiligten durch das Gericht erfolgen. Aufseiten der Gerichte würde das zu einem erheblichen Mehraufwand füh- 578 ren. Unter Berücksichtigung dieses Mehraufwands kann für die Durchsetzung der Einstufung des Insolvenzverwalters als Auftragsverarbeiter nicht von einer Unterstützung seitens des Gerichtes ausgegangen werden. 5. Zwischenfazit Um der bestehenden Unsicherheit bei der Verwalterschaft zu begegnen und 579 dieser in Bezug auf die Verarbeitung von personenbezogenen Daten bei einer Verfahrensbearbeitung Rechtssicherheit zu geben, bedarf es hinsichtlich der Verantwortlichkeit innerhalb eines Insolvenzverfahrens zwingend der Klarstellung durch den Gesetzgeber oder auch der Aufsichtsbehörden. Dies auch und insbesondere in Bezug auf die jeweiligen Funktionen des Insolvenzverwalters innerhalb der Verfahren sowie unter Berücksichtigung der Dateneinteilung in Verfahrens- und Unternehmensdaten. Praxistipp: Der Insolvenzverwalter ist in seiner Eigenschaft als Verantwortlicher verpflichtet, die Verfahrensbeteiligten, deren personenbezogenen Daten er verarbeitet, zu informieren. Dies insbesondere so lange, bis eindeutige Regelungen für den Insolvenzverwalter und seine jeweilige Funktion geschaffen werden.
Vor dem Hintergrund der vorliegenden Unsicherheit wäre es aus datenschutz- 580 rechtlicher Sicht zunächst empfehlenswert, die Informationspflichten zu erfüllen, wie sie einen Verantwortlichen treffen. Dies auch bereits mit Gutachtenauftrag. Es bietet sich an, ein Muster für ein solches Informationsschreiben gemäß Artt. 13, 14 DSGVO zu entwerfen und dieses auf den entsprechenden rechtlich vorgesehenen Wegen zu versenden. Beispielsweise ist der Vermieter oder auch der Interessent als Verfahrensbe- 581 teiligter zu informieren. Schuldner und Debitoren bedürfen nach Ansicht der
169
G. Datenschutz im Antragsverfahren
Autoren keiner gesonderten Mitteilung, da diese bereits über die Informationen verfügen (Schuldner, Art. 13 Abs. 4 DSGVO, § 32 Abs. 1 Nr. 4 BDSG) oder bei Debitoren die Geltendmachung der Ansprüche durch die Informationserteilung beeinträchtigt sein könnten (Debitoren, Art. 14 Abs. 5 lit. c) i. V. m. § 33 Abs. 1 Nr. 2a BDSG). II. Datensituation beim Schuldner 582 Trotz aller Unklarheiten und Unsicherheiten muss die Bearbeitung des Verfahrens erfolgen. Daher sollten der Sachverständige und der (vorläufige) Insolvenzverwalter grundsätzlich von der Stellung als Verantwortlicher ausgehen – jedenfalls was seinen Umgang bzw. den Umgang seines Teams mit entsprechenden Daten betrifft. 583 Häufig ist die datenschutzrechtliche Situation beim Schuldner unklar. Wenn der vorläufige Insolvenzverwalter in ein Unternehmen kommt, trifft er oft auf Unverständnis, wenn die datenschutzrechtlichen Themen zur Sprache kommen. Eventuell wird sich dieser Umstand in einigen Jahren bessern, wenn sich die Vorschriften der DSGVO weiter durchgesetzt haben und auch dementsprechend gelebt werden. Dies bleibt abzuwarten. 1. Bestandsaufnahme: Daten beim Schuldner 584 Aktuell ist es in den überwiegenden Fällen so, dass der Datenschutz beim Schuldner, wenn überhaupt, ein Randthema darstellte. Insbesondere in den Situationen, in denen eine Fortführung des schuldnerischen Unternehmens nach Verfahrenseröffnung für möglich erachtet werden kann, sollten bereits in einem frühen Stadium des Antragsverfahrens wichtige datenschutzrechtliche Fragen geklärt werden. a) Wo befinden sich welche Daten und um welche Datenkategorien handelt es sich? 585 Zunächst sollte geklärt werden, wo sich die Daten befinden und um welche Arten von Daten es sich handelt. Wird dabei festgestellt, dass es sich nicht um personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO handelt, ist eine datenschutzrechtliche Beleuchtung dieser Situation entbehrlich. Allerdings wird dies nur äußerst selten der Fall sein, da auch Kontaktdaten von Geschäftspartnern, wenn diese personalisiert sind, personenbezogene Daten darstellen. Auch werden in der Regel Mitarbeiterdaten vorhanden sein, die ebenso einer datenschutzrechtlichen Behandlung bedürfen. 586 Hinsichtlich der Erhebung und Speicherung der Daten verfallen Unternehmen häufig in eine schiere „Sammelwut“. Es ist dementsprechend wahrscheinlich, dass der vorläufige Insolvenzverwalter bei seiner Bestandsaufnahme feststellt, dass große Datenmengen vorliegen, deren ursprünglicher Erhebungsund Verarbeitungszweck seit geraumer Zeit erfüllt ist und diese Daten be-
170
II. Datensituation beim Schuldner
reits hätten gelöscht sein sollen. Der Punkt ist bestenfalls bereits vom vorläufigen Insolvenzverwalter dokumentiert worden. Es sollte bereits innerhalb des Antragsverfahrens bei Bedarf an einer Lösung gearbeitet werden. Die Möglichkeiten der Aufbewahrung der Datenmengen sind schier uner- 587 schöpflich. Die Daten können sich auf einzelnen PC-Systemen, auf Mitarbeiterlaptops, auf Servern oder auch bei Providern in der Cloud befinden. Es kommt vor, dass eine genaue Angabe der Positionierung der Daten schwerlich ist. Wichtig ist es in diesen Fällen, für den vorläufigen Insolvenzverwalter, einen IT-ler, bestenfalls einen, der sich innerhalb des schuldnerischen Unternehmens mit den Datenbanken beschäftigt hat, zurate zu ziehen und diesen zu bitten, eine Datenanalyse vorzunehmen. Häufig hilft eine Visualisierung der Datenströme nebst Angabe, wo sich diese Daten in welchem Umfang befinden und um welche Datenkategorien (z. B. besondere Kategorien von Daten gemäß Art. 9 DSGVO) es sich handelt und ob für diese spezielle Maßnahmen getroffen werden müssen. Eine solche Datenanalyse und Visualisierung ist auch für den späteren Insol- 588 venzverwalter von Bedeutung, da mit der Datenanalyse bestimmt werden kann, welche besonderen Maßnahmen im Rahmen einer möglichen Übertragung getroffen werden müssen (siehe Rn. 583 ff.), insbesondere in Bezug auf die jeweiligen Datenkategorien. Auch wird der spätere Insolvenzverwalter leichter in die Lage versetzt, entsprechende datenschutzrechtliche Löschungen vorzunehmen oder vornehmen zu lassen. b) Wer hat Zugriff auf diese Daten? Wie lauten die Zugangsdaten? Bereits im Antragsverfahren sollte durch die Insolvenzkanzlei geklärt wer- 589 den, wer Zugriff auf die Daten nehmen kann. Des Weiteren sollten die Zugangsdaten aller Zugangsberechtigten ermittelt werden. Eventuell ist es notwendig, bestimmte Zugriffe zu sperren, wenn z. B. die Gefahr besteht, dass Mitarbeiter diese verändern oder ggf. kopieren könnten. Auch die Zugänge zu möglichen sozialen Netzwerken sollten schnellstmöglich beschränkt werden. Die Erfahrung hat gezeigt, dass diese Zugänge nach Verfahrenseröffnung meist nur schwer in Besitz genommen werden können, weil ehemalige Mitarbeiter aufgrund der Situation ungehalten sein können. Praxistipp: Letztlich können Datenschutzmängel bzw. deren Abfluss nicht nur eine Betriebsfortführung erschweren oder gar unmöglich machen. Abgesehen davon, dass exklusive und insbesondere datenschutzkonform erhobene bzw. sonst wie verarbeitete Daten heutzutage mit zu den wertvollsten Assets des Schuldners bzw. seines Betriebs zählen können, sollte der Insolvenzverwalter unverzüglich Maßnahmen zur Ermittlung auch eines Datenschutzmanagements beim Schuldner in die Wege leiten.400)
___________ 400) So i. E. auch Woltersdorf, INDat Report 02/2018, 12.
171
G. Datenschutz im Antragsverfahren Natürlich empfiehlt es sich, dies nicht nur initial zu tun, sondern im Rahmen des QM-Systems der Insolvenzkanzlei entsprechende Prozesse vorbereitend festzuschreiben. Hierzu bedarf es von der Ausführung her natürlich auch qualifizierter und ggf. dementsprechend zertifizierter Dienstleister, die die Insolvenzkanzlei anlassbezogen beauftragen kann.
590 Es besteht außerdem die Gefahr, dass enttäuschte Mitarbeiter, die etwa Administratoren von Unternehmensauftritten in sozialen Netzwerken sind, diese unredlich nutzen und Interna veröffentlichen oder dem Unternehmen mit vorgenommenen Maßnahmen schädigen. Nicht selten führen derartige Verfehlungen zu starken Störungen der Betriebsfortführung und verringern zugleich die Chancen, eine Sanierungslösung zu finden. 591 Es ist nicht unüblich, dass ein potenzieller Interessent großes Interesse an den Auftritten in den sozialen Medien hegt. Sollte eine Inbesitznahme der Zugangsdaten nicht möglich sein, da der Administrator-Account nicht vorliegt oder die Zugangsdaten ebenso von Dritten genutzt werden, könnte dieser Umstand einer Übertragung im Wege stehen. Daher ist es ratsam, die Punkte frühzeitig innerhalb des Antragsverfahrens zu klären. c) Wie sind diese Daten erhoben worden? 592 Schließlich sollte bereits im Antragsverfahren eine Klärung herbeigeführt werden, wie diese Daten erhoben wurden, zu welchem Zweck und ob diese Erhebung i. S. d. Datenschutzgesetze erfolgte. 593 Es besteht zu befürchten, dass der Insolvenzverwalter in dem Falle der Fortführung für eine dann vorgenommene unrechtmäßige Verarbeitung der personenbezogenen Daten aufgrund der mit Verfahrenseröffnung anzunehmenden Verantwortlichkeit auch für die Unternehmensdaten in den Augen der Aufsichtsbehörde haftet. Im Fall einer Beschwerde des Betroffenen wäre der Insolvenzverwalter der Aufsichtsbehörde bezüglich der Rechtmäßigkeit der Verarbeitung zur Auskunft verpflichtet. Beispiel: Ein schuldnerisches Unternehmen wird nach Verfahrenseröffnung fortgeführt und verarbeitet weiter die vorliegenden Daten. Für diese Verarbeitung ergibt sich aus dem Gesetz keine Rechtmäßigkeit und wirksame Einwilligungen von den Betroffenen wurden seitens des Unternehmens nicht eingeholt. Ein Betroffener stellt einen Antrag auf Auskunft gemäß Art. 15 DSGVO und erfährt so von der Verarbeitung. Dieser beschwert sich bei der zuständigen Datenschutzbehörde. Daraufhin wird ein Verfahren gegen den Verantwortlichen eingeleitet, der in diesem Fall der Insolvenzverwalter ist. Praxistipp: Um nach Verfahrenseröffnung hinsichtlich der Verfügbarkeit der Daten oder aufgrund einer unrechtmäßigen Verarbeitung nicht überrascht zu werden, bedarf es einer frühzeitigen Aufklärung über den Datenbestand.
172
II. Datensituation beim Schuldner Es empfiehlt sich u. a., ein Erfassungsblatt oder eine Ergänzung zum Auskunftsbogen zu entwickeln, in denen diese Punkte abgefragt werden. Dieses Ergänzungsblatt sollte frühzeitig durch den Unternehmensleiter bearbeitet werden und gemeinsam mit dem Schuldner beraten werden, welche Maßnahmen in Bezug auf die vorliegenden Daten und Zugänge zu ergreifen sind.
2. Sichtung Verzeichnis von Verarbeitungstätigkeiten Wie bereits beschrieben ist das Verzeichnis von Verarbeitungstätigkeiten ein 594 wesentlicher Bestandteil des Datenschutzrechts und zugleich Gegenstand der Rechenschaftspflicht des Verantwortlichen gegenüber der Aufsichtsbehörde (siehe Rn. 216 ff.). Wenn die Voraussetzungen zum Erstellen und Führen eines Verzeichnisses beim Schuldner vorliegen, hat dieser per se ein solches zu erstellen. Fraglich ist nur, ob das auch tatsächlich bei allen Schuldnern so umgesetzt wird. Bei Kleinbetrieben und bestimmten Branchen ist die Wahrscheinlichkeit gewissermaßen groß, ein solches nicht vorzufinden, trotz bestehender Pflicht zum Führen eines Verzeichnisses. Sofern das schuldnerische Unternehmen über ein Verzeichnis von Verarbei- 595 tungstätigkeiten verfügt, kann der vorläufige Insolvenzverwalter sich dieses zunutze machen. Mithilfe dieses Verzeichnisses erhält er einen Überblick über die Verarbeitung der personenbezogenen Daten, wo diese stattgefunden hat und wer auf diese Daten Zugriff nehmen kann. Außerdem kann er erkennen, welcher Dienstleister über eine Auftragsverarbeitung weiterhin Daten für das schuldnerische Unternehmen verarbeitet. Der Insolvenzverwalter sollte zusätzlich die vorliegenden Auftragsvereinbarungen prüfen, insbesondere in Bezug auf die Vereinbarung zur Löschung. Allerdings sollte der vorläufige Insolvenzverwalter sich nicht blind auf das 596 vorgelegte Verzeichnis verlassen und dieses zumindest stichprobenartig kontrollieren. Eine falsche oder unvollständige Zusammenstellung hilft späteren Insolvenzverwaltern nicht weiter. Die vorhandenen technischen und organisatorischen Maßnahmen (TOM), 597 die i. d. R. als Annex dem Verzeichnis beigefügt sind, geben Aufschluss über die Sicherheitsstandards. Zugleich können den TOM Informationen entnommen werden, welche IT-Systeme verwendet werden und welche Regelungen bei der privaten Nutzung des E-Mail-Accounts und dem täglichen Geschäftsbetrieb gelten. Eine solche Prüfung ist ebenso wichtig für eine anstehende Datensicherung der E-Mail-Postfächer. Sollte ein solches Verzeichnis nicht vorliegen, ist für den Fall einer möglichen Fortführung, das Erstellen eines solchen Verzeichnisses zu empfehlen. Andernfalls besteht die Gefahr, wie bei anderen Punkten auch, dass die Aufsichtsbehörde ein solches Fehlen moniert. Inwieweit die Aufsichtsbehörde für berechtigte Einwände hinsichtlich der zeitlichen Komponente empfänglich ist, kann vonseiten der Autoren nicht beurteilt werden. Allerdings ist davon auszugehen, dass die Aufsichtsbehörde in diesen gelagerten Fällen „Gnade vor Recht“ ergehen lassen und
173
G. Datenschutz im Antragsverfahren
zumindest eine ausreichende Frist zum Erstellen eines solchen Verzeichnisses gewähren würde. 3. Datenschutzbeauftragter im schuldnerischen Unternehmen 598 Die Wahrscheinlichkeit, dass kein Datenschutzbeauftragter benannt wurde, ist zweifellos gegeben, wenn wie oben aufgezeigt, kein Verzeichnis der Verarbeitungstätigkeiten vorliegt. 599 Sollte der vorläufige Insolvenzverwalter im schuldnerischen Unternehmen auf einen Datenschutzbeauftragten treffen, sind dessen Erfahrungen und Kenntnisse äußerst hilfreich für die Betrachtung der datenschutzrechtlichen Situation im Unternehmen. Der Datenschutzbeauftragte sollte auch zu einzelnen Verarbeitungstätigkeiten von personenbezogenen Daten auskunftsfähig sein. Weiterhin müssten die benötigten datenschutzrechtlichen Dokumentationen im Zweifel in seinem Besitz sein. Hierzu zählen auch die einzelnen Vereinbarungen zu den Auftragsverarbeitern, die Übersichten in Bezug auf Datenpannen und weitere nachweisfähige Unterlagen. 600 Die Stellung des Datenschutzbeauftragten bleibt naturgemäß zum Zeitpunkt des Antragsverfahrens bestehen. Die Antragstellung hat keine Auswirkung auf seine Benennung zum Datenschutzbeauftragten. 601 Für den späteren Insolvenzverwalter gilt bereits im Antragsverfahren zu beachten, dass der besondere Kündigungsschutz des Datenschutzbeauftragten auch von der Eröffnung des Insolvenzverfahrens nicht tangiert wird und der Insolvenzverwalter die Bestimmungen des Kündigungsschutzes zu beachten hat.401) Etwas anderes ergibt sich auch nicht aus § 113 InsO – abgesehen von dem Umstand, dass das ordentliche Kündigungsrecht auch für das Dienstverhältnis mit dem Datenschutzbeauftragten wieder auflebt, wenn es zu einer Betriebsstillegung kommt. 602 Der besondere Kündigungsschutz des Datenschutzbeauftragten kraft Gesetzes führt dazu, dass dieser auch in der Insolvenz nur außerordentlich gekündigt werden kann,402) wobei die Insolvenz keinen Grund für eine außerordentliche Kündigung darstellt.403) In diesem Fall muss geprüft werden, inwieweit der Zweck des Kündigungsschutzes aufgrund der Tätigkeit als Datenschutzbeauftragter, unabhängig von der Insolvenz des Arbeitgebers, weiterhin erreicht werden kann.404) Eine analoge Anwendung des § 113 InsO ist in diesem Fall angezeigt.
___________ 401) 402) 403) 404)
174
Nerlich/Römermann-Hamacher, InsO, § 113 Rn. 209. Caspers, in: MünchKommInsO, § 113 Rn. 23. BAG AP KO § 22 Nr. 1, NJW 1969, 525. Nerlich/Römermann-Hamacher, InsO, § 113 Rn. 245.
II. Datensituation beim Schuldner
4. Sichtung Datenschutzmanagement Nach Möglichkeit sollte sich der vorläufige Insolvenzverwalter auch mit dem 603 Datenschutzmanagementsystem vertraut machen, sofern ein solches im schuldnerischen Unternehmen eingeführt wurde. Bei Sichtung der Abläufe und Prozesse ist feststellbar, wie i. d. R. auf Anfragen von Betroffenen reagiert wird, welche Arbeitsschritte vorgenommen werden und ob Muster Verwendung finden. Des Weiteren lässt der Blick auf das Datenschutzmanagement auch den Rück- 604 schluss auf die Tiefe des vorhandenen Datenschutzes zu. Dies ist ebenso für das spätere eröffnete Verfahren von Bedeutung, wenn Betroffene im Falle der Fortführung Ansprüche geltend machen. In diesem Rahmen ist auch die Prüfung der Dokumentation angebracht. Hier sollte ersichtlich sein, welche Datenpannen in der Vergangenheit aufgetreten sind, wie auf diese reagiert wurde und welche Maßnahmen nachträglich eingeleitet worden sind. Die aus dieser Prüfung gewonnenen Erkenntnisse erleichtern auch eine spä- 605 tere Kommunikation des Insolvenzverwalters mit der Aufsichtsbehörde im Falle einer entsprechenden Anfrage. 5. Auftragsverarbeitung mit Dienstleister bzw. Schuldner als Auftragsverarbeiter Der vorläufige Insolvenzverwalter wird vor allem in der Zukunft im Rahmen 606 eines Antragsverfahrens in Unternehmen kommen, in denen eine Vielzahl an Auftragsverarbeitungen vorgenommen und gelebt wird. Dies sowohl als Auftraggeber aufseiten des Schuldners, aber auch der Schuldner als Auftragnehmer selbst. Letzteres insbesondere, wenn es sich bei dem Schuldner z. B. um einen IT-Dienstleister oder ein Rechenzentrum handelt. Entscheidend kann diese Frage nach Verfahrenseröffnung sein, wenn der 607 Schuldner als Auftragsverarbeiter tätig ist und eine Verwertung der Massebestandteile ansteht. Wenn der Schuldner die bei ihm vorliegenden Daten nur im Auftrag für einen Dritten verarbeitet, sind die Daten haftungsrechtlich nicht dem Schuldner zur Verwertung zugewiesen.405) Eine Auftragsvereinbarung regelt den Herausgabe- bzw. Löschungsanspruch des Auftraggebers, der auch als „Herr der Daten“ angesehen wird. Die gesetzliche Grundlage ist Art. 28 Abs. 3 lit. g) DSGVO. Dieser Herausgabe- bzw. Löschungsanspruch berechtigt den Verantwortlichen in der Insolvenz des Auftragsverarbeiters zur Aussonderung.406) Auch sind in der Insolvenz des Auftragsverarbeiters und bei der jeweiligen 608 Erklärung des Insolvenzverwalters zu einem Nichteintritt in die bestehenden Verträge die datenschutzrechtlichen Pflichten, die ebenso innerhalb der Auf___________ 405) Berberich/Kanschik, NZI 2017, 3. 406) Berberich/Kanschik, NZI 2017, 4.
175
G. Datenschutz im Antragsverfahren
tragsvereinbarung verankert werden, nicht mehr durchsetzbar und für den Auftraggeber nicht mehr kontrollierbar. Dies wiederum führt dazu, dass die Auftragsvereinbarung unwirksam und der Auftragsverarbeiter ggf. als Dritter zu betrachten ist. Demzufolge wäre für die Bearbeitung der Daten eine Rechtsgrundlage erforderlich bzw. eine Einwilligung. Um die Gefahr zu bannen, wegen einer unrechtmäßigen Verarbeitung belangt zu werden, bedarf es der Erfüllungswahl für die Auftragsverarbeitung oder der Einstellung der Datenverarbeitung, sofern keine andere Rechtsgrundlage einschlägig ist.407) 609 Sollte der Insolvenzverwalter planen, das Unternehmen fortzuführen, ist neben entsprechenden Dienstleistungs- oder Werkverträgen auch die Aufrechterhaltung der Auftragsvereinbarung erforderlich. Diese Erkenntnis ist wichtig für den Zeitraum nach Verfahrenseröffnung. Der Insolvenzverwalter muss im umgekehrten Fall ebenso darauf achten, dass nicht nur für den Dienstleistungsvertrag eine Nichteintrittserklärung abgegeben wird, sondern gleichwohl dafür Sorge tragen, dass der Auftragsverarbeiter die verarbeiteten Daten herausgibt bzw. diese entsprechend der Auftragsvereinbarung löscht. 6. Datenpannen und Meldungen Betroffener 610 Wie bereits erläutert, sollte eine Sichtung des Datenschutzmanagements vorgenommen werden, immer vorausgesetzt, ein solches liegt vor. Innerhalb des Datenschutzmanagements sind Angaben vorzufinden, welche Datenpannen in der Vergangenheit aufgetreten sind und welche Maßnahmen ergriffen wurden. Nach Möglichkeit sollte ebenso Einsicht in die Kommunikation mit der Aufsichtsbehörde genommen und die abgesetzten Meldungen überprüft werden. So kann der Insolvenzverwalter Anfragen zu vergangenen und nicht in seinen Verantwortungsbereich fallende Datenpannen beantworten. 611 Der vorläufige Insolvenzverwalter sollte bereits für den Zeitraum nach Verfahrenseröffnung Vorsorge treffen, um Nachfragen der Aufsichtsbehörde entgegentreten zu können. Hierfür muss er sich einen Überblick über die entsprechenden Vorkommnisse verschaffen, ggf. darauf einwirken, bestehende Probleme bei den technischen oder organisatorischen Maßnahmen durch den Schuldner beheben zu lassen. 612 Dies gilt ebenso für Meldungen und Anträge von Betroffenen. Natürlich kann der spätere Insolvenzverwalter nicht für Vorfälle haftbar gemacht werden, die zu einem Zeitpunkte geschehen sind, bevor er verantwortlich war, also vor der Entscheidungsfähigkeit über die Verarbeitungstätigkeiten für den Insolvenzverwalter, dennoch wird sich die Aufsichtsbehörde immer an den aktuellen Verantwortlichen halten. Daher ist es nötig, die entsprechenden Dokumentationen zu sichten und diese für eine mögliche Kommunikation mit der Aufsichtsbehörde vorzuhalten. ___________ 407) Vgl. Berberich/Kanschik, NZI 2017, 7.
176
II. Datensituation beim Schuldner
Zwangsläufig kann der Insolvenzverwalter für eine Verarbeitung von perso- 613 nenbezogenen Daten nicht haftbar gemacht werden, sofern er diese Verarbeitung zum Zeitpunkt des Vorkommnisses nicht kontrollieren konnte. Dennoch sind es Störungen im Verfahrensablauf. Sie können sich als nicht kalkulierter Arbeitsaufwand herausstellen, der schlecht vorbereitet höchstwahrscheinlich noch umfangreicher werden könnte. 7. Datensicherung Die Datensicherung, die unstreitig in den meisten Fällen erfolgen muss, um 614 auch im Nachhinein die entsprechenden Geschäftsunterlagen zu analysieren und ggf. Haftungs- und Anfechtungsansprüche belegen zu können, bedarf dennoch einer genauen Betrachtung. Dies insbesondere aufgrund der personenbezogenen Daten, die zum einen gespeichert und im Anschluss mit hoher Wahrscheinlichkeit auch analysiert und ausgewertet werden. In älteren Verfahren war es „gang und gäbe“, dass bereits im Rahmen des An- 615 tragsverfahrens wahllos so viel wie möglich gesichert wurde. Dies meist bereits vor der Prüfung, welche Unterlagen vorliegen bzw. welche Arten von personenbezogenen Daten mit einer solchen Sicherung verarbeitet werden. Eine Sicherung bereits im Antragsverfahren kann empfehlenswert sein. Häu- 616 fig ist davon auszugehen, dass für entscheidende und anspruchsbegründende Inhalte (E-Mail-Korrespondenz, Geschäftsunterlagen etc.) die Gefahr der Löschung oder Vernichtung besteht.408) Eine frühzeitige Sicherung, teilweise bereits kurz nach Bestellung zum Sachverständigen oder zum vorläufigen Insolvenzverwalter, wird in einigen Verfahren unabdingbar sein. Gemäß §§ 20, 97 InsO ist der Schuldner zur Auskunft gegenüber dem Ge- 617 richt verpflichtet und gleichzeitig gehalten, Einsicht in die Bücher und Geschäftsunterlagen zu gewähren bzw. diese auf Verlagen herauszugeben. Entsprechend der §§ 22, 22 Abs. 3 Satz 3 InsO gelten die Auskunftspflichten des Schuldners auch im Eröffnungsverfahren. Hiernach hat der Schuldner dem vorläufigen Insolvenzverwalter Einsicht in die Bücher und Geschäftspapiere zu gestatten (§ 22 Abs. 3 Satz 2 InsO). Unstrittig gehören nach allgemein vertretener Ansicht E-Mails und elektronische Korrespondenz ebenso zu den Geschäftspapieren.409) Diese werden als Handelspapier auch erfasst. Somit erstreckt sich die Auskunftspflicht auch auf diese Art der Kommunikation. a) Daten auf dem Stick Die Aufforderung „hier hast du einen Stick, sichere „alle“ vorhandenen Daten“ 618 ist keine unbekannte Aufforderung. Aber auch wenn grundsätzlich die Pflicht ___________ 408) Geiser, ZInsO 2017, 1186. 409) Siehe Begr. zum Gesetzentwurf der BReg. zum EHUG, BR-Drucks. 942/05, 117 (zu § 37a HGB), 130 (zu § 25a GenG) und 167 (zu § 35a GmbHG).
177
G. Datenschutz im Antragsverfahren
zur Sicherung besteht und dies auch für etwaige Anspruchsdurchsetzung vonnöten ist, sind dennoch datenschutzrechtlich einige Punkte zu beachten. 619 Der Insolvenzverwalter ist gefordert, Sachverhalte beim Schuldner aufzuklären und meist zugleich den vorhandenen Datenbestand auf Hinweise von Masseansprüchen zu untersuchen. Hierzu ist der Insolvenzverwalter sogar gemäß §§ 80 ff. InsO verpflichtet.410) Dieser Datenbestand besteht meist nicht nur aus Buchhaltungsunterlagen oder Geschäftsunterlagen, sondern beinhaltet i. d. R. ebenso personenbezogene Daten wie den E-Mailverkehr oder auch Personalunterlagen. 620 Wichtig ist, zunächst den Zweck der Sicherung durch den späteren Insolvenzverwalter zu klären und diesen genau zu bestimmen und ebenso eine entsprechende Rechtsgrundlage zu finden, die auch für diese Art der Verarbeitung notwendig ist. 621 Diese Rechtmäßigkeit ist für den Insolvenzverwalter u. a. in Art. 6 Abs. 1 Satz 1 lit. c) DSGVO i. V. m. § 257 Abs. 1 Nr. 2 HGB zu sehen. Es besteht für ihn eine rechtliche Verpflichtung zur Aufbewahrung von Geschäftsunterlagen, wozu auch geschäftliche E-Mails zu zählen sind.411) 622 Erfolgt die Sicherung zu Auswertungszwecken, wäre als Rechtsgrund Art. 6 Abs. 1 Satz 1 lit. c) DSGVO heranziehbar, da eine Verarbeitung zur Wahrnehmung einer Aufgabe erforderlich ist, die sich in einer rechtlichen Verpflichtung begründet. Des Weiteren liegt eine Auswertung und Verarbeitung auch im berechtigten Interesse des Insolvenzverwalters und ist somit gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Eine entsprechende Abwägung zwischen den Interessen des Betroffenen und denen des Insolvenzverwalters kann nicht zu einer abweichenden Betrachtung führen. Etwas anderes kann auch nicht gelten für den Fall, dass die Daten der E-Mails für eine Durchsetzung von Ansprüchen gegen die Betroffenen genutzt werden. Zwar wird der Betroffene ein großes Interesse an der Nichtverarbeitung haben, diese ist aber nicht schutzwürdig.412) 623 Der vorläufige Insolvenzverwalter sollte bereits im Voraus abklären, welche Regelungen beim Schuldner für die Verwendung der E-Mail-Accounts gelten (siehe Rn. 357 ff.). Bei der Auswertung von E-Mail-Accounts sind insbesondere die Beschränkungen des Beschäftigtendatenschutzes gemäß § 26 BDSG zu beachten. Diese dürfen per se außerhalb eines Insolvenzverfahrens nur im Rahmen einer Auswertung verarbeitet werden, wenn Anhaltspunkte eines begründeten Verdachts vorliegen. Ebenfalls sind die internen Anweisungen hinsichtlich der Nutzung zu berücksichtigen und in die Überlegungen mit einzubeziehen. ___________ 410) Hartung, ZInsO 2011, 1233. 411) Geiser, ZInsO 2017, 1188. 412) Geiser, ZInsO 2017, 1190.
178
II. Datensituation beim Schuldner
b) Datenübertragung Grundsätzlich muss in der Datensicherung auch zeitgleich eine Datenüber- 624 tragung durch den Schuldner an den vorläufigen Insolvenzverwalter gesehen werden, die einer Rechtsgrundlage bedarf. Ordnet man die E-Mail-Korrespondenz der Insolvenzmasse zu, liegt für den späteren Insolvenzverwalter das Recht zur Inbesitznahme in § 148 InsO. Fraglich ist, ob es sich bei den E-Mails um personenbezogene Daten handelt. 625 Davon ausgehend ist für die Speicherung eine Rechtsgrundlage erforderlich, die für den Insolvenzverwalter in Art. 6 Abs. 1 Satz 1 lit. c) DSGVO i. V. m. § 257 Abs. 1 Nr. 2 HGB zu sehen ist bzw. in Art. 6 Abs. 1 Satz 1 lit. f) DSGVO. Somit ist die Datenübertragung nicht unrechtmäßig, wenn die weiteren Datenschutzvorschriften beachtet werden wie der sichere Transport oder auch die für diese Vorgänge vorgesehenen TOM. c) Beachtung Rechte Betroffener Datenschutzrechtliche Bedenken oder Ansprüche, die sich aus der Sicherung 626 ergeben könnten, können von den Betroffenen nur selbst erhoben werden, nicht aber von einem anderen Unternehmen oder vom Geschäftsführer. Die Betroffenenrechte kann der Betroffene nur persönlich geltend machen. Dabei ist bei der Sicherung der elektronischen Kommunikation auch an die Postfächer der Mitarbeiter zu Auswertungszwecken zu denken. Hinsichtlich der Auswertung der E-Mails der Arbeitnehmer ist zu nächst zu 627 prüfen, ob der Arbeitgeber, in diesem Fall der Schuldner, die private Nutzung der dienstlichen E-Mail-Accounts erlaubt bzw. geduldet hat. War diese nicht erlaubt, bestehen keine Bedenken gegen die Auswertung. Lag eine Erlaubnis der Privatnutzung vor, muss der Insolvenzverwalter im 628 Rahmen seiner Möglichkeiten zunächst versuchen, diese E-Mails vor der Sicherung entfernen zu lassen. Ein Eingriff in das Persönlichkeitsrecht des Mitarbeiters, der in einer Auswertung der E-Mails gesehen werden kann, kann durch die Wahrnehmung einer Auswertung aus überwiegenden Interessen des Insolvenzverwalters gerechtfertigt sein.413) Dennoch sind die widerstrebenden Interessen des Insolvenzverwalters gegenüber den Interessen des Betroffenen abzuwägen. Die Punkte, die im Zusammenhang mit der Interesseabwägung zu beachten sind, wären aufseiten des Insolvenzverwalters der dienstlicher Account, die Notwendigkeit zur Auswertung und ggf. die Aufklärung von rechtlichen Zusammenhängen und die Notwendigkeit zur Prüfung der Ansprüche der Gläubiger etc. Aufseiten der Interessen des Betroffenen würde demgegenüber der Schutz des Persönlichkeitsrechts zu beachten sein und das Interesse, dass Daten nicht von Dritten außerhalb der beruflichen Tätigkeit zur Kenntnis genommen werden. ___________ 413) Vgl. LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1181.
179
G. Datenschutz im Antragsverfahren
629 Nach Einschätzung der Autoren sind die Interessen des Insolvenzverwalters als höher einzustufen, wenn nicht zusätzliche Umstände hinzutreten (z. B. sensible Daten, ausschließlich private Daten etc.). 630 Der Insolvenzverwalter ist gehalten, die Verhältnismäßigkeit zu wahren und zunächst die bestehenden Möglichkeiten auszuschöpfen.414) So wäre es denkbar, dass die Mitarbeiter vor der Sicherung auf die vorgesehene Sicherung hingewiesen werden und ihnen die Möglichkeit eingeräumt wird, die entsprechenden E-Mails zu kennzeichnen. Ebenso wäre eine Trennung von privaten und beruflichen E-Mails vorstellbar, wenn diese mit normalen Verfahrensmitteln trennbar sind. Mit dem Einsatz von OCR-Software wäre es auch möglich, die E-Mails der Mitarbeiter zu durchsuchen und die Gefahr der Kenntnisnahmen von personenbezogenen Daten weitestgehend zu minimieren. Ein Schutz der privaten E-Mails wird nur zu gewährleisten sein, wenn diese eindeutig als private E-Mails erkennbar sind. Dann könnten diese E-Mails entsprechend herausgefiltert werden. 631 Gibt es eine solche Kennzeichnung nicht und war die private Nutzung erlaubt, kann dies einer Analyse der E-Mails nicht entgegenstehen, wenn eine solche im Rahmen der Aufgabenerfüllung des Insolvenzverwalters notwendig ist.415) Der Insolvenzverwalter hat in diesem Fall sicherzustellen, dass er E-Mails mit privatem Inhalt nicht zur Kenntnis nimmt. Um diesen Schutz zu gewährleisten und nachweislich einhalten zu können, wird empfohlen, eine Analyse gemeinsam mit einem Vertreter der Arbeitnehmer oder mit dem Datenschutzbeauftragten durchzuführen. Praxistipp: Auch wenn eine private Nutzung erlaubt war, hat der Insolvenzverwalter keinerlei Interesse am Inhalt der privaten E-Mails von Arbeitnehmern. Daher wäre zunächst zu überlegen, ob es objektive Verfahrensweisen zur Trennung von privaten und beruflichen E-Mails gibt. Sollte dies nicht möglich sein, muss unter datenschutzrechtlichen Aspekten ein Missbrauch möglichst zuverlässig ausgeschlossen werden. Folgende Vorgehensweise ist unter Berücksichtigung der Rechte der Beschäftigten datenschutzrechtlich denkbar: x Private E-Mails müssen von den beruflichen E-Mails getrennt werden. x Ist eine Trennung nicht möglich, findet eine Auswertung unter vier Augen statt und eine entsprechende Trennung des Mailbestands. x Zweifelsfälle könnten mit den Verfassern (wenn diese zur Verfügung stehen) geklärt werden. x Restlicher Bestand kann ohne Bedenken ausgewertet werden.
___________ 414) Vgl. LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1181. 415) Vgl. Geiser, ZInsO 2017, 1187.
180
II. Datensituation beim Schuldner
8. Vorbereitungen zur übertragenden Sanierung Die Vorbereitungen für eine übertragende Sanierung werden regelmäßig be- 632 reits im eröffneten Verfahren vorgenommen. So suchen der Schuldner und vorläufige Insolvenzverwalter Interessenten und diese sprechen potentielle Investoren an. Die Interessenten haben natürlich das Bedürfnis, eine, wenn auch stark eingeschränkte, Due Diligence durchzuführen und benötigen hierfür einen entsprechenden Datenzugang.416) Die Interessenten erhalten meist vorab einen NDA417) und nach dessen Unterzeichnung werden den Interessenten anhand eines Datenraums Unterlagen zur Verfügung gestellt, um sich gezielt mit einem möglichen Angebot beschäftigen zu können. Zeitgleich sollten die Interessenten vom vorläufigen Insolvenzverwalter bzw. 633 vom Schuldner als Verantwortlichen eine entsprechende Information gemäß Artt. 13, 14 DSGVO erhalten. Hier ist entscheidend, wer den Prozess steuert und durchführt und somit als Verantwortlicher anzusehen ist. In der Regel wird es der vorläufige Insolvenzverwalter sein, der die Daten der Interessenten erhebt und verarbeitet. a) Datenschutzrechtliche Prüfung der Daten für den Datenraum Die Daten, die die Interessenten benötigen, um sich ein Bild vom schuldneri- 634 schen Unternehmen machen zu können, und diesen zur Verfügung gestellt werden sollen, müssten hinsichtlich der Art der Daten vorab geprüft werden. Die Zurverfügungstellung von „normalen“ Unternehmensdaten wie BWA, Jahresabschlüsse oder Finanzplanungen sollte grundsätzlich kein Problem darstellen, da diesen i. d. R. keine personenbezogenen Daten zu entnehmen sind. Sollten jedoch die Interessenten auch Vertragsdaten benötigen oder andere 635 Unterlagen, die personenbezogene Daten enthalten können, gilt es zuvorderst zu klären, ob diese personenbezogenen Daten wirklich für die Entscheidungsfindung der Interessenten in dieser Form notwendig sind. Gegebenenfalls sollte eine Anonymisierung oder Pseudonymisierung dieser Daten vorgenommen werden. Auch wäre eine Schwärzung von Daten angebracht, wenn diese nicht zwingend für die Einschätzung der Interessenten benötigt würden. b) Mitarbeiterdatenschutz Problematisch bei der Bekanntgabe von Informationen und dem Bereitstel- 636 len von Unterlagen für Interessenten sind die Mitarbeiterlisten. Für die Bekanntgabe der Arbeitnehmerdaten bedarf es einer Rechtsgrundlage bzw. einer Einwilligung der Mitarbeiter.418) Eine Rechtsgrundlage kann nicht in Art. 6 ___________ 416) Hartung, ZInsO 2011, 1235. 417) Non-disclosure agreement – Geheimhaltungsvereinbarung. 418) Göpfert/Meyer, NZA 2011, 488.
181
G. Datenschutz im Antragsverfahren
Abs. 1 Satz 1 lit. b) i. V. m. § 26 BDSG zu sehen sein. Die Verarbeitung zur Vorbereitung der übertragenden Sanierung geschieht nicht zum Zwecke der Durchführung des Beschäftigungsverhältnisses, da kein unmittelbarer sachlicher Zusammenhang mit dem Vertragszweck besteht,419) der Grundlage des Beschäftigungsverhältnisses ist. 637 Natürlich könnte eine Betriebsvereinbarung bestehen, die es der Unternehmensleitung erlaubt, Mitarbeiterdaten im Rahmen einer Due Diligence weitergeben zu dürfen, allerdings wäre diese höchstwahrscheinlich nicht bestimmt und auch nicht transparent genug, um den Vorgaben des Datenschutzes gerecht zu werden. Im Zweifel wird es bereits an der expliziten Angabe fehlen, wer Empfänger der Daten ist. 638 Die Mitarbeiterliste sollte zwar den Interessenten zur Verfügung gestellt werden, aber zeitgleich auch der Beschäftigtendatenschutz gewahrt bleiben. Daher ist zu empfehlen, diese Liste nur pseudonymisiert zur Verfügung zu stellen. In einem frühen Stadium der Interessentengespräche sind die Mitarbeiterdaten des schuldnerischen Unternehmens so zusammenzustellen, dass einzelne Personen durch bestimmte Angaben in den Listen nicht zu identifizieren sind. Dies muss natürlich unter Beachtung des jeweiligen Einzelfalls erfolgen. 639 Der Interessent ist naturgemäß sehr interessiert, die jeweiligen arbeitsvertraglichen Daten zu erhalten. Ebenso von besonderem Interesse sind die jeweiligen Betriebszugehörigkeiten. Vor allem deshalb, weil bei einem entsprechenden Asset Deal die Arbeitsverhältnisse kraft Gesetz auf den Übernehmer übergehen, wie sie bestehen. Dennoch müssen diese Listen zunächst so bearbeitet werden, dass keine Rückschlüsse auf einzelne Personen zu ziehen sind. Beispiel: Ist in der Belegschaft nur eine Person eines bestimmten Geschlechts vertreten, wären die Hinweise auf das jeweilige Geschlecht durch geschlechterspezifische Angaben zu unterbinden. Andernfalls wäre genau diese Person identifizierbar. 640 Etwas anderes kann für Mitarbeiterdaten von speziellen Arbeitnehmern oder Führungskräften gelten, wenn diese für ein Zustandekommen einer Übertragungslösung oder für das grundsätzliche Interesse eines möglichen Investors von entscheidender Bedeutung sind. In diesem Fall wäre die Bekanntgabe dieser Daten auch erforderlich.420) Dazu bedarf es aber auch gleichzeitig einer Interessenabwägung. Die schutzwürdigen Interessen des Mitarbeiters dürfen in diesen Fällen nicht ohne Weiteres überwiegen.421) Um aber eine Übertragung nicht unnötig zu gefährden, sind nicht allzu strenge Maßstäbe anzulegen, ___________ 419) Göpfert/Meyer, NZA 2011, 488. 420) Selk, RDV 2009, 254, 255; Braun/Wybitul, BB 2008, 782, 785; Diller/Deutsch, K&R 1998, 16, 19. 421) Göpfert/Meyer, NZA 2011, 489.
182
II. Datensituation beim Schuldner
da auch eine der Zielsetzungen einer übertragenden Sanierung ist, die bestehenden Arbeitsverhältnisse zu erhalten und diese zu übertragen, wie sie bestehen. c) Nutzung eines Dienstleisters für Due Diligence Insbesondere bei größeren Transaktionen wird der Insolvenzverwalter auf 641 Dienstleister zurückgreifen, die den Insolvenzverwalter bei einem solchen M&A Prozess unterstützen. Datenschutzrechtlich wichtig ist, zu klären, in welchem Rahmen eine solche Beauftragung stattfindet. Häufig wird es sich in diesen Fällen aus Datenschutzsicht um eine Auftragsverarbeitung handeln. Demnach ist der Insolvenzverwalter oder auch der Schuldner, wenn über diesen der Auftrag erfolgt, gehalten, mit dem Dienstleister eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abzuschließen. Auch sollten die Auftragsverarbeitung und die jeweiligen Informationen in dem Verzeichnis von Verarbeitungstätigkeiten Einzug finden. Selbiges gilt bei der Beauftragung eines Bewerters für das Anlagevermögen 642 oder auch für den Dienstleister, der die Ressourcen für den Datenraum zur Verfügung stellt. Grundsätzlich wird mit Letzterem i. d. R. bereits eine solche Auftragsverarbeitung bestehen, zumindest aufseiten des Insolvenzverwalters.
183
H. Sachverständigengutachten I. Allgemeines Der Sachverständige erstattet gegenüber dem Gericht in regelmäßigen Ab- 643 ständen Bericht über seine bisherigen Ermittlungen und Erkenntnisse. Außerdem sind die Angaben und Informationen aus dem durch den Sachverständigen zu erstellenden Gutachten für das Gericht im Hinblick auf die gerichtliche Entscheidung zum Antragsverfahren maßgebend. Selbiges gilt natürlich für die Berichte des Insolvenzverwalters im weiteren Verfahrensverlauf. Der Sachverständige und auch der spätere Insolvenzverwalter muss prüfen, 644 welche personenbezogenen Daten angegeben werden und für die Durchführung des Insolvenzverfahrens erforderlich sind,422) zeitgleich muss der Sachverständige/Insolvenzverwalter sich vergewissern, ob die verarbeiteten Daten wirklich zur Zweckerreichung benötigt werden. Beim Umgang mit den Daten hat der Sachverständige/Insolvenzverwalter sich an die allgemeinen und je nach abzuwickelndem Unternehmen, an die spezifischen datenschutzrechtlichen Vorschriften zu halten. Die Angaben und Informationen enthalten eine Vielzahl an personenbezo- 645 genen Daten über den Schuldner, teilweise über dessen familiären, gesundheitlichen und natürlich finanziellen Background. Nicht selten handelt es sich dabei auch um eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO. Die in Art. 9 Abs. 1 DSGVO aufgezählten besonderen Datenkategorien sind abschließend.423) Dabei handelt es sich um personenbezogene Daten, aus denen die rassische 646 und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder auch die Gewerkschaftszugehörigkeit hervorgeht, oder es betrifft genetische Daten, biometrische Daten zur eindeutigen Identifizierbarkeit des Betroffenen, Gesundheitsdaten oder Daten, die sich mit der sexuellen Orientierung auseinandersetzen. Die Verarbeitung dieser Art von Daten ist grundsätzlich untersagt, wenn nicht 647 eine Ausnahme gemäß Art. 9 Abs. 2 DSGVO Anwendung findet. Nur unter stark abgegrenzten Voraussetzungen ist eine Verarbeitung außerhalb einer Einwilligung des Betroffenen (Art. 9 Abs. 2 lit. a) DSGVO) rechtmäßig. Für den Sachverständigen kommt hier die Rechtmäßigkeit gemäß Art. 9 Abs. 2 lit. g) i. V. m. §§ 20, 97 InsO in Betracht. Demnach ist eine Verarbeitung dieser besonderen Daten auf Grundlage des Rechts des Mitgliedstaates denkbar, wenn die Verarbeitung im angemessenen Verhältnis zu dem verfolgten Ziel steht, der Datenschutz entsprechend gewahrt wird und Maßnahmen vorgesehen sind, die die Grundrechte und Interessen des Betroffenen wahren. ___________ 422) TLfDI, 2. TB LfDI Thüringen 2014/2015, S. 93. 423) Plath-Plath, BDSG/DSGVO, Art. 9 DSGVO Rn. 4.
185
H. Sachverständigengutachten
Auch muss diese Verarbeitung aus einem erheblichen öffentlichen Interesse erforderlich sein, was einem Insolvenzverfahren aber auch zuzurechnen ist. 648 Bezüglich dieser Daten, aber auch der sonstigen personenbezogenen Daten, bedarf es eines besonderen Verantwortungsbewusstseins des Sachverständigen für seine Berichterstattung. Der Sachverständige muss ganz genau wissen, dass die Verarbeitung und Übermittlung dieser Daten per se die Grundrechte des Betroffenen jederzeit beeinträchtigen können. II. Grundsatz Datensparsamkeit 649 Die Durchführung der Verarbeitung im Zusammenhang mit der Tatsache, dass die Grundrecht des Betroffen zumindest nicht unwesentlich betroffen sind, sollte folglich immer nach den Grundsätzen des Datenschutzes erfolgen. 650 Vordringlich ist der Grundsatz der Datensparsamkeit zu beachten. Der Sachverständige wie auch die Handelnden im weiteren Verfahrensgang sollten sich die Frage stellen, ob die Angaben, die innerhalb des Gutachtens oder auch des späteren Berichts vorgenommen werden, wirklich für den Zweck der Durchführung des Insolvenzverfahrens bzw. zur Erfüllung des Gutachtenauftrags erforderlich sind. Es gilt sowohl bei der Gutachtenerstellung als auch bei der Berichterstattung das Prinzip: „so viel wie nötig, so wenig wie möglich“. 651 Der Spagat zwischen den jeweiligen Interessen u. a. des Gerichts und Richters und der Gewährleistung der datenschutzrechtlichen Grundsätze bedarf einer sehr genauen Abwägung bezüglich der Daten, die in Gutachten oder den Berichten Eingang finden. Beispiel: Zur Betrachtung einer möglichen Unterhaltspflicht benötigt man nicht die einzelnen personenbezogenen Daten der Kinder, wie Namen, Geburtsdatum und Konfession etc. Es ist ausreichend zu schreiben: „Der Schuldner ist zwei Kindern (12, 16) zum Unterhalt verpflichtet.“ Ebenso sind nach Ansicht der Autoren keine Angaben bezüglich der Handynummer oder E-Mail-Adresse des Schuldners erforderlich. Wie diese der Auftragserfüllung oder dem Zweck der Durchführung des Insolvenzverfahrens dienen sollten ist nicht ersichtlich. Schließlich bedarf es in den meisten Fällen keiner bzw. keiner genauen Bezeichnung einer Krankheit aufseiten des Schuldners, wenn diese zum Beispiel die Arbeitskraft des Schuldners einschränkt. Die Krankheit muss nicht explizit genannt werden. Ausreichend sollte die Formulierung sein: „Der Schuldner leidet an einer dauerhaften Erkrankung mit unbekanntem Krankheitsverlauf.“
186
II. Grundsatz Datensparsamkeit
1. Datenfluss Für die Abwägung der Datensparsamkeit bei der Berichterstattung sollte 652 der Datenfluss beachtet werden. Der Sachverständige ist ebenso wie der spätere Insolvenzverwalter bei der Berichterstattung gehalten, bei seinen Überlegungen den großen Empfängerkreis der Informationen und der von ihm genutzten personenbezogenen Daten zu berücksichtigen. Zwar berichtet er gegenüber dem Gericht, doch sind diese Daten auch ande- 653 ren Beteiligten zugänglich. Dies ist ein weiterer Grund dafür, dass der Insolvenzverwalter gewissenhaft abwägen muss, welche personenbezogenen Daten er „übermittelt“ und in welcher Detailtiefe. Siehe hierzu folgende Übersicht, die den grundsätzlichen Datenfluss abzeich- 654 net: Datenfluss Unternehmensdaten
Verfahrensdaten
• • • •
• Daten über die pers. u. wirtschaftl. Verhältnisse • auch der Angehörigen
Mitarbeiterdaten Kundendaten Lieferantendaten Geschäfts- und Betriebsgeheimnisse
Insolvenzschuldner
Insolvenzverwalter
Gläubiger
Gericht
Staatsanwaltschaft
Sozialversicherung
Finanzamt
Abb. 3: Datenfluss Quelle: Weiß/Reisener, RWS-Seminarunterlagen Datenschutz in der Insolvenzverwalterkanzlei, Folie 93.
2. Großer Empfängerkreis Bei den einzelnen Angaben im Gutachten und noch intensiver in den späte- 655 ren Berichten, sollte der große Empfängerkreis der Informationen beachtet werden. Das Gutachten wird zunächst nur für das Gericht als Entscheidungshilfe gefertigt, wandert dann aber in die Insolvenzakte. Alle Beteiligten mit Einsichtsrecht in die Insolvenzakte haben somit Zugriff auf das Gutachten und die dort enthaltenen Informationen (siehe oben). Im Eröffnungsverfahren ist der Kreis der Einsichtsberechtigten noch be- 656 schränkt, da in diesem Verfahrensstadium nur der antragstellende Gläubiger
187
H. Sachverständigengutachten
und der Schuldner Beteiligte sind424) und nur diese Beteiligten ein Einsichtsrecht gemäß § 299 Abs. 1 ZPO genießen. 657 Das Einsichtsrecht weitet sich auf alle Gläubiger aus, sollte das Verfahren aufgrund der Abweisung mangels Masse nicht eröffnet werden. In diesem Fall haben alle Insolvenzgläubiger ein Einsichtsrecht, auch in das Gutachten. Das Akteneinsichtsrecht ist auch nicht auf Gläubiger mit titulierter Forderung beschränkt, weil auch diese Forderungen zum Eröffnungsantrag berechtigen (vgl. §§ 14 Abs. 1, 179 InsO).425) Selbiges wird auch bei einer Antragsrücknahme oder Antragserledigung angenommen.426) Gerade in einer solchen Situation, in der der Schuldner ggf. noch nach Einreichung des Gutachtens den Antrag zur Erledigung bringt, könnten ihm ggf. schwerwiegende Folgen für die Weiterführung der Unternehmung drohen, wenn ein Gläubiger der Lieferant oder Dienstleister des schuldnerischen Unternehmens ist, Informationen aus dem Gutachten erlangt, die er im Nachhinein gegen den Schuldner einsetzen kann. 658 Nach Verfahrenseröffnung besteht für alle Insolvenzgläubiger, die ihre Forderungen zur Tabelle angemeldet haben, ein Einsichtsrecht.427) Auch Insolvenzgläubigern, die ihre Forderungen nicht angemeldet haben und somit als Dritte i. S. d. § 299 Abs. 2 ZPO angesehen werden, kann Einsicht in die Akten gewährt werden, wenn ein rechtliches Interesse glaubhaft gemacht wurde. 659 Der Empfängerkreis kann demnach eine gewisse Größe erreichen. Es erhöht sich damit für den Schuldner als Betroffener die Gefahr, aufgrund zu ausführlicher Angaben oder exzessiver Verarbeitung von personenbezogenen Daten im Gutachten oder in den Berichten einen schwerwiegenden Schaden der Rechte oder Freiheiten zu erfahren. 3. Zweck des Gutachtens 660 Bei der Gutachtenerstellung sollte immer der Zweck des Gutachtens bedacht werden. Dieser wird im Beschluss benannt und ergibt sich ebenso aus den Zielen des Insolvenzverfahrens. 661 Der Gutachtenauftrag umfasst regelmäßig die Aufforderung an den Sachverständigen festzustellen, ob ein Insolvenzeröffnungsgrund vorliegt, die vorhandene Masse die Verfahrenskosten decken kann und ob Aussichten bestehen, das Unternehmen zu erhalten. Überspitzt gesagt genügt für diese Feststellungen eine A4-Seite. Natürlich erwarten die Gerichte mehr Informationen vom Sachverständigen oder Insolvenzverwalter. Das Gericht erwartet zum einen Begründungen für die jeweiligen Feststellungen und auch Erkenntnisse ___________ 424) 425) 426) 427)
188
Musielak/Voit-Huber, ZPO, § 299 Rn. 4. Musielak/Voit-Huber, ZPO, § 299 Rn. 4. OLG Schleswig, Beschl. v. 29.7.2008 – 12 Va 1/08, NZI 2008, 690. Musielak/Voit-Huber, ZPO, § 299 Rn. 4.
II. Grundsatz Datensparsamkeit
darüber, wie es zu dieser Situation oder zur Krise kommen konnte. Schließlich kann das Gutachten des Sachverständigen als nützlichen Nebeneffekt Anhaltspunkte für die Staatsanwaltschaft liefern, wenn diese im Nachhinein die Situation von der strafrechtlichen Seite her beleuchtet. Praxistipp: Natürlich ist es nur schwerlich möglich, jegliche Verwendung von personenbezogenen Daten innerhalb der Gutachtenerstellung zu verhindern. Allerdings sollte diese Verarbeitung immer unter Berücksichtigung der möglichen Gefahr für den Betroffenen vorgenommen werden und mit Blick auf den Empfängerkreis. Dabei soll der Sachverständige abwägen, ob diese Informationen unter Nutzung von personenbezogenen Daten wirklich dem Zweck des Gutachtens dienen und für die Entscheidung des Gerichts notwendig sind. Außerdem sollte wenn möglich eine Pseudonymisierung erwogen werden.
189
I. Datenschutz im eröffneten Verfahren I. Situation Insolvenzverwalter Mit der Verfahrenseröffnung tritt beim Insolvenzverwalter eine besondere 662 Situation ein. Ab diesem Zeitpunkt gilt er als Verantwortlicher auch für die Unternehmensdaten, zumindest für diese Verarbeitungen die in seinen Einflussbereich fallen. Führt der Insolvenzverwalter also ein Unternehmen als Verantwortlicher fort, muss er die datenschutzrechtlichen Vorgaben für alle Verarbeitungstätigkeiten, die vorher noch im Verantwortungsbereich des Schuldners lagen, einhalten. Nach Eröffnung des Insolvenzverfahrens und dem Übergang der Verwaltungs- und Verfügungsbefugnis gemäß § 80 InsO muss der Insolvenzverwalter die Einhaltung der datenschutzrechtlichen Vorschriften auch in dem verwalteten Unternehmen überwachen und ggf. nachhalten.428) In diesen Situationen werden insbesondere die Vorbereitungen und Erkenntnisse aus dem Eröffnungsverfahren wichtig. Der Insolvenzverwalter muss nunmehr die Maßnahmen ergreifen und umsetzen, die zu diesem Zeitpunkt bereits ermittelt sein sollten. Aufgrund der besonderen Situation sollte bei datenschutzrechtlichen Prob- 663 lemen Kontakt zu der zuständigen Aufsichtsbehörde aufgenommen werden, sofern der Insolvenzverwalter das schuldnerische Unternehmen fortführen möchte. Vor allem in den Fällen, in denen sich starke Probleme mit dem Datenschutz abzeichnen, wie solchen, in denen kein Verzeichnis von Verarbeitungstätigkeiten vorliegt oder kein Datenschutzbeauftragter benannt ist, obwohl die Voraussetzungen aufseiten des Unternehmens für eine Pflichtbenennung vorliegen. Es ist davon auszugehen, dass die Aufsichtsbehörden für die Ergreifung dieser Maßnahmen eine gewisse Karenzzeit einräumen werden, allerdings im Zweifel nur nach vorheriger Konsultation der Behörde. Ab Eröffnung des Verfahrens erfolgt die Fortführung des Betriebs unter 664 Vollkosten und gemäß § 61 InsO haftet der Insolvenzverwalter für die begründeten Masseverbindlichkeiten. Fraglich und ungeklärt ist der Umstand, welche Entscheidung der Insolvenzverwalter treffen muss, wenn die Ergreifung der datenschutzrechtlichen Maßnahmen nur schwerlich umsetzbar oder auch aus Kostengründen nicht darstellbar ist. Wäre der Insolvenzverwalter verpflichtet, den Geschäftsbetrieb einzustellen 665 bzw. die Zustimmung des Gläubigerausschusses für die Stilllegung gemäß § 158 InsO einzuholen, da ihm die Gewährleistung des Datenschutzes nicht möglich ist und die Gefahr besteht, dass die Befriedigungsaussichten der Gläubiger in nicht unerheblichen Umfang geschmälert werden?429) Welche Folgen für die Masse hätte eine entsprechende Weiterführung der Verarbeitung mit allen datenschutzrechtlichen Problemen? Besteht eine Haftung der ___________ 428) Woltersdorf, InDat Report 02/2018, 12. 429) Nerlich/Römermann-Rein, InsO, § 60 Rn. 60.
191
I. Datenschutz im eröffneten Verfahren
Masse oder des Insolvenzverwalters auch für eine unrechtmäßige Verarbeitung personenbezogener Daten vor Verfahrenseröffnung? Diese Fragen sind zum Teil noch ungeklärt und bedürfen in naher Zukunft einer dringenden Klärung möglicherweise durch die Gerichte. Nachfolgend wird versucht, die eine oder andere dieser Fragen aus Sicht der Autoren zu klären. II. Haftung für „Altlasten“ und Weiterverarbeitung 666 Ein Blick auf die bisherige Einordnung und Behandlung von Pflichten des Insolvenzverwalters bei öffentlich-rechtlichen Altlasten könnte für die Beantwortung eine Hilfestellung geben. Diese Betrachtung wurde in der Vergangenheit nicht mit Blick auf die datenschutzrechtlichen Pflichten vorgenommen, sondern vornehmlich in Bezug auf bestehende Altlasten eines zur Masse zugehörigen Grundstücks. Vom Grundsatz her gilt, dass der Insolvenzverwalter für Gegenstände, die der Verwaltung des Insolvenzverwalters unterliegen, die öffentlich-rechtlichen Pflichten zu erfüllen hat.430) 667 In der Rechtsprechung der Verwaltungsgerichte wird grundsätzlich davon ausgegangen, dass der Insolvenzverwalter verpflichtet ist, die Störung zu beseitigen.431) Diese Ordnungspflicht sei, da es sich um eine Zustandsstörung handelt, als Masseverbindlichkeit anzusehen. Sie sei daher nicht nur eine reine Insolvenzforderung, und zwar unabhängig davon, ob die jeweilige Altlast oder Gefahr bereits bei Verfahrenseröffnung bestand oder erst nach Verfahrenseröffnung verursacht wurde.432) Von dieser Ordnungspflicht kann sich der Insolvenzverwalter durch Freigabe und Besitzaufgabe des Grundstücks befreien.433) 668 Die h. M. geht bei der Einordnung der Ordnungspflicht als Insolvenz- oder Masseforderung davon aus, dass hierfür der Zeitpunkt der Ordnungspflicht ausschlaggebend ist. Eine Einordnung als Masseverbindlichkeit kann sich nicht allein aus dem Umstand begründen, dass der Insolvenzverwalter den entsprechenden Gegenstand oder das Grundstück nach Verfahrenseröffnung vorübergehend genutzt hat. Vielmehr sei auf den Zeitpunkt der Handlung abzustellen, der im Kern die Ordnungspflicht hat entstehen lassen.434) 1. „Altlasten“ vor Verfahrenseröffnung 669 Übertragen auf das Datenschutzrecht und den damit verbundenen öffentlich-rechtlichen Pflichten ist für die Fälle der unrechtmäßigen Verarbeitung von personenbezogenen Daten vor Verfahrenseröffnung aufgrund fehlender Einflussmöglichkeit des Insolvenzverwalters auf die Datenverarbeitung da___________ 430) Thole, 2018, 1007. 431) BVerwG, Urt. v. 23.9.2004 – 7 C 22.3, ZIP 2004, 2145 = NZI 2005, 51, 52; VGH Mannheim, Beschl. v. 17.4.2012 – 10 S 3127/11, ZIP 2012, 1819. 432) Thole, ZIP 2018, 1007. 433) Thole, ZIP 2018, 1007. 434) Thole, ZIP 2018, 1007.
192
II. Haftung für „Altlasten“ und Weiterverarbeitung
von auszugehen, dass eine Verantwortlichkeit des Insolvenzverwalters nicht greift. Auch kann aus einer unrechtmäßigen Verarbeitung aus dem Zeitraum vor Verfahrenseröffnung keine Masseverbindlichkeit entstehen, da dieser Umstand nicht unter § 55 InsO subsumiert werden kann.435) Somit kann eine Haftung des Insolvenzverwalters für unrechtmäßige Verarbeitungsvorgänge vor Verfahrenseröffnung verneint werden. 2. „Altlasten“ nach Verfahrenseröffnung Etwas anderes dürfte in den Fällen anzunehmen sein, in denen der Insolvenz- 670 verwalter aufgrund der Fortführung des Unternehmens die Verarbeitung zu verantworten hat. Hier dürften entsprechende Ansprüche, die auf diesem Zeitpunkt der Verarbeitung beruhen, sehr wohl als Masseverbindlichkeiten zu betrachten sein. Demzufolge kann der Insolvenzverwalter gehalten sein, bei der Nichterfüllung der datenschutzrechtlichen Vorschriften und einer nicht absehbaren kurzfristigen Behebung, den Geschäftsbetrieb auch aus datenschutzrechtlichen Gründen ultima ratio einzustellen. Für eine Stilllegung bedarf es gemäß § 158 InsO der Zustimmung des Gläubigerausschusses. Ist ein solcher nicht vorhanden, hat der Insolvenzverwalter nach eigenem pflichtgemäßem Ermessen bis zum Berichtstermin über die Fortführung zu entscheiden.436) a) Stilllegung aus rechtlichen Gründen Die Stilllegung i. S. d. § 158 InsO kann aus wirtschaftlichen Gründen oder 671 auch aus rechtlichen Gründen geboten sein, auch schon vor dem Berichtstermin.437) Die rechtlichen Gründe können vorliegen, wenn eine Verarbeitungstätigkeit unrechtmäßig wäre, weil eine entsprechende Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten nicht vorliegt, diese Verarbeitung aber für die Betriebsfortführung notwendig ist. Bedarf die Verarbeitungstätigkeit, die Grundlage für den Betrieb des schuldnerischen Unternehmens ist, ggf. aufgrund der Kategorie der zu verarbeitenden Daten einer Einwilligung des Betroffenen und liegt diese Einwilligung nicht vor, ist eine Verarbeitung unrechtmäßig. Aufgrund des gesetzlichen Verbots der DSGVO, eine unrechtmäßige Verarbeitung vorzunehmen, kann sich eine notwendige Stilllegung aus rechtlichen Gründen, die in der DSGVO niedergelegt sind, ergeben. b) Stilllegung aus wirtschaftlichen Gründen Anders sieht es aus, wenn die datenschutzrechtlichen Voraussetzungen, die 672 nicht zwangsläufig in der Verarbeitung liegen und von der DSGVO oder dem BDSG gefordert werden, nicht erfüllt werden können. Ist beispielswei___________ 435) Vgl. Thole, ZIP 2018, 1007. 436) BAG, Urt. v. 15.11.2012 – 6 AZR 321/11, NZI 2013, 284. 437) Karsten Schmidt-Jungmann, InsO, § 158 Rn. 5.
193
I. Datenschutz im eröffneten Verfahren
se kein Datenschutzbeauftragter trotz bestehender Verpflichtung benannt oder liegt kein Verzeichnis von Verarbeitungstätigkeiten vor, so droht ein Bußgeld der Aufsichtsbehörde. Somit käme eine Stilllegung aus wirtschaftlicher Sicht in Betracht, da ein solches Bußgeld die Masse – sofern es nicht den Insolvenzverwalter selbst belastet – nicht unerheblich schädigen kann. Im Falle der Fortführung ist ein solches Bußgeld, wenn dieses auf den Zeitraum nach Verfahrenseröffnung bezogen ist, als sonstige Masseverbindlichkeit gemäß § 55 Abs. 1 Nr. 1 InsO einzuordnen, da die Ursache für den ordnungswidrigen Zustand eine Handlung oder eine Unterlassung des Insolvenzverwalters im Rahmen der Verwaltung oder Verwertung der Insolvenzmasse438) darstellt. Allerdings wird ebenso vertreten, dass die bloße Möglichkeit der Masseschädigung für eine Stilllegung nicht ausreichend ist.439) 673 Der Insolvenzverwalter ist gehalten, eine Stilllegung aus wirtschaftlichen Gründen auch unter insolvenzrechtlichen Maßstäben bereits genau zu prüfen, wenn er befürchten muss, dass seitens der Aufsichtsbehörde ein Bußgeld ausgesprochen werden könnte. Dies unter genauer Analyse des Risikos sowie der Eintrittswahrscheinlichkeit und letztlich durch Bewertung aller datenschutzrechtlichen Probleme. Der Insolvenzverwalter muss im Rahmen seines Ermessens beurteilen, wie hoch die Wahrscheinlichkeit ist, dass die Masse durch ein Bußgeld der Aufsichtsbehörde geschmälert werden könnte und letztlich auch in welchem Umfang. Für eine solche Beurteilung fehlt es aktuell aber an vergleichbaren Fällen. Praxistipp: Dem Insolvenzverwalter ist anzuraten, sofern er datenschutzrechtliche Unzulänglichkeiten bei den Verarbeitungstätigkeiten oder internen Datenschutzmaßnahmen des schuldnerischen Unternehmens feststellt, schnellstmöglich mit der Aufsichtsbehörde Kontakt aufzunehmen, um deren Ansichten zu eruieren. Wenn ein Gläubigerausschuss besteht, sollte dieser umgehend informiert werden, um notwendige Maßnahmen zur Entscheidung vorzulegen. Hier zeigt sich erneut, dass der Datenschutz letztlich in die insolvenzrechtlichen Gegebenheiten zu integrieren ist.
3. Sonderfall Eigenverwaltung 674 Für die Eigenverwaltung müssen in Bezug auf die Verantwortlichkeit andere Grundsätze gelten. Weder kann der vorläufige Sachwalter noch der spätere Sachwalter die Verarbeitungstätigkeiten entscheidend beeinflussen bzw. diese mitbestimmen. Der Sachwalter kann nicht unter den Begriff des „Verantwortlichen“ subsumiert werden, da dieser über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten (Art. 4 Nr. 7 DSGVO) nicht entscheidet, insbesondere hinsichtlich der Unternehmensdaten. ___________ 438) Nerlich/Römermann-Andres, InsO, § 55, Rn. 76. 439) Nerlich/Römermann-Balthasar, InsO, § 158, Rn. 14.
194
II. Haftung für „Altlasten“ und Weiterverarbeitung
Grundlegende Aufgabe des Sachwalters ist die Überwachung des Schuld- 675 ners,440) wie es sich aus § 274 Abs. 2 InsO ergibt. Er ist verpflichtet, die wirtschaftliche Lage und die Geschäftsführung zu prüfen und die Aufwendungen für die Lebensführung zu überwachen. Ähnlich wie bei der Begutachtung der steuerlichen Pflichten des Schuldners, bei der der Sachwalter nur eine beratende und überwachende Funktion erfüllt,441) muss es auch bei Fragen des Datenschutzes angenommen werden. Des Weiteren obliegt dem Sachwalter eine Anzeigepflicht (§ 274 Abs. 3 InsO) 676 gegenüber dem Gläubigerausschuss und Insolvenzgericht. Stellt der Sachwalter konkrete Tatsachen fest, die erwarten lassen, dass die Fortsetzung der Eigenverwaltung zu Nachteilen für die Gläubiger führen wird, hat er dies unverzüglich dem Gläubigerausschuss und dem Insolvenzgericht anzuzeigen.442) Drohen den Gläubigern aufgrund von Pflichtverletzungen des Schuldners oder Fehlern der Geschäftsführung Nachteile, so hat der Sachwalter diese konkreten Tatsachen dem Gericht oder dem Gläubigerausschuss gegenüber anzuzeigen. Erstattet der Sachwalter diese Anzeige nicht, verstößt er gegen seine Pflichten, was zu einer Haftung auf seiner Seite führen kann. Der Sachwalter ist verpflichtet, die wirtschaftliche Lage zu prüfen, nicht aber 677 die organisatorischen und strukturellen Unternehmensinterna. Somit ist der Sachwalter in Bezug auf seine Prüfungs- und Überwachungspflichten nicht angehalten, zu kontrollieren, ob alle öffentlichen Pflichten und somit auch die datenschutzrechtlichen Pflichten erfüllt werden. Sollten ihm allerdings Punkte bekannt werden, so müsste er den eigenverwaltenden Schuldner darauf hinweisen und beim Drohen von Nachteilen für die Gläubiger, diese Umstände dem Gericht anzeigen. 4. Fortführung nach Verfahrenseröffnung und interne Maßnahmen Die bisher genannten Punkte sind vom Insolvenzverwalter zu beachten, ins- 678 besondere bei den geschäftlichen Tätigkeiten des schuldnerischen Unternehmens. Er hat aber auch beim schuldnerischen Unternehmen für die internen Maßnahmen, die zum Teil bereits angesprochen wurden und durch ihn selbst bei der eigenen Unternehmensführung beachtet werden müssen, zusätzlich Sorge zu tragen. a) Benennung DSB Erfüllt das schuldnerische Unternehmen die Voraussetzungen, die eine Be- 679 nennung eines Datenschutzbeauftragten erfordert, muss ein solcher benannt sein (siehe Rn. 163 ff.). Notfalls muss der Insolvenzverwalter, wenn er feststellt, dass trotz der Erfordernisse kein Datenschutzbeauftragter benannt ist, ___________ 440) Karsten Schmidt-Undritz, InsO, § 274 Rn. 8. 441) Nerlich/Römermann-Riggert, InsO, § 274 Rn. 6. 442) Karsten Schmidt-Undritz, InsO, § 274 Rn. 12.
195
I. Datenschutz im eröffneten Verfahren
einen solchen selbst benennen. Dies kann natürlich ein interner oder auch externer Datenschutzbeauftragter sein. 680 Inwieweit der Insolvenzverwalter in der Lage ist, kurzfristig eine Benennung eines Datenschutzbeauftragten zu organisieren, hängt von der jeweiligen Situation und dem Einzelfall ab. Es muss geprüft werden, ob im Unternehmen entsprechende Mitarbeiter vorhanden sind, die für eine solche Aufgabe infrage kommen. Auch sollte bei der Entscheidung, ob ein interner oder externer Datenschutzbeauftragter benannt wird, der besondere Kündigungsschutz des Datenschutzbeauftragten beachtet werden, der auch grundsätzlich in der Insolvenz Bestand hat (siehe Rn. 174 ff.). Praxistipp: Stellt der Insolvenzverwalter fest, dass trotz einer bestehenden Verpflichtung ein Datenschutzbeauftragter im schuldnerischen Unternehmen noch nicht benannt ist, sollte er eine Benennung, wenn möglich, vornehmen. In diesem Fall und weil die zeitliche Komponente dies gebietet, wäre eine Benennung eines externen Dienstleisters als Datenschutzbeauftragter zu empfehlen. Auch könnte eine entsprechende Vertragsgestaltung die Besonderheit der Insolvenz mit einschließen und es können kurzfristige Lösungsklauseln vertraglich vorgesehen werden. Dies setzt natürlich voraus, dass ein Datenschutzbeauftragter kurzfristig in der Lage ist, diese Position zu übernehmen.
681 Gegebenenfalls sollte der Insolvenzverwalter solche Dienstleister zukünftig in seine Dienstleisterliste mit aufnehmen und diese bereits nach den Bestimmungen der GOI auswählen. b) Risikobetrachtung der datenschutzrechtlichen Grundlagen 682 Der Insolvenzverwalter sollte die Risikobetrachtung bezüglich der datenschutzrechtlichen Grundlagen im schuldnerischen Unternehmen genauso vornehmen, wie er es bereits in seinem eigenen Unternehmen getan hat. 683 Es ist zu prüfen, ob die Rechte der Betroffenen gewährleistet sind, die Verarbeitungstätigkeiten von personenbezogenen Daten den Grundsätzen des Datenschutzrechts gerecht werden und auch die technischen und organisatorischen Maßnahmen dem Stand der Technik entsprechen und ebenso umgesetzt werden. Gegebenenfalls sind diese anzupassen oder zu verbessern. Dabei ist anzumerken, dass wirtschaftliche Gründe einer datenschutzkonformen Verarbeitung nicht entgegenstehen können. c) Prüfung Verzeichnis und Datenschutzmanagement 684 Wenn ein Verzeichnis von Verarbeitungstätigkeiten vorliegt und auch ein entsprechend gepflegtes Datenschutzmanagement, sind diese eine große Hilfe für den Insolvenzverwalter, um sich einen Überblick über die jeweilige Situation machen zu können.
196
II. Haftung für „Altlasten“ und Weiterverarbeitung
Insbesondere bei dem Verarbeitungsverzeichnis handelt es sich um ein nicht 685 zu unterschätzendes und effektives Instrument443) zur Umsetzung des modernen Datenschutzrechts, letztlich aber auch zur Erleichterung für die Insolvenzkanzlei444) oder gar als Exkulpation445) gegenüber der Aufsichtsbehörde. Das Verzeichnis sollte auf Richtigkeit und Vollständigkeit geprüft werden. 686 Eventuell muss der Insolvenzverwalter bzw. der benannte Datenschutzbeauftragte Angleichungen und Aktualisierungen vornehmen, um ein Verzeichnis, wie es notwendig ist, vorliegen zu haben. Häufig wird es aber vorkommen, dass ein solches Verzeichnis nicht existiert. Dann ist der Insolvenzverwalter als Verantwortlicher gefordert, ein Verzeichnis zu erstellen bzw. erstellen zu lassen. Praxistipp: Insbesondere folgende Punkte können und sollten ausgehend von einem Verarbeitungsverzeichnis berücksichtigt werden.446) Denn hierbei handelt es sich um die Essentialia des „neuen“ Datenschutzrechts: A. Rechenschafts-/Dokumentationspflicht, insbesondere x Integrität bzw. Vertraulichkeit – Hardware oder/und – Software betreffend, also auch – TOM x Zulässigkeit der Verarbeitung x Zweckbindung x Datensparsamkeit bzw. -minimierung x Datenrichtigkeit x ggf. Speicherbegrenzung bzw. Löschungsroutinen etc. B. Datenschutz-Folgeabschätzung C. Gegebenenfalls Auftragsverarbeitung Insbesondere je nach schuldnerischer EDV-/Datenstruktur ergibt sich ggf. auch für den Insolvenzverwalter über Vorstehendes hinausgehend Anpassungs-/ Ergänzungsbedarf. Im Zweifel ist dem Insolvenzverwalter daher eine – relativ – ausführliche Einzelfallbetrachtung unter Einbeziehung der IT-ler des Unternehmens sowie seines/eines externen Datenschutzbeauftragten etc. anzuraten.
Selbiges gilt für das Datenschutzmanagementsystem. Liegen entsprechende 687 Prozesse, Abläufe und Dokumentationen vor, sind diese auf Vollständigkeit ___________ 443) 444) 445) 446)
Gossen/Schramm, ZD Sonderausgabe 2017, 20. Insbesondere bei Auskunftsbegehren. Zum Beispiel bei Schadensersatz- oder sonstigen Ansprüchen. Ausführlich dazu Gossen/Schramm, ZD Sonderausgabe 2017, 23 ff. m. w. N.
197
I. Datenschutz im eröffneten Verfahren
zu kontrollieren. Eine Neuerstellung und Einführung eines Datenschutzmanagementsystems inkl. der jeweiligen Prozesse und Dokumentationsmöglichkeiten ist in der sehr begrenzten Zeit vermutlich kaum möglich. 688 Hier sollte der Insolvenzverwalter hilfsweise ein schlankes System erstellen, das ihm eine Dokumentation bequem ermöglicht. Er sollte außerdem die jeweiligen Arbeitsabläufe über Checklisten verankern. Diese Checklisten sollten die Vorgehensweisen widerspiegeln, wie sie z. B. bei der Erfüllung der Informationspflichten vorgenommen werden. Darüber hinaus sollte der Insolvenzverwalter festlegen, welche Arbeitsschritte innerhalb des fortgeführten Unternehmens erforderlich sind, um eine Datenpanne innerhalb der 72-StundenFrist gemäß Art. 33 DSGVO vollständig der Aufsichtsbehörde melden zu können. Weiterhin sind Zuständigkeiten und Verantwortlichkeiten entsprechend zu verteilen. 689 Verständlicherweise kann so ein abgestuftes Datenschutzmanagementsystem nicht alle Erfordernisse des Datenschutzrechts erfüllen. Aber es ist stark anzunehmen, dass die Aufsichtsbehörde auch die insolvenzrechtliche Situation würdigt und den Umstand berücksichtigt, dass dem Insolvenzverwalter nur begrenzte Zeit und Mittel zur Verfügung stehen. Die mildernden Umstände gemäß ErwGr. 148 DSGVO sollten in diesen Fällen zur Anwendung kommen, da die Aufsichtsbehörde das Bemühen des Insolvenzverwalters in ihre Überlegungen mit einbeziehen sollte. 5. Sanierung des schuldnerischen Unternehmens 690 Die „Königsdisziplin“ innerhalb eines Insolvenzverfahrens für den Insolvenzverwalter ist die Sanierung des schuldnerischen Unternehmens. Aufgrund des auf den Sanierungsgedanken und den Sanierungserfolg gerichteten Fokus fand der Datenschutz bei dieser Sanierung bisher nur wenig Beachtung.447) Diese Einstellung ändert sich aktuell, was nicht zuletzt auf die drohenden Bußgelder seit Inkrafttreten der DSGVO zurückzuführen ist, aber auch aufgrund vereinzelter Bußgeldverfahren mit entsprechenden Bußgeldern in der jüngeren Vergangenheit. 691 Auf die Sanierung des schuldnerischen Unternehmens hat die DSGVO in bestimmten Situationen großen Einfluss. Dieser Einfluss ist aber nicht zwingend größer, als er vor dem Inkrafttreten der DSGVO bestand, da die grundsätzlichen Regelungen bereits im alten BDSG verankert waren. Lediglich die Höhe der möglichen negativen Konsequenzen bei Nichtbeachtung dieser Regeln hat sich exorbitant erhöht. 692 Das BayLDA hat im Jahr 2015 einen Insolvenzverwalter und den Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten, mit einem erheblichen Bußgeld be___________ 447) Eckhardt, ZInsO 2016, 1917.
198
II. Haftung für „Altlasten“ und Weiterverarbeitung
legt.448) Bei dem streitgegenständlichen Asset Deal, welcher noch unter den Geltungsbereich des BDSG a. F. fiel, wurden Kundendaten übertragen, insbesondere auch die E-Mail-Adressen der Kunden. Die Ansichten der Aufsichtsbehörde werden bei der Bewertung in den Fällen der benötigten Interessenabwägung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO vermutlich Bestand haben. Gemäß dem vorliegenden anonymisierten Bußgeldbescheid449) war die Über- 693 mittlung der E-Mail-Adressen an den Erwerber unzulässig, da seitens der Kunden keine Einwilligungen vorlagen und die Übermittlung auch nicht auf eine andere Rechtsvorschrift gestützt werden konnte. Gemäß der Ansicht des BayLDA ist eine Übermittlung von Telefonnummern, E-Mail-Adressen, Konto oder Kreditkartendaten oder auch Kaufhistorien nur zulässig, wenn die Betroffenen in die Übermittlung dieser Daten eingewilligt haben oder diesen im Vorfeld ein entsprechendes Widerspruchsrecht eingeräumt wurde.450) Liegt aufseiten des Erwerbers ein reines Werbeinteresse an den Daten vor, 694 ergibt sich für E-Mail-Adressen und Telefonnummern ein weiteres Problem, dass diese Daten nur nach vorheriger ausdrücklicher Werbeeinwilligung des Betroffenen zu Werbezwecken genutzt werden können gemäß § 7 Abs. 2 Nr. 2, 3 UWG. Ein eingeräumtes Widerspruchsrecht kann auch die Hürde des UWG nicht nehmen. Hier bedarf es definitiv einer vorherigen Einwilligung. Auch der TLfDI hat laut seinem 3. Tätigkeitsbericht zum Datenschutz zum 695 nichtöffentlichen Bereich einen Vorgang untersucht, der eine Übertragung von Kundendaten durch einen Insolvenzverwalter auf einen Erwerber zum Gegenstand hatte.451) Der Insolvenzverwalter wurde unter Verweis auf § 38 Abs. 3 BDSG a. F. durch den TLfDI zur Stellungnahme aufgefordert. Der Insolvenzverwalter sollte darlegen, welche Unterlagen und PCs mit personenbezogenen Daten bei der Insolvenzabwicklung an den Erwerber übertragen wurden, auf welcher Rechtsgrundlage diese Übertragung erfolgte und ob die Betroffenen vorab in die Datenübermittlung eingewilligt hatten. Dieser Anweisung folgte der Insolvenzverwalter und es stellte sich heraus, dass keine datenschutzrechtlichen Vorschriften bei der Übertragung verletzt wurden. Auch im 2. Tätigkeitsbericht zum Datenschutz im nichtöffentlichen Bereich 696 2014/2015 teilte der TLfDI mit, dass gegen einen Insolvenzverwalter einer Apotheke aufgrund der unbefugten Verarbeitung personenbezogener Daten ein Bußgeldverfahren eingeleitet wurde.452) Dieser hatte alle Kunden- und Be___________ 448) Pressemitteilung des BayLDA v. 30.7.2015, https://www.lda.bayeRn.de/media/ pm2015_10.pdf (Stand: 5.10.2018). 449) Siehe anonymisierten Bußgeldbescheid im Anhang. 450) Pressemitteilung des BayLDA v. 30.7.2015, https://www.lda.bayeRn.de/media/ pm2015_10.pdf (Stand: 5.10.2018). 451) TLfDI, 3. TB LfDI Thüringen 2016/2017, S. 48. 452) TLfDI, 2. TB LfDI Thüringen 2014/2015, S. 353.
199
I. Datenschutz im eröffneten Verfahren
stelldaten an einen Erwerber veräußert. Auch der Umstand, dass eine Veräußerung i. S. d. Insolvenzgläubiger sei und sich aus der Aufgabe des Insolvenzverwalters zur Massemehrung ergibt, ändert nichts an einem Verstoß gegen die datenschutzrechtlichen Regelungen.453) Der TLfDI vertritt dabei die Ansicht, dass der Insolvenzverwalter dieselben datenschutzrechtlichen Regeln zu beachten hat wie das schuldnerische Unternehmen. Besondere datenschutzrechtliche Regeln oder eben Ausnahmen von diesen, bestehen unter Beachtung des BDSG a. F. für den Insolvenzverwalter nicht. Auch die DSGVO und das BDSG sehen Erleichterungen für das Insolvenzrecht bis dato nicht vor. 697 Aufgrund der im Raum stehenden Bußgelder, die gemäß Art. 83 DSGVO erhoben werden können und gegenüber dem Verantwortlichen erhoben werden, sowie der Gefahr, sich Schadensersatzforderungen von Betroffen ausgesetzt zu sehen, sollten die Regelungen bestmöglich beachtet werden. Des Weiteren ist zu erwarten, dass die Bestellpraxis des Gerichts beeinflusst wird, wenn Verstöße gegen die Datenschutzvorschriften bei einer Sanierung auftreten. 698 Und letztlich schweben die Strafvorschriften des § 42 BDSG wie ein Damoklesschwert über dem Insolvenzverwalter. Unter anderem heißt es dort: „Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, 1. ohne hierzu berechtigt zu sein, verarbeitet oder 2. durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.“ (§ 42 Abs. 2 BDSG).
699 Dieser Gefahr sollte sich der Insolvenzverwalter bewusst sein, auch wenn aktuell anzunehmen ist, dass diese Vorschrift einen sehr begrenzten Anwendungsbereich hat. a) Insolvenzplan 700 Unproblematisch ist das Planverfahren bei der Betrachtung der Sanierung und insbesondere dem Übergang von Daten auf den Übernehmer. Beim Planverfahren bleibt der Verantwortliche grundsätzlich gleich, die Rechtspersönlichkeit ändert sich nicht. Bei einer GmbH, die über einen Insolvenzplan saniert werden soll, ist die GmbH bereits vor Verfahrenseröffnung der Verantwortliche und bleibt es auch nach Zustimmung zum Plan. 701 In diesem Fall liegt keine Übertragung von Daten bei einer Sanierung vor.454) Dieser Umstand könnte auch zu einer Renaissance des Insolvenzplans führen. Bis dato sind die vorwiegenden Gründe, eine juristische Person per Insolvenzplan zu sanieren, die Umstände, dass bestimmte Vertragsverhältnisse ___________ 453) TLfDI, 2. TB LfDI Thüringen 2014/2015, S. 353. 454) So i. E. auch Woltersdorf, INDat Report 02/2018, 12 f.
200
II. Haftung für „Altlasten“ und Weiterverarbeitung
erhalten bleiben sollen bzw. vorliegende Genehmigungen nicht auf einen Dritten übertragbar sind. Jetzt könnte auch das Datenschutzrecht als Grund hinzutreten. Für ein Un- 702 ternehmen, das eine rechtmäßig erstellte Kundendatenbank sein eigen nennt, für das eine Übertragung dieser Datenbank aber datenschutzrechtlich problematisch ist, könnte die Lösung und Sanierung durch einen Insolvenzplan eine sehr gute Möglichkeit darstellen. b) Share Deal Ebenso wie beim Insolvenzplan ist eine Sanierung mithilfe von Share Deal 703 größtenteils unproblematisch, da die datenschutzrechtlichen Fragestellungen nicht aufgeworfen werden.455) Die Verwertung personenbezogener Daten trifft bei der übertragenden Sanierung mithilfe eines Share Deals und umwandlungsrechtlichen Maßnahmen auf geringe datenschutzrechtliche Hürden.456) Bei dieser Übertragung wird der Rechtsträger nicht verändert, da bei einem Share Deal, bei dem lediglich die Inhaberschaft wechselt, das Unternehmen und damit der Verantwortliche im Datenschutzsinn nicht verändert wird.457) c) Übertragende Sanierung mit Asset Deal Der Asset Deal allerdings, bei dem Teile des schuldnerischen Unternehmens 704 auf einen anderen Rechtsträger übertragen werden sollen, muss den Insolvenzverwalter zur Bewertung der verschiedenen datenschutzrechtlichen Fragen veranlassen. Dies gilt vor allem, wenn Gegenstand des Asset Deals oder zumindest eines Teils die Übertragung von Kundendaten ist oder auch andere personenbezogene Daten betroffen sind. Dass die Aufsichtsbehörden diese Problematik, besonderes bei der übertragenden Sanierung im Insolvenzfall, ebenfalls bereits erkannt haben, davon zeugen die in den Tätigkeitsberichten benannten Fälle. Wenn die Kundendaten einer natürlichen Person im Rahmen eines Asset Deals 705 übergehen, dann handelt es sich dabei um eine Übermittlung und somit um eine Verarbeitung dieser Daten. Meist sind die Daten als personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO einzustufen. Die Daten, sofern es sich um personenbezogene Daten handelt, dürfen nur unter datenschutzrechtlichen Vorgaben übermittelt werden. Erforderlich ist entweder die (vorherige) Einwilligung der betroffenen Kunden oder aber eine anderweitig gesetzlich normierte Erlaubnis. Datenschutzrechtlich relevant sind in diesem Zusammenhang personenbezo- 706 gene Daten, wobei die Übermittlung von Namen, Postanschrift, Beruf und ___________ 455) Eckhardt/Menz, ZInsO 2016, 1919. 456) Berberich/Kanschik, NZI 2017, 10. 457) Hartung, ZInsO 2011, 1236; zustimmend Beyer/Beyer, NZI 2016, 241; Eckhardt, ZInsO 2016, 1919.
201
I. Datenschutz im eröffneten Verfahren
Geburtsjahr aufgrund des sog. „Listenprivilegs“ nach den Vorgaben des BDSG a. F. bis zum 25.5.2018 (vgl. § 28 Abs. 3 BDSG a. F.) in vielen Fällen überwiegend unproblematisch war. Dieses Listenprivileg gibt es in der DSGVO nicht mehr und findet demzufolge seit dem Inkrafttreten keine Anwendung mehr. 707 Daten, die zur Erfüllung noch nicht abgeschlossener Verträge zwingend erforderlich sind, können – allein zu diesem Zweck – übertragen werden, sofern eben diese Verträge Bestandteil des Asset Deals sind. Weiterhin unproblematisch ist die Übertragung auf Grundlage einer Einwilligung des Betroffenen, nur die Einwilligung an sich einzuholen ist meist für den Insolvenzverwalter problematisch. 708 Sollte keine Einwilligung bzw. keine wirksame Einwilligung des Betroffenen vorliegen, kommt eine Übertragung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO unter Beachtung der Interessenabwägung und den Umständen des jeweiligen Einzelfalls in Betracht. Ebenso ist zu prüfen ob eine Zweckänderung vorliegt, die mit dem ursprünglichen Zweck, wozu die Daten erhoben wurden, vereinbar ist. Sollte man nach der jeweiligen Abwägung der Interessen und der Prüfung bezüglich der Vergleichbarkeit des Zweckes zum Ergebnis gelangen, dass eine Übertragung i. S. d. genannten Vorschrift möglich ist, bedarf es keiner vorherigen Einwilligung des Betroffenen, ggf. aber zur Sicherheit der Nutzung einer Widerspruchslösung. 709 Sind keine besonders schutzwürdigen Daten betroffen und kann das berechtigte Interesse auf eine Fortführung des Unternehmens gestützt werden, dürfte eine Interessenabwägung i. d. R. zugunsten des Insolvenzverwalters bzw. zugunsten der Gläubiger ausfallen. Hierbei findet auch Berücksichtigung, dass die Kunden bewusst ihre Daten dem schuldnerischen Unternehmen gegeben haben. Wenn das berechtigte Interesse des Verantwortlichen (Insolvenzverwalter, in diesem Fall bestmögliche Verwertung und Gläubigerbefriedigung) und ggf. die berechtigten Interessen der Dritten (Erwerber sowie der Mitarbeiter auf Unternehmensfortführung) belegbar vorhanden sind, dürften diese i. d. R. gegenüber dem berechtigten Interesse der Betroffenen auf Selbstbestimmung im Umgang mit den Daten überwiegen. Dies gilt zumindest dann, wenn die Verarbeitung der personenbezogenen Daten wenigstens unter denselbigen Schutzmaßnahmen und i. S. d. der ursprünglich zulässigen Erhebung stattfindet. 710 Da dies aber höchstrichterlich nicht entschieden ist und auch die Aufsichtsbehörden einer eher harten Linie den Vorzug geben, wäre es ratsam, nach Möglichkeit die Widerspruchslösung zu nutzen, sofern die entsprechenden Angaben für eine faire und transparente Information der Betroffenen vorgenommen werden können. Noch besser wäre es, die Einwilligung des Kunden einzuholen. Dies ist natürlich in den meisten Fällen neben der Problematik der fairen und transparenten Information des Betroffenen nicht praktikabel
202
II. Haftung für „Altlasten“ und Weiterverarbeitung
und auch zeitraubend. Aber das Datenschutzrecht gibt dem Insolvenzverwalter Lösungsmöglichkeiten an die Hand, die dieser nutzen kann. aa) Übertragung mit Vertragsübernahme Wie bereits erwähnt ist eine Übertragung von personenbezogenen Daten im 711 Rahmen einer Vertragsübernahme durch den Erwerber unproblematisch. Es dürfen selbstredend dabei nur die Daten übertragen werden, die für die Vertragsdurchführung notwendig sind. Ebenso dürfen die Daten der Betroffenen durch den Erwerber nur zur Zweckerfüllung, also zur Leistungserbringung oder zur Erfüllung des Vertrages genutzt werden. Einer Einwilligung oder expliziten Information der Betroffenen im Rahmen einer Widerspruchslösung bedarf es nicht. Werden etwa personenbezogene Daten (von Kunden und/oder Lieferanten) 712 übertragen, zu denen eine aktive Vertragsbeziehung besteht, und auch die laufenden Verträge durch den Erwerber übernommen, dann muss ohnehin nach zivilrechtlichen Grundsätzen die Zustimmung des Betroffenen zur Vertragsübernahme eingeholt werden.458) Datenschutzrechtlich bedarf es für diese Fälle keines weiteren Schutzes, zumal die Vertragsbeziehung nicht gegen den Willen des Betroffenen übertragen werden kann459). Dies gilt natürlich nur für die dem Vertrag immanenten Daten. Eine Infor- 713 mation der Betroffenen muss nach Übertragung durch den Erwerber aufgrund des Art. 14 DSGVO erfolgen. Auch bedarf es der Zustimmung des Vertragspartners nach den zivilrechtlichen Vorschriften, dass der Vertrag durch den Erwerber fortgeführt werden kann. Sofern das sog. Kopplungsverbot gemäß Art. 7 Abs. 4 DSGVO beachtet wird, können auch mit dieser Information zeitgleich weitere Einwilligungen zur Verarbeitung der Daten eingeholt werden.460) Das Kopplungsverbot461) gebietet es z. B., keine Daten zu verarbeiten, die 714 für einen Vertrag oder sonstigen Zweck gar nicht benötigt werden. Darüber hinaus aber auch, diese weiterführenden Einwilligungen nicht von der Leistungserbringung abhängig zu machen. Auch sollten mit Sicht auf den Transparenzgrundsatz, die weiterführenden Einwilligungen klar von den anderen Informationen getrennt sein. Hier ist bestenfalls ein separater Bereich zu nutzen, der auch ausdrücklich gekennzeichnet ist und dem unmissverständlich zu entnehmen ist, dass eine weiterführende Einwilligung oder eben die Nichtabgabe der Einwilligung z. B. zu Werbezwecken, keinen Einfluss auf den ursprünglichen Vertrag und die Leistungserbringung hat. ___________ 458) 459) 460) 461)
Eckhardt/Menz, ZinsO 2016, 1920. Berberich/Kanschik, NZI 2017, 8. Zustimmend Eckerhardt/Menz, ZinsO 2016, 1920; Berberich/Kanschik, NZI 2017, 8. Dazu auch Henke/Lührig/Härtig, Das Projekt Datenschutz, AnwBl. 5/2018, 263, 265.
203
I. Datenschutz im eröffneten Verfahren
715 Auch die Weitergabe von Beschäftigtendaten stellt nach dem Signing des Kaufvertrages, der einen Betriebsübergang i. S. d. § 613a BGB darstellt, kein Problem dar. Dem Erwerber muss die Möglichkeit gegeben werden, seinen rechtlichen Verpflichtungen nachkommen zu können. Er muss die Arbeitnehmer, die aufgrund der gesetzlichen Bestimmung auf ihn übergehen, sowohl in seine Lohnbuchhaltung einpflegen als auch bei den jeweiligen Institutionen anmelden. Dies ist für einen nahtlosen Übergang der Arbeitsverhältnisse462) und somit auch für die Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG notwendig. Teilweise vertretene Meinungen, dass eine Übertragung der Daten der Arbeitnehmer erst nach Ablauf der gesetzlichen Widerspruchsfrist gemäß § 613a Abs. 6 BGB vorgenommen werden darf,463) sind abzulehnen. Denn insbesondere bei einer fehlerhaften Belehrung ist der Zeitraum für einen Widerspruch deutlich ausgedehnt.464) Auch ist mit Übergang der Beschäftigungsverhältnisse auf die Erwerbergesellschaft, diese nicht mehr als Dritte anzusehen, sondern als Arbeitgeberin selbstverständlich zur Datenverarbeitung berechtigt.465) Beispiel: Ein Verfahren über eine Gas-Wasser-Installateur GmbH wurde eröffnet. Der vorläufige Insolvenzverwalter hat das Unternehmen im Antragsverfahren fortgeführt und stabilisiert. Es gibt einen Interessenten, der den Geschäftsbetrieb im Rahmen eines Asset Deals übernehmen möchte und zeitgleich aufgrund des § 613a BGB alle Arbeitnehmer übernimmt. Der Insolvenzverwalter stellt sich nunmehr die Frage, ob eine Übertragung der Kundendaten und Lieferantendaten möglich ist. Bei den Kundendaten handelt es sich sowohl um Einmalkunden, die in regelmäßigen Abständen entsprechend ihrer wirksamen Einwilligung Informationen des schuldnerischen Unternehmens erhalten, sowie um Kundedaten von Bestandskunden, mit denen die Gas-WasserInstallateure GmbH Wartungsverträge abgeschlossen hat. Der Interessent möchte die Wartungsverträge fortführen und will diese Verträge übernehmen. Unabhängig von der zivilrechtlichen Betrachtung einer solchen Vertragsübernahme muss der Insolvenzverwalter sich überlegen, welche Daten er übertragen kann. Nach Rücksprache mit seinem Datenschutzbeauftragten kommt der Insolvenzverwalter zum Schluss, dass die vertragsrelevanten Daten, die der Interessent für die Fortführung der Verträge benötigt, gemäß Art. 6 Abs. 1 Satz 1 lit. b) DSGVO verarbeitet und somit übertragen werden dürfen. Da sich der ursprüngliche Zweck, wozu die Daten erhoben wurden, nicht verändert hat und weiterhin die ___________ 462) Ascheid/Preis/Schmidt-Steffan, Kündigungsrecht, § 613a BGB Rn. 269. 463) Däubler, RDV 2004, 57; Regierungspräsidium Darmstadt, Datenschutzaufsicht im nichtöffentlichen Bereich, Tätigkeitsbericht für 2008, S. 48; Selk, RDV 2009, 257. 464) Hartung, ZInsO 2011, 1236. 465) Göpfert/Meyer, NZA 2011, 485.
204
II. Haftung für „Altlasten“ und Weiterverarbeitung
Wartungsverträge erfüllt werden sollen, ist eine Übertragung dieser Daten rechtmäßig. In diesem Zusammenhang kommt sogar die Übertragung der E-MailAdressen und Telefonnummern in Betracht, wenn diese für die Vertragserfüllung notwendig sind. Dies wäre z. B. der Fall, wenn die Rechnungslegung ausschließlich elektronisch erfolgt und diese per E-Mail immer versendet wird. Findet eine kurzfristige Terminvereinbarung i. d. R. über die Telefonnummer des Kunden statt oder wird diese für Rückfragen der Monteure benötigt, so können auch diese Daten als für die Vertragserfüllung notwendige Daten angesehen werden. Selbstredend dürfen diese Daten auch nur zu den jeweiligen Zwecken verwendet werden, sofern sich der Interessent keine weitergehende rechtmäßige Einwilligung der Kunden besorgt. bb) Übertragung mit Einwilligung Der für den Insolvenzverwalter mit dem geringsten Risiko verbundene Weg, 716 zumindest im Verhältnis zur Aufsichtsbehörde, wäre eine Übertragung der personenbezogenen Daten mit Einwilligung der Betroffenen. Gleichzeitig stellt dies aber auch für den Insolvenzverwalter in den meisten Verfahren eine schier unlösbare Aufgabe dar. (1) Einwilligung Die Definition in Art. 4 Nr. 11 DSGVO sieht vor, dass eine Einwilligung in 717 jeder freiwilligen, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebenen Willensbekundung in Form einer Erklärung oder sonstigen eindeutig bestätigten Handlung liegen kann. Die Einwilligung kann in schriftlicher Form, elektronisch oder auch in mündlicher Form erfolgen (ErwGr. 32 Satz 1 DSGVO). Dabei ist es u. a. ausreichend, dass die Einwilligung durch Bestätigen eines Kästchens auf einer Internetseite (Opt-in) oder durch eine andere Erklärung oder Verhaltensweise erfolgt, mit der der Betroffene sein eindeutiges Einverständnis zur Verarbeitung abgibt (ErwGr. 32 Satz 2 DSGVO). Dahingegen ist das Stillschweigen, ein bereits angekreuztes Feld (Opt-out) oder eine einfache Untätigkeit des Betroffenen nicht ausreichend für eine wirksame Einwilligung gemäß der DSGVO (ErwGr. 32 Satz 3 DSGVO). Die Einwilligung muss vor der jeweiligen Verarbeitung eingeholt werden466) 718 und ist eine höchstpersönliche Erklärung des Betroffenen,467) sofern dieser einwilligungsfähig ist. Eine Einwilligungsfähigkeit eines Kindes sieht die DSGVO erst nach Vollendung des sechzehnten Lebensjahres vor (Art. 8 Abs. 1 Satz 1 DSGVO). Für eine rechtmäßige Verarbeitung bedarf es in diesem Fall der Zustimmung der Eltern. Von der in Art. 8 Abs. 1 DSGVO enthaltenen Konkretisierungsklausel, in den Mitgliedstaaten eine niedrigere Altersgrenze ___________ 466) Paal/Pauly-Ernst, DS-GVO/BDSG, Art. 4 DSGVO Rn. 64. 467) Zustimmend Hoffmann, NZS 2017, 808.
205
I. Datenschutz im eröffneten Verfahren
umzusetzen, hat der deutsche Gesetzgeber keinen Gebrauch gemacht, sodass die Vollendung des 16. Lebensjahres auch in Deutschland als Bezugspunkt für eine wirksame Einwilligung bei Minderjährigen dient. 719 Für die Einwilligung sind die Bedingungen des Art. 7 DSGVO zu beachten. Die Einwilligung muss den Betroffenen umfassend über die beabsichtigte Verarbeitung informieren, muss freiwillig erfolgen und ebenso den Verantwortlichen genau benennen. Bei Einholung der Einwilligung zur Übertragung gehört es ebenso dazu, den Erbwerber als den nach der Übertragung als Verantwortlichen anzusehenden Dritten explizit zu benennen. Bereits nach dem BDSG a. F. war es Grundvoraussetzung der Einwilligung zur Übertragung, dass dem Betroffenen mitgeteilt wird, wer seine Daten an wen zu welchem Zweck überträgt.468) An diesen Bedingungen hat sich auch nach Inkrafttreten der DSGVO nicht viel geändert, diese sind eher noch umfassender geworden, insbesondere bei der Betrachtung der Transparenz und der Freiwilligkeit (siehe Kopplungsverbot). Des Weiteren sollte dem Betroffenen ebenso mitgeteilt werden, dass die Übertragung im Rahmen eines Insolvenzverfahrens stattfindet und die Daten im Anschluss an die Übertragung oder auch bei Nichtabgabe einer Einwilligung beim schuldnerischen Unternehmen gelöscht werden.469) 720 Es muss ein Hinweis ergehen, dass der Betroffenen nicht verpflichtet ist, seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten abzugeben. Weiterhin ist er zeitgleich über die Konsequenzen zu unterrichtet, die eine Nichterteilung der Einwilligung mit sich bringen. 721 Gemäß Art. 7 Abs. 3 Satz 3 DSGVO bedarf es außerdem der vorherigen Belehrung des Betroffenen über das Bestehen eines jederzeitigen Widerrufsrechts. Allerdings hat ein solcher Widerruf der Einwilligung nur Auswirkungen für die Zukunft. Somit ist der Umstand des Widerrufs für die Übertragung unerheblich, wenn dieser nicht im Zeitpunkt zwischen Erteilung und Übertragung erfolgt. Ein Widerruf der Einwilligung nach erfolgter Übertragung hat auf diesen Vorgang keinerlei Auswirkungen mehr. (2) Probleme bei der Einwilligungseinholung 722 Nichtsdestotrotz stellt der Versuch einer Übertragung mithilfe der Einwilligung des Betroffenen den Insolvenzverwalter vor eine Reihe von Problemen. Die Einholung einer Einwilligung für die Übermittlung im Rahmen des Unternehmensverkaufs ist zwar theoretisch möglich, für den Insolvenzverwalter wird sie aber kaum praktikabel sein.470) Zum einen ist der zeitliche Aspekt ausschlaggebend, zum anderen der nicht zu unterschätzende Aufwand, sowohl zeitlich als auch materiell alle Betroffenen aufzufordern, eine Einwilligung zur Übertragung abzugeben. ___________ 468) Eckhardt/Menz, ZInsO 2016, 1920. 469) Vgl. Eckhardt/Menz, ZInsO 2016, 1920. 470) Beyer/Beyer, NZI 2016, 242.
206
II. Haftung für „Altlasten“ und Weiterverarbeitung
Der Insolvenzverwalter ist in Anbetracht der zeitlichen Komponente eines 723 Insolvenzverfahrens gehalten, eine schnelle Lösung zu finden. Ihm ist es i. d. R. nicht möglich, die Rückläufer bezüglich der Einwilligungen abzuwarten. Wie die Erfahrung zeigt, sind die Eingänge entsprechender Einwilligungen eher spärlich gesät. Im Zweifel ist auch ein mehrfaches Nachfassen notwendig, um eine Reaktion des Betroffenen zu erhalten. Dabei ist weiterhin davon auszugehen, dass nur ein geringer Teil der Betroffenen eine entsprechende Einwilligung abgibt.471) Ein weiteres Problem für den Insolvenzverwalter ist es, eine wirksame Ein- 724 willigung der Betroffenen zu erhalten und diese entsprechend nachweisbar zu dokumentieren. Der Verantwortliche, in dem Fall der Übertragung von personenbezogenen Daten der Insolvenzverwalter, trägt gemäß Art. 7 Abs. 1 DSGVO die Beweislast, dass eine wirksame Einwilligung durch den Betroffenen zum Zeitpunkt der Übertragung vorlag. Auch die Beweislast ist Ausdruck der bestehenden Rechenschaftspflicht des Verantwortlichen gemäß Art. 5 Abs. 2 DSGVO. Das führt im Umkehrschluss dazu, dass eine mündlich erteilte Einwilligung, wie sie gemäß ErwGr 32 grundsätzlich möglich ist, den Insolvenzverwalter vor gewisse Nachweisprobleme stellen wird. Bei einer Einwilligungslösung für Onlineangebote ist das zwischenzeitlich 725 etablierte Double-Opt-In-Verfahren als ein gangbarer Weg anzusehen.472) Bei diesem Verfahren im Onlinebereich wird nach der Erklärung der Einwilligung, z. B. durch Aktivieren eines Feldes durch den Betroffenen, eine nachfassende E-Mail mit einem zusätzlichen Bestätigungslink an den Betroffenen gesendet. Somit können im Nachhinein etwaige Vorwürfe des Betroffenen entkräftet werden, dieser habe nicht persönlich seine Einwilligung erteilt. Letztlich ist es oft so, dass der mögliche Erwerber so lange wie möglich Ver- 726 traulichkeit bewahrt haben will. Eine transparente Information, auf deren Grundlage der Betroffene eine wirksame, freiwillige und informative Einwilligung abgeben kann ist nur möglich, wenn der Betroffene über alle Umstände der Verarbeitung auch umfassend in Kenntnis gesetzt wurde. Hierzu gehört auch die genaue Benennung des Erwerbers und späteren Verantwortlichen. Die pauschale Benennung des Unternehmens oder eines möglichen Kreises von potenziellen Erwerbern würde den Grundsatz der Transparenz nicht ausreichend würdigen.473) (3) Erfordernis der Einwilligung für bestimmte Daten Für die Verarbeitung und somit auch für die Übertragung bestimmter Daten 727 bzw. Datenkategorien bedarf es dem Gesetz nach einer ausdrücklichen Ein___________ 471) Zustimmend Eckhardt/Menz, ZInsO 2016, 1920. 472) Paal/Pauly-Frenzel, DS-GVO/BDSG, Art. 7 DSGVO Rn. 6; Plath-Plath, BDSG/ DSGVO, Art. 7 Rn. 4. 473) Vgl. Eckhardt/Menz, ZInsO 2016, 1920.
207
I. Datenschutz im eröffneten Verfahren
willigung. Die Daten dürfen auch nur unter sehr engen Grenzen bei Vorliegen einer Rechtsgrundlage verarbeitet werden. Hierzu zählen die in Art. 9 DSGVO aufgezählten Kategorien von personenbezogenen Daten. 728 Des Weiteren fallen Daten darunter, die als sog. „TMG-Daten“ zu betrachten sind bzw. waren. Bei diesen Daten handelt es sich um Nutzerdaten gemäß § 13 TMG, die z. B. für den Login auf einem Onlineportal benötigt werden. Die Verarbeitung der personenbezogenen technischen Nutzungsdaten werden aktuell im TMG geregelt. Das TMG ist bisher nicht an die DSGVO angepasst und daher bestehen Unsicherheiten in Bezug auf die Anwendungen dieser Regelung bei einer datenschutzrechtlichen Betrachtung. 729 Die erwartete E-Privacy-Verordnung, die den Umgang mit den bisherigen TMG-Daten regeln soll, ist bis dato noch nicht verabschiedet worden. Vor diesem Hintergrund ist zu empfehlen, die bisher geltenden Regeln anzuwenden und somit für die Nutzerdaten eine entsprechende Einwilligung einzuholen. 730 Demzufolge benötigt der Insolvenzverwalter für bestimmte Arten von Daten oder Datenkategorien eine Einwilligung des Betroffenen mit all den genannten damit einhergehenden Problemen. Insbesondere bei einer Übertragung von besonderen Kategorien von personenbezogenen Daten ist der Insolvenzverwalter gefordert und sitzt praktisch zwischen „Baum und Borke“. Er ist gehalten bestmöglich zu verwerten, darf aber zeitgleich die datenschutzrechtlichen Vorgaben nicht außer Acht lassen. 731 Dabei bedarf es auch einer Kosten-Nutzen-Analyse und der Einschätzung der notwendigen Aufwände. Erschwerend kommt hinzu, dass die Insolvenzmassen große Spielräume meist nicht mehr zulassen und auch der potenzielle Erwerber Unsicherheiten hinsichtlich der Rückläufer der Einwilligungen in den Kaufpreis mit einpreisen wird. (4) Möglicher Lösungsweg bei einer Einwilligung 732 Einen möglichen Lösungsweg, zumindest für den zeitlichen Faktor und ggf. die Umsetzung einer Einwilligungseinholung, gibt die DSGVO selbst vor. Die Auftragsverarbeitung gemäß Art. 28 DSGVO kann in einer solchen Situation als eine Art „Zwischenkonstruktion“ genutzt werden.474) Diese Variante kann gewählt werden, wenn der Kaufvertrag bereits geschlossen werden soll, da z. B. die Übertragung der personenbezogenen Daten nur eine Art Annex zum Kaufvertrag darstellt, die datenschutzrechtlichen Voraussetzungen für die Übertragung aber erst im Nachhinein geschaffen werden können. 733 Die Überlegungen zu dieser Art von Übertragung sehen vor, dass der Kaufvertrag geschlossen wird und zeitgleich eine Auftragsverarbeitung mit einem Dienstleister, der im Auftrag des Insolvenzverwalters die Einwilligungen der Betroffenen einholt und erst nach der Einwilligung der Betroffenen diese ___________ 474) Eckhardt/Menz, ZInsO 2016, 1919.
208
II. Haftung für „Altlasten“ und Weiterverarbeitung
Daten durch den Erwerber genutzt werden dürfen. Bei der Auswahl des Dienstleisters ist natürlich, wie bei jeder Auftragsverarbeitung, auf die Zuverlässigkeit dieses Dienstleisters zu achten. In diesem Dreiecksverhältnis geht der Geschäftsbetrieb mit allen erworbe- 734 nen Assets und den Mitarbeitern auf den Erwerber über. Die personenbezogenen Daten der Betroffenen, an die der Erwerber ebenso interessiert ist, werden in einer Art Container aufbewahrt und durch den Insolvenzverwalter an den Auftragnehmer übergeben mit der Anweisung, diese Daten ausschließlich zum Einholen der Einwilligung zu verarbeiten. Sobald diese Einwilligung vorliegt, gehen die Daten in den Bestand des Erwerbers über. Daten von Betroffenen, die einer Übertragung nicht zugestimmt haben, werden nach Ablauf einer gewissen Frist gelöscht. Diese Frist ist ebenso Bestandteil der Auftragsverarbeitung, wie es alle anderen Vorgaben des Art. 28 DSGVO sind. Denkbar ist auch, dass der Übernehmer selbst als Auftragsverarbeiter ge- 735 nutzt wird, wenn dieser die entsprechenden Voraussetzungen und die Zuverlässigkeit mitbringt. Häufig ist es der Fall, dass die Mitarbeiter des schuldnerischen Unternehmens beim Erwerber tätig werden, welche bereits vorher mit den Daten gearbeitet haben. Von daher hätte sich der Umgang und die Verarbeitung der personenbezogenen Daten datenschutzrechtlich nicht verschlechtert. Auch ist davon auszugehen, dass die Schutzmaßnahmen mindestens geleichwertig, wenn nicht sogar tiefgreifender sind. Dies ist natürlich anhand der TOM nachzuweisen, die einen Anhang zu jeder 736 Auftragsverarbeitung darstellen. Bei dieser Vorgehensweise sollte vereinbart werden, dass die Datenbestände in getrennten Datenbanken aufbewahrt werden. Eine Datenbank der Betroffenen, deren Einwilligungen eingeholt werden sollen, und eine separate Datenbank beim Erwerber, in der die Kundendaten des Erwerbers aufbewahrt werden. Eine Vermischung vor erfolgter Einwilligung muss zwingend verhindert werden. Es liegt in der Natur der Sache, dass die vertraglichen Bestimmungen zur Auf- 737 tragsverarbeitung genau auszuarbeiten sind und auch überwacht werden müssen. Des Weiteren sind die einzelnen Schritte zu dokumentieren. Auch ist der Auftragsverarbeiter zu verpflichten, eine genaue Dokumentation zu erstellen, welche Betroffenen ihre Einwilligung zur Übertragung erklärt haben, welche Daten nach erfolgter Einwilligung in den Bestand des Erwerbers übergegangen sind und welche Datensätze gelöscht wurden. Diese Lösung bietet sich häufig bei Onlineportalen an oder auch z. B. bei 738 Insolvenzverfahren, die Gesundheitsdaten zum Gegenstand haben. Am Beispiel eines Onlineportals soll das Vorgehen kurz erläutert werden. Beispiel: Ein Unternehmen bietet Dienstleistungen für Verbraucher im Rahmen seines Onlineportals an. Um diese Leistungen zu nutzen, müssen sich die User auf dem Portal mit ihren persönlichen Nutzerdaten anmelden. Im Rahmen des An209
I. Datenschutz im eröffneten Verfahren
tragsverfahren beschäftigt sich der spätere Insolvenzverwalter bereits eingehend mit der Datenlage und kommt zu der Entscheidung, dass aufgrund der nicht abschließenden Rechtslage der vorhanden TMG-Daten, eine Übertragung zur Sicherheit nur mit einer Einwilligung erfolgen kann. Es werden bereits vorab durch den Schuldner Gespräche mit möglichen Dienstleistern geführt, die eine entsprechende Auftragsverarbeitung vornehmen können. Der spätere Erwerber erklärt, aufgrund seiner bisherigen Tätigkeit eine entsprechende Auftragsverarbeitung im datenschutzrechtlichen Sinne voll und ganz erfüllen zu können. Es werden Abläufe besprochen und die entsprechenden zu ergreifenden Maßnahmen abgestimmt. Nach Verfahrenseröffnung erfolgt die Unterzeichnung des Kaufvertrages und zeitgleich eine Auftragsverarbeitung, die auf den Kaufvertrag Bezug nimmt. Verständlicherweise sichert sich der Erwerber einen variablen Kaufpreis, der sich am Verhältnis zu den erfolgten Einwilligungen ausrichtet. Durch den Kaufvertrag werden Anlagevermögen, Umlaufvermögen und der Geschäftsbetrieb übertragen. Des Weiteren werden die Nutzerdaten übertragen, sofern datenschutzrechtlich zulässig und eine Einwilligung der Betroffenen vorliegt. Bezüglich der Kunden- und Nutzerdaten werden diese im Rahmen der Auftragsverarbeitung vom Erwerber als Auftragnehmer des Insolvenzverwalters verarbeitet, ausschließlich für die Einholung der Einwilligung der Betroffenen. Zeitgleich wird der Ablauf der Einwilligungseinholung geregelt und ein zeitlicher Rahmen bestimmt. Es wird vereinbart, dass getrennte Datenbanken geführt werden. Die Betroffenen werden beim Versuch, sich auf dem Portal einzuloggen, durch eine gesonderte Seite vollständig über die aktuelle Situation informiert. Es wird ein zwischen dem Auftragnehmer und Insolvenzverwalter abgestimmter Text angezeigt, der den Betroffenen über den beabsichtigten Übergang der Daten auf den Erwerber informiert und über die Widerspruchsmöglichkeit aufklärt, und um Einwilligung gebeten. Des Weiteren wird ausdrücklich darauf hingewiesen, dass eine Aufrechterhaltung des Leistungsangebots durch den Insolvenzverwalter nicht möglich ist und dieser bei nicht erfolgter Einwilligung die Daten löschen wird. Im Falle einer Einwilligung wird dem Betroffenen eine automatische E-Mail an die hinterlegte E-Mail-Adresse zugesandt mit dem nochmaligen Inhalt der Einwilligung und der Bitte, diese Einwilligung per beigefügtem Link zu bestätigen. Die Einwilligung des Betroffenen wird in der Datenbank registriert und abgelegt. Danach geht dieser Datensatz an den Erwerber über. 739 Nach Ansicht der Autoren handelt es sich bei der vorbenannten Vorgehensweise um eine Lösung, die insbesondere in den Fällen angezeigt wäre, die einer ausdrücklichen Einwilligung bedürfen und diese Einwilligung nicht schnell umsetzbar ist. Natürlich ist der Insolvenzverwalter als Verantwortlicher in der Pflicht, die datenschutzrechtlichen Bestimmungen vollständig zu beachten und ebenso ein Prozedere zu bestimmen, wie er seinen Pflichten in Bezug auf die Kontrolle des Auftragnehmers nachkommen kann.
210
II. Haftung für „Altlasten“ und Weiterverarbeitung Praxistipp: Soll eine Verarbeitung und gleichwohl eine Übertragung aufgrund einer Einwilligung erfolgen, empfiehlt sich folgende Prüfungsreihenfolge:475) x Unmissverständliche Erklärung oder eindeutige Handlung des Betroffenen (Art. 4 Nr. 11 DSGVO) x Informiertheit aufseiten des Betroffenen (Art. 4 Nr. 11 DSGVO) x Freiwillige Erklärung ohne Zwang (Art. 4 Nr. 11 DSGVO) x Kein Verstoß gegen Kopplungsverbot (Art. 7 Abs. 4 DSGVO) x Zweckbezogene Einwilligung (Art. 4 Nr. 11 DSGVO) x Dokumentation der Einwilligung (Art. 7 Abs. 1 DSGVO) x Einwilligung unterscheidbar von anderen Erklärungen oder anderen Textpassagen (Art. 7 Abs. 2 DSGVO) x Einwilligung nicht widerrufen (Art. 7 Abs. 3 DSGVO) x Sonderregelung bei Kindern (Art. 8 DSGVO)
d) Übertragung wegen rechtlicher Verpflichtung Eine Übertragung im Rahmen des Asset Deals aus einer rechtlichen Verpflich- 740 tung heraus gemäß Art. 6 Abs. 1 Satz 1 lit. c) DSGVO kann nicht dargestellt werden. Eine solche rechtliche Verpflichtung liegt nicht vor. Der Insolvenzverwalter ist nicht verpflichtet, bei einem Asset Deal die Kundendaten oder sonstigen personenbezogenen Daten auf einen Erwerber zu übertragen. Die Rechtsgrundlage aus Art. 6 Abs. 1 Satz 1 lit. c) DSGVO ist nur als Recht- 741 mäßigkeit für die Übertragung von Informationen an Verfahrensbeteiligte heranziehbar. Der Insolvenzverwalter ist aufgrund der Insolvenzordnung zu einer Übermittlung von personenbezogenen Daten an Verfahrensbeteiligte verpflichte im Rahmen seiner Aufgaben. Es liegt eine rechtliche Verpflichtung des Insolvenzverwalters gemäß § 58 Abs. 1 Satz 2 InsO vor, dem Insolvenzgericht auf Verlangen Auskünfte und Berichte zum Sachstand des Verfahrens zu übergeben. Ebenso ist es die Pflicht des Insolvenzverwalters, die Gläubigerversammlung auf Verlangen über den Sachstand des Verfahrens in Kenntnis zu setzen (§ 79 InsO). Als Rechtsgrundlage für eine Übertragung von Kundendaten bei einem As- 742 set Deal ist der Art. 6 Abs. 1 Satz 1 lit. c) DSGVO nicht einschlägig. e) Übertragung mit berechtigtem Interesse Schließlich besteht für den Insolvenzverwalter die Möglichkeit, Kundenda- 743 ten zur Wahrung seiner eigenen oder zur Wahrung der berechtigten Interes___________ 475) Vgl. Plath-Plath, BDSG/DSGVO, Art. 7 DSGVO Rn. 2.
211
I. Datenschutz im eröffneten Verfahren
sen eines Dritten zu übertragen gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen überwiegen. Demnach muss bei einer Übertragung, die auf diese Rechtsgrundlage gestützt werden soll, vorher eine Interessenabwägung vorgenommen werden, die auch nachweisbar dokumentiert wird. Der Buchstabe f) des Art. 6 Abs. 1 Satz 1 DSGVO normiert einen Auffangtatbestand, der in der Praxis eine hohe Relevanz hat.476) 744 Eine vergleichbare Regelung sah das BDSG a. F. bereits in § 28 vor. Die Anwendung des § 28 BDSG a. F. unterschied sich dabei hinsichtlich des jeweiligen Zwecks477) und sah eine Zweckbindung in den jeweiligen Absätzen vor. Diese Zweckbindung ist in der DSGVO gelockert worden.478) Eine Zweckänderung ist nunmehr möglich, wenn der neue Zweck mit dem ursprünglichen vereinbar ist (Art. 6 Abs. 4 DSGVO). Bei einer Übertragung der Kundendaten handelt es sich um eine Zweckänderung, da die Daten mit an Sicherheit grenzender Wahrscheinlichkeit nicht zu dem Zweck erhoben wurden, sie im Rahmen eines Insolvenzverfahrens zu übertragen.479) aa) Zweckänderung 745 Der Art. 6 Abs. 4 DSGVO ist im Zusammenhang mit dem Art. 5 Abs. 1 lit. b) DSGVO zu sehen,480) wonach die Erhebung personenbezogener Daten nur zu festgelegten und legitimen Zwecken erfolgen darf. Der Zweck der Erhebung war i. d. R. nicht, eine Übertragung der Daten vorzunehmen, sondern vielmehr lag dieser vermutlich im ursprünglichen Geschäftszweck begründet. Daher muss neben der Interessenabwägung ebenso geprüft werden, ob die Zweckänderung mit dem ursprünglichen Zweck vereinbar ist. Zunächst ist zu eruieren, zu welchem Zweck die Daten ursprünglich erhoben wurden. Zeitgleich sollte festgestellt werden, ob diese Erhebung datenschutzrechtlich konform erfolgte, was ebenso ein Erwägungspunkt bei der Interessenabwägung sein wird. 746 Im Anschluss muss geklärt werden, welchen Zweck der Übernehmer bei der Verarbeitung der personenbezogenen Daten verfolgt und wann eine Zweckänderung nach der Übertragung vorliegen würde. Sollte dem nicht so sein, stellt naturgemäß nur die Übertragung der personenbezogenen Daten in dem tatsächlichen Moment der Übermittlung eine Zweckänderung der Verarbeitung dar. Allerdings würde diese Verarbeitung mit dem ursprünglichen Zweck vereinbar sein, da die Daten nur in puncto Übertragung einer Zweckänderung unterliegen und nach der Übermittlung wieder zum ursprünglichen ___________ 476) 477) 478) 479)
Vgl. Plath-Plath BDSG/DSGVO, Art. 6 DSGVO Rn. 17. Vgl. Eckhardt/Menz, ZInsO 2016, 1921. Eckhardt/Menz, ZInsO 2016, 1924. Vgl. Eckhardt/Menz, ZInsO 2016, 1921; auch TLfDI, 2. TB LfDI Thüringen 2014/2015, S. 386. 480) Plath-Plath, BDSG/DSGVO, Art. 6 DSGVO Rn. 30.
212
II. Haftung für „Altlasten“ und Weiterverarbeitung
Zweck verarbeitet werden. Sind die Zwecke miteinander vereinbar, so handelt es sich um eine erlaubte Zweckänderung.481) Anderes wäre der Umstand zu sehen, wenn der Erwerber die Daten nicht 747 zum ursprünglichen Zweck verarbeiten will. In diesem Fall ist die Betrachtung bezüglich der Zweckänderung umfangreicher, da nunmehr die Kriterien des Art. 6 Abs. 4 lit. a) – e) DSGVO herangezogen werden müssen, um eine Vereinbarkeit mit dem ursprünglichen Erhebungszweck zu prüfen. Demnach ist die Verbindung zwischen den Zwecken zu prüfen (lit. a) und ebenso der Zusammenhang, in dem die personenbezogenen Daten ursprünglich erhoben wurden (lit. b). Ein weiteres Kriterium für die Bestimmbarkeit, ob die Zwecke vereinbar sind, ist die Art der personenbezogenen Daten (lit. c) und ob es sich bei diesen Daten um Daten nach Art. 9 bzw. Art. 10 DSGVO handelt. Schlussendlich sind die möglichen Folgen für den Betroffenen zu betrachten (lit. d), die eine Zweckänderung mit sich bringen würde und gleichfalls das Vorhandensein entsprechender Garantien (lit. e), womit die TOM bei der neuen Verarbeitung gemeint sein dürfen, da ein expliziter Verweis auf die Verschlüsslung und die Pseudonymisierung erfolgt. Den Kriterien folgend, bedarf die Prüfung der Zweckänderung ebenso einer 748 umfangreichen Interessenabwägung und stellt weniger auf das Verständnis im normalen Sprachgebrauch bezüglich einer Vereinbarkeit ab.482) bb) Interessenabwägung Der nächste Schritt für die Beurteilung, ob eine Übertragung gemäß Art. 6 749 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig ist, stellt eine umfangreiche Interessenabwägung da. Bei der Interessenabwägung müssen die Interessen des Insolvenzverwalters oder des potenziellen Erwerbers den Interessen des Betroffenen gegenübergestellt werden. Es darf kein Grund zur Annahme bestehen, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.483) Eine Interessenabwägung muss dabei immer unter den jeweiligen Besonder- 750 heiten des Einzelfalls erfolgen und unter Beachtung der schutzwürdigen Interessen des Betroffenen. Das schutzwürdige Interesse des Betroffenen muss umso höher angesetzt werden, desto sensibler die betroffenen Daten sind. Es müssen alle Bezugspunkte und Erwägungen bei der Beurteilung der Interessen sowohl aufseiten des Betroffenen als auch aufseiten des Insolvenzverwalters und des potentiellen Erwerbers, betrachtet werden. Gleichwohl hat das rein wirtschaftliche Interesse des Verantwortlichen keinen Vorrang,484) ist aber den___________ 481) 482) 483) 484)
Vgl. Plath-Plath, BDSG/DSGVO, Art. 6 DSGVO Rn. 30. Ebenso Plath-Plath, BDSG/DSGVO, Art. 6 DSGVO Rn. 38. Berberich/Kanschik, NZI 2017, 9. Berberich/Kanschik, NZI 2017, 9.
213
I. Datenschutz im eröffneten Verfahren
noch als berechtigtes Interesse des Verantwortlichen anerkannt.485) Zwischenzeitlich wird dies auch von Teilen der Rechtsprechung vertreten.486) So gehen die Gerichte bei der Betrachtung davon aus, dass nicht nur rechtliche Interessen von Bedeutung sind, sondern auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden müssen.487) Das berechtigte Interesse ist weit zu interpretieren und im unionsrechtlichen Sinne auszulegen. 751 Das berechtigte Interesse des Insolvenzverwalters an der Übermittlung der Kundendaten ergibt sich bereits aus der Pflicht des Insolvenzverwalters eine bestmögliche Verwertung des schuldnerischen Vermögens zu erwirken.488) Die Verwertung zur Fortführung des Betriebs oder auch zur bestmöglichen Gläubigerbefriedigung ist als berechtigtes Interesse des Insolvenzverwalters, der Gläubiger und des Gerichts anzusehen. Auch die vom Gesetzgeber angestrebte Sanierungslösung ist ein Teil, der bei der Interessenabwägung Berücksichtigung finden muss. Das Interesse weiterer Dritter kann vielfältig sein. Der potenzielle Erwerber kann ein großes Interesse an den Kundendaten selbst haben, die Gläubiger haben ein großes Interesse an der bestmöglichen Befriedigung und beim Schuldner, der in diesem Fall auch als Dritter zu betrachten wäre, besteht grundsätzlich das Interesse der Senkung seiner Verbindlichkeiten. Selbst ein Interesse des Kunden kann an der Übertragung bestehen, weil ein entsprechendes Leistungsangebot, ggf. auf den Kunden abgestimmt, erhalten bleibt. Der Betroffene hat grundsätzlich ein Interesse daran, dass seine Daten nicht an einen Dritten übertragen werden489) und sein Recht auf informationelle Selbstbestimmung gemäß Art. 2 I GG gewahrt wird.490) 752 Die Art der Daten ist für die Interessenabwägung ebenso wichtig. Insbesondere mit Blick auf das UWG und der geplanten Übertragung von Kontaktund E-Mail-Daten, kann das Pendel der Interessenabwägung schnell in Richtung Betroffenen ausschwenken. Würden die Überlegungen dazu führen, dass der potenzielle Erwerber wegen gesetzlicher Vorgaben die Daten nicht oder nicht zweckentsprechend verwenden kann, müsste im Rahmen der Interessenabwägung bereits das Interesse des Betroffenen am Ausschluss der Übertragung überwiegen, da wegen der fehlenden Nutzbarkeit der Daten durch den potenziellen Erwerber das Interesse an der rechtmäßigen Verarbeitung der Daten gen Null gehen würde.
___________ 485) 486) 487) 488) 489) 490)
214
Eckhardt/Menz, ZInsO 2016, 1922. OLG München, Teilurt. v. 24.10.2018 – 3 U 1551/17, GRUR-RR 2019, 137. OLG München, Teilurt. v. 24.10.2018 – 3 U 1551/17, GRUR-RR 2019, 139. Beyer/Beyer, NZI 2016, 243. Beyer/Beyer, NZI 2016, 243. Beyer/Beyer, NZI 2016, 244.
II. Haftung für „Altlasten“ und Weiterverarbeitung
Interessenabwägung Schutzwürdiges Interesse Betroffener
Berechtigtes Interesse des Verantwortlichen
• Informationelle Selbstbestimmung • Sensibilität der Daten • Vorgehen risikobehaftet • Einwilligung teilweise nötig (sensible Daten, Zweckänderung, TMG-Daten)
• Gläubigerbefriedigung • Besonderheit im Sanierungskontext • Betriebsfortführung als Ziel • Sonstfaktische Unverwertbarkeit • Interesse der Kunden
Abb. 4: Interessenabwägung Quelle: Weiß/Reisener, RWS-Seminarunterlagen Datenschutz in der Insolvenzverwalterkanzlei, Folie 113
Praxistipp: Wichtig ist es, die Interessenabwägung zu dokumentieren, alle Aspekte mit ihrer jeweiligen Wertigkeit bei der Betrachtung durch den Insolvenzverwalter niederzulegen und die Schlüsse aus diesen Abwägungen umzusetzen. Es gibt für die Interessenabwägung keinen „goldenen Weg“. Eine Betrachtung ist immer am Einzelfall vorzunehmen, unter Berücksichtigung der Besonderheiten des Einzelfalls. Auch bedarf es der genauen Betrachtung der einzelnen Daten und der Beurteilung, ob diese Daten im Rahmen des berechtigten Interesse überhaupt übertragbar sind. Ist der Insolvenzverwalter gehalten, die Übertragung auf die Rechtmäßigkeit gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu stützen und kommt er zum Schluss, dass seine berechtigten Interessen oder die Interessen eines Dritten nicht von den Interessen des Betroffenen überlagert werden, ist in seinen Augen eine Übertragung zulässig.491) Um diese Entscheidung ggf. im Nachhinein gegenüber der Aufsichtsbehörde nachweisen und vertreten zu können, bedarf es der intensiven Dokumentation.
cc) Widerspruchslösung Die Interessenabwägung lässt dem Verantwortlichen einen Interpretations- 753 spielraum. Immer da, wo es verschiedene Interpretationen geben kann, wird es auch immer mehrere Meinungen geben. So ist das Ergebnis der Interessenabwägung stets ein Ergebnis der einzelnen Gewichtungen von Umständen. Um den Unsicherheiten entgegenzuwirken und den Betroffenen in den Pro- 754 zessen die Möglichkeit zu geben, einwirken zu können, wurde von den Aufsichtsbehörden die sog. Widerspruchslösung entwickelt. Vorreiter war das BayLDA, welches in seiner bereits erwähnten Bußgeldentscheidung aus dem Jahr 2015 einen aus Sicht der Behörde vertretbaren Weg aufgezeigt hat. ___________ 491) Vgl. auch Eckhardt/Menz, ZInsO 2016, 1922; ausführlich Weiß/Reisener, ZInsO 2019, 401 ff.
215
I. Datenschutz im eröffneten Verfahren
755 Gemäß BayLDA soll bei der Übertragung von personenbezogenen Daten, die nicht ausschließlich zu Werbezwecken übertragen werden, nicht strikt eine Einwilligung gefordert werden.492) Vielmehr soll dem Betroffenen das Recht zum Widerspruch an der geplanten Übertragung eingeräumt werden. Um dieses Widerspruchsrecht informativ ausüben zu können, bedarf es einer vorherigen Information des Betroffenen hinsichtlich der geplanten Übertragung. Diese Information soll dem Betroffenen die Möglichkeit geben, frei zu entscheiden, ob der Betroffene einer Übertragung widersprechen will. 756 Die Information soll dabei den geplanten Übertragungsvorgang beschreiben. Es muss dem Betroffenen mitgeteilt werden, wer die Daten auf wen zu welchem Zweck übertragen will. Des Weiteren muss der Betroffene innerhalb der Information darauf hingewiesen werden, dass er der geplanten Übertragung widersprechen kann. Des Weiteren muss dem Betroffenen eine ausreichende Reaktionsfrist eingeräumt werden. Das BayLDA hält eine Mindestfrist von zwei Wochen für angemessen. Andere Aufsichtsbehörden plädieren in diesem Zusammenhang für drei Wochen Entscheidungsfrist für den Betroffenen. Auch muss dem Betroffenen in einer für ihn verständlichen Weise mitgeteilt werden, was geschehen wird, wenn er widerspricht.493) 757 Diese Rechtsauffassung des BayLDA kann nur so interpretiert werden, dass das BayLDA davon ausgeht, dass der Kunde ohne Einräumung eines derartigen Widerspruchsrechts stets ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung seiner Daten hat.494) Auch andere Aufsichtsbehörden folgen mehr oder weniger der Ansicht des BayLDA. Wird der Betroffene vor der Übermittlung seiner personenbezogenen Daten informiert und macht er von einem ausreichend lang eingeräumten Widerspruchsrecht keinen Gebrauch, wird die Übermittlung seiner Daten als zulässig angesehen.495) Die TLfDI sieht sogar bei jeder Art von Übertragung aus berechtigtem Interesse, unabhängig davon ob ein teilwerblicher Zweck zu erwarten ist, die Nutzung der Widerspruchslösung für notwendig an. Demnach ist aus Sicht der TLfDI generell die Nutzung der Widerspruchslösung Voraussetzung für eine Übertragung auf Grundlage des berechtigten Interesses. Dies verwundert, da eine Widerspruchslösung als generelle Voraussetzung für eine Übertragung aus berechtigtem Interesse aus dem Gesetz nicht abgeleitet werden kann. 758 Auch sei nochmalig erwähnt, dass der Aufwand für die Anwendung der Widerspruchslösung für den Insolvenzverwalter nicht gering ist. Es müssen alle Dokumentationen vorgenommen werden. Es bedarf einer Aufstellung, welche Kunden angeschrieben wurden, wer sich von diesen zurückgemeldet und wer seinen Widerspruch erklärt hat. Weiterhin bedarf es aufgrund der Widerspruchsfrist eines gewissen Vorlaufs. Möchte der Insolvenzverwalter ___________ 492) 493) 494) 495)
216
Eckhardt/Menz, ZInsO 2016, 1924. Eckhardt/Menz, ZInsO 2016, 1924. Beyer/Beyer, NZI 2016, 244. Berbisch/Kanschik, NZI 2017, 9.
II. Haftung für „Altlasten“ und Weiterverarbeitung
zum Zeitpunkt der Verfahrenseröffnung übertragen, steht er vor dem Problem, dass er bereits drei Wochen vor Verfahrenseröffnung über die entsprechenden Informationen verfügen muss. Häufig ist dies nicht der Fall. Aber auch hier könnte eine Auftragsvereinbarung wie bei der Einholung der Einwilligung in Betracht gezogen werden. Inwieweit die Widerspruchslösung auch für die Übertragung von E-Mail- 759 Adressen genutzt werden kann ist weiterhin offen. Das BayLDA musste zum Zeitpunkt der Bußgeldentscheidung dies nicht beurteilen. Allerdings liegen einige Hinweise der Aufsichtsbehörden vor, dass ein Verstoß gegen das UWG gegen eine Übertragung bereits bei der Interessenabwägung sprechen würde und eine Anwendung der Widerspruchslösung nicht infrage kommt. Diese Ansicht ist auch nachvollziehbar, da das Gesetz für diese Art der Daten von einer ausdrücklichen Einwilligung spricht und eine ausdrückliche Einwilligung nicht in einer Unterlassung gesehen werden kann, in der der Betroffene lediglich sein Widerspruchsrecht nicht wahrnimmt. Die Widerspruchslösung wurde noch unter der Geltung des BDSG a. F. ent- 760 wickelt. Bisher ist nicht absehbar, ob die entwickelte Widerspruchslösung auch unter der DSGVO Anwendung finden kann. Das LG Leipzig hat in einer bisher noch nicht veröffentlichten Entscheidung zur Widerspruchslösung leider weiterhin zum alten Recht Stellung bezogen.496) Im vorliegenden Fall wurde vom Insolvenzverwalter unter Nutzung der Widerspruchslösung eine nicht unerhebliche Anzahl an personenbezogenen Daten verschiedenster Kategorien veräußert. In dieser Entscheidung führt das Gericht aus, dass die Widerspruchslösung nicht als Ersatz für eine Einwilligung herangezogen werden kann, da eine Nichtreaktion auf ein eingeräumtes Widerspruchsrecht nicht einer positiven Äußerung oder Willenserklärung des Betroffenen gleichsteht. Mit der Nutzung der Widerspruchslösung wurde aber auf die Interessen der Betroffenen zusätzlich Rücksicht genommen. Eine Klarstellung hinsichtlich der Anwendbarkeit unter der DSGVO wäre wünschenswert. Praxistipp: Sofern der Insolvenzverwalter beabsichtigt, Kundendaten des schuldnerischen Unternehmens zu veräußern, sollte der Insolvenzverwalter sich zunächst die Rechtsgrundlage der Übertragung anschauen. Kommt er zum Schluss, dass eine Übertragung aufgrund des berechtigten Interesses erfolgen kann, ist wegen der bisher noch nicht rechtlich geklärten Vorgehensweise nach Möglichkeit die Widerspruchslösung zu nutzen. Dabei sollte insbesondere auf die Vollständigkeit der Informationen geachtet werden. Des Öfteren ist es auch so, dass der potenzielle Erwerber nicht nach außen treten will. Auf eine Benennung des Erwerbers kann dennoch nicht verzichtet werden. Außerdem sollte der Insolvenzverwalter wissen, dass der potenzielle Erwerber die Möglichkeit des Widerspruchs mit in sein Angebot einpreist, ebenso wie er es bei der Einholung der Einwilligung tun wird.
___________ 496) LG Leipzig, Urt. v. 24.10.2018 – 05 O 2873/17 (nicht veröffentlicht).
217
I. Datenschutz im eröffneten Verfahren
dd) Prüfung bei anstehender Übermittlung 761 Um zu prüfen, welche Form der Übertragung gewählt werden sollte, empfiehlt sich folgende Prüfungsreihenfolge: x
Prüfung, ob Einwilligung benötigt wird? Wenn –
x
Prüfung, ob durch Rechtsvorschrift gedeckt? Wenn –
x
Feststellung des ursprünglichen Zwecks der Erhebung.
x
Prüfung, ob rechtfertigungsbedürftige Zweckänderung? Wenn +
x
Prüfung, ob neuer Zweck mit altem Zweck vereinbar?
762 Daraus folgt eine Interessenabwägung und ggf. Widerspruchslösung. 6. Verwertung von Anlagevermögen (Hardware) 763 Die Verwertung des Anlagevermögens bedarf ebenfalls zum Teil der datenschutzrechtlichen Betrachtung. Sei es die Verwertung von Hardware wie Computern, Telefonen, Kopierern oder der Umgang mit entsprechenden Cloudzugängen, bereits die Beauftragung eines Verwerters, der für die Insolvenzmasse tätig wird und vom Insolvenzverwalter Informationen über den Schuldner benötigt, ist den datenschutzrechtlichen Regeln unterworfen. a) Beauftragung Verwerter 764 Der Insolvenzverwalter, der einen Verwerter beauftragt, beim Schuldner z. B. ein Fahrzeug abzuholen oder andere Gegenstände des Anlagevermögens, muss mit diesem eine Auftragsvereinbarung schließen. Im Rahmen der Verwertung und der Zuführung zur Verwertung werden i. d. R. personenbezogene Daten an den Verwerter weitergeben, wie es bereits bei dem Bewerter erfolgte. Eine Auftragsverarbeitung ist Grundlage für die Übermittlung der personenbezogenen Daten an den Verwerter, der wiederum diese Daten für den Insolvenzverwalter in dessen Auftrag verarbeitet, um die Verwertung durchzuführen. 765 Dabei ist es nicht zwingend nötig, für jedes Verfahren eine eigene Auftragsverarbeitung zu erstellen. Vielmehr ist es ausreichend, eine Art Rahmenauftragsverarbeitung abzuschließen, die immer nur um das entsprechende Verfahren ergänzt wird. Dies kann über einen Anhang zur Auftragsverarbeitung erfolgen, der jeweilig ergänzt bzw. aktualisiert wird. 766 Der Überwachung des Verwerters, der Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen sowie der Überprüfung der TOM bedarf es bereits, zwar nicht in dieser Tiefe, aber grundsätzlich nach den Vorgaben der Grundsätze ordnungsgemäßer Insolvenzverwalter (GOI).
218
II. Haftung für „Altlasten“ und Weiterverarbeitung
b) Verwertung der Hardware Die Hardware, die im Besitz des Insolvenzverwalters ist und an der dieser 767 nicht durch Freigabe die datenschutzrechtliche Verantwortung abgegeben hat,497) ist vom Insolvenzverwalter vor der Verwertung in Bezug auf den Datenbestand zu prüfen. Wenn sich keine personenbezogenen Daten auf den Systemen befinden, ist eine Verwertung der Hardware unproblematisch und findet keinen Bezug zum Datenschutz. Sind aber auf den Systemen personenbezogene Daten vorhanden, was in den 768 meisten Fällen so sein wird, bedarf es einer entsprechenden datenschutzrechtlich konformen Löschung dieser Daten (siehe Rn. 378 ff.). Hier wird der Insolvenzverwalter auf einen Dienstleister zurückgreifen, mit dem auch eine Auftragsverarbeitung abgeschlossen wurde. Eine Verwertung von Hardware mit personenbezogenen Daten oder mit einer nicht erfolgten datenschutzrechtlich konformen Löschung stellt einen Verstoß gegen die Vorschriften des Datenschutzrechts dar. Auch die Aussage des Erwerbers, eine Löschung nach der Übergabe vorzunehmen, und ggf. die Bestätigung durch den Erwerber ist grundsätzlich nicht ausreichend. Eine Übergabe von Hardware mit personenbezogenen Daten ist eine Übermittlung und bedarf einer Rechtsgrundlage. Unerheblich ist der Umstand, ob der Erwerber tatsächlich Zugriff auf die Daten nimmt. Es genügt die Möglichkeit. Der Insolvenzverwalter ist im Übrigen unabhängig von der wirtschaftlichen 769 Leistungsfähigkeit des Verfahrens verpflichtet, für die personenbezogenen Daten, die in seiner Verantwortung liegen, die Datenschutzvorschriften anzuwenden. Gegebenenfalls können diese Auslagen den Verfahrenskosten beigefügt werden oder gar für diese Tätigkeit Zuschläge beantragt werden (siehe Rn. 774 ff.). Die Pflicht zur datenschutzrechtlichen Behandlung der Hardware kann im 770 Umkehrschluss auch dazu führen, dass eine Verwertung die Löschungskosten nicht deckt. In diesem Fall wäre es denkbar, dass der Insolvenzverwalter die Datenträger aus den Systemen löst und diese gesammelt einer datenrechtlichen Löschung zuführt. Praxistipp: Das Bundesamt für Sicherheit in der Informationstechnik BSI hat zu diesem Thema mehrere Hinweise498) herausgegeben. Eine datenschutzrechtliche Löschung, genauer eine Löschung von Daten/Datenträgern im datenschutzkonformen Umfang, sollte sich im Wesentlichen an der DIN-Norm 66399 (Vernichtung von Datenträgern) orientieren. Kurz gefasst wird eine physische Zerstörung oder/und qualifizierte elektronische Löschung der Datenträger empfohlen.
___________ 497) Vgl. Thole, ZIP 2018, 1011. 498) Zum Beispiel https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ ITGrundschutzKataloge/Inhalt/_content/m/m02/m02435.html (Stand: 12.11.2018).
219
I. Datenschutz im eröffneten Verfahren
771 Die so bereinigten Systeme können dann verwertet werden oder aber entsorgt. Jedenfalls sollte die Insolvenzkanzlei nach der datenschutzrechtlichen Löschung über entsprechende Testate von Fachunternehmen verfügen und diese – spätestens zur eigenen Exkulpation ggf. im Rahmen von Schadensersatzansprüchen nach Art. 82 DSGVO – archivieren. Praxistipp: Der Insolvenzverwalter sollte bedenken, dass heutige Telefonanlagen, Kopierer und auch Drucker teilweise große Datenmengen speichern, die ebenso auslesbar sind. Auch für diese Gegenstände muss eine datenschutzkonforme Lösung gefunden werden. Die vertretene Meinung, durch Freigabe i. S. v. § 295 InsO die Verantwortlichkeit abzugeben, da ab diesem Zeitpunkt keine Entscheidungsbefugnis für die Verarbeitungsvorgänge mehr besteht, wäre in diesen Fällen hilfreich. Allerdings ist zum einen fraglich, wie die Aufsichtsbehörden mit dieser Einschätzung umgehen. Zum anderen stellt sich bis zu dem Freigabezeitpunkt die Frage der Verantwortlichkeit des Insolvenzverwalters und ob er diese datenschutzkonform erfüllt hat. Eine restriktive Meinung einer Aufsichtsbehörde könnte in der Freigabe darüber hinaus auch eine Übermittlung sehen, die ohne Rechtsgrundlage erfolgt ist und somit bußgeldbewehrt wäre.
7. Online- und Cloudzugänge 772 Zusätzlich bedürfen die Online- und Cloudzugänge einer datenschutzrechtlichen Prüfung. Sofern diese im Zugriff des Insolvenzverwalters stehen499) und der Insolvenzverwalter die Zugänge nicht für seine Verfahrensbearbeitung benötigt sowie der Zweck, zu dem die Zugänge eingerichtet wurden, nicht mehr besteht, müssen die Daten gelöscht bzw. deaktiviert werden. 773 Dazu zählen auch Zugänge zu den sozialen Netzwerken. Insbesondere in Anbetracht der jüngsten Rechtsprechung des EuGH500) besteht hier ein Gefahrenpotential für die Masse in Bezug auf die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO.
___________ 499) Vgl. Thole, ZIP 2018, 1005. 500) EuGH, Urt. v. 5.6.2018 – C – 210/16, ZD 08/2018, 357 (mit Anmerkung Marosi/ MatthéSchulz, S. 361 ff.).
220
J. Datenschutzrechtliche Belange und die Vergütung des Insolvenzverwalters Aus der Praxis der Insolvenzverwaltung überrascht es in keinster Weise, dass 774 sich ein Insolvenzverwalter auch mit Daten, EDV und (digitalen) Dokumenten, insbesondere des schuldnerischen Betriebs zu befassen hat. I. Vorausgesetzte Tätigkeiten nach der vergütungsrechtlichen Literatur In gewisser Weise überraschend ist aber, mit welcher Klarheit dies auch die 775 insolvenzrechtliche (Vergütungs-)Literatur bereits Jahre vor Inkrafttreten der DSGVO bzw. des BDSG 2018 offenbar ganz eindeutig als Aufgabe des Insolvenzverwalters statuiert. Und noch mehr: Es nimmt in der Tat aufgrund der fortschreitenden Digitalisierung die frü- 776 hestmögliche Sicherung möglichst aller Daten des Insolvenzschuldners auf diversen Datenträgern wie Smartphones, PCs etc. für den Insolvenzverwalter eine „… immer größere Rolle ein“501). Um der nicht selten vorzufindenden Renitenz von Schuldnern, handelnden Organen im Hinblick auf insolvenzverfahrensrelevante Daten, letztlich aber auch Bankrott-Delikten wie § 283 Abs. 1 Nr. 5. (Veränderung von Handelsbüchern), Nr. 6. (Beiseiteschaffen/ Zerstören von Handelsbüchern oder sonstigen Unterlagen) bzw. Nr. 7 (Bilanzmanipulation etc.) StGB dem gerichtlichen Auftrag entsprechend entgegnen zu können, soll der Insolvenzverwalter auch auf die Datenrekonstruktion durch entsprechende Dienstleister und auch per Zugänglich-/Nutzbarmachung ggf. gegen den Willen der o. g. Personen zurückgreifen können und fallbezogen auch müssen. „…Er [der Insolvenzverwalter] ist so vor Manipulation aber auch vor Sabotage gesichert…“ 502) Im Zusammenhang mit der schriftlichen bzw. digitalen Archivierung von 777 Geschäftsunterlagen durch Dritte heißt es bei Haarmeyer/Mock503) zutreffenderweise, dass bei der Auswahl durch den Insolvenzverwalter auf deren „ fachliche Eignung … auf die Seriosität und Bonität abzustellen…“ ist, was vorausgesetzt werden kann, „… sofern das Archivunternehmen eine fachliche Eignungsprüfung seitens der Aufsichtsbehörde für Datenschutz absolviert hat und über ein zertifiziertes Qualitätsmanagement verfügt.“ Im Hinblick auf sensible Daten, wie z. B. bei Krankenhausinsolvenzen, soll es nach Meinung der Literatur504) aus datenschutzrechtlichen Gründen angezeigt sein, auch Bank-, Telekommunikations- u. a. Akten ggf. sogar „… versiegelt … archivieren zu lassen, damit auch die Mitarbeiter …keine sensiblen Personendaten unberechtigt einsehen …“ können. ___________ 501) 502) 503) 504)
Haarmeyer/Mock, InsVV, § 4 Rn. 77. Dazu auch insgesamt Haarmeyer/Mock, InsVV, § 4 Rn. 52, 77 m. w. N. Haarmeyer/Mock, InsVV § 4 Rn. 50. Haarmeyer/Mock, InsVV, § 4 Rn. 54 m. w. N.
221
J. Datenschutzrechtliche Belange und die Vergütung des Insolvenzverwalters
778 Letztlich ist der Insolvenzverwalter eines Schuldners bzw. schuldnerischen Unternehmens nach den Verwaltungsanweisungen des Bundesfinanzministeriums, den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)505) bzw. den seit 1.1.2015 geltenden Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)506) gehalten, die entsprechende Buchhaltung und steuerrechtlich relevante elektronische Daten und Papierdokumente unter Bezug auf die Grundsätze ordnungsmäßiger Buchführung zu archivieren und grundsätzlich für die nächsten zehn Jahre digital vorzuhalten. Damit soll die Verpflichtung einhergehen, in der Regel sämtliche Daten inkl. vorhandener Hard- und Software nach Vornahme der letzten Buchung lauffähig vorzuhalten bzw. in ein entsprechendes Archivsystem zu übertragen, sofern diese elektronische Buchhaltung in die Verfügungsmacht des Insolvenzverwalters übergegangen ist.507) II. Vergütungsrechtliche Einordnung 779 Die datenschutzkonforme Ausrichtung der Insolvenzkanzlei kostet unstreitig Geld. Die Überprüfung entsprechender Punkte, ggf. Einstellung eines Datenschutzbeauftragten für den schuldnerischen Betrieb können gar Insolvenzmasse kosten.508) 780 Wie vorstehende Ausführungen jedoch aufzeigen, ist der Insolvenzverwalter unstreitig fallbezogen in der Pflicht, sich neben seiner Kanzlei auch mit den schuldnerischen Daten zu befassen. Ebenso unstreitig ist im Bereich Daten bzw. Datenschutz, dass er derartige besondere Aufgaben nach § 4 Abs. 1 Satz 3 InsVV – ggf. mit Begründungsaufwand gegenüber dem Insolvenzgericht (§ 8 Abs. 2 InsVV) bzw. der Gläubigergesamtheit – zulasten der Masse vertraglich an qualifizierte Dritte delegieren darf (Einzelheiten z. B. zur Auftragsverarbeitung siehe Rn. 343 ff.). In anderen Bereichen gilt nämlich hier der Grundsatz, dass juristische Aufgaben delegiert werden dürfen, wenn ein Insolvenzverwalter, der nicht Anwalt ist, diese auch übertragen würde: Dies ist beim Datenschutz eindeutig der Fall. 781 Darüber hinaus ist seit der BGH-Entscheidung v. 11.11.2004 (IX ZB 48/04) geklärt, dass, wenn überprüfbar (§ 8 Abs. 2 InsVV) eine besondere Aufgabe i. S. v. § 4 Abs. 1 Satz 3 InsVV bzw. (entsprechend) § 5 Abs. 1/2 InsVV509) vor___________ 505) BMF Schreiben v. 14.11.2014, https://www.bundesfinanzministerium.de/Content/ DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/Datenzugr iff_GDPdU/2014-11-14-GoBD.pdf?__blob=publicationFile (Stand: 29.3.2019). 506) Siehe https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/ Weitere_Steuerthemen/Abgabenordnung/Datenzugriff_GDPdU/2014-11-14-GoBD.html (Stand: 29.3.2019). 507) Haarmeyer/Mock, InsVV, § 4, Rn. 79. 508) Woltersdorf, INDat Report 02/2018, 17. 509) Dazu im Einzelnen Nerlich/Römermann-Weiß, § 63 Rn. 21 ff. m. w. N.
222
II. Vergütungsrechtliche Einordnung
liegt, dies dem Insolvenzverwalter nicht zum (betraglichen) Nachteil der festzusetzenden Vergütung gereicht. Dies hat auch für die Daten/EDV zu gelten. Praxistipp: Nach Vorstehendem empfiehlt es sich für den Insolvenzverwalter bei dementsprechendem Verfahrens-, genauer Datenzuschnitt, zur Haftungsbeschränkung entsprechende (EDV-)Spezialisten zu beauftragen, und die o. g. gesetzlichen Voraussetzungen gegen eine sonst evtl. drohende Vergütungsminderung in Form der §§ 4f., 8 InsVV zu dokumentieren.
Im Bereich der Zuschläge i. S. v. § 3 InsVV sollen vorliegend mit Daten 782 i. w. S. ggf. mittelbar zusammenhängende Zuschlagstatbestände wie „Buchhaltung bzw. Rechnungswesen510)“, „unzureichendes Rechnungswesen“511) oder „mangelhafte Personalbuchhaltung“512) unbetrachtet bleiben. Mit Graeber513) können die zuvor genannten konkreten Tätigkeiten des Insolvenzverwalters von der Sicherung der schuldnerischen Daten bis hin zur Verwertung derselben im Rahmen der Veräußerung des schuldnerischen Unternehmens unter Beachtung der datenschutzrechtlichen Bestimmungen jedoch einen Zuschlag rechtfertigen. Dieser kann für die adäquate Bearbeitung dieser Spezialmaterie 5 – 10 % betragen. Nach Auffassung der Autoren514) kann sich der Zuschlag insbesondere bei Unternehmen, deren Assets im Wesentlichen aus Daten bestehen oder/und wo ein umfassender Datenbestand oder/und ungeordneter bzw. unklarer Datenbestand vorliegt, in der Gesamtschau gar auf bis zu 20 – 25 % belaufen. Wobei bei einem Asset Deal allein aus Daten bestehend vermutlich eine Vergleichsrechnung analog der einer Betriebsfortführung515) je nach den Umständen des Einzelfalles angezeigt sein kann.
___________ 510) 511) 512) 513) 514) 515)
Dazu Haarmeyer/Mock, InsVV, § 3 Rn. 100. Haarmeyer/Mock, InsVV, § 3 Rn. 83 m. w. N. Haarmeyer/Mock, InsVV, § 3 Rn. 81a m. w. N. Graeber/Graeber, InsVV, Rn. 34a u. 152a. So auch Nerlich/Römermann-Weiß, InsO, § 63, Rn. 7. Dazu Haarmeyer/Mock, InsVV, § 3 Rn. 21 m. w. N.
223
K. Exkurs: Postsperre, InsO-App, Löschung von InsolvenzEinträgen etc. Es folgen einige, die bisherigen Ausführungen ergänzende, Exkurse mit da- 783 tenschutzrechtlichem Bezug zu Insolvenzangelegenheiten. I. Der Datenschutz und die (Insolvenz-)Gerichte Zwischenzeitlich haben auch die Insolvenzgerichte die seit dem 25.5.2018 784 geltende Datenschutzrechtslage zur Kenntnis genommen. Nach praktischer Erfahrung der Autoren in unterschiedlichsten Ausprägungen: Es macht den Eindruck als gäbe es Gerichte, die kurz gefasst mangels Motivation derzeit dem Datenschutz (noch) keine große Aufmerksamkeit zu schenken scheinen. Damit scheint zu korrespondieren, dass sich auch die Insolvenzverwalter offenbar nicht trauen, eventuelle Überschneidungen zwischen Kanzlei und Insolvenzgericht anzusprechen. Dies wäre ob der unklaren Rechtslage in der Schnittmenge aus Insolvenz- und Datenschutzrecht aber sicherlich sinnvoll. Erst recht im Hinblick auf eine „moderne Insolvenzverwaltung“ wie letztlich zuvor aufgezeigt. Andere Gerichte, z. B. in Nordrhein-Westfalen,516) sind dazu übergegangen, 785 ihre Schreiben an Anwälte, Zeugen etc. bezüglich der Verarbeitung personenbezogener Daten in Rechtssachen zu ergänzen, und zwar unter Verweis auf eine entsprechende Internetseite517) der Justizbehörden. Dort wird der „Rechtssuchende“ informiert, wie die Justiz des Landes Nordrhein-Westfalen personenbezogene Daten in Rechtssachen verarbeitet (Informationen nach Artikel 13 und 14 der Datenschutz-Grundverordnung und § 55 Bundesdatenschutzgesetz). Mitunter fügen einzelne Gerichte in Nordrhein-Westfalen noch „eigene“, analoge Hinweisblätter zur Erfüllung ihrer Informationspflichten nach der DSGVO ihren Schreiben bei. Unter Verweis auf die vorgenannte Internetseite der Justizbehörden NRW wird u. a. darum gebeten, diese Informationen für den Fall einer Bevollmächtigung oder eines gesetzlichen Vertretungsverhältnisses an die Betroffenen weiterzugeben. Aufgrund der fehlenden Unmittelbarkeit der Information bzw. Belehrung und letztlich des Medienbruchs ist dies sicherlich keine optimale Lösung (siehe Rn. 401 ff.). Jedenfalls haben selbst diese Gerichte begonnen, mit personenbezogenen Daten datenschutzkonform umzugehen. Die Justizbehörden in Hessen scheinen noch weiterzugehen. Beispielsweise 786 versendet das Insolvenzgericht Kassel mit seinen Schreiben an Gläubigervertreter, Schuldnervertreter und den Gutachter nunmehr ein explizites Hinweisblatt zum Datenschutz als Verantwortlicher für die Datenverarbeitung518) mit ___________ 516) Zeitlich etwa Stand Oktober 2018. 517) Siehe https://www.justiz.nrw/Service/datenschutz/rechtssachen/index.php (Stand: 29.3.2019). 518) Vorliegend das Amtsgericht Kassel.
225
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
Benennung des Zwecks der Datenverarbeitung.519) Der Zweck soll letztlich im öffentlichen Interesse bzw. der Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 Satz 1 lit. e) DSGVO) liegen. Weiterhin wird auf die Widerruflichkeit einer erteilten Einwilligung zur Datenverarbeitung, der Speicherungsdauer etc. hingewiesen. Letztlich folgt ein Hinweis, dass eine Weigerung der Bereitstellung bestimmter personenbezogener Daten für Parteien eines Rechtsstreits, Zeugen und Sachverständige etc. je nach Verfahrensrecht und mit Ordnungsgeld von bis zu 1.000,– € nach § 111 OWiG bzw. Ordnungshaft geahndet werden kann. 787 Der in Hessen nicht vorhandene Medienbruch mit seinen datenschutzrechtlichen Risiken, und insbesondere der zuvor erwähnte Hinweis für den Fall einer Weigerung zur Bereitstellung personenbezogener Daten lassen das hessische Vorgehen, Stand heute, am weitesten als datenschutzkonform erscheinen. II. Die Postsperre 788 Die insolvenzgerichtlich angeordnete Postsperre520) stellt eines der einschneidensten Zwangsmittel der Insolvenzordnung dar (§§ 20 Abs. 2 Nr. 5, 99, 101 Abs. 1 Satz 1 InsO). Sie wird in der Praxis – zu Recht – zurückhaltend angeordnet. Denn die Anordnung der Postsperre stellt einen schweren gerichtlichen Eingriff in das Grundrecht des Art. 10 Abs. 1, Abs. 2 Satz 1 GG dar.521) Letztere Norm gestattet eine Beschränkung des Post- (und Fernmelde-)geheimnisses durch Gesetz, vorliegend die o. g. insolvenzrechtlichen Vorschriften. In der Praxis werden wohl neben einer ultima ratio nicht anders „in den Griff zu bekommenden“ Renitenz des Schuldners522) bzw. schuldnerischen Organs auch andere eklatante Beeinträchtigungen der Gläubigerinteressen und insbesondere Vermögensverlagerungen Indikationen für die Anregung dieser Sicherungsmaßnahme sein. Der BGH verlangt darüber hinaus aber, dass die gerichtlich angeordnete Postsperre auch erforderlich und angemessen war, was besonders bei möglichst konkreten Anhaltspunkten für eine Gefährdung der Insolvenzmasse der Fall sein soll. Abstrakte Verdachtsmomente dürften nicht ausreichen.523) 789 Vonseiten des Insolvenzverwalterbüros sollte in der praktischen Umsetzung einer per Gerichtsbeschluss angeordneten Postsperre allgemein eine gesteigerte Sorgfalt und auch Rücksicht auf den Datenschutz gelegt werden: Diese ___________ 519) Nämlich der Verpflichtung der Justiz aus dem jeweils einschlägigen Verfahrensrecht. 520) Vgl. dazu Nerlich/Römermann-Kruth, InsO, § 90 Rn. 2. 521) BGH, Beschl. v. 12.10.2006 – IX ZB 34/05, NJW-RR 2007, 193; Kolmann, in: BeckOK InsO, § 99 Rn. 2. 522) BGH, Beschl. v. 12.10.2006 – IX ZB 34/05, S. 7 f. zum ausreichenden Anordnungsgrund der fehlenden Mitwirkung/Auskunft des Schuldners zu seinen Vermögensverhältnissen ggü. dem vorläufigem Insolvenzverwalter und auch dem Insolvenzgericht, NJWRR 2007, 193. 523) BGH, Beschl. v. 22.10.2009 – IX ZB 49/08, NZI 2010, 260; dazu auch jüngst insgesamt erfreulich eindeutig AG Ludwigshafen, Beschl. v. 9.5.2016 – 3d IN 36/16, ZInsO 2016, 2352 (LS).
226
III. InsO-App: AG Rockenhausen
Post darf der (vorläufige) Insolvenzverwalter nämlich öffnen. Sofern er dies kanzleiintern delegiert, sollten diese Mitarbeiter zu entsprechend sensitivem Umgang angehalten werden. Dabei empfiehlt es sich zudem, auf qualifizierte und ggf. diesbezüglich abermals zur Verschwiegenheit verpflichtete Kanzleimitarbeiter zurückzugreifen.524) Darüber hinaus besteht nach § 99 Abs. 2 Satz 2 InsO die Verpflichtung, der Insolvenzverwalterkanzlei zugeleitete Post, die nicht die Insolvenzmasse betrifft, nicht nur an den Schuldner weiterzuleiten. Mangels verfahrens- oder vermögensrechtlichem Bezug ist der vorläufige Insolvenzverwalter im Rahmen seiner Berichterstattung darüber hinaus auch gar nicht befugt, entsprechende Inhalte dem Insolvenzgericht mitzuteilen.525) Praxistipp: Wer unbefugt ein verschlossenes Schriftstück, das nicht zu seiner Kenntnisnahme bestimmt ist, öffnet, kann sich nicht nur datenschutzwidrig verhalten, sondern auch nach § 202 Abs. 1 StGB strafbar machen.526) Dem sollte in der Insolvenzverwalterkanzlei bei der Bearbeitung einer Postsperre per peniblen Beachtung/ Bearbeitung nachgekommen werden. Es empfiehlt sich zudem von Anbeginn an die (digitale) Dokumentation, von der Einweisung/ggf. gesonderter Verschwiegenheitsverpflichtung der Mitarbeiter für den konkreten Vorgang über den konkreten Eingang und dessen Behandlung, der Verwendung für Insolvenzverfahrensvorgänge, Berichte oder gar Rechtsstreite des Insolvenzverwalters bzw. die möglichst sichere Weiterleitung der Post527). Letztlich ist die Postsperre somit je nach Einzelfall ein Paradeanwendungsbeispiel (gerade bei digitaler Post) für die datenschutzrechtlichen Postulate der Datensicherheit/TOM528) bzw. Zugriffssicherheit und daneben der Datensparsamkeit, Anonymisierung bzw. Pseudonymisierung.
III. InsO-App: AG Rockenhausen Ein gerichtlich zutreffend entschiedener Sachverhalt zeigt auf, dass der Schutz 790 personenbezogener Daten ein mehr als sinnvolles (EU-)gesetzgeberisches Anliegen ist: Die inzwischen rechtskräftige529) Entscheidung des Amtsgerichts Rocken- 791 hausen530) hatte sich mit 26 Seiten recht umfassend mit einer App befasst. Die entgeltliche Recherche von Daten aus den öffentlichen Insolvenzbekanntmachungen anhand einer App wurde dem BDSG531) unterworfen. Auf___________ 524) 525) 526) 527) 528) 529)
So bereits Uhlenbruck-Zipperer, InsO, § 99 Rn. 14. AG Ludwigshafen, Beschl. v. 9.5.2016 – 3d IN 36/16, ZInsO 2016, 2353 f. AG Ludwigshafen, Beschl. v. 9.5.2016 – 3d IN 36/16, ZInsO 2016, 2353 m. w. N. Inhaltlich und auch edv-technisch. Für die kanzleieigene, ggf. aber auch schuldnerische EDV. Das Landgericht Kaiserslautern hat mit Beschl. v. 14.7.2017 – 1 S 116/16 die Berufung zurückgewiesen. 530) Dazu im Einzelnen Weiß, Recherche von Daten aus Insolvenzbekanntmachungen mittels Anwendungssoftware (sog. App) unterfällt dem Bundesdatenschutzgesetzt (BDSG): „Achtung Pleite“, Anmerkung zum Urteil des AG Rockenhausen v. 26.7.2016 – 2 C 341/16, ZInsO 2017, 180. 531) Insgesamt Normen des BDSG alter Fassung.
227
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
grund der „Prangerwirkung“ der Anwendungssoftware (App) – ähnlich einem Internet-Restaurantfinder wurden (vermeintlich) insolvente Personen durch „Fähnchen“ auf einer Karte angezeigt – ordnete das Gericht sie i. E. als unzulässig ein (§§ 823 Abs. 2, 1004 BGB i. V. m. 4 Abs. 1 BDSG). Die App verletze nämlich das Recht der Schuldner auf informationelle Selbstbestimmung (Art. 2 Abs. 1, Art. 1 Abs. 1 GG). Denn deren Besonderheit sei darin zu sehen, dass die Nutzer als Dritte die Insolvenzbekanntmachungen durch diese App nicht nur gezielt selektieren können. Vielmehr sei durch sie gar eine kartografische „Suche“ statt der bei https://www.insolvenzbekanntmachungen.de erforderlichen konkreten Recherche unter Angabe individueller Parameter wie Namen, Gerichtsaktenzeichen oder Gerichtsort möglich. Aufgrund dessen handele es sich bei den von der App letztlich angebotenen um veränderte Daten i. S. v. § 3 Abs. 4 Nr. 2 BDSG, was eine Interessenabwägung (siehe Rn. 352 ff.) nach § 29 Abs. 1 Satz 1 Nr. 1, Nr. 2 BDSG erforderlich mache. Als deren Ergebnis überwogen die Interessen der Verfügungskläger als Schuldner in anhängigen bzw. abgeschlossenen Verbraucherinsolvenzverfahren zum einen das Auskunfts- und Informationsrecht der App-Nutzer, zum anderen insbesondere die wohl insbesondere primär wirtschaftlichen Interessen der Anbieterfirma.532) 792 Daneben stand bereits grundsätzlich infrage, ob diese App – anders als http://www.insolvenzbekanntmachungen.de – auch Löschungsfristen einhält:533) Die Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekV534) normiert in § 2 Abs. 1 Nr. 3, dass Veröffentlichungen nur noch zwei Wochen nach dem ersten Tag der Veröffentlichung abgerufen werden können, und zwar, wenn die Abfrage den Sitz des Insolvenzgerichts und mindestens eine weitere Angabe wie den Familiennamen enthält. § 3 Abs. 1 normiert, dass spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens die entsprechenden Daten gar zu löschen sind (zum Löschungsanspruch nach aktuellem Datenschutzrecht siehe Rn. 482 ff.). 793 Doch darüber hinaus warf die App, z. B. allein durch Eingabe einer Postleitzahl, letztlich persönliche Informationen aller evtl. Betroffener wie den vollständigen Namen, Geburtsdaten, aber auch Einzelheiten zu deren Insolvenzverfahren und hinsichtlich des Verfügungsklägers zu 2. des zur Entscheidung führenden Verfahrens, einem Jurastudenten, sogar den Umstand aus, dass sich dieser derzeit in Haft befände!535) Letzteres ist nicht nur im Hinblick auf § 14 Abs. 2 Nr. 2 der Bundesrechtsanwaltsordnung mehr als heikel. Regelmä___________ 532) 533) 534) 535)
228
Umfassend dazu Rn. 73 ff. der (Original-)Entscheidung. Siehe S. 6 Ziff. 1.1. der (Original-)Entscheidung. Siehe http://www.gesetze-im-internet.de/insobekv/ (Stand: 27.10.2018) und Anhang. Zum ähnlich sensiblen Thema eines Löschungsanspruchs betreffend Insolvenzeintragungen gegenüber Auskunfteien OLG Karlsruhe, Urt. v. 1.3.2016 – 12 U 32/16, ZInsO 2016, 973 m. w. N.
III. InsO-App: AG Rockenhausen
ßig muss im Rahmen der Zulassung zu den Staatsexamina, der Anwaltszulassung oder gar Bewerbung bei einem Insolvenzgericht angegeben bzw. versichert werden, dass u. a. keine Strafverfahren anhängig waren oder sind. Zweifelsohne war und ist dem Rechts- und Wirtschaftsverkehr und somit der 794 Allgemeinheit das Recht zuzusprechen, sich vor Abschluss eines Vertrages oder zur zwangsweisen Durchsetzung von (Zahlungs-)Ansprüchen über die Bonität oder gar Zahlungsfähigkeit des jeweiligen Vertragspartners informieren zu können. Dazu gibt es etablierte Auskunfteien, Schuldnerverzeichnisse oder einfacher, da im Internet verfügbar, ggf. die URL https:// www.insolvenzbekanntmachungen.de. Seinerzeit hatten jedoch bereits mehr als 1 Million Kunden die gegenständliche App verwendet. Offenbar verleitete deren konkrete Aufmachung diese jedoch statt zu Vorstehendem lediglich zu evtl. von Neugier getriebenen Recherchen „in der Nachbarschaft“ der anonymen App-Nutzer. Diese Gerichtsentscheidungen dürften auch nach aktuellem Datenschutzrecht 795 Bestand haben, was sich allein aus Erwägungsgrund 39536) zu Art. 5 DSGVO bereits ableiten lässt. Dieser lautet auszugsweise: „Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. 2Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. … 6Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. 7Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. 8Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. 9Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. 10Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. 11Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. 12Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.“
Die obigen Hervorhebungen lassen im Abgleich zu den vorigen Ausführungen 796 zur Entscheidung des Amtsgerichts Rockenhausen leicht erkennen, warum eben diese Anwendungsapplikation – zurecht – datenschutzrechtlich unzulässig war und es auch heute wäre. ___________ 536) Siehe https://dsgvo-gesetz.de/erwaegungsgruende/nr-39/ (Stand: 27.10.2018).
229
K. Exkurs: Postsperre, InsO-App, Löschung von Insolvenz-Einträgen etc.
IV. Kein vorzeitiger Löschungsanspruch gegenüber Auskunfteien wegen Insolvenzvermerken 797 Mit der Löschung einer Auskunftei-Eintragung war jüngst das OLG Frankfurt/M.537) befasst. In der Vergangenheit waren im Rahmen anwaltlicher Mandate immer wieder Auskunfteien, aber auch Gerichte mit der speziellen Problematik befasst, dass die Erteilung der Restschuldbefreiung nach den Vorschriften der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet538) öffentlich bekannt gemacht und ihrem „Auftrag“ entsprechend von Auskunfteien zutreffend als solcher Eintrag für in der Regel drei weitere Jahre gespeichert wurden. Im Geschäftskreis zeigte sich in tatsächlicher Hinsicht oftmals die Schwäche, dass die „Lesenden“ dieses gespeicherte Datum nicht zutreffend, nämlich „Aha, die Person ist restschuldbefreit!“, auslegten. Offenbar kam es für die betroffenen (Ex-) Schuldner als Mandanten vielmehr immer wieder zu Nachteilen im Geschäftsverkehr, da „Insolvenzvermerk eben Insolvenzvermerk ist“. Die Betroffenen begehrten daher nicht selten die unverzügliche Löschung entsprechender Einträge, hilfsweise deren Sperre. Einige Auskunfteien zeigten sich dahingehend (außergerichtlich) zugänglich. Andere nicht. Zuletzt kam das OLG Karlsruhe539) zu dem Schluss, dass die Datenspeicherung über die Restschuldbefreiung nach § 29 Abs. 1 Nr. 2 BDSG a. F. zulässig sei. Insbesondere, da die Daten aufgrund der Internetveröffentlichung aus allgemein zugänglichen Quellen kommen und kein überwiegendes Interesse des Betroffenen, d. h. restschuldbefreiten Schuldners, an einem Ausschluss der „Verarbeitung“ bestehe. V. Schuldnerberatung i. S. v. § 305 Abs. 1 Nr. 1 InsO via InternetVideokonferenz 798 Ob die Beratung des Schuldners im Rahmen der Verbraucher-Insolvenzantragstellung noch höchstpersönlich i. S. v. § 305 Abs. 1 Nr. 1 InsO ist, wenn sie zwischen Anwalt und Schuldner via Skype ®540) – also von Smartphone bzw. Computer zu Smartphone bzw. Computer per Ton- und Bildübertragung – erfolgte, war insolvenzrechtlich lange umstritten. Diesbezüglich wurde beanstandet, dass die von § 305 Abs. 1 Nr. 1 InsO verlangte, letztlich durch den per Bildtelefonie beratenden Anwalt ausgestellte Bescheinigung nicht hinreichend ist, um dem Schuldner letztlich gerichtlich die Restschuldbefreiung zu gewähren. Zwischenzeitlich dürfte – insolvenzrechtlich betrachtet – zutreffenderweise vertretbar sein, die Beratung anhand der Bildtelefonie ausnahmsweise als ausreichend zu betrachten: Die „Telefonierenden“ können sich wechselseitig ein Bild von dem jeweiligen Gegenüber ___________ 537) 538) 539) 540)
230
OLG Frankfurt/M., Beschl. v. 14.12.2017 – 3 U 141/15, ZD 06/2018, 270. Siehe http://www.gesetze-im-internet.de/insobekv/ (Stand: 1.4.2019). OLG Karlsruhe, Urt. v. 1.3.2016 – 12 U 32/16, ZInsO 2016, 973. Eines der wohl verbreitetsten Programme, siehe https://www.turn-on.de/tech/topliste/ die-12-besten-apps-und-programme-fuer-videotelefonie-5307 (Stand: 27.10.2018).
V. Schuldnerberatung i. S. v. § 305 Abs. 1 Nr. 1 InsO via Internet-Videokonferenz
und dessen Reaktionen oder gar dem Verständnis des Schuldners machen. Denn die Restschuldbefreiung setzt einen redlichen Schuldner voraus, der seine vormalige (Verschuldens-)Situation erkannt und überdacht hat – was der beratende und nach § 305 Abs. 1 Nr. 1 InsO bescheinigende Anwalt bzw. die sonstige Stelle üblicherweise im Rahmen persönlicher Präsenzberatung feststellen kann. Anders als bei der reinen Beratung mithilfe des Telefons, der E-Mail oder anderer unpersönlicher bzw. weniger interaktiver Kommunikationswege, kann die Beratung durch Skype ® oder andere Internetdienste ausnahmsweise zulässig sein.541) Nun stellen sich hier datenschutzrechtlich, insbesondere aufgrund der Be- 799 treiber bzw. deren Nutzungsbedingungen aber folgende – nicht abschließende und hier nicht abschließend zu beantwortende – Bedenken bzw. Fragen: „… Nach den Nutzungsbedingungen von Skype werden Chat-Protokolle auf den Servern von Microsoft in den USA bis zu 90 Tage542) zwischengespeichert. Es findet demnach eine Datenübermittlung dorthin543) statt. Nach den entsprechenden Datenschutzbestimmungen von Microsoft erhebt, verarbeitet und nutzt auch Microsoft personenbezogene Daten (Kommunikationsnutzerdaten). Also kann auch Microsoft ebenso auf die Daten der Nutzerinnen und Nutzer von Skype zugreifen, diese offenlegen und aufbewahren….“544)
Zunächst wird an der Stelle eines klar: Auch im Internet ist nichts umsonst 800 zu haben. Grundsätzlich „zahlen“ wir „unentgeltliche“ Dienste mit Daten – mit unseren oder auch unbewusst mit Daten Dritter, beispielsweise mit den Daten des Beratenen. Ganz abgesehen von der anwaltlichen Verschwiegenheit und der Vertrau- 801 lichkeit des gesprochenen Wortes spricht insgesamt Vorstehendes in der Gesamtschau – bereits aufgrund der unterschiedlichen insolvenzrechtlichen und letztlich nur instanzgerichtlichen Auffassungen – eher gegen eine Nutzung von Internet-Telefoniediensten für die Schuldnerberatung. Jedenfalls sollte deren Nutzung – letztlich datenschutzrechtlich – eher ausnahmsweise und mit der erforderlichen Sorgfalt, insbesondere der entsprechenden Einwilligung545) des Beratenen zur Nutzung dieser Kommunikationswege erfolgen.
___________ 541) LG Düsseldorf, Beschl. v. 20.6.2016 – 25 T 334/16, ZInsO 2016, 1703. 542) Anders das Postulat der unverzüglichen Löschung nach Wegfall des Erhebungsgrundes. 543) Die Einwilligung zur Datenverarbeitung zu diesem Zweck (siehe Rn. 715 ff.) wird der Anwalt vermutlich nicht einholen. 544) Berliner Beauftragte für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 116. 545) Mindestens per entsprechendem Passus in Mandatsvereinbarungen, wie man ihn zur E-Mail-Nutzung kennt, eben erweitert um die „Video-Telefonie“.
231
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei I. Videoüberwachung am Eingangsbereich Die Videoüberwachung beispielsweise im Eingangsbereich der Kanzlei oder 802 in deren Kanzleiräumen ist ein Punkt, der datenschutzrechtlich betrachtet werden muss. Hat man doch den Eindruck, dass die Überwachung per Video zunimmt und vermutlich in Zukunft noch mehr zunehmen wird. Einige Jahre zuvor bereits erließ der nordrhein-westfälische Landesdaten- 803 schutzbeauftragte (LDI-NRW) wegen eines relativ schweren Verstoßes gegen den Datenschutz ein Bußgeld i. H. v. insgesamt 64.000,– € gegen den Autowaschstraßenbetreiber „Mr. Wash“.546) Das Unternehmen hatte Mitarbeiter und Kunden rechtswidrig mit Videokameras überwacht. Zudem war ein Datenschutzbeauftragter nicht bestellt. Letzteres wurde mit einer in der vorgenannten Gesamtbuße enthaltenen Sanktion i. H. v. 10.000,– € geahndet. Insgesamt fiel der Sanktionsrahmen aufgrund der Kooperationsbereitschaft von „Mr. Wash“ und dem Umstand, dass der LDI von einem lediglich fahrlässigen Handeln ausgegangen ist – schon nach damaligem Datenschutzrecht –, recht milde aus. Praxisbeispiel: Durch eine Kameraattrappe liegt in der Regel keine Persönlichkeitsverletzung nach Art. 1 Abs. 1, 2. Abs. 1 GG, §§ 823 Abs. 1, 1004 Abs. 1 BGB in Ausprägung des Rechts auf informelle Selbstbestimmung vor. Das OLG Frankfurt/M.547) hat entschieden, dass dies nur anders zu ist, wenn ein sog. Überwachungsdruck548) von der Attrappe ausgeht. Diesbezüglich sei der Unterlassungskläger – vorliegend der Besitzer des betroffenen Nachbargrundstücks – beweisbelastet, was ihm in der zitierten Entscheidung nicht gelungen ist, weil weder Schwenkarm noch Steuerungsanlage der blinkenden Attrappen vorhanden waren.549)
Die Videoüberwachung hat somit jedenfalls datenschutzkonform zu erfolgen. 804 Für die im Rahmen einer tatsächlichen Videoüberwachung erforderlichen Informationen ist eine Einzelfallbetrachtung erforderlich. Neben den üblichen Piktogrammen sollte die Kanzlei im Besonderen auch auf 805 Folgendes hinweisen: x
Wer ist der für die Überwachung Verantwortliche? Wer ist der Datenschutzbeauftragte? Wie und wozu findet die Videoüberwachung statt?
___________ 546) Im Einzelnen dazu https://www.haufe.de/compliance/mrwash-muss-64000-eur-wegenunerlaubter-videoueberwachung-zahlen_230128_268740.html (Stand: 24.10.2018). 547) OLG Frankfurt/M., Beschl. v. 12.10.2017 – 3 U 195/16, ZD 7/2018, 313. 548) Durch grds. tatsächlich zur Bildaufzeichnung geeignetes Gerät, dazu ausführlich AG Detmold, Urt. v. 1.3.2018 – 7 C 429/17, ZD 07/2018, 319; weitergehend LG Hamburg, Urt. v. 18.1.2018 – 304 O 69/17, ZD 10/2018, 491 und LG Paderborn, Urt. v. 30.11.2017 – 3 O 182/17, ZD 05/2018, 225 f. 549) OLG Frankfurt/M., Beschl. v. 12.10.2017 – 3 U 195/16, ZD 7/2018, 314 f.
233
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei
Für welche Zeiträume ist die Speicherung der Bilder vorgesehen? Wann erfolgt eine automatische Löschung? x
Warum findet die Videoüberwachung statt (z. B. aus Sicherheitsgründen gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, § 4 BDSG)?
x
Welche Rechte hat der Betroffene (Widerspruchsrecht, Auskunfts- und Berichtigungsanspruch, Anspruch auf Sperrung bzw. Löschung etc.)? Ausnahmsweise, nämlich bei einer spezifischen Auswertungsabsicht bei besonderen personenbezogenen bzw. biometrischen Daten i. S. v. Art. 9 Abs. 1 DSGVO kann gar mit der Videoüberwachung eine Datenvereinbarung einhergehen, die nicht an Art. 6 DSGVO, sondern an Art. 9 Abs. 2 DSGVO zu messen sein kann.550)
II. E-Mail-Nutzung 806 Einleitend muss als Gegenstück zum Vorteil der leichten Handhabbarkeit von E-Mails bzw. deren Kostenersparnis im Vergleich zur digitalen Post in Erinnerung gerufen werden, dass die Rechtsprechung durchweg relativ schnell von einer zu unterlassenden Belästigung durch (Werbe-)E-Mails ausgeht. Beispielsweise hat das LG Frankenthal einem Rechtsanwalt nach Erhalt unaufgeforderter E-Mail-Werbung eines Finanzdienstleistungsunternehmens einen Unterlassungsanspruch eingeräumt. Grund war eine „… erhebliche, im Ergebnis nicht hinnehmbare Belästigung im anwaltlichen Berufsalltag…“.551) 807 Die E-Mail-Nutzung kann – nicht zuletzt aufgrund der leichten Manipulierbarkeit von E-Mails – aber auch spezifisch datenschutzrechtlich relativ schnell heikel werden. Exemplarisch darüber hinaus beispielsweise bei Verwendung personenbezogener E-Mail-Adressen im „cc“ bei „Rund-E-Mails“ u. v. m. Denn auch der E-Mail-Verkehr als solcher unterliegt denselben datenschutzrechtlichen Vorschriften wie alle anderen Kommunikationswege. Die Bekanntgabe von personenbezogenen Daten bzw. deren Übermittlung darf bekannterweise zur Vermeidung eines Bußgeldes grundsätzlich nur mit Rechtmäßigkeit für die jeweilige Zweckerfüllung erfolgen, was bei dem o. g. Beispiel der Rundmail leicht nicht der Fall sein kann. Für die Versendung von Rund-E-Mails, aber auch für den Fall, dass mehrere Personen, z. B. bei einem Vertragsschluss im Umlaufverfahren, beteiligt sein sollten, empfiehlt sich dringend die Verwendung per sog. „bcc“. Mithilfe dieser „Blind-CarbonCopy“-Funktion ist es den anderen Empfängern nicht möglich, die weiteren Empfänger zu identifizieren.552) ___________ 550) Dazu ausführlich Schneider/Schindler, ZD 10/2018, 463, 469. 551) LG Frankenthal, Urt. v. 10.7.2018 – 6 O 322/17, AnwBl. 11/2018, 619 (LS) m. w. N. 552) So auch https://www.lda.bayern.de/media/info_kompakt_mailverteiler.pdf (Stand: 1.4.2019).
234
III. „Kanzlei-Facebook“
Die Kanzleimitarbeiter sollten im Rahmen der gesetzlich vorgeschriebenen Mit- 808 arbeiterschulung (ggf. durch den Datenschutzbeauftragten) auf diese Problematik hingewiesen und dahingehend sensibilisiert werden. Darüber hinaus besteht eine gesetzliche Verpflichtung zur gesonderten Ver- 809 schlüsselung von E-Mails grundsätzlich nicht. Bei der Verwendung von handelsüblichen E-Mail-Programmen findet eine Transportverschlüsselung zwischen den E-Mail Servern statt. Es gibt verschiedene stärkere Verschlüsselungsformen, wie z. B. die PKI-basierte E-Mail-Verschlüsselung, die aber ebenso einen gewissen Aufwand erfordert. Diese Arten der Verschlüsselung sollten in Betracht gezogen werden, wenn besonders sensible Daten versendet werden. Bei E-Mails unterscheiden sich die Löschungsfristen grundsätzlich nicht von 810 anderen Löschungsfristen. Das kann insbesondere bei in der Kanzlei eingehenden E-Mail-Bewerbungen virulent werden. Diesbezüglich und wegen E-Mails etc. wird im Einzelnen auf die Rn. 153 ff. verwiesen. Praxistipp: Sogenannte Datenschutz-Abbinder in E-Mails können sinnvoll sein, insbesondere wenn aus der Anwaltskanzlei auf eine eingehende E-Mail geantwortet wird. Denn mit der Antwort (per entsprechendem Button) erfolgt jedenfalls eine Verarbeitung der E-Mail-Adresse des ersten E-Mail-Absenders. Da es ein Leichtes ist, die in Anwaltskanzleien bereits üblichen E-Mail-Abbinder zur Haftung für den Fall der Fehlleitung etc. dahingehend zu ergänzen und zeitgleich die bestehenden Informationspflichten zu erfüllen, sollte dort ein Hinweis wie „… Die Datenschutzinformationen unserer Kanzlei finden Sie hier: https:// www.musterkanzlei.de/datenschutz…“ zusätzlich aufgenommen werden.
III. „Kanzlei-Facebook“ Nicht selten finden sich insbesondere in standort-/abteilungsübergreifenden 811 (Kanzlei-)Einheiten Mitarbeiterverzeichnisse mit Fotos der jeweiligen Mitarbeiter, deren E-Mail-Adressen, ggf. Geburtsdaten, Anwesenheitsangaben bei Teilzeitkräften etc. Es ist außerdem nicht unüblich, neue Mitarbeiter den bisherigen Kanzleimitarbeitern per E-Mail oder im Kanzlei-Intranet anzukündigen. Das ist zwar nett gemeint und dient der Kommunikation, sollte aber datenschutzkonform praktiziert werden. Beispielsweise lauten bereits § 22 Satz 1 u. 2 KUG: „… Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, daß er sich abbilden ließ, eine Entlohnung erhielt…“
Die aus Beweisgründen demnach bestenfalls schriftlich eingeholte Einwilli- 812 gung des neuen Kollegen ist ebenso obligatorisch wie der Hinweis an die Mitarbeiter, dass die ungenehmigte, ggf. auch nur teilweise Veröffentlichung, Vervielfältigung oder Veränderung etc. entsprechender Mitarbeiterverzeich235
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei
nisse unzulässig ist und wenn überhaupt jedenfalls die schriftliche Einwilligung der Betroffenen voraussetzt. Zur Vermeidung von Wiederholungen wird wegen evtl. Ansprüche auf Berichtigung bzw. Löschung im Einzelnen auf die Rn. 479 ff. und Rn. 482 ff. verwiesen. IV. Informationsblatt vor bzw. bei Mandatsübernahme 813 Man muss sich vor Augen führen, dass das Datenschutzrecht keine Ausnahmen für das besondere Tätigkeitsfeld einer Rechtsanwalts- oder Steuerberaterkanzlei vorsieht. In den Artt. 13, 14 DSGVO ist sehr umfangreich und katalogmäßig dargestellt, was der Gesetzgeber im Rahmen der Informationspflichten von jedem von uns bei der Erhebung personenbezogener Daten beim Betroffenen, also z. B. den Mandanten (Art. 13 DSGVO), oder bei der Erhebung von Daten bei Dritten wie Banken oder sonstigen Beteiligten (Art. 14 DSGVO) erwartet. Nun muss und sollte es sicherlich mit der Information nicht so weit gehen wie in einer Anwaltskanzlei, die „ein Band“ mit den entsprechenden Informationen laufen lässt, indem der Angerufene umfassend über seine Rechte und Pflichten nach dem Datenschutzrecht informiert wird. Erst dann wird mit ihm von der Rezeption persönlich gesprochen. Hier stellt sich bereits die Frage der Praktikabilität. 814 Streng genommen müsste man jedoch z. B. denjenigen, der die Kanzlei angeschrieben hat, informieren bevor dessen Daten in die Kanzlei-EDV aufgenommen werden. Natürlich lässt sich hier in Anwendung von Art. 13 Abs. 4 DSGVO die (konkludente) Einwilligung des Absenders zur entsprechenden Erfassung seiner Daten in der Software der Rechtsanwaltskanzlei unterstellen. Sinnvoll ist es (darüber hinaus) jedoch, Mandanten und auch Dritten vor bzw. mit der Aktenanlage bzw. Vollmachtsübersendung ein Informationsblatt zur Mandatsübernahme mit zu übersenden. Oder wie es einige Kanzleien handhaben, die Informationen nach Art. 13 f. DSGVO sozusagen wie „AGB“ auf der Rückseite des Kopfbogens aufzubringen. 815 Ein entsprechendes Muster findet sich im Kapitel N. unter Rn. 826. V. WhatsApp und andere Messenger-Dienste 816 Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI)553) hat sich mit dem im Dezember 2017 verfassten 3. Tätigkeitsbericht zum Datenschutz im nichtöffentlichen Bereich zur Nutzung von WhatsApp geäußert, und zwar zur datenschutzrechtlichen Zulässigkeit einer Serviceleistung, die in einer Nordthüringer Apotheke angeboten wurde: Arzneimittelvorbestellung über WhatsApp! 817 Hierzu wurde ein Foto vom Rezept oder der Verpackung des bereits vorliegenden Medikaments gefertigt und unter Verwendung der Telefonnummer ___________ 553) Siehe https://tlfdi.de/mam/tlfdi/presse/3._tb_nicht-oeff._webversion_tlfdi.pdf (Stand: 24.10.2018), S. 375; siehe auch ZD-Aktuell 2018, 06003.
236
IV. Informationsblatt vor bzw. bei Mandatsübernahme
und des Namens des Bestellenden übermittelt. Vor allem bei Rezepten handelt es sich um besonders schützenswerte, personenbezogene Daten nach § 3 Abs. 9 BDSG, da Informationen zu den vorliegenden Krankheiten oder dem Gesundheitszustand des Bestellers abgeleitet werden können, so der TLfDI damals zu Recht aufgrund der besonderen Daten. Weiterhin wird bei diesem Kunden-/Patientenverhalten z. B. aber auch die Tele- 818 fonnummer als personenbezogenes Datum an WhatsApp und an den Apotheker übermittelt. Letzteres ist wahrscheinlich nicht das größte Übel. Analog würde hier aber auch mit dem Adressbuch des Anwalts auf seinem Smartphone umgegangen werden. Zusätzlich dazu wird bei der Nutzung dieses Messenger-Dienstes das hinterlegte Adressbuch des Nutzers, hier des Anwalts- oder Kanzleimitarbeiters, mit ausgelesen und alle diese Kontaktdaten ungefragt an WhatsApp übertragen und auf den Servern in Kalifornien/USA gespeichert. Eine entsprechende Einwilligung dazu dürfte niemand von uns vorliegen haben. Letztlich hat auch das OVG Hamburg554) erhebliche Zweifel an der Recht- 819 mäßigkeit einer WhatsApp-Nutzung geäußert; im Wesentlichen wegen der Frage einer rechtmäßigen Einwilligung und der i. E. überwiegenden Interessen der Betroffenen. Zudem ist nach wie vor unklar, was im Ergebnis mit diesen Daten geschieht. 820 WhatsApp erhält Kenntnis von den Metadaten wie IP-Adresse, Geräte-ID, Zeitpunkt und vielem mehr, was zur Erstellung von Nutzerprofilen verwertet werden kann und vermutlich auch wird. Das „Horrror-Szenario“ einer „gemeinsamen Verantwortlichkeit“ für das, was dort zwischen Rechtsanwalt und Facebook geschieht, mag man sich gar nicht vorstellen. Wie das weitere Prozedere innerhalb der Apotheke aussieht, z. B. was das 821 Löschen der übermittelten Fotos nach Empfang und Auswertung betrifft, kann hier dahinstehen. Analog dieser Betrachtung müssen jedenfalls auch in der Anwaltskanzlei technisch-organisatorische Maßnahmen zur Datensicherheit getroffen, umgesetzt und eingehalten werden (ausführlich dazu siehe Rn. 245 ff.). 822
Exkurs: Jedenfalls so lange, wie „alternative“ Messenger-Dienste wie das aus der Schweiz stammende und angabegemäß datenschutzkonforme Threema in der Praxis kaum tatsächliche Alternativen sind: Im Zuge der Vorträge zu dem Thema Datenschutz in der Insolvenzverwalterkanzlei haben sich die Autoren Gedanken gemacht, ob und wie der Datenschutz in dem Bereich tatsächlich zu leben ist: Auf die Mitteilung, WhatsApp bitte zukünftig nicht mehr geschäftlich zu nutzen, erntete man mitunter nur ein müdes Lächeln der Kontakte bzw. Fragen wie „im Ernst?!?“. Nach Erwerb der entgeltlichen Three___________ 554) OVG Hamburg, Beschl. v. 26.2.2018 – 5 Bs 93/17, ZD 05/2018, 230, 233.
237
L. Bedeutende Hinweise zum Datenschutz in einer Anwaltskanzlei
ma555)-Lizenz stellte sich bald darüber hinaus Ernüchterung ein: Von ca. 500 WhatsApp-Kontakten hatten 12 Teilnehmer – das entspricht ganzen 2,4 Prozent (!) – den alternativen Messanger-Dienst zur Verwendung.556) In der Praxis also zu vernachlässigen – noch. 823 Als Fazit kann man festhalten, dass die geschäftliche Nutzung von WhatsApp datenschutzrechtlich jedenfalls nach wie vor bedenklich ist. Stand heute scheint sie mangels tatsächlich praktikabler Alternativen und trotz Bußgeldund gar gerichtlich festgestellter Delikts-Risiken557) immer noch verbreitet. Ob sog. „Container-Lösungen“558) bis dahin vor datenschutzrechtlichen Sanktionen schützen, soweit per verschlüsseltem „Container“ Unternehmensinformationen geschützt und vom privaten Bereich auf dem Smartphone technisch getrennt werden, kann genauso wie die Frage, ob man mit oder ohne diese Lösungen gegen die WhatsApp-Nutzungsbedingungen verstößt, nur im Einzelfall beleuchtet werden. Praxistipp: Der Kanzlei ist, um „auf Nummer sicher zu gehen“ zu empfehlen, die Nutzung von Messenger-Diensten wie WhatsApp zu untersagen oder/und die Mitarbeiter anzuweisen, SMS oder ähnliche Dienste wie Threema zu verwenden.
___________ 555) Zu dieser Alternative und anderen Alternativen siehe https://praxistipps.chip.de/stiftungwarentest-whatsapp-alternativen-im-datenschutz-test_27876 (Stand: 24.10.2018). 556) Etwa im Zeitraum Oktober 2018. 557) AG Bad Hersfeld, Beschl. v. 15.5.2017 – F 120/17 EASO, Ls. 5. 558) Dazu https://www.mittelstand-nachrichten.de/technologie/auswahl-einer-containerloesung/ (Stand: 24.10.2018).
238
M. Fazit Das ZIP Praxisbuch hat zusammenfassend aufgezeigt, dass eine Sensibilität 824 im Umgang mit Daten bzw. EDV nicht nur nötig, sondern auch möglich ist. Dies wird sicher für die Insolvenzkanzlei wie für andere „Unternehmen“ auch nicht einfach werden, insbesondere aufgrund der Ausprägung des Amtes des Insolvenzverwalters und dem damit einhergehenden Bezug bzw. Kontakt zu einer Vielzahl von Daten in der Kanzlei, beim Schuldner und im Betrieb. Ähnlich wie – inzwischen – für uns üblichere Problemfelder wie „Schrottimmobilien“, insbesondere aber dem Insolvenzsteuerrecht, werden Insolvenzkanzleien sich mit jedem datenschutzkonformen Schritt immer mehr an den Datenschutz gewöhnen und ihn recht bald schon als Erweiterung bzw. zusätzliche Säule des Qualitätsmanagement (er-)leben und fortschreiben,559) das Rechtsgebiet gar mit fortentwickeln. Hierbei handelt es sich nicht um die Auffassung von Datenschützern oder 825 den Autoren dieses ZIP Praxisbuches, die sich seit geraumer Zeit in Theorie und Praxis mit der Sondermaterie „Datenschutz in der Insolvenzkanzlei“ befassen und befassen werden. Woltersdorf hat in seinem Beitrag im INDat Report560) einige renommierte (Insolvenz-)Praktiker zu Wort kommen lassen. Er resümiert zutreffend: „… 3. Die EU-Vorgaben sind in die Spezifika der Insolvenzverwaltung und deren Abläufe, in die der Datenschutz hineinwirkt, zu implementieren. Das sind vor allem das Gläubigermanagement, die Auftragsverarbeitung und der Asset Deal…“.
___________ 559) Woltersdorf, INDat Report 02/2018, 12 führt zu Recht zum Datenschutzmanagementsystem aus: „Ist ein solches System allerdings installiert, sind die Herausforderungen durch die DSGVO händelbar.“. 560) Woltersdorf, INDat Report 02/2018, 11.
239
N. Muster und Formulierungsvorschläge Auch der Kollege Härting hat es treffend ausgedrückt: „Nach dem neuen Recht gibt es keine Zweifel mehr, dass – auch bei mandatsbezogenen Daten, sofern sie Bezug zu einer natürlichen Person haben – das Datenschutzrecht in seiner ganzen Härte gilt, ob uns Anwälten das gefällt oder nicht.561) […] Der Datenschutz bekommt durch drakonische Bußgelder Zähne – und das ist vom Gesetzgeber beabsichtigt.“562)
Es gilt, auch in der Insolvenzkanzlei soweit wie möglich vorzubeugen. Einige 826 Muster bzw. Formulierungsvorschläge zu den in diesem ZIP Praxisbuch abgehandelten Themen werden in diesem Kapitel wiedergegeben. Bei den Mustern handelt es sich um Empfehlungen und Vorschläge ohne den Anspruch, dass diese Zustimmung bei den Aufsichtsbehörden finden. Insbesondere bezüglich der Muster zu Einwilligungen von Mitarbeitern sei auf die Ausführungen zu Rn. 509 ff. verwiesen. Hinweis: Es handelt sich hierbei um Muster und Vorschläge, die mit größter Sorgfalt erstellt wurden. Bitte beachten Sie, dass diese Muster und Vorschläge unverbindliche Empfehlungen darstellen und in den konkreten Einzelfällen ggf. geändert bzw. ergänzt werden müssen.
Darüber hinaus finden sich zu diesen, aber auch anderen Vorgängen, die in 827 der Insolvenzkanzlei auftreten können, recht hilfreiche Vorlagen im Internet.563) Daneben gibt es auch erste Zugriffsmöglichkeiten für Kanzlei und Schuldnerbetrieb durch Vorlagen und Handreichungen von Datenschutzbehörden etc.564) Damit verfügt man jedenfalls über eine nicht unkritische und auf den konkreten Einzelfall anwendbare Vorlagenidee. I. Muster Auftragsverarbeitungsvereinbarung Unter folgenden ausgewählten Internetadressen werden Muster für eine Auf- 828 tragsverarbeitungsvereinbarung verschiedener Organisationen zur Verfügung gestellt, die auf den jeweils vorliegenden Sachverhalt entsprechend angepasst werden können: x
Bayrisches Landesamt für Datenschutzaufsicht (BayLfD): https://www.lda.bayern.de/media/muster_adv.pdf (Stand 5.4.2019)
___________ 561) Henke/Lührig/Härting, AnwBl. 5/2018, 263, 264. 562) Henke/Lührig/Härting, AnwBl. 5/2018, 263. 563) Ohne Anspruch auf Vollständigkeit bzw. Aussage zur Güte der Vorlagen z. B. https:// anwaltverein.de/de/praxis/datenschutz (Stand: 1.4.2019) oder https://www.soldan.de/ dr.-robert-kazemi-die-eu-datenschutzgrundverordnung-und-das-dsanpug-eu-bdsg-neu-inder-eigenen-kanzlei-ebroschuere-1313550.html?number=1313550 (Stand: 1.4.2019) bzw. https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_6.pdf (Stand: 1.4.2019). 564) Siehe u. a. https://www.lda.bayern.de/de/orientierungshilfen.html (Stand: 1.4.2019).
241
N. Muster und Formulierungsvorschläge
x
Bundesverband Informationswirtschaft Telekommunikation und neue Medien e. V.: https://www.bitkom.org/sites/default/files/file/import/170515Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf (Stand 5.4.2019)
x
Landesbeauftragte für Datenschutz Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/ 2018/01/muster_adv.pdf (Stand 5.4.2019)
x
Landesbeauftragte für den Datenschutz Niedersachsen: https://www.lfd.niedersachsen.de/download/127630 (Stand 5.4.2019)
x
Gesellschaft für Datenschutz und Datensicherheit (GDD): https://www.gdd.de/…/Mustervertrag_zur_Auftragsverarbeitung_DSGVO.docx (Stand 5.4.2019)
242
II. Muster Informationspflichten gemäß Artt. 12 ff. DSGVO
II. Muster Informationspflichten gemäß Artt. 12 ff. DSGVO 829
243
N. Muster und Formulierungsvorschläge
III. Einwilligung zur Nutzung von Fotoaufnahmen und zur Weitergabe personenbezogener Daten 830
244
IV. Einwilligung Mitarbeiter zu Fotoaufnahmen für die Webseite
IV. Einwilligung Mitarbeiter zu Fotoaufnahmen für die Webseite 831
245
N. Muster und Formulierungsvorschläge
V. Muster Verzeichnis der Verarbeitungstätigkeiten 832 Unter folgenden ausgewählten Internetadressen werden Muster für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verschiedener Organisationen zur Verfügung gestellt, die auf den jeweils vorliegenden Sachverhalt entsprechend angepasst werden können: x
Deutscher Anwaltverein e. V.: https://anwaltverein.de/de/praxis/datenschutz (Stand 5.4.2019)
x
Landesbeauftragte für Datenschutz und Informationsfreiheit NordrheinWestfalen: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Hinweis-und-Musterzum-neuen-Verzeichnis-von-Verarbeitungstaetigkeiten/Hinweis-und-Musterzum-neuen-Verzeichnis-von-Verarbeitungstaetigkeiten.html (Stand 5.4.2019)
x
Landesbeauftragte für Datenschutz Niedersachsen: https://www.lfd.niedersachsen.de/themen/wirtschaft/verfahrensverzeicnis_und_ verfahrensregister_nach_bdsg/verfahrensregister-und-verfahrensbeschreibungfuer-den-nicht-oeffentlichen-bereich-56247.html (Stand 5.4.2019)
x
Gesellschaft für Datenschutz und Datensicherheit (GDD): https://www.gdd.de/downloads/praxishilfen/Muster_VVT.docx (Stand 5.4.2019)
246
O. Gesetze und Rechtsprechung Die wesentlichen Gesetze bzw. Verordnungen, einige der erwähnten Urteile, 833 daneben Übersichten und Arbeitshilfen helfen dem Leser dieses ZIP Praxisbuches ergänzend, sich über das Buch hinaus in die Materie des Datenschutzes in der Insolvenzkanzlei einzufinden. Näheres siehe im Anhang. Auch Entscheidungen von Aufsichtsbehörden und deren Beweggründe un- 834 terstützen den Anwender bei der Beantwortung der datenschutzrechtlichen Fragestellungen. Praxistipp: Hilfreiche Synopsen zum „alten und neuen“ Recht, aber auch zur DSGVO sowie zum BDSG 2018 nebst korrespondierender Erwägungsgründe finden sich im Internet.
Rechtsprechung 835
LG Stuttgart, Beschl. v. 15.2.2019 – 12 O 33/19 (Insolvenzverwalter als öffentliche Stelle i. S. d. DSGVO) OLG München, Teilurt. v. 24.10.2018 – 3 U 1551/17 (Auskunft über Abnehmers eines Krans mit Anschrift, Vertragsdatum, Typ, Kaufpreis und Vergütung) LG Frankfurt/Main, Urt. v. 13.9.2018 – 2-03 O 283/18, JurionRS 2018, 34422 (§§ 22 f. Kunsturhebergesetz (KUG) anwendbar i. R. v. Art. 6 Abs. 1 lit. f) DSGVO) BGH, Urt. v. 12.7.2018 – III ZR 183/17, juris (Digitaler Nachlass) EuGH, Urt. v. 5.6.2018 – C-210/16, Curia-Dokumente (Facebook Fanpage) AG Brandenburg, Urt. v. 31.1.2018 – 31 C 212/17, ZD 06/2018, 277 (Kein Arbeitgeberzugriff auf gemischt genutzten Facebook-Account) VG Karlsruhe, Urt. v. 6.7.2017 – 10 K 7698/16, BB 2017, 2449 (Datenschutzgrundverordnung, an Auskunftei gerichtete datenschutzrechtliche Verfügung) AG Rockenhausen, Urt. v. 9.8.2016 – 2 C 341/16, ZD 2017, 84 (m. Anm. Heyer) (App zu Insolvenzbekanntmachungen) LAG Köln, Urt. v. 12.1.2015 – 5 Sa 873/14, BeckRS 2015, 66721 (Datenschutzbeauftragter, Teilkündigung) OLG Köln, Urt. v. 17.1.2014 – 6 U 167/13, NJW 2014, 1820 (Unzulässige Datenverwendung zur Mandatsakquise Anlegerbrief) LAG Berlin-Brandenburg, Urt. v. 15.10.2013 – 3 Sa 567/13, BeckRS 2015, 73367 (Betriebsübergang, Datenschutzbeauftragter)
247
P. Erwägungsgründe DSGVO Die der DSGVO beigefügten Erwägungsgründe – insgesamt 173 – dienen der 836 besseren Auslegung der Rechtsnormen. Sie zeigen dem Anwender auf, welche Gedanken und Überlegungen zum Erlass der DSGVO geführt haben. Darüber hinaus enthalten die Erwägungsgründe auch politische Grundsätze und Absichten des Gesetzgebers und sollen zum besseren Verständnis beitragen. Nachfolgend ein Überblick über die im ZIP-Praxisbuch explizit besproche- 837 nen Erwägungsgründe:565) Erwägungsgrund 26 Keine Anwendung auf anonymisierte Daten*) 1
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die 838 sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 2 Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. 3Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. 4Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. 5Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. 6Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke. Erwägungsgrund 32 Einwilligung**) 1
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, 839 mit der freiwillig, für den konkreten Fall, in informierter Weise und unmiss___________
565) Zu den weiteren Erwägungsgründen siehe https://dsgvo-gesetz.de/erwaegungsgruende/ (Stand: 31.3.2019). *) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
249
P. Erwägungsgründe DSGVO
verständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. 2Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. 3Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. 4Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. 5Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. 6Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen. Erwägungsgrund 39 Grundsätze der Datenverarbeitung*) 840
1
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. 2Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. 3Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. 4Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. 5Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. 6 Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. 7Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung ___________ *)
250
Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
P. Erwägungsgründe DSGVO
notwendige Maß beschränkt sein. 8Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. 9Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. 10Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. 11Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. 12Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Erwägungsgrund 58 Grundsatz der Transparenz*) 1
Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit 841 oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. 2Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. 3Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. 4Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann. Erwägungsgrund 62 Ausnahmen von der Informationspflicht**) 1
Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, 842 wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. 2Letzteres könnte insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. ___________ *) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
251
P. Erwägungsgründe DSGVO 3
Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden. Erwägungsgrund 63 Auskunftsrecht*)
843
1
Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. 2Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. 3Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. 4Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. 5Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. 6Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. 7Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Erwägungsgrund 75 Risiken für die Rechte und Freiheiten natürlicher Personen**)
844 Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, ___________ *) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
252
P. Erwägungsgründe DSGVO
einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft. Erwägungsgrund 85 Meldepflicht von Verletzungen an die Aufsichtsbehörde*) 1 Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht 845 rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. 2Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. 3Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müs-
___________ *)
Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
253
P. Erwägungsgründe DSGVO
sen, und die Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden. Erwägungsgrund 91 Erforderlichkeit einer Datenschutz-Folgenabschätzung*) 846
1
Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren. 2Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden. 3Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen. 4Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. 5In diesen Fällen sollte eine DatenschutzFolgenabschätzung nicht zwingend vorgeschrieben sein. Erwägungsgrund 97 Datenschutzbeauftragter**)
847
1 In Fällen, in denen die Verarbeitung durch eine Behörde – mit Ausnahmen von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrer justi___________
*) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes. **) Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
254
P. Erwägungsgründe DSGVO
ziellen Tätigkeit handeln –, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. 2Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. 3Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können. Erwägungsgrund 148 Sanktionen*) 1
Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser 848 Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. 2Im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. 3Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. 4Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen. ___________ *)
Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
255
Q. Legal Tech: Zuhilfenahme von Software? Nicht nur die Digitalisierung schreitet voran. Immer mehr (Startup-)Unter- 849 nehmen reagieren, indem sie ihre Produkte dem neuen, digitalen Zeitalter anpassen.566) Der Begriff „Legal Tech“ oder „Legal Technology“ bezeichnet seit geraumer Zeit die Bestrebung, per Software bzw. online bis dato originär juristische (Hand-)Arbeitsprozesse in möglichst weitem Umfang zu „automatisieren“.567) Ausgabe 11/2018 des Anwaltsblatts befasst sich quantitativ in weitem Umfang mit diesem Thema. Auf mehreren Seiten finden sich Links zu entsprechenden Programmen für Unterstützungssoftware.568) Natürlich zu den „gängigeren“ Bereichen wie Vertragserstellung, Anwaltsvergütung nach dem RVG, aber auch zur Workflowoptimierung. In diesem Zusammenhang stellt sich die Frage, ob die in diesem ZIP Praxisbuch abgehandelte Thematik zum möglichst datenschutzkonformen Umgang mit personenbezogenen Daten ebenfalls softwareunterstützend angegangen werden kann. Gibt es solche überhaupt? Ja! Im Internet569) finden sich die unterschiedlichsten Anbieter,570) mitunter sogar kostenlose Angebote.571) Aus Großunternehmen abgeleitete Software ermöglicht die systematische Erfassung üblicherweise und bei vergleichbaren Unternehmen/Büros wichtiger und gewichtiger Parameter im Bereich Datenschutz – also wäre dies bzw. die Anwendbarkeit dieser Software grundsätzlich innerhalb der Kanzlei vorstellbar, aber auch zur Verwendung in dem schuldnerischen Betrieb, z. B. im Auftrag des Insolvenzverwalters an den Geschäftsführer, das in dem vom Insolvenzverwalter fortgeführten Betrieb evtl. vorhandene Datenschutzrisiko zu ermitteln. Was aber, wenn eine verwendete Software nun auf ein Datenschutzrisiko (quantitativ) hinweist, der Insolvenzverwalter dem bzw. der Behebung aber z. B. „mangels Masse“ nicht nachkommen kann: Handelt er als Verantwortlicher dann gar vorsätzlich oder mindestens grob fahrlässig? Diese kurzen Gedanken zeigen, dass auch der Einsatz von Software im Datenschutzbereich mit Augenmaß bzw. Fingerspitzengefühl erfolgen sollte. Software erscheint jedoch grundsätzlich und insbesondere im Bereich des Verarbeitungsverzeichnisses (ausführlich dazu siehe Rn. 216 ff.), eines Datenmanagements und eventuell auch der Datenschutz-Folgeabschätzung sinnvoll (siehe Rn. 204 ff.).
___________ 566) Rücker/Kugler, New European General Data Protection Regulation, Foreword, V. 567) Ausführlich auch zu Vor-/Nachteilen: https://anwaltsblatt.anwaltverein.de/de/ anwaeltinnen-anwaelte/anwaltspraxis/deutscher-anwaltstag-legal-tech-ist-chance-fuerkleinere-kanzleien (Stand: 31.3.2019). 568) Ausgabe 11/2018 des Anwaltsblatts, S. 587, 596 sowie Fn. 12 auf S. 601. 569) Ohne Anspruch auf Vollständigkeit und Auskunft zur Güte des Angebotes. 570) Siehe beispielsweise https://www.dsgvo-software.com/ (Stand: 31.3.2019). 571) Siehe https://drschwenke.de/dsgvo-ready-datenschutz-generator-de-kostenlos/ (Stand: 31.3.2019).
257
R. Ultima Ratio: Versicherbarkeit entsprechender Risiken Auch wenn das vorliegende ZIP Praxisbuch dabei hilft, sich in der Insol- 850 venzkanzlei im „Datenschutz-Dschungel der DSGVO“572) vermehrt zurechtzufinden: Bis heute und sicherlich noch einige Zeit wird unklar sein, wie die Behörden, aber auch Betroffene und insbesondere Insolvenzschuldner, mit ihren Rechten gegenüber dem Insolvenzverwalter und dessen Kanzlei umgehen. Möglicherweise eskaliert die Situation dergestalt, dass gar der Rechtsweg gegen ein Auskunftsbegehren etc. beschritten werden muss. Noch vielmehr stellt sich die Frage, ob ein Bußgeldrisiko – wenigstens mittelbar – versicherbar ist. Die nachfolgenden Folien skizzieren exemplarisch die Möglichkeiten nach heutigem Stand: Versicherungsmöglichkeiten bei Datenschutzverstößen
Bußgeldrisiko Betroffene Versicherungen: VermögenssschadenHaftpflicht des Unternehmens/ Kanzlei D&O VermögenssschadenHaftpflicht des externen/internen Datenschutzbeauftragten
GEFAHR: Wenn die Behörden gegen Unternehmen und ihre Manager ermitteln, können Geldbußen drohen.
im voraus gegebene Erstattungszusagen nach deutschem Recht sittenwidrig und NICHT versicherbar
Keine Deckung Funktionierender Innenregress beim Manager über D&O Funktionierender Innenregress beim Datenschutzbeauftragten über seine Haftpflicht
Wichtig: ausreichend hohe Versicherungssummen, die mit dem Bußgeldrisiko korrespondieren Fülling & Meysenburg GmbH & Co. KG Assekuranzmakler seit 1958, http://f-u-m.de, [email protected], 0201/82 01 80; Gerhard Embser und Wolfgang Nuyken
Abb. 5: Versicherbarkeit – Bußgeldrisiko
___________ 572) So das Zitat bzw. die Einschätzung eines Zuhörers in einem entsprechenden RWSSeminar, siehe https://www.rws-seminare.de/praktiker-seminar-datenschutz-in-der-insolvenzverwalterkanzlei-2191044/ (Stand: 31.3.2019).
259
R. Ultima Ratio: Versicherbarkeit entsprechender Risiken Versicherungsmöglichkeiten bei Datenschutzverstößen
Rechtsschutzversicherung 01
02
Verteidigung wegen einer Straftat oder Ordnungswidrigkeit in Bezug auf Datenschutzverletzungen inkl. Vorsatz und Verbrechen, auch bei Honorarvereinbarungen Wahrnehmung der rechtlichen Interessen vor deutschen Verwaltungsgerichten, die sich aus vorgeworfenen Datenschutzpflichtverletzungen ergeben
03
Für die aktive Durchsetzung von Schadenersatzansprüchen, die sich aus Datenschutzpflichtverletzungen ergeben (für den Innenregress!)
04
Deckungsklage-Rechtsschutz gegen eigenen CyberVersicherer
01
Straf-/OWIRechtsschutz
04
02
Verwaltungs- VersicherungsVertragsRechtsschutz Rechtsschutz 03
SchadenersatzRechtsschutz
Fülling & Meysenburg GmbH & Co. KG Assekuranzmakler seit 1958, http://f-u-m.de, [email protected], 0201/82 01 80; Gerhard Embser und Wolfgang Nuyken
Abb. 6: Versicherbarkeit – Rechtschutzversicherung
Praxistipp: Für den Insolvenzverwalter empfiehlt es sich, für sich und seine Kanzlei allgemein, ggf. aber auch für das jeweilige Insolvenzverfahren je nach Vorhandensein von (kritischer/n) EDV/Daten, die Versicherungsagentur seines Vertrauens vorbereitend zu Sinn und Möglichkeiten der Absicherung von Cyber-/ Datenschutzverstößen573) zu konsultieren. Inwieweit eine derartige Versicherung analog z. B. der Haftpflichtversicherung für den Gläubigerausschuss bzw. dessen Mitglieder574) die Masse belasten kann, soll hier nicht beleuchtet werden.
___________ 573) Weitere Beispiele siehe https://www.hoesch-partner.de (Stand: 30.10.2018). 574) Zu dem Thema ausführlich Heyn/Kreuznacht/Voß, Arbeitshilfen für Insolvenzsachbearbeiter, Rn. 72.
260
Anhang Gesetze und Verordnungen BDSG 2018 https://www.gesetze-im-internet.de/bdsg_2018/BJNR209710017.html
Vertrauensdienstegesetz (VDG) vom 18. Juli 2017 (BGBl. I S. 2745) zuletzt geändert durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745)
Teil 1 Allgemeine Bestimmungen §1 Anwendungsbereich (1) Dieses Gesetz regelt die wirksame Durchführung der Vorschriften über Vertrauensdienste in der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73) in der jeweils geltenden Fassung. (2) Unberührt bleiben Rechtsvorschriften, die die Nutzung bestimmter Vertrauensdienste und die hierfür zu verwendenden Produkte regeln. §2 Aufsichtsstelle; zuständige Stelle für die Informationssicherheit (1) Die Aufgaben der Aufsichtsstelle nach Artikel 17 der Verordnung (EU) Nr. 910/2014 und nach diesem Gesetz sowie nach der Rechtsverordnung nach § 20 obliegen 1. der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) für die Bereiche a) Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel und Dienste für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten nach Artikel 3 Nummer 16 Buchstabe a der Verordnung (EU) Nr. 910/2014 und b) Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten nach Artikel 3 Nummer 16 Buchstabe c der Verordnung (EU) Nr. 910/2014 und
261
Anhang
2. dem Bundesamt für Sicherheit in der Informationstechnik für den Bereich Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung nach Artikel 3 Nummer 16 Buchstabe b der Verordnung (EU) Nr. 910/2014. (2) Von der Aufgabenzuweisung an die Bundesnetzagentur unberührt bleiben die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik nach dem BSI-Gesetz und nach weiteren Fachgesetzen, insbesondere 1. bei der Erstellung technischer Standards in nationalen, europäischen und internationalen Gremien in Abstimmung mit der Bundesnetzagentur, 2. die Bewertung von Algorithmen und zugehörigen Parametern sowie 3. die Erstellung technischer Vorgaben und die Bewertung technischer Standards für den Einsatz von Vertrauensdiensten in Digitalisierungsvorhaben nach Maßgabe der entsprechenden Fachgesetze. (3) Das Bundesamt für Sicherheit in der Informationstechnik ist die für die Informationssicherheit zuständige nationale Stelle im Sinne von Artikel 19 Absatz 2 der Verordnung (EU) Nr. 910/2014. §3 Verfahren über eine einheitliche Stelle Verwaltungsverfahren nach diesem Gesetz oder nach der Rechtsverordnung nach § 20 können über eine einheitliche Stelle im Sinne des Verwaltungsverfahrensgesetzes abgewickelt werden. §4 Aufsichtsmaßnahmen; Untersagung des Betriebs (1) Ergänzend zu den Aufgaben aus der Verordnung (EU) Nr. 910/2014 obliegt der Aufsichtsstelle auch die Aufsicht über die Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20. (2) Die Aufsichtsstelle kann gegenüber Vertrauensdiensteanbietern die erforderlichen Maßnahmen zur Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20 treffen. Zur Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20 kann sie von Vertrauensdiensteanbietern Nachweise anfordern und selbst Überprüfungen vornehmen. Im Übrigen stehen der Aufsichtsstelle die Maßnahmen nach der Verordnung (EU) Nr. 910/2014, insbesondere nach Artikel 17 Absatz 4, auch zur Durchsetzung dieses Gesetzes sowie der Rechtsverordnung nach § 20 zur Verfügung. (3) Die Aufsichtsstelle kann einem Vertrauensdiensteanbieter den Betrieb vorübergehend, teilweise oder ganz untersagen, wenn 1. Maßnahmen nach Artikel 17 Absatz 4 Buchstabe j der Verordnung (EU) Nr. 910/2014 keinen Erfolg versprechen und 262
Gesetze und Verordnungen
2. Tatsachen die Annahme rechtfertigen, dass der Anbieter die Voraussetzungen für den Betrieb eines Vertrauensdienstes nach der Verordnung (EU) Nr. 910/2014 sowie nach diesem Gesetz und nach der Rechtsverordnung nach § 20 nicht erfüllt. §5 Mitwirkungspflichten der Vertrauensdiensteanbieter (1) Zur Prüfung der Einhaltung ihrer Verpflichtungen haben der Vertrauensdiensteanbieter und die für ihn tätigen Dritten den Bediensteten und Beauftragten 1. der Aufsichtsstelle das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten, 2. der Aufsichtsstelle auf Verlangen die in Betracht kommenden Bücher, Aufzeichnungen, Belege, Schriftstücke und sonstigen Unterlagen zur Einsicht vorzulegen, auch soweit sie in elektronischer Form geführt werden, 3. der Aufsichtsstelle Auskunft zu erteilen und 4. der Aufsichtsstelle die erforderliche Unterstützung zu gewähren. (2) Die zur Erteilung einer Auskunft verpflichtete natürliche Person kann die Auskunft auf solche Fragen verweigern, deren Beantwortung sie selbst oder einen der in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Hierüber ist die Person zu belehren. Die Vorschriften über die Glaubhaftmachung des Verweigerungsgrundes nach § 56 der Strafprozessordnung sind entsprechend anzuwenden. Die Sätze 1 und 2 gelten für die Vorlage von Unterlagen entsprechend. §6 Haftung Ein Vertrauensdiensteanbieter haftet für Dritte, die er mit Aufgaben nach der Verordnung (EU) Nr. 910/2014, nach diesem Gesetz und nach der Rechtsverordnung nach § 20 beauftragt hat, wie für eigenes Handeln. Die Vorschrift zum Nichteintritt der Ersatzpflicht nach § 831 Absatz 1 Satz 2 des Bürgerlichen Gesetzbuchs ist nicht anzuwenden. §7 Barrierefreie Dienste (1) Soweit möglich, haben Vertrauensdiensteanbieter die von ihnen angebotenen Vertrauensdienste für Menschen mit Behinderungen zugänglich und nutzbar zu machen. Soweit sie für die Nutzung der Vertrauensdienste erforderliche Endnutzerprodukte von Drittanbietern anbieten, haben sie, soweit 263
Anhang
möglich, auch mindestens ein marktübliches Endnutzerprodukt für Menschen mit Behinderungen anzubieten. Bei der Bewertung der Durchführbarkeit von Maßnahmen nach den Sätzen 1 und 2 sind auch technische und wirtschaftliche Belange zu berücksichtigen. (2) Die Vertrauensdiensteanbieter haben auf ihrer Internetseite über die von ihnen vorgenommenen Maßnahmen zur Barrierefreiheit der Vertrauensdienste und der zur Erbringung solcher Dienste verwendeten Endnutzerprodukte zu informieren. Außerdem haben sie dort Hinweise zu geben, die die Nutzung der von ihnen angebotenen Vertrauensdienste und der hierbei verwendeten Endnutzerprodukte durch Menschen mit Behinderungen erleichtern. Diese Informationen und Hinweise sowie die Informationen, die sich an alle Verbraucher richten, müssen nach Maßgabe der Rechtsverordnung nach § 20 barrierefrei zugänglich und nutzbar sein. (3) Barrieren können von jedermann der Aufsichtsstelle gemeldet werden. §8 Datenschutz (1) Unbeschadet anderer Rechtsgrundlagen dürfen Vertrauensdiensteanbieter auch bei Dritten personenbezogene Daten verarbeiten, soweit dies für die Erbringung, einschließlich der Prüfung und Sicherstellung der rechtlichen Gültigkeit, des jeweiligen Vertrauensdienstes erforderlich ist. (2) Der Vertrauensdiensteanbieter darf personenbezogene Daten einer Person, die Vertrauensdienste nutzt, den zuständigen Stellen übermitteln, 1. soweit die zuständigen Stellen die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist a) für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, b) zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder c) für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder 2. soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Die Berechtigung zur Datenübermittlung nach Satz 1 Nummer 1 gilt nicht, soweit sie durch andere Gesetze ausdrücklich ausgeschlossen ist. (3) Die Vertrauensdiensteanbieter haben die Übermittlung zu dokumentieren. Die Dokumentation ist zwölf Monate aufzubewahren. (4) Hat die zuständige Stelle ein Verlangen nach Datenübermittlung nach Absatz 2 Nummer 1 gestellt, so unterrichtet sie die betroffene Person über 264
Gesetze und Verordnungen
die erfolgte Übermittlung der Daten. Von der Unterrichtung kann abgesehen werden, solange die Wahrnehmung der gesetzlichen Aufgaben gefährdet würde und solange das Interesse der betroffenen Person an der Unterrichtung nicht überwiegt. Fünf Jahre nach der Übermittlung kann endgültig von der Benachrichtigung abgesehen werden, wenn die Voraussetzungen für die Benachrichtigung mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht eintreten werden. (5) Die allgemeinen Datenschutzanforderungen bleiben unberührt. Teil 2 Allgemeine Vorschriften für qualifizierte Vertrauensdienste §9 Vertrauenslisten Die Bundesetzagentur ist für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten nach Artikel 22 Absatz 1 der Verordnung (EU) Nr. 910/2014 zuständig. § 10 Deckungsvorsorge Die Mindestsumme für die gemäß Artikel 24 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 910/2014 erforderliche angemessene Deckungsvorsorge beträgt jeweils 250 000 Euro für einen Schaden, der durch ein haftungsauslösendes Ereignis gemäß Artikel 13 der Verordnung (EU) Nr. 910/2014 verursacht worden ist. § 11 Identitätsprüfung (1) Die Bundesnetzagentur legt nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Verfügung im Amtsblatt fest, welche sonstigen Identifizierungsmethoden im Sinne des Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d Satz 1 der Verordnung (EU) Nr. 910/2014 anerkannt sind und welche Mindestanforderungen dafür jeweils gelten. (2) Die Bundesnetzagentur überprüft die Verfügung nach Absatz 1 regelmäßig im Abstand von vier Jahren sowie 1. bei der begründeten Annahme, dass Methoden nicht mehr hinreichend sicher sind, oder 2. auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik. (3) Innovative Identifizierungsmethoden, die noch nicht durch Verfügung im Amtsblatt anerkannt sind, können von der Bundesnetzagentur im Ein-
265
Anhang
vernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und nach Anhörung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für einen Zeitraum von bis zu zwei Jahren vorläufig anerkannt werden, sofern eine Konformitätsbewertungsstelle die gleichwertige Sicherheit der Identifizierungsmethode im Sinne des Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 bestätigt hat. Die Bundesnetzagentur veröffentlicht die vorläufig anerkannten Identifizierungsmethoden auf ihrer Internetseite. Die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik überwachen die Eignung der vorläufig anerkannten Identifizierungsmethoden über den gesamten Zeitraum der vorläufigen Anerkennung. Werden durch die Überwachung sicherheitsrelevante Risiken bei der vorläufig anerkannten Identifizierungsmethode erkannt, so kann die Aufsichtsstelle im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik dem qualifizierten Vertrauensdiensteanbieter die Behebung dieser Risiken durch ergänzende Maßnahmen auferlegen, sofern dies sicherheitstechnisch sinnvoll ist. Lässt sich durch ergänzende Maßnahmen keine hinreichende Sicherheit der vorläufig anerkannten Identifizierungsmethode gewährleisten, so soll die Aufsichtsstelle dem qualifizierten Vertrauensdiensteanbieter die Nutzung dieser Identifizierungsmethode untersagen. (4) Der qualifizierte Vertrauensdiensteanbieter darf nach Maßgabe der datenschutzrechtlichen Bestimmungen personenbezogene Daten nutzen, die zu einem früheren Zeitpunkt im Rahmen einer ordnungsgemäßen Identitätsprüfung erhoben wurden, sofern und soweit diese Daten zum Zeitpunkt der Antragstellung die zuverlässige Identitätsfeststellung des Antragstellers gewährleisten. § 12 Attribute in qualifizierten Zertifikaten für elektronische Signaturen und Siegel (1) Ein qualifiziertes Zertifikat für elektronische Signaturen kann auf Verlangen eines Antragstellers folgende Attribute enthalten: 1. Angaben über die Vertretungsmacht des Antragstellers für eine dritte Person, 2. amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers und 3. weitere personenbezogene Angaben. Angaben über die Vertretungsmacht dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn dem qualifizierten Vertrauensdiensteanbieter die Einwilligung der dritten Person nachgewiesen wird. Amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn die je-
266
Gesetze und Verordnungen
weils zuständige Stelle die Angaben bestätigt hat. Weitere personenbezogene Angaben dürfen in ein qualifiziertes Zertifikat nur mit Einwilligung des Betroffenen aufgenommen werden. (2) Soll in das qualifizierte Zertifikat anstelle des Namens ein Pseudonym eingetragen werden, so sind Angaben über eine Vertretungsmacht für eine dritte Person oder amts- und berufsbezogene oder sonstige Angaben zur Person nur zulässig, wenn eine Einwilligung der dritten Person oder der jeweils zuständigen Stelle zur Verwendung des Pseudonyms vorliegt. (3) Die Absätze 1 und 2 gelten entsprechend für qualifizierte Zertifikate für elektronische Siegel. Attribute in qualifizierten Zertifikaten für elektronische Siegel können auch die Vertretungsverhältnisse innerhalb der antragstellenden juristischen Person enthalten, sofern diese Vertretungsverhältnisse dem qualifizierten Vertrauensdiensteanbieter nachgewiesen werden. § 13 Unterrichtung über Sicherheitsmaßnahmen und Rechtswirkungen (1) Der qualifizierte Vertrauensdiensteanbieter hat die Personen, die er nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 über die Nutzungsbedingungen zu unterrichten hat, weil sie einen qualifizierten Vertrauensdienst nutzen wollen, auch 1. über die Maßnahmen zu unterrichten, die erforderlich sind, um zur Sicherheit der angebotenen qualifizierten Vertrauensdienste und deren zuverlässiger Nutzung beizutragen, und dabei auf entsprechende Informationsmöglichkeiten hinzuweisen, insbesondere auf Informationsangebote der Hersteller von Produkten für qualifizierte Vertrauensdienste und auf Informationsangebote der Aufsichtsstellen, 2. darauf hinzuweisen, dass entsprechend § 15 qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten bei Bedarf durch geeignete Maßnahmen neu zu schützen sind, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird, und 3. über die Rechtswirkungen der angebotenen qualifizierten Vertrauensdienste zu unterrichten. (2) Soweit eine Person, die einen qualifizierten Vertrauensdienst nutzen will, bereits zu einem früheren Zeitpunkt nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 sowie nach Absatz 1 unterrichtet worden ist und sich keine Änderungen ergeben haben, kann eine erneute Unterrichtung unterbleiben.
267
Anhang
§ 14 Widerruf qualifizierter Zertifikate (1) Der qualifizierte Vertrauensdiensteanbieter hat ein noch gültiges qualifiziertes Zertifikat insbesondere dann unverzüglich zu widerrufen, wenn 1. die Person, der das qualifizierte Zertifikat ausgestellt wurde, es verlangt, 2. das qualifizierte Zertifikat auf Grund falscher Angaben zu den Anhängen I, III und IV der Verordnung (EU) Nr. 910/2014 ausgestellt wurde, 3. er seine Tätigkeit beendet und diese nicht von einem anderen qualifizierten Vertrauensdiensteanbieter fortgeführt wird oder 4. Tatsachen die Annahme rechtfertigen, dass a) das qualifizierte Zertifikat gefälscht oder nicht hinreichend fälschungssicher ist oder b) die verwendeten qualifizierten elektronischen Signaturerstellungseinheiten oder qualifizierten elektronischen Siegelerstellungseinheiten Sicherheitsmängel aufweisen. Weitere Widerrufsgründe können vertraglich vereinbart werden. Wurde ein qualifiziertes Zertifikat mit falschen Angaben ausgestellt, so kann der qualifizierte Vertrauensdiensteanbieter dies zusätzlich kenntlich machen. (2) Enthält ein qualifiziertes Zertifikat Attribute nach § 12 Absatz 1 oder § 12 Absatz 3 Satz 2, so kann auch die dritte Person oder die für die amts- und berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle einen Widerruf des Zertifikats verlangen, wenn 1. die Vertretungsmacht entfällt oder 2. die Voraussetzungen für die amts- und berufsbezogenen oder sonstigen Angaben zur Person nach Aufnahme in das qualifizierte Zertifikat entfallen. (3) Liegen die in Absatz 1 Satz 1 Nummer 3 oder eine der in Absatz 1 Satz 1 Nummer 4 genannten Voraussetzungen vor, so kann die Aufsichtsstelle den Widerruf eines qualifizierten Zertifikats anordnen. § 15 Langfristige Beweiserhaltung Sofern hierfür Bedarf besteht, sind qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten durch geeignete Maßnahmen neu zu schützen, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird. Die neue Sicherung muss nach dem Stand der Technik erfolgen.
268
Gesetze und Verordnungen
§ 16 Beendigungsplan; auf Dauer prüfbare Vertrauensdienste (1) In dem Beendigungsplan nach Artikel 24 Absatz 2 Buchstabe i der Verordnung (EU) Nr. 910/2014 hat ein qualifizierter Vertrauensdiensteanbieter alle erforderlichen Maßnahmen vorzusehen, damit bei Einstellung der Tätigkeit, bei Entzug des Qualifikationsstatus oder wenn die Eröffnung eines Insolvenzverfahrens beantragt und die Tätigkeit nicht fortgesetzt wird, alle von ihm ausgegebenen qualifizierten Zertifikate im Zusammenhang mit elektronischen Signaturen und Siegeln sowie Zertifikate im Zusammenhang mit Anhang I Buchstabe g, Anhang III Buchstabe g und Artikel 42 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 910/2014 einschließlich der Widerrufsinformationen 1. von einem anderen qualifizierten Vertrauensdiensteanbieter übernommen werden können oder 2. von der Bundesnetzagentur in die Vertrauensinfrastruktur nach Absatz 5 übernommen werden können. Im Falle von Satz 1 Nummer 2 hat der qualifizierte Vertrauensdiensteanbieter die noch gültigen Zertifikate vor der Übermittlung an die Bundesnetzagentur zu widerrufen. Er hat in jedem Fall sicherzustellen, dass die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 an den Übernehmenden übermittelt werden. (2) Im Beendigungsplan hat der qualifizierte Vertrauensdiensteanbieter auch Vorkehrungen zu treffen, um die Inhaber der in Absatz 1 Satz 1 genannten Zertifikate, soweit möglich, mindestens zwei Monate im Voraus über die Einstellung seiner Tätigkeit und über die Übernahme seiner Zertifikate zu benachrichtigen. (3) In den Fällen des Absatzes 1 Satz 1 Nummer 2 erteilt die Bundesnetzagentur bei Vorliegen eines berechtigten Interesses Auskunft zu den Aufzeichnungen, soweit dies technisch und ohne unverhältnismäßig großen Aufwand möglich ist. Ein darüber hinausgehendes Auskunftsrecht gemäß § 19 des Bundesdatenschutzgesetzes und nach Artikel 15 der Verordnung (EU) 2016/679 bleibt hiervon unberührt. (4) Qualifizierte Vertrauensdiensteanbieter haben für die gesamte Zeit ihres Betriebs 1. die in Absatz 1 Satz 1 genannten Zertifikate auch über den Zeitraum ihrer Gültigkeit hinaus zusammen mit den dazugehörigen Widerrufsinformationen in einer Zertifikatsdatenbank nach Artikel 24 Absatz 2 Buchstabe k und Absatz 4 der Verordnung (EU) Nr. 910/2014 zu führen und 2. die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 aufzubewahren.
269
Anhang
(5) Die Bundesnetzagentur hat eine Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel einzurichten, zu unterhalten und laufend zu aktualisieren. Näheres regelt die Rechtsverordnung nach § 20 Absatz 2 Nummer 5. Fußnote (+++ § 16 Abs. 1: Zur Anwendung vgl. § 21 +++) Teil 3 Qualifizierte elektronische Signaturen und Siegel § 17 Benannte Stellen nach Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 (1) Die Bundesnetzagentur benennt auf Antrag eine Organisation als private Stelle gemäß Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 sowie gemäß Artikel 39 Absatz 2 in Verbindung mit Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014, sofern die Akkreditierungsstelle nach § 1 Absatz 1 des Akkreditierungsstellengesetzes durch Akkreditierung festgestellt hat, dass die private Stelle die erforderlichen Anforderungen erfüllt. Die Benennung kann 1. inhaltlich beschränkt werden, vorläufig erteilt werden oder mit einer Befristung versehen erteilt werden und 2. mit Auflagen verbunden sein. (2) Solange die Europäische Kommission keine delegierten Rechtsakte nach Artikel 30 Absatz 4 der Verordnung (EU) Nr. 910/2014 erlassen hat, erstellt und veröffentlicht 1. die Akkreditierungsstelle die fachlichen Kriterien, die für die Akkreditierung zu erfüllen sind, und 2. die Bundesnetzagentur die fachlichen Kriterien, die für die Benennung als private Stelle nach Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 zu erfüllen sind. Die Erstellung der fachlichen Kriterien erfolgt unter maßgeblicher Berücksichtigung der Entscheidung der Kommission vom 6. November 2000 über die Mindestkriterien, die von den Mitgliedstaaten bei der Benennung der Stellen gemäß Artikel 3 Absatz 4 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen zu berücksichtigen sind (ABl. L 289 vom 16.11.2000, S. 42). (3) Eine Stelle, die nach § 17 Absatz 4 Satz 1 des Signaturgesetzes in Verbindung mit § 18 des Signaturgesetzes anerkannt wurde, nimmt hinsichtlich der
270
Gesetze und Verordnungen
von ihr auf Grundlage des Signaturgesetzes bestätigten Produkte ihre hiermit zusammenhängenden Aufgaben bis zum Auslaufen der entsprechenden Produktbestätigungen wahr. (4) Das Bundesamt für Sicherheit in der Informationstechnik ist die öffentliche Stelle gemäß Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 sowie gemäß Artikel 39 Absatz 2 in Verbindung mit Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014. Teil 4 Qualifizierte Dienste für die Zustellung elektronischer Einschreiben § 18 Dienste für die Zustellung elektronischer Einschreiben Liegt der Konformitätsbewertungsstelle für einen qualifizierten Dienst für die Zustellung elektronischer Einschreiben eine Akkreditierung nach Abschnitt 4 des De-Mail-Gesetzes vor, so soll die Konformitätsbewertungsstelle die Konformitätsbewertung dieses qualifizierten Dienstes nach Möglichkeit auf die Prüfung der Nachweise beschränken, die im Rahmen der Akkreditierung nach § 18 Absatz 3 des De-Mail-Gesetzes erbracht worden sind. Teil 5 Schlussvorschriften § 19 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 12 Absatz 1 Satz 2, 3 oder 4 oder Absatz 2, jeweils auch in Verbindung mit Absatz 3 Satz 1 oder einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1, eine Angabe in ein qualifiziertes Zertifikat aufnimmt, 2. entgegen § 14 Absatz 1 Satz 1 Nummer 1 bis 4 oder § 16 Absatz 1 Satz 2 ein Zertifikat nicht oder nicht rechtzeitig widerruft, 3. entgegen § 16 Absatz 1 Satz 3, auch in Verbindung mit der Rechtsverordnung nach § 20 Absatz 2 Nummer 1, nicht sicherstellt, dass eine Aufzeichnung übermittelt wird, oder 4. entgegen § 16 Absatz 2 in Verbindung mit der Rechtsverordnung nach § 20 Absatz 2 Nummer 1 eine dort genannte Vorkehrung nicht oder nicht rechtzeitig trifft. (2) Ordnungswidrig handelt, wer gegen die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257
271
Anhang
vom 28.8.2014, S. 73; L 23 vom 29.1.2015, S. 19) verstößt, indem er vorsätzlich oder fahrlässig 1. entgegen Artikel 19 Absatz 2 Unterabsatz 1 eine Meldung nicht, nicht richtig oder nicht rechtzeitig macht, 2. entgegen Artikel 19 Absatz 2 Unterabsatz 2 eine Person nicht, nicht richtig oder nicht rechtzeitig unterrichtet, 3. entgegen Artikel 21 Absatz 1 eine Mitteilung nicht, nicht richtig oder nicht rechtzeitig vorlegt, 4. entgegen Artikel 24 Absatz 1 Unterabsatz 1 die Identität einer Person nicht oder nicht rechtzeitig überprüft, 5. entgegen Artikel 24 Absatz 2 Buchstabe c in Verbindung mit § 10 in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 3 eine Haftpflichtversicherung nicht oder nicht rechtzeitig abschließt, 6. entgegen Artikel 24 Absatz 2 Buchstabe e oder f, jeweils in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1, ein vertrauenswürdiges System oder Produkt nicht verwendet, 7. entgegen Artikel 24 Absatz 2 Buchstabe g in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1 eine dort genannte Maßnahme nicht oder nicht rechtzeitig trifft, 8. entgegen Artikel 24 Absatz 2 Buchstabe h Satz 1 eine Information nicht richtig aufzeichnet oder 9. entgegen Artikel 24 Absatz 3 Satz 1 einen Widerruf nicht oder nicht rechtzeitig veröffentlicht. (3) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 5 bis 8 mit einer Geldbuße bis zu einhunderttausend Euro, in den übrigen Fällen mit einer Geldbuße bis zu zwanzigtausend Euro geahndet werden. (4) Verwaltungsbehörden im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten sind die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik jeweils im Rahmen ihrer Zuständigkeit nach § 2 Absatz 1. § 20 Verordnungsermächtigung (1) Die Bundesregierung legt durch Rechtsverordnung nähere Anforderungen an die Zugänglich- und Nutzbarmachung von Vertrauensdiensten nach Artikel 15 der Verordnung (EU) Nr. 910/2014 und nach § 7 fest. Sie hat dabei technische und wirtschaftliche Belange zu berücksichtigen. Die Rechtsverordnung kann auch Nachweis-, Mitwirkungs- und Informationspflichten der Vertrauensdiensteanbieter enthalten. 272
Gesetze und Verordnungen
(2) Die Bundesregierung wird ermächtigt, in der Rechtsverordnung nach Absatz 1 auch die zur Durchführung der Verordnung (EU) Nr. 910/2014 und dieses Gesetzes erforderlichen Rechtsvorschriften zu erlassen über 1. die Ausgestaltung der Pflichten der Vertrauensdiensteanbieter bei der Betriebsaufnahme, während des Betriebs und bei der Einstellung des Betriebs nach den Artikeln 17 bis 24 der Verordnung (EU) Nr. 910/2014 und nach den §§ 4 und 5, 9 bis 18, 2. die Durchführung gemeinsamer Untersuchungen nach Artikel 18 Absatz 3 der Verordnung (EU) Nr. 910/2014, 3. die zur Erfüllung der Verpflichtung zur Deckungsvorsorge nach § 10 zulässigen Sicherheitsleistungen sowie über deren Umfang, Höhe und inhaltliche Ausgestaltung, 4. die Anforderungen im Zusammenhang mit einer Zertifikatsdatenbank nach § 16 Absatz 4 Nummer 1, 5. die Einrichtung einer Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel nach § 16 Absatz 5 und 6. die Einzelheiten des Verfahrens der Anerkennung und der Tätigkeit von Zertifizierungsstellen nach § 17. § 21 Übergangsvorschrift Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate im Sinne von § 2 Nummer 3 des Signaturgesetzes ausgestellt haben, dürfen diese qualifizierten Zertifikate als qualifizierte Vertrauensdiensteanbieter für qualifizierte Zertifikate nach der Verordnung (EU) Nr. 910/2014 weiterhin in ihrem Zertifikatsverzeichnis führen. Sie dürfen weiter alle in diesem Zusammenhang mit ihren Kunden vereinbarten Dienste anbieten, insbesondere einen Widerrufsdienst. § 16 Absatz 1 gilt entsprechend. Die von der Bundesnetzagentur gemäß § 16 Absatz 1 des Signaturgesetzes ausgestellten Zertifikate werden mit Ablauf des 14. November 2018 gesperrt. ________________________________________________________________ Strafgesetzbuch (StGB) § 204 Verwertung fremder Geheimnisse (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein Betriebs- oder Geschäftsgeheimnis, zu dessen Geheimhaltung er nach § 203 verpflichtet ist, verwertet, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) § 203 Absatz 5 gilt entsprechend. 273
Anhang
Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Kunsturheberrechtsgesetz – KUG) vom 9. Januar 1907 zuletzt geändert durch Artikel 3 § 31 des Gesetzes vom 16. Februar 2001 (BGBl. I S. 266)
§§ 1 bis 21 – § 22 Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, daß er sich abbilden ließ, eine Entlohnung erhielt. Nach dem Tode des Abgebildeten bedarf es bis zum Ablaufe von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten. Angehörige im Sinne dieses Gesetzes sind der überlebende Ehegatte oder Lebenspartner und die Kinder des Abgebildeten und, wenn weder ein Ehegatte oder Lebenspartner noch Kinder vorhanden sind, die Eltern des Abgebildeten. § 23 (1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden: 1. Bildnisse aus dem Bereiche der Zeitgeschichte; 2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen; 3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben; 4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient. (2) Die Befugnis erstreckt sich jedoch nicht auf eine Verbreitung und Schaustellung, durch die ein berechtigtes Interesse des Abgebildeten oder, falls dieser verstorben ist, seiner Angehörigen verletzt wird. § 24 Für Zwecke der Rechtspflege und der öffentlichen Sicherheit dürfen von den Behörden Bildnisse ohne Einwilligung des Berechtigten sowie des Abgebildeten oder seiner Angehörigen vervielfältigt, verbreitet und öffentlich zur Schau gestellt werden.
274
Gesetze und Verordnungen
§§ 25 bis 32 – § 33 (1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer entgegen den §§ 22, 23 ein Bildnis verbreitet oder öffentlich zur Schau stellt. (2) Die Tat wird nur auf Antrag verfolgt. § 34 – § 35 – § 36 – § 37 (1) Die widerrechtlich hergestellten, verbreiteten oder vorgeführten Exemplare und die zur widerrechtlichen Vervielfältigung oder Vorführung ausschließlich bestimmten Vorrichtungen, wie Formen, Platten, Steine, unterliegen der Vernichtung. Das gleiche gilt von den widerrechtlich verbreiteten oder öffentlich zur Schau gestellten Bildnissen und den zu deren Vervielfältigung ausschließlich bestimmten Vorrichtungen. Ist nur ein Teil des Werkes widerrechtlich hergestellt, verbreitet oder vorgeführt, so ist auf Vernichtung dieses Teiles und der entsprechenden Vorrichtungen zu erkennen. (2) Gegenstand der Vernichtung sind alle Exemplare und Vorrichtungen, welche sich im Eigentume der an der Herstellung, der Verbreitung, der Vorführung oder der Schaustellung Beteiligten sowie der Erben dieser Personen befinden. (3) Auf die Vernichtung ist auch dann zu erkennen, wenn die Herstellung, die Verbreitung, die Vorführung oder die Schaustellung weder vorsätzlich noch fahrlässig erfolgt. Das gleiche gilt, wenn die Herstellung noch nicht vollendet ist. (4) Die Vernichtung hat zu erfolgen, nachdem dem Eigentümer gegenüber rechtskräftig darauf erkannt ist. Soweit die Exemplare oder die Vorrichtungen in anderer Weise als durch Vernichtung unschädlich gemacht werden können, hat dies zu geschehen, falls der Eigentümer die Kosten übernimmt. (5) (weggefallen) Fußnote § 37 Abs. 1 bis 3 Kursivdruck u. Abs. 5: Vgl. Fußnote zur Überschrift 275
Anhang
§ 38 Der Verletzte kann statt der Vernichtung verlangen, daß ihm das Recht zuerkannt wird, die Exemplare und Vorrichtungen ganz oder teilweise gegen eine angemessene, höchstens dem Betrage der Herstellungskosten gleichkommende Vergütung zu übernehmen. § 39 – § 40 – § 41 – § 42 Die Vernichtung der Exemplare und der Vorrichtungen kann im Wege des bürgerlichen Rechtsstreits oder im Strafverfahren verfolgt werden. § 43 (1) Auf die Vernichtung von Exemplaren oder Vorrichtungen kann auch im Strafverfahren nur auf besonderen Antrag des Verletzten erkannt werden. Die Zurücknahme des Antrags ist bis zur erfolgten Vernichtung zulässig. (2) Der Verletzte kann die Vernichtung von Exemplaren oder Vorrichtungen selbständig verfolgen. In diesem Falle finden die §§ 477 bis 479 der Strafprozeßordnung mit der Maßgabe Anwendung, daß der Verletzte als Privatkläger auftreten kann. Fußnote § 43 Abs. 2 Kursivdruck: Vgl. jetzt §§ 430 bis 432 StPO 312-2 § 44 Die §§ 42, 43 finden auf die Verfolgung des in § 38 bezeichneten Rechtes entsprechende Anwendung. § 45 – § 46 –
276
Gesetze und Verordnungen
§ 47 – § 48 (1) Der Anspruch auf Schadensersatz und die Strafverfolgung wegen widerrechtlicher Verbreitung oder Vorführung eines Werkes sowie die Strafverfolgung wegen widerrechtlicher Verbreitung oder Schaustellung eines Bildnisses verjähren in drei Jahren. (2) Die Verjährung beginnt mit dem Tage, an welchem die widerrechtliche Handlung zuletzt stattgefunden hat. Fußnote § 48 Abs. 1 Kursivdruck: Vgl. Fußnote zur Überschrift § 49 – § 50 Der Antrag auf Vernichtung der Exemplare und der Vorrichtungen ist so lange zulässig, als solche Exemplare oder Vorrichtungen vorhanden sind. § 51 – § 52 – § 53 – § 54 – § 55 (1) Das Gesetz tritt mit dem 1. Juli 1907 in Kraft. (2) (Aufhebungsvorschrift)
277
Anhang
Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet 12. Februar 2002 (BGBl. I S. 677) zuletzt geändert durch Artikel 2 des Gesetzes vom 13. April 2007 (BGBl. I S. 509)
Eingangsformel Auf Grund des § 9 Abs. 2 Satz 2 in Verbindung mit Satz 3 der Insolvenzordnung vom 5. Oktober 1994 (BGBl. I S. 2866), der durch Artikel 1 Nr. 2 des Gesetzes vom 26. Oktober 2001 (BGBl. I S. 2710) eingefügt worden ist, verordnet das Bundesministerium der Justiz: §1 Grundsatz Öffentliche Bekanntmachungen in Insolvenzverfahren im Internet haben den Anforderungen dieser Verordnung zu entsprechen. Die Veröffentlichung darf nur die personenbezogenen Daten enthalten, die nach der Insolvenzordnung oder nach anderen Gesetzen, die eine öffentliche Bekanntmachung in Insolvenzverfahren vorsehen, bekannt zu machen sind. §2 Datensicherheit, Schutz vor Missbrauch (1) Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass die Daten 1. bei der elektronischen Übermittlung von dem Insolvenzgericht oder dem Insolvenzverwalter an die für die Veröffentlichung zuständige Stelle mindestens fortgeschritten elektronisch signiert werden, 2. während der Veröffentlichung unversehrt, vollständig und aktuell bleiben, 3. spätestens nach dem Ablauf von zwei Wochen nach dem ersten Tag der Veröffentlichung nur noch abgerufen werden können, wenn die Abfrage den Sitz des Insolvenzgerichts und mindestens eine der folgenden Angaben enthält: a) den Familiennamen, b) die Firma, c) den Sitz oder Wohnsitz des Schuldners, d) das Aktenzeichen des Insolvenzgerichts oder e) Registernummer und Sitz des Registergerichts.
278
Gesetze und Verordnungen
Die Angaben nach Satz 1 Nr. 3 Buchstabe a bis e können unvollständig sein, sofern sie Unterscheidungskraft besitzen. (2) Als Ergebnis der Abfrage nach Absatz 1 Satz 2 darf zunächst nur eine Übersicht über die ermittelten Datensätze übermittelt werden, die nur die vollständigen Daten nach Absatz 1 Satz 1 Nr. 3 Buchstabe a bis e enthalten darf. Die übrigen nach der Insolvenzordnung zu veröffentlichenden Daten dürfen erst übermittelt werden, wenn der Nutzer den entsprechenden Datensatz aus der Übersicht ausgewählt hat. §3 Löschungsfristen (1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen. (2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt. (3) Sonstige Veröffentlichungen nach der Insolvenzordnung werden einen Monat nach dem ersten Tag der Veröffentlichung gelöscht. §4 Einsichtsrecht Die Insolvenzgerichte haben sicherzustellen, dass jedermann von den öffentlichen Bekanntmachungen in angemessenem Umfang unentgeltlich Kenntnis nehmen kann. § 4a Anwendbares Recht Die §§ 2 bis 4 gelten entsprechend für den Datenabruf über das Unternehmensregister (§ 8b des Handelsgesetzbuchs). §5 Inkrafttreten Diese Verordnung tritt am Tage nach der Verkündung in Kraft. Schlussformel Der Bundesrat hat zugestimmt. 279
Anhang
Übersichten Geldbußen nach Art. 83 DSGVO
280
Übersichten
281
Anhang
Bußgeldbescheid des BayLDA aus dem Jahr 2015 (anonymisiert)
282
Übersichten
283
Anhang
284
Übersichten
285
Stichwortverzeichnis
Abmahnungen – Ablehnung 133 – Abmahnwelle 127 ff. – Marktverhaltensregeln 130 ff. Altlasten 666 ff. – nach Verfahrenseröffnung 670 ff. – vor Verfahrenseröffnung 669 Anlagevermögen – Beauftragung Verwerter 764 ff. – Freigabe 767, 771 – Hardware 767 ff. – Löschung 768 – Verwertung 763 Anonymisierung 252 ff. Antragsverfahren – Datenanalyse 587 f. – Datenkategorien 585 ff. – Datensicherung 616 f. – Datensituation beim Schuldner 584 ff. – Zugriffsrechte 589 ff. Anwaltskanzlei 802 ff.; siehe auch Insolvenzverwalter – E-Mail-Nutzung 806 ff.; siehe auch Technische und organisatorische Maßnahmen – Informationspflichten 813 ff. – interne Daten 811 f. – Messenger 816 ff. – Videoüberwachung 802 ff. Archivierung – E-Mail 370 ff. – Geschäftsunterlagen 368 f. Art-29-Datenschutzgruppe – Auftragsverarbeiter 532 – Datenschutzausschuss 440 – Datenschutzverstoß 440 – umfangreiche Verarbeitung 168 f. – Verantwortlicher 525
Asset Deal 704 ff. – Auftragsvereinbarung zur Einholung von Einwilligungen 732 ff. – Dokumentation 737 – Einwilligung 717 ff. – Übertragung Kundendaten 705 ff. – Übertragung mit Vertragsübernahme 711 ff. Aufsichtsbehörde – Befugnisse 116 ff. – Einsichtsrecht Verzeichnis 238 f. – Inhalt Meldung Datenschutzverletzung 445 f. – Insolvenzverwalter 550 – Umsetzung DSGVO 119 ff. – Widerspruchslösung 755 ff. – Zusammenarbeit 211 Auftragskontrolle 340 ff.; siehe auch Auftragsverarbeitung Auftragsverarbeiter 528 ff. – Abgrenzung zum Verantwortlichen 532 ff. – Auswahl 340 ff. – Beauftragung 529 ff. – Datenschutzverletzung 439 – Handlungsspielraum 531 – Schuldner 607 – Verarbeitungsauftrag 343 ff. – Verzeichnis der Verarbeitungstätigkeiten 236 f. Auftragsverarbeitung – Due Diligence 641 f. – Haftung Auftraggeber 108 ff. – Insolvenzgericht 576 ff. – Leasinggeber 383 – schuldnerisches Unternehmen 606 ff. – Vereinbarung 346 f. – Verwertung 764 ff.
287
Stichwortverzeichnis
– vorläufiger Insolvenzverwalter 546 ff. – Weisungsgebundenheit 549 Auftragsverarbeitungsvereinbarung 529 – Muster 828 – Rechtsinstrument 545 – Verwerter 764 ff. Auskunfteien 797 Auskunftsrecht 469 ff.; siehe auch Betroffenenrechte – Art der Auskunftserteilung 471 ff. – Auskunftsfrist 474 – Inhalt der Auskunft 476 ff. – Kosten der Auskunft 475
Beeinflussung – Verarbeitungstätigkeit 558 Berechtigtes Interesse 749 ff. Berichtigung – Recht auf 479 ff.; siehe auch Betroffenenrechte Beschäftigtendatenschutz – Arbeitnehmerdaten des Schuldners 636 ff. – Datensicherung 623 – E-Mail-Account 627 ff. – nach Signing des Kaufvertrages 715 – Privatnutzung 628 – pseudonymisieren 638 ff. Besondere Kategorien 645 ff. – Einwilligung 730 Betriebsfortführung – Auftragsvereinbarung 609 – Bußgelder 672 f. – Haftung Datenschutzverstoß 593 – Haftung Insolvenzverwalter 664 ff. – Kündigungsschutz Datenschutzbeauftragter 602 – Stilllegung aus rechtlichen Gründen 671
288
– Stilllegung aus wirtschaftlichen Gründen 672 f. – Verzeichnis der Verarbeitungstätigkeiten 597 Betroffenenrechte 392 ff. – Auskunftsrecht 469 ff.; siehe auch Auskunftsrecht – Ausübung 125 f. – Beschränkung 570 ff. – Recht auf Auskunft 86 – Recht auf Berichtigung 479 ff. – Recht auf Datenportabilität 88, 492 – Recht auf Einschränkung 489 ff. – Recht auf Löschung 482 ff.; siehe auch Löschungspflicht – Recht auf Vergessenwerden 87, 485 – Recht auf Widerspruch 493 ff.; siehe auch Widerspruchsrecht – Vorgehen bei einer Anfrage 502 Bundesdatenschutzgesetz – § 42 BDSG 2018 98 – § 64 BDSG 2018 298 ff. – Entwicklung BDSG 27 ff. – neue Fassung 40 – Weiterentwicklung 35 ff. Bußgeldbescheid Anhang – Übermittlung 693 ff. Bußgelder – Bescheid 147 – Datenschutzverletzung 442 f. – Sanktionsrahmen – Schutzniveau 298 – Übersicht Anhang – Verhältnismäßigkeitsgrundsatz 128 – Versicherbarkeit 850 – Verzeichnis der Verarbeitungstätigkeiten 216, 244 – Videoüberwachung 803
Cloudzugänge
772 f.
Stichwortverzeichnis
Datenerhebung – Schuldnerdaten 592 f. Datenfluss 652 ff. Datenportabilität – Recht auf 492 ff.; siehe auch Betroffenenrechte Datenschutz – Geschichte 23 ff. Datenschutzbeauftragter 158 ff. – Anforderungen 183 ff. – Aufgaben 195 ff. – Benennung 160 ff. – Haftung 200 f. – interner, externer Datenschutzbeauftragter 188 ff. – Konkretisierung durch § 38 BDSG 171 ff. – Kündigungsschutz 174 ff. – Mitarbeiterschulung 212 – öffentliche und nichtöffentliche Stelle 164 f. – Rechte und Pflichten 179 f. – schuldnerisches Unternehmen 598 ff. – Tätigkeitskonflikt 187 – Überwachung der Einhaltung 199 ff. – Unterrichtung und Beratung 196 ff. – Veröffentlichung Kontaktdaten 162 – Verschwiegenheitspflicht 179 – Weisungsfreiheit 177 – Zeugnisverweigerungsrecht 180 Datenschutzfolgeabschätzung 204 ff. Datenschutz-Grundverordnung – Art. 2 Abs. 1 DSGVO 49 – Art. 4 Nr. 1 DSGVO 53 – Art. 4 Nr. 7 DSGVO 60 – Art. 58 DSGVO 116 – Art. 6 Abs. 1 DSGVO 67 – Entwicklung 37 ff. – personenbezogene Daten 53 ff.
– Verantwortlicher 59 ff. Datenschutzkonferenz – Auftragsverarbeitung 345 – Informationspflichten 405 – Risiko 233, 294 Datenschutzmanagementsystem 329 ff. – Prozesse 331 ff. Datenschutzverletzung – Aufsichtsbehörde 437 – Auftreten 441 – Ausnahmen Benachrichtigung 461 ff. – Betroffener 456 ff. – Datenpanne 438 – Dokumentation 451 ff. – Form der Meldung 444 – Geräteverlust 385 – Informationspflichten 435 ff. – Inhalt der Meldung 445 f. – Meldefrist 442 f. – Risikoabwägung 458 f. Datensicherung 614 ff. – Antragsverfahren 616 f. – Betroffenenrechte 626 ff. – Datenübertragung 624 f. – Zweck der Sicherung 620 ff. Datenträger – Vernichtung 378 ff. Datenübertragung – Datensicherung 624 – Prüfung Datenübermittlung 761 f. Double-Opt-In-Verfahren – Einwilligung 725 Dritter 526 f.
Eigenverwaltung 674 ff. Einflussnahme 557 Eingabekontrolle 321 ff.; siehe auch Technische und organisatorische Maßnahmen Einschränkung – Recht auf 489 ff.; siehe auch Betroffenenrechte 289
Stichwortverzeichnis
Einwilligung 717 ff. – Auftragsverarbeitung 732 ff.; siehe auch Auftragsverarbeitung – Erforderlichkeit 727 ff. – Form 717 – Freiwilligkeit 70 – Höchstpersönlichkeit 718 – Inhalt 719 ff. – Mitarbeiter 509 ff. – Muster Mitarbeiter 830 f. – Prüfungsreihenfolge 739 – Übertragung 716 ff. – Voraussetzungen 69 – Widerruflichkeit 512 – Wirksamkeit Mitarbeiter 510 E-Mail-Nutzung – in der Kanzlei 806 ff. E-Privacy-Verordnung – Einwilligung 729 Erforderlichkeit 80 ff. – Sachverständigengutachten 644 ff. Erlaubnistatbestände 67 ff. – Aufgabe im öffentlichen Interesse 74 – berechtigtes Interesse 75 – Einwilligung 69 ff. – Erfüllung einer rechtlichen Verpflichtung 72 – Schutz von lebenswichtigen Interessen 73 – Vertragserfüllung 71 Erwägungsgründe – Erläuterung 43 – ErwGr. 26 83, 838 – ErwGr. 32 717, 724, 839 – ErwGr. 39 366, 795, 840 – ErwGr. 58 406, 841 – ErwGr. 62 419 ff., 842 – ErwGr. 63 470, 473, 843 – ErwGr. 75 284, 288, 448, 844 – ErwGr. 85 448, 845 – ErwGr. 91 168, 846 – ErwGr. 97 184, 847 – ErwGr. 148 689, 848
290
Facebook – Arbeitgeberzugriff 356 – Fanpage 524; siehe auch Verantwortlicher, gemeinsame Verantwortlichkeit
GDPdU 778 Geldbußen – nach Art. 83 DSGVO, Übersicht Anhang Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie, auch Kunsturhebergesetz (KUG) – Auszug Anhang Gesetze und Rechtsprechungen 833 Gesetzgeber 579 ff. – Gesetze, Verordnungen 833 f. Gesetzgebungsverfahren 572 ff. Gläubigerausschuss 665 GoBD 778 Grundsätze Datenschutz – anonymisieren 83 f.; siehe auch Technische und organisatorische Maßnahmen – Datensparsamkeit und Datenvermeidung 80 ff. – Geschichte 23 ff. – pseudonymisieren 85; siehe auch Technische und organisatorische Maßnahmen – Rechenschaftspflicht 78 ff. – Transparenzgebot 76 ff. – Verbot mit Erlaubnisvorbehalt 66 ff. Haftungsrisiken – Insolvenzverwalter 569
Informationspflichten
401 ff. – Art und Weise 405 ff. – Ausnahmen 418 ff. – Ausnahmen bei Dritterhebung 430 ff.
Stichwortverzeichnis
– – – –
Datenkategorien 424 ff. Datenschutzverletzung 435 f. Direkterhebung 404 ff. Erhebung bei einem Dritten 423 ff. – Inhalt 410 ff. – Interessenten 633 – Mandatsübernahme 813 ff. – Medienbruch 405 ff. – Muster Informationspflichten 829 – Nichterteilung 581 – Quellenbenennung 427 – Rechtsbelehrungspflichten 414 – Weiterverarbeitung 429 – Zweckänderung 416 f. InsO-App – AG Rockenhausen 790 ff. Insolvenzakte 538 Insolvenzbekanntmachungen – InsO-App 790 ff. – Löschungsfristen 792 Insolvenzgericht – Auftragsvereinbarung 551 – Datenschutz 784 ff. – Vorauswahlliste 503 ff. Insolvenzplan 700 ff. Insolvenzverfahren – Bestandsaufnahme Datensituation 584 ff. Insolvenzverwalter – Altverfahren 374 ff. – Archivierung 368 ff. – Beachtung Datenschutz 145 ff. – Benennung Datenschutzbeauftragter 679 ff. – berechtigtes Interesse 751 – Betriebsfortführung 609 – Bewerbung bei Gericht 503 ff.; siehe auch Vorauswahlliste – Bewerbungen Mitarbeiter 154 f. – Datenschutz in der Kanzlei 145 ff.
– Datenschutzbeauftragter 158 ff.; siehe auch Datenschutzbeauftragter – Datenschutzorganisation 89 – Datenschutzverstoß 150 f.; siehe auch Sanktionen – Datensicherung 614 ff. – Datenträger 378 ff. – Dienstleister 345 ff. – E-Mail-Versand 317 f.; siehe auch Technische und organisatorische Maßnahmen – Haftung Altlasten 666 ff. – Haftung wg. Datenschutzverstoß 96 ff. – Informationspflichten 91 f.; siehe auch Informationspflichten – Insolvenzverfahren 4.0 14 ff. – interne Daten 811 ff. – Kontakt Aufsichtsbehörde 663 – Löschungskonzept 362 ff. – Lösung Datenübertragung Einwilligung 732 ff. – Meldepflicht bei Datenschutzverletzung 93, 437, 465; siehe auch Datenschutzverletzung – Notebooks, Handys 384 ff. – Pflichten eines Verantwortlichen 565 ff. – Problemfelder Datenschutz 94 f. – Prüfung Datenschutzvorgaben 684 ff. – Rechte Betroffener 395 ff. – Rechtmäßigkeit Datenverarbeitung 68 ff. – Regelung E-Mail-Accounts 348 ff. – Regelung Internetnutzung 359 ff. – Risikobetrachtung 682 f. – Unternehmensdaten 557 ff.; siehe auch vorläufiger Insolvenzverwalter, Verfahrensdaten
291
Stichwortverzeichnis
– Verantwortlicher 62; siehe auch Verantwortlicher – Verantwortlicher für eigene Kanzlei 65 – Verantwortlicher im Verfahren 536 ff. – Verfahrensdaten 556 ff. – Vergütung 774 ff. – Widerspruchslösung 758 – Zugriffsberechtigungen 309 f.; siehe auch Technische und organisatorische Maßnahmen Interessenabwägung – Asset Deal 708 ff. – berechtigtes Interesse 749 ff. – Gläubiger vs. Schuldner 573 – Sicherung E-Mail-Account 628 f. – Widerspruchsrecht 499 – Zugriff Postfach Mitarbeiter 352 ff.
Konkretisierungsklausel – Beschäftigungsdatenschutz 508 – Beschränkungen Betroffenenrechte 570 ff. – Insolvenzrecht 575 Kopplungsverbot 714
Legal Tech – Zuhilfenahme von Software 849 Listenprivileg 706 Löschung – Recht auf 482 ff. Löschungspflicht 483 f. – Antrag 486 – Ausnahmen 487 f.
Masseverbindlichkeit
664 – Ordnungspflicht 667 f. Medienbruch 405 ff. Melde- und Frühwarnsystem 465 ff.
292
Messengerdienste 816 ff.; siehe auch Technische und organisatorische Maßnahmen Mitarbeiterschulung – Sensibilisierung 389 ff.
Negativauskunft
476
Onlinezugänge
772 f.
Personenbezogene Daten – besondere Kategorie, Art. 9 DSGVO 57 – Datenträger 379 ff. – Definition 53 ff. – Übertragung Asset Deal 704 ff. Postsperre 788 ff. Privacy by Default 206 ff.; siehe auch Technische und organisatorische Maßnahmen Privacy by Design 206 ff.; siehe auch Technische und organisatorische Maßnahmen Pseudonymisierung 252 ff.
Rechte und Pflichten – Eintritt des Insolvenzverwalters 557 Rechtsgrundlage – Datensicherung 621 ff. – Gutachten besonderer Kategorie, Art. 9 DSGVO 647 – Übertragung mit berechtigtem Interesse 743 ff. – Übertragung mit Einwilligung 716 – Übertragung rechtlicher Verpflichtung 740 ff. – Verarbeitung Verfahrensdaten 554 – Verarbeitung zur Vertragsübernahme 711 ff.
Stichwortverzeichnis
Rechtsnormen 42 ff.; siehe auch Datenschutz-Grundverordnung, Bundesdatenschutzgesetz – Anwendungsbereich der Datenschutzgesetze 50 ff. – Berufsordnung für Rechtsanwälte 46 f. – ePrivacy-Verordnung 45 – Gesetz gegen unlauteren Wettbewerb 45 – Kunsturhebergesetz (KUG) 45 – Sozialgesetzbuch 45 – Strafgesetzbuch 45 – Telekommunikationsgesetz 45 – VDG, Signaturgesetz 45 Rechtsprechung 835 Risiko 280 ff. – Arten von Risiken 285 – Eintrittswahrscheinlichkeit 292 f. – Identifikation 288 ff. – Risikoanalyse 286 f. – Risikoquelle 291 – Schadensausmaß 295 ff. Risikoabwägung – Datenschutzverstoß 447 ff.; siehe auch Risiko
Sachverständigengutachten – besondere Kategorie, Art. 9 DSGVO 645 ff. – Datenfluss 652 ff. – Datensparsamkeit 649 ff. – Einsichtsrecht 657 ff. – Erforderlichkeit 644 ff. – Zweck 660 f. Sachverständiger 559 ff. – Datensituation beim Schuldner 582 ff. – Gutachtenauftrag 560 – Verantwortlicher 562 Sachwalter 563 f. – Aufgabe 675 ff. Sanierung 690 ff. – Asset Deal 704 ff.
– Insolvenzplan 700 ff. – Share Deal 703 – Verstoß 692 ff. Sanktionen – Beweislast 111 – Bußgeld BayLDA 147 f. – Bußgelder – Höhe Schadensersatz 115 – Nichtbenennung Datenschutzbeauftragter 215 – Schadensersatz 105 ff. – Strafbarkeit 96 ff. Schuldnerberatung 798 ff. Schuldnerdaten – Datenschutzbeauftragter 598 ff. – Datenschutzmanagementsystem 603 ff. – technische und organisatorische Maßnahmen 597 – Verzeichnis der Verarbeitungstätigkeiten 594 ff. Share Deal 703 Strafbarkeit – Verstoß gg. Datenschutz 96 ff. Strafgesetzbuch (StGB) – Auszug Anhang
Technische und organisatorische Maßnahmen 245 ff. – Back-up- und RecoveryKonzepte 325 – Bildschirmschoner 310 – Datenschutzmanagementsystem 329 ff. – Datenschutzniveau 271 ff. – Dienstgeräte 385 ff. – Inhaltsverschlüsselung 318 – Integrität 265 ff. – Maßnahmenkatalog gem. § 64 BDSG 298 ff. – Passwortrichtlinie 308 f. – Privacy by Default 339 – Privacy by Design 338
293
Stichwortverzeichnis
– Pseudonymisierung 252 ff., 314 – Reaktionsmanagement 336 f. – Riskoabwägung 277 ff. – Schuldnerdaten 597 – Sicherheitsmaßnahmen 251 ff. – Stand der Technik 248 ff. – Transportverschlüsselung 317 – Verfügbarkeit 274 ff. – Verfügbarkeit und Belastbarkeit 268 ff. – Verschlüsselung 256 ff. – Vertraulichkeit 261 ff. – Zugriffssperren 319 Trennungskontrolle 311 ff.; siehe auch Technische und organisatorische Maßnahmen
Übertragende Sanierung – – – – – – – – –
Arbeitnehmerdaten 636 ff. Auftragsvereinbarung 732 ff. berechtigtes Interesse 743 ff. Bußgelder 690 Datenraum 634 f. Due Diligence 641 Einwilligung 722 ff. Informationspflichten 633 rechtliche Verpflichtung 740 ff. – Vorbereitungen 632 ff. – Widerspruchslösung 755 ff. Unternehmensdaten 537
Verantwortlicher – Abgrenzung zum Auftragsverarbeiter 532 ff. – Aktionismus 135 ff. – Antragsverfahren 516 ff. – Begriffsbestimmung 518 ff. – Definition 522 ff. – Dienstgeräte 384 ff. – gemeinsame Verantwortlichkeit 141 ff. – Hinweis auf Widerspruchsrecht 501
294
– Karenzzeit Berichtigung 489 – Konkretisierung des Auskunftsverlangens 478 – Pflicht zur Auskunft 471 ff.; siehe auch Betroffenenrechte – Pflicht zur Löschung 363 ff.; siehe auch Betroffenenrechte – Prognose Datenschutzverstoß 449 f. – Protokollierung und Löschungsfristen 322 f. – Rechenschaftspflicht 330 – Sensibilisierung Mitarbeiter 389 ff. – Verantwortlicher für den Umgang mit Daten 59 ff. – Verzeichnis der Verarbeitungstätigkeiten 236 f. Verfahrensdaten 538 Verfahrensverzeichnis 217 f.; siehe Verzeichnis der Verarbeitungstätigkeiten Verfügbarkeitskontrolle 324 ff.; siehe auch Technische und organisatorische Maßnahmen Vergessenwerden – Recht auf 485 ff.; siehe auch Betroffenenrechte Vergütung – datenschutzrechtliche Befassung 774 ff. – Zuschläge 782 Verhältnismäßigkeitsgrundsatz 571 – Auswertung 630 f. Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet Anhang Versicherbarkeit 850 Vertrauensdienstegesetz (VDG)(ehm. Signaturgesetz) Anhang Verwaltungs- und Verfügungsbefugnis 536 Verzeichnis der Verarbeitungstätigkeiten 216 ff.
Stichwortverzeichnis
– – – –
Ausnahmen 229 ff. Datenschutzbeauftragter 213 ff. Dokumentation 219 ff. Einsichtsrecht der Aufsichtsbehörde 238 f. – Form 223 ff. – Inhalt 240 ff. – Muster 832 – nach altem Recht 226 ff. – Nichterstellung, Falscherstellung 244 – öffentliches und internes Verzeichnis 226 ff. – Schuldnerdaten 594 ff. – Verpflichtung zum Führen 229 ff. Videoüberwachung 802 ff. Vorauswahlliste – Antrag 503 – Mitarbeiterdaten 505 ff. – Rechtmäßigkeit Datenverarbeitung 507 Vorläufiger Insolvenzverwalter – Auftragsverarbeiter 544 ff. – Betroffenenrechte 555; siehe auch Betroffenenrechte – gemeinsame Verantwortlichkeit 553 – starker bzw. schwacher vorläufiger Insolvenzverwalter siehe auch Verantwortlicher – Unternehmensdaten 540 f. – Verantwortlicher 63 f.; siehe auch Verantwortlicher
– Verantwortlicher Verarbeitung Verfahrensdaten 553 – Verfahrensdaten 542 f. vorläufiger Sachwalter 563 f.
Weitergabekontrolle
315 ff.; siehe auch Technische und organisatorische Maßnahmen Widerspruchslösung 753 ff. Widerspruchsrecht 493 ff. – Direktwerbung 495 – Pflicht zur Löschung 498 – Verarbeitungstätigkeit 494 ff. – Voraussetzungen 496 ff.
Zugangskontrolle
301 ff.; siehe auch Technische und organisatorische Maßnahmen Zugriffskontrolle 306 ff.; siehe auch Technische und organisatorische Maßnahmen Zutrittskontrolle 301 ff. Zwangsvollstreckungsrecht – Durchsetzung zivilrechtlicher Ansprüche 574 Zweck – Verarbeitung 531 Zweckänderung 745 ff. – Vereinbarkeit 747 Zweckbindung 744 Zweckerfüllung – Bewerbungen 373
295