ZVI 2024, 449

RWS Verlag Kommunikationsforum GmbH & Co. KG, Köln RWS Verlag Kommunikationsforum GmbH & Co. KG, Köln 1619-3741 Zeitschrift für Verbraucher-, Privat- und Nachlassinsolvenz ZVI 2024 EditorialAndreas Schmidt

Datenschutzrechtlicher Freifahrtschein oder Haftungsfalle?

Anmerkungen zum GIS im Lichte des neuen § 5 Abs. 5 InsO

Ausgangslage

Durch die Änderungen des § 5 Abs. 5 InsO, die zum 17. 7. 2024 in Kraft getreten sind, sind Insolvenzverwalter nunmehr auch in Verbraucherinsolvenzverfahren verpflichtet, den Gläubigern Informationen und Entscheidungen über ein elektronisches Gläubigerinformationssystem (GIS) zugänglich zu machen. § 5 Abs. 5 InsO lautet:
„(5) Insolvenzverwalter haben ein elektronisches Gläubigerinformationssystem vorzuhalten und darin jedem Insolvenzgläubiger, der eine Forderung angemeldet hat, alle Entscheidungen des Insolvenzgerichts, alle Rechtsmittelentscheidungen, alle an das Insolvenzgericht übersandten Berichte, welche nicht ausschließlich die Forderungen anderer Gläubiger betreffen, und alle die eigenen Forderungen betreffenden Unterlagen unverzüglich in einem gängigen Dateiformat zum elektronischen Abruf zur Verfügung zu stellen. Über das Gläubigerinformationssystem müssen auch die Dokumente zugänglich sein, die dem Insolvenzgläubiger nach § 8 Absatz 3 zugestellt wurden; sie sind besonders kenntlich zu machen. Dem Insolvenzgericht ist ein Zugang zur Ausübung der Aufsicht nach § 58 zu gewähren. Den Einsichtsberechtigten stellt der Verwalter die für den Zugang erforderlichen Daten unverzüglich zur Verfügung.“
Die zitierte Neuregelung hat in der Insolvenzverwalterschaft zu Verunsicherungen geführt, weil gerade in Verbraucherinsolvenzverfahren sensible personenbezogene Daten eine wesentlich größere Rolle spielen als in Unternehmensinsolvenzverfahren. Durch eine aktuelle Entscheidung des VI. Zivilsenates des BGH zum sogenannten „Scraping“ (BGH, Urt. v. 18. 11. 2024 – VI ZR 10/24), mit der der BGH die Anforderungen an die Geltendmachung eines immateriellen Schadens i. S. d. Art. 82 Abs. 1 DSGVO beträchtlich abgesenkt hat, ist diese Verunsicherung sicherlich nicht geringer geworden. Wird das GIS gar zur Haftungsfalle?
Hier ein paar Beispiele aus der insolvenzgerichtlichen Praxis: Steht eine Versagung der Restschuldbefreiung gem. § 290 Abs. 1 Nr. 1 InsO in Rede, so muss der gerichtliche Beschluss Angaben zu strafrechtlichen Verurteilungen des Schuldners wegen der in der Norm enumerativ aufgeführten Bankrottdelikte enthalten. Noch sensibler wird es bei Versagungsanträgen, die auf eine Verletzung der Erwerbsobliegenheit (§ 290 Abs. 1 Nr. 7 InsO und § 295 Abs. 1 Nr. 1 InsO) gestützt werden. Die Palette reicht hier von Schuldnern, die sich damit verteidigen, dass sie wegen ihrer Ethnie, ihrer Religion, ihrer Krankheit, ihrer sexuellen Neigungen oder wegen strafrechtlicher Verurteilungen nicht vermittelbar seien. Erst kürzlich war ich mit einem Versagungsantragsverfahren beschäftigt, in dessen Rahmen der Schuldner – ein gelernter Altenpfleger – vortrug, er könne nicht in seinem Beruf arbeiten, weil er wegen diverser Vermögensdelikte vorbestraft sei. Er könne deshalb lediglich einer Hilfstätigkeit nachgehen, in deren Rahmen er allerdings keine pfändbaren Einkünfte erzielen könne. Sofern ein zulässiger Versagungsantrag vorliegt, ist das Insolvenzgericht verpflichtet, alle relevanten Umstände von Amts wegen zu ermitteln, § 5 Abs. 1 InsO. Es liegt auf der Hand, dass sich in derartigen Konstellationen nicht vermeiden lässt, im Beschluss, mit dem entweder die Rest-ZVI 2024, 450schuldbefreiung versagt oder aber der Versagungsantrag zurückgewiesen wird, vergleichsweise detailliert auf die angesprochenen Thematiken einzugehen ist. Der gerichtliche Beschluss ist dann aber wiederum zwingend in das GIS einzustellen.

Probleme

Aber resultieren hieraus wirklich Probleme? Die Gesetzesbegründung spricht eher dagegen: „Die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art. 5 Abs. 1 DSGVO ist bei Verwendung eines GIS stets gegeben. Art. 5 Abs. 5 InsO ist insoweit als Erlaubnis im Sinne des Art. 6 Abs. 1 Unterabs. 1 c) DSGVO anzusehen.“
Damit suggeriert die Begründung die grundsätzliche Datenschutzkonformität des GIS: Die Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Buchstabe c). Zu denken ist aber auch an Buchstabe e, wonach die Verarbeitung rechtmäßig ist, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Zu beachten ist allerdings, dass Art. 6 Abs. 3 DSGVO in den Fällen des Art. 6 Abs. 1 Unterabs. 1 c und e DSGVO qualifizierte Anforderungen an das Recht der Mitgliedstaaten stellt, durch welches die Datenverarbeitung erlaubt wird. Ob § 5 Abs. 5 InsO diesen Anforderungen genügt, ist bislang nicht geklärt.
Kein geringerer als Heyer, der sich seit Langem eingehend mit dem Datenschutz im Insolvenzrecht befasst und bei dem es sich ohne Zweifel um einen der führenden Köpfe in dieser Materie handelt, geht davon aus, dass die Gesetzesbegründung zu forsch, schlank und mutig sei, und dass es sich bei § 5 Abs. 5 InsO um keinen datenschutzrechtlichen Freifahrtschein handele. Die Regelung befreie nicht von der Verpflichtung zur Beachtung allgemeiner Datenschutzgrundsätze (Heyer, INDat-Report 2024, 26; ebenso Lüdtke, ZVI 2021, 91).
Ist das angesichts der zitierten Gesetzesbegründung alles bloße Bedenkenträgerei? Und wer trägt letztlich die datenschutzrechtliche Verantwortung? Ist es der Insolvenzverwalter oder ist es das Insolvenzgericht?
Alles bloße Bedenkenträgerei? So einfach kann man es sich nicht machen. Die Einstellung von Berichten und anderen Daten in ein GIS ist eine Form der Datenverarbeitung i. S. d. Art. 4 Nr. 2 DSGVO, die den Grundsätzen des Datenschutzrechts unterliegt und die den Anforderungen der DSGVO genügen muss. Es muss also ein berechtigtes Interesse an der Datenverarbeitung bestehen, und sie muss erforderlich und verhältnismäßig sein. Dies bedeutet, dass die Grundrechte der Schuldner mit den mit dem GIS verfolgten Zwecken gegeneinander abzuwägen sind.
Aber resultieren hieraus – wie Heyer meint – vielfältige Gefahren für die Insolvenzverwalterschaft? Das ist nicht von der Hand zu weisen. Zunächst ist unklar, wer überhaupt Zugang zum GIS erhalten darf. Ist es jeder Gläubiger, der eine Forderung beim Insolvenzverwalter angemeldet hat? Dafür streitet der Wortlaut des § 5 Abs. 5 Satz 1 InsO. M. E. sprechen indes bessere Argumente dafür, den Zugang nur solchen Gläubigern zu gewähren, deren Forderung zur Tabelle festgestellt ist. Dies aber würde bedeuten, dass ein Zugang erst nach dem Prüfungstermin möglich wäre, nicht aber im Zeitraum zwischen Eröffnung und Prüfungstermin.
Unklar ist weiter, wer die datenschutzrechtliche Verantwortung trägt, wenn der Insolvenzverwalter einen gerichtlichen Beschluss in das GIS einstellt, wie es der Wortlaut des § 5 Abs. 1 Satz 1 InsO eindeutig bestimmt. Ist er dann Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO? Dies ist m. E. abzulehnen, weil der Beschluss vom Gericht erlassen worden ist und der Insolvenzverwalter darauf, wie das Gericht mit sensiblen Daten umgeht, keinen Einfluss hat.

Best Practice

Angesichts der gegenwärtigen Unklarheiten sind in erster Linie die Insolvenzgerichte – und nicht, wie Heyer meint, die Berufsverbände – gefordert, den Insolvenzverwaltern Handlungsanweisungen an die Hand zu geben. M. E.dürfen und sollten sich die Insolvenzgerichte hier nicht fein raushalten und die Insolvenzverwalterschaft im Regen stehen lassen.
ZVI 2024, 451
Zunächst geht es um den Umgang mit sensiblen Daten, die im Gutachten bzw. in Berichten des Insolvenzverwalters zur Akte gereicht werden. Die renommierte Kanzlei Pluta hat hierfür eine Arbeitsanweisung verfasst (vgl. INDat-Report 2024, 28). Orientiert man sich an diesen Vorgaben, so spricht vieles dafür, dass dann, wenn die entsprechenden Unterlagen an das Gericht versandt und in das GIS eingestellt werden, keine Anonymisierungen oder Schwärzungen erforderlich werden. Nach meiner Beobachtung entsprechen die Vorgaben der Kanzlei Pluta ohnehin bereits weitgehend der etwa in Hamburg zu beobachtenden Praxis der Insolvenzverwalterschaft. Es ist aber unzweifelhaft verdienstvoll, wenn eine Kanzlei diese Praxis in eine konkrete Arbeitsanweisung übersetzt.
Danach sind notwendig:
  • Vor- und Nachname des Schuldners;
  • Geburtsdatum des Schuldners;
  • Familienstand ohne Namen, Alter und Geschlecht des Ehepartners oder eingetragenen Lebensgefährten;
  • die Anzahl der unterhaltsberechtigten Personen mit Angabe des Geburtsjahrs, aber ohne Namen und Geschlecht;
  • Grund der Insolvenz, auch wenn die Insolvenz auf gesundheitliche Probleme zurückzuführen ist, aber ohne Benennung der Erkrankung;
  • Berufsausbildung oder der Umstand, dass kein Beruf erlernt wurde, die aktuelle Beschäftigung und die Branche;
  • bei abhängiger Beschäftigung die Position und Tätigkeit ohne namentliche Nennung des Arbeitgebers;
  • vorhandene Bankverbindungen sowie die Art des Kontos, z. B. Pfändungsschutzkonto, aber nicht der Name des Kreditinstituts.

Fazit: Keine Panik!

Die Insolvenzverwalterschaft sollte sensibel mit den aufgeworfenen Fragen umgehen. Einen datenschutzrechtlichen Freifahrtschein, wie ihn die Gesetzesbegründung möglicherweise suggeriert, gibt es sicherlich nicht. Es besteht m. E. aber kein Grund zur Panik. Eine Haftung des Insolvenzverwalters wegen Verstoßes gegen datenschutzrechtliche Bestimmungen scheint mir allenfalls dann vorstellbar, wenn dieser in eklatanter Art und Weise und unter Missachtung insolvenzgerichtlicher bzw. berufsständischer Vorgaben agiert.
Dr. Andreas Schmidt, Hamburg

Verlagsadresse

RWS Verlag Kommunikationsforum GmbH & Co. KG

Aachener Straße 222

50931 Köln

Postanschrift

RWS Verlag Kommunikationsforum GmbH & Co. KG

Postfach 27 01 25

50508 Köln

Kontakt

T (0221) 400 88-99

F (0221) 400 88-77

info@rws-verlag.de

© 2025 RWS Verlag Kommunikationsforum GmbH & Co. KG

Erweiterte Suche

Seminare

Rubriken

Veranstaltungsarten

Zeitraum

Bücher

Rechtsgebiete

Reihen



Zeitschriften

Aktuell