Der Bremer Landesbeauftragte für Datenschutz (LfD) hat mit Datum vom 28. 3. 2025 seinen 7. Jahresbericht nach der Datenschutzgrundverordnung veröffentlicht (https://www.datenschutz.bremen.de/sixcms/media.php/13/7.%20 Jahresbericht%20Datenschutz.pdf). Zu den nach Art. 83 DSGVO vom LfD im Berichtszeitraum verhängten Geldbußen für Verstöße gegen Datenschutzvorschriften lag das Hauptaugenmerk nach Darstellung des Berichts auf den „Verantwortlichen im Bereich Insolvenzverwaltungen, die personenbezogene Daten von Bürgerinnen und Bürgern im Internet zu lange veröffentlicht hatten. Darüber hinaus gab es Veröffentlichungen im bundesweiten Insolvenzregister, deren Datenumfang und Veröffentlichungsdauer präzise geregelt sind“ (Bericht S. 17).

Das sollte aufhorchen lassen. Es ist bekannt, dass die Bremer Datenschutzbehörde schon immer intensiv auf die Einhaltung der datenschutzrechtlichen Regelungen im Bereich des Insolvenzrechts geschaut hat. Exemplarisch ist dies in dem Urteil des VG Bremen vom 21. 5. 2025 (4 K 3063/23, ZVI 2026, 104 (in diesem Heft)) nachzulesen. Und der Jahresbericht dürfte sich auch mit auf diesen Fall beziehen. Dort hatte eine Insolvenzkanzlei in der Vergangenheit ein Gläubigerinformationssystem betrieben, das zunächst einen öffentlich unbeschränkten Zugang ermöglichte und Informationen zu dem Schuldner wie den Namen, die Anschrift, das gerichtliche Aktenzeichen, das Gericht, die Art des Verfahrens, den Verfahrensstatus und Informationen über die Verfahrenskostenstundung und weitere Verfahrensdaten und gerichtliche Entscheidungen darstellte. Dass das weder den datenschutzrechtlichen Anforderungen nach Art. 5, 6 DSGVO, noch den mittlerweile gesetzlich geregelten Anforderungen nach § 5 Abs. 5 InsO entsprach, ist offenkundig und in dem Urteil des VG Bremen überzeugend dargelegt. Solcherlei Veröffentlichungspraktiken gehören damit wohl endgültig der Vergangenheit an.

Gleichwohl sollte der Bericht Mahnung sein, dem Thema Datenschutz in der Insolvenzverwaltung und im Insolvenzverfahren auch weiterhin mit hoher Aufmerksamkeit zu begegnen.

Mit der Ausweitung der Vorhaltepflicht eines Gläubigerinformationssystems auch für Verbraucherinsolvenzverfahren durch das Gesetz zur weiteren Digitalisierung der Justiz vom 12. 7. 2024 (BGBl I Nr. 234) hat sich die Menge der verarbeiteten sensiblen, personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO nochmals erhöht. In Unternehmensinsolvenzverfahren mögen es oftmals sensible Geschäftsdaten sein, die sich in Berichten finden und dort verarbeitet werden, in Verbraucherinsolvenzverfahren sind es oft höchst sensible Daten der Schuldner über ihre persönlichen Verhältnisse, ggf. bis hin zu nochmals gesondert geschützten Gesundheitsdaten i. S. d. Art. 9 DSVGO. Aber natürlich lauern auch in Unternehmensinsolvenzverfahren datenschutzrechtliche Gefahren, wenn es z. B. versäumt wird, Passwörter von ehemaligen Beschäftigten zu ändern und diese so weiterhin Zugriff auf Kunden- und Beschäftigtendaten nehmen können oder wenn aus dem übernommenen Schuldnerbetrieb keine wirksamen Einwilligungen von Kunden zur Datenverarbeitung vorliegen.

Nach dem Bericht des bremischen LfD scheinen die festgestellten datenschutzrechtlichen Verstöße aber vor allem im Bereich der zu langen Veröffentlichung von personenbezogenen Daten von Bürgerinnen und Bürgern im Inter-ZVI 2026, 82net gelegen zu haben, also in der unterbliebenen Datenlöschung. Und genau dazu fehlen ausdrückliche national-gesetzliche Vorgaben. Nur für die Löschung von Veröffentlichungen der Gerichte im Insolvenzportal gem. § 9 InsO enthält die „Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren und Restrukturierungssachen im Internet (InsBekV)“ in § 3 klare Fristenregelungen. Nach § 3 Abs. 1 Satz 1 InsBekV sind Veröffentlichungen spätestens sechs Monate nach Aufhebung oder Rechtskraft der Einstellung des Insolvenzverfahrens zu löschen.

Für die seitens der Insolvenzverwalterschaft vorzuhaltenden Gläubigerinformationssysteme fehlen solche Regelungen. Das Problem verschärft sich noch dadurch, dass auch nicht geklärt ist, ob in Verbraucher- und Restschuldbefreiungsverfahren etwaige Löschfristen an die Aufhebung des Insolvenzverfahrens nach § 200 InsO anknüpfen müssen, d. h., dass Daten in einem Gläubigerinformationssystem während der Wohlverhaltensperiode nicht mehr vorzuhalten sind, oder ob § 5 Abs. 5 InsO auch noch in der Wohlverhaltensperiode gilt, obwohl das Gesetz nur von der Vorhaltepflicht des „Insolvenzverwalters“ und nicht des „Treuhänders“ spricht. Auch der Bremer Datenschutzbericht gibt dazu keine Hinweise.

Die Abwägung zu den Löschungspflichten muss deshalb nach den allgemeinen datenschutzrechtlichen Grundsätzen erfolgen. Das bedeutet zum einen, dass jede Veröffentlichung einer entsprechenden Rechtsgrundlage bedarf, weil die DSGVO ein sog. Verbot von Datenverarbeitungen mit Erlaubnisvorbehalt enthält, und dass zum anderen eine Löschung erfolgen muss, wenn personenbezogene Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig sind, Art. 17 Abs. 1 lit. a DSGVO.

Für die Frage des hinreichenden Erlaubnisvorbehalts für ein Gläubigerinformationssystem auch in der Wohlverhaltensperiode ist dies wie vorgehend dargestellt angesichts des Wortlauts des § 5 Abs. 5 InsO bereits fraglich, wenn das Gesetz nur den Insolvenzverwalter verpflichtet (und berechtigt).

Und ob ein Gläubigerinformationssystem nach Aufhebung des Insolvenzverfahrens noch weiterhin „notwendig“ ist, ist nochmals fraglicher. Informationen zum Verfahren, auch zum Übergang in die Wohlverhaltensperiode, erhalten Gläubiger über das Insolvenzportal. Dort werden die Eröffnung und die Aufhebung des Verfahrens bekanntgemacht, §§ 9, 30 Abs. 1, § 200 Abs. 2 InsO. Diese Entscheidungen werden zwar mit der Frist nach § 3 Abs. 1 InsBekV im Insolvenzportal gelöscht, nicht aber sogleich auch die Entscheidung über die Ankündigung der Restschuldbefreiung nach § 287a Abs. 1 InsO. Dieser Beschluss wird nach § 3 Abs. 2 InsO erst mit einer entsprechenden Frist nach Rechtskraft der Entscheidung über die Restschuldbefreiung gelöscht. So bleibt im Insolvenzportal nach Aufhebung des Insolvenzverfahrens die Entscheidung des Gerichts zur Restschuldbefreiung sichtbar und die Gläubiger können sich auf diese Weise darüber informieren, dass sich ein Schuldner in der Wohlverhaltensperiode befindet und über den Restschuldbefreiungsantrag noch nicht entschieden ist. Dieselbe Information in einem Gläubigerinformationssystem ist deshalb redundant und damit im datenschutzrechtlichen Sinn nicht erforderlich. Vor diesem Hintergrund ist den Insolvenzverwaltern zu raten, entsprechende Informationen zu löschen bzw. das Gläubigerinformationssystem zu deaktivieren.

Der weitere Hinweis im Datenschutzbericht betrifft die „Veröffentlichungen im bundesweiten Insolvenzregister, deren Datenumfang und Veröffentlichungsdauer präzise geregelt sind“. Da im Insolvenzportal nur die Insolvenzgerichte veröffentlichen, betrifft der Hinweis deren Verantwortungsbereich. Hier sind die Löschungspflichten wie dargestellt gesetzlich geregelt. Wenn es dort Defizite gibt, betrifft es also nicht die rechtlichen Anforderungen, sondern die praktische Handhabung der Löschungen. Die Überwachung der Löschungspflichten ist Aufgabe der Geschäftsstellen der Gerichte. Leider zeigt die Praxis tatsächlich, dass insbesondere Berufseinsteiger oder -wechsler mit der Systematik der Insolvenzveröffentlichungen nicht immer hinreichend vertraut sind.

Erfolgt aber die Löschung von Insolvenzdaten nicht rechtzeitig, stellt das eine „unangemessene Verfahrensverzögerung“ i. S. d. § 198 GVG dar, für die seitens der Justiz – unabhängig von eventuellen weitergehenden Schadensersatzansprüchen – eine entsprechende Entschädigung zu leisten ist (OLG Koblenz NZI 2016, 972). Die Gerichte können nicht oft genug auf diese Verpflichtung und Haftungsträchtigkeit hingewiesen werden. Moderne IT-Systeme sollten die Überwachung der Löschungsfristen unterstützen, sie sind aber vielleicht noch immer nicht ganz flächendeckend im Einsatz und sie erfordern auch immer eine entsprechend aktuelle Datenpflege. Nur dann können Fristen zuverlässig berechnet werden. Wenn der Datenschutzbericht diesbezüglich Defizite feststellt, besteht deshalb offenbar auch weiterhin Schulungsbedarf.