Ich gewinne lieber als dass ich verliere. Bei Mensch-ärger-dich-nicht und bei Gerichtsverfahren. Es gibt Urteile, die gehen klar, auch wenn die eigene Mandantschaft dabei verliert. Da stimmt die Begründung, auch wenn ich es rechtlich anders sehe. Hin und wieder gibt es jedoch auch Urteile, die man liest und sich denkt: „Das darf doch wohl nicht wahr sein.“ Da geht es nicht darum, dass man verloren hat, sondern dass die Begründung grobe Schnitzer enthält. Genau so ein Urteil hielt ich kürzlich in der Hand. Als ich erfahren habe, dass dieses Urteil in der Zeitschrift für Datenschutz veröffentlicht werden soll, war mir wichtig, dass klar wird, dass dieses Urteil keines ist, auf das man sich einfach stützen kann. Denn rechtlich ist zum Teil fragwürdig, wie das Gericht die Entscheidung begründet. Wer nicht so versiert im Thema ist oder nur schnell mal nach etwas sucht, könnte sonst bei diesem Urteil landen und denken: „Ha, da gibt es was.“ Deshalb habe ich eine Anmerkung geschrieben, in der ich deutlich mache, dass und warum ich dieses Urteil für wenig hilfreich halte. Es ist soweit ersichtlich das erste Urteil zu dieser Frage und sollte nicht unkommentiert stehen bleiben, damit die unsaubere Begründung nicht wiederholt wird, sondern die vom Gericht aufgeführten Aspekte rechtsdogmatisch zukünftig besser behandelt werden.
Doch um was ging es denn nun? Im Raum stand die Frage, ob Insolvenzverwalter*innen für den Datenbestand eines schuldnerischen Unternehmens Verantwortliche im Sinne der DSGVO sind. Konkret: Muss der Insolvenzverwalter oder die Insolvenzverwalterin im eröffneten Verfahren Betroffenen eine Auskunft nach Art. 15 DSGVO erteilen?
Nach dem Wortlaut ist „der Verantwortliche“ verpflichtet, den Betroffenen mitzuteilen, ob personenbezogene Daten über sie verarbeitet werden und wenn ja, welche, wie und weshalb. Wenn das Unternehmen, das die Auskunft erteilen soll, Insolvenz angemeldet hat, das Insolvenzverfahren eröffnet und eine Insolvenzverwalter*in bestellt wurde, ergibt sich die Frage, ob nun nicht der Insolvenzverwalter*in die Auskunft erteilen kann und muss. Denn Insolvenzverwaltende erhalten die Verwaltungs- und Verfügungsbefugnis über die Insolvenzmasse. Zu dieser gehören die Geschäftsbücher, in denen sich wiederum diverse personenbezogene Daten finden wie etwa Kundenlisten. Gleichzeitig hat das schuldnerische Unternehmen keine Befugnis mehr, über die Insolvenzmasse zu verfügen. Ist es dann nicht Aufgabe des Insolvenzverwaltenden, die Auskunft zu erteilen? Denn wer die Verwaltungs- und Verfügungsbefugnis über die Geschäftsbücher hat, kann auch entscheiden, was damit gemacht wird und wozu. Die treue Leserschaft des Blogs weiß: Wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Möglicherweise gibt es personenbezogene Daten, um die sich die Insolvenzverwalter*in nicht kümmert und auch nicht zu kümmern braucht. Grundsätzlich spricht jedoch viel dafür, dass Insolvenzverwalter Verantwortliche im Sinne der DSGVO für einen guten Teil des Datenbestands der Schuldnerin sein können.
Leider hat das Amtsgericht Hamburg (Urteil vom 15.11.2021, 11 C 75/21) sich inhaltlich kaum mit dieser Frage befasst. Stattdessen hat es wenig überzeugend die Anwendbarkeit der DSGVO mit vielen Worten abgelehnt und zudem bezweifelt, dass überhaupt eine Datenverarbeitung stattfand.
Dass die DSGVO auf Insolvenzverwalter*innen nicht anwendbar sei, beruht vermutlich auf einem Missverständnis des Amtsgerichts beim Lesen einer BGH-Entscheidung. In der Folge legt das Amtsgericht Hamburg dar, dass seiner Meinung nach die Tätigkeit der Insolvenzverwaltung nicht unter die EU-Dienstleistungsrichtlinie falle, sondern dort extra ausgenommen sei. Schon das kann man mit guten Gründen anders sehen. Aber aus dem Umstand, dass die Insolvenzverwaltung nicht unter die Dienstleistungsrichtlinie fällt schließt das Gericht, dass sie dann auch nicht unter die DSGVO fällt und die Ausnahme des Art. 2 DSGVO erfüllt sei. Das passt nicht zusammen und ist auch einfach nicht richtig.
Das Amtsgericht Hamburg wandte zudem ein, der hiesige Insolvenzverwalter selbst habe keine Daten der Schuldnerin verarbeitet. Und wer nicht verarbeitet, kann auch nicht verantwortlich sein, so das Gericht. Diese Argumentation ist zwar kreativ, hilft aber nicht wirklich weiter. Denn nachdem Insolvenzverwaltende sich als erstes tief in die Daten eingraben und beispielsweise prüfen, ob das Geld für bezahlte Rechnungen zurückgefordert werden kann und welche Außenständen bei den Kund*innen bestehen, sind wir uns einig, dass diese Daten „gelesen“ werden. Und Auslesen oder Abfragen sind bekanntlich auch Verarbeitungen im Sinne von Art. 4 Nr. 2 DSGVO. Außerdem wurde in diesem Fall im Rahmen der Abwicklung noch weiter im schuldnerischen Unternehmen gearbeitet, da wird also natürlich in die Daten geschaut. Wichtiger noch aber ist: Für die Frage der Verantwortlichkeit ist es nicht relevant, ob jemand die Datenverarbeitung selbst vornimmt. Art. 4 Nr. 7 DSGVO stellt auf die rechtliche oder tatsächliche Einflussmöglichkeit auf diesen Verarbeitungsprozess ab und damit auf die Entscheidungshoheit, nicht auf die pure Tätigkeit des Verarbeitens.
Detaillierter und – mit weiteren Gründen, weshalb das Urteil nicht überzeugt – lässt sich das in der ZD 2022 ab Seite 169 nachlesen.
Transparenzhinweis: Die Anwaltskanzlei Diercks hat den Kläger im Verfahren vor dem Amtsgericht Hamburg vertreten.
