DA+

Kurzbeitrag : Der Insolvenzverwalter als Verantwortlicher im Sinne der Datenschutz-Grundverordnung : aus der RDV 3/2022 Seite 140-144

Die datenschutzrechtlichen Pflichten und Sanktionen richten sich stets gegen den datenschutzrechtlichen Verantwortlichen gemäß Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Wer Verantwortlicher ist, ist in der Praxis alles andere als einfach zu bestimmen. Dies ist regelmäßig der Fall, wenn mehrere Personen (natürliche Personen bzw. juristische Personen) als Verantwortliche in Frage kommen. In diesen Fällen geht es sodann häufig um die Frage der Einzel- oder Gesamtverantwortlichkeit. Zunehmend im Fokus der datenschutzrechtlichen Diskussion gerät die Rolle des (vorläufigen) Insolvenzverwalters und seiner datenschutzrechtlichen Verantwortlichkeit. Die Autoren gehen der Frage nach, ob der Insolvenzverwalter als datenschutzrechtlich Verantwortlicher angesehen werden kann und zeigen Lösungsvorschläge für einen pragmatischen Ansatz bei der Umsetzung der Pflichten nach der DS-GVO auf.

I. Zum Begriff des Verantwortlichen

Verantwortlicher gemäß Art. 4 Nr. 7 DS-GVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der mit der Verantwortlichkeit einhergehende Begriff der Verarbeitung umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Speicherung oder das Löschen, vgl. Art. 4 Nr. 2 DS-GVO. Maßgebliches Kriterium für die Bestimmung der Verantwortlichkeit ist die Entscheidungsgewalt bzw. Entscheidungsbefugnis über die Datenverarbeitung. Das weite Verständnis des Begriffs der Verantwortlichkeit bedingt, dass jede Verarbeitung datenschutzrechtlich zumindest einem Verantwortlichen zugeordnet werden muss. Die Zuweisung der Verantwortlichkeit kann allerdings nur erfolgen, wenn ein tatsächlicher Einfluss auf die Verarbeitung besteht. Dieser tatsächliche Einfluss kann auch das Resultat einer ausdrücklichen rechtlichen Bestimmung sein, die dem Verantwortlichen auferlegt wird, personenbezogene Daten zu verarbeiten, z.B. weil diese Verarbeitung im öffentlichen Interesse liegt. Als Beispiel lassen sich die gerichtlichen Aufgaben anführen. Die von den Gerichten verfolgten hoheitlichen, im öffentlichen Interesse ausgeführten Aufgaben bringen es mit sich, dass personenbezogene Daten von den Gerichten verarbeitet werden. Gerichte unterfallen somit der DS-GVO und gelten als datenschutzrechtliche Verantwortliche.

Soweit es darum geht, dass ein Verantwortlicher infolge seiner Entscheidungsbefugnis über den Zweck und die Mittel der Verarbeitung bestimmen kann, ist damit gemeint, dass der Verantwortliche die tatsächliche Gewalt darüber hat festzulegen, „ob“ und „wie“ personenbezogene Daten verarbeitet werden. An dieser Stelle wird der Unterschied zum Auftragsverarbeiter i.S.d. Art. 28 DS-GVO deutlich. Während der Verantwortliche über den Verarbeitungszweck bestimmt, darf der Auftragsverarbeiter – und in der Regel ist er dazu berechtigt – die technisch-organisatorischen Maßnahmen treffen, um den Verarbeitungszweck gemäß der Weisung des Verantwortlichen zu erreichen.

Die datenschutzrechtlichen Pflichten des Verantwortlichen sind weit, da er für die Einhaltung des Datenschutzes einzustehen hat, vgl. Art. 5 und 6 DS-GVO.

II. Die Rolle des Insolvenzverwalters

Bezogen auf die datenschutzrechtliche Verantwortlichkeit des Insolvenzverwalters ist somit dessen tatsächliche Einflussmöglichkeit auf die Verarbeitung der personenbezogenen Daten maßgeblich. Unschwer ist die Rolle als Verantwortlichkeit i.S.d. DSGVO in Hinblick auf die „originäre Datenverarbeitung“ des Insolvenzverwalters für die Datenverarbeitung seiner Kanzlei und seiner Mitarbeiter zu bestimmen, zumindest soweit diese nicht amtsbezogen ist. Denn im Übrigen hängt die Frage der tatsächlichen Einflussmöglichkeit und damit der Entscheidungsgewalt von der Phase ab, in der sich ein infolge eines Insolvenzantrags eingeleitetes Insolvenzverfahren befindet. Anhand diesen Verfahrensstands sind die Rechte, aber auch Pflichten des Insolvenzverwalters zu bestimmen. Folglich auch die datenschutzrechtlichen Pflichten.

1. Entscheidung des Amtsgerichts Hamburg

Nicht zu folgen ist der Auffassung des Amtsgerichts Hamburg (AG) in seinem Urteil vom 15.11.2021. Das AG entschied, dass ein amtswegig bestellter Insolvenzverwalter kein Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO sei. Das AG vertritt die Auffassung, dass der Insolvenzverwalter – im konkreten Fall im bereits eröffneten Insolvenzverfahren – nicht in den Bereich des Unionsrechts falle, da für ihn die Bereichsausnahme gemäß Art. 2 Abs. 2 a) DS-GVO greife, denn der Insolvenzverwalter übe eine hoheitliche Aufgabe „sui generis“ aus. Somit unterfalle der Insolvenzverwalter der Nichtanwendungsregelung der Dienstleistungsrichtlinie.

Das AG gelangt zu seiner Entscheidung, indem es quasi einen Erst-Recht-Schluss zu einer BGH-Entscheidung zieht. In jenem Urteil entschied der BGH, dass die Datenverantwortlichkeit eines Zwangsverwalters nur aus dessen Dienstleistungstätigkeit i.S.d. Dienstleistungsrichtlinie abgeleitet werden könne, „da dieser keine öffentliche Gewalt ausübe“. Da der Insolvenzverwalter nach Auffassung des AG hoheitlich tätig werde, greife für ihn die Bereichsausnahme gemäß Art. 2 Abs. 2 a) DS-GVO. Damit könne er nicht passivlegitimiert sein, mithin auch kein Beklagter eines Auskunftsanspruchs.

Diese Auffassung ist unzutreffend. Denn Art. 2 Abs. 2 a) DS-GVO ist vorliegend nicht anwendbar.

Der EuGH hat sich bereits zu der Bereichsausnahme gem. Art. 2 Abs. 2 a) DS-GVO positioniert. In seinem Urteil vom 22.06.2021 heißt es: „Daraus folgt, dass Art. 2 Abs. 2 Buchst. a der DS-GVO […] so zu verstehen ist, dass damit vom Anwendungsbereich dieser Verordnung allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden, so dass der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, nicht dafür ausreicht, dass diese Ausnahme automatisch für diese Tätigkeit gilt […].“

Das AG übersieht die EuGH-Entscheidung und auch die Tatsache, dass es sich bei der Tätigkeit des Insolvenzverwalters nicht um „dieselbe Kategorie“ handelt wie die Wahrung der nationalen Sicherheit. Im Übrigen werden andere hoheitliche Tätigkeiten nicht von der Bereichsausnahme „automatisch“ umfasst. Vorliegend ist der sachliche Anwendungsbereich der DS-GVO somit sehr wohl eröffnet.

Ferner setzt sich das AG in keiner Weise mit der Anwendbarkeit des Bundesdatenschutzgesetzes (BDSG) auseinander. Unterstellt, die Auffassung des AG wäre zutreffend, dann unterfällt der Insolvenzverwalter „zumindest“ dem BDSG. In diesem Fall hätte das Gericht prüfen müssen, ob der Insolvenzverwalter eine sog. öffentliche Stelle i.S.d. § 2 BDSG darstellt. Eine Unterscheidung zwischen einer öffentlichen und nicht-öffentlichen Stelle kennt die DS-GVO nicht. Eine derartige Unterscheidung findet sich lediglich innerhalb des BDSG. In den sachlichen Anwendungsbereich der DS-GVO fallen andererseits auch Gerichte und Behörden, obgleich diese zweifelsfrei hoheitliche Aufgaben wahrnehmen.

Warum wiederum ein Insolvenzverwalter der Bereichsausnahme unterfallen soll, ein Gericht hingegen nicht, beantwortet das AG nicht. Ein Abstellen auf das vermeintlich hoheitliche Tätigwerden des Insolvenzverwalters ist somit kein tragfähiges Argument, um zum Ausschluss der Anwendbarkeit der DS-GVO zu gelangen.

Da das AG sich mit den vorstehenden Fragen in keiner Weise auseinandergesetzt hat, kann – womöglich sogar muss – vermutet werden, dass das AG die Auffassung vertritt, der Insolvenzverwalter unterfalle überhaupt nicht dem Datenschutz. Dies wäre indes ein sehr fragwürdiges Ergebnis, das keine rechtliche Stütze findet.

2. Amtswegig bestellter Insolvenzverwalter als Verantwortlicher

Der Insolvenzverwalter unterfällt mithin der DS-GVO und kann grundsätzlich auch Verantwortlicher für die Verarbeitung personenbezogener Daten sein. Dabei ist es zweitrangig, ob der Insolvenzverwalter als „öffentliche Stelle“ oder „nicht-öffentliche Stelle“ eingeordnet wird. Denn an der datenschutzrechtlichen Verantwortlichkeit ändert sich dadurch nichts. Indes ist relevant, in welchem Verfahrensstadium sich das Insolvenzverfahren befindet.

a) Verantwortlicher im eröffneten Insolvenzverfahren?

Mit Eröffnung des Insolvenzverfahrens geht die Verwaltungs- und Verfügungsbefugnis vom Insolvenzschuldner auf den Insolvenzverwalter über, vgl. §§ 80, 81 InsO (sog. Insolvenzbeschlag). Um diese Befugnisse umzusetzen, benötigt der Insolvenzverwalter den Besitz an der Insolvenzmasse. Gemäß § 148 InsO hat der Insolvenzverwalter das gesamte zur Insolvenzmasse gehörende Vermögen sofort in Besitz und Verwaltung zu nehmen.

Infolge des Eröffnungsbeschlusses verliert der Insolvenzschuldner damit seine vorherige Entscheidungsbefugnis und kann fortan nicht mehr über die Zwecke oder Mittel der Datenverarbeitung bestimmen. Allerdings kann aus der faktischen Sicherung der Insolvenzmasse selbst noch keine Stellung als Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO resultieren, denn es fehlt hierbei an einer Verarbeitungshandlung. Vielmehr muss der Insolvenzverwalter seiner Pflicht zur Besitzergreifung nachkommen, um die Entscheidungsbefugnis über den Verarbeitungsvorgang auszuüben. Erst wenn der Insolvenzverwalter den Besitz ausüben kann, kann ein Verarbeitungsvorgang angenommen werden.

Die Annahme, dass die Stellung als Verantwortlicher die tatsächliche Sachherrschaft an den personenbezogenen Daten erfordert, stellt auch keinen Systemwiderspruch zur Auftragsverarbeitung i.S.d. Art. 28 DS-GVO dar. Das Gegenteil ist der Fall. Art. 28 DS-GVO zeigt, dass der Insolvenzverwalter infolge einer Verarbeitung durch den Auftragsverarbeiter mittelbaren Besitz an den personenbezogenen Daten erhält und seine Entscheidungsbefugnis ausübt, indem er die Umsetzung des Verarbeitungsvorgangs einem anderen überlässt.

Diesbezüglich ist auch der Auffassung des OVG Hamburg (OVG) in seinem Beschluss vom 15.10.2020 zuzustimmen. Darin entschied das OVG, dass „die bloße Lagerung personenbezogener Daten, ohne dass mit diesen Daten „umgegangen“ wurde oder umgegangen wird“ keine Verarbeitung im Sinne der DS-GVO darstelle. Im konkreten Fall ging es um Patientenakten in Papierform, die jahrelang in den Kellerräumen eines verlassenen Gebäudes lagerten. Dies bisweilen ohne Kenntnis der späteren in Anspruch genommenen Rechtnachfolgerin. Zutreffend stellte das OVG, der Vorinstanz folgend, fest, dass die Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO eine menschliche Aktivität voraussetze.

Dieser Folgerung schließen sich die Autoren an. Denn etwas zu verarbeiten bedeutet, etwas aktiv in Gang zu setzen. Dafür spricht auch der englische Gesetzestext der DSGVO. So heißt es in der englischen Fassung unter Art. 4 Nr. 2 DS-GVO „processing’ means any operation or set of operations which is performed”.

Das stellt auch keinen Widerspruch zu der Aussage dar, dass jede Verarbeitung einem Verantwortlichen zuzuweisen ist. Denn in dem vom OVG Hamburg entschiedenen Fall lag eben schon keine Verarbeitung der personenbezogenen Daten vor.

Allerdings bedeutet das nicht, dass Passivität und ein Augenverschließen mit dem Wegfall datenschutzrechtlichen Verantwortlichkeit zu „belohnen“ ist. Denn die Kenntnis von Verarbeitungsvorgängen durch Dritte und das Billigen dieser Verarbeitung, eben weil z.B. zur Betriebsfortführung erforderlich, begründet sehr wohl einen Verarbeitungsvorgang des Insolvenzverwalters sowie dessen Verantwortlichkeit i.S.d. DS-GVO. Denn durch das Billigen wird die Einflussbefugnis manifestiert.

Dabei hat sich die Verarbeitung der personenbezogenen Daten an den Zielen des Insolvenzverfahrens gemäß § 1 InsO zu orientieren; allen voran den Zielen der gemeinschaftlichen Befriedigung der Gläubiger sowie dem Erhalt des Unternehmens. Erfolgt abseits dieser Ziele eine Verarbeitung personenbezogener Daten, die der Insolvenzverwalter infolge des Insolvenzverfahrens „erhält“, ist der Insolvenzverwalter uneingeschränkt originärer Verantwortlicher, den die datenschutzrechtlichen Pflichten treffen.

Ferner greifen vorstehende Erwägungen nur, soweit die personenbezogenen Daten vom Insolvenzbeschlag umfasst sind. Denn nur dann hat der Insolvenzverwalter eine konkrete Einflussmöglichkeit auf den Verarbeitungsvorgang und verarbeitet die personenbezogenen Daten als Verantwortlicher. Das bedeutet, dass der Insolvenzverwalter im Falle der Freigabe von Massegegenständen seine Einflussmöglichkeit auf die davon betroffenen personenbezogenen Daten verliert. Diese Einflussbefugnis fällt wieder dem Insolvenzschuldner zu, womit dieser (erneut) zum datenschutzrechtlichen Verantwortlichen wird. Dasselbe gilt für Gegenstände, die der Insolvenzverwalter nicht in Besitz genommen hat.

Eine gemeinsame Verantwortlichkeit mit dem Schuldner mit Eröffnung des Insolvenzverfahrens kommt indes nicht in Betracht. Denn aufgrund der fehlenden Vermögens- und Verfügungsbefugnis fehlt dem Schuldner die Rechtsposition gemeinsam mit dem Insolvenzverwalter über den Zweck und die Mittel der Datenverarbeitung zu bestimmen.

Bei massefremden Gegenständen verbleibt es (zunächst) bei einer Verantwortlichkeit des Insolvenzverwalters, sofern er von seiner Entscheidungsbefugnis in Hinblick auf einen Verarbeitungsvorgang Gebrauch macht. Denn zu berücksichtigen ist, dass § 148 InsO auch massefremde Gegenstände umfasst. So z.B. in Hinblick auf Gegenstände, an denen Gläubiger Absonderungs- bzw. Aussonderungsrechte (vgl. §§47 ff InsO) haben. Auch diese Gegenstände sind, in Hinblick auf die Ermittlung der Insolvenzmasse, zunächst in Besitz zu nehmen. Sodann gelten die obigen Erwägungen.

b) Verantwortlicher im Insolvenzeröffnungsverfahren?

Im Insolvenzeröffnungsverfahren (sog. vorläufiges Insolvenzverfahren) ist danach zu unterscheiden, ob es sich um einen starken oder schwachen vorläufigen Insolvenzverwalter handelt. Handelt es sich um einen starken vorläufigen Insolvenzverwalter, so geht auch in diesem Fall die Verwaltungs- und Verfügungsbefugnis auf diesen über (vgl. § 22 Abs. 1 S. 2 Nr. 1 InsO). Auch hat der Insolvenzverwalter die Insolvenzmasse in seinen Besitz zu nehmen. Insofern gelten die vorstehenden Erwägungen zum eröffneten Insolvenzverfahren entsprechend.

Wurde ein schwacher vorläufiger Insolvenzverwalter bestellt (vgl. § 21 Abs. 2 Nr. 1 InsO), so geht die Entscheidungsbefugnis nicht über, sondern verbleibt bis auf Weiteres beim Insolvenzschuldner. Dies gilt auch bei Anordnung eines Zustimmungsvorbehalts (vgl. § 21 Abs. 2 Nr. 1 2. Alt. InsO) bzw. weiterer Pflichten durch das Gericht (vgl. § 22 Abs. 2 InsO). In diesen Fällen erfolgt eine Verarbeitung aus der „Sphäre des Schuldners“.

Zu beachten ist, dass im Laufe eines Insolvenzeröffnungsverfahrens sich die Stellung des vorläufigen Insolvenzverwalters dergestalt wandeln kann, dass er zunächst als sog. schwacher vorläufiger Insolvenzverwalter bestellt wird und sodann die Befugnisse eines starken vorläufigen Insolvenzverwalters übertragen bekommt. Insofern ist auch hier der Zeitpunkt maßgeblich, zu dem die Entscheidungsbefugnis über den Verarbeitungsvorgang vorliegt.

III. Lösungsvorschläge im Umgang mit Betroffenenrechten

Die vorstehenden Ausführungen zeigen, dass der Insolvenzverwalter in der Regel datenschutzrechtlicher Verantwortlicher sein wird, auch wenn die Umstände des Einzelfalls gründlich zu prüfen sind. Die insolvenzrechtliche Sonderstellung darf zu keiner datenschutzrechtlichen Privilegierung des Insolvenzverwalters führen. Dieses Ergebnis ist auch keine Besonderheit des Datenschutzes. Auch im Wettbewerbsrecht gibt es kein Privileg für das Insolvenzverfahren, vielmehr sind wettbewerbsschützende Vorschriften in der Insolvenz einzuhalten.

Tatsache ist, dass es sich bei Insolvenzverfahren regelmäßig um Masseverfahren zur Generierung von Insolvenzmasse handelt. Insofern kommt der Insolvenzverwalter mit einer Vielzahl von personenbezogenen Daten in Berührung. Trifft ihn dann die datenschutzrechtliche Verantwortung, so trifft ihn diese für einen datenschutzrechtlichen Zustand, auf den er (zumindest ursprünglich) keinen Einfluss hatte.

Diese Verantwortlichkeit hat Konsequenzen, denn den Insolvenzverwalter treffen dann datenschutzrechtlichen Pflichten, u.a. datenschutzkonforme Prozesse im insolventen Unternehmen abzubilden oder Betroffenenrechte umzusetzen. Diese datenschutzrechtlichen Pflichten tragen wiederum ein Haftungsrisiko in sich (vgl. Art. 82 DS-GVO), wenn der Insolvenzverwalter sich contra legem verhält.

In Bezug auf die Pflicht zur Umsetzung von datenschutzkonformen Prozessen wird die Ansicht vertreten, dass diese Pflicht den Insolvenzverwalter nur treffen solle, sofern das Unternehmen der Insolvenzschuldnerin fortgeführt werde. Dieser Lösungsvorschlag ist zu begrüßen, weil es ein Minus zu einer unbedingten Pflicht zur Erfüllung der datenschutzrechtlichen Vorgaben, z.B. Erstellen und Führen eines Verarbeitungsverzeichnisses, darstellt. Indes erscheint die Lösung nicht praxistauglich. Denn die Feststellung, ob ein Unternehmen auch tatsächlich fortgeführt werden kann, kann nicht ohne Weiteres auf einen bestimmten Zeitpunkt des Insolvenzverfahrens fixiert werden. Damit wäre der Zeitpunkt der Verantwortlichkeit zur Umsetzung der datenschutzkonformen Prozesse nicht eindeutig bestimmbar. Würde der Insolvenzverwalter hingegen mit der Umsetzung von datenschutzkonformen Prozessen beginnen, obgleich es schlussendlich zu einer Betriebsschließung kommt, dann sind die dadurch angefallenen Kosten ohne Mehrwert und zum Nachteil der Gläubiger, da insolvenzmasseverkürzend. Schlimmstenfalls würde sich der Insolvenzverwalter haftbar machen, vgl. § 60 InsO.

Der Insolvenzverwalter sollte sich daher in Fällen, in denen er ein schuldnerisches Unternehmen vorfindet, das nicht datenschutzkonform ist, auf die fehlende Verantwortlichkeit berufen können (vgl. Art. 82 Abs. 3 DS-GVO). Der Insolvenzverwalter ist in Hinblick auf seine datenschutzrechtliche Verantwortlichkeit einem Zustandsstörer vergleichbar, dem die Störereigenschaft durch Rechtsnachfolge aufgedrängt wird. Ist die Datenschutzorganisation der Insolvenzschuldnerin mit dem geltenden Datenschutzrecht nicht vereinbar, muss die Berücksichtigung des Verhältnismäßigkeitsgrundsatzes dazu führen, dass die Haftung des Insolvenzverwalters ausgeschlossen wird.

Anders ist hingegen der Umgang mit den Betroffenenrechten gemäß Art. 12 ff. DS-GVO zu bewerten. Den Insolvenzverwalter treffen, als datenschutzrechtlichen Verantwortlichen, die Pflichten gemäß Art. 12 ff. DSGVO. Ein Schwerpunkt soll im Folgenden auf dem Auskunftsrecht liegen. Denn zumindest die Informationsrechte sind relativ unproblematisch zu erfüllen. Der Auskunftsanspruch und dessen Erfüllung indes bereiten dem Verantwortlichen in der Praxis regelmäßig erhebliche Probleme.

Wird der Insolvenzverwalter von einer Vielzahl an betroffenen Personen aus Art. 15 DS-GVO in Anspruch genommen, so droht das gesamte Insolvenzverfahren seinen insolvenzrechtlichen Fokus zu verlieren. Dies bedeutet nicht, dass der Insolvenzverwalter sich von der Auskunftspflicht nach Art. 15 DS-GVO gänzlich befreien kann oder gar soll. Vielmehr muss ihm die Möglichkeit eines Unverhältnismäßigkeitseinwands gegen die Inanspruchnahme gegeben werden. Diesbezüglich ist eine Heranziehung des Art. 14 Abs. 5 lit. b DS-GVO in Betracht zu ziehen. Nach der vorstehenden Vorschrift kann die Erteilung von Informationen gemäß Art. 14 DS-GVO entfallen, sofern sich diese Informationspflicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Im Falle des Insolvenzverwalters ist die Alternative des unverhältnismäßigen Aufwands anzuwenden. Ausweislich des Erwägungsgrunds 62 zur DS-GVO sind dabei im Rahmen der Prüfung des unverhältnismäßigen Aufwands die Zahl der betroffenen Personen zu berücksichtigen, denen ein Anspruch zusteht. Ob die Unverhältnismäßigkeit vorliegt, ist wiederum rein nach subjektiven Umständen des Verantwortlichen zu bestimmen. Bei der Menge an gerichtlichen Verfahren und den umfassenden Datenbeständen, die der Insolvenzverwalter im Rahmen eines Insolvenzverfahrens zu verwalten hat, wird dies vermutlich regelmäßig zu bejahen sein.

IV. Fazit

Die vorstehenden Ausführungen zeigen, dass die datenschutzrechtliche Verantwortlichkeit des Insolvenzverwalters ebenso problematisch ist wie die Umsetzung der datenschutzrechtlichen Pflichten, die dem Insolvenzverwalter als Verantwortlichem i.S.d. DS-GVO infolge seines Amtes obliegen. Um die Ziele des Insolvenzverfahrens (vgl. § 1 InsO) nicht zu gefährden und die ohnehin schon lange Verfahrensdauer von Insolvenzverfahren nicht noch weiter in die Länge zu ziehen, bedarf es datenschutzkonformer Lösungsansätze. Neben der Haftungsbefreiung gemäß Art. 82 Abs. 3 DS-GVO, bei fehlender datenschutzkonformer Organisation des schuldnerischen Unternehmens, ist Art. 14 Abs. 5 lit. b DS-GVO heranzuziehen, um Auskunftsansprüchen nach Art. 15 DS-GVO nötigenfalls wirksam entgegenzutreten. Ein Verhältnismäßigkeitseinwand wird bereits von Gerichten geteilt. Ob dieser auf § 242 BGB oder auf Art. 14 Abs. 5 lit. b DS-GVO gestützt wird, kann an dieser Stelle dahingestellt bleiben.