Ein Gastbeitrag von Tom Braegelmann und Christian Graf Brockdorff, Anwälte bei BBL Bernsau Brockdorff & Partner. Graf Brockdorff war Insolvenzverwalter bei prominenten Fällen der Berliner Startup-Szene, darunter Auctionata und Move24.
Viele Startups bestehen im Wesentlichen nur noch aus großen Datenbeständen – abgesehen von wenigen Beschäftigten und einigen angemieteten Büroräumen. Schlittert solch ein Unternehmen in eine Krise oder ein Insolvenzverfahren, ist das für die Sanierung eine Herausforderung, vor allem, wenn die Daten schlecht gepflegt wurden oder der Datenschutz vernachlässigt wurde.
Insbesondere junge Unternehmen sollten darauf achten, sich von ihrer Gründung an strikt an den Datenschutz zu halten und ihre Daten ordentlich zu verwahren. Denn andernfalls kann dies eine Krise noch verschärfen. Die Insolvenzverwalter können mit Datenschutzthemen schon seit Langem umgehen, doch es gibt neue Herausforderungen für Unternehmen, Berater und die Rechtsanwälte, um die es in diesem Beitrag gehen soll.
Ohne Daten geht nichts mehr
Viele Unternehmensgründungen und Geschäftsmodelle sind heutzutage datengetrieben. Startups haben meist keine relevanten eigenen Assets mehr, die man anfassen kann: Die Büroräume sind angemietet, die Server laufen in einer Cloud eines Drittanbieters – und auch Maschinen und Fabrikhallen werden bei Bedarf nur geleast.
Der Unternehmenswert setzt sich dann allein aus der Expertise und dem unternehmerischen Drive der Gründer und Beschäftigten in Verbindung mit den Datenbergen zusammen. In vielen Fällen sind die Produkte der Startups Software-as-a-Service-Dienste (SaaS) oder Online-Plattformen, die etwa Lösungen auf der Grundlage von Künstlicher Intelligenz oder der Blockchain-Technologie anbieten. Handfeste Sicherheiten, wie Banken und andere Finanzierer sie gerne hätten, beispielsweise Grundstücke oder die Sicherungsabtretung von Warenbeständen, gibt es bei solchen Startups kaum mehr.
Urheberrechte an Software waren schon immer eine schwierige und unbeliebte Banksicherheit. Bei SaaS liegt die Software meist nicht als eigenes Produkt vor, sondern ist ein untrennbarer Mix aus mehreren Kundendienstleistungen und Softwareumgebungen. Aus diesem Grund ist sie für sich keine praktikable Kreditsicherheit.
Das alles ändert die Spielregeln für eine Finanzierung und für den Fall, dass diese scheitert, eine Sanierung. Denn Geld gibt es weiterhin oft nur gegen Stellung von Sicherheiten. Aber taugen Daten überhaupt als Sicherungsgut? Wenn doch nichts anderes da ist? Ist das rechtlich erlaubt? Die Antwort der Juristen lautet wie immer: Es kommt darauf an.
EU-Kommission will „Binnenmarkt für Datendienste“
Auch bei Maschinendaten ohne Personenbezug (zum Beispiel Downloadhäufigkeiten) stellt sich in der Krise die Frage, ob sie gut verwertbar sind oder als digitale Ruinen verkümmern. Diesen Themen muss man sich in der Praxis stellen. Das hat auch die EU-Kommission erkannt. Ende 2017 hat sie einen Vorschlag für eine Verordnung über den freien Fluss nicht-personenbezogener Daten vorgestellt, der nun im Gesetzgebungsverfahren ist. Zusammen mit den bereits bestehenden Vorschriften für personenbezogene Daten, der DGSVO und dem neuen Bundesdatenschutzgesetz, soll die Speicherung und Verarbeitung nicht-personenbezogener Daten in der gesamten EU ermöglicht werden. Das soll zu einem echten EU-Binnenmarkt für Datendienste beitragen.
Dabei könne „[d]ie großflächige Nutzung nicht personenbezogener, maschinell generierter Daten (…) großartige Innovationen, Startups und Geschäftsmodelle ,Made in Europe‘ hervorbringen“, heißt es von der EU-Kommission euphorisch. Doch es gebe hierbei immer noch Rechtsunsicherheit. Die geltenden europäischen Haftungsvorschriften würden den heutigen Datenprodukten und -diensten nicht gerecht. Auch sei die Übertragbarkeit nicht-personenbezogener Daten derzeit kompliziert, beispielsweise, wenn ein Unternehmen große Mengen seiner Daten von einem Cloud-Diensteanbieter auf einen anderen übertragen wolle. Diese Probleme stellen sich alle noch verschärft in der Unternehmenskrise, wo oft die Zeit drängt – insbesondere, wenn unbezahlte Cloudanbieter damit drohen, dem kriselnden Unternehmen die Cloud abzuschalten.
Vorgeschlagen hat die EU-Kommission unter anderem, dass die EU-Mitgliedstaaten Unternehmen nicht länger verpflichten dürfen, Daten an einem Standort innerhalb ihrer Grenzen zu speichern oder zu verarbeiten. Durch den freien Fluss nicht-personenbezogener Daten soll es für die Unternehmen einfacher und billiger werden, grenzüberschreitend tätig zu sein, ohne über doppelte IT-Systeme verfügen oder dieselben Daten an verschiedenen Orten sichern zu müssen. Außerdem will die EU-Kommission Hemmnisse beim Wechsel zwischen Anbietern von Cloud-Diensten und bei der Rückübertragung von Daten auf die eigenen IT-Systeme der Nutzer beseitigen.
Mit schlechter Datenschutz-Compliance selbst ein Bein stellen
Wenn also der Unternehmenswert ganz wesentlich durch die vorhandenen Daten als Asset-Klasse bestimmt wird, kommt es bei einer Finanzierungsrunde, aber auch einer Insolvenz oder einer Restrukturierung entscheidend darauf an, ob dem Unternehmen etwa personenbezogene Kundendaten als Wert zustehen und veräußert werden dürfen. Es gibt durchaus rechtliche Konstellationen, in denen das auch nach dem neuen europäischen Datenschutzrecht zulässig sein kann, wenn korrekt vorgegangen wird. Dann können Daten ein wertvolles Gut sein, mit denen ein Unternehmen wuchern kann.
Allerdings kann es auch sein, dass sich ein Startup mit schlechter Datenschutz-Compliance selbst ein Bein gestellt hat: Etwa, indem der Datenschutz unrettbar verletzt wurde, was dann neue Investoren abschreckt und den Verkauf in der Krise blockiert. Stellt sich bei der datenschutzrechtlichen Prüfung zum Beispiel heraus, dass personenbezogene Daten rechtswidrig erhoben und verarbeitet wurden, ist das Unternehmen mit erheblichen Haftungsrisiken belastet. Dazu gehören Bußgelder seitens der Datenschutzbehörden und Ansprüche der betroffenen Menschen wegen Verletzung ihrer Grundrechte.
Findet erst der Insolvenzverwalter heraus, dass ein Unternehmen personenbezogene Daten in erheblichem Umfang datenschutzrechtswidrig erlangt hat, verarbeitet oder vorhält, kann es zu spät und zu teuer sein, diesen Umstand zu beheben. Dann kann es sehr schnell so sein, dass das Unternehmen keine neue Finanzierung findet oder sogar ganz unverkäuflich ist. Wenn dann die Behebung der Datenschutzverstöße zu teuer ist, folgt die Einstellung des Geschäftsbetriebs.
In einem solchen Fall sind Daten zu „Toxic Assets“ geworden. Unternehmen können heutzutage also erhebliche Daten-Altlasten haben, an denen dann auch ein Insolvenzverwalter oder ein Rettungsinvestor oft nichts ändern kann. Einen nachlässigen Umgang mit Daten gilt es daher für Unternehmen von Beginn an aktiv zu vermeiden.
Die Frage ist aber auch immer, wie viel ein Datensatz wert ist. Sind die Daten alt, fragmentiert, inkohärent oder schlecht dokumentiert, wird deren Wert gemindert. Das ist dann aber kein rechtliches, sondern ein wirtschaftliches Problem. Tatsache ist aber, dass Daten im normalen Geschäftsverkehr durchaus immer ein Wert beigemessen wird. Ob dieser in einem Insolvenzverfahren immer realisiert werden kann, zu wessen Gunsten, und ob dabei immer der Datenschutz der betroffenen Person gewahrt wird, ist im Einzelfall zu klären.
Bild: Getty Images / Giulia Fiori Photography
Datenschutzrecht als Argument – wofür?
Die EU will wie beschrieben einen Binnenmarkt für die europäische Datenwirtschaft errichten. Datenschutzrecht kann aber eine Sanierung behindern, wenn zum Beispiel ein Startup von Beginn an unordentlich mit dem Datenschutz umgeht. Das ist dann aber nicht die Schuld des Datenschutzrechts, sondern der Gründer.
Die Insolvenzverwalter können allerdings in der Regel gut mit dem neuen Datenschutzrecht umgehen, den Schutz personenbezogener Daten gewährleisten und dennoch etliche Unternehmen retten. Wenn das Datenschutzrecht selbst dann noch eine wirtschaftlich eigentlich sinnvolle Sanierung verhindert, dann ist das eine Konsequenz aus der Entscheidung des EU-Gesetzgebers für ein sehr hohes Datenschutzniveau, die hinzunehmen ist, um die Datenschutz-Grundrechte zu wahren. Zweifelsfälle klären – wie immer in einem Rechtsstaat – die Gerichte.
Hinzu kommt, dass derzeit ungeklärt ist, ob die Kunden in der Insolvenz eine Art Eigentum an ihren Daten haben, und deshalb Aussonderung (das heißt Rückgabe oder Löschung) ihrer Daten vom Insolvenzverwalter verlangen können. In der Praxis wird den Kunden derzeit kein solches Aussonderungsrecht eingeräumt – woher sollten die Kunden auch davon wissen?
Ob es ein Dateneigentum in rechtlicher Hinsicht so überhaupt geben kann, wenn Daten doch auf interpersonalen Beziehungen beruhen – also mehr als einer Person zuzurechnen sind und nur dadurch Sinn und Informationsgehalt haben – wird seit geraumer Zeit heiß diskutiert. Die Frage ist schon, wem dieses Eigentum zuzuordnen ist, und ob nur jeweils einer Person. Manche Daten ergeben vielleicht erst in der Aggregation als „Big Data“ einen Sinn. Je nach Einschätzung können sich unterschiedliche Ergebnisse und Fragestellungen insbesondere aus insolvenzrechtlicher Sicht ergeben.
Beispiele für Datenschutzthemen in Rettungsszenarien
Immer wieder kommt es vor, dass der Rechtsträger eines Unternehmens, also die juristische Person, GmbH oder UG, nicht mehr gerettet werden kann, die Assets und Beschäftigten des Unternehmens jedoch für Rettungsinvestoren interessant sind. Dann stellt sich die Frage, ob der Verkauf von Kundendaten im Rahmen eines Unternehmenskaufvertrags oder Insolvenzplans datenschutzrechtlich erlaubt ist – auch ohne mit hohem finanziellen und zeitlichen Aufwand eine neue Einwilligung der Kunden einzuholen. Das passiert oft vergeblich, denn viele Kunden reagieren auf solche Aufforderungen gar nicht.
Hier wurde früher oftmals ein überwiegendes Interesse des Insolvenzverwalters angenommen, welches angesichts der Veräußerung des Unternehmens im Ganzen im Wege einer übertragenden Sanierung datenschutzrechtlich als Erlaubnis ausreichen sollte. Das scheint immer noch eine juristisch vertretbare Meinung zu sein. Doch schwebt dazu gerade ein aktueller Rechtsstreit in Sachen Unister, wo dies rechtlich geklärt wird. In diesem Fall mussten Kunden einer Übertragung ihrer Daten ausdrücklich widersprechen, andernfalls wurde von einer Zustimmung ausgegangen. Diese Umkehrung mag insbesondere nach dem neuen Datenschutzrecht problematisch sein. Die Verbraucherzentrale hält das für rechtswidrig und strebt eine Grundsatzentscheidung an.
Andere Fälle betreffen Unternehmen, die mithilfe von KI personenbezogene Daten verarbeiten (Beispielsweise die Auswertung von Arbeitsverträgen oder von Videos zur Verbesserung von Bewegungsabläufen im Sport) und die KI damit trainieren. Darf dann die trainierte Software verkauft werden? Ist gewährleistet, dass die KI nur von anonymisierten personenbezogenen Daten gelernt hat? Wurde das vom betreffenden Startup brauchbar dokumentiert? Wenn nicht, dann kann man ganz schnell und pragmatisch aus Datenschutzgründen annehmen, dass ein totaler Wertverlust in der Unternehmenskrise vorliegt: die angelernte KI ist unverkäuflich. Das wäre doch schade, gerade angesichts der neuen KI-Strategie der Bundesregierung.
Doch wie können sich Startups vorab dagegen absichern? Sollte die KI-Software als Mischung aus Daten und Programmcode vorsorglich in einer Tochtergesellschaft gehalten werden, um dann unschwer die Anteile an der Tochtergesellschaft auf den Retter übertragen zu können? Auch dann müsste der Erwerber wohl dennoch eine neue Auftragsdatenverarbeitungsvereinbarung mit der Tochtergesellschaft abschließen, und die Einwilligung der Kunden in so eine Übertragung wäre selbst dann noch fraglich. Darf man stattdessen per AGB von Kunden vorab die globale Einwilligung verlangen, dass ihre per KI verarbeiteten Daten später einmal an irgendeinen Dritten übertragen und verkauft werden? Das ist rechtlich schwierig. Dies erst später in der Krise zu korrigieren, ist allerdings auch schwierig. Besser also, man kümmert sich von Anfang an darum.
Anders sieht es wieder aus, wenn ein Kundenstamm nur aus juristischen Personen besteht und die betreffende Kundendatenbank auch sonst keine personenbezogenen Daten enthält. Das kann im B2B-Bereich durchaus vorkommen. Wurde die Datenbank umsichtig angelegt und enthält sie auch sonst keine personenbezogenen Daten (Namen von Geschäftsführern etwa), kann sie datenschutzrechtlich unproblematisch übertragen werden.
Der Königsweg ist selbstverständlich stets, die ausdrückliche Einwilligung der betroffenen Menschen einzuholen, auch wenn es etliche andere legitime Rechtfertigungen für die Verarbeitung von personenbezogenen Daten gibt. So kann der Insolvenzverwalter zum Beispiel die physischen Assets eines Unternehmens an einen Dritten verkaufen und dann die Kunden anschreiben und ihnen mitteilen, dass sie ihre Kundenbeziehung mit dem Dritten fortsetzen können, wenn sie es wünschen. Dies wird gelegentlich mit verlockenden Sonderkonditionen des Dritten verbunden, was grundsätzlich zulässig sein kann, wenn es keine datenschutzrechtswidrige Koppelung ist.
Bild: Getty Images / Giulia Fiori Photography
Code of Conduct für Datenschutz in Insolvenz und Restrukturierung
Derzeit gibt es ernsthafte Überlegungen in Deutschland oder gar auf europäischer Ebene, als „Soft Law“ einen Verhaltenskodex („Code of Conduct“) für die Datenverarbeitung und -verwertung im Rahmen von Insolvenzverfahren oder Restrukturierungen zu erarbeiten. Das soll künftig vermeiden, dass über etliche Zweifelsfragen langjährig prozessiert wird und währenddessen Rechtsunsicherheit herrscht.
Die DGSVO sieht vor, dass es möglich ist, solche Codes of Conduct in verschiedenen Geschäftsbereichen in Abstimmung mit den Aufsichtsbehörden anzulegen. So ein Verhaltenskodex kann das geltende Recht zwar nicht ändern, jedoch etliche Zweifelsfragen im Vorhinein klären. Ebenso soll es, so die EU-Kommission, für Maschinendaten solche Codes of Conduct geben, um die Hemmnisse beim Wechsel zwischen Anbietern von Cloud-Diensten und bei der Rückübertragung von Daten auf die eigenen IT-Systeme der Nutzer zu beseitigen.
Datenschutzdefizite von Beginn an vermeiden
Wenn mit dem Datenschutz richtig umgegangen wird, muss er Finanzierungen und Sanierungen nicht beeinträchtigen. Startup-Gründer sollten sich klarmachen, dass eine ordentliche Datenschutz-Compliance den Wert und die Finanzierbarkeit ihres Unternehmens erheblich steigern kann. Der Aufwand und die damit verbundenen Kosten hierfür sind von Beginn an sinnvoll und rechtlich oft sowieso erforderlich.Die Datenschätze, welche viele Unternehmen mittlerweile anhäufen, sollten auch in einer Restrukturierungssituation rechtssicher verwertbar sein, wenn der Datenschutz gewahrt wird.