Insolvenzverwalter haften persönlich für Datenlöschung

Im Frühjahr 2026 ist die sichere Vernichtung von IT-Hardware zur zentralen Haftungsfrage für Insolvenzverwalter geworden. Nach einer Reihe wegweisender Gerichtsurteile und verschärfter technischer Standards müssen Verwalter bei der Veräußerung von Unternehmensvermögen jeden einzelnen Datenträger lückenlos dokumentiert und nachweislich bereinigen. Das Risiko: Persönliche Haftung und Bußgelder bis zu 20 Millionen Euro.

Die lückenlose Dokumentation von Datenverarbeitungsprozessen ist heute eine der wichtigsten Pflichten, um Bußgelder von bis zu 2 % des Jahresumsatzes zu vermeiden. Eine rechtssichere Vorlage hilft Verantwortlichen dabei, das erforderliche Verarbeitungsverzeichnis zeitsparend und fehlerfrei zu erstellen. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis jetzt herunterladen

Vom Treuhänder zum Verantwortlichen: Die neue Haftungslage

Die Rechtslage hat sich grundlegend gewandelt. Mit Eröffnung des Insolvenzverfahrens wird der Verwalter nach der Datenschutz-Grundverordnung (DSGVO) zum „Verantwortlichen“ für die personenbezogenen Daten des insolventen Unternehmens. Ein „Insolvenzprivileg“ gibt es nicht. Diese persönliche Haftung wurde durch ein Grundsatzurteil des Bundesgerichtshofs (BGH) vom November 2025 bekräftigt.

Der BGH stellte klar: Die Pflicht zum Datenschutz endet nicht mit der Geschäftstätigkeit. Ein Verantwortlicher muss aktiv sicherstellen und nachweisen, dass von ihm beauftragte Dritte Daten tatsächlich löschen. Für Insolvenzverwalter bedeutet das: Die bloße Beauftragung eines Entsorgungsunternehmens reicht nicht aus. Sie müssen die fachgerechte Löschung jedes einzelnen Datenträgers nach aktuellen Standards dokumentieren.

Alte Standards obsolet: Neue Technik verlangt radikales Vorgehen

Die technischen Maßstäbe für die Datenvernichtung haben sich im ersten Quartal 2026 deutlich verschärft. Der lange etablierte Standard DIN 66399 wird in der Praxis zunehmend von den internationalen Normen ISO/IEC 21964 und NIST SP 800-88 Rev. 2 abgelöst.

Einfaches Formatieren oder Löschen über das Betriebssystem ist heute nicht mehr rechtssicher. Moderne Forensik-Tools können Daten von SSDs und Festplatten wiederherstellen, die nicht den strengen „Purge“- oder „Destroy“-Protokollen unterzogen wurden. Die ISO-Norm schreibt sogar exakte Partikelgrößen für die physikalische Zerstörung vor, um eine Wiederherstellung im Labor unmöglich zu machen. Die Konsequenz: Jede verkaufte Hardware muss eine zertifizierte „Chain of Custody“ (Beweiskette) und individuelle Vernichtungszertifikate pro Seriennummer vorweisen.

Cyber-Insolvenzen: Wenn gehackte Hardware zum Erbe wird

Die Lage wird durch den Anstieg sogenannter „Cyber-Insolvenzen“ komplizierter. Immer mehr kleine und mittlere Unternehmen (KMU) werden nach lähmenden Ransomware-Angriffen insolvent. Zurück bleibt oft IT-Hardware, die mit Schadsoftware kontaminiert ist oder verschlüsselte Datenfragmente enthält – beides fällt unter den Schutz der DSGVO.

Der Kreis der betroffenen Geräte hat sich erweitert. Es geht nicht mehr nur um Laptops und Server. Auch IoT-Geräte, mobile Workstations und Cloud-Terminals stehen im Fokus der Prüfungen. Da deren Speicher oft fest verbaut ist, setzen Verwalter verstärkt auf professionelle ITAD-Dienstleister (IT Asset Disposition). Diese können softwarebasierte „Purge“-Methoden anwenden, die eine ökologische Wiederverwendung der Hardware bei voller Datensicherheit ermöglichen.

Praxisfalle Dokumentation: Die lückenlose Beweiskette

Um Bußgelder in Millionenhöhe zu vermeiden, sind lückenlose Dokumentationsprozesse unerlässlich. Die aktuelle Praxis sieht eine strikte Trennung vor: Hardware für das „Remarketing“ und Geräte zur Zerstörung.

Besonders bei komplexen Prozessen wie der Aussonderung von Hardware müssen Unternehmen oft eine formale Datenschutz-Folgenabschätzung durchführen, um Haftungsrisiken zu minimieren. Dieser praxisnahe Leitfaden bietet fertige Checklisten und Muster-Vorlagen, mit denen Sie Ihre DSFA-Pflichten rechtssicher erfüllen. Muster-DSFA und Checklisten kostenlos sichern

Zur Wiederinverkehrbringung bestimmte Datenträger müssen einer zertifizierten softwarebasierten Überschreibung aller adressierbaren Speicherbereiche unterzogen werden. Defekte oder nicht sicher löschbare Medien müssen dagegen physisch geschreddert oder vernichtet werden. Ein Dokumentationsversäumnis kann teuer werden. Der BGH hat bestätigt, dass bereits der mögliche immaterielle Schaden durch einen Datenleck Grund für Schadensersatzansprüche sein kann – auch ohne konkreten finanziellen Verlust.

Im Spannungsfeld der Gesetze: Löschen vs. Aufbewahren

Der Druck auf Insolvenzverwalter ist Teil eines europaweiten regulatorischen Wandels. Das „Digital Omnibus“-Reformpaket der EU-Kommission will DSGVO und KI-Gesetz enger verzahnen. Die in Deutschland umgesetzte NIS-2-Richtlinie hat zudem die Zahl der Unternehmen mit strengen IT-Sicherheitspflichten von 4.500 auf etwa 30.000 erweitert.

Verwalter stecken in einem Dilemma: Die DSGVO verlangt Löschung, Handels- und Steuerrecht (HGB, AO) verpflichten zur Aufbewahrung von Geschäftsdaten bis zu zehn Jahren. Der Konsens 2026 lautet: Die Hardware kann veräußert werden, die darauf gespeicherten, aufbewahrungspflichtigen Daten müssen jedoch in gesicherte, verschlüsselte Datenarchive oder virtuelle Data Rooms migriert werden.

Ausblick: Spezialmarkt ITAD und härtere Prüfungen

Für die zweite Jahreshälfte 2026 zeichnet sich eine weitere Spezialisierung des ITAD-Marktes ab. Neue Datenportabilitäts-Anforderungen der Data Act könnten ab September neue Schwachstellen bei der Außerbetriebnahme schaffen, wenn Hersteller Hardware für einfachen Datentransfer optimieren.

Mit der geplanten Zentralisierung der Datenschutzaufsicht in Deutschland werden die Audits für Insolvenzverwalter häufiger und technischer. Künftig wird nicht mehr nur gefragt, ob Daten gelöscht wurden, sondern wie der Löschvorgang verifiziert und dokumentiert wurde. Die Branche setzt daher auf automatisierte Bereinigungs-Workflows, die mit dem wachsenden Hardware-Volumen durch Marktturbulenzen und Digitalisierung Schritt halten können.

de | boerse | 69148681 |