Datenschutz Verstehen – Datenschutz bei Inkasso-Leistungen
Wenn Schuldner Forderungen gegenüber ihren Gläubigern nicht begleichen, entsteht nicht selten ein Bedürfnis der Gläubiger nach Unterstützung, um offene Zahlungen von Schuldnern doch noch zu erhalten. Oft entsteht in diesem Zusammenhang die Beauftragung eines Inkasso-Dienstleisters. Eine solche Beauftragung liegt demnach vor, wenn offene Rechnungen nicht beglichen werden und auf Hilfe von darauf spezialisierten Inkassobüros zurückgegriffen wird. Hierbei kann sich das Unternehmen der verschiedenen Arten des Inkassos bedienen. Unerlässlich ist dabei, dass der Gläubiger personenbezogene Daten an das Inkassobüro weitergibt, damit beispielsweise die Schuldner kontaktiert werden können, um die offenen Forderungen geltend zu machen. Doch inwiefern ist dies in Hinblick auf den Datenschutz zulässig und erlaubt? In diesem Zusammenhang existieren viele Fragen um die datenschutzrechtliche Zulässigkeit von Verarbeitungen von personenbezogenen Daten der Schuldner. In diesem Blogbeitrag erfahren Sie mehr zum Thema Inkasso & Datenschutz.
Datenschutz bei Inkassounternehmen
Zunächst muss zwischen den einzelnen Formen von Inkasso-Dienstleistungen unterschieden werden. Das Unternehmen hat einerseits die Möglichkeit, dem Inkassobüro eine Vollmacht zum Einzug des Rechnungsbetrags zu erteilen und bleibt damit weiterhin Gläubiger der offenen Forderung. Das Inkassounternehmen wird in diesem Falle lediglich dazu ermächtigt, die Forderung in eigenem Namen vom Schuldner zu verlangen und kümmert sich als Dienstleister um dessen Einziehung. Dem gegenüber steht der komplette Verkauf bzw. die Abtretung der Forderung, auch Zession genannt. In diesem Falle wird das Inkassounternehmen zum Inhaber der Forderung, der Schuldner kann nur noch diesem gegenüber mit schuldbefreiender Wirkung leisten und der eigentliche Gläubiger kann keinerlei Ansprüche mehr geltend machen.
In diesem Zusammenhang ist die Frage nach den Informationspflichten des Inkassounternehmens von besonderer Bedeutung. Anders als beim ursprünglichen Gläubiger, dessen Informationspflicht in der Regel gem. Art. 13 DSGVO besteht, soweit dieser die personenbezogenen Daten unmittelbar von der betroffenen Person erhebt, begründet sich die Informationspflicht des Inkassounternehmens auf der Grundlage von Art. 14 DSGVO, da der Inkasso-Dienstleister die personenbezogenen gerade nicht von der betroffenen Person selbst erhält, sondern von seinem Mandanten, also dem Gläubiger der jeweiligen Forderung. Nach Art. 14 DSGVO muss der betroffenen Person die Rechtsgrundlage der Verarbeitung, welche sich aus Art. 6 Abs. 1 lit. b) DSGVO ergibt, sowie der Zweck der Verarbeitung mitgeteilt werden. Auch über die Aufbewahrungsfristen der Daten muss die betroffene Person informiert werden. Diese Fristen variieren und können im Einzelfall bis zu zehn Jahre lang sein, es gelten jeweils die unternehmensspezifischen Löschfristen und Löschkonzepte, die sich nach den gesetzlichen Aufbewahrungsfristen orientieren sollten. Jedes Inkassounternehmen sollte ein wirksames Löschkonzept für seine Verarbeitungen besitzen, da bei Nichtvorliegen hohe Bußgelder zu zahlen sein könnten. Interessant ist in diesem Zusammenhang das Betroffenenrecht „Recht auf Löschung” aus Art. 17 Abs. 1 DSGVO. Grundsätzlich steht jeder betroffenen Person ein solches Recht zu. Allerdings ist hier eine Einschränkung zu vermerken, wie Art. 17 Abs. 3 lit. e) DSGVO deutlich beschreibt: Solange noch offene Forderungen bestehen oder die Daten für die Ausübung etwaiger Rechtsansprüche bzw. deren Geltendmachung benötigt werden, ist eine Berufung auf Art. 17 Abs. 1 DSGVO ausgeschlossen und eine fortgesetzte Speicherung ist gerechtfertigt. Darüber hinaus ist eine Aufklärung der betroffenen Person bezüglich aller ihrer Rechte, vgl. Art. 14 Abs. 2 lit. c) DSGVO, wie z.B. dem Recht auf Auskunft gem. Art. 15 DSGVO gegenüber dem Verantwortlichen in der Informationspflicht des Inkassounternehmens enthalten.
Sicherheits-Anforderungen für Inkassounternehmen
Neben der Erfüllung der Informationspflichten für einen datenschutzrechtlich konformen Umgang mit personenbezogenen Daten sollte jedes Inkassounternehmen neben den bereits erwähnten Löschkonzepten auch über wirksame Berechtigungskonzepte verfügen. Diese Konzepte gehören zu den technischen und organisatorischen Maßnahmen (TOMs) gem. Art. 32 DSGVO, die Inkasso-Dienstleister einrichten müssen, um die Sicherheit bei der Verarbeitung von personenbezogenen Daten zu gewährleisten. Art. 32 DSGVO enthält eine nicht abschließende Aufzählung von technischen als auch organisatorischen Maßnahmen. Neben Lösch- und Berechtigungskonzepte müssen auch weitere Maßnahmen eingeleitet werden, zum Beispiel Zugriffs-, Zugangs- und Zutrittskontrollen. Auch der Austausch von personenbezogenen Daten, wie z.B. die Übermittlung von personenbezogenen Daten des Schuldners durch den Gläubiger an den Inkasso-Dienstleister, sollte auf eine sichere Art und Weise erfolgen. Hierzu eignen sich insbesondere sichere Verschlüsselungen von derartigen Daten. Darüber hinaus müssen auch weitere Maßnahmen, wie z.B. die Weitergabe-, Eingabe-, Auftrags-, Datenträger-, Speicher- und die Trennungskontrolle etabliert und eingehalten werden. Mehr zu dem Thema technisch-organisatorische Maßnahmen erfahren Sie in unserem Blogbeitrag zu diesem Thema.
Auch ein sorgfältig angelegtes Verzeichnis über Verarbeitungstätigkeiten (VVT) sollte vorhanden sein, da auch hier im Falle eines Verstoßes hohe Bußgelder oder andere Sanktionen drohen.
Auftragsverarbeitung bei Inkasso-Leistungen?
Eine wichtige Fragestellung ergibt sich hinsichtlich der Überlegung, ob und inwiefern Inkassounternehmen als Auftragsverarbeiter zu qualifizieren sind. In der Rechtsprechung und Literatur mangelt es an einer klaren Positionierung. Als Auftragsverarbeiter wird gem. Art. 4 Nr. 8 DSGVO bezeichnet, wer personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Der Verantwortliche ist dabei regelmäßig nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Liegt es nun nahe, ein Inkassounternehmen als Auftragsverarbeiter des Gläubigers einzustufen? Argumente gibt es hier sowohl für als auch gegen eine solche Annahme. Unstrittig ist, dass kein Auftragsverarbeitungsverhältnis bei Forderungen mit Forderungsübergang auf das Inkassobüro vorliegt. Wie verhält es sich aber bei der einfachen Beauftragung eines Inkassounternehmens? Aufgrund des eigenen Entscheidungs- und Bewertungsspielraums könnte eine Auftragsverarbeitung abzulehnen sein. Darüber hinaus bedienen sich Inkassounternehmen für ihre Tätigkeit nicht einzig und allein der erhobenen Daten des Gläubigers, sondern erheben eigenständig Daten, welche sie ggf. bei Behörden oder anderen Stellen zur Auftragserfüllung abfragen. Auf der anderen Seite ändert ein solcher Entscheidungsspielraum des Inkassounternehmens nichts an der eigentlichen Weisungsgebundenheit, welche besteht. Weiterhin wird die Dienstleistung des Inkassounternehmens (eher) nicht im eigenen Interesse stattfinden, sondern liegt im Interessen- und Forderungskreis des Gläubigers. Dieser legt den Zweck, die Mittel und den Rahmen fest, in welchem das Inkassounternehmen agiert. Es kann somit davon ausgegangen werden, dass bei Forderungsübergang kein Auftragsverarbeitungsverhältnis vorliegt, bei der bloßen Beauftragung hingegen ein Auftragsverarbeitungsvertrag zu schließen ist. Allerdings kann in der Praxis anhand des konkreten Vertragsverhältnisses auch eine Abwägung stattfinden, sofern dem Inkassounternehmen vom Auftraggeber bezüglich der Weisungsgebundenheit etwas freiere Hand gelassen wird. Somit ist stets im Einzelfall zu prüfen, ob eine Auftragsverarbeitung vorliegt oder nicht. Die vertraglichen Details sind in diesem Zusammenhang entscheidend.
Inkasso beauftragen: DSGVO beachten
Zusammenfassend müssen die Auftraggeber bzw. Gläubiger bei der Beauftragung eines Inkassounternehmens Folgendes beachten:
- Zunächst ist festzustellen/prüfen, auf welcher Rechtsgrundlage der Auftraggeber die personenbezogenen Daten des Schuldners an das Inkassobüro weitergeben darf. Die Rechtsgrundlage stellen regelmäßig Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse) dar. Eine Einwilligung des Schuldners zur Datenübermittlung ist nicht notwendig und wäre unpraktikabel, da dieser der Weitergabe in keinem Fall zustimmen würde.
- Darüber hinaus sollte darauf geachtet werden, dass der Inkasso-Dienstleister insbesondere seine Informationspflichten aus Art. 14 DSGVO nach Maßgabe des Art. 12 DSGVO gegenüber den betroffenen Personen wahrnimmt, um eine transparente Verarbeitung von personenbezogenen Daten zu gewährleisten
- Des Weiteren sollte bei der Beauftragung darauf geachtet werden, dass das Inkassounternehmen über angemessene Sicherheitsmaßnahmen verfügt. Es sollte ein angemessenes Schutzniveau gemäß der technischen und organisatorischen Maßnahmen gewährleistet sein. Insbesondere die Übertragung von personenbezogenen Daten zwischen Gläubiger und Inkasso-Dienstleister muss auf sichere Art und Weise erfolgen, z.B. durch die sicher verschlüsselte Übermittlung von personenbezogenen Daten.
- Das Inkassounternehmen sollte über ein wirksames Löschkonzept und Berechtigungskonzept (TOMs) für die Verarbeitungen verfügen, um das Risiko einer Datenpanne möglichst gering gehalten zu halten.
- Auch auf das Vorhandensein eines Datenschutzbeauftragten ist zu achten. Der Datenschutzbeauftragte übernimmt die komplette Koordination aller datenschutzrechtlichen Aufgaben und ist damit unerlässlich. Auch wenn ein Datenschutzbeauftragter nicht immer bestellt werden muss, z.B. bei Unternehmen mit einer Anzahl von unter 20 Mitarbeitern und der fehlenden Einschlägigkeit von § 38 Abs. 1 S.2 BDSG-neu und Art. 37 DSGVO, so ist die Bestellung eines Datenschutzbeauftragten trotz fehlender gesetzlicher Erforderlichkeit zumindest ein Indiz für das existierende Bewusstsein des Inkasso-Dienstleisters für den Datenschutz
Darüber hinaus ist es zu empfehlen, die Webseite des jeweiligen Inkassounternehmens zu studieren und dabei besonderes Augenmerk auf die Datenschutzerklärung zu legen. Hieran lässt sich gut erkennen, ob und inwiefern datenschutzrechtliche Vorgaben eingehalten und durchgeführt werden.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.