Die DS-GVO konforme Mahnwesen-Lösung für Deutschland

Mandanten Guide der twenty4collect GmbH zur Europäischen Datenschutz-Grundverordnung (EU-DSGVO) – Bereich Forderungsmanagement

Blick auf das Wesentliche zu allen für das Forderungsmanagement relevanten Neuerungen – Gültig ab dem 25. Mai 2018

Quellen: Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) Bonn Bundesverband Deutscher Inkasso-Unternehmen e.V. (BDIU) Berlin Datenschutz-Grundverordnung der EU (DS-GVO)

Die Datenschutz-Grundverordnung ( DS-GVO ) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Dieser Guide beleuchtet die DS-GVO hauptsächlich mit Blick auf die Datenverarbeitung personenbezogener Daten von Forderungsschuldnern.

Die in der DS-GVO beschlossenen Regelungen werden das bislang geltende deutsche Bundesdatenschutzgesetz (BDSG) ersetzen. Die Datenschutzordnung einschließlich des Umgangs mit personenbezogenen Daten erhält damit ein vollkommen neues Gesicht. Auf nationaler Ebene gibt es dann neben der DS-GVO lediglich noch ein Anpassungs- bzw. Umsetzungsgesetz, das im Kern ein neues Bundesdatenschutzgesetz ( BDSG ) enthält, aber nur in Ergänzung gilt.

Geht es um Datenverarbeitungen im Bereich des Forderungsmanagements in Bezug auf vertraglich entstandene Forderungen, wird künftig Art. 6 U Abs. 1 Buchstabe b der DS-GVO die gesetzliche Erlaubnis für Datenverarbeitungen durch den Inkassodienstleister darstellen.

Gemäß der Vorschrift sind Datenverarbeitungen rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich sind. Da Inkassodienstleister Datenverarbeitungen vornehmen müssen, um die Erfüllung eines Vertrags herbeizuführen, fallen sie unter die genannte Erlaubnisnorm.

Die „Inkassodienstleistung“ ist in § 2 Abs. 2 des Rechtsdienstleistungsgesetzes (RDG) definiert und betrifft im Kern den Forderungseinzug, der einer strengen gesetzlichen Regulierung unterliegt und nur von registrierten und besonders qualifizierten Personen erbracht werden darf. Die Erhebung und weitere Verarbeitung personenbezogener Daten durch den Inkassodienstleister für die Durchführung der Inkassomaßnahmen ist durch die gesetzlichen Erlaubnistatbestände der DS-GVO legitimiert.

Die wichtigsten Begriffe der DS-GVO ( Art. 4 ):

Personenbezogene Daten

Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Begriff umfasst alle Daten lebender natürlicher Personen.

Eine betroffene Person

Eine betroffene Person ist jede natürliche Person, mit der ein Verantwortlicher, also z.B. ein Inkassodienstleister, zu tun hat. Die meisten betroffenen Personen der Datenverarbeitungen von Inkassodienstleistern sind Schuldner offener Forderungen. Aber auch die Mandanten des Inkassodienstleisters, sofern es sich um Einzelpersonen handelt, sind betroffene Personen.

Verarbeitung

Der Verarbeitungsbegriff umfasst jetzt alles. Es gibt keine Differenzierung mehr zwischen Erhebung, Verarbeitung oder Nutzung.

Verantwortlicher

Ein Verantwortlicher für die Verarbeitung ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Bereich des Forderungsmanagements trifft genau das auf Inkassodienstleister zu. Sie werden im Rahmen der Funktionsübertragung tätig und entscheiden über Zweck und Mittel der Verarbeitung. Sie sind damit Verantwortliche im Sinne der DS-GVO.

Auftragsverarbeiter

Ein Auftragsverarbeiter ist hingegen eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die im Auftrag eines Verantwortlichen personenbezogene Daten der betroffenen Person verarbeitet.

Inkassodienstleister müssen als Verantwortliche im Sinne der DS-GVO die Grundprinzipien mit Blick auf die Datenverarbeitungen einhalten und dies auch nachweisen können.

Die Grundprinzipien gemäß Art. 5 Abs. 1 lauten:

  • Art. 5 Abs. 1 Buchstabe a

    Prinzip der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

  • Art. 5 Abs. 1 Buchstabe b

    Prinzip der Zweckbindung

  • Art. 5 Abs. 1 Buchstabe c

    Prinzip der Datenminimierung

  • Art. 5 Abs. 1 Buchstabe d

    Prinzip der Richtigkeit

  • Art. 5 Abs. 1 Buchstabe e

    Prinzip der Speicherbegrenzung

  • Art. 5 Abs. 1 Buchstabe f

    Prinzip der Integrität und Vertraulichkeit

Grundsatz der Zweckbindung:

Die Grundprinzipien gemäß Art. 5 Abs. 1 lauten:

Art. 5 Abs. 1 Buchstabe b...

...regelt den Grundsatz der Zweckbindung: Schon vor der Datenerhebung muss feststehen bzw. muss der Inkassodienstleister festlegen, welche Daten seines Mandanten für welche Zwecke verarbeitet werden sollen.

Jeder Zweck im Sinne der Verordnung muss eindeutig und legitim sein: Der Zweck der Verarbeitung von Daten durch den Inkassodienstleister muss entweder der ursprünglichen Absicht entsprechen, die mit bzw. vom Mandanten festgelegt worden ist, oder/und dieser darf nicht in Widerspruch zum ursprünglichen Zweck stehen und muss mit diesem nach Art. 6 Abs. 4 vereinbar sein.

Zweckangabe erforderlich:
Inkassodienstleister müssen (mindestens) einen Zweck angeben, so wie jeder andere Verantwortliche auch.

Die Übergabe einer Forderung des Mandanten an den Inkassodienstleister ändert per se zwar nichts an der Rechtsgrundlage für die Datenverarbeitung – allerdings ändert sich deren Ziel: Denn Zweck der Datenverarbeitungen eines Inkassodienstleisters ist grundsätzlich das Forderungsmanagement.

Das entspricht aber in der Regel nicht dem ursprünglichen Zweck des Mandanten, der mit der Verarbeitung seiner Kundendaten eher die Vertragsabwicklung bzw. die Rechtsverfolgung beabsichtigt. Zu diesem Zweck übermittelt der Mandant zwar die Daten an den Inkassodienstleister. Dieser verfolgt ab Erhebung der Daten aber zudem den eigenen Zweck Forderungsmanagement. Denn nur so kann der Inkassodienstleister dazu beitragen, Forderungsausfälle so gering wie möglich zu halten, die notwendige Liquidität der Wirtschaftsunternehmen zu erhalten und dabei den erstattungspflichtigen Schuldner so niedrig wie möglich mit weiteren Kosten zu belasten.

Inkassodienstleister verfolgen grundsätzlich den Zweck des Mandanten „Vertragsabwicklung bzw. Rechtsverfolgung„ sowie den eigenen Zweck „Forderungsmanagement“.

Gesetzliche Erlaubnisnormen zur Datenverarbeitung:

Art. 6 Abs. 1 Buchstaben b, c, f

Art. 6 Abs. 1 Buchstabe b...

...ist Rechtsgrundlage für die Verarbeitungen personenbezogener Daten, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich sind. Immer wenn es um das Forderungsmanagement in Bezug auf durch Vertrag entstandene Forderungen geht, kommt diese Erlaubnisnorm zur Anwendung. Diese Rechtsgrundlage gilt unter den gleichen Voraussetzungen bereits für Datenverarbeitungen des Mandanten und wird vom Inkassodienstleister übernommen.

Art. 6 Abs. 1 Buchstabe c...

...ist die Rechtsgrundlage für Verarbeitungen personenbezogener Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind ( z.B. zur Einhaltung nationaler gesetzlicher Aufbewahrungsfristen. Im deutschen Recht ergeben sich die Aufbewahrungspflichten aus der Abgabenordnung, dem Handelsgesetzbuch und dem Umsatzsteuergesetz.

Art. 6 Abs. 1 Buchstabe f...

...ist die Rechtsgrundlage für Verarbeitungen personenbezogener Daten, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind.

Die Einwilligung als Rechtsgrundlage für Datenverarbeitungen durch den Inkassodienstleister als Verantwortlichen bildet die Ausnahme.

Rechtsgrundlagen für die Datenverarbeitung:

Einwilligung: Art. 6 Abs. 1 Buchstabe a, Art. 7

Relevanz erlangt sie im Bereich des Forderungsmanagements beispielsweise in Bezug auf privatärztliche Forderungen. Wird eine erteilte Einwilligung als Rechtsgrundlage herangezogen, muss die betroffene Person auf ein ihr diesbezüglich jederzeit zustehendes Widerrufsrecht hingewiesen werden. Dabei muss dieser Widerruf genauso einfach möglich sein wie die Erteilung der Einwilligung.

Beispiel:

Der entsprechende Hinweis könnte wie folgt aussehen: Bitte beachten Sie, dass Sie Ihre nachfolgende Zustimmung jederzeit widerrufen können. Ihr Widerruf entfaltet rechtliche Wirkung nur für die Zukunft ab Widerruf.

Ich erkläre mich damit einverstanden, dass meine personenbezogenen Daten ( hier sollten diese Daten so genau und umfassend wie möglich beschrieben werden ) zum Zwecke…( hier sollte der entsprechende Zweck bzw. die Zwecke, sofern mehrere verfolgt werden, angegeben werden) von… ( hier den Namen des Verantwortlichen und seine Anschrift angeben ) verarbeitet werden.

Sonderfälle

Die Verarbeitung besonderer Kategorien personenbezogener Daten ( z.B. Gesundheitsdaten oder Daten zu religiöser Überzeugung ) ist grundsätzlich untersagt ( Art. 9 Abs. 1 ).

Das Verbot der Verarbeitung gilt allerdings nicht, soweit Art. 9 Abs. 2 Buchstabe f herangezogen werden kann. Hiernach ist die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, wozu auch der Forderungseinzug gehört, erlaubt, soweit die Verarbeitung erforderlich ist.

So wie beispielsweise bei der Bearbeitung von Forderungen aus dem Gesundheitsbereich: Hier erteilt der Patient (betroffene Person) häufig bislang schon zum Zeitpunkt der Behandlung eine Einwilligung zu Zwecken des Forderungsmanagements. Auch nach den neuen Vorschriften der DS-GVO kann sich der Inkassodienstleister nach wie vor auf diese Einwilligung stützen.

Mit der DS-GVO werden erstmals konkrete Fristen für die Informationspflichten und die Bearbeitung der geltend gemachten Betroffenenrechte eingeführt.

Inkassodienstleister müssen ihrer Informationspflicht nach Art. 14 nachkommen, wenn die Informationen durch Übermittlung der Daten seitens des Mandanten erfolgt.

Die DS-GVO-konforme Information durch Inkassodienstleister an einen Schuldner einer vertraglich entstandenen Forderung nach Art. 14 DS-GVO muss folgende Informationen mit der ersten Mitteilung an den Schuldner enthalten:

1. Identität des Verantwortlichen

twenty4collect GmbH, In den Weiden 9, 56729 Weiler

2. Kontaktdaten des Datenschutzbeauftragten

datenschutz@24collect.de

3. Verarbeitungszweck und Rechtsgrundlage

Die Datenverarbeitung erfolgt zum Zweck der Vertragsabwicklung bzw. Rechtsverfolgung. Weiterer von uns verfolgter Zweck der Datenverarbeitung ist das Forderungsmanagement. Die Verarbeitung Ihrer Daten ist nach Art. 6 Abs. 1 Buchstabe b DS-GVO für die Erfüllung eines Vertrages mit der ABC GmbH erforderlich, da hierzu auch die Zahlungsverpflichtung gehört. Darüber hinaus ist die Datenverarbeitung nach Art. 6 Abs. 1 Buchstabe f DS-GVO zur Wahrung unserer berechtigten Interessen oder eines Dritten erforderlich. Unsere berechtigten Interessen bestehen in Zusammenhang mit der Forderung gegen Sie.

4. Datenkategorien und Herkunft

Wir verarbeiten nachfolgende Kategorien von Daten: Stammdaten, Kommunikationsdaten, Vertragsdaten, Forderungsdaten, ggf. Zahlungsinformationen. Die Daten aus den genannten Datenkategorien wurden uns von der ABC GmbH übermittelt.

5. Empfänger

Im Rahmen des Inkassoverfahrens werden wir Ihre Daten an unseren Auftraggeber ABC GmbH und ggf. folgende Kategorien von Empfängern übermitteln, sofern dies zum Einzug der Forderung erforderlich ist: Abtretungsempfänger, Auskunfteien, Dienstleister, Drittschuldner, Einwohnermeldeämter, Gerichte, Gerichtsvollzieher, Rechtsanwälte.

6. Dauer der Speicherung

Nach Zahlung der ausstehenden Forderung oder Beendigung des Inkassoverfahrens prüfen wir nach Ablauf von drei Jahren, ob wir Ihre Daten noch benötigen und einer Löschung gesetzliche Aufbewahrungspflichten entgegenstehen.

7. Rechte der betroffenen Person

Ihnen stehen bei Vorliegen der gesetzlichen Voraussetzungen folgende Rechte nach Art. 15 bis 22 DS-GVO zu: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, auf Datenübertragbarkeit. Außerdem steht Ihnen nach Art. 14 Abs. 2 Buchstabe c in Verbindung mit Art. 21 DS-GVO ein Widerspruchsrecht gegen die Verarbeitung zu, die auf Art. 6 Abs. 1 Buchstabe f DS-GVO beruht.

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DS-GVO das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die Anschrift der für unser Unternehmen zuständigen Aufsichtsbehörde lautet: Präsident/in des Landgerichts Mainz, Diether-von-Isenburg-Str. 1, 55116 Mainz.