Die Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Die neuen Datenschutzregeln sind auch im Hinblick auf die Datenverarbeitung personenbezogener Daten von Schuldnern im Forderungseinzug durch Inkassounternehmen von Bedeutung.
Die in der DSGVO beschlossenen Regelungen ersetzen das bislang geltende deutsche Bundesdatenschutzgesetz (BDSG). Die Datenschutzordnung einschließlich des Umgangs mit personenbezogenen Daten erhält damit ein vollkommen neues Gesicht. Auf nationaler Ebene gibt es neben der DSGVO lediglich noch ein Anpassungs- bzw. Umsetzungsgesetz, das im Kern ein neues Bundesdatenschutzgesetz (BDSG-neu) enthält, aber nur in Ergänzung gilt und ebenso am 25.05.2018 in Kraft tritt.
Die "Inkassodienstleistung" ist in § 2 Abs. 2 des Rechtsdienstleistungsgesetzes (RDG) definiert und betrifft im Kern den Forderungseinzug, der einer strengen gesetzlichen Regulierung unterliegt und nur von registrierten und besonders qualifizierten Personen erbracht werden darf. Die Erhebung und weitere Verarbeitung personenbezogener Daten durch den Inkassodienstleister für die Durchführung der Inkassomaßnahmen ist durch die gesetzlichen Erlaubnistatbestände der DSGVO legitimiert.
Art. 6 Abs. 1 Buchstabe b DSGVO....
....stellt nun die gesetzliche Erlaubnis für Datenverarbeitungen im Forderungsmanagement von vertraglich entstandenen Forderungen durch das Inkassounternehmen dar. Gemäß der Vorschrift sind Datenverarbeitungen rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich sind. Da Inkassodienstleister Datenverarbeitungen vornehmen müssen, um die Erfüllung eines Vertrags herbeizuführen, fallen sie unter die genannte Erlaubnisnorm.
Diese Rechtsgrundlage gilt unter den gleichen Voraussetzungen bereits für Datenverarbeitungen des Mandanten und wird vom Inkassodienstleister übernommen.
Art. 6 DSGVO
Rechtmäßigkeit der Verarbeitung
- 1Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
2Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
- a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
Art. 6 Abs. 1 Buchstabe c DSGVO....
...ist Rechtsgrundlage für die Verarbeitung personenbezogener Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind ( z.B. zur Einhaltung nationaler gesetzlicher Aufbewahrungsfristen. Im deutschen Recht ergeben sich die Aufbewahrungspflichten aus der Abgabenordnung, dem Handelsgesetzbuch und dem Umsatzsteuergesetz.
Art. 6 Abs. 1 Buchstabe f DSGVO...
....ist Rechtsgrundlage für die Verarbeitung personenbezogener Daten, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind.
Art. 6 Abs. 1 Buchstabe a, Art. 7 DSGVO....
....ist im Bereich des Forderungsmanagements beispielsweise in Bezug auf privatärztliche Forderungen relevant. Wird eine erteilte Einwilligung als Rechtsgrundlage herangezogen, muss die betroffene Person auf ein ihr diesbezüglich jederzeit zustehendes Widerrufsrecht hingewiesen werden. Dabei muss dieser Widerruf genauso einfach möglich sein wie die Erteilung der Einwilligung.
Sonderfälle
Die Verarbeitung besonderer Kategorien personenbezogener Daten ( z.B. Gesundheitsdaten oder Daten zu religiöser Überzeugung ) ist grundsätzlich untersagt (Art. 9 Abs. 1 DSGVO).
Das Verbot der Verarbeitung gilt allerdings nicht, soweit Art. 9 Abs. 2 Buchstabe f DSGVO herangezogen werden kann. Hiernach ist die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, wozu auch der Forderungseinzug gehört, erlaubt, soweit die Verarbeitung erforderlich ist.
So wie beispielsweise bei der Bearbeitung von Forderungen aus dem Gesundheitsbereich: Hier erteilt der Patient (betroffene Person) häufig bislang schon zum Zeitpunkt der Behandlung eine Einwilligung zu Zwecken des Forderungsmanagements. Auch nach den neuen Vorschriften der DSGVO kann sich der Inkassodienstleister nach wie vor auf diese Einwilligung stützen.
Betroffene Person
Eine betroffene Person ist jede natürliche Person, mit der ein Verantwortlicher, also z.B. ein Inkassodienstleister, zu tun hat. Die meisten betroffenen Personen der Datenverarbeitungen von Inkassounternehmen sind Schuldner offener Forderungen. Aber auch die Mandanten des Inkassounternehmens, sofern es sich um Einzelpersonen handelt, sind betroffene Personen.
Verarbeitung
Der Verarbeitungsbegriff umfasst jetzt alles. Es gibt keine Differenzierung mehr zwischen Erhebung, Verarbeitung oder Nutzung.
Verantwortlicher
Ein Verantwortlicher für die Verarbeitung ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Bereich des Forderungsmanagements trifft genau das auf Inkassodienstleister zu. Sie werden im Rahmen der Funktionsübertragung tätig und entscheiden über Zweck und Mittel der Verarbeitung. Sie sind damit Verantwortliche im Sinne der DS-GVO.
Auftragsverarbeiter
Ein Auftragsverarbeiter ist hingegen eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die im Auftrag eines Verantwortlichen personenbezogene Daten der betroffenen Person verarbeitet.
Inkassodienstleister müssen als Verantwortliche im Sinne der DSGVO die in Art. 5 Abs. 1 DSGVO geregelten Grundprinzipien mit Blick auf die Datenverarbeitungen einhalten und dies auch nachweisen können.
- Art. 5 Abs. 1 Buchstabe a
Das Prinzip der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz - Art. 5 Abs. 1 Buchstabe b
Das Prinzip der Zweckbindung - Art. 5 Abs. 1 Buchstabe c
Das Prinzip der Datenminimierung - Art. 5 Abs. 1 Buchstabe d
Das Prinzip der Richtigkeit - Art. 5 Abs. 1 Buchstabe e
Das Prinzip der Speicherbegrenzung - Art. 5 Abs. 1 Buchstabe f
Das Prinzip der Integrität und Vertraulichkeit