Für Unternehmen, die im Inkassobereich tätig sind, stellt sich häufig die Frage nach dem Umfang einer datenschutzrechtlichen Verantwortung. Davon abzugrenzen sind in der Praxis streng weisungsgebundene Datenverarbeitungen, die einer Auftragsverarbeitung zuzuordnen wären. Die Beurteilung ist mitunter schwierig, hat aber erhebliche Bedeutung, insbesondere Für Unternehmen, die im Inkassobereich tätig sind, stellt sich häufig die Frage nach dem Umfang einer datenschutzrechtlichen Verantwortung. Davon abzugrenzen sind in der Praxis streng weisungsgebundene Datenverarbeitungen, die einer Auftragsverarbeitung zuzuordnen wären. Die Beurteilung ist mitunter schwierig, hat aber erhebliche Bedeutung, insbesondere für die Frage nach der Einhaltung vertraglicher sowie technisch-organisatorischer Anforderungen, die ein Auftraggeber beachten muss.
Begriff des Verantwortlichen
Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Maßgebend ist die Entscheidung über die Zwecke und Mittel der personenbezogenen Datenverarbeitung nach Art. 4 Nr. 7 DSGVO. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) haben in ihrem Kurzpapier Nr. 13 zur Auftragsverarbeitung Stellung genommen und lediglich eine Inkassotätigkeit „mit Forderungsübertragung“ als verantwortliche Datenverarbeitung beurteilt. Für die Prüfung eines Inkassovertrags zwischen einem Auftraggeber und einem Inkassounternehmen sind hieraus oft nur bedingt Schlussfolgerungen möglich. Von Bedeutung ist die Prüfung im Einzelfall.
Eine Auftragsverarbeitung zeichnet sich insbesondere durch ein weisungsgebundenes Verarbeiten personenbezogener Daten durch einen Auftragnehmer aus, bei dem die Zwecksetzung vom Auftraggeber ausgeht und für den Auftragnehmer nahezu kein eigener Entscheidungsspielraum zur Herstellung eines Verarbeitungsergebnisses verbleibt. Dies kann etwa bei der Entsorgung personenbezogener Daten, der Bereitstellung von Speicherplatz oder im Falle der Verarbeitung personenbezogener Daten nach fest vorgegebenen Rechenwegen gegeben sein.
Im Rahmen einer Beratung war das ULD mit einem Sachverhalt befasst, in welchem das Inkassounternehmen eine Schlüssigkeitsprüfung übernahm, um den rechtlichen Bestand einer Forderung zu verifizieren. Weiterhin wurde die Wirtschaftlichkeit der Durchführung eines Inkassos untersucht, wobei auch Bonitätsprüfungen unter Nutzung eigener Datenbestände erfolgten. Schließlich führte das Inkassounternehmen Adressprüfungen durch und holte Melderegisterauskünfte im eigenen Namen ein. Auch den Forderungseinzug führte das Inkassounternehmen durch, wobei das Recht bestand, dem Schuldner Teilzahlungen zu gestatten. Nur für Vergleiche im Mahnverfahren bedurfte es der Genehmigung durch den Auftraggeber. Das Inkassounternehmen entschied ferner eigenverantwortlich über Stundungsabreden mit dem Schuldner, sofern Nachweise zur derzeitigen Zahlungsunfähigkeit vorlagen. Notwendige Maßnahmen im Zusammenhang mit dem Forderungseinzug standen im Ermessen des Inkassounternehmens.
Die vertraglichen Vorgaben zur Durchführung des Inkassos billigten dem Inkassounternehmen damit einen eigenen Entscheidungsspielraum beim Umgang mit den personenbezogenen Daten der Schuldner zu, der auch Raum für eigene Zwecksetzungen ließ. So fehlten insbesondere nähere Vorgaben dazu, nach welchen Kriterien Schlüssig- und Wirtschaftlichkeitsprüfungen erfolgen sollen, wie die Kommunikation mit dem Schuldner erfolgen soll und welche Maßnahmen zum Forderungseinzug im Einzelfall getroffen werden sollen. Weiterhin wurden auch eigene Datenbestände – bei der Bonitätsprüfung – für die Erledigung des Inkassovertrags herangezogen.
Im Ergebnis konnte festgestellt werden, dass das Inkassounternehmen nicht als weisungsgebundener Auftragsverarbeiter, sondern vielmehr selbst als datenschutzrechtlich Verantwortlicher tätig wird.
Was ist zu tun?
Um herauszufinden, ob eine Auftragsverarbeitung oder eine datenschutzrechtliche Verantwortlichkeit vorliegt, sind u. a. die vertraglichen Vereinbarungen zwischen den Beteiligten zu prüfen. Außerdem ist maßgebend, welche Verarbeitungen vom Dienstleister, losgelöst vom Vertrag, tatsächlich wahrgenommen werden.
Quelle: ULD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks