Datenschutz-Grundverordnung im Rahmen des Forderungsmanagements

Datenschutz-Grundverordnung im Rahmen des Forderungsmanagements:
Das sollten Sie wissen!
DEUTSCHE KONGRESS im Interview mit Lutz Leda

Die Datenschutz Grundverordnung (DS-GVO), die am 25. Mai 2016 in Kraft getreten ist, gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten.

Wir (DEUTSCHE KONGRESS) haben hierzu in einem Interview mit dem Referenten Lutz Leda (LEDA Law) auf den 10. Forderungs- und Risikomanagement Tagen gesprochen.

Herr Lutz Leda befasst sich während seiner nunmehr 24-jährigen anwaltlichen Beratungspraxis schwerpunktmäßig mit den Bereichen Bank- und Kapitalmarktrecht, e-Business/IT-Recht. Dies schließt vor allem die Gestaltung der vertraglichen Rahmenbedingungen für elektronische Geschäftsprozesse auf Basis der Internet Technologie – vor allem im Bereich des Internethandels und der damit verbundenen weltweiten Abwicklung von Bezahlvorgängen, einschließlich der Entwicklung neuer innovativer Bezahlsysteme, ebenso ein wie Fragen des präventiven und risikooptimierten Forderungsmanagements.

DK: Welche Änderungen sind von besonderer Relevanz?

LL: Zunächst ist zu beachten, dass die DS-GVO das bis dahin geltende Bundesdatenschutzgesetz (BDSG) ablöst und es vollständig ersetzt. Nationale Regelungen werden geschaffen, gelten jedoch nur in Ergänzung zu der Grundverordnung.
Das bereits bislang geltende Prinzip des Verbots mit Erlaubnisvorbehalt wird grundsätzlich auch in der Schriftsatz-GVO beibehalten.
Die neue DS-GVO setzt strengere Maßstäbe an die Datenverarbeitung als das BSG und bringt eine große Neuheit mit sich: Es muss streng zwischen der Rechtsgrundlage der Datenverarbeitung und deren Zweck (Grundsatz der Zweckbindung) unterschieden werden.

DK: Welche Rechtsgrundlagen sind denn im Rahmen des Forderungsmanagements einschlägig?

LL: Generell gilt: Einschlägige Rechtsgrundlagen, die für Datenverarbeitungen des Unternehmens gelten, entfalten auch Wirkung für die Datenverarbeitungen des Inkassodienstleisters. Daneben können weitere Regelungen nach Art. 6 Abs. 1 DS-GVO einschlägig sein.

Art. 6 Abs. 1 Buchstabe b DS-GVO ist Rechtsgrundlage für die Verarbeitungen personenbezogener Daten, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich sind. Immer wenn es um das Forderungsmanagement in Bezug auf durch Vertrag entstandene Forderungen geht, kommt diese Erlaubnisnorm zur Anwendung. Diese Rechtsgrundlage gilt unter den gleichen Voraussetzungen bereits für Datenverarbeitungen des Unternehmens und wird vom Inkassodienstleister quasi übernommen.

DK: Was wird denn unter dem Grundsatz der Zweckbindung verstanden?

LL: Dieser Grundsatz besagt, dass schon vor der Datenerhebung feststehen bzw. festgelegt sein muss, welche Daten für welche Zwecke verarbeitet werden sollen.
Jeder Zweck im Sinne der Verordnung muss eindeutig und legitim sein: Der Zweck der Verarbeitung von Daten durch den Inkassodienstleister muss entweder der ursprünglichen Absicht entsprechen, die mit bzw. vom Mandanten festgelegt worden ist, oder/und dieser darf nicht in Widerspruch zum ursprünglichen Zweck stehen und muss mit diesem nach Art. 6 Abs. 4 DS-GVO vereinbar sein.
Die Übergabe einer Forderung des Unternehmens an einen Inkassodienstleister ändert per se zwar nichts an der Rechtsgrundlage für die Datenverarbeitung – jedoch ändert sich deren Ziel: Denn der ursprüngliche Zweck, der vom Unternehmen mit der Verarbeitung seiner Kundendaten verfolgt wird, ist regelmäßig die Vertragsabwicklung bzw. die Rechtsverfolgung. Der (eigene) Zweck für den das Inkassounternehmen diese Daten verarbeitet ist grundsätzlich das Forderungsmanagement.

DK: Welche relevanten Neuerungen gibt es denn sonst noch?

LL: Nun, alle Verantwortlichen (also auch etwaige im Rahmen des Forderungsmanagements eingeschalteten Inkassodienstleister) sind zunächst, wie bisher auch, zur umfassenden Einhaltung aller datenschutzrechtlichen Regelungen verpflichtet und müssen die Einhaltung der Regelungen auch nachweisen können im Sinne einer Rechenschaftspflicht. Ganz wesentlich dürften die ab 25. Mai 2018 geltenden strikten Informationspflichten sein.

DK: Was besagen diese?

LL: Nun, die bisher im BDSG geregelten allgemeinen Informationspflichten wurden durch die DS-GVO erweitert und dies teilweise erheblich über die bisherigen Informationspflichten hinaus. Zusätzlich wird es Fristen und Formvorschriften zu beachten geben.

DK: Macht es eigentlich einen Unterschied, ob personenbezogene Daten beim Betroffenen oder bei Dritten erhoben werden?

LL: Hier gibt es Unterschiede in Bezug auf den Umfang der Informationspflichten, die bei der Erhebung von personenbezogener Daten bei Dritten noch umfassender sind.

DK: Wie sieht es eigentlich mit Dokumentationspflichten aus?

LL: Kurz und knapp: Alles, was mit personenbezogenen Daten zu tun hat, muss künftig auch dokumentiert werden. Oder zusammengefasst: Der Inkassodienstleister muss alles dokumentieren können, worüber eine betroffene Person informiert werden muss.

DK: Welche Risiken könnten sich für Unternehmen und deren Inkassodienstleistern hieraus ergeben?

LL: Verantwortliche, die sich nicht an die entsprechenden komplexen Verpflichtungen halten, setzen sich der Gefahr beachtlicher Bußgelder aus. Daneben natürlich auch der zivilrechtlichen Inanspruchnahme, etwa durch Verbraucherzentralen, aber auch durch Mitbewerber.

DK: Sind denn die bisher bekannten Begriffsdefinitionen beibehalten worden oder gibt es Neuerungen?

LL: Auch hier gibt es Neuerungen. So wurde etwa der Begriff der personenbezogenen Daten umfassender gefasst. Er schließt nunmehr explizit auch Onlinekennungen, etwa IP-Adressen oder Cookiekennungen ein. Auch so genannte pseudonymisierte Daten (wie etwa eine Telefonnummer) fallen nunmehr auch unter den Begriff der personenbezogenen Daten.
Auch wurde der Verarbeitungsbegriff vereinfacht. Er umfasst jetzt alles, eine Differenzierung nach Erhebung, Verarbeitung oder Nutzung entfällt.