Dürfen dem Inkassounternehmen auch in Zukunft Daten übermittelt werden?

Zum 25. Mai 2018 tritt das neue Bundesdatenschutzgesetz, kurz BDSG, in Kraft. Viele verschiedene Branchen sind davon betroffen und müssen sich anpassen. Was das neue Gesetz und die Datenschutzgrundverordnung (DSGVO) für die Arbeit des Germania Inkasso-Dienstes bedeutet und ob sich daraus Änderungen bezüglich der Datenübermittlung ergeben, erfahren Sie in diesem Blogbeitrag.

Was hat Inkasso mit Datenschutz zu tun?

Als Inkassounternehmen erbringen wir nach § 2 Abs. 2 des Rechtsdienstleistungsgesetzes (RDG) eine „Inkassodienstleistung“. Unsere Aufgabe ist der Forderungseinzug, welcher ein vorgerichtliches Inkasso sowie das gerichtliche Mahnverfahren und die Zwangsvollstreckung umfasst. Bezogen auf den Datenschutz bedeutet dies, dass unsere Interessen als Inkassounternehmen und die Interessen des Gläubigers – nämlich als Unternehmen wirtschaftlich bleiben zu können, den Interessen des Schuldners gegenüberstehen. Seine Daten dürfen nur beschränkt genutzt werden. Die rechtliche Grundlage dieser Interessen bildet zum einen das deutsche Grundgesetz und zum anderen die EU-Grundrechtecharta. Wir als Inkassodienstleister haben nach Art. 12 Abs. 1 GG und Art. 16 EU-Grundrechtecharta das Recht auf freie Unternehmensausübung, während der Schuldner sich auf das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und Art. 8 EU-Grundrechtecharta) berufen kann. Auf Basis der Gesetzeslage müssen nun die beiden Positionen abgewogen werden und die DSGVO angemessen angewendet und ausgelegt werden.

Wie verarbeiten seriöse Inkassounternehmen Daten?

Inkassounternehmen agieren im Rahmen der mit den Mandanten vertraglich vereinbarten Grenzen weitestgehend eigenverantwortlich. Die Verarbeitung von personenbezogenen Daten wird jedoch bei seriösen Inkassounternehmen wie Germania aus Datenschutz-Gründen auf das erforderliche Maß reduziert. Die Daten werden vom Inkassobüro mit dem Ziel der Durchsetzung der Forderungen der Mandanten und im Rahmen des (eigenen) Forderungsmanagements verarbeitet. Inkassounternehmen werden als Verantwortliche i.S.d. DSGVO nicht weisungsgebunden tätig und legen die Zwecke der Datenverarbeitung selbst fest. Um die Forderungen unserer Kunden erfolgreich durchzusetzen, ist dabei die Verarbeitung personenbezogener Daten unter Wahrung der Betroffenenrechte notwendig. Grundsätzlich gilt auch ein nach BDSG alt bereits bekanntes „Verbot mit Erlaubnisvorbehalt“ unter der DSGVO (vgl. Art. 6 DSGVO). Das bedeutet, dass jede Verarbeitung personenbezogener Daten untersagt ist, es sei denn, es liegen eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) oder gesetzliche Erlaubnisnormen (Art. 6 Abs. 1 lit. b) und f) DSGVO) und eine Zweckbindung (Art. 5. Abs. 1 lit. b) DSGVO) vor.

Für uns als Inkassounternehmen bedeutet dies, dass wir, soweit keine eindeutige Einwilligung vorliegt, eine Datenverarbeitung zur Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b) DSGVO) vornehmen dürfen. Grundsätzlich dürfen personenbezogene Daten nur zu festgelegten, eindeutigen und legitimen Zwecken erhoben und nur im Rahmen dieser Zwecke verarbeitet werden (Art. 5 Abs. 1 lit. b) DSGVO). Dieser Punkt betrifft in Bezug auf Inkassounternehmen insbesondere Daten, die ursprünglich für einen bestimmten Zweck erhoben wurden und anschließend für weitergehende Zwecke wie beispielsweise – im Fall von Inkasso – das Forderungsmanagement verarbeitet werden.

Wie und warum dürfen Inkassodienstleister personenbezogene Daten verarbeiten?

Die Übermittlung personenbezogener Daten findet bei seriösen Inkassounternehmen auf verschiedenen Wegen statt. Wir von Germania dürfen als Inkassobüro weiterhin Daten verarbeiten, welche uns von unseren Mandanten, von Auskunfteien oder vom Schuldner selbst übermittelt werden. Auch Daten, die wir aus öffentlich zugänglichen Quellen recherchieren, dürfen verwendet werden. Hierbei stützen wir uns auf den Erlaubnistatbestand der Verarbeitung personenbezogener Daten zur Vertragserfüllung oder den Erlaubnistatbestand der Interessenabwägung. Zu beachten ist im Fall der Vertragserfüllung, dass die Person, deren Daten erhoben und verarbeitet werden sollen, Vertragspartei des zu erfüllenden Vertrages ist (Art. 6 Abs. 1 lit. b) DSGVO). Dies ist im Inkasso der Fall, denn der Schuldner, um dessen Daten es geht, hat einen Vertrag mit dem Mandanten, dessen Forderungen das Inkassounternehmen durchzusetzen sucht, geschlossen. Um dem Erlaubnistatbestand der Vertragserfüllung zu entsprechen, müssen die Inkassomaßnahmen im Rahmen der Erfüllung des Vertrages erforderlich sein, was insbesondere bei großen Unternehmen mit vielen Schuldnern zutrifft.

Weiterhin kann sich ein Inkassounternehmen auf den Erlaubnistatbestand der Interessenabwägung stützen (Art. 6 Abs. 1 lit. f) DSGVO). Dies ist nötig, wenn kein Vertragsverhältnis gegenüber dem Schuldner vorliegt, sondern gesetzlich entstandene Primärforderungen vom Inkassodienstleister beglichen werden sollen. Die Erhebung und Verarbeitung personenbezogener Daten ist demnach zulässig, wenn dies für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten nötig ist. Dieser Umstand liegt vor, solange nicht Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Die Durchsetzung von Forderungen, egal ob gegenüber dem Inkassounternehmen oder dem Mandanten, gelten als berechtigtes Interesse. Wie in Bezug auf die Vertragserfüllung ist auch die Erforderlichkeit im Regelfall gegeben. In Einzelfällen, wie beispielsweise bei besonders schützenswerten Daten aus dem Gesundheitsbereich, müssen die Interessen individuell abgewogen werden.

Die oben beschriebenen Regelungen rechtfertigen ebenfalls die anschließende Verarbeitung der personenbezogenen Daten durch das Inkassounternehmen selbst. Zum einen muss der Inkassodienstleister in eigenem Interesse und auch im Interesse seiner Kunden, die eigenen Prozesse und Maßnahmen verbessern und optimieren. Nur so ist ein wirtschaftliches Forderungsmanagement möglich. Zum anderen liegen nicht zwangsläufig überwiegenden Gegeninteressen vor, denn es liegt auch im Sinne der Schuldner, dass die Maßnahmen im Forderungsmanagement sinnvoll eingesetzt und stetig verbessert werden, um so wenig wie möglich mit zusätzlichen Kosten belastet zu werden.

Zu welchem Zweck werden personenbezogene Daten verarbeitet?

Inkassounternehmen verfolgen mit der Verarbeitung personenbezogener Daten einerseits die Forderungsdurchsetzung – den ursprünglichen Zweck des Gläubigers –  und andererseits das Forderungsmanagement. Die Datenverarbeitung zur Forderungsdurchsetzung wird in der Regel mit der Zwecksetzung der Vertragsabwicklung (Art. 6 Abs. 1 lit. b) DSGVO) oder der Rechtsverfolgung unter Beachtung der Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO) legitimiert. Insbesondere bezüglich der Daten, die beim Vertragsschluss zwischen Schuldner und Gläubiger übermittelt worden sind, ist von einer Verarbeitung im Rahmen des ursprünglichen Zwecks auszugehen. Das Forderungsmanagement des Inkassounternehmens als Zweck der Datenverarbeitung hängt stark mit der Durchsetzung der Forderungen des Mandanten zusammen. Gemäß Art. 5 Abs. 1 lit. b) DSGVO oder Art. 6 Abs. 1 lit. a) DSGVO ist die Verfolgung mehrerer paralleler Zwecke bei der Datenverarbeitung legitim.  Dabei ist jedoch zu beachten, dass der Zweck des Forderungsmanagements gesondert begründet werden muss. Werden zum Beispiel die Daten eines Schuldners, die im Rahmen des Vertrages mit einem Mandanten erhoben und verarbeitet worden sind, für die Forderung eines anderen Mandanten ebenfalls relevant, darf erneut auf diese zugegriffen werden. Auf diese Weise werden mögliche unpassende Maßnahmen vermieden und ein wirtschaftliches Handeln ist möglich. Dies kann zwar als Zweckänderung betrachtet werden, ist jedoch legitim, solange die Daten auf eine Art und Weise verarbeitet werden, die mit den ursprünglichen Zwecken vereinbar ist (Art. 5 Abs. 1 lit. b) DSGVO).

Fazit zur neuen Rechtslage

Grundsätzlich dürfen wir als Inkassounternehmen weiterhin zur Realisierung von Forderungen und für das Forderungsmanagement personenbezogene Daten verarbeiten, wobei wir uns auf das nötigste Mindestmaß beschränken, die Rechte der Betroffenen wahren und uns intensiv mit den Anforderungen der Datenschutzgrundverordnung auseinandersetzen. Ebenso ist die Übermittlung der Daten von Mandanten oder einer Auskunftei auch unter der DSGVO und dem BDSG neu weiterhin zulässig. Bei der Verarbeitung stützen wir uns primär auf die Erlaubnistatbestände der Vertragsdurchführung (Art. 6 Abs. 1 lit. b) DSGVO) und der Rechtsverfolgung unter Beachtung der Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO). Unseren deutschlandweiten Service von Hamburg bis München können wir also nach wie vor für Sie anbieten. Gerne werden wir auch international tätig und realisieren Ihre Forderungen.

Für unsere Kunden

Germania wird als Inkassodienstleister – anders als der Auftragsverarbeiter – nicht weisungsgebunden tätig, d.h. wir sind kein Auftragsverarbeiter.
Wir verarbeiten die Daten zur Durchsetzung der Forderungen unserer Mandanten und im Rahmen des (eigenen) Forderungsmanagements.
Es gilt grundsätzlich der Artikel 4 Nr. 7 der DS-GVO.  In Sinne dieses Artikels sind wir Verantwortliche und keine Auftragsverarbeiter.

Germania Inkasso Datenschutzhinweise Auftraggeber V1.1