BDIU
2 017
Die Europäische
Datenschutz-Grundverordnung
Best Practice
Guide 1.0
Leitfaden für den Bereich
Forderungsmanagement
www.inkasso.de
DATENSCHUTZ
INHALT
VORWORT
3
1 || ÜBERBLICK
4
2 || FORDERUNGSMANAGEMENT DURCH INKASSODIENSTLEISTER
6
3 || GRUNDLAGEN DER DATENVERARBEITUNG
7
3.1. || Grundsätze im Überblick
7
3.2. || Rechenschaft mittels Dokumentation
8
3.3. || Die Grundprinzipien der DS-GVO im Überblick
8
3.4. || Rechtsgrundlagen für die Datenverarbeitung
9
3.4.1. | Einwilligung: Art. 6 Abs. 1 Buchstabe a, Art. 7
3.4.2. | Gesetzliche Erlaubnisnormen zur Datenverarbeitung:
Art. 6 Abs. 1 Buchstaben b bis f
9
9
3.5. || Grundsatz der Zweckbindung
10
3.5.1. | Zweckangabe erforderlich
3.5.2. | Forderungsmanagement stellt Zweckänderung dar
10
10
3.6. || Sonderfälle
11
3.6.1. | Verarbeitung besonderer Kategorien personenbezogener Daten
3.6.2. | Verarbeitung personenbezogener Daten
hinsichtlich strafrechtlicher Verurteilungen und Straftaten
3.6.3. | Workflow-Optimierung = Profiling?
11
4 || INFORMATIONSPFLICHTEN DER INKASSODIENSTLEISTER
UND BETROFFENENRECHTE
12
12
13
4.1. || Die Basis: Informationspflichten und Betroffenenrechte
nach DS-GVO im Vergleich zum BDSG
13
4.1.1. | Zeitpunkt und Frist
4.1.2. | Informationspflichten sind mit Formvorschriften verbunden
14
15
4.2. || Besondere Informationspflichten
16
4.2.1. | Informationspflichten bei Erhebung der Daten
bei einer anderen als der betroffenen Person
4.2.2. | Zum Vergleich: Informationspflichten bei Direkterhebung
4.2.3. | Beispiel: Information nach Art. 14 DS-GVO
16
18
18
4.3. || Betroffenenrechte und weitere Pflichten der Verantwortlichen
20
5 || UMFANGREICHE DOKUMENTATIONSPFLICHTEN
22
5.1. || Einzelne Dokumentationspflichten
22
5.2. || Verzeichnis von Verarbeitungstätigkeiten
23
5.2.1. | Notwendigkeit der Erstellung eines Verzeichnisses
5.2.2. | Form des Verzeichnisses
5.2.3. | Prüfung durch die Aufsichtsbehörde
5.2.4. | Inhalt des Verzeichnisses
23
23
23
24
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
6 || SICHERER UMGANG MIT DATEN DURCH
TECHNISCH-ORGANISATORISCHE MAßNAHMEN (TOM)
25
7 || DATENSCHUTZ-FOLGENABSCHÄTZUNG
26
8 || BETRIEBLICHER DATENSCHUTZBEAUFTRAGTER
27
8.1. || Bestellungspflicht
27
8.2. || Bestellungsfähigkeit
27
8.3. || Aufgaben
28
8.4. || Stellung des Datenschutzbeauftragten im Unternehmen
28
9 || AUFTRAGSVERARBEITUNG
29
9.1. || Begriff
29
9.2. || Wesen der Auftragsverarbeitung
29
9.2.1. | Aufgaben und Pflichten des Auftragsverarbeiters
9.2.2. | Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters
29
31
9.3. || Typische Auftragsverarbeitungsverhältnisse
32
10 || SANKTIONEN UND AUFSICHTSMAßNAHMEN
33
10.1. || Rechtliche Vorschriften
33
10.2. || Geldbuße
33
10.2.1. | Sanktionshöhe
10.2.2. | Kriterien für die Sanktionierung
33
33
10.3. || Weitere Aufsichtsmaßnahmen und Sanktionen
34
10.4. || Durchsetzung der Sanktionen und Aufsichtsmaßnahmen
34
10.5. || Verstoßprävention durch Kontrolle und Dokumentation
34
11 || RECHTSBEHELFE VON BETROFFENEN PERSONEN
35
11.1. || Beschwerderecht bei der Aufsichtsbehörde
35
11.2. || Sonstige Rechtsbehelfe
35
11.3. || Mittel zur Rechtsdurchsetzung
35
12 || AUFSICHT ÜBER UNTERNEHMEN
36
12.1. || Nationale Datenschutzaufsichtsbehörden
36
12.2. || Europäischer Datenschutzausschuss
36
13 || BEGRIFFE
37
14 || SYNOPSE: DS-GVO-ARTIKEL UND ERWÄGUNGSGRÜNDE
39
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
DATENSCHUTZ
BRÜS
S E L
2
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
VORWORT
LIEBE MITGLIEDER DES BDIU,
LIEBE LESERINNEN, LIEBE LESER,
die Datenschutz-Grundverordnung gehört zu den wichtigsten Gesetzesvorhaben der
Europäischen Union der letzten Jahre. Mit dem Stichtag 25. Mai 2018 wird sie das Bundesdatenschutzgesetz ablösen und muss dann auch in Deutschland angewendet werden.
Der BDIU und unser europäischer Dachverband, die FENCA, haben sich mit Macht in Brüssel dafür engagiert, dass die Verordnung die im Bereich der Inkassodienstleistungen so
wichtigen Datenverarbeitungen auch künftig möglich macht. Das haben wir gemeinsam
erreicht.
Aber was bedeutet das für Inkassounternehmen nun im Detail? Wie wird sich die Datenschutz-Grundverordnung auf die vielen alltäglichen Prozesse im Forderungsmanagement
konkret auswirken – und zwar europaweit, von Brüssel über Berlin und Warschau bis nach
Rom? Dazu gibt es noch viele Fragen – dieser Leitfaden liefert erste Antworten, wie Datenflüsse und Datenverarbeitungen vor Ort künftig vonstattengehen werden.
Mein Dank geht an die Mitglieder des BDIU-Ausschusses für Datenschutz, die diesen Best
Practice Guide gemeinsam mit dem Verbandsbeauftragten für den Datenschutz und den
Experten aus der BDIU-Geschäftsstelle erstellt haben. Sie, liebe Leserinnen, liebe Leser,
finden hier konkrete Hinweise, wie Sie künftig personenbezogene Daten von Forderungsschuldnern verarbeiten können. Wohlgemerkt: Es handelt sich dabei um Handlungsempfehlungen, keine abschließenden Anweisungen. Der Guide soll Hilfsmittel sein, damit
Sie schnell und unkompliziert die neuen Regeln anwenden können.
Wie Sie sehen, trägt dieser Leitfaden den Zusatz »1.0«. Das heißt: Er ist »work in progress«.
Denn noch sind (längst) nicht alle Fragen geklärt. Selbstverständlich wird Sie der BDIU bis
zum Anwendungsbeginn der Datenschutz-Grundverordnung intensiv und kontinuierlich
weiter informieren.
Ihre
Kirsten Pedd
Präsidentin des BDIU
Berlin, im Februar 2017
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
3
DATENSCHUTZ
1 || ÜBERBLICK
Die Datenschutz-Grundverordnung (DS-GVO) ist am 25. Mai 2016 in Kraft getreten und
gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten – im Übrigen auch für Unternehmen
mit Niederlassung außerhalb der EU, die personenbezogene Daten erheben und verarbeiten, um Personen innerhalb der EU Waren oder Dienstleistungen anzubieten.
Die DS-GVO bringt
erhöhte Anforderungen
an den Datenschutz
mit sich – und hat
damit Folgen für alle
Inkassodienstleister
In Deutschland löst die DS-GVO das bis dahin geltende Bundesdatenschutzgesetz (BDSG)
ab und ersetzt es vollständig. Auf nationaler Ebene gibt es dann neben der DS-GVO
lediglich noch ein Anpassungs- bzw. Umsetzungsgesetz, das aber nur in Ergänzung gilt.
Das Datenschutzniveau wird mit der DS-GVO nicht abgesenkt, sondern an einigen Stellen
sogar weiter angehoben. Insbesondere bringt die DS-GVO neue Transparenz- und Dokumentationsanforderungen für Verantwortliche der Datenverarbeitung und Auftragsverarbeiter mit sich.
Inkassodienstleister sind Verantwortliche im Sinne der DS-GVO – der BDIU zeigt deswegen
mit diesem Best Practice Guide auf, welche Neuerungen sich daraus für die Branche ergeben und worauf die Unternehmen unbedingt zu achten haben.
Aufsichtsbehörden
kündigen mehr
Kontrollen an –
und erhalten mehr
Eingriffsrechte
Die Aufsichtsbehörden haben bereits jetzt angekündigt, die Einhaltung der Dokumentationspflichten verstärkt prüfen zu wollen – umso wichtiger ist es daher, sich schon jetzt
mit den geplanten Neuerungen zu den Dokumentationserfordernissen zu befassen.
Zumal die Eingriffsrechte der Aufsichtsbehörden und die Sanktionen, die gegen die
Unternehmen verhängt werden können, wesentlich verschärft werden.
Der Best Practice Guide beleuchtet die DS-GVO hauptsächlich mit Blick auf die Datenverarbeitung personenbezogener Daten von Forderungsschuldnern. Doch Vorsicht: Die
Grundsätze zur Verarbeitung müssen auch bei anderen natürlichen Personen berücksichtigt werden, z. B. gegenüber Mitarbeitern!
Die wichtigsten Begriffe der DS-GVO
DS-GVO-Regelung:
Art. 4: Begriffsbestimmungen
Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Der Begriff ist jetzt umfassender als bisher und erfasst explizit z. B. auch die Online-Kennung
(z. B. IP-Adressen oder Cookie-Kennung).
Auch pseudonymisierte Daten fallen darunter: Das sind Daten, die eine eindeutige Zuordnung ermöglichen. Ein Beispiel: Eine Telefonnummer allein ermöglicht noch keine Zuweisung, die Hinzunahme eines Telefonverzeichnisses aber schon.
Der Begriff umfasst alle Daten lebender natürlicher Personen, d. h. auch z. B. von Einzelfirmen und Dritte jeglicher Art wie: Betreuer, Rechtsanwälte, Arbeitgeber, Bevollmächtigte
und Mitarbeiter im eigenen Unternehmen. Personenbezogene Daten von Verstorbenen
unterliegen nicht der DS-GVO. Eine Speicherung solcher Daten ist damit zulässig.
Achtung:
Der Best Practice Guide
legt den Fokus nur auf
Verarbeitungen von
Schuldnerdaten
4
Eine betroffene Person ist jede natürliche Person, mit der ein Verantwortlicher, also z. B.
ein Inkassounternehmen, zu tun hat. Die meisten betroffenen Personen der Datenverarbeitungen von Inkassodienstleistern sind Schuldner offener Forderungen. Aber auch die
Mandanten der Inkassounternehmen, sofern es sich um Einzelpersonen handelt, sind betroffene Personen, genauso wie z. B. die Mitarbeiter im Unternehmen.
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
B E R
L I N
Der Verarbeitungsbegriff umfasst jetzt alles. Es gibt keine Differenzierung mehr zwischen
Erhebung, Verarbeitung oder Nutzung.
Ein Verantwortlicher für die Verarbeitung ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die
Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Bereich des Forderungsmanagements trifft genau das auf Inkassodienstleister zu. Sie werden
im Rahmen der Funktionsübertragung tätig und entscheiden über Zweck und Mittel der
Verarbeitung. Sie sind damit Verantwortliche im Sinne der DS-GVO.
Ein Auftragsverarbeiter ist hingegen eine natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die im Auftrag eines Verantwortlichen personenbezogene
Daten der betroffenen Person verarbeitet. Unter der DS-GVO hat der Auftragsverarbeiter
künftig umfangreichere Pflichten zu erfüllen als unter dem Regime des BDSG. |1|
|1| Siehe: 9 || Auftragsverarbeitung, Seite 29 ff.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
5
DATENSCHUTZ
2 || FORDERUNGSMANAGEMENT
DURCH INKASSODIENSTLEISTER
Die DS-GVO findet Anwendung auf Inkassodienstleister – denn ohne personenbezogene Daten kann professionelles Forderungsmanagement nicht betrieben werden.
Forderungsmanagement
sichert die Liquidität von
Unternehmen
Die Ziele des Forderungsmanagements sind allgemein:
Forderungsausfälle so gering wie möglich zu halten,
die notwendige Liquidität der Wirtschaftsunternehmen zu erhalten und dabei
den erstattungspflichtigen Schuldner so niedrig wie möglich
mit weiteren Kosten zu belasten.
Inkassodienstleister
sind Rechtsdienstleister
Der Schwerpunkt des Forderungsmanagements von Inkassodienstleistern liegt in der Erbringung von Inkassodienstleistungen. Für deutsche Inkassodienstleister ist das in § 2
Abs. 2 RDG geregelt. Demnach handelt es sich beim Forderungseinzug um eine Rechtsdienstleistung, die einer strengen gesetzlichen Regulierung unterliegt und nur von registrierten und besonders qualifizierten Personen erbracht werden darf.
Vom Mahnverfahren
bis zur Zwangsvollstreckung: Nur solide
Daten ermöglichen
professionelles Inkasso
Die Tätigkeit von Inkassodienstleistern reicht vom vorgerichtlichen Inkasso über die Durchführung des gerichtlichen Mahnverfahrens bis zur Durchführung von Vollstreckungen im
Zwangsvollstreckungsverfahren.
Inkassodienstleister
sind »Verantwortliche«
im Sinne der DS-GVO
Ähnlich wie im BDSG (dort im Rahmen der sogenannten Funktionsübertragung) werden
Inkassounternehmen künftig als »Verantwortliche« im Sinne der DS-GVO definiert, da sie
über die Zwecke und Mittel der Verarbeitung personenbezogener Daten selbstständig
entscheiden (Art. 4 Nr. 7).
Die Effektivität der Inkassodienstleistung hängt dabei entscheidend davon ab, dass die
Dienstleister ein breites Spektrum an Services anbieten und durchführen können. Dazu
gehören nicht nur Adressermittlungen, Bonitätsprüfungen und Außendiensteinsätze, sondern auch der Einsatz von analytisch-statistischen Verfahren, mit denen aus Erfahrungswerten der Vergangenheit zukünftige Risikoeinschätzungen für das Forderungsmanagement gewonnen werden. Dabei werden die Prozesse im Interesse der Schuldner und ihrer
Gläubiger regelmäßig automatisch gesteuert.
Eine Auftragsverarbeitung findet in Inkassounternehmen ebenso wenig statt wie unter
dem Regime des BDSG. Eine mögliche Ausnahme: die Tätigkeit als Verwaltungshelfer für
die öffentliche Hand, die in aller Regel weiterhin als Auftragsverarbeitung ausgestaltet
werden dürfte.
6
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
3 || GRUNDLAGEN DER DATENVERARBEITUNG
DS-GVO-Regelungen:
Art. 4: Begriffsbestimmungen
Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten
Art. 6: Rechtmäßigkeit der Verarbeitung
Art. 7: Bedingungen für die Einwilligung
Art. 9: Verarbeitung besonderer Kategorien personenbezogener Daten
Art. 10: Verarbeitung von personenbezogenen Daten
über strafrechtliche Verurteilungen und Straftaten
Die neue DS-GVO setzt strengere Maßstäbe an die Datenverarbeitung als das BDSG
und bringt eine große Neuheit mit sich – es muss streng zwischen der Rechtsgrundlage der Datenverarbeitung und deren Zweck unterschieden werden.
3.1. || GRUNDSÄTZE IM ÜBERBLICK
Das schon im bisherigen BDSG geltende Prinzip des Verbots mit Erlaubnisvorbehalt wird
grundsätzlich auch in der DS-GVO beibehalten:
Verbot mit Erlaubnisvorbehalt bleibt
So gilt auch weiterhin, dass jede Verarbeitung |2| personenbezogener Daten |3| grundsätzlich verboten ist, wenn die betroffene Person nicht eingewilligt hat oder eine Rechtsvorschrift diese Verarbeitung nicht erlaubt.
Eine Einwilligung in die Datenverarbeitung wird im Bereich der Inkassotätigkeit eher die
Ausnahme bleiben, ist aber dennoch möglich.
Einwilligung bei Inkassotätigkeit weiterhin selten
Beispiel:
Ein Schuldner erlaubt einem Inkassounternehmen die Verarbeitung seiner Daten
ausdrücklich, z. B. im Rahmen der Abtretung einer (zahn)ärztlichen Honorarforderung
und der damit zusammenhängenden Entbindung von der ärztlichen Schweigepflicht
oder bei Forderungen von Kreditinstituten im Zusammenhang mit der Befreiung vom
Bankgeheimnis.
In seltenen Fällen kann es vorkommen, dass ein Kunde eines Mandanten bereits vorab per
Vertrag der Verarbeitung seiner Daten generell zugestimmt hat. Wird dann bei Nichtzahlung einer Verbindlichkeit erst später ein Inkassodienstleister eingeschaltet, gilt seine Einwilligung in die Datenverarbeitung auch hier.
Informationspflicht
des Mandanten
Den Mandanten, der das Inkassounternehmen beauftragt, trifft in diesem Zusammenhang
dann aber die besondere Pflicht, den Inkassodienstleister über die vorherige Einwilligung
zu informieren. Nur dann kann sich das Inkassounternehmen bei der Verarbeitung der
Daten auch auf sie stützen.
Dreh- und Angelpunkt der Datenverarbeitung im Bereich der Inkassodienstleistung wird
Art. 6 Abs. 1 b bis f sein, hier sind die gesetzlichen Erlaubnisse geregelt.
Dreh- und Angelpunkt:
Gesetzliche Erlaubnisse
Die Verarbeitung von Schuldnerdaten ist in der Regel »für die Erfüllung eines Vertrags«
(Art. 6 Abs. 1 Buchstabe b) erforderlich – dazu gehört auch die Zahlungsverpflichtung des
Schuldners.
|2| Siehe: 1 || Überblick, Seite 5; 13 || Begriffe, Seite 37.
|3| Siehe: 1 || Überblick, Seite 4; 13 || Begriffe, Seite 37.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
7
DATENSCHUTZ
Ebenso ist die Verarbeitung von Schuldnerdaten gemäß Art. 6 Abs. 1 Buchstabe f »zur
Wahrung der berechtigten Interessen des Verantwortlichen« (des Inkassounternehmens)
»oder eines Dritten« (des Mandanten) erforderlich: Ohne die Verarbeitung von Schuldnerdaten ist ein professionelles Forderungsmanagement nicht möglich.
Die gemäß der letztgenannten Bestimmung erforderliche Güterabwägung (»sofern nicht
die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person … überwiegen«) wird hier grundsätzlich zugunsten der Gläubigerseite ausfallen, da bei einer berechtigten Forderung keine überwiegenden Interessen des Schuldners vorstellbar sind.
Datenerhebung:
so viel wie nötig,
so wenig wie möglich
Die DS-GVO sieht den besten Schutz für personenbezogene Daten in jenen, die gar nicht
erst erhoben werden. Doch Inkassodienstleister können ohne Daten nicht agieren. So dürfen
sie zwar grundsätzlich selbst festlegen, welche Daten sie erheben müssen, um den »Zweck
der Datenverarbeitung« (Forderungsmanagement) erreichen zu können. Allerdings müssen sie als Verantwortliche im Sinne der DS-GVO auch begründen und nachweisen können,
warum die einzelnen Daten(kategorien) erhoben (bzw. verarbeitet) werden müssen – nur
so lassen sich im Übrigen auch die mit der Verarbeitung verbundenen Dokumentationsanforderungen einhalten.
Grundsatz der Datenerhebung:
Die Erhebung von Daten muss für den jeweiligen Zweck stets erforderlich und angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
3.2. || RECHENSCHAFT MITTELS DOKUMENTATION
Die Rechenschaftspflicht in Art. 5 Abs. 2 ist in dieser Art neu. Der Inkassodienstleister trägt
die Beweislast dafür, dass er die gesetzlichen Vorgaben einhält. Alle Geschäftsprozesse
und sogenannten technisch-organisatorischen Maßnahmen müssen daher dokumentiert
werden. Verstöße sind gemäß Art. 83 bußgeldbewehrt. |4|
Jedes Inkassounternehmen muss also bis spätestens Mai 2018, wenn die DS-GVO unmittelbar geltendes Recht sein wird, schriftliche Dokumentationen erstellen.
Kontrollen
angekündigt!
Die nationalen Datenschutzaufsichtsbehörden haben bereits angekündigt, dass genau
hier der Fokus ihrer Unternehmensüberprüfungen liegen wird.
3.3. || DIE GRUNDPRINZIPIEN DER DS-GVO IM ÜBERBLICK
Inkassounternehmen müssen als Verantwortliche im Sinne der DS-GVO die Grundprinzipien mit Blick auf die Datenverarbeitungen einhalten und dies auch nachweisen können.
Die Grundprinzipien lauten gemäß Art. 5 Abs. 1:
Prinzip der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
(Art. 5 Abs. 1 Buchstabe a)
Prinzip der Zweckbindung (Art. 5 Abs. 1 Buchstabe b)
Prinzip der Datenminimierung (Art. 5 Abs. 1 Buchstabe c)
Prinzip der Richtigkeit (Art. 5 Abs. 1 Buchstabe d)
Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 Buchstabe e)
Prinzip der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchstabe f )
8
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
3.4. || RECHTSGRUNDLAGEN FÜR DIE DATENVERARBEITUNG
3.4.1. | Einwilligung: Art. 6 Abs. 1 Buchstabe a, Art. 7
Die Einwilligung als Rechtsgrundlage für Datenverarbeitungen durch den Inkassodienstleister als Verantwortlichen bildet eher die Ausnahme. Relevanz erlangt sie aber beispielsweise im Bereich des Forderungsmanagements in Bezug auf privatärztliche Forderungen.
Einwilligung bleibt
die Ausnahme
Hinweis: Hier gelten noch weitere Besonderheiten, die gesondert zu beachten sind,
auf die hier aber nicht eingegangen werden soll.
Wird eine erteilte Einwilligung als Rechtsgrundlage herangezogen, muss die betroffene
Person auf ein ihr diesbezüglich jederzeit zustehendes Widerrufsrecht hingewiesen werden. |5|
Einwilligung –
mit Widerrufsrecht
Dabei muss dieser Widerruf genauso einfach möglich sein wie die Erteilung der Einwilligung.
Beispiel:
Der entsprechende Hinweis könnte wie folgt aussehen:
»Bitte beachten Sie, dass Sie Ihre nachfolgende Zustimmung jederzeit widerrufen können. Ihr Widerruf entfaltet rechtliche Wirkung nur für die Zukunft ab Widerruf.
Ich erkläre mich damit einverstanden, dass meine personenbezogenen Daten …
( hier sollten diese Daten so genau und umfassend wie möglich beschrieben werden) zum Zwecke … ( hier sollte der entsprechende Zweck bzw. die Zwecke, sofern
mehrere verfolgt werden, angegeben werden.) von … ( hier den Namen des Verantwortlichen und seine Anschrift angeben) verarbeitet werden.«
3.4.2. | Gesetzliche Erlaubnisnormen zur Datenverarbeitung:
Art. 6 Abs. 1 Buchstaben b bis f
Art. 6 Abs. 1 Buchstabe b ist Rechtsgrundlage für die Verarbeitungen personenbezogener Daten, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene
Person ist, erforderlich sind. Immer wenn es um das Forderungsmanagement in Bezug
auf durch Vertrag entstandene Forderungen geht, kommt diese Erlaubnisnorm zur Anwendung. Diese Rechtsgrundlage gilt unter den gleichen Voraussetzungen bereits für
Datenverarbeitungen des Mandanten und wird vom Inkassodienstleister quasi »übernommen«.
Art. 6 Abs. 1 Buchstabe c ist die Rechtsgrundlage für Verarbeitungen personenbezogener Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind (z. B. zur
Einhaltung nationaler gesetzlicher Aufbewahrungsfristen. Im deutschen Recht ergeben
sich die Aufbewahrungspflichten aus der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB) und dem Umsatzsteuergesetz (UStG)).
Art. 6 Abs. 1 Buchstabe f ist die Rechtsgrundlage für Verarbeitungen personenbezogener Daten, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder
eines Dritten erforderlich sind (»Auffangerlaubnis«).
|4| Siehe: 5 || Umfangreiche Dokumentationspflichten, Seite 22 ff.
|5| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.1.2, Seite 17.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
9
DATENSCHUTZ
Einmeldung bei Auskunfteien:
Rechtsgrundlage für die Einmeldung forderungsbezogener Daten ist Art. 6 Abs. 1
Buchstabe f. Dabei ist das »berechtigte Interesse eines Dritten« gegeben, da es höchstrichterlich entschieden ist (BGH, NJW 2011, 2204, 2206), dass eine Auskunftei und »die
Erteilung von Bonitätsauskünften für das Funktionieren der Wirtschaft von erheblicher Bedeutung sind«.
Ggf. wird hier der nationale Gesetzgeber mit einer Sonderregelung tätig |6|.
Generell gilt: Einschlägige Rechtsgrundlagen, die für Datenverarbeitungen des Mandanten gelten, entfalten auch Wirkung für die Datenverarbeitungen des Inkassodienstleisters.
Daneben können weitere Regelungen nach Art. 6 Abs. 1 einschlägig sein.
3.5. || GRUNDSATZ DER ZWECKBINDUNG
Zwecke der Datenverarbeitung müssen
eindeutig und legitim sein
Art. 5 Abs. 1 Buchstabe b regelt den Grundsatz der Zweckbindung: Schon vor der Datenerhebung muss feststehen bzw. muss der Inkassodienstleister festlegen, welche Daten
seines Mandanten für welche Zwecke verarbeitet werden sollen.
Jeder Zweck im Sinne der Verordnung muss eindeutig und legitim sein: Der Zweck der
Verarbeitung von Daten durch den Inkassodienstleister muss entweder der ursprünglichen Absicht entsprechen, die mit bzw. vom Mandanten festgelegt worden ist, oder/und
dieser darf nicht in Widerspruch zum ursprünglichen Zweck stehen und muss mit diesem
nach Art. 6 Abs. 4 vereinbar sein.
3.5.1. | Zweckangabe erforderlich
Inkassodienstleister verfolgen grundsätzlich den
Zweck des Mandanten
(»Vertragsabwicklung«
bzw. »Rechtsverfolgung«)
sowie den eigenen Zweck
»Forderungsmanagement«
Inkassodienstleister müssen (mindestens) einen Zweck angeben, so wie jeder andere Verantwortliche auch.
Die Übergabe einer Forderung des Mandanten an den Inkassodienstleister ändert per se
zwar nichts an der Rechtsgrundlage für die Datenverarbeitung – allerdings ändert sich
deren Ziel: Denn Zweck der Datenverarbeitungen eines Inkassounternehmens ist grundsätzlich das »Forderungsmanagement« |7|.
Das entspricht aber in der Regel nicht dem ursprünglichen Zweck des Mandanten, der
mit der Verarbeitung seiner Kundendaten eher die »Vertragsabwicklung« bzw. die »Rechtsverfolgung« beabsichtigt. Zu diesem Zweck übermittelt der Mandant zwar die Daten an
den Inkassodienstleister. Dieser verfolgt ab Erhebung der Daten aber zudem den eigenen
Zweck »Forderungsmanagement«. Denn nur so kann das Inkassounternehmen dazu beitragen, Forderungsausfälle so gering wie möglich zu halten, die notwendige Liquidität
der Wirtschaftsunternehmen zu erhalten und dabei den erstattungspflichtigen Schuldner
so niedrig wie möglich mit weiteren Kosten zu belasten.
3.5.2. | Forderungsmanagement stellt Zweckänderung dar
Verarbeitet das Inkassounternehmen personenbezogene Daten für das Forderungsmanagement, liegt also rein rechtlich eine Zweckänderung vor, die den Voraussetzungen des
Art. 6 Abs. 4 bei Übergabe der Forderungen vom Mandanten an das Inkassounternehmen
unterliegt |8|.
10
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
Diese Zweckänderung ist aber rechtlich nicht zu beanstanden, denn: Professionelles Forderungsmanagement durch einen Inkassodienstleister ist mit dem ursprünglichen Zweck
des Mandanten (dort: »Vertragsabwicklung« bzw. »Rechtsverfolgung«) vereinbar im Sinne
der gesetzlichen Vorgaben.
Forderungsmanagement
ist mit ursprünglichem
Zweck vereinbar
Das Forderungsmanagement erfasst eine Vielzahl von Tätigkeiten. Unter den Begriff fällt
auch die Berücksichtigung von gesetzlichen Aufbewahrungspflichten, sodass erst mit
deren (gänzlicher) Erfüllung der Zweck der Verarbeitung wegfällt.
Aufbewahrungspflichten
begrifflich mit umfasst
Tipp:
Der Zweck der Datenverarbeitung »Forderungsmanagement« sollte sich künftig entsprechend bei den Informationen an die betroffene Person gemäß Art. (13 bzw.) 14
sowie im Rahmen der Auskunftserteilung gemäß Art. 15 wiederfinden.
Zweckangabe –
so funktioniert es!
(kompatibler) Zweck = Forderungsmanagement
Zweck = Vertragsabwicklung/Rechtsverfolgung
Beginn
Rechtsverhältnis
zwischen Mandant
und Schuldner
Übergabe
der Forderung
vom Mandanten
ans IKU
Erfüllung/
Zahlung der
Forderung durch
den Schuldner
Ende der
Aufbewahrungspflicht nach
AO, HGB, UStG
Das Inkassounternehmen muss in diesem Fall als Zweck »Vertragsabwicklung« (neben
Rechtsgrundlage Art. 6 Abs. 1 Buchstabe b) bzw. »Rechtsverfolgung« (neben Rechtsgrundlage Art. 6 Abs. 1 Buchstabe b bzw. Buchstabe f) und »Forderungsmanagement« angeben
(neben Rechtsgrundlage Art. 6 Abs. 1 Buchstabe f ).
3.6. || SONDERFÄLLE
3.6.1. | Verarbeitung besonderer Kategorien personenbezogener Daten
Die Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten oder Daten zu religiöser Überzeugung) ist grundsätzlich untersagt (Art. 9 Abs. 1).
Das Verbot der Verarbeitung gilt allerdings nicht, soweit Art. 9 Abs. 2 Buchstabe f herangezogen werden kann. Hiernach ist die Verarbeitung zur »Geltendmachung, Ausübung
oder Verteidigung von Rechtsansprüchen«, wozu auch der Forderungseinzug gehört, erlaubt, soweit die Verarbeitung erforderlich ist.
Bei der Verarbeitung von
Gesundheitsdaten und Co.
beim Forderungseinzug
gelten weiterhin
Besonderheiten
So wie beispielsweise bei der Bearbeitung von Forderungen aus dem Gesundheitsbereich:
Hier erteilt der Patient (betroffene Person) häufig bislang schon zum Zeitpunkt der Behandlung eine Einwilligung zu Zwecken des »Forderungsmanagements«. Auch nach den
neuen Vorschriften der DS-GVO kann sich der Inkassodienstleister nach wie vor auf diese
Einwilligung stützen.
|6| Das entspricht dem Sachstand zum Zeitpunkt der Drucklegung.
|7| Siehe: 2 || Forderungsmanagement durch Inkassodienstleister, Seite 6.
|8| Sollten darüber hinaus andere Zwecke verfolgt werden, müssen diese ebenfalls gemäß Art. 6 Abs. 4
vereinbar mit dem ursprünglichen Zweck sein.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
11
DATENSCHUTZ
3.6.2. | Verarbeitung personenbezogener Daten hinsichtlich
strafrechtlicher Verurteilungen und Straftaten
Geht man nur nach dem Wortlaut des Art. 10, verbietet die Vorschrift Inkassounternehmen
(»darf nur unter behördlicher Aufsicht«), Daten hinsichtlich einer gegen einen Schuldner
geltend gemachten Forderung zu verarbeiten, die im Zusammenhang mit einer etwaigen
strafrechtlichen Verurteilung des Schuldners (z. B. wegen Betrugs) stehen.
Sinn und Zweck der Regelung ist es aber, neben dem behördlichen Strafregister (Bundeszentralregister) kein »privates« Strafregister entstehen zu lassen.
Jedoch scheint eine – rein erläuternde – Speicherung über die Strafverfolgung, sofern ein
Schuldner im Zusammenhang mit der geltend gemachten Forderung strafrechtlich verurteilt wurde, nicht von diesem Verbot umfasst zu sein.
Nach Erledigung der Forderung sollten solche Daten jedenfalls schon nach den Grundsätzen der Speicherbegrenzung gelöscht werden, soweit nicht besondere Gründe die weitere Speicherung erforderlich machen.
3.6.3. | Workflow-Optimierung = Profiling?
Profiling ist nicht
verboten – besondere
Vorschriften sind
aber zu beachten!
Profiling, das in Art. 4 Nr. 4 definiert wird, ist grundsätzlich nicht verboten. Die Erlaubnisnorm für Profiling ergibt sich aus Art. 6 Abs. 1 Buchstabe f.
Ob die dynamische Workflow-Optimierung, die einige Inkassodienstleister tätigen, überhaupt unter den Begriff »Profiling« fällt, sei hier dahingestellt.
Zumindest aber werden im Rahmen dieser Workflow-Optimierung Analysen und die Anwendung von Ergebnissen für die Steuerung interner Abläufe im Inkassounternehmen
genutzt, die im Rahmen des Forderungsmanagements erforderlich sind.
Um erfolgreiche und kostengünstige Maßnahmen, insbesondere im Hinblick auf die Schadensminderungspflicht gegenüber dem Schuldner, vorzunehmen, werden Erkenntnisse
der Workflow-Optimierung auch bei der Erfüllung von Inkassoaufträgen im Rahmen des
Forderungsmanagements genutzt.
Soweit die Workflow-Optimierung dem Profiling entspräche, besäße eine betroffene Person gemäß Art. 21 Abs. 1 hierzu grundsätzlich ein Widerspruchsrecht. Der Verantwortliche
dürfte diesbezügliche Daten dann nicht mehr verarbeiten. Die Verordnung enthält hier
aber eine eindeutige Einschränkung: Dient die Verarbeitung (konkret: das Profiling) nämlich der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, greift der
Widerspruch nicht. Dies müsste der betroffenen Person aber mitgeteilt werden.
Auch Art. 22 ist – da im Rahmen der Workflow-Optimierung in der Regel keine (im Sinne
der Vorschrift die betroffene Person beeinträchtigenden) automatisierten Entscheidungen
getroffen werden – grundsätzlich nicht inkassorelevant.
12
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
4 || INFORMATIONSPFLICHTEN DER INKASSODIENSTLEISTER UND BETROFFENENRECHTE
DS-GVO-Regelungen:
Abschnitt 1 (Art. 12): Transparenz und Modalitäten
Abschnitt 2 (Art. 13 , Art. 14 und Art. 15):
Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
Abschnitt 3 (Art. 16 bis Art. 20): Berichtigung und Löschung
Abschnitt 4 (Art. 21 und Art. 22):
Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
Inkassodienstleister müssen künftig umfassender informieren, wenn sie Daten verarbeiten. Dabei steht der Schutz der Betroffenen im Mittelpunkt. Verstöße gegen
Transparenz- und Informationspflichten sind mit hohen Bußgeldern verbunden.
Informationen sollen der
Transparenz dienen
Art. 5 Abs. 1 Buchstabe a enthält den Grundsatz, dass sich der Inkassodienstleister redlich
verhalten muss und nicht nur seine eigenen Verarbeitungsinteressen im Blick haben darf.
Er muss vor allem auch die Belange und Interessen der betroffenen Person berücksichtigen. In Bezug auf die Informationspflichten und Betroffenenrechte muss die betroffene
Person jederzeit klar erkennen können, welche ihrer personenbezogenen Daten von wem
für welche Zwecke verarbeitet werden.
So ist die betroffene Person grundsätzlich vorab über die Datenerhebung nach Art. 13
bzw. 14 Abs. 1 und Abs. 2 DS-GVO zu informieren. Inkassodienstleister müssen aber auch
zu einem späteren Zeitpunkt informieren, wenn der Betroffene es entsprechend seinen
Rechten aus Art. 15 bis 22, Art. 34 erst später verlangt.
4.1. || DIE BASIS: INFORMATIONSPFLICHTEN UND BETROFFENENRECHTE NACH DS-GVO IM VERGLEICH ZUM BDSG
Gemäß dem bis 24. Mai 2018 geltenden BDSG ist die verantwortliche Stelle verpflichtet,
die betroffene Person über bestimmte tatsächliche und rechtliche Umstände zu informieren. Dem Betroffenen soll hierdurch ermöglicht werden, in Kenntnis aller relevanten Umstände eine selbstbestimmte Entscheidung über die Preisgabe seiner Daten zu treffen.
Derzeit regelt § 33 BDSG die allgemeinen Informationspflichten bei der Speicherung von
personenbezogenen Daten für eigene Zwecke ohne Kenntnis des Betroffenen im Sinne
einer allgemeinen Erstinformation. § 34 BDSG behandelt in diesem Zusammenhang die
sogenannte Selbstauskunft, die dem Betroffenen individuell erteilt wird.
Achtung:
Neue bußgeldbewehrte
Informations-, Fristund Formvorschriften!
Die DS-GVO sieht demgegenüber in Art. 13 und Art. 14 erweiterte, teilweise über die bisherigen Pflichten des BDSG erheblich hinausgehende Informationspflichten vor.
Im Gegensatz zur bisherigen Rechtslage sind bei der Information der betroffenen Person
zusätzlich Fristen und Formvorschriften zu beachten. Die detaillierten Informationen sind
der betroffenen Person im Regelfall bei Erhebung der Daten bzw. unverzüglich danach
zugänglich zu machen, egal ob die betroffene Person ein Interesse an diesen Informationen bekundet hat oder nicht. Unternehmen laufen Gefahr, Bußgelder in beachtlicher Höhe
zu zahlen, wenn sie diesen komplexen Informations- und Auskunftspflichten nicht nachkommen. Neben dem Risiko eines Bußgeldes droht zudem die zivilrechtliche Verfolgung
durch Verbraucherzentralen und Mitbewerber.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
13
DATENSCHUTZ
4.1.1. | Zeitpunkt und Frist
Mit der DS-GVO werden erstmals konkrete Fristen für die Informationspflichten und die
Bearbeitung der geltend gemachten Betroffenenrechte eingeführt.
Informationspflichten
schon bei erster
Kommunikation
Inkassounternehmen müssen als Verantwortliche gemäß Art. 13 ihre Informationspflichten – sofern die personenbezogenen Daten direkt bei der betroffenen Person erhoben
werden – bereits mit Erhebung der Daten erfüllen.
Werden die Informationen aus dritter Quelle gewonnen – z. B. durch Übermittlung der
Daten seitens des Mandanten an den Inkassodienstleister –, muss das Inkassounternehmen seiner Informationspflicht nach Art. 14 nachkommen: unter Berücksichtigung der
spezifischen Umstände der Verarbeitung der Daten innerhalb einer angemessenen Frist
nach Erlangung der Daten, längstens jedoch innerhalb eines Monats.
Werden die Daten zur Kommunikation mit der betroffenen Person verwendet, entsteht
die Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung. Werden Daten an
einen anderen Empfänger weitergegeben, muss das Inkassounternehmen die betroffene
Person darüber spätestens zum Zeitpunkt der Weitergabe in Kenntnis setzen.
25. Mai 2018:
Stichtag für neue
Informationspflichten
Die neuen Informationspflichten gelten damit für neue Inkassoaufträge, mit denen Inkassodienstleister ab dem 25. Mai 2018 beauftragt werden – unabhängig davon, ob Forderungen
vom Inkassounternehmen gekauft oder im Service für einen Mandanten geltend gemacht
werden.
Daraus folgt:
Alle ersten Mitteilungen an einen Schuldner als betroffene Person, die ab dem 25. Mai
2018 erstellt werden, müssen die erforderlichen Informationen enthalten!
Das gilt auch für Aufträge, die der Inkassodienstleister vor dem 25. Mai 2018 übernommen hat bzw. übernimmt, aber zu denen bis dahin noch keine erste Mitteilung
(Hello Letter) erfolgt ist!
Die neuen Informationspflichten gelten nicht für Inkassovorgänge, zu denen dem
Schuldner tatsächlich vor dem 25. Mai 2018 eine (derzeit übliche) erste Mitteilung zugegangen ist!
Betroffenenrechte:
Antrag auf Auskunft
erforderlich
Während Inkassodienstleister nach Art. 13 bzw. 14 verpflichtet sind, betroffene Personen
ohne ihr Zutun zu informieren, müssen betroffene Personen zur Geltendmachung ihrer
Rechte nach Art. 15 bis 22, Art. 34 jeweils einen entsprechenden Antrag an das Inkassounternehmen stellen. Da für den Antrag keine bestimmte Form vorgeschrieben wird, sind
Inkassounternehmen dazu verpflichtet, ihn in jedem Fall zu bearbeiten.
Geht der Antrag auf Auskunft bzw. eine andere Maßnahme nach Art. 15 bis 22, Art. 34 ein,
hat der Inkassodienstleister der betroffenen Person unverzüglich, jedenfalls aber innerhalb
eines Monats ab Zugang des Antrags die Informationen zur Verfügung zu stellen. Die Monatsfrist kann in Ausnahmefällen um weitere zwei Monate verlängert werden – worüber
die betroffene Person dann aber gesondert unterrichtet werden muss.
Kann ein Inkassounternehmen die Auskunft bzw. eine andere beantragte Maßnahme
nicht erteilen, so muss es der betroffenen Person – unter Hinweis auf das Beschwerderecht
bei der Aufsichtsbehörde bzw. einen Rechtsbehelf der betroffenen Person – begründen,
warum es nicht tätig werden kann.
14
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
4.1.2. | Informationspflichten sind mit Formvorschriften verbunden
Im Gegensatz zum BDSG sind die Informationspflichten hinsichtlich der Betroffenenrechte
nun an Formvorschriften gebunden.
Zum jetzigen Stand ist davon auszugehen, dass die Informationen (mit der ersten Aufforderung) und Auskünfte schriftlich oder in elektronischer Form zu erteilen sind.
Um die Anforderungen des Auskunftsrechts in Art. 15 zu erfüllen, muss der Verantwortliche nach Möglichkeit »den Fernzugang zu einem sicheren System« bereitstellen. Er soll
»der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen«. Gelöst werden könnte die Anforderung z. B. durch das Einrichten eines geschützten
Bereichs auf der jeweiligen Unternehmenswebseite, zu der die betroffene Person – nach
hinreichender, eindeutiger Identifizierung – Zugang erhält.
Informationen und Mitteilungen an betroffene Personen können nach der DS-GVO zwar
grundsätzlich mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wird. Um dem Grundsatz der Transparenz und seinen eigenen
Dokumentationspflichten aber nachzukommen sowie der betroffenen Person nachhaltig
eine Informationsübersicht an die Hand zu geben, empfiehlt es sich dringend, die Informationen und Auskünfte nicht am Telefon zu erteilen.
Schriftliche Auskunft
an Betroffenen ist
besser als mündliche!
Beispiel:
Gelingt es dem Inkassounternehmen aufgrund einer fehlerhaften Adresse nicht, dem
Schuldner eine Zahlungsaufforderung per Post zuzusenden, ruft es – sofern eine
Telefonnummer bekannt ist – in der Regel den Schuldner an, um nach der aktuellen
Anschrift zu fragen. In diesem Telefonat müsste eigentlich nach Art. 13 Abs. 1 und
Abs. 2 der Schuldner als betroffene Person informiert werden, da damit direkt personenbezogene Daten bei der betroffenen Person erhoben werden. Aufgrund der Tatsache, dass es sich um wichtige Informationen für den Schuldner handelt, die er ggf.
im weiteren Verlauf benötigt, um seine Rechte geltend machen und auf entsprechende Kontaktdaten, z. B. des Datenschutzbeauftragten des Inkassounternehmens,
zugreifen zu können, wird empfohlen, den Schuldner im Telefonat darüber zu informieren, dass ihm unverzüglich nach dem Telefonat die Informationen nach Art. 13
zugesendet werden.
Egal ob es sich um Informationen nach Art. 13 bzw. Art. 14 oder um Auskünfte oder Mitteilungen nach Art. 15 bis 22, Art. 34 handelt: Es ist stets auf leicht zu verstehende, aber
präzise Formulierungen zu achten.
Präzise Formulierungen –
vor allem auch
gegenüber Kindern!
Kinder finden besondere Berücksichtigung in der DS-GVO: So müssen Informationen an
Kinder noch präziser, transparenter, verständlicher sowie klar und einfach formuliert werden.
Die Informationen nach Art. 13 bzw. Art. 14 sowie die Mitteilungen und Maßnahmen nach
Art. 15 bis 22 und Art. 34 haben zudem unentgeltlich zu erfolgen – es sei denn, eine betroffene Person macht exzessiv Gebrauch von ihren Rechten oder der Antrag ist offenkundig unbegründet. Den exzessiven Gebrauch bzw. die offenkundige Unbegründetheit
muss der Inkassodienstleister als Verantwortlicher aber nachweisen können.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
Regelfall:
Informationen und
Auskünfte sind kostenlos
für Betroffene
15
DATENSCHUTZ
4.2. || BESONDERE INFORMATIONSPFLICHTEN
DS-GVO-Regelungen:
Art. 13: Informationspflicht bei Erhebung von personenbezogenen Daten
bei der betroffenen Person
Art. 14: Informationspflicht, wenn die personenbezogenen Daten
nicht bei der betroffenen Person erhoben wurden
In Zeiten moderner Datenverarbeitungssysteme hat jeder Einzelne ein Recht darauf
zu erfahren, wer wann welche Daten über ihn erhebt, nutzt oder sonst wie verarbeitet. Zur Wahrung der informationellen Selbstbestimmung enthält die DS-GVO
daher besondere Informationspflichten, die (auch) Inkassounternehmen einhalten
müssen. Die Verordnung unterscheidet dabei zwischen der Erhebung der Daten bei
der betroffenen Person (Art. 13) und der Erhebung aus anderen Quellen (Art. 14).
4.2.1. | Informationspflichten bei Erhebung der Daten bei
einer anderen als der betroffenen Person
Alle Informationen,
die dem Schuldner
gegeben werden
müssen, wenn das
Inkassounternehmen
direkt von ihm Daten
erhält, sind in Art. 14
zu finden
Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, muss
der Verantwortliche (Inkassounternehmen) nach Art. 14 Abs. 1 und Abs. 2 folgende Informationen mitteilen:
Identität des Verantwortlichen: Der Verantwortliche muss seinen Namen und seine
Kontaktdaten angeben. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters
des Verantwortlichen nach Art. 27, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist.
Kontaktdaten des Datenschutzbeauftragten: Neu ist die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten |9| des Verantwortlichen. Der
Name des Datenschutzbeauftragten muss allerdings nicht mitgeteilt werden.
Verarbeitungszwecke und Rechtsgrundlage: Der Verantwortliche muss auch über
die Zwecke der Datenverarbeitung |10| sowie die Rechtsgrundlage |11| informieren. Er
muss dem Betroffenen damit den konkret einschlägigen Erlaubnistatbestand (siehe
Art. 6 Abs. 1, z. B. Buchstabe b: zur Erfüllung eines Vertrages) mitteilen, auf den er seine
Datenverarbeitung stützen möchte.
Kategorien personenbezogener Daten: Der betroffenen Person sind die Datenkategorien mitzuteilen. Das heißt, auch Inkassounternehmen müssen entsprechende Kategorien für die zu verarbeitenden personenbezogenen Daten entwickeln. Das können
z. B. sein:
Kommunikationsdaten (z. B. Name, Anschrift, Telefonnummern, E-Mail-Adressen)
Vertragsdaten (z. B. Art des Vertrags, Vertragsnummer, Datum des Vertragsabschlusses)
Forderungsdaten (z. B. Fälligkeit der Forderungen, Forderungshöhe)
ggf. Zahlungsinformationen (z. B. Kontoverbindungsdaten)
Empfänger: Betroffene Personen sind grundsätzlich in allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, über die Identität der Empfänger zu
informieren. Es genügt zur Information aber bereits die Angabe über Kategorien von
Empfängern.
Übermittlung an Drittländer: Eine rechtliche Beratung wird empfohlen! Beabsichtigt
der Verantwortliche eine Übermittlung personenbezogener Daten an Drittländer |12|
(Achtung z. B. bei Serverstandorten in den USA und Cloud-Lösungen) bzw. eine Abgabe
von Forderungen an ausländische Unternehmen in Drittländern, muss er darüber ebenfalls informieren. Der Inkassodienstleister muss dann zusätzlich mitteilen, auf welcher
besonderen Bedingung nach Art. 44 ff. die Übermittlung beruht und welche Maß-
16
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
nahmen ergriffen werden, um beim Empfänger ein angemessenes Datenschutzniveau
herzustellen.
Im Fall der Übermittlung an Drittländer empfiehlt sich aber in jedem Fall eine gesonderte rechtliche Beratung!
Nach Art. 14 Abs. 2 muss der Verantwortliche dem Betroffenen außerdem weitere Informationen mitteilen, die notwendig sind, um eine faire und transparente Verarbeitung zu
gewährleisten.
Informationen zur
Wahrung von Fairness
und Transparenz
Das sind im Detail:
Dauer der Speicherung: Inkassodienstleister müssen möglichst konkret angeben, für
wie lange personenbezogene Daten gespeichert werden. Wenn das nicht möglich ist,
reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus. Auch
wenn die Speicherung grundsätzlich an den Zweck gebunden ist, muss der Verantwortliche Fristen vorsehen, innerhalb derer er die Löschung der Daten vornimmt bzw.
zumindest die Notwendigkeit der Speicherung überprüft.
Es wird empfohlen, nach Ablauf von drei Jahren nach Zahlung oder Beendigung jedes
Inkassoverfahrens zu prüfen, ob die Daten noch benötigt werden.
Berechtigtes Interesse: Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f erforderlich sein, muss das Inkassounternehmen seine konkreten Interessen bzw. die des
Mandanten (als »Dritten«) mitteilen.
Rechte der betroffenen Person: Betroffene sind über ihre Rechte gemäß Art. 15 bis
22 zu informieren: ihr Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der
Verarbeitung, Widerspruch gegen die Verarbeitung sowie auf Datenübertragbarkeit.
Achtung:
Zur Erfüllung der Informationspflichten muss die betroffene Person (auch) über ihr
Widerspruchsrecht informiert werden. Hier ist darauf zu achten, dass dies »getrennt«
von den Informationen über die anderen in Art. 14 Abs. 2 Buchstaben c bis e (bzw.
Art. 13 Abs. 2 Buchstaben b bis d) aufgeführten Rechte erfolgt, d. h. beispielsweise in
einem separaten Absatz.
Widerrufbarkeit von Einwilligungen (hier nur zur Vollständigkeit – für Inkassodienstleister meistens nicht relevant): Basiert eine Verarbeitung auf der Einwilligung der betroffenen Person, ist auf deren Widerrufbarkeit gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn darüber aufgeklärt wird,
dass die Einwilligung jederzeit widerrufen werden kann und
die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.
Beschwerderecht bei der Aufsichtsbehörde: Die betroffene Person ist darüber aufzuklären, dass sie sich gemäß Art. 77 bei einer Aufsichtsbehörde beschweren kann, sofern sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten rechtswidrig erfolgt. Zur Mitteilung gehört auch die Angabe der regionalen bzw. für die
Hauptniederlassung des Verantwortlichen zuständigen Aufsichtsbehörde.
|9|
Siehe: 8 || Betrieblicher Datenschutzbeauftragter, Seite 27 ff.
|10| Siehe: 3 || Grundlagen der Datenverarbeitung, 3.5., Seite 10.
|11| Siehe: 3 || Grundlagen der Datenverarbeitung, 3.4., Seite 9.
|12| Drittländer sind Staaten außerhalb der Europäischen Union, vgl. Art. 3 DS-GVO (»Räumlicher Anwendungsbereich«).
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
17
DATENSCHUTZ
Quelle der personenbezogenen Daten: Der Verantwortliche muss die betroffene Person über die Quelle informieren, aus der die personenbezogenen Daten stammen, und
ggf. ob sie aus öffentlich zugänglichen Quellen stammen. Inkassodienstleister werden
also (hauptsächlich) den Mandanten als Quelle angeben müssen.
Automatisierte Entscheidungsfindung – Profiling (nur zur Vollständigkeit – für Inkassodienstleister meistens nicht relevant): Über die Segmentierung bzw. Optimierung der
Inkassoworkflows muss grundsätzlich nicht informiert werden.
Trifft der Verantwortliche allerdings automatisierte Entscheidungen nach Art. 22, muss
er die betroffene Person über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informieren. Die Informationspflicht erstreckt sich auch auf
Angaben über die dazu verwendete Logik, die Tragweite und die angestrebten Auswirkungen.
4.2.2. | Zum Vergleich: Informationspflichten bei Direkterhebung
Alle Informationen,
die dem Schuldner
gegeben werden
müssen, wenn das
Inkassounternehmen
direkt von ihm Daten
erhält, sind in Art. 13
zu finden
Werden personenbezogene Daten hingegen nach Art. 13 direkt bei der betroffenen Person erhoben, bestehen für den Verantwortlichen zwar nahezu dieselben Informationspflichten wie bei der Erhebung über einen Dritten nach Art. 14.
Der Verantwortliche muss aber im Fall der Direkterhebung weder zusätzlich über Kategorien personenbezogener Daten, die verarbeitet werden, informieren noch darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen oder ob es sich dabei
um eine öffentlich zugängliche Quelle handelt.
Jedoch muss er die betroffene Person darüber informieren, ob die Verarbeitung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine
Nichtbereitstellung hätte.
4.2.3. | Beispiel: Information nach Art. 14 DS-GVO
Wie Inkassounternehmen Schuldner im Fall der Datenerhebung bei einem Dritten (z. B.
dem Mandanten) künftig DS-GVO-konform informieren können, zeigt folgendes Beispiel.
Hierbei handelt es sich um eine Information gemäß Art. 14 Abs. 1 und Abs. 2 an einen
Schuldner einer vertraglich entstandenen Forderung.
18
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
Informationen gemäß Art. 14 Datenschutz-Grundverordnung (DS-GVO)
Sehr geehrte Frau Muster,
Beispiel: Informationen
zur Datenverarbeitung
mit der ersten Mitteilung
an den Schuldner
wir informieren Sie nachstehend gemäß Art. 14 DS-GVO über die Verarbeitung
Ihrer Daten.
Identität des Verantwortlichen:
Muster Inkasso GmbH, Musterstr. 1, 11111 Musterhausen
Kontaktdaten des Datenschutzbeauftragten:
Sie erreichen den zuständigen Datenschutzbeauftragten unter:
Datenschutzbeauftragter der Muster Inkasso GmbH, Musterstr. 1, 11111 Musterhausen, oder [email protected].
Verarbeitungszwecke und Rechtsgrundlage:
Die Datenverarbeitung erfolgt zum Zweck der Vertragsabwicklung bzw. Rechtsverfolgung. Weiterer von uns verfolgter Zweck der Datenverarbeitung ist das Forderungsmanagement. Die Verarbeitung Ihrer Daten ist nach Art. 6 Abs. 1 Buchstabe b DS-GVO für die Erfüllung eines Vertrags mit … (Name des Mandanten)
erforderlich, da hierzu auch die Zahlungsverpflichtung gehört. Darüber hinaus
ist die Datenverarbeitung nach Art. 6 Abs. 1 Buchstabe f DS-GVO zur Wahrung
unserer berechtigten Interessen oder der eines Dritten erforderlich. Unsere berechtigten Interessen bestehen in Zusammenhang mit der Forderung gegen Sie.
Datenkategorien und Datenherkunft:
Wir verarbeiten nachfolgende Kategorien von Daten: Stammdaten, Kommunikationsdaten, Vertragsdaten, Forderungsdaten, ggf. Zahlungsinformationen.
Die Daten aus den genannten Datenkategorien wurden uns von … (Name des
Mandanten) übermittelt.
Empfänger:
Im Rahmen des Inkassoverfahrens werden wir Ihre Daten an unseren Auftraggeber … (Name des Mandanten) und ggf. folgende Kategorien von Empfängern
übermitteln, sofern dies zum Einzug der Forderung erforderlich ist: Abtretungsempfänger, Auskunfteien, Dienstleister, Drittschuldner, Einwohnermeldeämter,
Gerichte, Gerichtsvollzieher, Rechtsanwälte.
Dauer der Speicherung:
Nach Zahlung der ausstehenden Forderung oder Beendigung des Inkassoverfahrens prüfen wir nach Ablauf von drei Jahren, ob wir Ihre Daten noch benötigen
und einer Löschung gesetzliche Aufbewahrungspflichten entgegenstehen.
Rechte der betroffenen Person:
Ihnen stehen bei Vorliegen der gesetzlichen Voraussetzungen folgende Rechte
nach Art. 15 bis 22 DS-GVO zu: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, auf Datenübertragbarkeit.
Außerdem steht Ihnen nach Art. 14 Abs. 2 Buchstabe c in Verbindung mit Art. 21
DS-GVO ein Widerspruchsrecht gegen die Verarbeitung zu, die auf Art. 6 Abs. 1
Buchstabe f DS-GVO beruht.
Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DS-GVO das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die Anschrift der für unser Unternehmen
zuständigen Aufsichtsbehörde lautet: … (Name und Anschrift der zuständigen
Aufsichtsbehörde).
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
19
DATENSCHUTZ
4.3. || BETROFFENENRECHTE UND
WEITERE PFLICHTEN DER VERANTWORTLICHEN
DS-GVO-Regelungen:
Art. 15: Auskunftsrecht der betroffenen Person
Art. 16: Recht auf Berichtigung
Art. 17: Recht auf Löschung (»Recht auf Vergessenwerden«)
Art. 18: Recht auf Einschränkung der Verarbeitung
Art. 19: Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung
personenbezogener Daten oder der Einschränkung der Verarbeitung
Art. 20: Recht auf Datenübertragbarkeit
Art. 21: Widerspruchsrecht
Art. 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Art. 33 Abs. 1: Meldung von Verletzungen des Schutzes personenbezogener Daten
an die Aufsichtsbehörde
Art. 34: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener
Daten betroffenen Person
Umfangreiche Rechte von Betroffenen werden fester Bestandteil im Umgang mit
personenbezogenen Daten sein. Inkassodienstleister treffen damit umfassende
Pflichten, z. B. zur Auskunftserteilung, Berichtigung oder auch Löschung von Daten.
Der betroffenen Person stehen folgende Rechte zur Verfügung:
Auskunftsrecht: Die betroffene Person hat nach Art. 15 das Recht zu erfahren, ob und
welche personenbezogenen Daten im Inkassounternehmen verarbeitet werden, inkl.
des Rechts auf Information über Verarbeitungszwecke, Datenkategorien, Empfänger
(-kategorien), Speicherdauer, Recht der betroffenen Person auf Berichtigung, Löschung,
Einschränkung der Daten, Widerspruchsrecht, Beschwerderecht, Herkunft der Daten
und, sofern es stattfindet, das Bestehen einer automatisierten Entscheidungsfindung.
|13|
Recht auf Berichtigung und Recht auf Löschung: Auch aus dem Grundsatz nach
Art. 5 Abs. 1 Buchstabe d (»Richtigkeit«) ergibt sich: Verantwortliche müssen dafür sorgen, dass falsche Daten entweder berichtigt (Art. 16) oder gelöscht (Art. 17) werden.
Die Speicherung falscher Daten ist per se unzulässig.
Wird ein personenbezogenes Datum als unrichtig erkannt und weder berichtigt noch
gelöscht, kann das Inkassounternehmen deswegen ein Organisationsverschulden treffen. Deswegen sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.
Beispiel:
Erhält das Inkassounternehmen vom Schuldner eine neue Adresse, ist es verpflichtet,
seine bei ihm gespeicherten Daten über den Schuldner bezüglich der neu bekannt
gewordenen Daten zu aktualisieren.
Aus dem Grundsatz in Art. 5 Abs. 1 Buchstabe e (»Speicherbegrenzung«) ergibt sich,
dass das Inkassounternehmen jedes personenbezogene Datum zu einem bestimmten
Zeitpunkt löschen muss – nämlich dann, wenn die weitere Speicherung nicht mehr erforderlich ist.
Diese Erforderlichkeit muss für jede Art bzw. Kategorie personenbezogener Daten vom
Inkassounternehmen im Vorfeld festgelegt werden.
20
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
Ist die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen – wie bei der Erbringung von Inkassodienstleistungen – erforderlich,
muss dem Löschungsantrag der betroffenen Person übrigens nicht nachgekommen
werden.
Recht auf Einschränkung der Verarbeitung: Der Verantwortliche muss die Speicherung personenbezogener Daten besonders markieren, sofern deren künftige Verarbeitung eingeschränkt werden muss. Betroffene haben einen Rechtsanspruch auf
Einschränkung, wenn die Voraussetzungen des Art. 18 vorliegen.
Recht auf Datenübertragbarkeit: Die betroffene Person kann verlangen – wenn die
Verarbeitung z. B. auf Art. 6 Abs. 1 Buchstabe b beruht und zur Erfüllung eines Vertrages
erforderlich ist –, dass sie ihre personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format erhält. Zudem hat sie das Recht darauf, dass der Verantwortliche diese Daten einem
anderen Verantwortlichen übermittelt.
Ausgangspunkt der Vorschrift war, einer betroffenen Person einen leichteren Wechsel
zwischen den Anbietern von sozialen Netzwerken, E-Mail- und anderen Cloud-Diensten
zu ermöglichen.
Es wird daher erwartet, dass diese Regelung für das Inkassoverfahren gegen den
Schuldner von eher geringer Bedeutung ist, da dieser nur selten die personenbezogenen Daten dem Inkassounternehmen direkt bereitstellt. Der Inkassodienstleister erhält
die Daten meist vom Auftraggeber oder aus anderen Quellen.
Widerspruchsrecht: Die betroffene Person besitzt zwar ein Widerspruchsrecht gegen
die Datenverarbeitung. Das gilt aber nur, wenn Art. 6 Abs. 1 Buchstabe f als Rechtsgrundlage einschlägig ist – d. h. nur für einige Verarbeitungsprozesse. Dem Widerspruch muss nicht nachgekommen werden, wenn die Verarbeitung mit der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen begründet werden
kann. Widersprüche gegen Datenverarbeitungen des Inkassodienstleisters dürften
damit häufig ins Leere laufen.
Pflichten von Inkassodienstleistern als Verantwortliche:
Im Fall der Berichtigung, Löschung oder Einschränkung: Der Inkassodienstleister
hat eine Pflicht zur Mitteilung an alle Empfänger, denen er personenbezogene Daten
offengelegt hat, über jede Berichtigung, Löschung oder Einschränkung (außer, das ist
unmöglich oder bedeutet einen unverhältnismäßigen Aufwand). Zudem muss er der
betroffenen Person die Empfänger mitteilen (Art. 19).
Inkassodienstleister
müssen Benachrichtigungspflichten, z. B. im Fall einer
Datenpanne, beachten
und teilweise innerhalb
von 72 Stunden reagieren!
Im Verletzungsfall: Das Inkassounternehmen trifft zudem die Pflicht zur Benachrichtigung der betroffenen Person im Fall der Verletzung des Schutzes personenbezogener
Daten, sprich bei einer »Datenpanne« (Art. 34).
Meldung an die Aufsichtsbehörde: Schließlich ist der Inkassodienstleister bei einer solchen »Datenpanne« verpflichtet, die Aufsichtsbehörde |14| innerhalb von 72 Stunden (!)
zu benachrichtigen (Art. 33).
|13| Hier gelten gleichermaßen die Ausführungen zu den Informationen nach Art. 14 (bzw. Art. 13),
siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.2.1., Seite 16 ff.
|14| Siehe: 12 || Aufsicht über Unternehmen, Seite 36.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
21
DATENSCHUTZ
5 || UMFANGREICHE DOKUMENTATIONSPFLICHTEN
DS-GVO-Regelungen:
Art. 5 Abs. 2: »Rechenschaftspflicht«
Art. 30: Verzeichnis von Verarbeitungstätigkeiten
Die neuen Dokumentationspflichten lassen sich knapp zusammenfassen: Alles, was
mit personenbezogenen Daten zu tun hat, muss künftig auch dokumentiert werden.
Eine genaue und aktuelle
Dokumentation der
Datenverarbeitungen ist
das A und O
Eine Neuheit in der DS-GVO sind die Dokumentationspflichten, die ihre Grundlage in der
Rechenschaftspflicht in Art. 5 Abs. 2 haben. Jeder Verantwortliche, somit auch der Inkassodienstleister, muss die DS-GVO-Vorgaben und -Grundsätze einhalten und sie (stets auf aktuellem Stand) nachweisen können.
Eine neue Form von Dokumentation, die der Verantwortliche zu erstellen und ggf. auf
Anfrage der Aufsichtsbehörde vorzuweisen hat, ist das Verzeichnis von Verarbeitungstätigkeiten.
Unabhängig davon und darüber hinaus existieren nach der DS-GVO aber noch weitere
Dokumentationspflichten.
5.1. || EINZELNE DOKUMENTATIONSPFLICHTEN
Zusammenfassend kann gesagt werden: Es muss alles dokumentiert werden können, worüber eine betroffene Person informiert werden muss. Das sind vor allem die in Art. 13 bis
Art. 15 geforderten Informationen |15|.
Auf dieser Grundlage muss also vor allem Folgendes beschrieben und dokumentiert
werden:
Kategorien der betroffenen Personen
Zwecke, für die die Daten (weiter)verarbeitet werden
Rechtsgrundlage(n) für die Verarbeitung
berechtigte Interessen in Bezug auf die Datenverarbeitung,
Datenkategorien
Empfängerkategorien
Herkunft der personenbezogenen Daten
Zudem sollte unbedingt ein Sperr-/Berichtigungs-/Löschkonzept vorliegen, das auch
Fristen für die regelmäßige Überprüfung von Speicherfristen vorsieht.
Um ein angemessenes Schutzniveau gegenüber der Aufsichtsbehörde nachweisen zu
können, müssen zudem auch die technisch-organisatorischen Maßnahmen |16| genau beschrieben werden.
Empfehlung:
Gehen Sie nach
Workflows vor!
Inkassounternehmen sollten außerdem einen Workflow einführen, damit im Fall von »Datenpannen« schnell gegenüber der Aufsichtsbehörde |17| reagiert werden kann. Darüber hinaus
sind von der DS-GVO Dokumentationen vor allem in folgenden Bereichen vorgesehen:
Weisungen des Verantwortlichen: Alle Weisungen des Verantwortlichen sind zu dokumentieren. Dies betrifft Weisungen, die der Verantwortliche den ihm unterstellten
Personen gibt (Art. 29), dazu gehören z. B. Arbeitsanweisungen, ggf. auch Mitarbeiterschulungen in Bezug auf die DS-GVO. Ebenso betrifft dies die Weisungen, die eine Verarbeitung beim Auftragnehmer im Rahmen eines Auftragsverarbeitungsverhältnisses
(Art. 28) betreffen.
22
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
Dokumentation geeigneter Garantien bei Übermittlungen an ein Drittland: Sofern
personenbezogene Daten an ein Drittland übermittelt oder übergeben werden, in dem
kein gleichwertiges Datenschutzniveau wie das in der Europäischen Union oder gleichgestellten Ländern herrscht, sieht die DS-GVO eine entsprechende (erweiterte) Dokumentationspflicht vor (Art. 46 f.).
Meldepflicht bei Verletzung personenbezogener Daten: Art. 33 schreibt eine Meldung vor, die ein Verantwortlicher gegenüber der Aufsichtsbehörde bei Verletzung des
Schutzes personenbezogener Daten abgeben muss |18|. Darin enthalten ist auch eine
Dokumentationspflicht über die Verletzung selbst. Daher werden künftig auch Maßnahmen zu ergreifen sein, um »Datenpannen« auszuschließen.
Dokumentation einer Datenschutz-Folgenabschätzung: Sollten Inkassodienstleister
dazu verpflichtet sein, eine nach Art. 35 geforderte Datenschutz-Folgenabschätzung
durchzuführen, müssen sie eine dementsprechende Dokumentation vorweisen können.
5.2. || VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN
Das in Art. 30 beschriebene Verzeichnis über Verarbeitungstätigkeiten muss und kann erst
erstellt werden, wenn bereits eine entsprechende Dokumentation vorliegt – und ist damit
quasi das Ergebnis der Dokumentationen.
5.2.1. | Notwendigkeit der Erstellung eines Verzeichnisses
Ein Verzeichnis der Verarbeitungstätigkeiten ist bereits unter dem BDSG als »Verfahrensverzeichnis« bekannt und stellt eine der wichtigsten Dokumentationspflichten der DSGVO dar. Sie trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter |19|.
Auch wenn es Ausnahmen zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten
gibt, sind Inkassodienstleister weiterhin gut beraten, ein solches Verzeichnis zu führen.
5.2.2. | Form des Verzeichnisses
Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu erstellen, worunter natürlich
auch ein elektronisches Format fällt. Ziel sollte es sein, zu jedem Zeitpunkt ein aktuelles
Verzeichnis erstellen zu können (z. B. mittels technischer Datenbankauswertung, ExcelListe).
5.2.3. | Prüfung durch die Aufsichtsbehörde
Das Verzeichnis von Verarbeitungstätigkeiten ist nur von der Aufsichtsbehörde einsehbar
und muss ihr auf Anfrage zur Verfügung gestellt werden.
|15| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, Seite 13 ff.
|16| Siehe: 6 || Sicherer Umgang mit Daten durch technisch-organisatorische Maßnahmen (TOM), Seite 25.
|17| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.3., Seite 21;
12 || Aufsicht über Unternehmen, Seite 36.
|18| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.3., Seite 21.
|19| Siehe: 9 || Auftragsverarbeitung, 9.2.2., Seite 31.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
23
DATENSCHUTZ
5.2.4. | Inhalt des Verzeichnisses
Zu dokumentieren sind alle Verfahren, in denen direkt oder indirekt personenbezogene
Daten verarbeitet werden, die in den Zuständigkeitsbereich des verantwortlichen Inkassounternehmens fallen.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DS-GVO)
Wer führt das
Verzeichnis?
Verantwortlicher, d. h. der Inkassodienstleister
Wem wird es zur
Verfügung gestellt?
Aufsichtsbehörde
Welche Angaben
müssen enthalten
sein?
a | Name und Kontaktdaten des Verantwortlichen,
ggf. des gemeinsam mit ihm Verantwortlichen,
des Vertreters des Verantwortlichen
Name und Kontaktdaten eines etwaigen Datenschutzbeauftragten
b | die Zwecke der Verarbeitung
c | Beschreibung der Kategorien betroffener Personen
und der Kategorien personenbezogener Daten
d | die Kategorien von Empfängern,
einschließlich Empfänger in Drittländern
e | ggf. Übermittlungen an ein Drittland, bei Art. 49 Abs. I
UAbs. 2 Beschreibung geeigneter Garantien
f | wenn möglich, Fristen für die Löschung
der verschiedenen Datenkategorien
g | wenn möglich, eine allgemeine Beschreibung
der technisch-organisatorischen Maßnahmen
nach Art. 32 Abs. 1
24
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
6 || SICHERER UMGANG MIT DATEN DURCH TECHNISCHORGANISATORISCHE MAßNAHMEN (TOM)
DS-GVO-Regelungen:
Art. 24: Verantwortung des für die Verarbeitung Verantwortlichen
Art. 25: Datenschutz durch Technikgestaltung und
durch datenschutzrechtliche Voreinstellungen
Art. 32: Sicherheit der Verarbeitung
Der rechtmäßige Umgang mit personenbezogenen Daten hat natürlich auch Auswirkungen auf die technische Organisation von Inkassounternehmen – und muss,
wie schon unter dem BDSG, ausreichende Sicherheit bieten.
Das Prinzip der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 Buchstabe f, das eine angemessene Sicherheit der personenbezogenen Daten verlangt (auch aus Sicht der betroffenen Person, nicht nur aus Sicht des Verantwortlichen), wird insbesondere mit den Regelungen in Art. 24, Art. 25 und Art. 32 umgesetzt.
Die Regelungen fordern von Verantwortlichen geeignete technisch-organisatorische Maßnahmen (TOM) – auch durch Voreinstellungen (in der Software) –, die den Nachweis einer
DS-GVO-konformen Datenverarbeitung sicherstellen.
Tipp:
Wessen TOM bisher schon BDSG-konform sind, hat hier keinen neuen oder erweiterten Anpassungsbedarf. Allerdings muss das auch entsprechend dokumentiert werden. Inkassounternehmen müssen begründen und nachweisen können, weshalb ihre
TOM ausreichend bzw. angemessen sind. Sie müssen sich also auch über den Zugang,
den Zugriff und die Weitergabe von personenbezogenen Daten Gedanken machen.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
25
DATENSCHUTZ
7 || DATENSCHUTZ-FOLGENABSCHÄTZUNG
DS-GVO-Regelung:
Art. 35: Datenschutz-Folgenabschätzung
Ob Inkassodienstleister künftig eine besondere Risikoabschätzung in Bezug auf die
Rechte und Freiheiten natürlicher Personen vornehmen müssen, ist noch nicht abschließend geklärt.
Neu mit Art. 35 geregelt ist die sogenannte Datenschutz-Folgenabschätzung, die dann
(vorab) erfolgen muss, wenn Art, Umfang, Umstände oder die Zwecke der Verarbeitung
voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur
Folge haben.
Ob Inkassodienstleister eine solche Risikoabschätzung vornehmen müssen, steht derzeit
noch nicht fest, da der gemeinsame Vertreter der nationalen Aufsichtsbehörden eine Liste
der Verarbeitungstätigkeiten erstellen muss, für die eine Datenschutz-Folgenabschätzung
durchzuführen ist (Art. 57 Abs. 1 Buchstabe k).
Nach jetzigem Stand spricht nichts dafür, dass Inkassodienstleister im Rahmen des Forderungsmanagements und als Rechtsdienstleister zur Durchführung der DatenschutzFolgenabschätzung verpflichtet werden. Das muss aber noch final abgewartet werden.
26
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
8 || BETRIEBLICHER DATENSCHUTZBEAUFTRAGTER
DS-GVO-Regelungen:
Art. 37: Benennung eines Datenschutzbeauftragten
Art. 38: Stellung des Datenschutzbeauftragten
Art. 39: Aufgaben des Datenschutzbeauftragten
Zwar ist die Beschäftigung eines eigenen Datenschutzbeauftragten für Inkassodienstleister künftig nicht zwingend – es lohnt sich aber, einen Mitarbeiter des
Unternehmens oder einen externen Experten mit der Einhaltung und Kontrolle aller
Anforderungen aus der DS-GVO zu beauftragen.
8.1. || BESTELLUNGSPFLICHT
Gemäß Art. 37 Abs. 1 muss ein Inkassodienstleister einen Datenschutzbeauftragten bestellen, wenn die Kerntätigkeit (Hauptaktivität) des Unternehmens:
in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres
Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische
Überwachung von betroffenen Personen erforderlich machen oder
in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9
besteht.
Das bedeutet für Inkassounternehmen, dass ein Datenschutzbeauftragter nicht grundsätzlich bestellt werden muss, sondern es vielmehr auf ihre Kerntätigkeit (also nicht nur
auf eine etwaige Nebentätigkeit des Unternehmens) ankommt.
Natürlich kann jedes Unternehmen freiwillig einen Datenschutzbeauftragten bestellen.
Dies dürfte gegenüber der Behörde und Mandanten ohnehin positive Wirkung erzielen
und ist schon wegen der umfassenden Dokumentationspflichten (die Dokumentationen
müssen stets aktuell sein) sinnvoll für das Unternehmen selbst.
Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten bestellen.
Nach wie vor empfehlenswert ist es, bereits bei Unternehmen mit zehn Mitarbeitern einen
Datenschutzbeauftragten zu bestellen, denn: Wir gehen derzeit davon aus, dass die nationale Gesetzgebung, die die DS-GVO begleiten wird, die bisherige Regelung zum Datenschutzbeauftragten des BDSG aufgreifen wird.
Die Kontaktdaten des Datenschutzbeauftragten müssen zwar öffentlich gemacht werden –
eine konkrete Namensnennung ist aber nicht erforderlich. Anders sieht es gegenüber der
Aufsichtsbehörde aus: Hier muss der Datenschutzbeauftragte namentlich benannt
werden.
Bekanntmachung
der Kontaktdaten
erforderlich
8.2. || BESTELLUNGSFÄHIGKEIT
Der Datenschutzbeauftragte muss eine datenschutzrechtliche sowie eine datenschutzpraktische Qualifikation besitzen. Er kann interner Mitarbeiter (Bestellung im Rahmen des
Arbeits-/Beschäftigungsvertrags) oder eine externe Person (aufgrund eines Dienstleistungsvertrags) sein.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
27
DATENSCHUTZ
8.3. || AUFGABEN
Bei allen Fragen rund
um den Schutz personenbezogener Daten ist der
Datenschutzbeauftragte
einzubeziehen
Der Datenschutzbeauftragte ist frühzeitig in alle für den Schutz personenbezogener Daten
zusammenhängenden Fragen einzubinden. Ihm sind die erforderlichen Ressourcen zur
Verfügung zu stellen.
Er ist selbstverständlich zur Verschwiegenheit verpflichtet. Im Einzelnen hat er folgende
Aufgaben:
Kontrolle: Der Datenschutzbeauftragte überwacht die Einhaltung der DS-GVO (und
wirkt nicht nur auf deren Einhaltung hin) vor allem durch Kontrollen, die durch Dokumentationen nachzuweisen sind.
Unterrichtung und generelle Beratung: Der Datenschutzbeauftragte ist bezüglich
aller datenschutzrechtlichen Pflichten zuständig, d. h. für die Unterrichtung und Beratung des Unternehmens sowie der Beschäftigten, die Verarbeitungen vornehmen.
Überwachung: Zudem überwacht er die Einhaltung der DS-GVO, anderer Datenschutzvorschriften sowie der Strategien des Unternehmens in Bezug auf den Schutz
personenbezogener Daten. Das beinhaltet auch die Zuweisung von Zuständigkeiten,
die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen.
Beratung auf Anfrage: Außerdem gehört es zu seinen Aufgaben, eine Beratung auf
Anfrage im Zusammenhang mit der ggf. durchzuführenden Datenschutz-Folgenabschätzung |20| sowie die Überwachung ihrer Durchführung vorzunehmen.
Kontakt zur Aufsichtsbehörde: Dem Datenschutzbeauftragten obliegen die Zusammenarbeit und die vorherige Einbindung der Aufsichtsbehörde bei Verarbeitungen,
die nach der Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, sowie ggf. erforderliche Meldepflichten
gegenüber der Aufsichtsbehörde.
Die Nennung der Aufgaben des Datenschutzbeauftragten in Art. 39 ist nicht abschließend.
Das Führen eines Verzeichnisses von Verarbeitungsvorgängen liegt so z. B. auch nicht
im Verantwortungsbereich des Datenschutzbeauftragten, sondern in dem des Inkassounternehmens selbst. Sicherlich wird er aber daran mitwirken.
8.4. || STELLUNG DES DATENSCHUTZBEAUFTRAGTEN
IM UNTERNEHMEN
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene.
Er bleibt weisungsfrei und darf wegen seiner Aufgaben nicht benachteiligt werden.
28
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
9 || AUFTRAGSVERARBEITUNG
DS-GVO-Regelungen:
Art. 28: Auftragsverarbeiter
Art. 29: Verarbeitung unter der Aufsicht des Verantwortlichen oder
des Auftragsverarbeiters
Art. 30 Abs. 2: Verzeichnis von Verarbeitungstätigkeiten
Art. 33 Abs. 2: Meldung von Verletzungen des Schutzes personenbezogener Daten
an die Aufsichtsbehörde
9.1. || BEGRIFF
Unter Auftragsverarbeitung versteht die DS-GVO eine besondere Verarbeitungsform, bei
der dem Inkassounternehmen die Verantwortung für die Verarbeitung obliegt. Jedoch
findet die tatsächliche, physische Verarbeitung durch eine andere Stelle statt, den sogenannten Auftragsverarbeiter.
Während im BDSG die Verantwortung unabdinglich beim Verantwortlichen liegt, wird dies
nun in der DS-GVO aufgeteilt: So kann nun auch der Auftragsverarbeiter zur Rechenschaft
gezogen werden und sogar gemeinsam mit dem Verantwortlichen haften, wenn durch
eine rechtswidrige Datenverarbeitung ein Schaden entsteht.
Setzt ein Inkassounternehmen einen externen Dienstleister als Auftragsverarbeiter ein,
führt dieser typischerweise untergeordnete Tätigkeiten aus. Der Dienstleister ist an die
Weisungen des Inkassodienstleisters als Auftraggeber gebunden und weicht in der Regel
auch nur in sehr seltenen Ausnahmefällen davon ab. Derartige Auftragsverhältnisse zeichnen sich durch eine schnelle Austauschbarkeit des Dienstleisters aus, da die dort durchgeführten Verarbeitungsprozesse meist standardisiert sind.
Davon abzugrenzen sind die Unternehmen, die keinen Zugriff auf personenbezogene
Daten haben. Dies sind z. B. Reinigungskräfte, Post-/Kurierdienste.
9.2. || WESEN DER AUFTRAGSVERARBEITUNG
9.2.1. | Aufgaben und Pflichten des Auftragsverarbeiters
Die wesentlichen Pflichten zwischen Auftragsverarbeiter und Verantwortlichem bleiben
im Vergleich zu den Regelungen aus dem BDSG weitestgehend gleich. Bei der Beauftragung eines Auftragsverarbeiters ist ein eigenständiger Vertrag oder eine entsprechende
Vereinbarung als separate Anlage zu einem Vertrag zu schließen. Aus haftungsrechtlichen
Gründen ist es außerdem empfehlenswert, die Sicherheit der Datenverarbeitung des Auftragnehmers zu überprüfen – entweder durch Prüfung vor Ort oder durch andere, geeignete Nachweise des Auftragnehmers, z. B. Testate und Prüfberichte. Der Auftragsverarbeiter muss nach Art. 28 Abs. 1 geeignet sein.
Im Fall der Übermittlung an Drittländer empfiehlt sich eine gesonderte rechtliche Beratung.
Wir empfehlen, alle Verträge zu Auftragsverarbeitungen dahin gehend zu überprüfen, ob
die nachfolgenden Regelungen darin enthalten sind. Sofern das nicht der Fall ist oder es
noch keine wie in der DS-GVO vertragliche Regelung gibt, sind Verträge mit Auftragsverarbeitern zu ergänzen.
Besonderheit bei der Auftragsverarbeitung in einem
unsicheren Drittland
Überprüfung der
Auftragsverarbeitungsverträge erforderlich!
|20| Siehe: 7 || Datenschutz-Folgenabschätzung, Seite 26.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
29
DATENSCHUTZ
Beauftragung von Subunternehmern mit Vetorecht: Der Auftragsverarbeiter darf
ohne vorherige gesonderte oder allgemeine schriftliche Zustimmung des Verantwortlichen keinen weiteren Auftragsverarbeiter (Subunternehmer) einsetzen. Der Verantwortliche hat ein Vetorecht, wenn der Auftragnehmer so einen Weg einschlagen
möchte. Wir empfehlen, in dem Vertrag mit dem Auftragsverarbeiter den Prozess der
Beauftragung von Subunternehmern zu regeln.
Weisungsrecht des Verantwortlichen: Art. 28 Abs. 3 Buchstabe a und Art. 29 regeln
das Weisungsrecht des Verantwortlichen. Um der Dokumentationspflicht |21| nachzukommen, sind die Weisungen grundsätzlich schriftlich zu erteilen.
Vertraulichkeits-/Verschwiegenheitsverpflichtung im Auftragsverhältnis: Im Auftragsverhältnis muss eine Verpflichtung auf das Datengeheimnis enthalten sein und
mit Blick auf die Wahrung der Vertraulichkeit sowie die Verpflichtung zur Verschwiegenheit des Auftragsverarbeiters geschlossen werden.
Beschreibung aller technisch-organisatorischen Maßnahmen: Die technischorganisatorischen Maßnahmen |22| sind vertraglich festzuhalten und zu regeln.
Tipp:
Es empfiehlt sich, die technisch-organisatorischen Maßnahmen in einer Art Checkliste
zusammenzufassen und für alle Auftragsverarbeiter ein Ergebnisprotokoll zu verfassen, in dem die Prüfpunkte enthalten sind und das Prüfungsergebnis festgehalten
wird. Dieses Dokument sollte mit dem Auftragsverarbeiter abgestimmt werden und
dient beiden Seiten als Nachweis der ordnungsgemäßen Überprüfung dieser Maßnahmen.
Bearbeitung von Anträgen zur Wahrung der Betroffenenrechte: Der Verantwortliche muss die Erfüllung der Betroffenenrechte |23| vertraglich mit dem Auftragsverarbeiter regeln. Dazu sollte der Auftragsverarbeiter sämtliche Anträge zu Betroffenenrechten an den Inkassodienstleister als Verantwortlichen übermitteln, der die jeweils
betroffene Person bei der Beantwortung auf den Antrag beim Auftragsverarbeiter
hinweisen sollte.
Tipp:
Dokumentieren Sie alle Tätigkeiten rund um die Wahrung von Betroffenenrechten
beim Auftragsverarbeiter im Rahmen einer Arbeitsanweisung/Arbeitsrichtlinie. Es
sollten auch die Prozesse berücksichtigt werden, die durchgeführt werden, wenn ein
Betroffener statt beim Inkassounternehmen seine Rechte beim Auftragsverarbeiter
durchsetzen möchte, sodass das Inkassounternehmen in jedem Fall davon Kenntnis
hat, welche Betroffenen von ihrem Informationsrecht Gebrauch machen.
Beendigung des Auftragsverarbeitungsverhältnisses: Die Anforderungen an die
Beendigung des Auftragsverarbeitungsverhältnisses sind bereits im Vertrag zu regeln,
insbesondere in Bezug auf die Rückgabe der Daten oder den Nachweis der Löschung
der im Auftrag überlassenen Daten. Darüber hinaus ist sicherzustellen, dass die Löschung auch tatsächlich stattfindet.
Nachweis der Einhaltung der vertraglichen Pflichten und Recht der Überprüfung:
Der Auftragsverarbeiter hat den Nachweis über die Einhaltung der vertraglich vereinbarten Pflichten, z. B. bestimmter Prüfpflichten, nach Art. 28 Abs. 3 zu erbringen.
30
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
Inkassodienstleister sollten sich außerdem vertraglich ein eigenes Prüfrecht vor Ort
einräumen lassen und davon auch wirklich Gebrauch machen. Das Ergebnis der Prüfungen sollten Inkassounternehmen dringend dokumentieren.
Prüfung vor Ort beim
Auftragsverarbeiter
ist sinnvoll und sollte
dokumentiert werden!
Informationspflicht des Auftragsverarbeiters bei Datenschutzverletzungen: Wird
beim Auftragsverarbeiter oder dessen Vertragspartner eine Datenschutzverletzung,
d. h. eine »Datenpanne«, festgestellt, muss er den Inkassodienstleister davon sofort in
Kenntnis setzen, damit dieser rechtzeitig die Aufsichtsbehörde (Achtung: 72-StundenFrist nach Art. 33) und die betroffene(n) Person(en) informieren kann.
Tipp:
Das Inkassounternehmen sollte im Rahmen der Erstellung von Prozessmaßnahmen
gemeinsam mit dem Auftragsverarbeiter festlegen, mit welchem Kommunikationsmedium (z. B. Telefon, E-Mail) man welchen Ansprechpartner (aufseiten des Inkassounternehmens) zu informieren hat bzw. welche Eskalationswege es gibt, falls diese
festgelegten Prozesse nicht durchgeführt werden können. Dabei kann es für Notfälle
erforderlich sein, ggf. auch private Kommunikationsdaten (private E-Mail, private
Telefonnummer) der Beteiligten auszutauschen.
9.2.2. | Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters
Art. 30 enthält für die Mitwirkungspflichten des Auftragsverarbeiters am Erstellungs- und
Änderungsprozess des Verzeichnisses für Verarbeitungstätigkeiten eine Besonderheit.
Inhalt eines solchen Verzeichnisses des Auftragsverarbeiters nach Art. 30 Abs. 2 sind:
Name und Kontaktdaten des Auftragsverarbeiters; auch alle Daten der Verantwortlichen, auf deren Weisung der Auftragsverarbeiter personenbezogene Daten verarbeitet, ggf. deren Vertreter
Name und Kontaktdaten des etwaigen Datenschutzbeauftragten
die Kategorien von Verarbeitungen, die im Auftrag eines jeden Verantwortlichen geführt werden
ggf. die Übermittlungen von Daten in ein Drittland sowie
die technisch-organisatorischen Maßnahmen in allgemeiner Art und Weise
Tipp:
Das Inkassounternehmen sollte den Auftragsverarbeiter bei Erstellung des Verfahrensverzeichnisses unterstützen, indem es sein eigenes Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 als »Rahmendokument« zur Verfügung stellt. Hier kann
das Inkassounternehmen als Verantwortlicher auf das ausgegliederte Verfahren verweisen. Dieses kann dann als eigenständiges Dokument in das eigene Datenschutzmanagement (oder die eigene Dokumentation) hinzugenommen werden und als
Ergänzung zum eigenen Verfahren angesehen werden.
|21| Siehe: 5 || Umfangreiche Dokumentationspflichten, Seite 22 ff.
|22| Siehe: 6 || Sicherer Umgang mit Daten durch technisch-organisatorische Maßnahmen (TOM), Seite 25.
|23| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.3., Seite 20.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
31
DATENSCHUTZ
W A R
SCHAU
9.3. || TYPISCHE AUFTRAGSVERARBEITUNGSVERHÄLTNISSE
Wichtige Indizien, ob es sich um ein Auftragsverarbeitungsverhältnis handelt, sind die
strikte Weisungsbefugnis des Verantwortlichen und die Entscheidungsgewalt, zu welchen
Zwecken und mit welchen Mitteln die Daten eingesetzt werden, wann diese Daten zu
sperren bzw. zu löschen sind.
In der Regel wird mit folgenden Dienstleistern ein Auftragsverarbeitungsverhältnis vertraglich vereinbart:
Druck-/Kuvertierdienstleister
Externe Callcenter
Entsorgungsunternehmen
Archivierungsdienste/Posteingangsverarbeitungsdienstleister
Software-Hersteller/IT-Dienstleister für Fernwartungstätigkeiten
Rechenzentrumsbetrieb
Back-up-Dienstleister
Cloud-Dienstleister
32
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
10 || SANKTIONEN UND AUFSICHTSMAßNAHMEN
DS-GVO-Regelungen:
Art. 58: Befugnisse
Art. 83: Allgemeine Bedingungen für die Verhängung von Geldbußen
Art. 84: Sanktionen
Die neue DS-GVO regelt mit den Art. 58, 83 und 84 den Umgang mit Verstößen. Die
Geldbuße als eine der aufsichtsrechtlichen Maßnahmen soll in jedem Einzelfall abschreckend sein.
10.1. || RECHTLICHE VORSCHRIFTEN
Das Strafrecht wird weiterhin von den einzelnen EU-Mitgliedstaaten geregelt, d. h., jeder
Staat bestimmt seine Straftatbestände und daraus folgende Sanktionen selbst. Ordnungswidrigkeitenvorschriften hingegen ergeben sich zum einen direkt aus der DS-GVO und
finden sich in den Art. 83 und Art. 84. Daneben gelten aber auch noch einschlägige nationale Sanktionsvorschriften.
10.2. || GELDBUßE
10.2.1. | Sanktionshöhe
Bereits im Gesetzgebungsverfahren wurde verstärkt darauf hingewiesen, dass die Geldbuße nach Art. 83 Abs. 4, Abs. 5 bzw. Abs. 6 im Verletzungsfall verhältnismäßig ausfallen,
aber dennoch abschreckend, d. h. für das Unternehmen spürbar, sein soll. Art. 83 Abs. 1
gibt das nun genau so wieder.
Wie man im Folgenden sehen kann, können die Bußgelder tatsächlich schmerzhaft sein:
Je nachdem, gegen welche DS-GVO-Vorschrift verstoßen wurde, beträgt die maximale
Geldbuße entweder 10 bzw. 20 Millionen Euro oder 2 % bzw. 4 % des vom Unternehmen
weltweit erwirtschafteten Jahresumsatzes im vorherigen Geschäftsjahr. Dabei ist der jeweils höhere Wert von beiden Optionen ausschlaggebend. Für die Berechnung ist der
Konzernumsatz entscheidend.
Maximale Geldbuße kann
20 Millionen Euro bzw. 4 %
des vom Unternehmen
weltweit erwirtschafteten
Jahresumsatzes im
vorherigen Geschäftsjahr
betragen
10.2.2. | Kriterien für die Sanktionierung
Die konkrete Geldbuße wird anhand der in Art. 83 Abs. 2 Buchstaben a bis k festgelegten
Kriterien berechnet. Dazu gehören:
Art, Schwere und Dauer des Verstoßes
Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
getroffene Maßnahmen zur Minderung des entstandenen Schadens
Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter
Berücksichtigung der von ihnen getroffenen Maßnahmen
etwaige einschlägige frühere Verstöße
Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen
Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt bzw. mitgeteilt wurde
Einhaltung von Maßnahmen, die früher angeordnet wurden
Einhaltung von genehmigten Verhaltensregeln
andere erschwerende oder mildernde Umstände im jeweiligen Fall
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
33
DATENSCHUTZ
10.3. || WEITERE AUFSICHTSMAßNAHMEN UND SANKTIONEN
Zum einen kann eine Gewinnabschöpfung angeordnet werden, zum anderen eine
Anordnung zur Beendigung des Verstoßes in Form einer Rüge oder Anweisung erfolgen.
Schließlich kann ein zeitlich begrenztes oder unbegrenztes Datenverarbeitungsverbot
erlassen werden. Alle aufsichtsrechtlichen Maßnahmen sind in Art. 58 zu finden.
10.4. || DURCHSETZUNG DER SANKTIONEN UND
AUFSICHTSMAßNAHMEN
Verstöße können unterschiedlich aufgedeckt werden:
durch Überprüfung der zuständigen Aufsichtsbehörde, z. B. veranlasst durch die
betroffene Person
durch Beschwerde eines Mandanten bzw. Dritten bei der zuständigen Behörde
durch Selbstanzeige des Unternehmens
durch Journalismus
Das Durchsetzen von Sanktionen und Aufsichtsmaßnahmen ist Sache der Aufsichtsbehörden im entsprechenden EU-Mitgliedstaat. Bei internationalem Datenaustausch greifen
Art. 65 und Art. 60 bezüglich der federführenden Behördenregelung.
10.5. || VERSTOßPRÄVENTION DURCH
KONTROLLE UND DOKUMENTATION
Mit einer professionellen
Beratung und Überprüfung kann das Risiko
für Verstöße gegen die
DS-GVO gesenkt werden
34
Professionelle Beratung und regelmäßige Überprüfung der Einhaltung der DS-GVO helfen
bei der Vorbeugung von Verstößen. Dabei sollte dringend auf eine durchgehende und lückenlose Dokumentation von Datenquellen und -verarbeitungen geachtet werden, um
im Zweifelsfall Nachweise zur korrekten Bearbeitung liefern zu können.
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
11 || RECHTSBEHELFE VON BETROFFENEN PERSONEN
DS-GVO-Regelungen:
Art. 77: Recht auf Beschwerde bei einer Aufsichtsbehörde
Art. 78: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen
eine Aufsichtsbehörde
Art. 79: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen
Verantwortliche oder Auftragsverarbeiter
Art. 80: Vertretung von betroffenen Personen
Art. 82: Haftung und Recht auf Schadensersatz
Um gegen einen Verstoß gegen die DS-GVO vorgehen zu können, stehen betroffenen Personen verschiedene Rechte und Rechtsbehelfe zur Verfügung – sie sind in
den Art. 77 bis 82 geregelt.
11.1. || BESCHWERDERECHT BEI DER AUFSICHTSBEHÖRDE
Ist eine betroffene Person der Ansicht, es liege ein Verstoß gegen Regelungen der DS-GVO
vor, kann sie bei einer Aufsichtsbehörde Beschwerde einlegen. Die Behörde sollte entsprechende Beschwerdeformulare bereitstellen.
11.2. || SONSTIGE RECHTSBEHELFE
Betroffene können bei Verstößen gegen den Verantwortlichen der Datenverarbeitung,
gegen den Mandanten bzw. das Inkassounternehmen, oder aber gegen den Auftragsverarbeiter Klage einreichen. Mögliche Klageziele sind: Schadensersatz, Unterlassung, Auskunft, Berichtigung, Löschung und/oder Feststellung.
11.3. || MITTEL ZUR RECHTSDURCHSETZUNG
Rechtsbehelfe kann die betroffene Person grundsätzlich selbst einlegen. Sie kann aber
ebenso Einrichtungen, Organisationen oder Vereinigungen mit der Durchsetzung ihres
Anspruchs beauftragen. So können beispielsweise auch Verbraucherverbände die Rechte
der betroffenen Person durchsetzen. Abhängig von der im einzelnen Mitgliedstaat festgelegten Regelung sind sie auch befugt, Klage zu erheben oder eine Beschwerde einzulegen. Eingeklagt werden können materielle und immaterielle Schäden des Betroffenen.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
35
DATENSCHUTZ
12 || AUFSICHT ÜBER UNTERNEHMEN
DS-GVO-Regelungen:
Art. 51: Aufsichtsbehörde
Art. 55: Zuständigkeit
Art. 56: Zuständigkeit der federführenden Aufsichtsbehörde
Art. 57: Aufgaben
Art. 58: Befugnisse
Art. 60: Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und
den anderen betroffenen Aufsichtsbehörden
Art. 63: Kohärenzverfahren
Art. 68: Europäischer Datenschutzausschuss
Art. 70: Aufgaben des Ausschusses
Die DS-GVO regelt umfassend, welche Aufsichtsbehörden und in welchem Umfang
sie bei Verstößen zuständig sind. Für grenzüberschreitende Fälle, in denen die Beteiligten also aus unterschiedlichen (EU-)Staaten kommen, regelt die Verordnung
die Zusammenarbeit zwischen den verschiedenen nationalen Aufsichtsbehörden.
12.1. || NATIONALE DATENSCHUTZAUFSICHTSBEHÖRDEN
Die bereits bekannten nationalen Datenschutzaufsichtsbehörden einzelner Bundesländer
in Deutschland bleiben ebenso bestehen wie das Amt der bzw. des Bundesdatenschutzbeauftragten. Die nationalen Aufsichtsbehörden sind mit der Novelle der DS-GVO allerdings gehalten, auf eine einheitliche Anwendung der Verordnung zu achten. Damit sollen
regionale Unterschiede bei der Bewertung von datenschutzrechtlichen Fragestellungen
abgeschafft werden.
Für den einzelnen Inkassodienstleister ist die Aufsichtsbehörde der jeweiligen Hauptniederlassung zuständig. Für deutsche Inkassodienstleister ist weiterhin die deutsche Aufsicht
zuständig. Diese ist »federführend«. Geht eine Beschwerde bei einer anderen Aufsichtsbehörde ein – egal in welchem EU-Mitgliedstaat –, ist diese zwar auch zuständig, muss allerdings die »federführende« Aufsichtsbehörde einschalten.
Es wird erwartet, dass der nationale Gesetzgeber in Deutschland es weiterhin bei der Zuständigkeit der regionalen Aufsichtsbehörden belassen wird, sodass sich die bekannten
Ansprechpartner nicht ändern dürften.
In Art. 58 sind
alle Befugnisse der
Aufsichtsbehörden
zu finden
Die Befugnisse der Aufsichtsbehörden regelt Art. 58 DS-GVO: Sie sind berechtigt, Anweisungen, Hinweise, (Ver-)Warnungen zu erteilen, Verbote auszusprechen, Zertifizierungen
zu widerrufen etc. Außerdem sind sie im Fall eines Verstoßes gegen die DS-GVO berechtigt,
eine Geldbuße nach Art. 83 auszusprechen.
12.2. || EUROPÄISCHER DATENSCHUTZAUSSCHUSS
Über den nationalen Aufsichtsbehörden steht der Europäische Datenschutzausschuss (vormals »Art.-29-Gruppe«). In ihm sitzen pro EU-Mitgliedstaat ein Vertreter der nationalen Datenschutzaufsichtsbehörden sowie ein Vertreter des Europäischen Datenschutzbeauftragten.
Aufgabe des Ausschusses ist es, die einheitliche Anwendung der DS-GVO herzustellen.
Darüber hinaus berät er beispielsweise die EU-Kommission, stellt Empfehlungen, Leitlinien
und bewährte Verfahren bereit und fördert die Zusammenarbeit und den Austausch zwischen den einzelnen nationalen Aufsichtsbehörden.
36
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
13 || BEGRIFFE
DS-GVO-Regelung:
Art. 4: Begriffsbestimmungen
Die DS-GVO liefert einen umfangreichen Katalog an Begriffsdefinitionen.
Die Begriffsbestimmungen der DS-GVO befinden sich in Art. 4. Der Umfang des Definitionskatalogs übersteigt die derzeit geltenden Definitionen des BDSG deutlich. Die nachstehenden Begriffe sind besonders maßgeblich für die Inkassounternehmen.
Personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (= betroffene Person) beziehen. Explizit ist nun auch
die Online-Kennung (z. B. IP-Adressen oder Cookie-Kennung) erfasst. Auch pseudonymisierte Daten fallen unter die neue DS-GVO. Um personenbezogene Daten handelt
es sich immer dann, wenn eine Zuordnung möglich ist.
Beispiel:
Eine Telefonnummer ist allein gesehen noch kein personenbezogenes Datum, da nur
aufgrund der Nummer keine Identifikation möglich ist – sehr wohl aber unter Hinzunahme eines Telefonverzeichnisses, d. h. weiterer Daten. Mit diesen ist eine bestimmte
Person identifizierbar. Unter dem Begriff der Daten sind alle Daten lebender natürlicher Personen erfasst, d. h. auch solche über Einzelfirmen sowie Dritte jeder Art, z. B.
Betreuer, Rechtsanwälte, Arbeitgeber, Bevollmächtigte.
Verarbeitung – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang bzw. Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst nunmehr alle Vorgänge, d. h., es gibt keine Differenzierung mehr zwischen
Erhebung, Verarbeitung oder Nutzung.
Einschränkung der Verarbeitung – das Markieren von personenbezogenen Daten
mit dem Ziel der zukünftigen Einschränkung der Verarbeitung (»Sperre«).
Profiling – jede Art automatisierter Verarbeitung personenbezogener Daten, um eine
Verwendung persönlicher Aspekte, z. B. wirtschaftliche Lage, Aufenthaltsort oder Ortswechsel, zu analysieren oder vorherzusagen.
Pseudonymisierung – Verarbeitung personenbezogener Daten dergestalt, dass ohne
Hinzuziehung zusätzlicher Informationen die Daten nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Voraussetzung ist aber, dass diese gesondert aufbewahrt und somit geschützt sind.
Das Pseudonymisieren unterstützt den Verantwortlichen sowie den Auftragsverarbeiter
bei der Einhaltung ihrer Datenschutzpflichten. Die vorschriftsgemäße Pseudonymisierung ermöglicht das Nutzen von Daten innerhalb eines Unternehmens bzw. einer
Unternehmensgruppe. Es sind dann aber technisch-organisatorische Maßnahmen zu
ergreifen, die sicherstellen, dass keine Zuordnung / Identifizierung erfolgen kann.
Dateisystem – jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind; d. h. alle Inkassoprogramme, aber auch sonstige
strukturierte Datensammlungen, mit denen Auswertungen und Suchen durchgeführt
werden können.
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
37
DATENSCHUTZ
Verantwortlicher – natürliche oder juristische Personen, Behörden, Einrichtungen oder
andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheiden.
Auftragsverarbeiter – eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet.
Empfänger – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, der personenbezogene Daten offengelegt werden – egal ob es sich um einen
Dritten handelt oder nicht.
Dritter – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle. Ausgenommen sind damit die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters (z. B. Mitarbeiter) befugt sind, personenbezogene Daten zu verarbeiten.
Einwilligung – jede freiwillige für den bestimmten Fall unmissverständlich abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung (auch elektronisch oder mündlich) oder einer sonstigen eindeutigen Handlung (»konkludent«),
mit der sie bekundet, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Verletzung des Schutzes personenbezogener Daten – Verletzung der Sicherheit,
wenn es zur Vernichtung, zum Verlust oder zur unbefugten Offenlegung führt. Betrifft
alle personenbezogenen Daten.
Gesundheitsdaten – personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person (Achtung: nicht nur der betroffenen Person),
einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus
denen Informationen über deren Gesundheitszustand hervorgehen. Relevant für Inkassounternehmen, soweit eine Forderungsbearbeitung für Mandanten aus dem Bereich der Heilberufe erfolgt.
Unternehmensgruppe – eine Gruppe, die aus einem herrschenden und von diesen
abhängigen weiteren Unternehmen besteht.
Verbindliche interne Datenschutzvorschriften – Maßnahmen bei der Datenübermittlung zum Schutz personenbezogener Daten innerhalb einer Unternehmensgruppe
(ggf. auch mit Wirtschaftstätigkeit in Drittländern).
Aufsichtsbehörde – unabhängige, staatliche Stelle.
Betroffene Aufsichtsbehörde – entweder ist der Verantwortliche oder der Auftragsverarbeiter im Verantwortungsbereich dieser Aufsichtsbehörde niedergelassen oder
die Verarbeitung hat erhebliche Auswirkungen auf die betroffene Person mit Wohnsitz
in dem Verantwortungsbereich oder die betroffene Person hat eine Beschwerde bei
dieser Aufsichtsbehörde eingereicht.
Drittland – der Begriff ist in Art. 4 nicht konkret geregelt, wird aber in der DS-GVO verwendet. Darunter ist Folgendes zu verstehen:
Drittländer sind alle Staaten, die nicht der Europäischen Union angehören. Das ergibt
sich aus der Regelung des Art. 3 (»Räumlicher Anwendungsbereich«). Übermittlungen
personenbezogener Daten an Drittländer (Achtung: auch wenn Cloud-Dienste außerhalb der EU genutzt werden) dürfen demgemäß nur dann vorgenommen werden,
wenn die EU-Kommission einen entsprechenden Angemessenheitsbeschluss nach
Art. 45 getroffen hat.
38
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
14 || SYNOPSE: DS-GVO-ARTIKEL
UND ERWÄGUNGSGRÜNDE
Der Verordnungstext kann in allen 24 Sprachfassungen unter folgendem offiziellen
Link abgerufen werden:
http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1486463316887&uri=CELEX%
3A32016R0679
Neben den konkreten Regelungen (Artikel) finden sich dort einleitend auch die Erwägungsgründe für die DS-GVO.
Die Verordnung ist
auch über diesen
Short-Link abrufbar:
http://goo.gl/8MSy35
Unter Erwägungsgründen versteht man die Ziele der EU-Verordnung, die mit den jeweiligen Formulierungen der Artikel verfolgt wurden. Erwägungsgründe sind zwar keine
Rechtsnormen, es lohnt sich aber dennoch, einen Blick auf sie zu werfen – denn sie sind
sehr hilfreich für die Auslegung der Rechtsnormen.
Welche Erwägungsgründe den einzelnen Artikeln der DS-GVO zugrunde liegen, ist folgender Tabelle zu entnehmen:
Artikel
Artikelüberschrift
Erwägungsgründe
Art. 3
Räumlicher Anwendungsbereich
22 bis 25
Art. 4
Begriffsbestimmungen
26 bis 37
Art. 5
Grundsätze für die Verarbeitung
personenbezogener Daten
39
Art. 6
Rechtmäßigkeit der Verarbeitung
40, 41, 44 bis 50
Art. 9
Verarbeitung besonderer Kategorien
personenbezogener Daten
51 bis 56
Art. 12
Transparente Information, Kommunikation
und Modalitäten für die Ausübung der Rechte
der betroffenen Person
58, 59
Art. 13
Informationspflicht bei Erhebung
von personenbezogenen Daten
bei der betroffenen Person
60 bis 62
Art. 14
Informationspflicht, wenn die
personenbezogenen Daten nicht
bei der betroffenen Person erhoben wurden
60 bis 62
Art. 15
Auskunftsrecht der betroffenen Person
63, 64
Art. 16
Recht auf Berichtigung
65, 66
Art. 17
Recht auf Löschung (»Recht auf Vergessenwerden«)
65, 66
Art. 20
Recht auf Datenübertragbarkeit
68
Art. 21
Widerspruchsrecht
69, 70
Art. 22
Automatisierte Entscheidungen im Einzelfall
einschließlich Profiling
71, 72
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
39
DATENSCHUTZ
40
Artikel
Artikelüberschrift
Erwägungsgründe
Art. 24
Verantwortung des für die Verarbeitung
Verantwortlichen
74 bis 77
Art. 25
Datenschutz durch Technikgestaltung und
durch datenschutzfreundliche Voreinstellungen
78
Art. 28
Auftragsverarbeiter
81
Art. 30
Verzeichnis von Verarbeitungstätigkeiten
82
Art. 32
Sicherheit der Verarbeitung
83
Art. 33
Meldung von Verletzungen des Schutzes
personenbezogener Daten an die Aufsichtsbehörde
85 bis 88
Art. 34
Benachrichtigung der von einer
Verletzung des Schutzes personenbezogener Daten
betroffenen Person
85 bis 88
Art. 35
Datenschutz-Folgenabschätzung
84, 89 bis 93
Art. 37
Benennung eines Datenschutzbeauftragten
97
Art. 38
Stellung des Datenschutzbeauftragten
97
Art. 51
Aufsichtsbehörde
117 bis 119
Art. 57
Aufgaben
123, 132
Art. 58
Befugnisse
129
Art. 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
141
Art. 78
Recht auf wirksamen gerichtlichen Rechtsbehelf
gegen eine Aufsichtsbehörde
143
Art. 79
Recht auf wirksamen gerichtlichen Rechtsbehelf
gegen Verantwortliche oder Auftragsverarbeiter
145
Art. 80
Vertretung von betroffenen Personen
142
Art. 82
Haftung und Recht auf Schadenersatz
146, 147
Art. 83
Allgemeine Bedingungen für die Verhängung von
Geldbußen
148, 150, 151
Art. 84
Sanktionen
149, 152
BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V.
DATENSCHUTZ
R O M
IMPRESSUM
Die Europäische Datenschutz-Grundverordnung –
Best Practice Guide 1.0
Februar 2017
Herausgeber
Bundesverband Deutscher Inkasso-Unternehmen e. V.
Friedrichstraße 50--55 || 10117 Berlin
Telefon +49 30.206 07 36-0
[email protected] || www.inkasso.de
DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017
Verfasser
BDIU-Datenschutzausschuss: Thomas Schauf
(Ausschussvorsitzender), Thomas Bürck, Hans Janssen,
Ingeborg Kaven, Frank Meinert, Sylvia Mundt,
Thomas Stemmer, Ralf Witzgall; Verbandsbeauftragter
für den Datenschutz des BDIU: Prof. Dr. Ralf B. Abel;
BDIU-Geschäftsstelle: Daniela Gaub
Konzept + Gestaltung Nolte | Kommunikation
41

Die neue Datenschutz-Grundverordnung

BayLDA DS-GVO - Das Bayerische Landesamt für

- Das Bayerische Landesamt für Datenschutzaufsicht

Programm DS-GVO-Workshop

- Das Bayerische Landesamt für Datenschutzaufsicht

Achtung Gläubiger! Verjährung droht zum 31.12. - Assekuranz

- Datenschutz Audit

Überblick zu den neuen Compliance

Aktuelle Herausforderungen des Datenschutzes für Unternehmen

BayLDA DS-GVO - Das Bayerische Landesamt für