BDIU 2 017 Die Europäische Datenschutz-Grundverordnung Best Practice Guide 1.0 Leitfaden für den Bereich Forderungsmanagement www.inkasso.de DATENSCHUTZ INHALT VORWORT 3 1 || ÜBERBLICK 4 2 || FORDERUNGSMANAGEMENT DURCH INKASSODIENSTLEISTER 6 3 || GRUNDLAGEN DER DATENVERARBEITUNG 7 3.1. || Grundsätze im Überblick 7 3.2. || Rechenschaft mittels Dokumentation 8 3.3. || Die Grundprinzipien der DS-GVO im Überblick 8 3.4. || Rechtsgrundlagen für die Datenverarbeitung 9 3.4.1. | Einwilligung: Art. 6 Abs. 1 Buchstabe a, Art. 7 3.4.2. | Gesetzliche Erlaubnisnormen zur Datenverarbeitung: Art. 6 Abs. 1 Buchstaben b bis f 9 9 3.5. || Grundsatz der Zweckbindung 10 3.5.1. | Zweckangabe erforderlich 3.5.2. | Forderungsmanagement stellt Zweckänderung dar 10 10 3.6. || Sonderfälle 11 3.6.1. | Verarbeitung besonderer Kategorien personenbezogener Daten 3.6.2. | Verarbeitung personenbezogener Daten hinsichtlich strafrechtlicher Verurteilungen und Straftaten 3.6.3. | Workflow-Optimierung = Profiling? 11 4 || INFORMATIONSPFLICHTEN DER INKASSODIENSTLEISTER UND BETROFFENENRECHTE 12 12 13 4.1. || Die Basis: Informationspflichten und Betroffenenrechte nach DS-GVO im Vergleich zum BDSG 13 4.1.1. | Zeitpunkt und Frist 4.1.2. | Informationspflichten sind mit Formvorschriften verbunden 14 15 4.2. || Besondere Informationspflichten 16 4.2.1. | Informationspflichten bei Erhebung der Daten bei einer anderen als der betroffenen Person 4.2.2. | Zum Vergleich: Informationspflichten bei Direkterhebung 4.2.3. | Beispiel: Information nach Art. 14 DS-GVO 16 18 18 4.3. || Betroffenenrechte und weitere Pflichten der Verantwortlichen 20 5 || UMFANGREICHE DOKUMENTATIONSPFLICHTEN 22 5.1. || Einzelne Dokumentationspflichten 22 5.2. || Verzeichnis von Verarbeitungstätigkeiten 23 5.2.1. | Notwendigkeit der Erstellung eines Verzeichnisses 5.2.2. | Form des Verzeichnisses 5.2.3. | Prüfung durch die Aufsichtsbehörde 5.2.4. | Inhalt des Verzeichnisses 23 23 23 24 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 6 || SICHERER UMGANG MIT DATEN DURCH TECHNISCH-ORGANISATORISCHE MAßNAHMEN (TOM) 25 7 || DATENSCHUTZ-FOLGENABSCHÄTZUNG 26 8 || BETRIEBLICHER DATENSCHUTZBEAUFTRAGTER 27 8.1. || Bestellungspflicht 27 8.2. || Bestellungsfähigkeit 27 8.3. || Aufgaben 28 8.4. || Stellung des Datenschutzbeauftragten im Unternehmen 28 9 || AUFTRAGSVERARBEITUNG 29 9.1. || Begriff 29 9.2. || Wesen der Auftragsverarbeitung 29 9.2.1. | Aufgaben und Pflichten des Auftragsverarbeiters 9.2.2. | Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters 29 31 9.3. || Typische Auftragsverarbeitungsverhältnisse 32 10 || SANKTIONEN UND AUFSICHTSMAßNAHMEN 33 10.1. || Rechtliche Vorschriften 33 10.2. || Geldbuße 33 10.2.1. | Sanktionshöhe 10.2.2. | Kriterien für die Sanktionierung 33 33 10.3. || Weitere Aufsichtsmaßnahmen und Sanktionen 34 10.4. || Durchsetzung der Sanktionen und Aufsichtsmaßnahmen 34 10.5. || Verstoßprävention durch Kontrolle und Dokumentation 34 11 || RECHTSBEHELFE VON BETROFFENEN PERSONEN 35 11.1. || Beschwerderecht bei der Aufsichtsbehörde 35 11.2. || Sonstige Rechtsbehelfe 35 11.3. || Mittel zur Rechtsdurchsetzung 35 12 || AUFSICHT ÜBER UNTERNEHMEN 36 12.1. || Nationale Datenschutzaufsichtsbehörden 36 12.2. || Europäischer Datenschutzausschuss 36 13 || BEGRIFFE 37 14 || SYNOPSE: DS-GVO-ARTIKEL UND ERWÄGUNGSGRÜNDE 39 DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 DATENSCHUTZ BRÜS S E L 2 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ VORWORT LIEBE MITGLIEDER DES BDIU, LIEBE LESERINNEN, LIEBE LESER, die Datenschutz-Grundverordnung gehört zu den wichtigsten Gesetzesvorhaben der Europäischen Union der letzten Jahre. Mit dem Stichtag 25. Mai 2018 wird sie das Bundesdatenschutzgesetz ablösen und muss dann auch in Deutschland angewendet werden. Der BDIU und unser europäischer Dachverband, die FENCA, haben sich mit Macht in Brüssel dafür engagiert, dass die Verordnung die im Bereich der Inkassodienstleistungen so wichtigen Datenverarbeitungen auch künftig möglich macht. Das haben wir gemeinsam erreicht. Aber was bedeutet das für Inkassounternehmen nun im Detail? Wie wird sich die Datenschutz-Grundverordnung auf die vielen alltäglichen Prozesse im Forderungsmanagement konkret auswirken – und zwar europaweit, von Brüssel über Berlin und Warschau bis nach Rom? Dazu gibt es noch viele Fragen – dieser Leitfaden liefert erste Antworten, wie Datenflüsse und Datenverarbeitungen vor Ort künftig vonstattengehen werden. Mein Dank geht an die Mitglieder des BDIU-Ausschusses für Datenschutz, die diesen Best Practice Guide gemeinsam mit dem Verbandsbeauftragten für den Datenschutz und den Experten aus der BDIU-Geschäftsstelle erstellt haben. Sie, liebe Leserinnen, liebe Leser, finden hier konkrete Hinweise, wie Sie künftig personenbezogene Daten von Forderungsschuldnern verarbeiten können. Wohlgemerkt: Es handelt sich dabei um Handlungsempfehlungen, keine abschließenden Anweisungen. Der Guide soll Hilfsmittel sein, damit Sie schnell und unkompliziert die neuen Regeln anwenden können. Wie Sie sehen, trägt dieser Leitfaden den Zusatz »1.0«. Das heißt: Er ist »work in progress«. Denn noch sind (längst) nicht alle Fragen geklärt. Selbstverständlich wird Sie der BDIU bis zum Anwendungsbeginn der Datenschutz-Grundverordnung intensiv und kontinuierlich weiter informieren. Ihre Kirsten Pedd Präsidentin des BDIU Berlin, im Februar 2017 DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 3 DATENSCHUTZ 1 || ÜBERBLICK Die Datenschutz-Grundverordnung (DS-GVO) ist am 25. Mai 2016 in Kraft getreten und gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten – im Übrigen auch für Unternehmen mit Niederlassung außerhalb der EU, die personenbezogene Daten erheben und verarbeiten, um Personen innerhalb der EU Waren oder Dienstleistungen anzubieten. Die DS-GVO bringt erhöhte Anforderungen an den Datenschutz mit sich – und hat damit Folgen für alle Inkassodienstleister In Deutschland löst die DS-GVO das bis dahin geltende Bundesdatenschutzgesetz (BDSG) ab und ersetzt es vollständig. Auf nationaler Ebene gibt es dann neben der DS-GVO lediglich noch ein Anpassungs- bzw. Umsetzungsgesetz, das aber nur in Ergänzung gilt. Das Datenschutzniveau wird mit der DS-GVO nicht abgesenkt, sondern an einigen Stellen sogar weiter angehoben. Insbesondere bringt die DS-GVO neue Transparenz- und Dokumentationsanforderungen für Verantwortliche der Datenverarbeitung und Auftragsverarbeiter mit sich. Inkassodienstleister sind Verantwortliche im Sinne der DS-GVO – der BDIU zeigt deswegen mit diesem Best Practice Guide auf, welche Neuerungen sich daraus für die Branche ergeben und worauf die Unternehmen unbedingt zu achten haben. Aufsichtsbehörden kündigen mehr Kontrollen an – und erhalten mehr Eingriffsrechte Die Aufsichtsbehörden haben bereits jetzt angekündigt, die Einhaltung der Dokumentationspflichten verstärkt prüfen zu wollen – umso wichtiger ist es daher, sich schon jetzt mit den geplanten Neuerungen zu den Dokumentationserfordernissen zu befassen. Zumal die Eingriffsrechte der Aufsichtsbehörden und die Sanktionen, die gegen die Unternehmen verhängt werden können, wesentlich verschärft werden. Der Best Practice Guide beleuchtet die DS-GVO hauptsächlich mit Blick auf die Datenverarbeitung personenbezogener Daten von Forderungsschuldnern. Doch Vorsicht: Die Grundsätze zur Verarbeitung müssen auch bei anderen natürlichen Personen berücksichtigt werden, z. B. gegenüber Mitarbeitern! Die wichtigsten Begriffe der DS-GVO DS-GVO-Regelung: Art. 4: Begriffsbestimmungen Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Begriff ist jetzt umfassender als bisher und erfasst explizit z. B. auch die Online-Kennung (z. B. IP-Adressen oder Cookie-Kennung). Auch pseudonymisierte Daten fallen darunter: Das sind Daten, die eine eindeutige Zuordnung ermöglichen. Ein Beispiel: Eine Telefonnummer allein ermöglicht noch keine Zuweisung, die Hinzunahme eines Telefonverzeichnisses aber schon. Der Begriff umfasst alle Daten lebender natürlicher Personen, d. h. auch z. B. von Einzelfirmen und Dritte jeglicher Art wie: Betreuer, Rechtsanwälte, Arbeitgeber, Bevollmächtigte und Mitarbeiter im eigenen Unternehmen. Personenbezogene Daten von Verstorbenen unterliegen nicht der DS-GVO. Eine Speicherung solcher Daten ist damit zulässig. Achtung: Der Best Practice Guide legt den Fokus nur auf Verarbeitungen von Schuldnerdaten 4 Eine betroffene Person ist jede natürliche Person, mit der ein Verantwortlicher, also z. B. ein Inkassounternehmen, zu tun hat. Die meisten betroffenen Personen der Datenverarbeitungen von Inkassodienstleistern sind Schuldner offener Forderungen. Aber auch die Mandanten der Inkassounternehmen, sofern es sich um Einzelpersonen handelt, sind betroffene Personen, genauso wie z. B. die Mitarbeiter im Unternehmen. BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ B E R L I N Der Verarbeitungsbegriff umfasst jetzt alles. Es gibt keine Differenzierung mehr zwischen Erhebung, Verarbeitung oder Nutzung. Ein Verantwortlicher für die Verarbeitung ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Bereich des Forderungsmanagements trifft genau das auf Inkassodienstleister zu. Sie werden im Rahmen der Funktionsübertragung tätig und entscheiden über Zweck und Mittel der Verarbeitung. Sie sind damit Verantwortliche im Sinne der DS-GVO. Ein Auftragsverarbeiter ist hingegen eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die im Auftrag eines Verantwortlichen personenbezogene Daten der betroffenen Person verarbeitet. Unter der DS-GVO hat der Auftragsverarbeiter künftig umfangreichere Pflichten zu erfüllen als unter dem Regime des BDSG. |1| |1| Siehe: 9 || Auftragsverarbeitung, Seite 29 ff. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 5 DATENSCHUTZ 2 || FORDERUNGSMANAGEMENT DURCH INKASSODIENSTLEISTER Die DS-GVO findet Anwendung auf Inkassodienstleister – denn ohne personenbezogene Daten kann professionelles Forderungsmanagement nicht betrieben werden. Forderungsmanagement sichert die Liquidität von Unternehmen Die Ziele des Forderungsmanagements sind allgemein: Forderungsausfälle so gering wie möglich zu halten, die notwendige Liquidität der Wirtschaftsunternehmen zu erhalten und dabei den erstattungspflichtigen Schuldner so niedrig wie möglich mit weiteren Kosten zu belasten. Inkassodienstleister sind Rechtsdienstleister Der Schwerpunkt des Forderungsmanagements von Inkassodienstleistern liegt in der Erbringung von Inkassodienstleistungen. Für deutsche Inkassodienstleister ist das in § 2 Abs. 2 RDG geregelt. Demnach handelt es sich beim Forderungseinzug um eine Rechtsdienstleistung, die einer strengen gesetzlichen Regulierung unterliegt und nur von registrierten und besonders qualifizierten Personen erbracht werden darf. Vom Mahnverfahren bis zur Zwangsvollstreckung: Nur solide Daten ermöglichen professionelles Inkasso Die Tätigkeit von Inkassodienstleistern reicht vom vorgerichtlichen Inkasso über die Durchführung des gerichtlichen Mahnverfahrens bis zur Durchführung von Vollstreckungen im Zwangsvollstreckungsverfahren. Inkassodienstleister sind »Verantwortliche« im Sinne der DS-GVO Ähnlich wie im BDSG (dort im Rahmen der sogenannten Funktionsübertragung) werden Inkassounternehmen künftig als »Verantwortliche« im Sinne der DS-GVO definiert, da sie über die Zwecke und Mittel der Verarbeitung personenbezogener Daten selbstständig entscheiden (Art. 4 Nr. 7). Die Effektivität der Inkassodienstleistung hängt dabei entscheidend davon ab, dass die Dienstleister ein breites Spektrum an Services anbieten und durchführen können. Dazu gehören nicht nur Adressermittlungen, Bonitätsprüfungen und Außendiensteinsätze, sondern auch der Einsatz von analytisch-statistischen Verfahren, mit denen aus Erfahrungswerten der Vergangenheit zukünftige Risikoeinschätzungen für das Forderungsmanagement gewonnen werden. Dabei werden die Prozesse im Interesse der Schuldner und ihrer Gläubiger regelmäßig automatisch gesteuert. Eine Auftragsverarbeitung findet in Inkassounternehmen ebenso wenig statt wie unter dem Regime des BDSG. Eine mögliche Ausnahme: die Tätigkeit als Verwaltungshelfer für die öffentliche Hand, die in aller Regel weiterhin als Auftragsverarbeitung ausgestaltet werden dürfte. 6 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 3 || GRUNDLAGEN DER DATENVERARBEITUNG DS-GVO-Regelungen: Art. 4: Begriffsbestimmungen Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten Art. 6: Rechtmäßigkeit der Verarbeitung Art. 7: Bedingungen für die Einwilligung Art. 9: Verarbeitung besonderer Kategorien personenbezogener Daten Art. 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Die neue DS-GVO setzt strengere Maßstäbe an die Datenverarbeitung als das BDSG und bringt eine große Neuheit mit sich – es muss streng zwischen der Rechtsgrundlage der Datenverarbeitung und deren Zweck unterschieden werden. 3.1. || GRUNDSÄTZE IM ÜBERBLICK Das schon im bisherigen BDSG geltende Prinzip des Verbots mit Erlaubnisvorbehalt wird grundsätzlich auch in der DS-GVO beibehalten: Verbot mit Erlaubnisvorbehalt bleibt So gilt auch weiterhin, dass jede Verarbeitung |2| personenbezogener Daten |3| grundsätzlich verboten ist, wenn die betroffene Person nicht eingewilligt hat oder eine Rechtsvorschrift diese Verarbeitung nicht erlaubt. Eine Einwilligung in die Datenverarbeitung wird im Bereich der Inkassotätigkeit eher die Ausnahme bleiben, ist aber dennoch möglich. Einwilligung bei Inkassotätigkeit weiterhin selten Beispiel: Ein Schuldner erlaubt einem Inkassounternehmen die Verarbeitung seiner Daten ausdrücklich, z. B. im Rahmen der Abtretung einer (zahn)ärztlichen Honorarforderung und der damit zusammenhängenden Entbindung von der ärztlichen Schweigepflicht oder bei Forderungen von Kreditinstituten im Zusammenhang mit der Befreiung vom Bankgeheimnis. In seltenen Fällen kann es vorkommen, dass ein Kunde eines Mandanten bereits vorab per Vertrag der Verarbeitung seiner Daten generell zugestimmt hat. Wird dann bei Nichtzahlung einer Verbindlichkeit erst später ein Inkassodienstleister eingeschaltet, gilt seine Einwilligung in die Datenverarbeitung auch hier. Informationspflicht des Mandanten Den Mandanten, der das Inkassounternehmen beauftragt, trifft in diesem Zusammenhang dann aber die besondere Pflicht, den Inkassodienstleister über die vorherige Einwilligung zu informieren. Nur dann kann sich das Inkassounternehmen bei der Verarbeitung der Daten auch auf sie stützen. Dreh- und Angelpunkt der Datenverarbeitung im Bereich der Inkassodienstleistung wird Art. 6 Abs. 1 b bis f sein, hier sind die gesetzlichen Erlaubnisse geregelt. Dreh- und Angelpunkt: Gesetzliche Erlaubnisse Die Verarbeitung von Schuldnerdaten ist in der Regel »für die Erfüllung eines Vertrags« (Art. 6 Abs. 1 Buchstabe b) erforderlich – dazu gehört auch die Zahlungsverpflichtung des Schuldners. |2| Siehe: 1 || Überblick, Seite 5; 13 || Begriffe, Seite 37. |3| Siehe: 1 || Überblick, Seite 4; 13 || Begriffe, Seite 37. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 7 DATENSCHUTZ Ebenso ist die Verarbeitung von Schuldnerdaten gemäß Art. 6 Abs. 1 Buchstabe f »zur Wahrung der berechtigten Interessen des Verantwortlichen« (des Inkassounternehmens) »oder eines Dritten« (des Mandanten) erforderlich: Ohne die Verarbeitung von Schuldnerdaten ist ein professionelles Forderungsmanagement nicht möglich. Die gemäß der letztgenannten Bestimmung erforderliche Güterabwägung (»sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person … überwiegen«) wird hier grundsätzlich zugunsten der Gläubigerseite ausfallen, da bei einer berechtigten Forderung keine überwiegenden Interessen des Schuldners vorstellbar sind. Datenerhebung: so viel wie nötig, so wenig wie möglich Die DS-GVO sieht den besten Schutz für personenbezogene Daten in jenen, die gar nicht erst erhoben werden. Doch Inkassodienstleister können ohne Daten nicht agieren. So dürfen sie zwar grundsätzlich selbst festlegen, welche Daten sie erheben müssen, um den »Zweck der Datenverarbeitung« (Forderungsmanagement) erreichen zu können. Allerdings müssen sie als Verantwortliche im Sinne der DS-GVO auch begründen und nachweisen können, warum die einzelnen Daten(kategorien) erhoben (bzw. verarbeitet) werden müssen – nur so lassen sich im Übrigen auch die mit der Verarbeitung verbundenen Dokumentationsanforderungen einhalten. Grundsatz der Datenerhebung: Die Erhebung von Daten muss für den jeweiligen Zweck stets erforderlich und angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. 3.2. || RECHENSCHAFT MITTELS DOKUMENTATION Die Rechenschaftspflicht in Art. 5 Abs. 2 ist in dieser Art neu. Der Inkassodienstleister trägt die Beweislast dafür, dass er die gesetzlichen Vorgaben einhält. Alle Geschäftsprozesse und sogenannten technisch-organisatorischen Maßnahmen müssen daher dokumentiert werden. Verstöße sind gemäß Art. 83 bußgeldbewehrt. |4| Jedes Inkassounternehmen muss also bis spätestens Mai 2018, wenn die DS-GVO unmittelbar geltendes Recht sein wird, schriftliche Dokumentationen erstellen. Kontrollen angekündigt! Die nationalen Datenschutzaufsichtsbehörden haben bereits angekündigt, dass genau hier der Fokus ihrer Unternehmensüberprüfungen liegen wird. 3.3. || DIE GRUNDPRINZIPIEN DER DS-GVO IM ÜBERBLICK Inkassounternehmen müssen als Verantwortliche im Sinne der DS-GVO die Grundprinzipien mit Blick auf die Datenverarbeitungen einhalten und dies auch nachweisen können. Die Grundprinzipien lauten gemäß Art. 5 Abs. 1: Prinzip der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 Buchstabe a) Prinzip der Zweckbindung (Art. 5 Abs. 1 Buchstabe b) Prinzip der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) Prinzip der Richtigkeit (Art. 5 Abs. 1 Buchstabe d) Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 Buchstabe e) Prinzip der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchstabe f ) 8 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 3.4. || RECHTSGRUNDLAGEN FÜR DIE DATENVERARBEITUNG 3.4.1. | Einwilligung: Art. 6 Abs. 1 Buchstabe a, Art. 7 Die Einwilligung als Rechtsgrundlage für Datenverarbeitungen durch den Inkassodienstleister als Verantwortlichen bildet eher die Ausnahme. Relevanz erlangt sie aber beispielsweise im Bereich des Forderungsmanagements in Bezug auf privatärztliche Forderungen. Einwilligung bleibt die Ausnahme Hinweis: Hier gelten noch weitere Besonderheiten, die gesondert zu beachten sind, auf die hier aber nicht eingegangen werden soll. Wird eine erteilte Einwilligung als Rechtsgrundlage herangezogen, muss die betroffene Person auf ein ihr diesbezüglich jederzeit zustehendes Widerrufsrecht hingewiesen werden. |5| Einwilligung – mit Widerrufsrecht Dabei muss dieser Widerruf genauso einfach möglich sein wie die Erteilung der Einwilligung. Beispiel: Der entsprechende Hinweis könnte wie folgt aussehen: »Bitte beachten Sie, dass Sie Ihre nachfolgende Zustimmung jederzeit widerrufen können. Ihr Widerruf entfaltet rechtliche Wirkung nur für die Zukunft ab Widerruf. Ich erkläre mich damit einverstanden, dass meine personenbezogenen Daten … ( hier sollten diese Daten so genau und umfassend wie möglich beschrieben werden) zum Zwecke … ( hier sollte der entsprechende Zweck bzw. die Zwecke, sofern mehrere verfolgt werden, angegeben werden.) von … ( hier den Namen des Verantwortlichen und seine Anschrift angeben) verarbeitet werden.« 3.4.2. | Gesetzliche Erlaubnisnormen zur Datenverarbeitung: Art. 6 Abs. 1 Buchstaben b bis f Art. 6 Abs. 1 Buchstabe b ist Rechtsgrundlage für die Verarbeitungen personenbezogener Daten, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich sind. Immer wenn es um das Forderungsmanagement in Bezug auf durch Vertrag entstandene Forderungen geht, kommt diese Erlaubnisnorm zur Anwendung. Diese Rechtsgrundlage gilt unter den gleichen Voraussetzungen bereits für Datenverarbeitungen des Mandanten und wird vom Inkassodienstleister quasi »übernommen«. Art. 6 Abs. 1 Buchstabe c ist die Rechtsgrundlage für Verarbeitungen personenbezogener Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind (z. B. zur Einhaltung nationaler gesetzlicher Aufbewahrungsfristen. Im deutschen Recht ergeben sich die Aufbewahrungspflichten aus der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB) und dem Umsatzsteuergesetz (UStG)). Art. 6 Abs. 1 Buchstabe f ist die Rechtsgrundlage für Verarbeitungen personenbezogener Daten, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind (»Auffangerlaubnis«). |4| Siehe: 5 || Umfangreiche Dokumentationspflichten, Seite 22 ff. |5| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.1.2, Seite 17. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 9 DATENSCHUTZ Einmeldung bei Auskunfteien: Rechtsgrundlage für die Einmeldung forderungsbezogener Daten ist Art. 6 Abs. 1 Buchstabe f. Dabei ist das »berechtigte Interesse eines Dritten« gegeben, da es höchstrichterlich entschieden ist (BGH, NJW 2011, 2204, 2206), dass eine Auskunftei und »die Erteilung von Bonitätsauskünften für das Funktionieren der Wirtschaft von erheblicher Bedeutung sind«. Ggf. wird hier der nationale Gesetzgeber mit einer Sonderregelung tätig |6|. Generell gilt: Einschlägige Rechtsgrundlagen, die für Datenverarbeitungen des Mandanten gelten, entfalten auch Wirkung für die Datenverarbeitungen des Inkassodienstleisters. Daneben können weitere Regelungen nach Art. 6 Abs. 1 einschlägig sein. 3.5. || GRUNDSATZ DER ZWECKBINDUNG Zwecke der Datenverarbeitung müssen eindeutig und legitim sein Art. 5 Abs. 1 Buchstabe b regelt den Grundsatz der Zweckbindung: Schon vor der Datenerhebung muss feststehen bzw. muss der Inkassodienstleister festlegen, welche Daten seines Mandanten für welche Zwecke verarbeitet werden sollen. Jeder Zweck im Sinne der Verordnung muss eindeutig und legitim sein: Der Zweck der Verarbeitung von Daten durch den Inkassodienstleister muss entweder der ursprünglichen Absicht entsprechen, die mit bzw. vom Mandanten festgelegt worden ist, oder/und dieser darf nicht in Widerspruch zum ursprünglichen Zweck stehen und muss mit diesem nach Art. 6 Abs. 4 vereinbar sein. 3.5.1. | Zweckangabe erforderlich Inkassodienstleister verfolgen grundsätzlich den Zweck des Mandanten (»Vertragsabwicklung« bzw. »Rechtsverfolgung«) sowie den eigenen Zweck »Forderungsmanagement« Inkassodienstleister müssen (mindestens) einen Zweck angeben, so wie jeder andere Verantwortliche auch. Die Übergabe einer Forderung des Mandanten an den Inkassodienstleister ändert per se zwar nichts an der Rechtsgrundlage für die Datenverarbeitung – allerdings ändert sich deren Ziel: Denn Zweck der Datenverarbeitungen eines Inkassounternehmens ist grundsätzlich das »Forderungsmanagement« |7|. Das entspricht aber in der Regel nicht dem ursprünglichen Zweck des Mandanten, der mit der Verarbeitung seiner Kundendaten eher die »Vertragsabwicklung« bzw. die »Rechtsverfolgung« beabsichtigt. Zu diesem Zweck übermittelt der Mandant zwar die Daten an den Inkassodienstleister. Dieser verfolgt ab Erhebung der Daten aber zudem den eigenen Zweck »Forderungsmanagement«. Denn nur so kann das Inkassounternehmen dazu beitragen, Forderungsausfälle so gering wie möglich zu halten, die notwendige Liquidität der Wirtschaftsunternehmen zu erhalten und dabei den erstattungspflichtigen Schuldner so niedrig wie möglich mit weiteren Kosten zu belasten. 3.5.2. | Forderungsmanagement stellt Zweckänderung dar Verarbeitet das Inkassounternehmen personenbezogene Daten für das Forderungsmanagement, liegt also rein rechtlich eine Zweckänderung vor, die den Voraussetzungen des Art. 6 Abs. 4 bei Übergabe der Forderungen vom Mandanten an das Inkassounternehmen unterliegt |8|. 10 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ Diese Zweckänderung ist aber rechtlich nicht zu beanstanden, denn: Professionelles Forderungsmanagement durch einen Inkassodienstleister ist mit dem ursprünglichen Zweck des Mandanten (dort: »Vertragsabwicklung« bzw. »Rechtsverfolgung«) vereinbar im Sinne der gesetzlichen Vorgaben. Forderungsmanagement ist mit ursprünglichem Zweck vereinbar Das Forderungsmanagement erfasst eine Vielzahl von Tätigkeiten. Unter den Begriff fällt auch die Berücksichtigung von gesetzlichen Aufbewahrungspflichten, sodass erst mit deren (gänzlicher) Erfüllung der Zweck der Verarbeitung wegfällt. Aufbewahrungspflichten begrifflich mit umfasst Tipp: Der Zweck der Datenverarbeitung »Forderungsmanagement« sollte sich künftig entsprechend bei den Informationen an die betroffene Person gemäß Art. (13 bzw.) 14 sowie im Rahmen der Auskunftserteilung gemäß Art. 15 wiederfinden. Zweckangabe – so funktioniert es! (kompatibler) Zweck = Forderungsmanagement Zweck = Vertragsabwicklung/Rechtsverfolgung Beginn Rechtsverhältnis zwischen Mandant und Schuldner Übergabe der Forderung vom Mandanten ans IKU Erfüllung/ Zahlung der Forderung durch den Schuldner Ende der Aufbewahrungspflicht nach AO, HGB, UStG Das Inkassounternehmen muss in diesem Fall als Zweck »Vertragsabwicklung« (neben Rechtsgrundlage Art. 6 Abs. 1 Buchstabe b) bzw. »Rechtsverfolgung« (neben Rechtsgrundlage Art. 6 Abs. 1 Buchstabe b bzw. Buchstabe f) und »Forderungsmanagement« angeben (neben Rechtsgrundlage Art. 6 Abs. 1 Buchstabe f ). 3.6. || SONDERFÄLLE 3.6.1. | Verarbeitung besonderer Kategorien personenbezogener Daten Die Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten oder Daten zu religiöser Überzeugung) ist grundsätzlich untersagt (Art. 9 Abs. 1). Das Verbot der Verarbeitung gilt allerdings nicht, soweit Art. 9 Abs. 2 Buchstabe f herangezogen werden kann. Hiernach ist die Verarbeitung zur »Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen«, wozu auch der Forderungseinzug gehört, erlaubt, soweit die Verarbeitung erforderlich ist. Bei der Verarbeitung von Gesundheitsdaten und Co. beim Forderungseinzug gelten weiterhin Besonderheiten So wie beispielsweise bei der Bearbeitung von Forderungen aus dem Gesundheitsbereich: Hier erteilt der Patient (betroffene Person) häufig bislang schon zum Zeitpunkt der Behandlung eine Einwilligung zu Zwecken des »Forderungsmanagements«. Auch nach den neuen Vorschriften der DS-GVO kann sich der Inkassodienstleister nach wie vor auf diese Einwilligung stützen. |6| Das entspricht dem Sachstand zum Zeitpunkt der Drucklegung. |7| Siehe: 2 || Forderungsmanagement durch Inkassodienstleister, Seite 6. |8| Sollten darüber hinaus andere Zwecke verfolgt werden, müssen diese ebenfalls gemäß Art. 6 Abs. 4 vereinbar mit dem ursprünglichen Zweck sein. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 11 DATENSCHUTZ 3.6.2. | Verarbeitung personenbezogener Daten hinsichtlich strafrechtlicher Verurteilungen und Straftaten Geht man nur nach dem Wortlaut des Art. 10, verbietet die Vorschrift Inkassounternehmen (»darf nur unter behördlicher Aufsicht«), Daten hinsichtlich einer gegen einen Schuldner geltend gemachten Forderung zu verarbeiten, die im Zusammenhang mit einer etwaigen strafrechtlichen Verurteilung des Schuldners (z. B. wegen Betrugs) stehen. Sinn und Zweck der Regelung ist es aber, neben dem behördlichen Strafregister (Bundeszentralregister) kein »privates« Strafregister entstehen zu lassen. Jedoch scheint eine – rein erläuternde – Speicherung über die Strafverfolgung, sofern ein Schuldner im Zusammenhang mit der geltend gemachten Forderung strafrechtlich verurteilt wurde, nicht von diesem Verbot umfasst zu sein. Nach Erledigung der Forderung sollten solche Daten jedenfalls schon nach den Grundsätzen der Speicherbegrenzung gelöscht werden, soweit nicht besondere Gründe die weitere Speicherung erforderlich machen. 3.6.3. | Workflow-Optimierung = Profiling? Profiling ist nicht verboten – besondere Vorschriften sind aber zu beachten! Profiling, das in Art. 4 Nr. 4 definiert wird, ist grundsätzlich nicht verboten. Die Erlaubnisnorm für Profiling ergibt sich aus Art. 6 Abs. 1 Buchstabe f. Ob die dynamische Workflow-Optimierung, die einige Inkassodienstleister tätigen, überhaupt unter den Begriff »Profiling« fällt, sei hier dahingestellt. Zumindest aber werden im Rahmen dieser Workflow-Optimierung Analysen und die Anwendung von Ergebnissen für die Steuerung interner Abläufe im Inkassounternehmen genutzt, die im Rahmen des Forderungsmanagements erforderlich sind. Um erfolgreiche und kostengünstige Maßnahmen, insbesondere im Hinblick auf die Schadensminderungspflicht gegenüber dem Schuldner, vorzunehmen, werden Erkenntnisse der Workflow-Optimierung auch bei der Erfüllung von Inkassoaufträgen im Rahmen des Forderungsmanagements genutzt. Soweit die Workflow-Optimierung dem Profiling entspräche, besäße eine betroffene Person gemäß Art. 21 Abs. 1 hierzu grundsätzlich ein Widerspruchsrecht. Der Verantwortliche dürfte diesbezügliche Daten dann nicht mehr verarbeiten. Die Verordnung enthält hier aber eine eindeutige Einschränkung: Dient die Verarbeitung (konkret: das Profiling) nämlich der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, greift der Widerspruch nicht. Dies müsste der betroffenen Person aber mitgeteilt werden. Auch Art. 22 ist – da im Rahmen der Workflow-Optimierung in der Regel keine (im Sinne der Vorschrift die betroffene Person beeinträchtigenden) automatisierten Entscheidungen getroffen werden – grundsätzlich nicht inkassorelevant. 12 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 4 || INFORMATIONSPFLICHTEN DER INKASSODIENSTLEISTER UND BETROFFENENRECHTE DS-GVO-Regelungen: Abschnitt 1 (Art. 12): Transparenz und Modalitäten Abschnitt 2 (Art. 13 , Art. 14 und Art. 15): Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten Abschnitt 3 (Art. 16 bis Art. 20): Berichtigung und Löschung Abschnitt 4 (Art. 21 und Art. 22): Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall Inkassodienstleister müssen künftig umfassender informieren, wenn sie Daten verarbeiten. Dabei steht der Schutz der Betroffenen im Mittelpunkt. Verstöße gegen Transparenz- und Informationspflichten sind mit hohen Bußgeldern verbunden. Informationen sollen der Transparenz dienen Art. 5 Abs. 1 Buchstabe a enthält den Grundsatz, dass sich der Inkassodienstleister redlich verhalten muss und nicht nur seine eigenen Verarbeitungsinteressen im Blick haben darf. Er muss vor allem auch die Belange und Interessen der betroffenen Person berücksichtigen. In Bezug auf die Informationspflichten und Betroffenenrechte muss die betroffene Person jederzeit klar erkennen können, welche ihrer personenbezogenen Daten von wem für welche Zwecke verarbeitet werden. So ist die betroffene Person grundsätzlich vorab über die Datenerhebung nach Art. 13 bzw. 14 Abs. 1 und Abs. 2 DS-GVO zu informieren. Inkassodienstleister müssen aber auch zu einem späteren Zeitpunkt informieren, wenn der Betroffene es entsprechend seinen Rechten aus Art. 15 bis 22, Art. 34 erst später verlangt. 4.1. || DIE BASIS: INFORMATIONSPFLICHTEN UND BETROFFENENRECHTE NACH DS-GVO IM VERGLEICH ZUM BDSG Gemäß dem bis 24. Mai 2018 geltenden BDSG ist die verantwortliche Stelle verpflichtet, die betroffene Person über bestimmte tatsächliche und rechtliche Umstände zu informieren. Dem Betroffenen soll hierdurch ermöglicht werden, in Kenntnis aller relevanten Umstände eine selbstbestimmte Entscheidung über die Preisgabe seiner Daten zu treffen. Derzeit regelt § 33 BDSG die allgemeinen Informationspflichten bei der Speicherung von personenbezogenen Daten für eigene Zwecke ohne Kenntnis des Betroffenen im Sinne einer allgemeinen Erstinformation. § 34 BDSG behandelt in diesem Zusammenhang die sogenannte Selbstauskunft, die dem Betroffenen individuell erteilt wird. Achtung: Neue bußgeldbewehrte Informations-, Fristund Formvorschriften! Die DS-GVO sieht demgegenüber in Art. 13 und Art. 14 erweiterte, teilweise über die bisherigen Pflichten des BDSG erheblich hinausgehende Informationspflichten vor. Im Gegensatz zur bisherigen Rechtslage sind bei der Information der betroffenen Person zusätzlich Fristen und Formvorschriften zu beachten. Die detaillierten Informationen sind der betroffenen Person im Regelfall bei Erhebung der Daten bzw. unverzüglich danach zugänglich zu machen, egal ob die betroffene Person ein Interesse an diesen Informationen bekundet hat oder nicht. Unternehmen laufen Gefahr, Bußgelder in beachtlicher Höhe zu zahlen, wenn sie diesen komplexen Informations- und Auskunftspflichten nicht nachkommen. Neben dem Risiko eines Bußgeldes droht zudem die zivilrechtliche Verfolgung durch Verbraucherzentralen und Mitbewerber. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 13 DATENSCHUTZ 4.1.1. | Zeitpunkt und Frist Mit der DS-GVO werden erstmals konkrete Fristen für die Informationspflichten und die Bearbeitung der geltend gemachten Betroffenenrechte eingeführt. Informationspflichten schon bei erster Kommunikation Inkassounternehmen müssen als Verantwortliche gemäß Art. 13 ihre Informationspflichten – sofern die personenbezogenen Daten direkt bei der betroffenen Person erhoben werden – bereits mit Erhebung der Daten erfüllen. Werden die Informationen aus dritter Quelle gewonnen – z. B. durch Übermittlung der Daten seitens des Mandanten an den Inkassodienstleister –, muss das Inkassounternehmen seiner Informationspflicht nach Art. 14 nachkommen: unter Berücksichtigung der spezifischen Umstände der Verarbeitung der Daten innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats. Werden die Daten zur Kommunikation mit der betroffenen Person verwendet, entsteht die Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung. Werden Daten an einen anderen Empfänger weitergegeben, muss das Inkassounternehmen die betroffene Person darüber spätestens zum Zeitpunkt der Weitergabe in Kenntnis setzen. 25. Mai 2018: Stichtag für neue Informationspflichten Die neuen Informationspflichten gelten damit für neue Inkassoaufträge, mit denen Inkassodienstleister ab dem 25. Mai 2018 beauftragt werden – unabhängig davon, ob Forderungen vom Inkassounternehmen gekauft oder im Service für einen Mandanten geltend gemacht werden. Daraus folgt: Alle ersten Mitteilungen an einen Schuldner als betroffene Person, die ab dem 25. Mai 2018 erstellt werden, müssen die erforderlichen Informationen enthalten! Das gilt auch für Aufträge, die der Inkassodienstleister vor dem 25. Mai 2018 übernommen hat bzw. übernimmt, aber zu denen bis dahin noch keine erste Mitteilung (Hello Letter) erfolgt ist! Die neuen Informationspflichten gelten nicht für Inkassovorgänge, zu denen dem Schuldner tatsächlich vor dem 25. Mai 2018 eine (derzeit übliche) erste Mitteilung zugegangen ist! Betroffenenrechte: Antrag auf Auskunft erforderlich Während Inkassodienstleister nach Art. 13 bzw. 14 verpflichtet sind, betroffene Personen ohne ihr Zutun zu informieren, müssen betroffene Personen zur Geltendmachung ihrer Rechte nach Art. 15 bis 22, Art. 34 jeweils einen entsprechenden Antrag an das Inkassounternehmen stellen. Da für den Antrag keine bestimmte Form vorgeschrieben wird, sind Inkassounternehmen dazu verpflichtet, ihn in jedem Fall zu bearbeiten. Geht der Antrag auf Auskunft bzw. eine andere Maßnahme nach Art. 15 bis 22, Art. 34 ein, hat der Inkassodienstleister der betroffenen Person unverzüglich, jedenfalls aber innerhalb eines Monats ab Zugang des Antrags die Informationen zur Verfügung zu stellen. Die Monatsfrist kann in Ausnahmefällen um weitere zwei Monate verlängert werden – worüber die betroffene Person dann aber gesondert unterrichtet werden muss. Kann ein Inkassounternehmen die Auskunft bzw. eine andere beantragte Maßnahme nicht erteilen, so muss es der betroffenen Person – unter Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde bzw. einen Rechtsbehelf der betroffenen Person – begründen, warum es nicht tätig werden kann. 14 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 4.1.2. | Informationspflichten sind mit Formvorschriften verbunden Im Gegensatz zum BDSG sind die Informationspflichten hinsichtlich der Betroffenenrechte nun an Formvorschriften gebunden. Zum jetzigen Stand ist davon auszugehen, dass die Informationen (mit der ersten Aufforderung) und Auskünfte schriftlich oder in elektronischer Form zu erteilen sind. Um die Anforderungen des Auskunftsrechts in Art. 15 zu erfüllen, muss der Verantwortliche nach Möglichkeit »den Fernzugang zu einem sicheren System« bereitstellen. Er soll »der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen«. Gelöst werden könnte die Anforderung z. B. durch das Einrichten eines geschützten Bereichs auf der jeweiligen Unternehmenswebseite, zu der die betroffene Person – nach hinreichender, eindeutiger Identifizierung – Zugang erhält. Informationen und Mitteilungen an betroffene Personen können nach der DS-GVO zwar grundsätzlich mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wird. Um dem Grundsatz der Transparenz und seinen eigenen Dokumentationspflichten aber nachzukommen sowie der betroffenen Person nachhaltig eine Informationsübersicht an die Hand zu geben, empfiehlt es sich dringend, die Informationen und Auskünfte nicht am Telefon zu erteilen. Schriftliche Auskunft an Betroffenen ist besser als mündliche! Beispiel: Gelingt es dem Inkassounternehmen aufgrund einer fehlerhaften Adresse nicht, dem Schuldner eine Zahlungsaufforderung per Post zuzusenden, ruft es – sofern eine Telefonnummer bekannt ist – in der Regel den Schuldner an, um nach der aktuellen Anschrift zu fragen. In diesem Telefonat müsste eigentlich nach Art. 13 Abs. 1 und Abs. 2 der Schuldner als betroffene Person informiert werden, da damit direkt personenbezogene Daten bei der betroffenen Person erhoben werden. Aufgrund der Tatsache, dass es sich um wichtige Informationen für den Schuldner handelt, die er ggf. im weiteren Verlauf benötigt, um seine Rechte geltend machen und auf entsprechende Kontaktdaten, z. B. des Datenschutzbeauftragten des Inkassounternehmens, zugreifen zu können, wird empfohlen, den Schuldner im Telefonat darüber zu informieren, dass ihm unverzüglich nach dem Telefonat die Informationen nach Art. 13 zugesendet werden. Egal ob es sich um Informationen nach Art. 13 bzw. Art. 14 oder um Auskünfte oder Mitteilungen nach Art. 15 bis 22, Art. 34 handelt: Es ist stets auf leicht zu verstehende, aber präzise Formulierungen zu achten. Präzise Formulierungen – vor allem auch gegenüber Kindern! Kinder finden besondere Berücksichtigung in der DS-GVO: So müssen Informationen an Kinder noch präziser, transparenter, verständlicher sowie klar und einfach formuliert werden. Die Informationen nach Art. 13 bzw. Art. 14 sowie die Mitteilungen und Maßnahmen nach Art. 15 bis 22 und Art. 34 haben zudem unentgeltlich zu erfolgen – es sei denn, eine betroffene Person macht exzessiv Gebrauch von ihren Rechten oder der Antrag ist offenkundig unbegründet. Den exzessiven Gebrauch bzw. die offenkundige Unbegründetheit muss der Inkassodienstleister als Verantwortlicher aber nachweisen können. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 Regelfall: Informationen und Auskünfte sind kostenlos für Betroffene 15 DATENSCHUTZ 4.2. || BESONDERE INFORMATIONSPFLICHTEN DS-GVO-Regelungen: Art. 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Art. 14: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden In Zeiten moderner Datenverarbeitungssysteme hat jeder Einzelne ein Recht darauf zu erfahren, wer wann welche Daten über ihn erhebt, nutzt oder sonst wie verarbeitet. Zur Wahrung der informationellen Selbstbestimmung enthält die DS-GVO daher besondere Informationspflichten, die (auch) Inkassounternehmen einhalten müssen. Die Verordnung unterscheidet dabei zwischen der Erhebung der Daten bei der betroffenen Person (Art. 13) und der Erhebung aus anderen Quellen (Art. 14). 4.2.1. | Informationspflichten bei Erhebung der Daten bei einer anderen als der betroffenen Person Alle Informationen, die dem Schuldner gegeben werden müssen, wenn das Inkassounternehmen direkt von ihm Daten erhält, sind in Art. 14 zu finden Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, muss der Verantwortliche (Inkassounternehmen) nach Art. 14 Abs. 1 und Abs. 2 folgende Informationen mitteilen: Identität des Verantwortlichen: Der Verantwortliche muss seinen Namen und seine Kontaktdaten angeben. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen nach Art. 27, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist. Kontaktdaten des Datenschutzbeauftragten: Neu ist die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten |9| des Verantwortlichen. Der Name des Datenschutzbeauftragten muss allerdings nicht mitgeteilt werden. Verarbeitungszwecke und Rechtsgrundlage: Der Verantwortliche muss auch über die Zwecke der Datenverarbeitung |10| sowie die Rechtsgrundlage |11| informieren. Er muss dem Betroffenen damit den konkret einschlägigen Erlaubnistatbestand (siehe Art. 6 Abs. 1, z. B. Buchstabe b: zur Erfüllung eines Vertrages) mitteilen, auf den er seine Datenverarbeitung stützen möchte. Kategorien personenbezogener Daten: Der betroffenen Person sind die Datenkategorien mitzuteilen. Das heißt, auch Inkassounternehmen müssen entsprechende Kategorien für die zu verarbeitenden personenbezogenen Daten entwickeln. Das können z. B. sein: Kommunikationsdaten (z. B. Name, Anschrift, Telefonnummern, E-Mail-Adressen) Vertragsdaten (z. B. Art des Vertrags, Vertragsnummer, Datum des Vertragsabschlusses) Forderungsdaten (z. B. Fälligkeit der Forderungen, Forderungshöhe) ggf. Zahlungsinformationen (z. B. Kontoverbindungsdaten) Empfänger: Betroffene Personen sind grundsätzlich in allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, über die Identität der Empfänger zu informieren. Es genügt zur Information aber bereits die Angabe über Kategorien von Empfängern. Übermittlung an Drittländer: Eine rechtliche Beratung wird empfohlen! Beabsichtigt der Verantwortliche eine Übermittlung personenbezogener Daten an Drittländer |12| (Achtung z. B. bei Serverstandorten in den USA und Cloud-Lösungen) bzw. eine Abgabe von Forderungen an ausländische Unternehmen in Drittländern, muss er darüber ebenfalls informieren. Der Inkassodienstleister muss dann zusätzlich mitteilen, auf welcher besonderen Bedingung nach Art. 44 ff. die Übermittlung beruht und welche Maß- 16 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ nahmen ergriffen werden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Im Fall der Übermittlung an Drittländer empfiehlt sich aber in jedem Fall eine gesonderte rechtliche Beratung! Nach Art. 14 Abs. 2 muss der Verantwortliche dem Betroffenen außerdem weitere Informationen mitteilen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Informationen zur Wahrung von Fairness und Transparenz Das sind im Detail: Dauer der Speicherung: Inkassodienstleister müssen möglichst konkret angeben, für wie lange personenbezogene Daten gespeichert werden. Wenn das nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus. Auch wenn die Speicherung grundsätzlich an den Zweck gebunden ist, muss der Verantwortliche Fristen vorsehen, innerhalb derer er die Löschung der Daten vornimmt bzw. zumindest die Notwendigkeit der Speicherung überprüft. Es wird empfohlen, nach Ablauf von drei Jahren nach Zahlung oder Beendigung jedes Inkassoverfahrens zu prüfen, ob die Daten noch benötigt werden. Berechtigtes Interesse: Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f erforderlich sein, muss das Inkassounternehmen seine konkreten Interessen bzw. die des Mandanten (als »Dritten«) mitteilen. Rechte der betroffenen Person: Betroffene sind über ihre Rechte gemäß Art. 15 bis 22 zu informieren: ihr Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie auf Datenübertragbarkeit. Achtung: Zur Erfüllung der Informationspflichten muss die betroffene Person (auch) über ihr Widerspruchsrecht informiert werden. Hier ist darauf zu achten, dass dies »getrennt« von den Informationen über die anderen in Art. 14 Abs. 2 Buchstaben c bis e (bzw. Art. 13 Abs. 2 Buchstaben b bis d) aufgeführten Rechte erfolgt, d. h. beispielsweise in einem separaten Absatz. Widerrufbarkeit von Einwilligungen (hier nur zur Vollständigkeit – für Inkassodienstleister meistens nicht relevant): Basiert eine Verarbeitung auf der Einwilligung der betroffenen Person, ist auf deren Widerrufbarkeit gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt. Beschwerderecht bei der Aufsichtsbehörde: Die betroffene Person ist darüber aufzuklären, dass sie sich gemäß Art. 77 bei einer Aufsichtsbehörde beschweren kann, sofern sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten rechtswidrig erfolgt. Zur Mitteilung gehört auch die Angabe der regionalen bzw. für die Hauptniederlassung des Verantwortlichen zuständigen Aufsichtsbehörde. |9| Siehe: 8 || Betrieblicher Datenschutzbeauftragter, Seite 27 ff. |10| Siehe: 3 || Grundlagen der Datenverarbeitung, 3.5., Seite 10. |11| Siehe: 3 || Grundlagen der Datenverarbeitung, 3.4., Seite 9. |12| Drittländer sind Staaten außerhalb der Europäischen Union, vgl. Art. 3 DS-GVO (»Räumlicher Anwendungsbereich«). DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 17 DATENSCHUTZ Quelle der personenbezogenen Daten: Der Verantwortliche muss die betroffene Person über die Quelle informieren, aus der die personenbezogenen Daten stammen, und ggf. ob sie aus öffentlich zugänglichen Quellen stammen. Inkassodienstleister werden also (hauptsächlich) den Mandanten als Quelle angeben müssen. Automatisierte Entscheidungsfindung – Profiling (nur zur Vollständigkeit – für Inkassodienstleister meistens nicht relevant): Über die Segmentierung bzw. Optimierung der Inkassoworkflows muss grundsätzlich nicht informiert werden. Trifft der Verantwortliche allerdings automatisierte Entscheidungen nach Art. 22, muss er die betroffene Person über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informieren. Die Informationspflicht erstreckt sich auch auf Angaben über die dazu verwendete Logik, die Tragweite und die angestrebten Auswirkungen. 4.2.2. | Zum Vergleich: Informationspflichten bei Direkterhebung Alle Informationen, die dem Schuldner gegeben werden müssen, wenn das Inkassounternehmen direkt von ihm Daten erhält, sind in Art. 13 zu finden Werden personenbezogene Daten hingegen nach Art. 13 direkt bei der betroffenen Person erhoben, bestehen für den Verantwortlichen zwar nahezu dieselben Informationspflichten wie bei der Erhebung über einen Dritten nach Art. 14. Der Verantwortliche muss aber im Fall der Direkterhebung weder zusätzlich über Kategorien personenbezogener Daten, die verarbeitet werden, informieren noch darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen oder ob es sich dabei um eine öffentlich zugängliche Quelle handelt. Jedoch muss er die betroffene Person darüber informieren, ob die Verarbeitung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte. 4.2.3. | Beispiel: Information nach Art. 14 DS-GVO Wie Inkassounternehmen Schuldner im Fall der Datenerhebung bei einem Dritten (z. B. dem Mandanten) künftig DS-GVO-konform informieren können, zeigt folgendes Beispiel. Hierbei handelt es sich um eine Information gemäß Art. 14 Abs. 1 und Abs. 2 an einen Schuldner einer vertraglich entstandenen Forderung. 18 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ Informationen gemäß Art. 14 Datenschutz-Grundverordnung (DS-GVO) Sehr geehrte Frau Muster, Beispiel: Informationen zur Datenverarbeitung mit der ersten Mitteilung an den Schuldner wir informieren Sie nachstehend gemäß Art. 14 DS-GVO über die Verarbeitung Ihrer Daten. Identität des Verantwortlichen: Muster Inkasso GmbH, Musterstr. 1, 11111 Musterhausen Kontaktdaten des Datenschutzbeauftragten: Sie erreichen den zuständigen Datenschutzbeauftragten unter: Datenschutzbeauftragter der Muster Inkasso GmbH, Musterstr. 1, 11111 Musterhausen, oder [email protected]. Verarbeitungszwecke und Rechtsgrundlage: Die Datenverarbeitung erfolgt zum Zweck der Vertragsabwicklung bzw. Rechtsverfolgung. Weiterer von uns verfolgter Zweck der Datenverarbeitung ist das Forderungsmanagement. Die Verarbeitung Ihrer Daten ist nach Art. 6 Abs. 1 Buchstabe b DS-GVO für die Erfüllung eines Vertrags mit … (Name des Mandanten) erforderlich, da hierzu auch die Zahlungsverpflichtung gehört. Darüber hinaus ist die Datenverarbeitung nach Art. 6 Abs. 1 Buchstabe f DS-GVO zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich. Unsere berechtigten Interessen bestehen in Zusammenhang mit der Forderung gegen Sie. Datenkategorien und Datenherkunft: Wir verarbeiten nachfolgende Kategorien von Daten: Stammdaten, Kommunikationsdaten, Vertragsdaten, Forderungsdaten, ggf. Zahlungsinformationen. Die Daten aus den genannten Datenkategorien wurden uns von … (Name des Mandanten) übermittelt. Empfänger: Im Rahmen des Inkassoverfahrens werden wir Ihre Daten an unseren Auftraggeber … (Name des Mandanten) und ggf. folgende Kategorien von Empfängern übermitteln, sofern dies zum Einzug der Forderung erforderlich ist: Abtretungsempfänger, Auskunfteien, Dienstleister, Drittschuldner, Einwohnermeldeämter, Gerichte, Gerichtsvollzieher, Rechtsanwälte. Dauer der Speicherung: Nach Zahlung der ausstehenden Forderung oder Beendigung des Inkassoverfahrens prüfen wir nach Ablauf von drei Jahren, ob wir Ihre Daten noch benötigen und einer Löschung gesetzliche Aufbewahrungspflichten entgegenstehen. Rechte der betroffenen Person: Ihnen stehen bei Vorliegen der gesetzlichen Voraussetzungen folgende Rechte nach Art. 15 bis 22 DS-GVO zu: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, auf Datenübertragbarkeit. Außerdem steht Ihnen nach Art. 14 Abs. 2 Buchstabe c in Verbindung mit Art. 21 DS-GVO ein Widerspruchsrecht gegen die Verarbeitung zu, die auf Art. 6 Abs. 1 Buchstabe f DS-GVO beruht. Beschwerderecht bei der Aufsichtsbehörde Sie haben gemäß Art. 77 DS-GVO das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die Anschrift der für unser Unternehmen zuständigen Aufsichtsbehörde lautet: … (Name und Anschrift der zuständigen Aufsichtsbehörde). DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 19 DATENSCHUTZ 4.3. || BETROFFENENRECHTE UND WEITERE PFLICHTEN DER VERANTWORTLICHEN DS-GVO-Regelungen: Art. 15: Auskunftsrecht der betroffenen Person Art. 16: Recht auf Berichtigung Art. 17: Recht auf Löschung (»Recht auf Vergessenwerden«) Art. 18: Recht auf Einschränkung der Verarbeitung Art. 19: Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Art. 20: Recht auf Datenübertragbarkeit Art. 21: Widerspruchsrecht Art. 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling Art. 33 Abs. 1: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde Art. 34: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Umfangreiche Rechte von Betroffenen werden fester Bestandteil im Umgang mit personenbezogenen Daten sein. Inkassodienstleister treffen damit umfassende Pflichten, z. B. zur Auskunftserteilung, Berichtigung oder auch Löschung von Daten. Der betroffenen Person stehen folgende Rechte zur Verfügung: Auskunftsrecht: Die betroffene Person hat nach Art. 15 das Recht zu erfahren, ob und welche personenbezogenen Daten im Inkassounternehmen verarbeitet werden, inkl. des Rechts auf Information über Verarbeitungszwecke, Datenkategorien, Empfänger (-kategorien), Speicherdauer, Recht der betroffenen Person auf Berichtigung, Löschung, Einschränkung der Daten, Widerspruchsrecht, Beschwerderecht, Herkunft der Daten und, sofern es stattfindet, das Bestehen einer automatisierten Entscheidungsfindung. |13| Recht auf Berichtigung und Recht auf Löschung: Auch aus dem Grundsatz nach Art. 5 Abs. 1 Buchstabe d (»Richtigkeit«) ergibt sich: Verantwortliche müssen dafür sorgen, dass falsche Daten entweder berichtigt (Art. 16) oder gelöscht (Art. 17) werden. Die Speicherung falscher Daten ist per se unzulässig. Wird ein personenbezogenes Datum als unrichtig erkannt und weder berichtigt noch gelöscht, kann das Inkassounternehmen deswegen ein Organisationsverschulden treffen. Deswegen sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Beispiel: Erhält das Inkassounternehmen vom Schuldner eine neue Adresse, ist es verpflichtet, seine bei ihm gespeicherten Daten über den Schuldner bezüglich der neu bekannt gewordenen Daten zu aktualisieren. Aus dem Grundsatz in Art. 5 Abs. 1 Buchstabe e (»Speicherbegrenzung«) ergibt sich, dass das Inkassounternehmen jedes personenbezogene Datum zu einem bestimmten Zeitpunkt löschen muss – nämlich dann, wenn die weitere Speicherung nicht mehr erforderlich ist. Diese Erforderlichkeit muss für jede Art bzw. Kategorie personenbezogener Daten vom Inkassounternehmen im Vorfeld festgelegt werden. 20 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ Ist die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen – wie bei der Erbringung von Inkassodienstleistungen – erforderlich, muss dem Löschungsantrag der betroffenen Person übrigens nicht nachgekommen werden. Recht auf Einschränkung der Verarbeitung: Der Verantwortliche muss die Speicherung personenbezogener Daten besonders markieren, sofern deren künftige Verarbeitung eingeschränkt werden muss. Betroffene haben einen Rechtsanspruch auf Einschränkung, wenn die Voraussetzungen des Art. 18 vorliegen. Recht auf Datenübertragbarkeit: Die betroffene Person kann verlangen – wenn die Verarbeitung z. B. auf Art. 6 Abs. 1 Buchstabe b beruht und zur Erfüllung eines Vertrages erforderlich ist –, dass sie ihre personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format erhält. Zudem hat sie das Recht darauf, dass der Verantwortliche diese Daten einem anderen Verantwortlichen übermittelt. Ausgangspunkt der Vorschrift war, einer betroffenen Person einen leichteren Wechsel zwischen den Anbietern von sozialen Netzwerken, E-Mail- und anderen Cloud-Diensten zu ermöglichen. Es wird daher erwartet, dass diese Regelung für das Inkassoverfahren gegen den Schuldner von eher geringer Bedeutung ist, da dieser nur selten die personenbezogenen Daten dem Inkassounternehmen direkt bereitstellt. Der Inkassodienstleister erhält die Daten meist vom Auftraggeber oder aus anderen Quellen. Widerspruchsrecht: Die betroffene Person besitzt zwar ein Widerspruchsrecht gegen die Datenverarbeitung. Das gilt aber nur, wenn Art. 6 Abs. 1 Buchstabe f als Rechtsgrundlage einschlägig ist – d. h. nur für einige Verarbeitungsprozesse. Dem Widerspruch muss nicht nachgekommen werden, wenn die Verarbeitung mit der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen begründet werden kann. Widersprüche gegen Datenverarbeitungen des Inkassodienstleisters dürften damit häufig ins Leere laufen. Pflichten von Inkassodienstleistern als Verantwortliche: Im Fall der Berichtigung, Löschung oder Einschränkung: Der Inkassodienstleister hat eine Pflicht zur Mitteilung an alle Empfänger, denen er personenbezogene Daten offengelegt hat, über jede Berichtigung, Löschung oder Einschränkung (außer, das ist unmöglich oder bedeutet einen unverhältnismäßigen Aufwand). Zudem muss er der betroffenen Person die Empfänger mitteilen (Art. 19). Inkassodienstleister müssen Benachrichtigungspflichten, z. B. im Fall einer Datenpanne, beachten und teilweise innerhalb von 72 Stunden reagieren! Im Verletzungsfall: Das Inkassounternehmen trifft zudem die Pflicht zur Benachrichtigung der betroffenen Person im Fall der Verletzung des Schutzes personenbezogener Daten, sprich bei einer »Datenpanne« (Art. 34). Meldung an die Aufsichtsbehörde: Schließlich ist der Inkassodienstleister bei einer solchen »Datenpanne« verpflichtet, die Aufsichtsbehörde |14| innerhalb von 72 Stunden (!) zu benachrichtigen (Art. 33). |13| Hier gelten gleichermaßen die Ausführungen zu den Informationen nach Art. 14 (bzw. Art. 13), siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.2.1., Seite 16 ff. |14| Siehe: 12 || Aufsicht über Unternehmen, Seite 36. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 21 DATENSCHUTZ 5 || UMFANGREICHE DOKUMENTATIONSPFLICHTEN DS-GVO-Regelungen: Art. 5 Abs. 2: »Rechenschaftspflicht« Art. 30: Verzeichnis von Verarbeitungstätigkeiten Die neuen Dokumentationspflichten lassen sich knapp zusammenfassen: Alles, was mit personenbezogenen Daten zu tun hat, muss künftig auch dokumentiert werden. Eine genaue und aktuelle Dokumentation der Datenverarbeitungen ist das A und O Eine Neuheit in der DS-GVO sind die Dokumentationspflichten, die ihre Grundlage in der Rechenschaftspflicht in Art. 5 Abs. 2 haben. Jeder Verantwortliche, somit auch der Inkassodienstleister, muss die DS-GVO-Vorgaben und -Grundsätze einhalten und sie (stets auf aktuellem Stand) nachweisen können. Eine neue Form von Dokumentation, die der Verantwortliche zu erstellen und ggf. auf Anfrage der Aufsichtsbehörde vorzuweisen hat, ist das Verzeichnis von Verarbeitungstätigkeiten. Unabhängig davon und darüber hinaus existieren nach der DS-GVO aber noch weitere Dokumentationspflichten. 5.1. || EINZELNE DOKUMENTATIONSPFLICHTEN Zusammenfassend kann gesagt werden: Es muss alles dokumentiert werden können, worüber eine betroffene Person informiert werden muss. Das sind vor allem die in Art. 13 bis Art. 15 geforderten Informationen |15|. Auf dieser Grundlage muss also vor allem Folgendes beschrieben und dokumentiert werden: Kategorien der betroffenen Personen Zwecke, für die die Daten (weiter)verarbeitet werden Rechtsgrundlage(n) für die Verarbeitung berechtigte Interessen in Bezug auf die Datenverarbeitung, Datenkategorien Empfängerkategorien Herkunft der personenbezogenen Daten Zudem sollte unbedingt ein Sperr-/Berichtigungs-/Löschkonzept vorliegen, das auch Fristen für die regelmäßige Überprüfung von Speicherfristen vorsieht. Um ein angemessenes Schutzniveau gegenüber der Aufsichtsbehörde nachweisen zu können, müssen zudem auch die technisch-organisatorischen Maßnahmen |16| genau beschrieben werden. Empfehlung: Gehen Sie nach Workflows vor! Inkassounternehmen sollten außerdem einen Workflow einführen, damit im Fall von »Datenpannen« schnell gegenüber der Aufsichtsbehörde |17| reagiert werden kann. Darüber hinaus sind von der DS-GVO Dokumentationen vor allem in folgenden Bereichen vorgesehen: Weisungen des Verantwortlichen: Alle Weisungen des Verantwortlichen sind zu dokumentieren. Dies betrifft Weisungen, die der Verantwortliche den ihm unterstellten Personen gibt (Art. 29), dazu gehören z. B. Arbeitsanweisungen, ggf. auch Mitarbeiterschulungen in Bezug auf die DS-GVO. Ebenso betrifft dies die Weisungen, die eine Verarbeitung beim Auftragnehmer im Rahmen eines Auftragsverarbeitungsverhältnisses (Art. 28) betreffen. 22 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ Dokumentation geeigneter Garantien bei Übermittlungen an ein Drittland: Sofern personenbezogene Daten an ein Drittland übermittelt oder übergeben werden, in dem kein gleichwertiges Datenschutzniveau wie das in der Europäischen Union oder gleichgestellten Ländern herrscht, sieht die DS-GVO eine entsprechende (erweiterte) Dokumentationspflicht vor (Art. 46 f.). Meldepflicht bei Verletzung personenbezogener Daten: Art. 33 schreibt eine Meldung vor, die ein Verantwortlicher gegenüber der Aufsichtsbehörde bei Verletzung des Schutzes personenbezogener Daten abgeben muss |18|. Darin enthalten ist auch eine Dokumentationspflicht über die Verletzung selbst. Daher werden künftig auch Maßnahmen zu ergreifen sein, um »Datenpannen« auszuschließen. Dokumentation einer Datenschutz-Folgenabschätzung: Sollten Inkassodienstleister dazu verpflichtet sein, eine nach Art. 35 geforderte Datenschutz-Folgenabschätzung durchzuführen, müssen sie eine dementsprechende Dokumentation vorweisen können. 5.2. || VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Das in Art. 30 beschriebene Verzeichnis über Verarbeitungstätigkeiten muss und kann erst erstellt werden, wenn bereits eine entsprechende Dokumentation vorliegt – und ist damit quasi das Ergebnis der Dokumentationen. 5.2.1. | Notwendigkeit der Erstellung eines Verzeichnisses Ein Verzeichnis der Verarbeitungstätigkeiten ist bereits unter dem BDSG als »Verfahrensverzeichnis« bekannt und stellt eine der wichtigsten Dokumentationspflichten der DSGVO dar. Sie trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter |19|. Auch wenn es Ausnahmen zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gibt, sind Inkassodienstleister weiterhin gut beraten, ein solches Verzeichnis zu führen. 5.2.2. | Form des Verzeichnisses Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu erstellen, worunter natürlich auch ein elektronisches Format fällt. Ziel sollte es sein, zu jedem Zeitpunkt ein aktuelles Verzeichnis erstellen zu können (z. B. mittels technischer Datenbankauswertung, ExcelListe). 5.2.3. | Prüfung durch die Aufsichtsbehörde Das Verzeichnis von Verarbeitungstätigkeiten ist nur von der Aufsichtsbehörde einsehbar und muss ihr auf Anfrage zur Verfügung gestellt werden. |15| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, Seite 13 ff. |16| Siehe: 6 || Sicherer Umgang mit Daten durch technisch-organisatorische Maßnahmen (TOM), Seite 25. |17| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.3., Seite 21; 12 || Aufsicht über Unternehmen, Seite 36. |18| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.3., Seite 21. |19| Siehe: 9 || Auftragsverarbeitung, 9.2.2., Seite 31. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 23 DATENSCHUTZ 5.2.4. | Inhalt des Verzeichnisses Zu dokumentieren sind alle Verfahren, in denen direkt oder indirekt personenbezogene Daten verarbeitet werden, die in den Zuständigkeitsbereich des verantwortlichen Inkassounternehmens fallen. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DS-GVO) Wer führt das Verzeichnis? Verantwortlicher, d. h. der Inkassodienstleister Wem wird es zur Verfügung gestellt? Aufsichtsbehörde Welche Angaben müssen enthalten sein? a | Name und Kontaktdaten des Verantwortlichen, ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen Name und Kontaktdaten eines etwaigen Datenschutzbeauftragten b | die Zwecke der Verarbeitung c | Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten d | die Kategorien von Empfängern, einschließlich Empfänger in Drittländern e | ggf. Übermittlungen an ein Drittland, bei Art. 49 Abs. I UAbs. 2 Beschreibung geeigneter Garantien f | wenn möglich, Fristen für die Löschung der verschiedenen Datenkategorien g | wenn möglich, eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen nach Art. 32 Abs. 1 24 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 6 || SICHERER UMGANG MIT DATEN DURCH TECHNISCHORGANISATORISCHE MAßNAHMEN (TOM) DS-GVO-Regelungen: Art. 24: Verantwortung des für die Verarbeitung Verantwortlichen Art. 25: Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen Art. 32: Sicherheit der Verarbeitung Der rechtmäßige Umgang mit personenbezogenen Daten hat natürlich auch Auswirkungen auf die technische Organisation von Inkassounternehmen – und muss, wie schon unter dem BDSG, ausreichende Sicherheit bieten. Das Prinzip der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 Buchstabe f, das eine angemessene Sicherheit der personenbezogenen Daten verlangt (auch aus Sicht der betroffenen Person, nicht nur aus Sicht des Verantwortlichen), wird insbesondere mit den Regelungen in Art. 24, Art. 25 und Art. 32 umgesetzt. Die Regelungen fordern von Verantwortlichen geeignete technisch-organisatorische Maßnahmen (TOM) – auch durch Voreinstellungen (in der Software) –, die den Nachweis einer DS-GVO-konformen Datenverarbeitung sicherstellen. Tipp: Wessen TOM bisher schon BDSG-konform sind, hat hier keinen neuen oder erweiterten Anpassungsbedarf. Allerdings muss das auch entsprechend dokumentiert werden. Inkassounternehmen müssen begründen und nachweisen können, weshalb ihre TOM ausreichend bzw. angemessen sind. Sie müssen sich also auch über den Zugang, den Zugriff und die Weitergabe von personenbezogenen Daten Gedanken machen. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 25 DATENSCHUTZ 7 || DATENSCHUTZ-FOLGENABSCHÄTZUNG DS-GVO-Regelung: Art. 35: Datenschutz-Folgenabschätzung Ob Inkassodienstleister künftig eine besondere Risikoabschätzung in Bezug auf die Rechte und Freiheiten natürlicher Personen vornehmen müssen, ist noch nicht abschließend geklärt. Neu mit Art. 35 geregelt ist die sogenannte Datenschutz-Folgenabschätzung, die dann (vorab) erfolgen muss, wenn Art, Umfang, Umstände oder die Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Ob Inkassodienstleister eine solche Risikoabschätzung vornehmen müssen, steht derzeit noch nicht fest, da der gemeinsame Vertreter der nationalen Aufsichtsbehörden eine Liste der Verarbeitungstätigkeiten erstellen muss, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (Art. 57 Abs. 1 Buchstabe k). Nach jetzigem Stand spricht nichts dafür, dass Inkassodienstleister im Rahmen des Forderungsmanagements und als Rechtsdienstleister zur Durchführung der DatenschutzFolgenabschätzung verpflichtet werden. Das muss aber noch final abgewartet werden. 26 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 8 || BETRIEBLICHER DATENSCHUTZBEAUFTRAGTER DS-GVO-Regelungen: Art. 37: Benennung eines Datenschutzbeauftragten Art. 38: Stellung des Datenschutzbeauftragten Art. 39: Aufgaben des Datenschutzbeauftragten Zwar ist die Beschäftigung eines eigenen Datenschutzbeauftragten für Inkassodienstleister künftig nicht zwingend – es lohnt sich aber, einen Mitarbeiter des Unternehmens oder einen externen Experten mit der Einhaltung und Kontrolle aller Anforderungen aus der DS-GVO zu beauftragen. 8.1. || BESTELLUNGSPFLICHT Gemäß Art. 37 Abs. 1 muss ein Inkassodienstleister einen Datenschutzbeauftragten bestellen, wenn die Kerntätigkeit (Hauptaktivität) des Unternehmens: in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 besteht. Das bedeutet für Inkassounternehmen, dass ein Datenschutzbeauftragter nicht grundsätzlich bestellt werden muss, sondern es vielmehr auf ihre Kerntätigkeit (also nicht nur auf eine etwaige Nebentätigkeit des Unternehmens) ankommt. Natürlich kann jedes Unternehmen freiwillig einen Datenschutzbeauftragten bestellen. Dies dürfte gegenüber der Behörde und Mandanten ohnehin positive Wirkung erzielen und ist schon wegen der umfassenden Dokumentationspflichten (die Dokumentationen müssen stets aktuell sein) sinnvoll für das Unternehmen selbst. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten bestellen. Nach wie vor empfehlenswert ist es, bereits bei Unternehmen mit zehn Mitarbeitern einen Datenschutzbeauftragten zu bestellen, denn: Wir gehen derzeit davon aus, dass die nationale Gesetzgebung, die die DS-GVO begleiten wird, die bisherige Regelung zum Datenschutzbeauftragten des BDSG aufgreifen wird. Die Kontaktdaten des Datenschutzbeauftragten müssen zwar öffentlich gemacht werden – eine konkrete Namensnennung ist aber nicht erforderlich. Anders sieht es gegenüber der Aufsichtsbehörde aus: Hier muss der Datenschutzbeauftragte namentlich benannt werden. Bekanntmachung der Kontaktdaten erforderlich 8.2. || BESTELLUNGSFÄHIGKEIT Der Datenschutzbeauftragte muss eine datenschutzrechtliche sowie eine datenschutzpraktische Qualifikation besitzen. Er kann interner Mitarbeiter (Bestellung im Rahmen des Arbeits-/Beschäftigungsvertrags) oder eine externe Person (aufgrund eines Dienstleistungsvertrags) sein. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 27 DATENSCHUTZ 8.3. || AUFGABEN Bei allen Fragen rund um den Schutz personenbezogener Daten ist der Datenschutzbeauftragte einzubeziehen Der Datenschutzbeauftragte ist frühzeitig in alle für den Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind die erforderlichen Ressourcen zur Verfügung zu stellen. Er ist selbstverständlich zur Verschwiegenheit verpflichtet. Im Einzelnen hat er folgende Aufgaben: Kontrolle: Der Datenschutzbeauftragte überwacht die Einhaltung der DS-GVO (und wirkt nicht nur auf deren Einhaltung hin) vor allem durch Kontrollen, die durch Dokumentationen nachzuweisen sind. Unterrichtung und generelle Beratung: Der Datenschutzbeauftragte ist bezüglich aller datenschutzrechtlichen Pflichten zuständig, d. h. für die Unterrichtung und Beratung des Unternehmens sowie der Beschäftigten, die Verarbeitungen vornehmen. Überwachung: Zudem überwacht er die Einhaltung der DS-GVO, anderer Datenschutzvorschriften sowie der Strategien des Unternehmens in Bezug auf den Schutz personenbezogener Daten. Das beinhaltet auch die Zuweisung von Zuständigkeiten, die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen. Beratung auf Anfrage: Außerdem gehört es zu seinen Aufgaben, eine Beratung auf Anfrage im Zusammenhang mit der ggf. durchzuführenden Datenschutz-Folgenabschätzung |20| sowie die Überwachung ihrer Durchführung vorzunehmen. Kontakt zur Aufsichtsbehörde: Dem Datenschutzbeauftragten obliegen die Zusammenarbeit und die vorherige Einbindung der Aufsichtsbehörde bei Verarbeitungen, die nach der Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, sowie ggf. erforderliche Meldepflichten gegenüber der Aufsichtsbehörde. Die Nennung der Aufgaben des Datenschutzbeauftragten in Art. 39 ist nicht abschließend. Das Führen eines Verzeichnisses von Verarbeitungsvorgängen liegt so z. B. auch nicht im Verantwortungsbereich des Datenschutzbeauftragten, sondern in dem des Inkassounternehmens selbst. Sicherlich wird er aber daran mitwirken. 8.4. || STELLUNG DES DATENSCHUTZBEAUFTRAGTEN IM UNTERNEHMEN Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene. Er bleibt weisungsfrei und darf wegen seiner Aufgaben nicht benachteiligt werden. 28 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 9 || AUFTRAGSVERARBEITUNG DS-GVO-Regelungen: Art. 28: Auftragsverarbeiter Art. 29: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Art. 30 Abs. 2: Verzeichnis von Verarbeitungstätigkeiten Art. 33 Abs. 2: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde 9.1. || BEGRIFF Unter Auftragsverarbeitung versteht die DS-GVO eine besondere Verarbeitungsform, bei der dem Inkassounternehmen die Verantwortung für die Verarbeitung obliegt. Jedoch findet die tatsächliche, physische Verarbeitung durch eine andere Stelle statt, den sogenannten Auftragsverarbeiter. Während im BDSG die Verantwortung unabdinglich beim Verantwortlichen liegt, wird dies nun in der DS-GVO aufgeteilt: So kann nun auch der Auftragsverarbeiter zur Rechenschaft gezogen werden und sogar gemeinsam mit dem Verantwortlichen haften, wenn durch eine rechtswidrige Datenverarbeitung ein Schaden entsteht. Setzt ein Inkassounternehmen einen externen Dienstleister als Auftragsverarbeiter ein, führt dieser typischerweise untergeordnete Tätigkeiten aus. Der Dienstleister ist an die Weisungen des Inkassodienstleisters als Auftraggeber gebunden und weicht in der Regel auch nur in sehr seltenen Ausnahmefällen davon ab. Derartige Auftragsverhältnisse zeichnen sich durch eine schnelle Austauschbarkeit des Dienstleisters aus, da die dort durchgeführten Verarbeitungsprozesse meist standardisiert sind. Davon abzugrenzen sind die Unternehmen, die keinen Zugriff auf personenbezogene Daten haben. Dies sind z. B. Reinigungskräfte, Post-/Kurierdienste. 9.2. || WESEN DER AUFTRAGSVERARBEITUNG 9.2.1. | Aufgaben und Pflichten des Auftragsverarbeiters Die wesentlichen Pflichten zwischen Auftragsverarbeiter und Verantwortlichem bleiben im Vergleich zu den Regelungen aus dem BDSG weitestgehend gleich. Bei der Beauftragung eines Auftragsverarbeiters ist ein eigenständiger Vertrag oder eine entsprechende Vereinbarung als separate Anlage zu einem Vertrag zu schließen. Aus haftungsrechtlichen Gründen ist es außerdem empfehlenswert, die Sicherheit der Datenverarbeitung des Auftragnehmers zu überprüfen – entweder durch Prüfung vor Ort oder durch andere, geeignete Nachweise des Auftragnehmers, z. B. Testate und Prüfberichte. Der Auftragsverarbeiter muss nach Art. 28 Abs. 1 geeignet sein. Im Fall der Übermittlung an Drittländer empfiehlt sich eine gesonderte rechtliche Beratung. Wir empfehlen, alle Verträge zu Auftragsverarbeitungen dahin gehend zu überprüfen, ob die nachfolgenden Regelungen darin enthalten sind. Sofern das nicht der Fall ist oder es noch keine wie in der DS-GVO vertragliche Regelung gibt, sind Verträge mit Auftragsverarbeitern zu ergänzen. Besonderheit bei der Auftragsverarbeitung in einem unsicheren Drittland Überprüfung der Auftragsverarbeitungsverträge erforderlich! |20| Siehe: 7 || Datenschutz-Folgenabschätzung, Seite 26. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 29 DATENSCHUTZ Beauftragung von Subunternehmern mit Vetorecht: Der Auftragsverarbeiter darf ohne vorherige gesonderte oder allgemeine schriftliche Zustimmung des Verantwortlichen keinen weiteren Auftragsverarbeiter (Subunternehmer) einsetzen. Der Verantwortliche hat ein Vetorecht, wenn der Auftragnehmer so einen Weg einschlagen möchte. Wir empfehlen, in dem Vertrag mit dem Auftragsverarbeiter den Prozess der Beauftragung von Subunternehmern zu regeln. Weisungsrecht des Verantwortlichen: Art. 28 Abs. 3 Buchstabe a und Art. 29 regeln das Weisungsrecht des Verantwortlichen. Um der Dokumentationspflicht |21| nachzukommen, sind die Weisungen grundsätzlich schriftlich zu erteilen. Vertraulichkeits-/Verschwiegenheitsverpflichtung im Auftragsverhältnis: Im Auftragsverhältnis muss eine Verpflichtung auf das Datengeheimnis enthalten sein und mit Blick auf die Wahrung der Vertraulichkeit sowie die Verpflichtung zur Verschwiegenheit des Auftragsverarbeiters geschlossen werden. Beschreibung aller technisch-organisatorischen Maßnahmen: Die technischorganisatorischen Maßnahmen |22| sind vertraglich festzuhalten und zu regeln. Tipp: Es empfiehlt sich, die technisch-organisatorischen Maßnahmen in einer Art Checkliste zusammenzufassen und für alle Auftragsverarbeiter ein Ergebnisprotokoll zu verfassen, in dem die Prüfpunkte enthalten sind und das Prüfungsergebnis festgehalten wird. Dieses Dokument sollte mit dem Auftragsverarbeiter abgestimmt werden und dient beiden Seiten als Nachweis der ordnungsgemäßen Überprüfung dieser Maßnahmen. Bearbeitung von Anträgen zur Wahrung der Betroffenenrechte: Der Verantwortliche muss die Erfüllung der Betroffenenrechte |23| vertraglich mit dem Auftragsverarbeiter regeln. Dazu sollte der Auftragsverarbeiter sämtliche Anträge zu Betroffenenrechten an den Inkassodienstleister als Verantwortlichen übermitteln, der die jeweils betroffene Person bei der Beantwortung auf den Antrag beim Auftragsverarbeiter hinweisen sollte. Tipp: Dokumentieren Sie alle Tätigkeiten rund um die Wahrung von Betroffenenrechten beim Auftragsverarbeiter im Rahmen einer Arbeitsanweisung/Arbeitsrichtlinie. Es sollten auch die Prozesse berücksichtigt werden, die durchgeführt werden, wenn ein Betroffener statt beim Inkassounternehmen seine Rechte beim Auftragsverarbeiter durchsetzen möchte, sodass das Inkassounternehmen in jedem Fall davon Kenntnis hat, welche Betroffenen von ihrem Informationsrecht Gebrauch machen. Beendigung des Auftragsverarbeitungsverhältnisses: Die Anforderungen an die Beendigung des Auftragsverarbeitungsverhältnisses sind bereits im Vertrag zu regeln, insbesondere in Bezug auf die Rückgabe der Daten oder den Nachweis der Löschung der im Auftrag überlassenen Daten. Darüber hinaus ist sicherzustellen, dass die Löschung auch tatsächlich stattfindet. Nachweis der Einhaltung der vertraglichen Pflichten und Recht der Überprüfung: Der Auftragsverarbeiter hat den Nachweis über die Einhaltung der vertraglich vereinbarten Pflichten, z. B. bestimmter Prüfpflichten, nach Art. 28 Abs. 3 zu erbringen. 30 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ Inkassodienstleister sollten sich außerdem vertraglich ein eigenes Prüfrecht vor Ort einräumen lassen und davon auch wirklich Gebrauch machen. Das Ergebnis der Prüfungen sollten Inkassounternehmen dringend dokumentieren. Prüfung vor Ort beim Auftragsverarbeiter ist sinnvoll und sollte dokumentiert werden! Informationspflicht des Auftragsverarbeiters bei Datenschutzverletzungen: Wird beim Auftragsverarbeiter oder dessen Vertragspartner eine Datenschutzverletzung, d. h. eine »Datenpanne«, festgestellt, muss er den Inkassodienstleister davon sofort in Kenntnis setzen, damit dieser rechtzeitig die Aufsichtsbehörde (Achtung: 72-StundenFrist nach Art. 33) und die betroffene(n) Person(en) informieren kann. Tipp: Das Inkassounternehmen sollte im Rahmen der Erstellung von Prozessmaßnahmen gemeinsam mit dem Auftragsverarbeiter festlegen, mit welchem Kommunikationsmedium (z. B. Telefon, E-Mail) man welchen Ansprechpartner (aufseiten des Inkassounternehmens) zu informieren hat bzw. welche Eskalationswege es gibt, falls diese festgelegten Prozesse nicht durchgeführt werden können. Dabei kann es für Notfälle erforderlich sein, ggf. auch private Kommunikationsdaten (private E-Mail, private Telefonnummer) der Beteiligten auszutauschen. 9.2.2. | Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters Art. 30 enthält für die Mitwirkungspflichten des Auftragsverarbeiters am Erstellungs- und Änderungsprozess des Verzeichnisses für Verarbeitungstätigkeiten eine Besonderheit. Inhalt eines solchen Verzeichnisses des Auftragsverarbeiters nach Art. 30 Abs. 2 sind: Name und Kontaktdaten des Auftragsverarbeiters; auch alle Daten der Verantwortlichen, auf deren Weisung der Auftragsverarbeiter personenbezogene Daten verarbeitet, ggf. deren Vertreter Name und Kontaktdaten des etwaigen Datenschutzbeauftragten die Kategorien von Verarbeitungen, die im Auftrag eines jeden Verantwortlichen geführt werden ggf. die Übermittlungen von Daten in ein Drittland sowie die technisch-organisatorischen Maßnahmen in allgemeiner Art und Weise Tipp: Das Inkassounternehmen sollte den Auftragsverarbeiter bei Erstellung des Verfahrensverzeichnisses unterstützen, indem es sein eigenes Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 als »Rahmendokument« zur Verfügung stellt. Hier kann das Inkassounternehmen als Verantwortlicher auf das ausgegliederte Verfahren verweisen. Dieses kann dann als eigenständiges Dokument in das eigene Datenschutzmanagement (oder die eigene Dokumentation) hinzugenommen werden und als Ergänzung zum eigenen Verfahren angesehen werden. |21| Siehe: 5 || Umfangreiche Dokumentationspflichten, Seite 22 ff. |22| Siehe: 6 || Sicherer Umgang mit Daten durch technisch-organisatorische Maßnahmen (TOM), Seite 25. |23| Siehe: 4 || Informationspflichten der Inkassodienstleister und Betroffenenrechte, 4.3., Seite 20. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 31 DATENSCHUTZ W A R SCHAU 9.3. || TYPISCHE AUFTRAGSVERARBEITUNGSVERHÄLTNISSE Wichtige Indizien, ob es sich um ein Auftragsverarbeitungsverhältnis handelt, sind die strikte Weisungsbefugnis des Verantwortlichen und die Entscheidungsgewalt, zu welchen Zwecken und mit welchen Mitteln die Daten eingesetzt werden, wann diese Daten zu sperren bzw. zu löschen sind. In der Regel wird mit folgenden Dienstleistern ein Auftragsverarbeitungsverhältnis vertraglich vereinbart: Druck-/Kuvertierdienstleister Externe Callcenter Entsorgungsunternehmen Archivierungsdienste/Posteingangsverarbeitungsdienstleister Software-Hersteller/IT-Dienstleister für Fernwartungstätigkeiten Rechenzentrumsbetrieb Back-up-Dienstleister Cloud-Dienstleister 32 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 10 || SANKTIONEN UND AUFSICHTSMAßNAHMEN DS-GVO-Regelungen: Art. 58: Befugnisse Art. 83: Allgemeine Bedingungen für die Verhängung von Geldbußen Art. 84: Sanktionen Die neue DS-GVO regelt mit den Art. 58, 83 und 84 den Umgang mit Verstößen. Die Geldbuße als eine der aufsichtsrechtlichen Maßnahmen soll in jedem Einzelfall abschreckend sein. 10.1. || RECHTLICHE VORSCHRIFTEN Das Strafrecht wird weiterhin von den einzelnen EU-Mitgliedstaaten geregelt, d. h., jeder Staat bestimmt seine Straftatbestände und daraus folgende Sanktionen selbst. Ordnungswidrigkeitenvorschriften hingegen ergeben sich zum einen direkt aus der DS-GVO und finden sich in den Art. 83 und Art. 84. Daneben gelten aber auch noch einschlägige nationale Sanktionsvorschriften. 10.2. || GELDBUßE 10.2.1. | Sanktionshöhe Bereits im Gesetzgebungsverfahren wurde verstärkt darauf hingewiesen, dass die Geldbuße nach Art. 83 Abs. 4, Abs. 5 bzw. Abs. 6 im Verletzungsfall verhältnismäßig ausfallen, aber dennoch abschreckend, d. h. für das Unternehmen spürbar, sein soll. Art. 83 Abs. 1 gibt das nun genau so wieder. Wie man im Folgenden sehen kann, können die Bußgelder tatsächlich schmerzhaft sein: Je nachdem, gegen welche DS-GVO-Vorschrift verstoßen wurde, beträgt die maximale Geldbuße entweder 10 bzw. 20 Millionen Euro oder 2 % bzw. 4 % des vom Unternehmen weltweit erwirtschafteten Jahresumsatzes im vorherigen Geschäftsjahr. Dabei ist der jeweils höhere Wert von beiden Optionen ausschlaggebend. Für die Berechnung ist der Konzernumsatz entscheidend. Maximale Geldbuße kann 20 Millionen Euro bzw. 4 % des vom Unternehmen weltweit erwirtschafteten Jahresumsatzes im vorherigen Geschäftsjahr betragen 10.2.2. | Kriterien für die Sanktionierung Die konkrete Geldbuße wird anhand der in Art. 83 Abs. 2 Buchstaben a bis k festgelegten Kriterien berechnet. Dazu gehören: Art, Schwere und Dauer des Verstoßes Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes getroffene Maßnahmen zur Minderung des entstandenen Schadens Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen Maßnahmen etwaige einschlägige frühere Verstöße Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt bzw. mitgeteilt wurde Einhaltung von Maßnahmen, die früher angeordnet wurden Einhaltung von genehmigten Verhaltensregeln andere erschwerende oder mildernde Umstände im jeweiligen Fall DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 33 DATENSCHUTZ 10.3. || WEITERE AUFSICHTSMAßNAHMEN UND SANKTIONEN Zum einen kann eine Gewinnabschöpfung angeordnet werden, zum anderen eine Anordnung zur Beendigung des Verstoßes in Form einer Rüge oder Anweisung erfolgen. Schließlich kann ein zeitlich begrenztes oder unbegrenztes Datenverarbeitungsverbot erlassen werden. Alle aufsichtsrechtlichen Maßnahmen sind in Art. 58 zu finden. 10.4. || DURCHSETZUNG DER SANKTIONEN UND AUFSICHTSMAßNAHMEN Verstöße können unterschiedlich aufgedeckt werden: durch Überprüfung der zuständigen Aufsichtsbehörde, z. B. veranlasst durch die betroffene Person durch Beschwerde eines Mandanten bzw. Dritten bei der zuständigen Behörde durch Selbstanzeige des Unternehmens durch Journalismus Das Durchsetzen von Sanktionen und Aufsichtsmaßnahmen ist Sache der Aufsichtsbehörden im entsprechenden EU-Mitgliedstaat. Bei internationalem Datenaustausch greifen Art. 65 und Art. 60 bezüglich der federführenden Behördenregelung. 10.5. || VERSTOßPRÄVENTION DURCH KONTROLLE UND DOKUMENTATION Mit einer professionellen Beratung und Überprüfung kann das Risiko für Verstöße gegen die DS-GVO gesenkt werden 34 Professionelle Beratung und regelmäßige Überprüfung der Einhaltung der DS-GVO helfen bei der Vorbeugung von Verstößen. Dabei sollte dringend auf eine durchgehende und lückenlose Dokumentation von Datenquellen und -verarbeitungen geachtet werden, um im Zweifelsfall Nachweise zur korrekten Bearbeitung liefern zu können. BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 11 || RECHTSBEHELFE VON BETROFFENEN PERSONEN DS-GVO-Regelungen: Art. 77: Recht auf Beschwerde bei einer Aufsichtsbehörde Art. 78: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde Art. 79: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter Art. 80: Vertretung von betroffenen Personen Art. 82: Haftung und Recht auf Schadensersatz Um gegen einen Verstoß gegen die DS-GVO vorgehen zu können, stehen betroffenen Personen verschiedene Rechte und Rechtsbehelfe zur Verfügung – sie sind in den Art. 77 bis 82 geregelt. 11.1. || BESCHWERDERECHT BEI DER AUFSICHTSBEHÖRDE Ist eine betroffene Person der Ansicht, es liege ein Verstoß gegen Regelungen der DS-GVO vor, kann sie bei einer Aufsichtsbehörde Beschwerde einlegen. Die Behörde sollte entsprechende Beschwerdeformulare bereitstellen. 11.2. || SONSTIGE RECHTSBEHELFE Betroffene können bei Verstößen gegen den Verantwortlichen der Datenverarbeitung, gegen den Mandanten bzw. das Inkassounternehmen, oder aber gegen den Auftragsverarbeiter Klage einreichen. Mögliche Klageziele sind: Schadensersatz, Unterlassung, Auskunft, Berichtigung, Löschung und/oder Feststellung. 11.3. || MITTEL ZUR RECHTSDURCHSETZUNG Rechtsbehelfe kann die betroffene Person grundsätzlich selbst einlegen. Sie kann aber ebenso Einrichtungen, Organisationen oder Vereinigungen mit der Durchsetzung ihres Anspruchs beauftragen. So können beispielsweise auch Verbraucherverbände die Rechte der betroffenen Person durchsetzen. Abhängig von der im einzelnen Mitgliedstaat festgelegten Regelung sind sie auch befugt, Klage zu erheben oder eine Beschwerde einzulegen. Eingeklagt werden können materielle und immaterielle Schäden des Betroffenen. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 35 DATENSCHUTZ 12 || AUFSICHT ÜBER UNTERNEHMEN DS-GVO-Regelungen: Art. 51: Aufsichtsbehörde Art. 55: Zuständigkeit Art. 56: Zuständigkeit der federführenden Aufsichtsbehörde Art. 57: Aufgaben Art. 58: Befugnisse Art. 60: Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden Art. 63: Kohärenzverfahren Art. 68: Europäischer Datenschutzausschuss Art. 70: Aufgaben des Ausschusses Die DS-GVO regelt umfassend, welche Aufsichtsbehörden und in welchem Umfang sie bei Verstößen zuständig sind. Für grenzüberschreitende Fälle, in denen die Beteiligten also aus unterschiedlichen (EU-)Staaten kommen, regelt die Verordnung die Zusammenarbeit zwischen den verschiedenen nationalen Aufsichtsbehörden. 12.1. || NATIONALE DATENSCHUTZAUFSICHTSBEHÖRDEN Die bereits bekannten nationalen Datenschutzaufsichtsbehörden einzelner Bundesländer in Deutschland bleiben ebenso bestehen wie das Amt der bzw. des Bundesdatenschutzbeauftragten. Die nationalen Aufsichtsbehörden sind mit der Novelle der DS-GVO allerdings gehalten, auf eine einheitliche Anwendung der Verordnung zu achten. Damit sollen regionale Unterschiede bei der Bewertung von datenschutzrechtlichen Fragestellungen abgeschafft werden. Für den einzelnen Inkassodienstleister ist die Aufsichtsbehörde der jeweiligen Hauptniederlassung zuständig. Für deutsche Inkassodienstleister ist weiterhin die deutsche Aufsicht zuständig. Diese ist »federführend«. Geht eine Beschwerde bei einer anderen Aufsichtsbehörde ein – egal in welchem EU-Mitgliedstaat –, ist diese zwar auch zuständig, muss allerdings die »federführende« Aufsichtsbehörde einschalten. Es wird erwartet, dass der nationale Gesetzgeber in Deutschland es weiterhin bei der Zuständigkeit der regionalen Aufsichtsbehörden belassen wird, sodass sich die bekannten Ansprechpartner nicht ändern dürften. In Art. 58 sind alle Befugnisse der Aufsichtsbehörden zu finden Die Befugnisse der Aufsichtsbehörden regelt Art. 58 DS-GVO: Sie sind berechtigt, Anweisungen, Hinweise, (Ver-)Warnungen zu erteilen, Verbote auszusprechen, Zertifizierungen zu widerrufen etc. Außerdem sind sie im Fall eines Verstoßes gegen die DS-GVO berechtigt, eine Geldbuße nach Art. 83 auszusprechen. 12.2. || EUROPÄISCHER DATENSCHUTZAUSSCHUSS Über den nationalen Aufsichtsbehörden steht der Europäische Datenschutzausschuss (vormals »Art.-29-Gruppe«). In ihm sitzen pro EU-Mitgliedstaat ein Vertreter der nationalen Datenschutzaufsichtsbehörden sowie ein Vertreter des Europäischen Datenschutzbeauftragten. Aufgabe des Ausschusses ist es, die einheitliche Anwendung der DS-GVO herzustellen. Darüber hinaus berät er beispielsweise die EU-Kommission, stellt Empfehlungen, Leitlinien und bewährte Verfahren bereit und fördert die Zusammenarbeit und den Austausch zwischen den einzelnen nationalen Aufsichtsbehörden. 36 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 13 || BEGRIFFE DS-GVO-Regelung: Art. 4: Begriffsbestimmungen Die DS-GVO liefert einen umfangreichen Katalog an Begriffsdefinitionen. Die Begriffsbestimmungen der DS-GVO befinden sich in Art. 4. Der Umfang des Definitionskatalogs übersteigt die derzeit geltenden Definitionen des BDSG deutlich. Die nachstehenden Begriffe sind besonders maßgeblich für die Inkassounternehmen. Personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (= betroffene Person) beziehen. Explizit ist nun auch die Online-Kennung (z. B. IP-Adressen oder Cookie-Kennung) erfasst. Auch pseudonymisierte Daten fallen unter die neue DS-GVO. Um personenbezogene Daten handelt es sich immer dann, wenn eine Zuordnung möglich ist. Beispiel: Eine Telefonnummer ist allein gesehen noch kein personenbezogenes Datum, da nur aufgrund der Nummer keine Identifikation möglich ist – sehr wohl aber unter Hinzunahme eines Telefonverzeichnisses, d. h. weiterer Daten. Mit diesen ist eine bestimmte Person identifizierbar. Unter dem Begriff der Daten sind alle Daten lebender natürlicher Personen erfasst, d. h. auch solche über Einzelfirmen sowie Dritte jeder Art, z. B. Betreuer, Rechtsanwälte, Arbeitgeber, Bevollmächtigte. Verarbeitung – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang bzw. Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst nunmehr alle Vorgänge, d. h., es gibt keine Differenzierung mehr zwischen Erhebung, Verarbeitung oder Nutzung. Einschränkung der Verarbeitung – das Markieren von personenbezogenen Daten mit dem Ziel der zukünftigen Einschränkung der Verarbeitung (»Sperre«). Profiling – jede Art automatisierter Verarbeitung personenbezogener Daten, um eine Verwendung persönlicher Aspekte, z. B. wirtschaftliche Lage, Aufenthaltsort oder Ortswechsel, zu analysieren oder vorherzusagen. Pseudonymisierung – Verarbeitung personenbezogener Daten dergestalt, dass ohne Hinzuziehung zusätzlicher Informationen die Daten nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Voraussetzung ist aber, dass diese gesondert aufbewahrt und somit geschützt sind. Das Pseudonymisieren unterstützt den Verantwortlichen sowie den Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten. Die vorschriftsgemäße Pseudonymisierung ermöglicht das Nutzen von Daten innerhalb eines Unternehmens bzw. einer Unternehmensgruppe. Es sind dann aber technisch-organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass keine Zuordnung / Identifizierung erfolgen kann. Dateisystem – jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind; d. h. alle Inkassoprogramme, aber auch sonstige strukturierte Datensammlungen, mit denen Auswertungen und Suchen durchgeführt werden können. DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 37 DATENSCHUTZ Verantwortlicher – natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeiter – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Empfänger – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden – egal ob es sich um einen Dritten handelt oder nicht. Dritter – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle. Ausgenommen sind damit die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters (z. B. Mitarbeiter) befugt sind, personenbezogene Daten zu verarbeiten. Einwilligung – jede freiwillige für den bestimmten Fall unmissverständlich abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung (auch elektronisch oder mündlich) oder einer sonstigen eindeutigen Handlung (»konkludent«), mit der sie bekundet, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Verletzung des Schutzes personenbezogener Daten – Verletzung der Sicherheit, wenn es zur Vernichtung, zum Verlust oder zur unbefugten Offenlegung führt. Betrifft alle personenbezogenen Daten. Gesundheitsdaten – personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person (Achtung: nicht nur der betroffenen Person), einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Relevant für Inkassounternehmen, soweit eine Forderungsbearbeitung für Mandanten aus dem Bereich der Heilberufe erfolgt. Unternehmensgruppe – eine Gruppe, die aus einem herrschenden und von diesen abhängigen weiteren Unternehmen besteht. Verbindliche interne Datenschutzvorschriften – Maßnahmen bei der Datenübermittlung zum Schutz personenbezogener Daten innerhalb einer Unternehmensgruppe (ggf. auch mit Wirtschaftstätigkeit in Drittländern). Aufsichtsbehörde – unabhängige, staatliche Stelle. Betroffene Aufsichtsbehörde – entweder ist der Verantwortliche oder der Auftragsverarbeiter im Verantwortungsbereich dieser Aufsichtsbehörde niedergelassen oder die Verarbeitung hat erhebliche Auswirkungen auf die betroffene Person mit Wohnsitz in dem Verantwortungsbereich oder die betroffene Person hat eine Beschwerde bei dieser Aufsichtsbehörde eingereicht. Drittland – der Begriff ist in Art. 4 nicht konkret geregelt, wird aber in der DS-GVO verwendet. Darunter ist Folgendes zu verstehen: Drittländer sind alle Staaten, die nicht der Europäischen Union angehören. Das ergibt sich aus der Regelung des Art. 3 (»Räumlicher Anwendungsbereich«). Übermittlungen personenbezogener Daten an Drittländer (Achtung: auch wenn Cloud-Dienste außerhalb der EU genutzt werden) dürfen demgemäß nur dann vorgenommen werden, wenn die EU-Kommission einen entsprechenden Angemessenheitsbeschluss nach Art. 45 getroffen hat. 38 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ 14 || SYNOPSE: DS-GVO-ARTIKEL UND ERWÄGUNGSGRÜNDE Der Verordnungstext kann in allen 24 Sprachfassungen unter folgendem offiziellen Link abgerufen werden: http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1486463316887&uri=CELEX% 3A32016R0679 Neben den konkreten Regelungen (Artikel) finden sich dort einleitend auch die Erwägungsgründe für die DS-GVO. Die Verordnung ist auch über diesen Short-Link abrufbar: http://goo.gl/8MSy35 Unter Erwägungsgründen versteht man die Ziele der EU-Verordnung, die mit den jeweiligen Formulierungen der Artikel verfolgt wurden. Erwägungsgründe sind zwar keine Rechtsnormen, es lohnt sich aber dennoch, einen Blick auf sie zu werfen – denn sie sind sehr hilfreich für die Auslegung der Rechtsnormen. Welche Erwägungsgründe den einzelnen Artikeln der DS-GVO zugrunde liegen, ist folgender Tabelle zu entnehmen: Artikel Artikelüberschrift Erwägungsgründe Art. 3 Räumlicher Anwendungsbereich 22 bis 25 Art. 4 Begriffsbestimmungen 26 bis 37 Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten 39 Art. 6 Rechtmäßigkeit der Verarbeitung 40, 41, 44 bis 50 Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten 51 bis 56 Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person 58, 59 Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person 60 bis 62 Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden 60 bis 62 Art. 15 Auskunftsrecht der betroffenen Person 63, 64 Art. 16 Recht auf Berichtigung 65, 66 Art. 17 Recht auf Löschung (»Recht auf Vergessenwerden«) 65, 66 Art. 20 Recht auf Datenübertragbarkeit 68 Art. 21 Widerspruchsrecht 69, 70 Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling 71, 72 DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 39 DATENSCHUTZ 40 Artikel Artikelüberschrift Erwägungsgründe Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen 74 bis 77 Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 78 Art. 28 Auftragsverarbeiter 81 Art. 30 Verzeichnis von Verarbeitungstätigkeiten 82 Art. 32 Sicherheit der Verarbeitung 83 Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde 85 bis 88 Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person 85 bis 88 Art. 35 Datenschutz-Folgenabschätzung 84, 89 bis 93 Art. 37 Benennung eines Datenschutzbeauftragten 97 Art. 38 Stellung des Datenschutzbeauftragten 97 Art. 51 Aufsichtsbehörde 117 bis 119 Art. 57 Aufgaben 123, 132 Art. 58 Befugnisse 129 Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde 141 Art. 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde 143 Art. 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter 145 Art. 80 Vertretung von betroffenen Personen 142 Art. 82 Haftung und Recht auf Schadenersatz 146, 147 Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen 148, 150, 151 Art. 84 Sanktionen 149, 152 BDIU || Bundesverband Deutscher Inkasso-Unternehmen e.V. DATENSCHUTZ R O M IMPRESSUM Die Europäische Datenschutz-Grundverordnung – Best Practice Guide 1.0 Februar 2017 Herausgeber Bundesverband Deutscher Inkasso-Unternehmen e. V. Friedrichstraße 50--55 || 10117 Berlin Telefon +49 30.206 07 36-0 [email protected] || www.inkasso.de DS-GVO: Best Practice Guide 1.0 || FEBRUAR 2017 Verfasser BDIU-Datenschutzausschuss: Thomas Schauf (Ausschussvorsitzender), Thomas Bürck, Hans Janssen, Ingeborg Kaven, Frank Meinert, Sylvia Mundt, Thomas Stemmer, Ralf Witzgall; Verbandsbeauftragter für den Datenschutz des BDIU: Prof. Dr. Ralf B. Abel; BDIU-Geschäftsstelle: Daniela Gaub Konzept + Gestaltung Nolte | Kommunikation 41
© Copyright 2024 ExpyDoc