Zum Inhalt springen Zur Navigation springen
Datenschutz und Inkasso – Wenn Moskau zweimal klingelt

Datenschutz und Inkasso – Wenn Moskau zweimal klingelt

Wer das Wort Inkasso hört, denkt meist an muskelbepackte Glatzköpfe, welche rücksichtlos Gelder bei säumigen Schuldnern ihrer Auftraggeber eintreiben wollen. Inkassounternehmen genießen in der Allgemeinheit einen eher schlechten Ruf und haben mit vielen Vorurteilen zu kämpfen. Ob dies berechtigt oder unberechtigt ist, mag jeder für sich selbst entscheiden. Dieser Beitrag beleuchtet einmal näher, welche datenschutzrechtlichen Voraussetzungen in diesem Geschäftsfeld zu beachten sind.

Rechtsdienstleistung und Klischees

Was genau ist Inkasso eigentlich? Nach § 2 Abs. 2 S. 1 des Rechtsdienstleistungsgesetzes (RDG) ist unter dem Begriff Inkasso eine Rechtsdienstleistung zu verstehen, die der

„Einziehung fremder oder zum Zweck der Einziehung auf fremde Rechnung abgetretener Forderungen [dient], wenn die Forderungseinziehung als eigenständiges Geschäft betrieben wird.“

Von dem Gläubiger einer Forderung bekommt das Inkassounternehmen also den Auftrag, die Forderung beim Schuldner einzuziehen. Dies erfolgt entweder im eigenen oder im fremden Namen. Wenn das Inkassounternehmen im eigenen Namen tätig wird, hat der Auftraggeber seine Forderung im Regelfall an das Inkassounternehmen verkauft. Das Risiko des Forderungsausfalls trägt dann vollständig das Inkassounternehmen, während der (ehemalige) Gläubiger an Liquidität hinzugewinnt. Das perfekte Geschäftsmodell.

Der Inkassodienstleister muss dann auf seine Expertise vertrauen, um die Forderung auch tatsächlich verwerten zu können. Die Klischees, mit welchen Inkassounternehmen zu kämpfen haben, muss man hier nicht besonders erwähnen. Inkasso-Team Moskau lässt grüßen…

Klar ist aber auch, dass Inkassounternehmen einen wichtigen Zweck erfüllen. Sie sollen einen angemessenen Interessenausgleich zwischen den Beteiligten schaffen. Schließlich kann jeder Forderungsausfall theoretisch nicht unerhebliche Folgen für die Gesamtwirtschaft haben. Die Präsidentin des Bundesverbandes Deutscher Inkasso-Unternehmen e.V., Frau Kirsten Pedd, hat dies wie folgt auf den Punkt gebracht:

„Einfach ausgedrückt: Der pünktlich zahlende Konsument zahlt die Zeche des anderen mit“.

Welche Daten werden gespeichert?

Das wollen wir einmal so stehen lassen. Doch wie kommt das Inkassounternehmen an meine persönlichen Daten? Im Regelfall erhält der Schuldner ein Schreiben vom Inkassounternehmen, mit welchem er aufgefordert wird, einen Betrag X zu zahlen, weil beispielsweise ein offener Kaufvertrag beim Unternehmen Y bestehe. Folgende Daten des Schuldners sind dabei üblicherweise betroffen:

  • Name
  • Anschrift
  • Sonstige Kontaktdaten (Telefonnummer, E-Mail-Adresse etc.)
  • Grund der Forderung
  • Höhe der Forderung sowie Fälligkeit

Woher kommen die Daten?

Die oben genannten Daten(-Kategorien) werden meist vom Auftraggeber an das Inkassounternehmen weitergegeben. Dieses kann auch eigene Ermittlungen anstellen und die daraus gewonnenen Informationen speichern, z. B. durch Einholung einer Bonitätsauskunft. Auch hier gelten natürlich die allgemeinen Grundsätze aus der DSGVO. Insbesondere die Zweckbindung der jeweiligen Datenverarbeitung ist zu nennen. Das Inkassounternehmen verarbeitet die Daten mit dem Ziel der Durchsetzung der Forderungen des Mandanten und im Rahmen des (eigenen) Forderungsmanagements.

Auch dürften nur die Daten verarbeitet werden, welche für den jeweiligen Auftrag erforderlich sind. Im Einzelfall können personenbezogene Daten auch beim Schuldner direkt erhoben werden, wenn beispielsweise eine weitergehende Korrespondenz stattfindet. In jedem Fall müssen die Informationspflichten aus Art. 13 DSGVO bzw. Art. 14 DSGVO beachtet werden.

Welche Rechtsgrundlagen kommen in Betracht?

Keine Datenverarbeitung ohne Rechtsgrundlage! Wer sich jetzt schon freut, weil er vielleicht denkt, ohne meine Einwilligung geht gar nichts, wird leider enttäuscht sein. Es steht jedem Gläubiger frei, einen Dritten in Sachen Forderungseinzug zu beauftragen. Insoweit nimmt ein Inkassounternehmen keine anderen Aufgaben wahr als z. B. ein Rechtsanwalt, welcher hier außergerichtlich tätig wird. In solch einem Fall darf der Gläubiger die Daten, welche das konkrete Forderungsverhältnis betreffen, an den Dienstleister weitergeben. Anderenfalls wäre es dem Inkassounternehmen überhaupt nicht möglich, die Forderung beim Schuldner beizutreiben.

By the way: Auch muss sich jeder Inkassodienstleister bezüglich der Kosten an die geltenden Gebührenvorschriften halten (wie jeder Rechtsanwalt auch). Zumindest mit dem Klischee, dass Inkassodienstleister eigentlich nur arme Leute abzocken, kann man an dieser Stelle einmal aufräumen.

Einwilligung nicht notwendig

Die Datenübermittlung an das Inkassounternehmen kann im Regelfall auf Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) sowie auf Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse) gestützt werden. Zwischen dem Gläubiger und dem Schuldner besteht in den allermeisten Fällen ein Vertragsverhältnis, aus welchem der Schuldner eine Zahlung schuldet. Die Erforderlichkeit ist dann zu bejahen, wenn die konkreten Inkassomaßnahmen notwendig sind, um die Forderung beizutreiben. Dies dürfte z. B. bei größeren Unternehmen mit einer Vielzahl von Vertragspartnern der Fall sein.

In Einzelfällen kann die Datenübermittlung auf das berechtigte Interesse des Auftraggebers gestützt werden. Diese Rechtsgrundlage greift dann ein, wenn kein Vertragsverhältnis zwischen dem beauftragenden Unternehmen und dem Schuldner besteht, sondern die Forderung anderweitig begründet worden ist. Das berechtige Interesse ist die (erfolgreiche) Durchsetzung der Forderung. Überwiegende Interessen des Schuldners dürften im Regelfall nicht vorliegen, zumindest dann nicht, wenn die Forderung unzweifelhaft besteht.

Eine Einwilligung ist, abseits von Fällen bei denen besondere personenbezogene Daten verarbeitet werden, keine praktikable Rechtsgrundlage. Es wäre ja auch zu schön, um wahr zu sein, wenn man die Datenübermittlung durch Verweigerung der Einwilligung einfach stoppen könnte. Das Geschäftsmodell würde schneller zum Erliegen kommen, als man „Datenschutz-Grundverordnung“ aussprechen könnte.

Ohne Zweckbindung geht’s nicht

Die gleichen Grundsätze können weitgehend auch bei der folgenden Datenverarbeitung durch das Inkassounternehmen selbst angewendet werden. Dies gilt insbesondere im Rahmen der Forderungsdurchsetzung, da der ursprüngliche Zweck weiterverfolgt wird. In der Praxis kommt es aber häufig vor, dass ein Inkassounternehmen auf die ihm bereits vorliegenden Daten des Schuldners zugreifen möchte, da ein anderer Mandant ebenfalls eine Forderung gegen den Schuldner hat. Hier würde dann eine Verarbeitung zu einem anderen Zweck als dem ursprünglichen vorgenommen werden.

Die Datenverarbeitung zu mehreren Zwecken ist unproblematisch möglich. Dies ergibt sich bereits aus dem klaren Wortlaut des Art. 5 Abs. 1 lit. b) DSGVO. Die Zweckänderung ist an Art. 6 Abs. 4 DSGVO zu messen. Zu prüfen wäre dann, ob der neue Zweck mit dem „alten“ vereinbar ist. Es kommt daher auf den Empfängerhorizont an. Es ist hierbei sicherlich denkbar, dass ein Schuldner damit rechnen muss, dass gegen ihn mehrere Gläubiger durch dasselbe Inkassounternehmen ihre Forderungen geltend machen.

Die Erfahrung zeigt, dass ein Schuldner oft nicht nur einen, sondern eine Vielzahl an Gläubigern hat. Diese wissen sich oft nicht mehr anders zu helfen, als ihre Forderungen von einem „Profi“ einziehen zu lassen. Im Endeffekt kommt es wie so oft auf die Abwägung im Einzelfall an. Erst kürzlich hat das Verwaltungsgericht Mainz entschieden, dass die Forderungsabtretung eines Tierarztes an eine ärztliche Verrechnungsstelle ohne Einwilligung des Tierhalters mit der DSGVO in Einklang stehen kann. Aber: Wären dabei Gesundheitsdaten des Tierhalters weitergegeben worden, wäre dies hingegen wohl nur mit einer Einwilligung möglich gewesen.

Nein heißt nein! – Oder doch nicht?

Problematisch wird es aber, wenn der Schuldner das Bestehen der Forderung grundsätzlich bestreitet. Muss das Inkassounternehmen prüfen, ob und in welcher Höhe die Forderung besteht? Wie sieht es dann mit der Datenverarbeitung aus? Nach allgemeiner Ansicht ist muss das Inkassounternehmen vor Mandatsübernahme lediglich prüfen, ob die Forderung nicht offensichtlich unbegründet ist. Eine summarische Prüfung auf Schlüssigkeit bzw. Plausibilität dürfte daher ausreichend sein, um die Daten des Schuldners zu verarbeiten. Eine bloße Uneinigkeit zwischen Schuldner und Gläubiger reicht da nicht aus. Anderenfalls wäre eine effektive (und oft auch begründete) Rechtsverfolgung praktisch kaum noch möglich.

Zu dieser Problematik hat sich auch das Bundesverfassungsgericht geäußert. Daraus lässt sich der Schluss ziehen, dass Inkassounternehmen auch zur Geltendmachung von bestrittenen Forderungen grundsätzlich befugt sind. Das hat zur Folge, dass auch eine Datenverarbeitung im erforderlichen Umfang grundsätzlich zulässig ist.

Betroffenenrechte sind zu beachten, aber…

Wenn personenbezogene Daten verarbeitet werden, ist stets daran zu denken, dass die betroffene Person umfangreiche Rechte hat. Diese sind in den Artt. 15 ff. DSGVO geregelt. Kann ich die Verarbeitung meiner Daten also durch einen Widerspruch nach Art. 21 DSGVO stoppen? Nach dieser Vorschrift hat jede

„betroffene Person […] das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen […].“

Grundsätzlich ist ja davon auszugehen, dass die Datenverarbeitung zur Abwicklung des Mandatsverhältnisses rechtmäßig erfolgt. Der betroffene Schuldner muss also gewichtige Gründe vorbringen, warum dies im konkreten Fall nicht zutreffen soll. Dies kann beispielsweise bei einer Verletzung des Persönlichkeitsrechts gegeben sein. Ein einfaches Bestreiten der Forderung dürfte dazu auch hier im Regelfall nicht ausreichen.

Inkassounternehmen als Auftragsverarbeiter?

Im Berateralltag taucht immer wieder die Frage auf, ob Rechtsanwälte, Steuerberater oder eben Inkassounternehmen als Auftragsverarbeiter fungieren. Dies würde die Rechtsfolgen des Art. 28 DSGVO mit all seinen Verpflichtungen auslösen. Während der deutsche Gesetzgeber beispielsweise für Steuerberater eine eindeutige Regelung geschaffen hat, fehlt diese (noch) in Bezug auf Inkassounternehmen. Diese sehen sich meist als Verantwortlicher, da Inkassounternehmen weitgehend weisungsfrei seien und zudem auch personenbezogene Daten aus anderen Quellen als dem Auftraggeber beziehen. Allerdings sprechen auch einige Argumente für eine Einstufung als Auftragsverarbeiter. In der Praxis sollte dies anhand des konkreten Vertragsverhältnisses zwischen Auftraggeber und Inkassounternehmen beurteilt werden. Dafür kann es wie so oft auf kleine Details ankommen.

Löschung bei Zweckfortfall

Häufig taucht auch die Frage auf, wann das Inkassounternehmen die Daten wieder löschen muss. Die Löschung hat gemäß Art. 17 Abs. 1 lit. a) DSGVO zu erfolgen, wenn die personenbezogenen Daten für die Zwecke, für welchen sie verarbeitet werden, nicht mehr notwendig sind. Müssen die Daten also gelöscht werden, sobald das Inkassoverfahren beendet ist? Die Antwort lautet ja und nein. Das Problem ist, dass der Inkassodienstleister die personenbezogenen Daten des Schuldners auf Grund anderer Vorschriften aus dem Handelsrecht oder aus dem Steuerrecht zu speichern hat. Dabei kann der Zeitraum bis zu zehn Jahre betragen.

Sobald das eigentliche Inkassoverfahren abgeschlossen ist, dürften die personenbezogenen Daten grundsätzlich nur noch zu dem Zweck verwendet werden, die genannten gesetzlichen Aufbewahrungspflichten zu erfüllen.

Chance zum Imagewandel?

Dass Inkassodienstleister in der breiten Masse der Bevölkerung ein schlechtes Image haben, liegt nicht nur an den schwarzen Schafen der Branche, welche mit unlauteren Methoden wie Gewaltandrohung oder der Einschüchterung von Schuldnern arbeiten. Auch haben sicherlich die Medien durch teilweise verzerrte Berichterstattung ihr Scherflein dazu beigetragen. Zu den unlauteren Methoden, die in der Vergangenheit bekannt geworden sind, gehören aber auch massive datenschutzrechtliche Verstöße. So kam und kommt es weiterhin nicht selten vor, dass Inkassounternehmen versuchen, Auskünfte über den Schuldner in dessen privatem Umfeld einzuholen oder sie geben personenbezogene Daten des Schuldners unter Verstoß gegen § 31 BDSG an Auskunfteien weiter.

Diese Praktiken sind im Regelfall unzulässig und tragen sicher nicht dazu bei, das Vertrauen in die Brache zu verbessern. Vielleicht ist aber gerade im Datenschutz ein Ansatzpunkt für die Zukunft zu sehen. Möglicherweise kann eine transparente und insbesondere vertrauliche Datenverarbeitung dazu beitragen, dass sich das Image der Inkassobranche zumindest etwas verbessert.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Datenschutz ist wichtig! MOSKAU-INKASSO.com Genau so wichtig ist, dass die Gläubiger ihr Geld zurück bekommen. Leider können in Deutschland, Österreich und der Schweiz die Schuldner sehr leicht sich um Zahlungen drücken. Wenn Schuldner alles probiert haben, wenden sie sich an uns, denn wir sind die letzte Instanz. Übrigens, unsere muskelbepackte Glatzköpfe genießen einen guten Ruf!

  • Sehr informativ – danke!

  • Danke, sehr hilfreich. Wie siehtes mit Art. 13 und Art. 14 aus?
    Muss der Gläubiger vor der Übermittlung den Schuldner informieren? Einerseits kann dies natürlich vorsorglich „blanko“ in den Datenschutzhinweisen passieren, andererseits ist ja vielleicht nicht von Anfang an beabsichtigt gewesen die Daten zu übertragen.
    Wann muss das Inkassounternehmen nach Art. 14 melden? Reicht mit dem ersten Schreiben, in welchem versucht wird die Forderung einzutreiben?

    • Im Regelfall ist es tatsächlich so, dass Unternehmen bereits zur Erfüllung ihrer Informationspflichten nach Art. 13 DSGVO darauf hinweisen, dass eine Übermittlung der personenbezogenen Daten, welche für die Erfüllung des Vertrages erforderlich sind, an ein Inkassounternehmen erfolgen kann. Somit wird der Betroffene spätestens bei Vertragsschluss entsprechend informiert.

      Die Antwort zu Ihrer zweiten Frage ergibt sich aus Art. 14 Abs. 3 DSGVO. Nach Abs. 3 lit. a) muss die Information in einer angemessenen Frist, spätestens innerhalb eines Monats nach Erlangung der Daten, erfolgen. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen (Abs. 3 lit. b), muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen. Da es sich bei der Geltendmachung der Forderung um eine Art der Kommunikation handelt (und diese wohl meist innerhalb eines Monats nach Erhalt der Daten) erfolgt, müsste spätestens mit dem ersten Schreiben an den Schuldner die Information nach Art. 14 DSGVO vorgenommen werden.

  • Hatte die DSK nicht einmal sogar Inkassodienstleister unter Auftragsverarbeiter geführt? Ich meine mich vage an etwas zu erinnern.

    • Hierzu finden sich im Kurzpapier Nr. 13 der DSK einige Ausführungen:
      https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf

      Unstreitig dürfte sein, dass beim Inkassoauftrag mit Forderungsübergang keine Auftragsverarbeitung vorliegt. In diesem Fall ist der (ehemalige) Gläubiger bereits befriedigt und hat im Regelfall keinerlei Interesse mehr am Ausgang des Inkassoverfahrens. Dementsprechend ist auch nicht mehr von einer Weisungsbefugnis gegenüber dem Inkassounternehmen auszugehen.

      Beim Inkassoverfahren ohne Forderungsübergang kann theoretisch ein Auftragsverarbeitung vorliegen. Es kommt hier auf den konkreten Einzelfall, insbesondere auf die Ausgestaltung der Weisungsbefugnis, an.

  • Wie sieht es mit der Datenübertragung ans Inkasso Unternehmen vom Rundfunk aus , muss dieser die Übermittlung vorher angeben? Falls dies nicht geschehen, was kann ich dagegen tun ?

    Vielen Dank für die Hilfe

    • Grundsätzlich gelten auch hier die Regelungen der Art. 13 und 14 DSGVO. Sobald die Arbeitsgemeinschaft der öffentlich-rechtlichen Rundfunkanstalten beabsichtigt, personenbezogenen Daten an ein Inkassounternehmen zum Zwecke des Forderungseinzugs weiterzugeben, müsste der Betroffene vorher darüber informiert werden. Sollte dies nicht der Fall sein, können Sie z. B. Ihr Beschwerderecht aus Art. 77 DSGVO geltend machen.

      Bitte beachten Sie, dass wir im Rahmen unseres Blogs keine konkrete Rechtsberatung anbieten können. Welche Möglichkeiten Sie im Einzelfall haben, sollten Sie mit Ihrem Rechtsanwalt besprechen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.