Achtung DSGVO bei Forderungseinzug und Datenschutz

Datenschutz und Forderungseinzug

In diesem Beitrag erläutern wir die rechtlichen Anforderungen an die Weitergabe von Schuldnerdaten im Forderungseinzug und geben praktische Tipps für eine DSGVO-konforme Umsetzung.

Die DSGVO regelt die Verarbeitung personenbezogener Daten, zu denen Name, Adresse, Kontodaten oder E-Mail-Adressen von Schuldnern gehören. Jede Verarbeitung – sei es das Speichern, Versenden oder Weitergeben dieser Daten – muss eine Rechtsgrundlage haben und die Prinzipien der DSGVO einhalten, insbesondere:

  • Rechtmäßigkeit (Art. 6 DSGVO): Datenverarbeitung nur mit gesetzlicher Grundlage.
  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten dürfen nur für den Zweck des Forderungseinzugs verwendet werden.
  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Nur notwendige Daten verarbeiten.
  • Transparenz (Art. 13, 14 DSGVO): Schuldner müssen über die Verarbeitung ihrer Daten informiert werden.

Rechtsgrundlage für die Datenverarbeitung

Im Forderungseinzug ist die häufigste Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Beispiele:

  • Vertragsdurchführung: Die Verarbeitung von Daten zur Durchsetzung eines Kaufvertrags oder einer Dienstleistung ist zulässig, z. B. das Versenden von Mahnschreiben.
  • Berechtigtes Interesse: Das Interesse des Gläubigers, offene Forderungen einzutreiben, überwiegt oft die Interessen des Schuldners, sofern die Verarbeitung verhältnismäßig ist.

Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist im Forderungseinzug selten erforderlich, da sie freiwillig sein muss und Schuldner diese in der Regel nicht erteilen.

Weitergabe von Schuldnerdaten: Rechtliche Anforderungen

Die Weitergabe von Schuldnerdaten, z. B. an Inkassounternehmen, Anwälte oder Gerichtsvollzieher, ist nur unter bestimmten Voraussetzungen zulässig. Hier die wichtigsten Anforderungen:

  1. Zweckbindung und Notwendigkeit
    Daten dürfen nur weitergegeben werden, wenn dies für den Forderungseinzug erforderlich ist. Beispielsweise dürfen nur Name, Adresse und Forderungshöhe an ein Inkassounternehmen übermittelt werden, nicht aber irrelevante Informationen wie Geburtsdaten.
  2. Auftragsverarbeitung (Art. 28 DSGVO)
    Wenn ein Inkassounternehmen oder eine Cloud-Software im Auftrag des Gläubigers Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Der AVV muss Regelungen zu Datensicherheit, Löschfristen und Kontrollrechten enthalten.
  3. Direkte Beauftragung Dritter
    Bei der Beauftragung von Anwälten oder Gerichtsvollziehern handelt es sich nicht um Auftragsverarbeitung, da diese eigenverantwortlich handeln. Dennoch muss die Weitergabe auf das Notwendige beschränkt bleiben, und der Schuldner ist zu informieren (Art. 14 DSGVO).
  4. Datensicherheit (Art. 32 DSGVO)
    Die Weitergabe von Daten muss sicher erfolgen, z. B. durch verschlüsselte E-Mails oder sichere Portale. Unverschlüsselte Übermittlung per E-Mail oder Fax ist riskant und kann einen DSGVO-Verstoß darstellen.
  5. Informationspflichten (Art. 13, 14 DSGVO)
    Schuldner müssen darüber informiert werden, dass ihre Daten an Dritte weitergegeben werden. Dies kann z. B. in der Datenschutzerklärung auf der Website des Gläubigers oder im Mahnschreiben erfolgen. Die Information muss den Empfänger der Daten, den Zweck und die Rechtsgrundlage nennen.
  6. Datenweitergabe ins Ausland
    Bei der Weitergabe von Daten außerhalb der EU (z. B. an ein internationales Inkassounternehmen) gelten zusätzliche Anforderungen, wie Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission (Art. 44 ff. DSGVO).

Häufige Fehler und wie man sie vermeidet

  • Fehlende AVV: Ohne Auftragsverarbeitungsvertrag mit Inkassounternehmen oder Softwareanbietern drohen Bußgelder. Lösung: Vor Beauftragung einen AVV abschließen.
  • Unzureichende Information: Schuldner werden nicht über die Datenweitergabe informiert. Lösung: Integrieren Sie eine Datenschutzhinweis in Mahnschreiben oder auf Ihrer Website.
  • Unsichere Datenübermittlung: Daten werden unverschlüsselt versendet. Lösung: Nutzen Sie verschlüsselte Kommunikationswege wie SFTP oder verschlüsselte E-Mails.
  • Übermäßige Datenweitergabe: Es werden mehr Daten weitergegeben als nötig. Lösung: Prüfen Sie vor der Weitergabe, welche Daten tatsächlich erforderlich sind.

Praktische Tipps für Gläubiger

  • Datenschutzbeauftragten einbinden: Ein Datenschutzbeauftragter kann sicherstellen, dass Prozesse DSGVO-konform sind.
  • Standardisierte Prozesse etablieren: Nutzen Sie Vorlagen für Mahnschreiben, die Datenschutzhinweise enthalten, und sichere Systeme für die Datenverarbeitung.
  • Seriöse Partner wählen: Beauftragen Sie nur Inkassounternehmen oder Dienstleister, die nachweislich DSGVO-konform arbeiten.
  • Schulungen durchführen: Sensibilisieren Sie Mitarbeiter für den sicheren Umgang mit Schuldnerdaten.
  • Audits durchführen: Überprüfen Sie regelmäßig Ihre Prozesse, um Schwachstellen zu identifizieren und zu beheben.

 

Rechtsanwalt Fabian Fritsch: „Die DSGVO stellt hohe Anforderungen an den Forderungseinzug, insbesondere bei der Weitergabe von Schuldnerdaten. Mit klaren Prozessen, sicheren Übermittlungswegen und der Einhaltung der Informationspflichten können Gläubiger jedoch rechtssicher handeln. Eine DSGVO-konforme Datenverarbeitung schützt nicht nur vor Bußgeldern, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern. Haben Sie Fragen zum datenschutzkonformen Forderungseinzug? Kontaktieren Sie uns – wir unterstützen Sie gerne!“

Kontaktformular

Anfahrt