Datenmanagement

DSGVO

Seit dem 25. Mai 2018 regelt die DSGVO (Datenschutzgrundverordnung) den europaweiten Schutz personenbezogener Daten natürlicher Personen.

Nur noch einzelne, wenige Aspekte dürfen von den EU-Mitgliedsstaaten individuell – im europäischen Kontext – ausgestaltet werden, um das Datenschutzrecht an nationale Gegebenheiten anzupassen, weshalb es etwa. in Deutschland seitdem das neue BDSG gibt. Dort finden sich Regelungen unter anderem zum Beschäftigtendatenschutz, zum Datenschutzbeauftragten und zur Zusammenarbeit der Aufsichtsbehörde.

Sowohl Unternehmen als auch Kunden profitieren von dem nunmehr einheitlich geltenden Datenschutzrecht.


Was ist die DSGVO?

Die EU-DSGVO regelt das Datenschutzrecht in der gesamten EU, das heißt den Umgang mit personenbezogenen Daten. Es werden dabei zwei Hauptziele verfolgt: Das Datenschutzrecht in der EU soll zum einen vereinheitlicht und zum anderen für die betroffenen Personen datenschutzfreundlicher werden.

Da vor dem 25. Mai 2018 in den EU-Ländern teils sehr unterschiedliche Datenschutzregelungen galten, kann nunmehr in der gesamten EU von der Geltung eines weitestgehend gleichförmigen Datenschutzrechts ausgegangen werden (Ausnahme: zum Beispiel das BDSG in Deutschland). Die Beseitigung der früheren Hemmnisse ist insbesondere für jene Unternehmen vorteilhaft, die bei ihrer Tätigkeit auf einen EU-grenzüberschreitenden Datenfluss angewiesen sind.

Die datenschutzfreundliche Gestaltung stärkt und präzisiert die Rechte der betroffenen Personen. Sie erhalten eine bessere Kontrolle über ihre personenbezogenen Daten und weitreichende Rechte. Die DSGVO legt dabei großen Wert darauf, dass dem Einzelnen jederzeit transparent dargestellt werden kann, woher die personenbezogenen Daten kommen, wie mit ihnen umgegangen wird, wozu sie benötigt werden, an wen sie weitergeben wurden und für welchen Zeitraum sie gespeichert werden.

Um eine ordnungsgemäße Verarbeitung von personenbezogenen Daten zu gewährleisten, enthält die DSGVO folgenden sieben Grundsätze, die Unternehmen bei der Verarbeitung personenbezogener Daten zu beachten haben:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit der Daten
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Neben diesen Pflichten der verarbeitenden Unternehmen, hat die betroffenen Person gegenüber dem Unternehmen das Recht auf Auskunft über die verarbeiteten personenbezogenen Daten. Zudem kann sie die Berichtigung unrichtiger Daten verlangen. Außerdem steht der betroffenen Person unter bestimmten Voraussetzungen ein Recht auf Löschung von Daten, Einschränkung der Verarbeitung (früher: sperren) sowie ein Widerspruchsrecht zu.


Für wen gilt die DSGVO?

Zunächst gilt die DSGVO für alle Unternehmen, die in der EU ansässig sind. Aber auch Unternehmen außerhalb der EU müssen die Regelungen beachten, und zwar dann, wenn sie ihre Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Verbrauchern in der EU beobachten. Insoweit ist aber zu berücksichtigen, dass die Kontrolle internationaler Unternehmen sowie die Durchsetzung von Maßnahmen durch die Aufsichtsbehörden naturgemäß schwierig und eingeschränkt ist.


Was sind personenbezogene Daten?

Als personenbezogene Daten werden die Informationen bezeichnet, die sich auf eine identifizierte Person beziehen oder durch die eine Person identifizierbar ist. Zu den personenbezogenen Daten gehören damit zum Beispiel:

  • Name
  • Adresse
  • E-Mailadresse
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • IP-Adresse
  • Standortdaten

Um eine identifizierte Person handelt es sich, wenn sich ihre Identität direkt aus dem Datum selbst ergibt (z. B. Name). Dagegen ist eine Person identifizierbar, wenn ihre Identität durch Zusatzwissen/die Kombination eines Datums mit einer anderen Information feststellbar wird (z. B. Abgleich der IP-Adresse mit Providerdaten).

Darüber hinaus gibt es besondere Kategorien personenbezogener Daten, die einen höheren Schutz genießen. Dazu zählen Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische, biometrische und Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Der Schutz bezieht sich zudem ausschließlich auf natürliche (lebende) Menschen. Die Angaben über juristische Personen (z. B. einer GmbH) unterliegen damit nicht den Reglungen der DSGVO und des BDSG (neu). Ausnahmen gelten hier aber für die hinter den juristischen Personen stehenden Menschen (z. B. Geschäftsführer).


DSGVO im Forderungsmanagement

Inkassounternehmen haben als Verantwortliche die datenschutzrechtlichen Regelungen zu befolgen, denn im Rahmen der Geltendmachung von Forderungen ist die Verarbeitung personenbezogener Daten zur Forderungsdurchsetzung und Vertragserfüllung unbedingt erforderlich.

Daher haben die Inkassounternehmen die zuvor dargestellten Pflichten und die Rechte der betroffenen Personen einzuhalten bzw. zu beachten.

Die Verarbeitung personenbezogener Daten ist zulässig, wenn die Kriterien mindestens einer der in der DSGVO geregelten Erlaubnisse erfüllt sind. Beim Forderungsmanagement sind insoweit verschiedene Grundlagen bedeutsam. So ist die Verarbeitung insbesondere zur Erfüllung eines Vertrages (Verarbeitungen im Rahmen von Zahlungsverpflichtungen), zur Erfüllung rechtlicher Verpflichtungen (z. B. gesetzliche Aufbewahrungspflichten aus der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB) und dem Umsatzsteuergesetz (UStG)) oder auch zur Wahrung der berechtigten Interessen des Inkassounternehmens oder dessen Kunden erlaubt, sofern im letzten Fall nicht die Interessen der betroffenen Person überwiegen.

Diese Regelungen sind aber nicht nur Grundlage für die Geltendmachung von Forderungen, sondern etwa auch für die Einleitung von Ermittlungen, die Einholung von Bonitätsauskünften und die Einmeldung von Forderungen bei Auskunfteien.