Unternehmen, die offene Forderungen durchsetzen, greifen häufig auf Inkassodienstleister zurück oder versenden selbst entsprechende Schreiben. Spätestens dann stellt sich die Frage, in welchem Umfang personenbezogene Daten verarbeitet werden dürfen und welche datenschutzrechtlichen Anforderungen einzuhalten sind. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat hierzu eine ausführliche FAQ-Handreichung veröffentlicht, die insbesondere für Unternehmen mit Inkassobezug praxisrelevant ist.
Inkasso und Datenschutz – warum beides untrennbar ist
Inkassotätigkeiten sind ohne die Verarbeitung personenbezogener Daten nicht denkbar. Bereits die Weitergabe einer Forderung an einen Inkassodienstleister setzt voraus, dass Informationen über die betroffene Person übermittelt werden. Dazu zählen insbesondere Identitäts- und Kontaktdaten sowie Angaben zur offenen Forderung. Nach Auffassung der Datenschutzaufsicht handelt es sich hierbei um eine Verarbeitung personenbezogener Daten im Sinne der DSGVO, die einer tragfähigen Rechtsgrundlage bedarf.
Welche Pflichten treffen Unternehmen beim Inkassoschreiben?
Aus Sicht des ursprünglich fordernden Unternehmens ist zunächst maßgeblich, dass die Weitergabe der Forderungsdaten datenschutzrechtlich zulässig erfolgt. Eine gesonderte Einwilligung der betroffenen Person ist hierfür nicht erforderlich. Die Übermittlung kann auch nach der Einschätzung des HmbBfDI entweder auf die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) und/oder auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden, sofern die Durchsetzung der Forderung im Vordergrund steht.
Unternehmen müssen jedoch sicherstellen, dass nur solche Daten weitergegeben werden, die für die Forderungsdurchsetzung erforderlich sind. Die datenschutzrechtliche Verantwortung endet nicht mit der Übergabe an den Inkassodienstleister. Vielmehr bleibt das Unternehmen dafür verantwortlich, dass die beauftragte Stelle die Daten rechtskonform verarbeitet.
Wann darf ein Inkassodienstleister Daten an Dritte weitergeben?
Kommt Inkassopost als unzustellbar zurück, dürfen Inkassodienstleister zur Adressermittlung externe Dienstleister einschalten. Die Aufsichtsbehörde bewertet dieses Vorgehen als zulässig, da es der effektiven Durchsetzung berechtigter Forderungen dient. Voraussetzung ist, dass der Datenverarbeitung keine überwiegenden Interessen der betroffenen Person entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO). Bei einer Adressermittlung liegt die Verantwortlichkeit dafür, korrekte Daten zu liefern, beim Adressdienstleister, nicht mehr bei dem (Inkasso)unternehmen.
Ebenso ist die Einholung von Bonitätsinformationen, etwa bei Wirtschaftsauskunfteien wie der SCHUFA, möglich, sofern ein wirtschaftliches Interesse besteht. Dies kann insbesondere dann gegeben sein, wenn geprüft wird, ob gerichtliche Schritte erfolgversprechend sind. Auch die Übermittlung offener Forderungen an Auskunfteien ist nicht ausgeschlossen, muss jedoch die gesetzlichen Voraussetzungen erfüllen. Hierzu zählen die in § 31 Abs. 2 BDSG geregelten Vorbedingungen wie wiederholte Mahnungen und einen vorherigen Hinweis an die betroffene Person.
Kommunikation per E‑Mail
Für die elektronische Kommunikation stellt der HmbBfDI klar, dass bei Inkassodaten keine besonders schützenswerten Daten im Sinne von Art. 9 DSGVO vorliegen. Daher genügt im Regelfall eine qualifizierte Transportverschlüsselung beim Versand von E‑Mails. Eine durchgängige Ende‑zu‑Ende‑Verschlüsselung wird nicht generell verlangt. Die Behörde verweist insoweit auch auf die Vorgabe BSI TR-03108 „Sicherer E-Mail-Transport“ und die Orientierungshilfe der DSK vom 16. Juni 2021.
Umgang mit Löschungsverlangen
Löschungsverlangen im Sinne des Art. 17 DSGVO sind im Inkassokontext differenziert zu prüfen. Der HmbBfDI stellt zunächst klar, dass ein Anspruch auf Löschung nach Art. 17 Abs. 1 lit. a) DSGVO voraussetzt, dass die personenbezogenen Daten für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind. Diese Voraussetzung ist während eines laufenden Inkassoverfahrens regelmäßig nicht erfüllt. Solange eine Forderung verfolgt wird, besteht ein fortdauernder Zweck der Datenverarbeitung, nämlich die Durchsetzung oder zumindest die rechtliche Klärung der Forderung.
Darüber hinaus besteht nach Art. 17 Abs. 3 lit. e) DSGVO ebenfalls dann kein Anspruch auf Löschung, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Dies erfasst nicht nur aktive Inkassomaßnahmen, sondern auch die Vorhaltung von Daten zur Absicherung gegen spätere Einwendungen oder rechtliche Auseinandersetzungen. Der Ausschlusstatbestand greift unabhängig davon, ob die Forderung letztlich erfolgreich durchgesetzt wird.
Auch nach Abschluss des Inkassovorgangs kann ein Löschungsverlangen unbegründet sein. In diesen Fällen steht Art. 17 Abs. 3 lit. b) DSGVO einer Löschung entgegen, sofern gesetzliche Aufbewahrungspflichten eine weitere Speicherung verlangen. Solche können sich insbesondere aus handels- und steuerrechtliche Aufbewahrungsfristen aus den § 257 HGB und § 147 AO ergeben. Wird eine Rechtsanwaltskanzlei als Inkassodienstleister tätig, greift § 50 BRAO, wonach die geführte Akte für bis zu sechs Jahre nach Abschluss des Vorgangs aufzubewahren ist. Die Datenschutzaufsicht betont ausdrücklich, dass diese Grundsätze selbst dann gelten, wenn sich nachträglich herausstellt, dass eine Person zu Unrecht als Schuldner in Anspruch genommen wurde, etwa aufgrund einer Personenverwechslung.
Dient die Speicherung der Daten allerdings nur noch der Erfüllung der gesetzlicher Nachweis- und Dokumentationspflichten kann ein Betroffener jedoch die Einschränkung der Verarbeitung nach Art. 18 DSGVO verlangen.
Umgang mit Auskunftsersuchen betroffener Personen
Unternehmen und Inkassodienstleister müssen darauf vorbereitet sein, dass angeschriebene Personen Auskunft über die zu ihrer Person verarbeiteten Daten verlangen. Nach den Vorgaben der Datenschutzaufsicht handelt es sich hierbei um ein gesetzlich verankertes Betroffenenrecht, das grundsätzlich zu erfüllen ist. Ein Auskunftsersuchen darf nicht mit dem Hinweis auf laufende Inkassomaßnahmen pauschal zurückgewiesen werden. Die Auskunft hat sich auf die konkret verarbeiteten personenbezogenen Daten sowie auf Zwecke, Empfänger und Speicherfristen zu erstrecken. Zugleich stellt der HmbBfDI klar, dass vor der Auskunftserteilung geeignete Maßnahmen zur Identitätsprüfung zulässig sind, um eine Offenlegung gegenüber unbefugten Dritten zu verhindern. Soweit einzelne Informationen Rechte anderer Personen beeinträchtigen würden, kann der Auskunftsumfang eingeschränkt werden, ohne dass das Auskunftsersuchen insgesamt erledigt wäre.
Fazit
Die FAQ-Handreichung des HmbBfDI macht deutlich, dass Inkassopost kein datenschutzrechtlicher Sonderfall ist, aber eine besonders sorgfältige Verarbeitung personenbezogener Daten verlangt. Unternehmen dürfen Forderungsdaten grundsätzlich weitergeben und Inkassodienstleister einschalten, müssen jedoch stets den Grundsatz der Erforderlichkeit wahren und gesetzliche Rahmenbedingungen einhalten. Wer diese Leitlinien beachtet, bewegt sich auch bei sensibler Inkassokommunikation auf einer datenschutzrechtlich tragfähigen Grundlage.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
