Mindestanforderungen an den Datenschutz im Credit Management 2.0
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Mindestanforderungen an den
Datenschutz im Credit Management 2.0
Stephanie Iraschko-Luscher (RAin, CCM)
Christian Huth (CEO CFC - Compliance Factory Consulting GmbH)
Wir steigern Erfolg!
Arbeitskreis Datenschutz
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021 ● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
Aktuelles zum Datenschutz bezüglich Credit Management
Stichprobenüberprüfung des berechtigten Interesses durch Auskunfteien
Fehlende Rechtsgrundlage (HmbBfDI)
Verwertung von Insolvenzinformationen aus öffentlichen Registern
Löschfrist Auskunftei ≤ Löschfrist öffentliche Stelle (VG Wiesbaden / OLG Schleswig)
Drittlands Transfer
Neue EU Standardvertragsklauseln (Privacy Shield)
Umfragen der Aufsichtsbehörden zu Datenübermittlungen in Drittstaaten
Einsatz von Dienstleistern zum E-Mail-Versand
Einsatz von Dienstleistern zum Hosting von Internet-Seiten
Einsatz von Webtracking
Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten
Konzerninterner Austausch von Kundendaten und Daten der Beschäftigten
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
2
Credit Management relevante Datenpannen (Auszug) / Bußgeldportal
Datum Bußgeld € Unternehmen Datenpanne
24.09.2021 901.389 Vattenfall Europe Sales
GmbH
02.08.2021 2.000.000 Unser Ö-Bonus Club
GmbH (AT)
Intransparente Datenabgleiche bei Vertragsanfragen für
Neukunden-Sonderverträge in ca. 500 Tsd. Fällen.
Intransparente Einwilligungserklärungen und
unrechtmäßige Verarbeitung von Kundendaten zum Profiling
28.10.2020 30.000 VODAFONE, SAU (ESP) Verarbeitung von Daten eines Dritten aufgrund mangelndem
Identifikationsverfahren bei Vertragsanbahnung.
03.09.2020 8.000 Rechtsanwalt Unerlaubte Verarbeitung der Daten eines mutmaßlichen
Schuldners und eines unbeteiligten Ehepaars.
13.02.2020 20.000 Hamburger
Verkehrsverbund GmbH
Verspätete Meldung einer Datenpanne an betroffene
Personen und Aufsichtsbehörde.
30.07.2019 80.000 Finanzunternehmen Unsachgemäße Entsorgung personenbezogener Daten.
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
3
Mindestanforderungen an den Datenschutz im Credit Management 2.0
Kapitel-Aufbau (inhaltlich chronologisch):
Grundlagen Vor … Während…
Nach der Kundenbeziehung
Struktur:
Klare, kurz, leichtverständliche Sätze/Hinweise/Definitionen
Vermeidung juristischer Sprache
Erläuterungen /Verweise auf mitgeltende Rechtsgrundlage(n) einblendbar
Weitere Vorgehen:
Auszug der MaDiC 2.0 liegt Hessischer Datenschutz-Aufsichtsbehörde zur Bewertung vor
(auf Empfehlung des vorab einbezogenen HmbBfDI)
Finale Version als Onlineversion mit Checkliste zum Download geplant (2022)
Ggf. Update Blog und FAQ‘s
Besonderheiten
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
4
Grundlagen: Vertrauliche Informationen
i
i
Vertraulichkeit
Es werden viele vertrauliche Informationen in Kreditabteilungen gespeichert und verarbeitet. Vertrauliche
Kredit Informationen kommt vom lateinischen sind bspw. Wort „Credere“. Mahnungen, Credere heißt Bonitätsinformationen, Vertrauen schenken. Der Bilanzen, Bonitätsauskünfte, Einnahmen- und
Kreditgeber Überschussrechnungen, muss dem Kreditnehmer Dokumente vertrauen, von dass Gerichtsvollziehern, dieser den Kredit zurückzahlt, Informationen und zur Privat- oder Firmeninsolvenz.
der Kreditnehmer muss dem Kreditgeber vertrauen, dass dieser über seinen Kredit
Stillschweigen wahrt.
Das Bankgeheimnis besteht aus der Pflicht der Kreditinstitute zur Verschwiegenheit über kundenbezogene Tatsachen
Vertraulichkeit und Wertungen, meint, dass dieInformationen ihnen im Rahmen nur für einen der Geschäftsverbindung beschränkten Empfängerkreis zum Bankkunden bekannt geworden sind.
vorgesehen Das Bankgeheimnis
Das Bankgeheimnis sind. Weitergabe ist Ausfluss und gilt
des Veröffentlichung dem
allgemeinen
Grunde
Persönlichkeitsrechts.
sind nach nicht nur erwünscht für Kreditinstitute, und sogar muss aber von der Wertung her auch für
teilweise Auf Grund
Unternehmen gesetzlich des Bankgeheimnisses verboten. mit Kreditabteilungen
dürfen Kreditinformationen
herangezogen
grundsätzlich
werden.
nicht ohne
Einwilligung der Betroffenen an Dritte weitergegeben werden.
Bankgeheimnis
Personenbezogene Daten und vertrauliche Informationen
Damit besteht ein Grundzusammenhang zwischen „Kredit“ und „Vertraulichkeit“
Sofern vertrauliche Informationen einen Personenbezug haben (was häufig der Fall ist), gilt das allgemeine
Datenschutzrecht, insbesondere die DSGVO.
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
5
Grundlagen: Zahlungsarten
i
Bei den Zahlungsarten ist zwischen wirtschaftlich „sicheren“ und „unsicheren“
Zahlungsarten zu unterscheiden.
Als wirtschaftlich unsicher wird eine Zahlart. bezeichnet, wenn ein Risiko besteht, dass die
Forderungen Zahlungsart nicht ohne finanziellen Verlust für den Verkäufer ausgeglichen werden. sicher unsicher
Hier nicht aufgeführte Zahlungsarten müssen separat, gemäß dieser Definition
Kauf auf Rechnung (Überweisung nach Lieferung)
✓
klassifiziert werden.
Lastschrift/SEPA Mandat
✓
Ratenkauf /Leasing /Miete
✓
Beitragszahlung
✓
Nachnahme
✓
Vorkasse / Barzahlung (Überweisung vor Lieferung)
✓
Girocard-Zahlung mit PIN
✓
Girocard-Zahlung (ohne PIN)
✓
Sofortüberweisung
✓
Online-Zahlungsdienste (z.B. Paypal, …)
✓
Kreditkarte
✓
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
6
Vor der Kundenbeziehung: Bonitätsprüfung / Datenklassifizierung
Daten, die Aussagen zur Bonität eines Betroffenen zulassen, werden wie folgt klassifiziert
Datenklassifizierung Erläuterung Beispiele
Positivdaten
Einhaltung der Zahlungsziele
Weiche Negativdaten Einseitige Erkenntnisse über Nichteinhaltung der
Zahlungsziele
Mahnungen, Inkasso-Übergabe, Beantragung
Mahnbescheid
Harte Negativdaten Nichtzahlung nach Urteil oder gerichtliche
Bestätigung der Zahlungsunfähigkeit
Einleitung der Zwangsvollstreckung; Abgabe einer e.V.,
Insolvenzantrag
Neutrale Daten
Daten, die in erster Linie nicht mit Zahlungswahrscheinlichkeit
und -willigkeit in Zusammenhang
stehen, aber Erkenntnisse dazu zulassen
Wohngegend, Branche, Alter des Unternehmens,
Mitarbeiteranzahl, Geburtsdatum, Beruf, Nationalität,
Flottengröße -zustand, Familienstand
Sensible Daten
Rassische, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen,
Gewerkschaftszugehörigkeit genetische, biometrische Daten. Gesundheitsdaten, Daten zum Sexualleben, der
Persönliche Daten
Daten von Banken des
Betroffenen
Wir steigern Erfolg!
sexuellen Orientierung. (Art. 9 DSGVO)
Daten aus der persönlichen Ebene die auf
Zahlungswahrscheinlichkeit und -willigkeit schließen
lassen
Beziehungszustand, persönliche Schulden,
Unterhaltsforderungen, Vorstrafen, Sucht, Verhalten in
sozialen Medien
Allgemeines Kontenverhalten, Kontenabfrage
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
7
Vor der Kundenbeziehung: Bonitätsprüfung aus konzerninternen Quellen
i
Eine Bonitätsprüfung aus konzernverbundenen Quellen bedeutet, Bonitätsinformationen
von anderen Konzerngesellschaften abzufragen bzw. mit diesen auszutauschen. Dies kann
im 1. B2B-Bereich Für Positivdaten gilt zulässig sowohl für B2C sein, als auch um für bspw. B2B ein ein Einwilligungsvorbehalt, konzernweites da die Kreditlimit berechtigten Interessen zu bestimmen des oder
anfragenden Unternehmens nicht überwiegen. Die Frage der Bonität wird danach ausreichend für das anfragende
zum Schutz des Konzernvermögens
Unternehmen abgegrenzt, ob Negativmerkmale vorliegen.
2. Für weiche Negativmerkmale Datenklassifizierung gilt im B2B-Bereich ein überwiegendes B2B Interesse des anfragenden Konzernunternehmens, B2C
im
B2C-Bereich besteht ein Einwilligungsvorbehalt, weil es ein zu großer Eingriff in die Rechte und Freiheiten der Verbraucher ist.
3. Harte Negativmerkmale Positiv werden veröffentlicht, bzw. können öffentlich + abgerufen werden. Insoweit können + diese Daten zur
Bonitätsprüfung ausgetauscht werden.
Negativ (weich) +
4. Bei neutralen Daten im B2B-Bereich ist dies wegen überwiegenden Interesses und im B2C-Bereich mit Einwilligung zulässig,
da neutrale Daten Negativ anders (hart) als persönliche Daten in der Persönlichkeitshierarchie ein Weniger sind. In diese Datenverarbeitung
kann auch ein Verbraucher einwilligen.
5. Bonitätsdaten
Neutral
aus der persönlichen Ebene / aus der sensiblen Ebene zu
gewinnen, ist sowohl im B2B- als
+
auch im B2C-Bereich
nicht zulässig, Sensibel da es einen unverhältnismäßigen Eingriff in die Privatsphäre Nicht zulässig der Betroffenen darstellt. Nicht zulässig
6. s. auch 1.5. #Konzernverbundene Gesellschaften
Persönlich Nicht zulässig Nicht zulässig
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
8
Während der Kundenbeziehung: Rechnungen
i
i
i
Erstellung und Versand von Rechnungen durch das eigene Unternehmen
Rechnungen Die Anforderungen müssen an die in unveränderbarer Integrität und Datensicherheit Form erstellt ergeben und datensicher aus § 14 UStG, versandt für werden.
personenbezogene Rechnungen aus Art. 32 DSGVO. Zur Datensicherheit gehört, dass
Lettershop
Rechnungen nicht an falsche Empfänger sowie ggf. verschlüsselt versandt werden, ggf.
zum Die Beauftragung Hochladen Der Druck bereitzustellen.
und von Lettershops Versand von ist Rechnungen Auftragsverarbeitung kann durch gemäß externe Art. 28 DSGVO. Dienstleister erfolgen.
Unternehmen und Dienstleister müssen einen entsprechenden Datenschutz-Vertrag
Aufbewahrungsvorschriften
abschließen, und das Unternehmen muss sich von der Einhaltung der
Datensicherheitsvorschriften Alle rechnungsrelevanten beim Dienstleister Daten sind überzeugen. für 10 Jahre aufzubewahren.
Die 10-Jahresfrist ergibt sich aus § 14b Abs. 1 UStG. Die Regelungen für die
Aufbewahrung gelten gleichwohl für analoge als auch für digitale Dokumente.
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
9
Mitarbeiter als Kunde
i
i
i
Speicherung der Daten außerhalb Personalabteilung
Rechnungen müssen in unveränderbarer Form erstellt und datensicher versandt werden.
Nichtbezahlung von Rechnungen
Das bedeutet, dass vertrauliche Beschäftigungsdaten nicht in der Personalabteilung,
sondern außerhalb dieser gespeichert werden.
Sofern Aus Datenschutzsicht es bei einer Mitarbeiterbestellung wäre eine Separierung der zu „Mitarbeiter-Kunden“ nicht bezahlten Rechnungen, in einen eigenen z.B. zu einer Rücklastschrift kommt, ist darüber
unbedingt Kundenkreis Stillschweigen und Begrenzung zu des wahren.
Das Stillschweigen gilt gegenüber
Zugriffs
Personen,
auf
die
einen
für die
kleinen
Bearbeitung
Personenkreis
der Nichtbezahlung
der Mitarbeiter
der
nicht
Kreditabteilung
erforderlich sind..
sinnvoll.
Auskünfte an die Personalabteilung
Auskünfte an die Personalabteilung über Mitarbeiter dürfen grundsätzlich nicht erteilt werden..
Kredit- und Personalabteilungen sind zwei unterschiedliche Organisationseinheiten, die
grundsätzlich jede für sich alleine Daten verarbeiten. Mit Zustimmung des Mitarbeiters ist
dies möglich oder durch Betriebsversammlungen kann hier etwas anderes geregelt
werden.
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
10
Besonderheiten: Datenschutzvorfälle
i
Datenschutzvorfälle
Die Kreditabteilung soll Vorfälle mit personenbezogenen Daten an den Datenschutzbeauftragten melden, und zwar innerhalb
von Informationen 72 Stunden die nach für die Kenntnisnahme.
Bewertung des vermeintlichen Datenschutzvorfalls benötigt werden:
‣ Art der Meldung: Neuer oder bereits gemeldeter Vorfall?
‣ Art des vermeintlichen Vorfalls: z.B. Cyberangriff, Datendiebstahl, Falschversand, Fehlentsorgung, etc.
‣ Ort des Vorfalls: Office, Homeoffice, Reise, …etc.
‣ Zeitpunkt des Vorfalls: Datum und Uhrzeit (sofern nicht bekannt, Datum des Bekanntwerdens)
‣ Beschreibung /Schilderung des Vorfalls
‣ Betroffene Datenkategorien: Gesundheitsdaten, Bank- oder Kreditdaten, Kontaktdaten, etc.
‣ Anzahl betroffener Personen
‣ Bekannte / vermutete Folgen der Datenschutzverletzung (Vertraulichkeit, Integrität, Verfügbarkeit)
‣ Mögliche Folgen für betroffene Personen: Identitätsdiebstahl oder –betrug, Diskriminierung, etc.
‣ Maßnahmen, welche ggf. bereits zur Abhilfe/Vorbeugung ergriffen?
‣ Optionale Anhänge / Dateiuploads zur potentiellen Datenpanne
‣ Kontakt (Email, Telefon) für Rückfragen.
s. auch Datenschutzvorfälle_Informationen des HmbBfDI
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
11
Besonderheiten: Datenschutzfolgeabschätzung
i
Datenschutzfolgeabschätzung
Bei bestimmten Prozessen, muss zusammen mit dem Datenschutzbeauftragten eine Datenschutzfolgenabschätzung
Sofern durchgeführt neue oder geänderte werden. Prozesse oder Verfahren auf Grund
‣ Dies neuer gilt insbesondere Technologien, für
‣ der Art,
Nutzung von Massen-Inkasso,
‣ des Umfangs,
‣ der Nutzung Umstände von und Tools zur Betrugsvermeidung, oder
‣ der Nutzung Zwecke eigener der Verarbeitung Scoring-Tools
voraussichtlich
In einem
ein
ersten
hohes
Schritt
Risiko für
soll
die
hierbei
Rechte und
immer
Freiheiten
erst, im
natürlicher
Rahmen
Personen
einer Abwägung
zur Folge haben
von Wahrscheinlichkeit
können, MUSS eine
und Auswirkung,
Abschätzung Folgen vorgesehenen Verarbeitungsvorgänge (sogenannte Datenschutzfolgeabschätzung) durch den
die Erforderlichkeit einer DSFA geprüft werden.
Verantwortlichen durchgeführt werden (Art. 35 Abs. 1 S. 1 DSGVO).
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
12
Wie geht es weiter?
Finalisierung der MaDiC 2.0
nach Rückmeldung durch die hessische Landesdatenschutzbehörde
in Abstimmung mit dem BvCM Arbeitskreis Datenschutz
Veröffentlichung der Online Version & der Online Checkliste
für Mitglieder des BvCM
Aussichten für 2022
Synthetische Daten
Künstliche Intelligenz im Datenschutz
Scoring im Bereich persönlicher Daten (social Media)
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
13
Datenschutz-Quiz* im Credit Management
Neun Fragen zu folgenden Themen
Auskunfteien
Versand von Unterlagen
Bonitätsprüfung
B2B /B2C
Inkasso
Scoring
Drittstaatentransfer
*ab sofort bis 15.11.2021
https://forms.office.com/r/HSqzMaQiN0
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●
14
Vielen Dank für Ihre Aufmerksamkeit (Fragen?)
Spätere Fragen bitte an: sekretariat@credit-manager.de
Wir steigern Erfolg!
18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021
● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●