Mindestanforderungen an den Datenschutz im Credit Management 2.0

Mindestanforderungen an den

Datenschutz im Credit Management 2.0

Stephanie Iraschko-Luscher (RAin, CCM)

Christian Huth (CEO CFC - Compliance Factory Consulting GmbH)

Wir steigern Erfolg!

Arbeitskreis Datenschutz

18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021 ● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●

Aktuelles zum Datenschutz bezüglich Credit Management

Stichprobenüberprüfung des berechtigten Interesses durch Auskunfteien

Fehlende Rechtsgrundlage (HmbBfDI)

Verwertung von Insolvenzinformationen aus öffentlichen Registern

Löschfrist Auskunftei ≤ Löschfrist öffentliche Stelle (VG Wiesbaden / OLG Schleswig)

Drittlands Transfer

Neue EU Standardvertragsklauseln (Privacy Shield)

Umfragen der Aufsichtsbehörden zu Datenübermittlungen in Drittstaaten

Einsatz von Dienstleistern zum E-Mail-Versand

Einsatz von Dienstleistern zum Hosting von Internet-Seiten

Einsatz von Webtracking

Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten

Konzerninterner Austausch von Kundendaten und Daten der Beschäftigten


18. Bundeskongress 2021 • Online Live-Streaming • 06.-07. Oktober 2021

● © BvCM e.V. ● Drususdeich 24 ● 47533 Kleve ● Tel.: +49 (0)2821-976710-0 ● www.credit-manager.de ●

2

Credit Management relevante Datenpannen (Auszug) / Bußgeldportal

Datum Bußgeld € Unternehmen Datenpanne

24.09.2021 901.389 Vattenfall Europe Sales

GmbH

02.08.2021 2.000.000 Unser Ö-Bonus Club

GmbH (AT)

Intransparente Datenabgleiche bei Vertragsanfragen für

Neukunden-Sonderverträge in ca. 500 Tsd. Fällen.

Intransparente Einwilligungserklärungen und

unrechtmäßige Verarbeitung von Kundendaten zum Profiling

28.10.2020 30.000 VODAFONE, SAU (ESP) Verarbeitung von Daten eines Dritten aufgrund mangelndem

Identifikationsverfahren bei Vertragsanbahnung.

03.09.2020 8.000 Rechtsanwalt Unerlaubte Verarbeitung der Daten eines mutmaßlichen

Schuldners und eines unbeteiligten Ehepaars.

13.02.2020 20.000 Hamburger

Verkehrsverbund GmbH

Verspätete Meldung einer Datenpanne an betroffene

Personen und Aufsichtsbehörde.

30.07.2019 80.000 Finanzunternehmen Unsachgemäße Entsorgung personenbezogener Daten.




3

Mindestanforderungen an den Datenschutz im Credit Management 2.0

Kapitel-Aufbau (inhaltlich chronologisch):

Grundlagen Vor … Während…

Nach der Kundenbeziehung

Struktur:

Klare, kurz, leichtverständliche Sätze/Hinweise/Definitionen

Vermeidung juristischer Sprache

Erläuterungen /Verweise auf mitgeltende Rechtsgrundlage(n) einblendbar

Weitere Vorgehen:

Auszug der MaDiC 2.0 liegt Hessischer Datenschutz-Aufsichtsbehörde zur Bewertung vor

(auf Empfehlung des vorab einbezogenen HmbBfDI)

Finale Version als Onlineversion mit Checkliste zum Download geplant (2022)

Ggf. Update Blog und FAQ‘s

Besonderheiten




4

Grundlagen: Vertrauliche Informationen

i

i

Vertraulichkeit

Es werden viele vertrauliche Informationen in Kreditabteilungen gespeichert und verarbeitet. Vertrauliche

Kredit Informationen kommt vom lateinischen sind bspw. Wort „Credere“. Mahnungen, Credere heißt Bonitätsinformationen, Vertrauen schenken. Der Bilanzen, Bonitätsauskünfte, Einnahmen- und

Kreditgeber Überschussrechnungen, muss dem Kreditnehmer Dokumente vertrauen, von dass Gerichtsvollziehern, dieser den Kredit zurückzahlt, Informationen und zur Privat- oder Firmeninsolvenz.

der Kreditnehmer muss dem Kreditgeber vertrauen, dass dieser über seinen Kredit

Stillschweigen wahrt.

Das Bankgeheimnis besteht aus der Pflicht der Kreditinstitute zur Verschwiegenheit über kundenbezogene Tatsachen

Vertraulichkeit und Wertungen, meint, dass dieInformationen ihnen im Rahmen nur für einen der Geschäftsverbindung beschränkten Empfängerkreis zum Bankkunden bekannt geworden sind.

vorgesehen Das Bankgeheimnis

Das Bankgeheimnis sind. Weitergabe ist Ausfluss und gilt

des Veröffentlichung dem

allgemeinen

Grunde

Persönlichkeitsrechts.

sind nach nicht nur erwünscht für Kreditinstitute, und sogar muss aber von der Wertung her auch für

teilweise Auf Grund

Unternehmen gesetzlich des Bankgeheimnisses verboten. mit Kreditabteilungen

dürfen Kreditinformationen

herangezogen

grundsätzlich

werden.

nicht ohne

Einwilligung der Betroffenen an Dritte weitergegeben werden.

Bankgeheimnis

Personenbezogene Daten und vertrauliche Informationen

Damit besteht ein Grundzusammenhang zwischen „Kredit“ und „Vertraulichkeit“

Sofern vertrauliche Informationen einen Personenbezug haben (was häufig der Fall ist), gilt das allgemeine

Datenschutzrecht, insbesondere die DSGVO.




5

Grundlagen: Zahlungsarten

i

Bei den Zahlungsarten ist zwischen wirtschaftlich „sicheren“ und „unsicheren“

Zahlungsarten zu unterscheiden.

Als wirtschaftlich unsicher wird eine Zahlart. bezeichnet, wenn ein Risiko besteht, dass die

Forderungen Zahlungsart nicht ohne finanziellen Verlust für den Verkäufer ausgeglichen werden. sicher unsicher

Hier nicht aufgeführte Zahlungsarten müssen separat, gemäß dieser Definition

Kauf auf Rechnung (Überweisung nach Lieferung)

✓

klassifiziert werden.

Lastschrift/SEPA Mandat

✓

Ratenkauf /Leasing /Miete

✓

Beitragszahlung

✓

Nachnahme

✓

Vorkasse / Barzahlung (Überweisung vor Lieferung)

✓

Girocard-Zahlung mit PIN

✓

Girocard-Zahlung (ohne PIN)

✓

Sofortüberweisung

✓

Online-Zahlungsdienste (z.B. Paypal, …)

✓

Kreditkarte

✓




6

Vor der Kundenbeziehung: Bonitätsprüfung / Datenklassifizierung

Daten, die Aussagen zur Bonität eines Betroffenen zulassen, werden wie folgt klassifiziert

Datenklassifizierung Erläuterung Beispiele

Positivdaten

Einhaltung der Zahlungsziele

Weiche Negativdaten Einseitige Erkenntnisse über Nichteinhaltung der

Zahlungsziele

Mahnungen, Inkasso-Übergabe, Beantragung

Mahnbescheid

Harte Negativdaten Nichtzahlung nach Urteil oder gerichtliche

Bestätigung der Zahlungsunfähigkeit

Einleitung der Zwangsvollstreckung; Abgabe einer e.V.,

Insolvenzantrag

Neutrale Daten

Daten, die in erster Linie nicht mit Zahlungswahrscheinlichkeit

und -willigkeit in Zusammenhang

stehen, aber Erkenntnisse dazu zulassen

Wohngegend, Branche, Alter des Unternehmens,

Mitarbeiteranzahl, Geburtsdatum, Beruf, Nationalität,

Flottengröße -zustand, Familienstand

Sensible Daten

Rassische, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen,

Gewerkschaftszugehörigkeit genetische, biometrische Daten. Gesundheitsdaten, Daten zum Sexualleben, der

Persönliche Daten

Daten von Banken des

Betroffenen


sexuellen Orientierung. (Art. 9 DSGVO)

Daten aus der persönlichen Ebene die auf

Zahlungswahrscheinlichkeit und -willigkeit schließen

lassen

Beziehungszustand, persönliche Schulden,

Unterhaltsforderungen, Vorstrafen, Sucht, Verhalten in

sozialen Medien

Allgemeines Kontenverhalten, Kontenabfrage



7

Vor der Kundenbeziehung: Bonitätsprüfung aus konzerninternen Quellen

i

Eine Bonitätsprüfung aus konzernverbundenen Quellen bedeutet, Bonitätsinformationen

von anderen Konzerngesellschaften abzufragen bzw. mit diesen auszutauschen. Dies kann

im 1. B2B-Bereich Für Positivdaten gilt zulässig sowohl für B2C sein, als auch um für bspw. B2B ein ein Einwilligungsvorbehalt, konzernweites da die Kreditlimit berechtigten Interessen zu bestimmen des oder

anfragenden Unternehmens nicht überwiegen. Die Frage der Bonität wird danach ausreichend für das anfragende

zum Schutz des Konzernvermögens

Unternehmen abgegrenzt, ob Negativmerkmale vorliegen.

2. Für weiche Negativmerkmale Datenklassifizierung gilt im B2B-Bereich ein überwiegendes B2B Interesse des anfragenden Konzernunternehmens, B2C

im

B2C-Bereich besteht ein Einwilligungsvorbehalt, weil es ein zu großer Eingriff in die Rechte und Freiheiten der Verbraucher ist.

3. Harte Negativmerkmale Positiv werden veröffentlicht, bzw. können öffentlich + abgerufen werden. Insoweit können + diese Daten zur

Bonitätsprüfung ausgetauscht werden.

Negativ (weich) +

4. Bei neutralen Daten im B2B-Bereich ist dies wegen überwiegenden Interesses und im B2C-Bereich mit Einwilligung zulässig,

da neutrale Daten Negativ anders (hart) als persönliche Daten in der Persönlichkeitshierarchie ein Weniger sind. In diese Datenverarbeitung

kann auch ein Verbraucher einwilligen.

5. Bonitätsdaten

Neutral

aus der persönlichen Ebene / aus der sensiblen Ebene zu

gewinnen, ist sowohl im B2B- als

+

auch im B2C-Bereich

nicht zulässig, Sensibel da es einen unverhältnismäßigen Eingriff in die Privatsphäre Nicht zulässig der Betroffenen darstellt. Nicht zulässig

6. s. auch 1.5. #Konzernverbundene Gesellschaften

Persönlich Nicht zulässig Nicht zulässig




8

Während der Kundenbeziehung: Rechnungen

i

i

i

Erstellung und Versand von Rechnungen durch das eigene Unternehmen

Rechnungen Die Anforderungen müssen an die in unveränderbarer Integrität und Datensicherheit Form erstellt ergeben und datensicher aus § 14 UStG, versandt für werden.

personenbezogene Rechnungen aus Art. 32 DSGVO. Zur Datensicherheit gehört, dass

Lettershop

Rechnungen nicht an falsche Empfänger sowie ggf. verschlüsselt versandt werden, ggf.

zum Die Beauftragung Hochladen Der Druck bereitzustellen.

und von Lettershops Versand von ist Rechnungen Auftragsverarbeitung kann durch gemäß externe Art. 28 DSGVO. Dienstleister erfolgen.

Unternehmen und Dienstleister müssen einen entsprechenden Datenschutz-Vertrag

Aufbewahrungsvorschriften

abschließen, und das Unternehmen muss sich von der Einhaltung der

Datensicherheitsvorschriften Alle rechnungsrelevanten beim Dienstleister Daten sind überzeugen. für 10 Jahre aufzubewahren.

Die 10-Jahresfrist ergibt sich aus § 14b Abs. 1 UStG. Die Regelungen für die

Aufbewahrung gelten gleichwohl für analoge als auch für digitale Dokumente.




9

Mitarbeiter als Kunde

i

i

i

Speicherung der Daten außerhalb Personalabteilung

Rechnungen müssen in unveränderbarer Form erstellt und datensicher versandt werden.

Nichtbezahlung von Rechnungen

Das bedeutet, dass vertrauliche Beschäftigungsdaten nicht in der Personalabteilung,

sondern außerhalb dieser gespeichert werden.

Sofern Aus Datenschutzsicht es bei einer Mitarbeiterbestellung wäre eine Separierung der zu „Mitarbeiter-Kunden“ nicht bezahlten Rechnungen, in einen eigenen z.B. zu einer Rücklastschrift kommt, ist darüber

unbedingt Kundenkreis Stillschweigen und Begrenzung zu des wahren.

Das Stillschweigen gilt gegenüber

Zugriffs

Personen,

auf

die

einen

für die

kleinen

Bearbeitung

Personenkreis

der Nichtbezahlung

der Mitarbeiter

der

nicht

Kreditabteilung

erforderlich sind..

sinnvoll.

Auskünfte an die Personalabteilung

Auskünfte an die Personalabteilung über Mitarbeiter dürfen grundsätzlich nicht erteilt werden..

Kredit- und Personalabteilungen sind zwei unterschiedliche Organisationseinheiten, die

grundsätzlich jede für sich alleine Daten verarbeiten. Mit Zustimmung des Mitarbeiters ist

dies möglich oder durch Betriebsversammlungen kann hier etwas anderes geregelt

werden.




10

Besonderheiten: Datenschutzvorfälle

i

Datenschutzvorfälle

Die Kreditabteilung soll Vorfälle mit personenbezogenen Daten an den Datenschutzbeauftragten melden, und zwar innerhalb

von Informationen 72 Stunden die nach für die Kenntnisnahme.

Bewertung des vermeintlichen Datenschutzvorfalls benötigt werden:

‣ Art der Meldung: Neuer oder bereits gemeldeter Vorfall?

‣ Art des vermeintlichen Vorfalls: z.B. Cyberangriff, Datendiebstahl, Falschversand, Fehlentsorgung, etc.

‣ Ort des Vorfalls: Office, Homeoffice, Reise, …etc.

‣ Zeitpunkt des Vorfalls: Datum und Uhrzeit (sofern nicht bekannt, Datum des Bekanntwerdens)

‣ Beschreibung /Schilderung des Vorfalls

‣ Betroffene Datenkategorien: Gesundheitsdaten, Bank- oder Kreditdaten, Kontaktdaten, etc.

‣ Anzahl betroffener Personen

‣ Bekannte / vermutete Folgen der Datenschutzverletzung (Vertraulichkeit, Integrität, Verfügbarkeit)

‣ Mögliche Folgen für betroffene Personen: Identitätsdiebstahl oder –betrug, Diskriminierung, etc.

‣ Maßnahmen, welche ggf. bereits zur Abhilfe/Vorbeugung ergriffen?

‣ Optionale Anhänge / Dateiuploads zur potentiellen Datenpanne

‣ Kontakt (Email, Telefon) für Rückfragen.

s. auch Datenschutzvorfälle_Informationen des HmbBfDI




11

Besonderheiten: Datenschutzfolgeabschätzung

i

Datenschutzfolgeabschätzung

Bei bestimmten Prozessen, muss zusammen mit dem Datenschutzbeauftragten eine Datenschutzfolgenabschätzung

Sofern durchgeführt neue oder geänderte werden. Prozesse oder Verfahren auf Grund

‣ Dies neuer gilt insbesondere Technologien, für

‣ der Art,

Nutzung von Massen-Inkasso,

‣ des Umfangs,

‣ der Nutzung Umstände von und Tools zur Betrugsvermeidung, oder

‣ der Nutzung Zwecke eigener der Verarbeitung Scoring-Tools

voraussichtlich

In einem

ein

ersten

hohes

Schritt

Risiko für

soll

die

hierbei

Rechte und

immer

Freiheiten

erst, im

natürlicher

Rahmen

Personen

einer Abwägung

zur Folge haben

von Wahrscheinlichkeit

können, MUSS eine

und Auswirkung,

Abschätzung Folgen vorgesehenen Verarbeitungsvorgänge (sogenannte Datenschutzfolgeabschätzung) durch den

die Erforderlichkeit einer DSFA geprüft werden.

Verantwortlichen durchgeführt werden (Art. 35 Abs. 1 S. 1 DSGVO).




12

Wie geht es weiter?

Finalisierung der MaDiC 2.0

nach Rückmeldung durch die hessische Landesdatenschutzbehörde

in Abstimmung mit dem BvCM Arbeitskreis Datenschutz

Veröffentlichung der Online Version & der Online Checkliste

für Mitglieder des BvCM

Aussichten für 2022

Synthetische Daten

Künstliche Intelligenz im Datenschutz

Scoring im Bereich persönlicher Daten (social Media)




13

Datenschutz-Quiz* im Credit Management

Neun Fragen zu folgenden Themen

Auskunfteien

Versand von Unterlagen

Bonitätsprüfung

B2B /B2C

Inkasso

Scoring

Drittstaatentransfer

*ab sofort bis 15.11.2021

https://forms.office.com/r/HSqzMaQiN0




14

Vielen Dank für Ihre Aufmerksamkeit (Fragen?)

Spätere Fragen bitte an: sekretariat@credit-manager.de




Mindestanforderungen an den Datenschutz im Credit Management 2.0

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?