Mindestanforderungen an den Datenschutz im Credit Management 2.0 (MaDiC 2.0)

Mindestanforderungen an den Datenschutz

im Credit Management 2.0 (MaDiC 2.0)

Version: 2.0

Stand: 2022

Bundesverband Credit Management e.V.

2

Mindestanforderungen an den Datenschutz im Credit Management

Mindestanforderungen an den Datenschutz

im Credit Management 2.0 (MaDiC 2.0)


3

Impressum

1. Auflage, Version 2.0 | 2022

© 2022 BvCM e.V. – Bundesverband Credit Management e.V., Kleve

Das Werk einschließlich aller Abbildungen ist urheberrechtlich geschützt.

Jede Verwertung außerhalb der Grenzen des Urheberrechtgesetzes ist ohne

Zustimmung des Bundesverband Credit Management e.V. unzulässig. Dies gilt

insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen

und die Einspeicherung und Bearbeitung in elektronischen Systemen.

Stand: 2022

Schutzgebühr: 49,50 €

Redaktion:

Arbeitskreis Datenschutz des BvCM e.V.

• Vorsitzende des Arbeitskreises Datenschutz Stephanie Iraschko-Luscher CCM

• Stellvertretender. Vorsitzender des Arbeitskreises Datenschutz Christian Huth

Nachfolgend in alphabetischer Reihenfolge

• Borrmann, Kristina, SOLVENZNAVIGATION Mallorca, Berlin

• Gratz, Andreas, TÜV Rheinland Cert GmbH, Hamburg

• Heinemann, Oliver, Director Legal Datenschutzbeauftragter, Dun & Bradstreet Deutschland GmbH, Darmstadt

• Käschner, Marian, Compliance und Recht, Seghorn AG, Bremen

• Kelzenberg CCM, Bernd - Debitorencontrolling -, Cordes & Graefe KG, Stuhr

• Kessler CCM, Rudolph, BvCM e.V., Präsident, Kleve

• Laarmann, Töns, Credit Manager, Sto SE & Co. KGaA, Stühlingen

• Pagnia, Kristin, Assistant Head of Legal Services Datenschutzbeauftragte, atriga GmbH, Langen

• Reyak, Stefan, Rechtsanwalt, Verband der Vereine Creditreform e.V., Neuss

• Timmermann, Michael, Member of the Executive Board Credit Solutions, AON, Hamburg

4


Impressum


5

Inhaltsverzeichnis

6


Inhaltsverzeichnis

Inhaltsverzeichnis

Vorwort 9

1. Grundlagen 10

1.1.

1.2.

1.3.

1.4.

1.5.

Betroffener

Verantwortlicher

Datenverarbeitung

Vertrauliche Informationen

Konzern

10

10

10

11

11

1.6.

1.7.

Kommunikation

Zahlungsarten

12

13

2. Vor der Kundenbeziehung

14

2.1. Stammdaten

14

2.2.

2.3.

2.4.

2.5.

2.6.

Legitimation in besonderen Fällen

Bonitätsprüfung

Scoring / Profiling

Stichprobenprüfung des berechtigten Interesses durch Auskunfteien

Besonderheiten beim Onlinehandel

14

14

18

19

19

3.

Während der Kundenbeziehung

20

3.1.

3.2.

3.3.

Rechnungen

Zahlungswege

IBAN Validierung

20

20

21

3.4.

3.5.

3.6.

3.7.

Weitergabe von Zahlungserfahrungen an Auskunfteien

Monitoring / Unternehmensinternes Scoring

Internes Mahnverfahren

Inkasso

21

22

22

23

3.8. Factoring

23

3.9. Warenkreditversicherung

23

3.10.

3.11.

3.12.

Verfahren durch Einschaltung von öffentlichen Stellen

Warnlisten

Mitarbeiter als Kunde

24

24

24

4.

Nach der Kundenbeziehung

25

4.1. Allgemeines

25

4.2. Datenlöschung

25

5.

Besonderheiten

26

5.1.

5.2.

5.3.

Datenschutzvorfälle

Datenschutzfolgenabschätzung

Weitergabe von Daten in unsichere Drittstaaten

26

26

26


7

8


Vorwort

Vorwort

Liebe Leserinnen,

liebe Leser,

der BvCM hat die Mindestanforderungen an den Datenschutz im Credit Management (MaDiC) in Verbindung mit

dem damaligen Bundesdatenschutzgesetz BDSG 2010 erstmals herausgegeben. Entstanden sind die MaDiC im

Arbeitskreis Datenschutz, dessen Mitglieder Praktiker aus mehreren Unternehmen, Datenschutzbeauftragte von

Informationsanbietern und auf Datenschutz spezialisierte Juristinnen und Juristen sind. Diese Mischung sorgte dafür, dass

alle Belange des Gesetzes ebenso berücksichtigt wurden wie die Prozesse im Credit Management der Unternehmen, um

ein wirklich praxistaugliches Instrument für die tägliche Arbeit in diesem Bereich mit seinen sehr sensiblen, vertraulichen

personenbezogenen Daten zu schaffen.

Nach dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 war eine Überarbeitung

erforderlich, die wir Ihnen nun mit den MaDiC 2.0 präsentieren können. Sie verfügen damit über eine echte Hilfestellung

für die Praxis, die in dieser Form einmalig ist. Die MaDiC sind vor allem geeignet, die Prozesse im Unternehmen auf ihre

datenschutzrechtliche Tauglichkeit zu prüfen und andererseits Verunsicherungen, Unklarheiten oder Fehlinterpretationen

zu beseitigen. Das gilt besonders für die Überprüfung der Bonität der Kunden, die ja Dreh- und Angelpunkt der Arbeit der

Credit Managerinnen und Credit Manager ist, sowie für die Speicherung und Löschung der Daten.

Wie schon in der ersten Version verzichten auch die MaDiC 2.0 auf juristische Kommentierungen. Vielmehr bauen sie auf

einfachen, klaren Aussagen auf, um die Grundfragen für die Sicherstellung des Datenschutzes im Credit Management

zu beantworten.

Rudolf Keßler CCM

Präsident

Stephanie Iraschko-Luscher CCM

Vorsitzende Arbeitskreis Datenschutz

Oktober, 2022

Hinweis:

Für alle Fragen und Themen über die MaDiC 2.0 hinaus wenden Sie sich bitte an die in Ihrem Unternehmen für

Datenschutz zuständige Abteilung oder Person!

Sofern Sie Anmerkungen zur MaDiC 2.0 haben, senden Sie diese bitte gerne an sekretariat@credit-manager.de.

*Aufgrund der besseren Lesbarkeit wird die männliche Form genutzt. Dies stellt ausdrücklich keine Diskriminierung dar.


9

Grundlagen

1. Grundlagen

1.1. Betroffener

Wenn ein Bezug zu einer natürlichen Person (Betroffener) hergestellt werden kann, unterliegt diese Verarbeitung

personenbezogener Daten den Anforderungen des allgemeinen Datenschutzrechts, insbesondere der DSGVO.

Erläuterung

• KundenwerdeninB2BundB2C- inFirmen-undPrivatkunden- eingeteilt.FürB2C-Kundengilt dasDatenschutzrecht

ohneWeiteres.AberauchfürB2B-KundenkanndasDatenschutzrechtAnwendungfinden,wenneinPersonenbezug

vorliegt.Dabei kann die DSGVO für einzelne Aspekte heranzuziehen sein, aber auch für das gesamte Unternehmen,

wenn es sich bei der Firma um eine natürliche Person handelt (z.B. e. K., OHG, GbR).

• GmbHs sind juristische Personen. Ein Personenbezug kann aber bei einer so genannten Ein-Personen-GmbH

bejaht werden, da die GmbH nur eine Rechtsform ist, aber der Geschäftsführer und Gesellschafter die natürliche

Person „hinter“ der GmbH ist.

• Bei der Frage, ob ein überwiegendes berechtigtes Interesse für die Datenverarbeitung im Creditmanagement

ausreicht oder für die Datenverarbeitung die Einwilligung erforderlich ist, ist die Unterscheidung B2B /

B2C heranzuziehen. Ein gewerblicher Kunde hat mehr Datenverarbeitung ohne Einwilligung zu dulden als

ein Verbraucher, weil er bewusst am Wirtschaftsleben teilnimmt. Aber auch im B2B-Bereich ist nicht jede

Verarbeitung über überwiegende berechtigte Interessen gerechtfertigt. Grenzlinie ist die Unmittelbarkeit zum

Wirtschaftsleben. Je mehr die Datenverarbeitung den persönlichen Bereich der Betroffenen tangiert, ist auch

hier die Einwilligung erforderlich.

1.2. Verantwortlicher

Kreditabteilung

Die Kreditabteilung ist kein Verantwortlicher, sondern eine Organisationseinheit des Verantwortlichen, bzw. es

können auch mehrere Organisationseinheiten sein, die abteilungsübergreifend das Credit Management abbilden.

Erläuterung

• Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein

oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten

entscheidet.

• Ein Verantwortlicher hat jede Verarbeitung auf die Einhaltung der Datenschutzgrundsätze zu rechtfertigen

und unterliegt dem strengen Haftungsregime der DSGVO und weiterer datenschutzrechtlicher Regelungen

(z.B. BDSG).

• Regelmäßig ist der Verantwortliche das Unternehmen, welches die Daten verarbeitet, aber nicht eine

Organisationseinheit des Unternehmens.

1.3. Datenverarbeitung

Datenverarbeitung in der Kreditabteilung

ZurDatenverarbeitunginKreditabteilungengehörenüblicherweisedieArbeitmitScoring-Tools,dieKommunikation

mit Dritten und Kunden, Bilanzauswertungen, Bonitätsprüfungen, Inkassobeauftragung und das Mahnverfahren,

Zusammenarbeit mit Insolvenzverwaltern sowie Beauftragung von Zwangsvollstreckungsmaßnahmen.

Erläuterung

• Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche

Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Legaldefinition).

• Wesentlich ist damit das elektronische Arbeiten mit Daten gemeint, strukturierte schriftliche Aufzeichnungen

fallen jedoch auch unter diese Definition.

10


Grundlagen

1.4. Vertrauliche Informationen

1.4.1. Vertraulichkeit

Es werden viele vertrauliche Informationen in Kreditabteilungen gespeichert und verarbeitet. Je vertraulicher die

Information, desto höher ist der Schutzbedarf, bzw. desto umfangreicher müssen die Maßnahmen sein, um die

Informationen vor dem Zugriff von unberechtigten Dritten zu schützen.

Erläuterung

• Vertrauliche Informationen sind bspw. Mahnungen, Bonitätsinformationen, Bilanzen, Bonitätsauskünfte,

Einnahmen- und Überschussrechnungen, Dokumente von Gerichtsvollziehern, Informationen zur Privat- oder

Firmeninsolvenz.

• Vertraulichkeit meint, dass Informationen nur für einen beschränkten Empfängerkreis vorgesehen sind.

Weitergabe und Veröffentlichung sind nicht erwünscht und sogar teilweise gesetzlich verboten.

1.4.2. Bankgeheimnis

Das Bankgeheimnis besteht aus der Pflicht der Kreditinstitute zur Verschwiegenheit über kundenbezogene

Tatsachen und Wertungen, die ihnen im Rahmen der Geschäftsverbindung zum Bankkunden bekannt geworden

sind.

Das Bankgeheimnis gilt dem Grunde nach nur für Kreditinstitute, muss aber von der Wertung her auch für

Unternehmen mit Kreditabteilungen herangezogen werden.

Erläuterung

• Das Bankgeheimnis ist Ausfluss des allgemeinen Persönlichkeitsrechts. Wegen des Bankgeheimnisses dürfen

Bankinformationen nicht ohne Einwilligung der Betroffenen an Dritte weitergegeben werden.

• Damit besteht ein Grundzusammenhang zwischen Vertraulichkeit und Bankgeheimnis.

1.4.3. Vertrauliche personenbezogene Daten

Sofern vertrauliche Informationen aus Kreditabteilungen einen Personenbezug haben, gilt das Datenschutzrecht.

Erläuterung

• Vertrauliche Informationen können, müssen aber nicht personenbezogen sein (bspw. eine nicht

veröffentlichungspflichtige Bilanz einer Kapitalgesellschaft). Im letzteren Fall kommt das Datenschutzrecht

nicht zur Anwendung.

• Vertraulichkeit, Behandlung von personenbezogenen Daten aus Kreditabteilungen und die Wertung des

Bankgeheimnisses gehen dem Grunde nach alle in eine Richtung:

(1)

(2)

Kreditinformationen nicht ohne Rechtgrundlage/Einwilligung an Dritte weiterzugeben

Informationen vor dem unerlaubten Zugriff Dritter zu schützen.

1.5. Konzern

Konzernverbundene Gesellschaften

Konzernverbundene Gesellschaften gelten datenschutzrechtlich nicht als Einheit, sondern jeweils als selbständige

datenverarbeitende Stellen, so dass eine Weitergabe an ein anderes Konzernunternehmen einer Legitimation

bedarf.

Erläuterung

• Um den internen Datenaustausch zu vereinfachen, sind bspw. der Abschluss von Binding Corporate Rules

(BCR) möglich. Sofern keine BCR vorhanden sind, ist anderweitig sicherzustellen, dass mit allen involvierten

Konzerngesellschaften geeignete Übermittlungsregelungen getroffen werden.

• (Extern) gegenüber den betroffenen Firmen oder Unternehmen bedarf es darüber hinaus einer eigenen

Legitimation.


11

Grundlagen

1.6. Kommunikation

1.6.1. Telefon

1.6.1.1. Identifikation

Bei einem Anruf in der Kreditabteilung ist sicherzustellen, dass der Anrufende sich identifiziert.

Erläuterung

• Aus Datenschutzsicht ist es erforderlich, dass nur der Berechtigte die Informationen erhält und nicht jemand,

der sich für diesen ausgibt.

• Die Sicherstellung der Identifikation kann bspw. durch Nennung von Kundennummer, Firmen- oder

Verbrauchername und Adresse und ggf. Rechnungsnummer, oder auch PIN-Eingabe, etc. erfolgen.

• Dritte, (wie z. Bsp. Familienmitglieder, etc.) die über Sachkenntnis verfügen, deren Vollmacht aber nicht sicher

festgestellt worden ist, sollten keine vertraulichen Informationen erhalten.

1.6.1.2. Aufzeichnung

Sofern Gespräche in Kreditabteilungen aufgezeichnet werden sollen (bspw. um die wesentlichen Teile einer

Ratenzahlungsvereinbarung festzuhalten), ist eine ausdrückliche Einwilligung vor Beginn der Aufzeichnung von

allen Gesprächsteilnehmern einzuholen.

Erläuterung

• Das Recht am eigenen Wort (und damit auch das Recht, ob das gesprochene Wort aufgezeichnet wird) ist

Ausfluss des allgemeinen Persönlichkeitsrechts. Daher ist für eine Aufzeichnung immer eine ausdrückliche

Einwilligung erforderlich.

• Die Einwilligung ist zu dokumentieren (auch per Aufzeichnung möglich).

1.6.1.3. Mithören

Das Mithören von Telefonaten ist nur dann zulässig, wenn der Anrufer oder Angerufene darüber informiert und

auf sein Widerspruchsrecht hingewiesen wird.

Erläuterung

• Das Recht am eigenen Wort gilt auch beim Mithören. Aber da das Mithören gegenüber dem Aufzeichnen

weniger kritisch ist, reicht hier die Information auf den Hinweis bzgl. des Widerspruchsrechts aus.

1.6.2. E-Mail

Es ist sicherzustellen, dass die Kommunikation per E-Mail von vertraulichen Informationen datenschutzkonform

erfolgt.

Erläuterung

• Die E-Mail-Kommunikation ist über das Fernmeldegeheimnis geschützt. Es schützt neben der

Telefonkommunikation auch die Nachricht per E-Mail.

• Folgende Themen sollten bei E-Mails u.a. geprüft werden:

•

•

•

•

•

•

•

•

•

•

Verschlüsselung von E-Mails mit vertraulichem Inhalt / vertraulichen Anlagen.

Versand von vertraulichen Informationen an info@-Adressen oder nicht eindeutige personalisierte

Adressen.

Sensibilität der Betreffzeile.

Verhalten bei längerer Abwesenheit

Integrität der E-Mails

Aktualität und Richtigkeit der E-Mailadresse

Vergrößerung des E-Mail-Verteilers mit weiteren Empfängern bei längerer Kommunikation.

Länge der Kommunikation (zu lange „scrollen“)

Auto-Vervollständigungsfunktion bei E-Mailadressen

Formulierung bzw. Sprachwahl bei sensiblen Kreditthemen.

12


Grundlagen

1.6.3.

Post

Beim Postversand sind die vorbereitenden Prozesse vor dem Versand datenschutzkonform zu gestalten, denn

ab dem Versand trifft die Verantwortlichkeit den Versender.

Erläuterung

• Ein verschlossener Brief unterliegt dem Briefgeheimnis, das heißt, dass nur der Berechtigte diesen öffnen darf.

• Folgende Themen sollten beim Postversand u.a. geprüft werden:

• Prozess: ggf. einen geeigneten Vertraulichkeitsvermerk im Adressfeld berücksichtigten, gerade wenn dem

Anschreiben vertrauliche Dokumente folgen.

•

•

•

Prozesse von Lettershops / Vereinbarungen mit Lettershops.

Zuverlässigkeit von eingesetzten Logistikdienstleistern

Ob im Sichtfenster neben der Adresse noch andere Informationen zu sehen sind.

1.6.4.

Messenger Dienste

Es sollten nur solche Messenger-Dienste genutzt werden, die von IT und Datenschutz ausdrücklich zur

betrieblichen Nutzung freigegeben sind.

Erläuterung

• Kreditinformationen sind sensibel und können häufig negativ für den Betroffenen sein, so dass eine

Kommunikation über Messenger Dienste einen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellt.

Das Mobiltelefon kann ggf. auch von anderen genutzt werden, die diese Informationen nicht erhalten sollen.

Oder der Betroffene erhält eine negative Nachricht in einer privaten Situation, z.B. in einem Restaurant.

• Messenger-Dienste bieten oft keine hinreichende Datensicherheit. Solche Dienste sollten nur verwendet

werden, wenn der Dienst sichere Verschlüsselungsverfahren gewährleistet.

• Hinweis: Es gibt die ersten Bußgelder für die Nutzung von WhatsApp für Bonitätsauskünfte.

1.6.5.

SMS

Kommunikation von Kreditinformationen über SMS ist kritisch zu betrachten.

Erläuterung

• Kreditinformationen sind sensibel und können häufig negativ für den Betroffenen sein, so dass eine

Kommunikation über SMS einenEingriff in das Persönlichkeitsrechts des Betroffenen darstellt. Das Mobiltelefon

kann ggf. auch von anderen genutzt werden, die diese Informationen nicht erhalten sollen. Oder der Betroffene

erhält eine negative SMS in einer privaten Situation, z.B. in einem Restaurant.

1.7. Zahlungsarten

Bei den Zahlungsarten ist zwischen wirtschaftlich „sicheren“ und „unsicheren“ Zahlungsarten zu unterscheiden.

Zahlungsart sicher unsicher

Kauf auf Rechnung (Überweisung nach Lieferung)

Lastschrift / SEPA Mandat

Ratenkauf / Leasing / Miete

Beitragszahlung

Nachnahme

Vorkasse / Barzahlung (Überweisung vor Lieferung)

Girocard-Zahlung mit PIN

Girocard-Zahlung (ohne PIN)

Sofortüberweisung

Online-Zahlungsdienste (z.B. PayPal, …)

Kreditkarte

Erläuterung

• Als wirtschaftlich unsicher wird eine Zahlart bezeichnet, wenn ein Risiko besteht, dass die Forderungen nicht

ohne finanziellen Verlust für den Verkäufer ausgeglichen werden. Hier nicht aufgeführte Zahlungsarten müssen

separat, gemäß dieser Definition klassifiziert werden.

x

x

x

x

x

x

x

x

x

x

x


13

Vor der Kundenbeziehung

2. Vor der Kundenbeziehung

2.1. Stammdaten

Die Aufnahme von Stammdaten eines potentiellen Kunden erfolgt i.d.R. nicht in Kreditabteilungen. Dennoch

werden diese sehr früh im Anbahnungsprozess eingebunden, um hinsichtlich der Kreditwürdigkeit von potentiellen

Kunden zeitnah agieren zu können.

Als Stammdaten werden alle Datensätze bezeichnet, welche im Rahmen der Registrierung, einer Bestellung sowie

ggf. auch zu einem späteren Zeitpunkt erfasst werden, sodass eine Bestellung sowie Rechnungslegung erfolgen

kann. Hierzu gehören insbesondere Adressdaten, Bankdaten und weitere Daten, die dem Auftrag zugeordnet

werden können.

2.2. Legitimation in besonderen Fällen

Identitäts-, Altersfeststellung

Sofern Identitäts- oder Altersfeststellung von natürlichen Personen aus rechtlichen Gründen erforderlich ist, ist

es zulässig, sich ID-Papiere wie z.B. Personalausweise vorlegen zu lassen.

Erläuterung

• Rechtliche Gründe können bspw. sein, wenn der Abschluss eines Vertrages nur für Erwachsene erlaubt ist.

• Ausweiskopien dürfen nur mit Einwilligung des Betroffenen erstellt werden. Die Ausweiskopie muss als solche

zu erkennen sein. Es ist darauf zu achten, dass auch nur die personenbezogenen Merkmale kopiert werden,

welche auch für die Zweckerfüllung erforderlich sind. Ggf. wird lediglich dokumentiert, dass die Identität durch

Vorlage des Personalausweises nachgewiesen werden konnte.

• „Know your Customer“ – Prozesse verlangen die Identifikation von Kunden zur Einhaltung europäischer

Verordnungen (z.B. zur Terrorismusbekämpfung). Die Identifikation kann sich auch auf eine natürliche

Person als wirtschaftlich Berechtigten beziehen. In diesen Fällen ist eine Legitimation datenschutzrechtlich

unbedenklich.

2.3. Bonitätsprüfung

2.3.1. Zulässigkeit

Eine Bonitätsprüfung ist bei Anbieten unsicherer Zahlungsarten zulässig (s. 1.7 Zahlungsarten).

Erläuterung

• Schritt 1: Zuerst ist zu prüfen, ob eine sichere oder unsichere Zahlungsart vorliegt. Eine Bonitätsprüfung ist nur

bei Anbieten einer unsicheren Zahlungsart zulässig. Das heißt, bei einer sicheren Zahlungsart berechtigt auch

eine (ausdrückliche) Einwilligung nicht zu einer entsprechenden Prüfung der Bonität.

• Schritt 2: Liegt eine unsichere Zahlungsart gemäß Schritt 1 vor, ist als nächstes zu prüfen, welche Daten /

Datenquellen für eine Bonitätsprüfung genutzt werden dürfen und ob dafür überwiegendes berechtigtes

Interesse genügt oder eine Einwilligung eingeholt werden muss. Ggf. kann die Datenverarbeitung auch zur

Vertragserfüllung, bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich und damit erlaubt sein.

(Dies hängt von der Qualität des Vertrages ab, zum Beispiel bejahen beim klassischen Darlehensvertrag oder

beim Bürgschaftsvertrag.)

• Eine Bonitätsprüfung muss immer in einem angemessenen Verhältnis zum Kreditrisiko stehen.

14



2.3.2. Datenklassifizierung

Daten, die Aussagen zur Bonität eines Betroffenen zulassen, sollten wie folgt klassifiziert werden:

Datenklassifizierung

Positivdaten

Weiche Negativdaten

Harte Negativdaten

Neutrale Daten

Sensible Daten

Persönliche Daten

Daten von Banken des

Betroffenen

Erläuterung

Beispiele

Einhaltung der Zahlungsziele

Einseitige Erkenntnisse über Nichteinhaltung

der Zahlungsziele

tragung Mahnbescheid

Mahnungen, Inkasso-Übergabe, Bean-

Nichtzahlung nach Urteil oder gerichtliche

Bestätigung der Zahlungsunfähig- Abgabe einer e.V., Insolvenzantrag

Einleitung der Zwangsvollstreckung;

keit

Daten, die in erster Linie nicht mit Zah- Wohngegend, Branche, Alter des Unterlungs-wahrscheinlichkeit

und -willigkeit nehmens, Mitarbeiteranzahl, Geburtsin

Zusammenhang stehen, aber Erkenntnisse

dazu zulassen

-zustand, Familienstand

datum, Beruf, Nationalität, Flottengröße

Rassische, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche

Überzeugungen, Gewerkschaftszugehörigkeit genetische, biometrische

Daten, Gesundheitsdaten, Daten zum Sexualleben, der sexuellen Orientierung.

Art. 9 DSGVO

Daten aus der persönlichen Ebene die Beziehungszustand, persönliche Schulden,

Unterhaltsforderungen, Vorstrafen,

auf Zahlungswahrscheinlichkeit und

-willigkeit schließen lassen

Sucht, Verhalten in sozialen Medien

Allgemeines Kontenverhalten, Kontenabfrage

Erläuterung

• Überwiegendes berechtigtes Interesse: Nachfolgend dargestellt mit Symbol: ✔

(hier reicht ein überwiegendes berechtigtes Interesse gegenüber dem Kunden)

• Einwilligung: Nachfolgend dargestellt mit Symbol: ✚

(hier ist eine Einwilligung vom potenziellen Kunden erforderlich)

• Beides liegt nicht vor: Nachfolgend dargestellt: Nicht zulässig

2.3.3. Kauf von „bereinigten“ Stammdaten (Waschabgleich)

Ein Unternehmen darf „bereinigte“ Daten nur dann erwerben, wenn es unsichere Zahlungsarten anbietet.

Erläuterung

• Der Begriff Waschabgleich bezeichnet im Adresshandel die Bereinigung von Adressbeständen hinsichtlich ihrer

Aktualität und Bonität.

• Verantwortlich für die Zulässigkeit des Waschabgleichs ist das verkaufende Unternehmen.

2.3.4. Bonitätsprüfung aus unternehmensinternen Quellen

Interne neutrale Bonitätsinformationen von potentiellen Kunden können im B2B-Bereich gewonnen werden. Im

B2C-Bereich ist diese Art der Datengewinnung nicht ohne Einwilligung zulässig.


Neutral

Sensibel

Persönlich

Besuch vor Ort

B2B

✔

Nicht zulässig

Nicht zulässig

✔

B2C

✚

Nicht zulässig

Nicht zulässig

Nicht zulässig

„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“

Erläuterung

• Neutrale Daten sind vor allem im B2B-Bereich von Bedeutung, wenn sich z.B. ein Außendienst bei der Firma vor

Ort einen Eindruck verschafft, der Aussagen zur finanziellen Situation zulässt.


15


• Im B2C-Bereich hat diese Art der Erkenntnisgewinnung keine Bedeutung, da die Informationen nicht

vorliegen können, bzw. dürfen. Dürfen deshalb nicht, weil keine Vorratsdatenspeicherung erlaubt ist (durch

Weiterspeicherung von zu löschenden Kundendaten). Für eine Aufereitung der Daten fehlt zudem das

Zusatzwissen, wie es bei Auskunfteien vorliegt.

• Speziell der Besuch Zuhause bei einem Verbraucher, um die Wohnsituation zu bewerten, ist nicht zulässig, da

dies ebenfalls einen unverhältnismäßigen Eingriff darstellt. Hierbei kommt es nicht darauf an, wie hoch das

Kreditrisiko ist.

2.3.5. Bonitätsprüfung aus konzernverbundenen Quellen

Eine Bonitätsprüfung aus konzernverbundenen Quellen bedeutet, Bonitätsinformationen von anderen

Konzerngesellschaften abzufragen bzw. mit diesen auszutauschen. Dies kann im B2B-Bereich zulässig sein, um

bspw. ein konzernweites Kreditlimit zu bestimmen oder zum Schutz des Konzernvermögens. Auf jeden Fall ist nur

eine zweckgerichtete Verarbeitung zulässig. Für den B2C-Bereich ist dies aus Bonitätsgründen eher nicht relevant.

Datenklassifizierung B2B B2C

Positiv

✚

✚ (eher n.r.)

Negativ (weich)

✔

✚ (eher n.r.)

Negativ (hart)

Neutral

✔

✔

✔ (eher n.r.)

✚ (eher n.r.)

Sensibel

Persönlich

Bankauskünfte

Nicht zulässig

Nicht zulässig

+ (AGB)

Nicht zulässig

Nicht zulässig

Bankauskünfte


Erläuterung

• Sofern die Einwilligung zur Bonitätsprüfung erforderlich ist, muss der Kunde des übermittelnden Unternehmens

in die Weitergabe einwilligen.

2.3.6. Auskunfteien

Für eine Information über die Zahlungswahrscheinlichkeit und -willigkeit eines potentiellen Kunden werden

Auskunfteien zur Einholung von Kreditauskünften in Anspruch genommen (s. auch 2.4 Scoring / Profiling).


SCHUFA-Daten

(weiche, harte Negativ-,

Positivdaten, Daten

über Kredite, etc.)

Allgemeine Auskunft

✔

B2B

Nicht relevant

(sofern natürliche Person;

Ein-Personen-GmbH)

✔ (juristische Person)

B2C

✚

kommt auf die Daten an


Erläuterung

• Die Beziehung zwischen Auskunftei und Verantwortlichem ist keine gemeinsame Verarbeitung, da beide

Parteien keinen gemeinsamen Zweck verfolgen und keine gemeinsame Mittel festlegen. Die Auskunftei bietet

nur ihre Dienstleistung an, das anfragende Unternehmen ruft diese nur ab. Das abrufende Unternehmen

entscheidet insbesondere selbst darüber, wie es die von einer Auskunftei angeforderten Daten und Scores für

seine weitere Risikoprüfung bewertet und gewichtet.

16



2.3.7. Zahlungs(erfahrungs-)pools

Von einem Zahlungs(erfahrungs-)pool erhalten Unternehmen Informationen über das Zahlungsverhalten anderer

Kunden, i.d.R. in einem Zahlungsindikator (Score), s. auch 2.4 Scoring/Profiling. Gegenüber dem potenziellen

Kunden gilt folgendes:


Positiv

B2B

✚

Negativ (weich) ✔ (sofern natürliche Person /

Ein-Personen-GmbH)

Negativ (weich)

✔ (juristische Person)

Negativ (hart)

✔


B2C

✚

✔

✔

2.3.8. Bankauskunft

Eine Bankauskunft gibt Informationen über das allgemeine Bankverhalten eines Kunden preis. Für die Erteilung

sind die Banken / Kreditinstitute verantwortlich.


Allgemeines

Kontoverhalten

B2B

✚ (i.d.R. in den AGB der Banken)


B2C

✚

Erläuterung

• Eine Bankauskunft ist nur dann verhältnismäßig, wenn es sich um ein wirtschaftliches größeres Objekt oder

Interesse handelt (und eine unsichere Zahlungsart vorliegt).

2.3.9. Bankkontoabfrage

Bankkontenabfragen sind über die Bankauskünfte hinaus eine Abfrage über einnahmen- wie ausgabenseitige

Aktivitäten und Transaktionen innerhalb von Bankkonten.


Kontenabfrage ✚ ✚


Erläuterung

• Bankkontenabfragen stellen einen besonders intensiven Eingriff für den Betroffenen dar. Aus diesem Grund

sollte eine ausdrückliche Einwilligung hierfür eingeholt werden.

2.3.10. Auskünfte aus öffentlichen Verzeichnissen

Auskünfte aus öffentlichen Verzeichnissen sind Informationen, die durch eine offizielle Partei (z.B. Amtsgericht /

Schuldnerverzeichnis/Handelsregister) festgestellt wurden.


Negativ (hart)

Neutral

B2B

✔

✔ (Firmenexistenz)

B2C

✔

✔ (Gemeldete Adresse)


Erläuterung

• Sofern die Existenz eines Unternehmens aus rechtlichen Gründen oder zur Betrugsvermeidung überprüft

werden muss, ist es zulässig, sich dies durch öffentliche Auskünfte bestätigen zu lassen (wie z.B. Gewerbe- oder

Handelsregisterauskunft, auch Auskünfte von Kammern wie die Rechtsanwaltskammer).

• Eine Abfrage aus öffentlichen Verzeichnissen im B2C-Bereich ist zulässig, um die Adresse zu verifizieren.


17


2.3.11. Informationen aus sozialen Medien und sonstigen öffentlich verfügbaren (unstrukturierten) Quellen

Durch persönliche Informationen aus sozialen Medien lassen sich Aussagen zur Bonität von Betroffenen machen.

Z.B. Fotos aus einem Spielcasino könnten zur Aussage führen, „der ist nicht kreditwürdig, der verspielt sein Geld“.


Soziale Medien und

sonstige öffentlich

verfügbare Quellen

B2B

Nicht zulässig

B2C

Nicht zulässig


Erläuterung

• Die Nutzbarkeit derartiger Informationen bedingt deren rechtmäßigen Beschaffung, der zweifelsfreien

Feststellung der Identitäten der Autoren sowie der Analyse von inhaltlichen Zusammenhängen, was die

umfangreiche Erhebung und Generierung weiterer personenbezogener Daten zur Folge hätte. Dies ist für den

Zweck einer Bonitätsprüfung unverhältnismäßig und damit unzulässig.

2.3.12.Widerspruchs-, Widerrufsrecht

Ein Widerspruchs- bzw. Widerrufsrecht im Rahmen der Bonitätsprüfung findet keine Anwendung auf erbrachte

Leistungen.

Erläuterung

• Für zukünftige Verarbeitungen siehe 3.5 Monitoring

2.4. Scoring / Profiling

2.4.1. Bestandteil der Bonitätsprüfung

Regelmäßig ist das Scoring Bestandteil der Bonitätsprüfung. Ergänzend gilt das zur Bonitätsprüfung Gesagte.

(siehe 2.3 Bonitätsprüfung).

Erläuterung

• Profiling: ist insbesondere jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin

besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die

sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung,

wirtschaftliche Lage…, Zuverlässigkeit, zu analysieren oder vorherzusagen.

• Scoring: meint das Verwenden eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten

einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung

eines Vertragsverhältnisses mit dieser Person. Scoring erfolgt in der Regel in einer Punktebewertung (Score =

Punkt, engl.) Scoring gehört zum Profiling, häufig sind beide synonym, wenn die Bewertung des Profilings in

einer Punktbewertung erfolgt.


Eine Bonitätsprüfung anhand Scorings ist nur bei unsicheren Zahlungsarten zulässig. (siehe 1.7 Zahlungsarten)

2.4.3. Anschriftendaten

Der genutzte Score-Wert darf nicht ausschließlich auf Basis von Anschriftendaten beruhen. Des Weiteren muss

die betroffene Person über die Nutzung von Anschriftendaten vor Berechnung unterrichtet werden (in der Regel

über die Auskunftei, z.B. per Link).


Wohnanschrift nicht relevant ✔ (Mit Unterrichtung)


18



2.4.4. Widerspruchs-, Widerrufsrecht

siehe 2.3.12

2.5. Stichprobenprüfung des berechtigten Interesses durch Auskunfteien

Auskunfteien können gegebenenfalls stichprobenartig das berechtigte Interesse an einer Bonitätsabfrage

überprüfen. Ob eine entsprechende Rechtsgrundlage vorliegt, dazu kann derzeit keine verbindliche Aussage

getroffen werden.

Erläuterung

• Anmerkung: Soweit bekannt, vertritt der Hamburger Beauftragte für Datenschutz und Informationssicherheit

(HmbBfDI) aktuell die Auffassung, dass es keine Rechtsgrundlage zur Überprüfung gibt.

• Schriftliche Äußerungen anderer Landesbehörden (weder für oder gegen) liegen aktuell hier nicht vor.

Wenn keine Rechtsgrundlage zur Stichprobenüberprüfung bejaht werden kann, dürfen Kreditabteilungen, bzw.

Unternehmen, welche die Auskunft eingeholt haben, keine Informationen an die Auskunftei weiterleiten.

Erläuterung

• Für Unternehmen, welche dem Zuständigkeitsbereichs des HmbBfDI unterfallen, bedeutet dies, dass eine

Beantwortung der stichprobenartigen Abfrage nicht zulässig ist.

2.6. Besonderheiten beim Onlinehandel

2.6.1. Unzulässige Zahlartensteuerung

Eine Bonitätsabfrage darf erst nach Auswahl einer wirtschaftlich unsicheren Zahlungsart. erfolgen (siehe 1.7

Zahlungsarten).

Erläuterung

• Es ist nicht zulässig, während des Bestellprozess oder sogar noch früher eine Bonitätsprüfung durchzuführen

und dann vom Ergebnis abhängig bestimmte Zahlungsarten anzubieten, sondern erst nachdem der Betroffene

eine unsichere Zahlungsart ausgewählt hat.

2.6.2. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung ist zulässig, sofern die Entscheidung für den Abschluss oder die

Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder sofern

die ausdrückliche Einwilligung der betroffenen Person vorliegt. Diese ist regelmäßig nur im Online-Handel von

Bedeutung.

Erläuterung

• Eine automatisierte Entscheidungsfindung bedeutet, dass das Ergebnis der Bonitätsprüfung automatisiert

erfolgt und keine natürliche Person das Ergebnis gegencheckt

• Die Erforderlichkeit der automatisierten Entscheidungsfindung kann im Massengeschäft, insbesondere im

Online-Handel, bejaht werden.

• Das Unternehmen trifft im Falle einer negativen automatisierten Entscheidung angemessene Maßnahmen,

um die Rechte der betroffenen Person zu wahren, wozu mindestens das Recht gehört, den eigenen Standpunkt

geltend zu machen und die Entscheidung anzufechten. Dies gilt für eine erforderliche Bonitätsprüfung wie für

in eine Eingewilligte gleichermaßen.


19


3. Während der Kundenbeziehung

3.1. Rechnungen

3.1.1. Erstellung und Versand von Rechnungen

Rechnungen müssen in unveränderbarer Form erstellt und datensicher versandt werden.

Erläuterung

• Zur Datensicherheit sind Vorkehrungen zur treffen, dass Rechnungen nicht an falsche Empfänger sowie ggf.

verschlüsselt versandt bzw. nur zum Herunterladen bereitgestellt werden.

3.1.2. Beauftragung von Lettershops

Sofern Druck und Versand von Rechnungen durch externe Dienstleister erfolgen, ist sicherzustellen, dass dies im

Rahmen einer Auftragsverarbeitung erfolgt.

Erläuterung

• Die Beauftragung von Lettershops ist Auftragsverarbeitung. Unternehmen und Dienstleister müssen einen

entsprechenden Datenschutz-Vertrag abschließen, und das Unternehmen muss sich von der Einhaltung der

Datensicherheitsvorschriften beim Dienstleister überzeugen.

3.1.3. Aufewahrungsvorschriften

Alle rechnungsrelevanten Daten sind für 10 Jahre aufzubewahren.

Erläuterung

• Die 10-Jahresfrist ergibt sich aus § 14b Abs. 1 UStG. Die Regelungen für die Aufewahrung gelten gleichwohl

für analoge als auch für digitale Dokumente.

3.2. Zahlungswege

3.2.1. Barzahlung

Die Form der Barzahlung ist die anonyme Form der Bezahlung und somit nicht datenschutzrelevant.

Erläuterung

• Beider Barzahlung werden keine personenbezogenenDaten hinsichtlich der Bezahlung erhobenoder verarbeitet.

3.2.2. Nachnahme

Bei der Nachnahme erfolgt die Bezahlung über das liefernde und kassierende Unternehmen.

Erläuterung

• Bei der Beauftragung des Logistikdienstleisters im Rahmen der Nachnahme, handelt es sich in der Regel

nicht um Auftragsverarbeitung. Die Beauftragung des Logistikdienstleisters erfolgt in den meisten Fällen zur

Vertragserfüllung.

3.2.3. Vorkasse

Bei der Bezahlung per Vorkasse ist die Speicherung personenbezogener Daten des Käufers zur Vertragserfüllung

zulässig.

3.2.4. SEPA Mandat

Bei der Bezahlung per Lastschriftmandat wird die IBAN des Käufers gespeichert. Die Speicherdauer ergibt sich aus

der Kundenbeziehung (einmalige oder wiederkehrende Zahlungen). Zur Vermeidung missbräuchlicher Verwendung

sollte die Speicherung der IBAN in verschlüsselter Form erfolgen.

20



Erläuterung

• Bei einmaliger Zahlung ist die IBAN des Käufers zu löschen, sobald das Geld des Käufers auf dem

Unternehmenskonto eingegangen und die Lastschrift-Widerrufsfrist verstrichen ist.

• Bei wiederkehrender Zahlung ist die IBAN des Käufers nach Beendigung des Vertrages und verstrichener

Widerrufsfrist der letzten Bestellung zu löschen.

3.2.5. Kreditkarten-Zahlung

Ohne das Vorliegen einer PCI DSS Zertifizierung dürfen Händler in ihren Systemen keine Kreditkartendaten

verarbeiten oder speichern. Dies gilt auch für den CVC (Card Validation Code).

Erläuterung

• Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI DSS, ist ein Security-

Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht.

3.2.6. Bezahldienste

Beim Einsatz von Bezahldiensten (z.B. PayPal) erfolgt die Abwicklung und damit die Datenverarbeitung der

Bezahlung über diese Dienste Dies gilt auch für Kreditkartenabwicklungen ohne PCI (siehe 3.2.5.). Die Beziehung

zum Bezahldienstleister erfolgt zur Vertragserfüllung. Eine Auftragsverarbeitung liegt nicht vor.

3.3. IBAN Validierung

Sofern die Validierung einer IBAN durch einen externen Dienstleister erfolgt, ist mit diesem eine

Auftragsvereinbarung abzuschließen. Die unternehmenseigene Hausbank ist hiervon ausgenommen.

3.4. Weitergabe von Zahlungserfahrungen an Auskunfteien

Sofern personenbezogene Daten an Auskunfteien weitergegeben werden, damit diese hieraus einen Score-Wert

ermitteln können, gilt je nach Datenklassifizierung folgendes:


Positiv

Negativ (weich)

Negativ (weich)

Negativ (hart)

B2B

✚

✔

(sofern juristische Person)

✔

(sofern natürliche Person / Ein-Personen-GmbH

/ unter besonderen Voraussetzungen,

siehe Erläuterungen)

✔

B2C

✚

✔

(unter besonderen Voraussetzungen,

siehe Erläuterungen)

✔


Erläuterung

• Weiche Negativ-Zahlungsinformationen über Auskunfteien in einem Wahrscheinlichkeitswert anzufragen, ist

zulässig:

• bei denen der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich

gemahnt worden ist,

•

•

•

•

die erste Mahnung mindestens vier Wochen zurückliegt,

der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung

durch eine Auskunftei unterrichtet worden ist und

der Schuldner die Forderung nicht bestritten hat oder

deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt

werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine

Auskunftei unterrichtet worden ist.

• Die Information der Einschaltung von Inkassobüros als weiches Negativmerkmal weiterzuleiten, ist zulässig,

insbesondere das Mahnverhalten des Unternehmens umgesetzt ist.


21


3.5. Monitoring / Unternehmensinternes Scoring


Monitoring / Unternehmensinternes Scoring ist zulässig bei Dauerschuldverhältnissen und bei Verträgen mit

Kunden, die wiederkehrend beliefert werden.

3.5.1.1. Mathematisch-statistisches Verfahren

Scoring muss auf einem wissenschaftlich anerkannten mathematisch-statistischen Verfahren basieren.

3.5.1.2. Datenklassifizierung:


Positiv ✔ ✔

(da eigene Zahlungserfahrungen) (da eigene Zahlungserfahrungen)

Negativ (weich)

✔

✔

(da eigene Zahlungserfahrungen) (da eigene Zahlungserfahrungen)

Negativ (hart)

Neutral

Sensibel (insbesondere

Gesundheitsdaten)

Persönlich

✔

(da eigene Zahlungserfahrungen)

✔

(da eigen gesammelte Daten)

Nicht zulässig

Nicht zulässig

✔

(da eigene Zahlungserfahrungen)

✔

(da eigen gesammelte Daten)

Nicht zulässig

Nicht zulässig

Bankauskünfte ✔ ✔

(da zum Einholen Einwilligung vorliegt) (da zum Einholen Einwilligung vorliegt)

Scorewerte Auskunftei ✔ ✔

(sofern unsichere Zahlungsart)

(sofern unsichere Zahlungsart)


3.5.2. Transparenz

3.5.2.1. Information zum Scoring

Die Betroffenen sind darüber zu informieren, dass ein unternehmensinternes Scoring-Modell eingesetzt wird.

3.5.2.2. Auskunft zu Scoring

Die erhobenen Scoringwerte müssen zu Auskunftszwecken auswertbar gespeichert werden, um dem

Betroffenen, der sein Auskunftsrecht geltend macht, offenzulegen. Über die Logik des Scoring-Modells und

die prozentuale Verteilung ist keine Auskunft zu erteilen, aber über die zugrundeliegenden Daten, bzw.

Datenkategorien.

3.6. Internes Mahnverfahren

3.6.1. Mahnmedien

Die verschiedenen Mahnmedien (wie Festnetz, Handy, Hinterlassen einer Nachricht auf einem Anrufeantworter,

Email, Fax, SMS, Post, soziale Medien, WhatsApp, etc.) sind auf die datenschutzrechtliche Zulässigkeit zu prüfen.

Erläuterung

• Bei den Mahnmedien ist sicherzustellen, dass unberechtigte Dritte keine Informationen über die Mahnung

erfahren, z. B., ist es nicht zulässig, wenn man im B2C-Bereich Mahninformationen auf einem Anrufeantworter

auf der Familienfestnetznummer hinterlässt. Genauso kritisch ist die Verwendung von Faxnummern, wie

Sammel-Accounts.

• Mahnungen dürfen im B2C-Bereich keine nötigenden Sätze enthalten wie „Wenn Sie nicht bis zum… zahlen,

geben wir Ihre Nichtzahlung an Auskunfteien weiter“.

• Im B2C-Bereich sind SMS, soziale Medien und WhatsApp nicht zulässig zum Mahnen, da sie einen

unverhältnismäßigen Eingriff in die Privatsphäre darstellen.

22



3.6.2. Beauftragung von Lettershops

Sofern Druck und Versand von Rechnungen durch externe Dienstleister erfolgen, ist sicherzustellen, dass dies im

Rahmen einer Auftragsverarbeitung geschieht.

Erläuterung

• Das Wording in den Mahnungen sollte in Bezug auf mögliche Persönlichkeitsverletzungen abgestimmt werden.

3.7. Inkasso

3.7.1. Inkasso

Die Datenweitergabe an Externe zur Realisierung offener Forderungen ist datenschutzrechtlich zulässig, aber

keine Auftragsvereinbarung.

Erläuterung

• Es dürfen nur die für den Forderungseinzug notwendigen Daten übergeben werden.

3.8. Factoring

Beim Factoring verkauft ein Unternehmen seine Forderungen gegen dessen Kunden fortlaufend an ein Factoring-

Unternehmen. Dies ist bei sicheren wie unsicheren Zahlungsarten zulässig.

Erläuterung

• Sofern die Daten als Gesamtportfolio zur Verfügung stehen, ist die Beauftragung des Factoring-Unternehmens

weder Auftragsverarbeitung noch gemeinsame Verantwortung.

3.8.1. Weitergabe der Daten zum Kunden und zur Forderung

Datenweitergabe

Daten zum Kunden

und zur Forderung

Daten zum Kunden

und zur Forderung

B2B

✔ (sofern natürliche Person /

Ein-Personen-GmbH)

✔


B2C

✔


Erläuterung

• Die Forderungsabtretung stellt eine Änderung der Zweckbindung des Vertrages zwischen Unternehmen und

dessen Kunden dar und bedarf damit eines Erlaubnistatbestandes oder der Zustimmung des Kunden.

3.8.2. Bewertung des Kundenportfolios

Zur Bewertung des Kundenportfolios darf der Kundenbestand nur zu diesem Zweck im Vorfeld an das Factoring-

Unternehmen übergeben werden.

Erläuterung

• Das Unternehmen sollte mit dem Factoring-Unternehmen einen Vertrag abschließen, der Themen wie zur

Geheimhaltung, zur Zweckbindung und zur Löschung der Daten, wenn es nicht zu einem Factoring-Auftrag

kommt, enthalten sollte.

3.9. Warenkreditversicherung

3.9.1. Zulässigkeit der Warenkreditversicherung

Der Abschluss einer Warenkreditversicherung ist nur für Kunden mit unsicheren Zahlungsarten zulässig.


23


Erläuterung

• Der Abschluss einer Warenkreditversicherung setzt in der Regel voraus, dass der potenzielle Kunde vom

Unternehmen auf dessen Bonität überprüft wird.

3.9.2. Weitergabe der (potenziellen) Kundendaten an den Versicherer

Sofern der Versicherer die potenziellen Kunden hinsichtlich ihrer Bonität prüft, ist dies -wie nachfolgend dargestelltzulässig.

Datenweitergabe B2B B2C

Daten zum Kunden

✚

(sofern natürliche Person /

Ein-Personen-GmbH)

✚

Daten zum Kunden

✔



Erläuterung

• Mit dem Versicherer ist ein Vertrag zur gemeinsamen Verantwortlichkeit abzuschließen, da ein gemeinsamer

Zweck undgemeinsame Mittel zu bejahensind.Die Bonitätsprüfungerfolgt zur Durchführungdes gemeinsamen

Warenkreditvertrages.

3.10. Verfahren durch Einschaltung von öffentlichen Stellen

Öffentliche Stellen sind bspw. Gerichte und Gerichtsvollzieher im Rahmen von Mahnbescheid- und Klag-,

Zwangsvollstreckungs- oder Insolvenzverfahren zu verstehen. Die Datenverarbeitung ist durch die entsprechenden

Normen gerechtfertigt.

3.11. Warnlisten

Unternehmen können Warnlisten von Kunden zum Gläubigerschutz erstellen, wenn ihre Forderungen nicht

vollständig verwirklicht worden sind und sie sich vor zukünftigen Bestellungen und Forderungsausfällen schützen

wollen.

3.12. Mitarbeiter als Kunde

3.12.1.Speicherung der Daten außerhalb Personalabteilung

In der Regel werden Mitarbeiter, wenn sie Kunden des eigenen Unternehmens werden, in der Kreditabteilung wie

„normale“ Kunden aufgebaut. Das bedeutet, dass vertrauliche Beschäftigungsdaten nicht in der Personalabteilung,

sondern außerhalb dieser gespeichert werden, aber derselbe hohe Datenschutz zu Grunde gelegt werden muss.

Erläuterung

• Aus Datenschutzsicht wäre eine Separierung der „Mitarbeiter-Kunden“ in einen eigenen Kundenkreis und

Begrenzung des Zugriffs auf einen kleinen Personenkreis der Mitarbeiter der Kreditabteilung sinnvoll und

angemessen.

3.12.2.Nichtbezahlung von Rechnungen

Sofern es bei einer Mitarbeiterbestellung zu nicht bezahlten Rechnungen, z.B. zu einer Rücklastschrift kommt, ist

darüber Stillschweigen zu wahren.

Erläuterung

• Das Stillschweigen gilt gegenüber Personen, die für die Bearbeitung der Nichtbezahlung nicht erforderlich sind.

24


Nach der Kundenbeziehung

3.12.3.Auskünfte an die Personalabteilung

Auskünfte an die Personalabteilung über Mitarbeiter dürfen seitens der Kreditabteilung grundsätzlich nicht erteilt

werden.

Erläuterung

• Kredit- und Personalabteilungen sind zwei unterschiedliche Organisationseinheiten, die grundsätzlich jede

für sich allein Daten verarbeiten. Eine Datenweitergabe ist nur mit Zustimmung des Mitarbeiters erlaubt.

Zustimmungen im Arbeitgeber-/Arbeitnehmerverhältnis sind zurückhaltend zu nutzen. Ggf. kann ein

Datenaustausch, bzw. eine Datenweitergabe durch Betriebsversammlungen geregelt werden.

• Für die Weitergabe bedarf es einer Rechtsgrundlage, wie z.B. § 26 BDSG oder der Einwilligung des Mitarbeiters.

4. Nach der Kundenbeziehung

4.1. Allgemeines

Die Themen Mahnung, Inkasso Verfahrendurch Einschaltung von offiziellen Dritten oder Warnlisten sind auch nach

Beendigung der Kundenbeziehung möglich (siehe dazu Ziffer 3). Es gibt aus Datenschutzsicht keinen Unterschied,

ob die Kundenbeziehung noch besteht oder beendet wurde.

4.2. Datenlöschung

4.2.1. Löschung von rechnungsrelevanten Daten

Rechnungsrelevante Daten sind für 10 Jahre aufzubewahren und danach zu löschen.

Erläuterung

• Die 10-Jahresfrist ergibt sich aus § 14b Abs. 1 UStG. Die Regelungen für die Aufewahrung gelten gleichwohl

für analoge als auch für digitale Dokumente.

4.2.2. Löschung von Daten nach der Kundenbeziehung

Nicht rechnungsrelevante Daten von Kunden (auch Bonitätsdaten) sind drei Jahre zum Ende des Jahres zu

löschen, und zwar drei Jahre nach der letzten Bestellung, es sei denn die Forderung wird gerichtlich oder

per Zwangsvollstreckung geltend gemacht, bzw. über das Vermögen des Kunden ist das Insolvenzverfahren

eröffnet.

Erläuterung

• Bei der Löschung sind auch Daten in unstrukturierten Dateien, wie Daten im Posteingangsserver oder Daten

in lokal gespeicherten Ordnern, zu löschen.

4.2.3. Löschung von Daten (Gerichts-, Zwangsvollstreckungs-, Insolvenzverfahren)

Nicht rechnungsrelevante Daten von Kunden (auch Bonitätsdaten), deren Forderung gerichtlich oder per

Zwangsvollstreckung geltend gemacht werden, bzw. es ist ein Insolvenzverfahren über das Vermögen des Kunden

eröffnet, müssen nach vollständiger Realisierung der Forderungen gelöscht werden.

Erläuterung

• In der Regel werden die rechnungsrelevanten Daten und die Daten für die verschiedenen Verfahren identisch

sein. Deswegen gilt dann mindestens die 10-Jahresfrist.


25

Besonderheiten

4.2.4. Löschung von besonderen Daten

Besondere Daten wie Bank- oder Kreditkartendaten sollten früher als drei Jahre gelöscht oder überschrieben

werden, um das Missbrauchsrisiko zu minimieren.

4.2.5. Löschung von Warnlisten

Warnlisten müssen mit angemessenen Löschfristen verbunden werden. In der Praxis haben sich Zeiträume von

3-5 Jahren etabliert.

5. Besonderheiten

5.1. Datenschutzvorfälle

Die Kreditabteilung muss potentielle Datenschutzvorfälle unverzüglich nach Bekanntwerden an den

Datenschutzbeauftragten bzw. die Unternehmensleitung melden, sodass die Meldefrist von 72 Stunden gegenüber

der Aufsichtsbehörde eingehalten werden kann.

Erläuterung

• Für eine Meldung potenzieller Datenschutzvorfälle sind beispielsweise folgende Themen relevant: Art, Ort,

Zeitpunkt und Beschreibung des Vorfalls, sowie betroffene Datenkategorien und Anzahl betroffener Personen.

5.2. Datenschutzfolgenabschätzung

Bei Prozessen in der Kreditabteilung,wo ein hohesRisiko für Betroffenebesteht, wie bspw. bei Nutzung von Massen-

Inkasso, Nutzung von Tools zur Betrugsvermeidung, Nutzung eigener Scoring-Tools, ist der Datenschutzbeauftragte

hinsichtlich Durchführung einer Datenschutzfolgenabschätzung zu konsultieren.

Erläuterung

• Bei den genannten Prozessen ist eine Datenschutzfolgeabschätzungnotwendig, da dieseForm der Verarbeitung,

aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko

für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

5.3. Weitergabe von Daten in unsichere Drittstaaten

Eine Weitergabe von personenbezogenen Daten an Dienstleister oder Kooperationspartner in unsichere

Drittstaaten ist kritisch und durch geeignete Maßnahmen abzusichern.

Erläuterung

• Welche Länder, das Datenschutzniveau betreffend, als unsicher gelten, entscheidet die Europäische Kommission.

Dabei bedeutet, dasseinDrittland unsicher ist, wenndieKommissionkeinenAngemessenheitsbeschlusserlassen

hat. Derzeit (Stand 07/21) sind folgende Länder sicher: Andorra, Argentinien, Kanada (Handelsorganisationen),

Faroer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Großbritannien (zeitlich begrenzt),

Uruguay und Süd-Korea.

26


Qualifizierung zum

Certified Credit Manager (CCM)®

Juristischer Bedingungsrahmen

Credit Management und Unternehmensrechnung

Risikomanagement

Credit Policy

Credit Collections

Marktorientierung des Credit Management

Informationssysteme

Methodenbasis des Credit Management

Externe Unternehmensdiagnose

Softskills und Konzepte zur Personalführung

Benchmarking im Credit Management

Qualifizierung komplett digital!

Weitere Informationen unter:

www.credit-manager.de/weiterbildung/ccm

Qualifizierung zum

Certified Credit Controller (CCC)®

Aufgaben und Organisation des Credit Controlling

in der Unternehmenspraxis

Bonitätsprüfung und -überwachung im Firmenkunden-Geschäft

Credit Collections

Rechtliche Aspekte und Realisierung von Forderungen

Qualifizierung komplett digital!

Weitere Informationen unter:

www.credit-manager.de/weiterbildung/ccc

Drususdeich 24

47533 Kleve

T 02821 / 97 67 10-0

F 02821 / 97 67 10-636

sekretariat@credit-manger.de

www.credit-manager.de

Die Credit Manager -

Wir steigern gemeinsam Erfolg!

Wir wiegen Chancen und Risiken fundiert ab

Wir optimieren das Kundenportfolio

Wir reduzieren Forderungsausfälle

Wir verbessern das Working Capital und die Liquidität

Wir schaffen zusätzliche Handlungsspielräume

Wir vergrößern die unternehmerische Unabhängigkeit

Wir sichern nachhaltiges Wachstum

Drususdeich 24

47533 Kleve

T 02821 / 976710-0

F 02821 / 976710-636

sekretariat@credit-manager.de

www.credit-manager.de

Mindestanforderungen an den Datenschutz im Credit Management 2.0 (MaDiC 2.0)

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?