Mindestanforderungen an den Datenschutz im Credit Management 2.0 (MaDiC 2.0)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Mindestanforderungen an den Datenschutz
im Credit Management 2.0 (MaDiC 2.0)
Version: 2.0
Stand: 2022
Bundesverband Credit Management e.V.
2
Mindestanforderungen an den Datenschutz im Credit Management
Mindestanforderungen an den Datenschutz
im Credit Management 2.0 (MaDiC 2.0)
Mindestanforderungen an den Datenschutz im Credit Management
3
Impressum
1. Auflage, Version 2.0 | 2022
© 2022 BvCM e.V. – Bundesverband Credit Management e.V., Kleve
Das Werk einschließlich aller Abbildungen ist urheberrechtlich geschützt.
Jede Verwertung außerhalb der Grenzen des Urheberrechtgesetzes ist ohne
Zustimmung des Bundesverband Credit Management e.V. unzulässig. Dies gilt
insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen
und die Einspeicherung und Bearbeitung in elektronischen Systemen.
Stand: 2022
Schutzgebühr: 49,50 €
Redaktion:
Arbeitskreis Datenschutz des BvCM e.V.
• Vorsitzende des Arbeitskreises Datenschutz Stephanie Iraschko-Luscher CCM
• Stellvertretender. Vorsitzender des Arbeitskreises Datenschutz Christian Huth
Nachfolgend in alphabetischer Reihenfolge
• Borrmann, Kristina, SOLVENZNAVIGATION Mallorca, Berlin
• Gratz, Andreas, TÜV Rheinland Cert GmbH, Hamburg
• Heinemann, Oliver, Director Legal Datenschutzbeauftragter, Dun & Bradstreet Deutschland GmbH, Darmstadt
• Käschner, Marian, Compliance und Recht, Seghorn AG, Bremen
• Kelzenberg CCM, Bernd - Debitorencontrolling -, Cordes & Graefe KG, Stuhr
• Kessler CCM, Rudolph, BvCM e.V., Präsident, Kleve
• Laarmann, Töns, Credit Manager, Sto SE & Co. KGaA, Stühlingen
• Pagnia, Kristin, Assistant Head of Legal Services Datenschutzbeauftragte, atriga GmbH, Langen
• Reyak, Stefan, Rechtsanwalt, Verband der Vereine Creditreform e.V., Neuss
• Timmermann, Michael, Member of the Executive Board Credit Solutions, AON, Hamburg
4
Mindestanforderungen an den Datenschutz im Credit Management
Impressum
Mindestanforderungen an den Datenschutz im Credit Management
5
Inhaltsverzeichnis
6
Mindestanforderungen an den Datenschutz im Credit Management
Inhaltsverzeichnis
Inhaltsverzeichnis
Vorwort 9
1. Grundlagen 10
1.1.
1.2.
1.3.
1.4.
1.5.
Betroffener
Verantwortlicher
Datenverarbeitung
Vertrauliche Informationen
Konzern
10
10
10
11
11
1.6.
1.7.
Kommunikation
Zahlungsarten
12
13
2. Vor der Kundenbeziehung
14
2.1. Stammdaten
14
2.2.
2.3.
2.4.
2.5.
2.6.
Legitimation in besonderen Fällen
Bonitätsprüfung
Scoring / Profiling
Stichprobenprüfung des berechtigten Interesses durch Auskunfteien
Besonderheiten beim Onlinehandel
14
14
18
19
19
3.
Während der Kundenbeziehung
20
3.1.
3.2.
3.3.
Rechnungen
Zahlungswege
IBAN Validierung
20
20
21
3.4.
3.5.
3.6.
3.7.
Weitergabe von Zahlungserfahrungen an Auskunfteien
Monitoring / Unternehmensinternes Scoring
Internes Mahnverfahren
Inkasso
21
22
22
23
3.8. Factoring
23
3.9. Warenkreditversicherung
23
3.10.
3.11.
3.12.
Verfahren durch Einschaltung von öffentlichen Stellen
Warnlisten
Mitarbeiter als Kunde
24
24
24
4.
Nach der Kundenbeziehung
25
4.1. Allgemeines
25
4.2. Datenlöschung
25
5.
Besonderheiten
26
5.1.
5.2.
5.3.
Datenschutzvorfälle
Datenschutzfolgenabschätzung
Weitergabe von Daten in unsichere Drittstaaten
26
26
26
Mindestanforderungen an den Datenschutz im Credit Management
7
8
Mindestanforderungen an den Datenschutz im Credit Management
Vorwort
Vorwort
Liebe Leserinnen,
liebe Leser,
der BvCM hat die Mindestanforderungen an den Datenschutz im Credit Management (MaDiC) in Verbindung mit
dem damaligen Bundesdatenschutzgesetz BDSG 2010 erstmals herausgegeben. Entstanden sind die MaDiC im
Arbeitskreis Datenschutz, dessen Mitglieder Praktiker aus mehreren Unternehmen, Datenschutzbeauftragte von
Informationsanbietern und auf Datenschutz spezialisierte Juristinnen und Juristen sind. Diese Mischung sorgte dafür, dass
alle Belange des Gesetzes ebenso berücksichtigt wurden wie die Prozesse im Credit Management der Unternehmen, um
ein wirklich praxistaugliches Instrument für die tägliche Arbeit in diesem Bereich mit seinen sehr sensiblen, vertraulichen
personenbezogenen Daten zu schaffen.
Nach dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 war eine Überarbeitung
erforderlich, die wir Ihnen nun mit den MaDiC 2.0 präsentieren können. Sie verfügen damit über eine echte Hilfestellung
für die Praxis, die in dieser Form einmalig ist. Die MaDiC sind vor allem geeignet, die Prozesse im Unternehmen auf ihre
datenschutzrechtliche Tauglichkeit zu prüfen und andererseits Verunsicherungen, Unklarheiten oder Fehlinterpretationen
zu beseitigen. Das gilt besonders für die Überprüfung der Bonität der Kunden, die ja Dreh- und Angelpunkt der Arbeit der
Credit Managerinnen und Credit Manager ist, sowie für die Speicherung und Löschung der Daten.
Wie schon in der ersten Version verzichten auch die MaDiC 2.0 auf juristische Kommentierungen. Vielmehr bauen sie auf
einfachen, klaren Aussagen auf, um die Grundfragen für die Sicherstellung des Datenschutzes im Credit Management
zu beantworten.
Rudolf Keßler CCM
Präsident
Stephanie Iraschko-Luscher CCM
Vorsitzende Arbeitskreis Datenschutz
Oktober, 2022
Hinweis:
Für alle Fragen und Themen über die MaDiC 2.0 hinaus wenden Sie sich bitte an die in Ihrem Unternehmen für
Datenschutz zuständige Abteilung oder Person!
Sofern Sie Anmerkungen zur MaDiC 2.0 haben, senden Sie diese bitte gerne an sekretariat@credit-manager.de.
*Aufgrund der besseren Lesbarkeit wird die männliche Form genutzt. Dies stellt ausdrücklich keine Diskriminierung dar.
Mindestanforderungen an den Datenschutz im Credit Management
9
Grundlagen
1. Grundlagen
1.1. Betroffener
Wenn ein Bezug zu einer natürlichen Person (Betroffener) hergestellt werden kann, unterliegt diese Verarbeitung
personenbezogener Daten den Anforderungen des allgemeinen Datenschutzrechts, insbesondere der DSGVO.
Erläuterung
• KundenwerdeninB2BundB2C- inFirmen-undPrivatkunden- eingeteilt.FürB2C-Kundengilt dasDatenschutzrecht
ohneWeiteres.AberauchfürB2B-KundenkanndasDatenschutzrechtAnwendungfinden,wenneinPersonenbezug
vorliegt.Dabei kann die DSGVO für einzelne Aspekte heranzuziehen sein, aber auch für das gesamte Unternehmen,
wenn es sich bei der Firma um eine natürliche Person handelt (z.B. e. K., OHG, GbR).
• GmbHs sind juristische Personen. Ein Personenbezug kann aber bei einer so genannten Ein-Personen-GmbH
bejaht werden, da die GmbH nur eine Rechtsform ist, aber der Geschäftsführer und Gesellschafter die natürliche
Person „hinter“ der GmbH ist.
• Bei der Frage, ob ein überwiegendes berechtigtes Interesse für die Datenverarbeitung im Creditmanagement
ausreicht oder für die Datenverarbeitung die Einwilligung erforderlich ist, ist die Unterscheidung B2B /
B2C heranzuziehen. Ein gewerblicher Kunde hat mehr Datenverarbeitung ohne Einwilligung zu dulden als
ein Verbraucher, weil er bewusst am Wirtschaftsleben teilnimmt. Aber auch im B2B-Bereich ist nicht jede
Verarbeitung über überwiegende berechtigte Interessen gerechtfertigt. Grenzlinie ist die Unmittelbarkeit zum
Wirtschaftsleben. Je mehr die Datenverarbeitung den persönlichen Bereich der Betroffenen tangiert, ist auch
hier die Einwilligung erforderlich.
1.2. Verantwortlicher
Kreditabteilung
Die Kreditabteilung ist kein Verantwortlicher, sondern eine Organisationseinheit des Verantwortlichen, bzw. es
können auch mehrere Organisationseinheiten sein, die abteilungsübergreifend das Credit Management abbilden.
Erläuterung
• Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein
oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten
entscheidet.
• Ein Verantwortlicher hat jede Verarbeitung auf die Einhaltung der Datenschutzgrundsätze zu rechtfertigen
und unterliegt dem strengen Haftungsregime der DSGVO und weiterer datenschutzrechtlicher Regelungen
(z.B. BDSG).
• Regelmäßig ist der Verantwortliche das Unternehmen, welches die Daten verarbeitet, aber nicht eine
Organisationseinheit des Unternehmens.
1.3. Datenverarbeitung
Datenverarbeitung in der Kreditabteilung
ZurDatenverarbeitunginKreditabteilungengehörenüblicherweisedieArbeitmitScoring-Tools,dieKommunikation
mit Dritten und Kunden, Bilanzauswertungen, Bonitätsprüfungen, Inkassobeauftragung und das Mahnverfahren,
Zusammenarbeit mit Insolvenzverwaltern sowie Beauftragung von Zwangsvollstreckungsmaßnahmen.
Erläuterung
• Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche
Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Legaldefinition).
• Wesentlich ist damit das elektronische Arbeiten mit Daten gemeint, strukturierte schriftliche Aufzeichnungen
fallen jedoch auch unter diese Definition.
10
Mindestanforderungen an den Datenschutz im Credit Management
Grundlagen
1.4. Vertrauliche Informationen
1.4.1. Vertraulichkeit
Es werden viele vertrauliche Informationen in Kreditabteilungen gespeichert und verarbeitet. Je vertraulicher die
Information, desto höher ist der Schutzbedarf, bzw. desto umfangreicher müssen die Maßnahmen sein, um die
Informationen vor dem Zugriff von unberechtigten Dritten zu schützen.
Erläuterung
• Vertrauliche Informationen sind bspw. Mahnungen, Bonitätsinformationen, Bilanzen, Bonitätsauskünfte,
Einnahmen- und Überschussrechnungen, Dokumente von Gerichtsvollziehern, Informationen zur Privat- oder
Firmeninsolvenz.
• Vertraulichkeit meint, dass Informationen nur für einen beschränkten Empfängerkreis vorgesehen sind.
Weitergabe und Veröffentlichung sind nicht erwünscht und sogar teilweise gesetzlich verboten.
1.4.2. Bankgeheimnis
Das Bankgeheimnis besteht aus der Pflicht der Kreditinstitute zur Verschwiegenheit über kundenbezogene
Tatsachen und Wertungen, die ihnen im Rahmen der Geschäftsverbindung zum Bankkunden bekannt geworden
sind.
Das Bankgeheimnis gilt dem Grunde nach nur für Kreditinstitute, muss aber von der Wertung her auch für
Unternehmen mit Kreditabteilungen herangezogen werden.
Erläuterung
• Das Bankgeheimnis ist Ausfluss des allgemeinen Persönlichkeitsrechts. Wegen des Bankgeheimnisses dürfen
Bankinformationen nicht ohne Einwilligung der Betroffenen an Dritte weitergegeben werden.
• Damit besteht ein Grundzusammenhang zwischen Vertraulichkeit und Bankgeheimnis.
1.4.3. Vertrauliche personenbezogene Daten
Sofern vertrauliche Informationen aus Kreditabteilungen einen Personenbezug haben, gilt das Datenschutzrecht.
Erläuterung
• Vertrauliche Informationen können, müssen aber nicht personenbezogen sein (bspw. eine nicht
veröffentlichungspflichtige Bilanz einer Kapitalgesellschaft). Im letzteren Fall kommt das Datenschutzrecht
nicht zur Anwendung.
• Vertraulichkeit, Behandlung von personenbezogenen Daten aus Kreditabteilungen und die Wertung des
Bankgeheimnisses gehen dem Grunde nach alle in eine Richtung:
(1)
(2)
Kreditinformationen nicht ohne Rechtgrundlage/Einwilligung an Dritte weiterzugeben
Informationen vor dem unerlaubten Zugriff Dritter zu schützen.
1.5. Konzern
Konzernverbundene Gesellschaften
Konzernverbundene Gesellschaften gelten datenschutzrechtlich nicht als Einheit, sondern jeweils als selbständige
datenverarbeitende Stellen, so dass eine Weitergabe an ein anderes Konzernunternehmen einer Legitimation
bedarf.
Erläuterung
• Um den internen Datenaustausch zu vereinfachen, sind bspw. der Abschluss von Binding Corporate Rules
(BCR) möglich. Sofern keine BCR vorhanden sind, ist anderweitig sicherzustellen, dass mit allen involvierten
Konzerngesellschaften geeignete Übermittlungsregelungen getroffen werden.
• (Extern) gegenüber den betroffenen Firmen oder Unternehmen bedarf es darüber hinaus einer eigenen
Legitimation.
Mindestanforderungen an den Datenschutz im Credit Management
11
Grundlagen
1.6. Kommunikation
1.6.1. Telefon
1.6.1.1. Identifikation
Bei einem Anruf in der Kreditabteilung ist sicherzustellen, dass der Anrufende sich identifiziert.
Erläuterung
• Aus Datenschutzsicht ist es erforderlich, dass nur der Berechtigte die Informationen erhält und nicht jemand,
der sich für diesen ausgibt.
• Die Sicherstellung der Identifikation kann bspw. durch Nennung von Kundennummer, Firmen- oder
Verbrauchername und Adresse und ggf. Rechnungsnummer, oder auch PIN-Eingabe, etc. erfolgen.
• Dritte, (wie z. Bsp. Familienmitglieder, etc.) die über Sachkenntnis verfügen, deren Vollmacht aber nicht sicher
festgestellt worden ist, sollten keine vertraulichen Informationen erhalten.
1.6.1.2. Aufzeichnung
Sofern Gespräche in Kreditabteilungen aufgezeichnet werden sollen (bspw. um die wesentlichen Teile einer
Ratenzahlungsvereinbarung festzuhalten), ist eine ausdrückliche Einwilligung vor Beginn der Aufzeichnung von
allen Gesprächsteilnehmern einzuholen.
Erläuterung
• Das Recht am eigenen Wort (und damit auch das Recht, ob das gesprochene Wort aufgezeichnet wird) ist
Ausfluss des allgemeinen Persönlichkeitsrechts. Daher ist für eine Aufzeichnung immer eine ausdrückliche
Einwilligung erforderlich.
• Die Einwilligung ist zu dokumentieren (auch per Aufzeichnung möglich).
1.6.1.3. Mithören
Das Mithören von Telefonaten ist nur dann zulässig, wenn der Anrufer oder Angerufene darüber informiert und
auf sein Widerspruchsrecht hingewiesen wird.
Erläuterung
• Das Recht am eigenen Wort gilt auch beim Mithören. Aber da das Mithören gegenüber dem Aufzeichnen
weniger kritisch ist, reicht hier die Information auf den Hinweis bzgl. des Widerspruchsrechts aus.
1.6.2. E-Mail
Es ist sicherzustellen, dass die Kommunikation per E-Mail von vertraulichen Informationen datenschutzkonform
erfolgt.
Erläuterung
• Die E-Mail-Kommunikation ist über das Fernmeldegeheimnis geschützt. Es schützt neben der
Telefonkommunikation auch die Nachricht per E-Mail.
• Folgende Themen sollten bei E-Mails u.a. geprüft werden:
•
•
•
•
•
•
•
•
•
•
Verschlüsselung von E-Mails mit vertraulichem Inhalt / vertraulichen Anlagen.
Versand von vertraulichen Informationen an info@-Adressen oder nicht eindeutige personalisierte
Adressen.
Sensibilität der Betreffzeile.
Verhalten bei längerer Abwesenheit
Integrität der E-Mails
Aktualität und Richtigkeit der E-Mailadresse
Vergrößerung des E-Mail-Verteilers mit weiteren Empfängern bei längerer Kommunikation.
Länge der Kommunikation (zu lange „scrollen“)
Auto-Vervollständigungsfunktion bei E-Mailadressen
Formulierung bzw. Sprachwahl bei sensiblen Kreditthemen.
12
Mindestanforderungen an den Datenschutz im Credit Management
Grundlagen
1.6.3.
Post
Beim Postversand sind die vorbereitenden Prozesse vor dem Versand datenschutzkonform zu gestalten, denn
ab dem Versand trifft die Verantwortlichkeit den Versender.
Erläuterung
• Ein verschlossener Brief unterliegt dem Briefgeheimnis, das heißt, dass nur der Berechtigte diesen öffnen darf.
• Folgende Themen sollten beim Postversand u.a. geprüft werden:
• Prozess: ggf. einen geeigneten Vertraulichkeitsvermerk im Adressfeld berücksichtigten, gerade wenn dem
Anschreiben vertrauliche Dokumente folgen.
•
•
•
Prozesse von Lettershops / Vereinbarungen mit Lettershops.
Zuverlässigkeit von eingesetzten Logistikdienstleistern
Ob im Sichtfenster neben der Adresse noch andere Informationen zu sehen sind.
1.6.4.
Messenger Dienste
Es sollten nur solche Messenger-Dienste genutzt werden, die von IT und Datenschutz ausdrücklich zur
betrieblichen Nutzung freigegeben sind.
Erläuterung
• Kreditinformationen sind sensibel und können häufig negativ für den Betroffenen sein, so dass eine
Kommunikation über Messenger Dienste einen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellt.
Das Mobiltelefon kann ggf. auch von anderen genutzt werden, die diese Informationen nicht erhalten sollen.
Oder der Betroffene erhält eine negative Nachricht in einer privaten Situation, z.B. in einem Restaurant.
• Messenger-Dienste bieten oft keine hinreichende Datensicherheit. Solche Dienste sollten nur verwendet
werden, wenn der Dienst sichere Verschlüsselungsverfahren gewährleistet.
• Hinweis: Es gibt die ersten Bußgelder für die Nutzung von WhatsApp für Bonitätsauskünfte.
1.6.5.
SMS
Kommunikation von Kreditinformationen über SMS ist kritisch zu betrachten.
Erläuterung
• Kreditinformationen sind sensibel und können häufig negativ für den Betroffenen sein, so dass eine
Kommunikation über SMS einenEingriff in das Persönlichkeitsrechts des Betroffenen darstellt. Das Mobiltelefon
kann ggf. auch von anderen genutzt werden, die diese Informationen nicht erhalten sollen. Oder der Betroffene
erhält eine negative SMS in einer privaten Situation, z.B. in einem Restaurant.
1.7. Zahlungsarten
Bei den Zahlungsarten ist zwischen wirtschaftlich „sicheren“ und „unsicheren“ Zahlungsarten zu unterscheiden.
Zahlungsart sicher unsicher
Kauf auf Rechnung (Überweisung nach Lieferung)
Lastschrift / SEPA Mandat
Ratenkauf / Leasing / Miete
Beitragszahlung
Nachnahme
Vorkasse / Barzahlung (Überweisung vor Lieferung)
Girocard-Zahlung mit PIN
Girocard-Zahlung (ohne PIN)
Sofortüberweisung
Online-Zahlungsdienste (z.B. PayPal, …)
Kreditkarte
Erläuterung
• Als wirtschaftlich unsicher wird eine Zahlart bezeichnet, wenn ein Risiko besteht, dass die Forderungen nicht
ohne finanziellen Verlust für den Verkäufer ausgeglichen werden. Hier nicht aufgeführte Zahlungsarten müssen
separat, gemäß dieser Definition klassifiziert werden.
x
x
x
x
x
x
x
x
x
x
x
Mindestanforderungen an den Datenschutz im Credit Management
13
Vor der Kundenbeziehung
2. Vor der Kundenbeziehung
2.1. Stammdaten
Die Aufnahme von Stammdaten eines potentiellen Kunden erfolgt i.d.R. nicht in Kreditabteilungen. Dennoch
werden diese sehr früh im Anbahnungsprozess eingebunden, um hinsichtlich der Kreditwürdigkeit von potentiellen
Kunden zeitnah agieren zu können.
Als Stammdaten werden alle Datensätze bezeichnet, welche im Rahmen der Registrierung, einer Bestellung sowie
ggf. auch zu einem späteren Zeitpunkt erfasst werden, sodass eine Bestellung sowie Rechnungslegung erfolgen
kann. Hierzu gehören insbesondere Adressdaten, Bankdaten und weitere Daten, die dem Auftrag zugeordnet
werden können.
2.2. Legitimation in besonderen Fällen
Identitäts-, Altersfeststellung
Sofern Identitäts- oder Altersfeststellung von natürlichen Personen aus rechtlichen Gründen erforderlich ist, ist
es zulässig, sich ID-Papiere wie z.B. Personalausweise vorlegen zu lassen.
Erläuterung
• Rechtliche Gründe können bspw. sein, wenn der Abschluss eines Vertrages nur für Erwachsene erlaubt ist.
• Ausweiskopien dürfen nur mit Einwilligung des Betroffenen erstellt werden. Die Ausweiskopie muss als solche
zu erkennen sein. Es ist darauf zu achten, dass auch nur die personenbezogenen Merkmale kopiert werden,
welche auch für die Zweckerfüllung erforderlich sind. Ggf. wird lediglich dokumentiert, dass die Identität durch
Vorlage des Personalausweises nachgewiesen werden konnte.
• „Know your Customer“ – Prozesse verlangen die Identifikation von Kunden zur Einhaltung europäischer
Verordnungen (z.B. zur Terrorismusbekämpfung). Die Identifikation kann sich auch auf eine natürliche
Person als wirtschaftlich Berechtigten beziehen. In diesen Fällen ist eine Legitimation datenschutzrechtlich
unbedenklich.
2.3. Bonitätsprüfung
2.3.1. Zulässigkeit
Eine Bonitätsprüfung ist bei Anbieten unsicherer Zahlungsarten zulässig (s. 1.7 Zahlungsarten).
Erläuterung
• Schritt 1: Zuerst ist zu prüfen, ob eine sichere oder unsichere Zahlungsart vorliegt. Eine Bonitätsprüfung ist nur
bei Anbieten einer unsicheren Zahlungsart zulässig. Das heißt, bei einer sicheren Zahlungsart berechtigt auch
eine (ausdrückliche) Einwilligung nicht zu einer entsprechenden Prüfung der Bonität.
• Schritt 2: Liegt eine unsichere Zahlungsart gemäß Schritt 1 vor, ist als nächstes zu prüfen, welche Daten /
Datenquellen für eine Bonitätsprüfung genutzt werden dürfen und ob dafür überwiegendes berechtigtes
Interesse genügt oder eine Einwilligung eingeholt werden muss. Ggf. kann die Datenverarbeitung auch zur
Vertragserfüllung, bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich und damit erlaubt sein.
(Dies hängt von der Qualität des Vertrages ab, zum Beispiel bejahen beim klassischen Darlehensvertrag oder
beim Bürgschaftsvertrag.)
• Eine Bonitätsprüfung muss immer in einem angemessenen Verhältnis zum Kreditrisiko stehen.
14
Mindestanforderungen an den Datenschutz im Credit Management
Vor der Kundenbeziehung
2.3.2. Datenklassifizierung
Daten, die Aussagen zur Bonität eines Betroffenen zulassen, sollten wie folgt klassifiziert werden:
Datenklassifizierung
Positivdaten
Weiche Negativdaten
Harte Negativdaten
Neutrale Daten
Sensible Daten
Persönliche Daten
Daten von Banken des
Betroffenen
Erläuterung
Beispiele
Einhaltung der Zahlungsziele
Einseitige Erkenntnisse über Nichteinhaltung
der Zahlungsziele
tragung Mahnbescheid
Mahnungen, Inkasso-Übergabe, Bean-
Nichtzahlung nach Urteil oder gerichtliche
Bestätigung der Zahlungsunfähig- Abgabe einer e.V., Insolvenzantrag
Einleitung der Zwangsvollstreckung;
keit
Daten, die in erster Linie nicht mit Zah- Wohngegend, Branche, Alter des Unterlungs-wahrscheinlichkeit
und -willigkeit nehmens, Mitarbeiteranzahl, Geburtsin
Zusammenhang stehen, aber Erkenntnisse
dazu zulassen
-zustand, Familienstand
datum, Beruf, Nationalität, Flottengröße
Rassische, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen, Gewerkschaftszugehörigkeit genetische, biometrische
Daten, Gesundheitsdaten, Daten zum Sexualleben, der sexuellen Orientierung.
Art. 9 DSGVO
Daten aus der persönlichen Ebene die Beziehungszustand, persönliche Schulden,
Unterhaltsforderungen, Vorstrafen,
auf Zahlungswahrscheinlichkeit und
-willigkeit schließen lassen
Sucht, Verhalten in sozialen Medien
Allgemeines Kontenverhalten, Kontenabfrage
Erläuterung
• Überwiegendes berechtigtes Interesse: Nachfolgend dargestellt mit Symbol: ✔
(hier reicht ein überwiegendes berechtigtes Interesse gegenüber dem Kunden)
• Einwilligung: Nachfolgend dargestellt mit Symbol: ✚
(hier ist eine Einwilligung vom potenziellen Kunden erforderlich)
• Beides liegt nicht vor: Nachfolgend dargestellt: Nicht zulässig
2.3.3. Kauf von „bereinigten“ Stammdaten (Waschabgleich)
Ein Unternehmen darf „bereinigte“ Daten nur dann erwerben, wenn es unsichere Zahlungsarten anbietet.
Erläuterung
• Der Begriff Waschabgleich bezeichnet im Adresshandel die Bereinigung von Adressbeständen hinsichtlich ihrer
Aktualität und Bonität.
• Verantwortlich für die Zulässigkeit des Waschabgleichs ist das verkaufende Unternehmen.
2.3.4. Bonitätsprüfung aus unternehmensinternen Quellen
Interne neutrale Bonitätsinformationen von potentiellen Kunden können im B2B-Bereich gewonnen werden. Im
B2C-Bereich ist diese Art der Datengewinnung nicht ohne Einwilligung zulässig.
Datenklassifizierung
Neutral
Sensibel
Persönlich
Besuch vor Ort
B2B
✔
Nicht zulässig
Nicht zulässig
✔
B2C
✚
Nicht zulässig
Nicht zulässig
Nicht zulässig
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Neutrale Daten sind vor allem im B2B-Bereich von Bedeutung, wenn sich z.B. ein Außendienst bei der Firma vor
Ort einen Eindruck verschafft, der Aussagen zur finanziellen Situation zulässt.
Mindestanforderungen an den Datenschutz im Credit Management
15
Vor der Kundenbeziehung
• Im B2C-Bereich hat diese Art der Erkenntnisgewinnung keine Bedeutung, da die Informationen nicht
vorliegen können, bzw. dürfen. Dürfen deshalb nicht, weil keine Vorratsdatenspeicherung erlaubt ist (durch
Weiterspeicherung von zu löschenden Kundendaten). Für eine Aufereitung der Daten fehlt zudem das
Zusatzwissen, wie es bei Auskunfteien vorliegt.
• Speziell der Besuch Zuhause bei einem Verbraucher, um die Wohnsituation zu bewerten, ist nicht zulässig, da
dies ebenfalls einen unverhältnismäßigen Eingriff darstellt. Hierbei kommt es nicht darauf an, wie hoch das
Kreditrisiko ist.
2.3.5. Bonitätsprüfung aus konzernverbundenen Quellen
Eine Bonitätsprüfung aus konzernverbundenen Quellen bedeutet, Bonitätsinformationen von anderen
Konzerngesellschaften abzufragen bzw. mit diesen auszutauschen. Dies kann im B2B-Bereich zulässig sein, um
bspw. ein konzernweites Kreditlimit zu bestimmen oder zum Schutz des Konzernvermögens. Auf jeden Fall ist nur
eine zweckgerichtete Verarbeitung zulässig. Für den B2C-Bereich ist dies aus Bonitätsgründen eher nicht relevant.
Datenklassifizierung B2B B2C
Positiv
✚
✚ (eher n.r.)
Negativ (weich)
✔
✚ (eher n.r.)
Negativ (hart)
Neutral
✔
✔
✔ (eher n.r.)
✚ (eher n.r.)
Sensibel
Persönlich
Bankauskünfte
Nicht zulässig
Nicht zulässig
+ (AGB)
Nicht zulässig
Nicht zulässig
Bankauskünfte
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Sofern die Einwilligung zur Bonitätsprüfung erforderlich ist, muss der Kunde des übermittelnden Unternehmens
in die Weitergabe einwilligen.
2.3.6. Auskunfteien
Für eine Information über die Zahlungswahrscheinlichkeit und -willigkeit eines potentiellen Kunden werden
Auskunfteien zur Einholung von Kreditauskünften in Anspruch genommen (s. auch 2.4 Scoring / Profiling).
Datenklassifizierung
SCHUFA-Daten
(weiche, harte Negativ-,
Positivdaten, Daten
über Kredite, etc.)
Allgemeine Auskunft
✔
B2B
Nicht relevant
(sofern natürliche Person;
Ein-Personen-GmbH)
✔ (juristische Person)
B2C
✚
kommt auf die Daten an
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Die Beziehung zwischen Auskunftei und Verantwortlichem ist keine gemeinsame Verarbeitung, da beide
Parteien keinen gemeinsamen Zweck verfolgen und keine gemeinsame Mittel festlegen. Die Auskunftei bietet
nur ihre Dienstleistung an, das anfragende Unternehmen ruft diese nur ab. Das abrufende Unternehmen
entscheidet insbesondere selbst darüber, wie es die von einer Auskunftei angeforderten Daten und Scores für
seine weitere Risikoprüfung bewertet und gewichtet.
16
Mindestanforderungen an den Datenschutz im Credit Management
Vor der Kundenbeziehung
2.3.7. Zahlungs(erfahrungs-)pools
Von einem Zahlungs(erfahrungs-)pool erhalten Unternehmen Informationen über das Zahlungsverhalten anderer
Kunden, i.d.R. in einem Zahlungsindikator (Score), s. auch 2.4 Scoring/Profiling. Gegenüber dem potenziellen
Kunden gilt folgendes:
Datenklassifizierung
Positiv
B2B
✚
Negativ (weich) ✔ (sofern natürliche Person /
Ein-Personen-GmbH)
Negativ (weich)
✔ (juristische Person)
Negativ (hart)
✔
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
B2C
✚
✔
✔
2.3.8. Bankauskunft
Eine Bankauskunft gibt Informationen über das allgemeine Bankverhalten eines Kunden preis. Für die Erteilung
sind die Banken / Kreditinstitute verantwortlich.
Datenklassifizierung
Allgemeines
Kontoverhalten
B2B
✚ (i.d.R. in den AGB der Banken)
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
B2C
✚
Erläuterung
• Eine Bankauskunft ist nur dann verhältnismäßig, wenn es sich um ein wirtschaftliches größeres Objekt oder
Interesse handelt (und eine unsichere Zahlungsart vorliegt).
2.3.9. Bankkontoabfrage
Bankkontenabfragen sind über die Bankauskünfte hinaus eine Abfrage über einnahmen- wie ausgabenseitige
Aktivitäten und Transaktionen innerhalb von Bankkonten.
Datenklassifizierung B2B B2C
Kontenabfrage ✚ ✚
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Bankkontenabfragen stellen einen besonders intensiven Eingriff für den Betroffenen dar. Aus diesem Grund
sollte eine ausdrückliche Einwilligung hierfür eingeholt werden.
2.3.10. Auskünfte aus öffentlichen Verzeichnissen
Auskünfte aus öffentlichen Verzeichnissen sind Informationen, die durch eine offizielle Partei (z.B. Amtsgericht /
Schuldnerverzeichnis/Handelsregister) festgestellt wurden.
Datenklassifizierung
Negativ (hart)
Neutral
B2B
✔
✔ (Firmenexistenz)
B2C
✔
✔ (Gemeldete Adresse)
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Sofern die Existenz eines Unternehmens aus rechtlichen Gründen oder zur Betrugsvermeidung überprüft
werden muss, ist es zulässig, sich dies durch öffentliche Auskünfte bestätigen zu lassen (wie z.B. Gewerbe- oder
Handelsregisterauskunft, auch Auskünfte von Kammern wie die Rechtsanwaltskammer).
• Eine Abfrage aus öffentlichen Verzeichnissen im B2C-Bereich ist zulässig, um die Adresse zu verifizieren.
Mindestanforderungen an den Datenschutz im Credit Management
17
Vor der Kundenbeziehung
2.3.11. Informationen aus sozialen Medien und sonstigen öffentlich verfügbaren (unstrukturierten) Quellen
Durch persönliche Informationen aus sozialen Medien lassen sich Aussagen zur Bonität von Betroffenen machen.
Z.B. Fotos aus einem Spielcasino könnten zur Aussage führen, „der ist nicht kreditwürdig, der verspielt sein Geld“.
Datenklassifizierung
Soziale Medien und
sonstige öffentlich
verfügbare Quellen
B2B
Nicht zulässig
B2C
Nicht zulässig
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Die Nutzbarkeit derartiger Informationen bedingt deren rechtmäßigen Beschaffung, der zweifelsfreien
Feststellung der Identitäten der Autoren sowie der Analyse von inhaltlichen Zusammenhängen, was die
umfangreiche Erhebung und Generierung weiterer personenbezogener Daten zur Folge hätte. Dies ist für den
Zweck einer Bonitätsprüfung unverhältnismäßig und damit unzulässig.
2.3.12.Widerspruchs-, Widerrufsrecht
Ein Widerspruchs- bzw. Widerrufsrecht im Rahmen der Bonitätsprüfung findet keine Anwendung auf erbrachte
Leistungen.
Erläuterung
• Für zukünftige Verarbeitungen siehe 3.5 Monitoring
2.4. Scoring / Profiling
2.4.1. Bestandteil der Bonitätsprüfung
Regelmäßig ist das Scoring Bestandteil der Bonitätsprüfung. Ergänzend gilt das zur Bonitätsprüfung Gesagte.
(siehe 2.3 Bonitätsprüfung).
Erläuterung
• Profiling: ist insbesondere jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin
besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die
sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung,
wirtschaftliche Lage…, Zuverlässigkeit, zu analysieren oder vorherzusagen.
• Scoring: meint das Verwenden eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten
einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung
eines Vertragsverhältnisses mit dieser Person. Scoring erfolgt in der Regel in einer Punktebewertung (Score =
Punkt, engl.) Scoring gehört zum Profiling, häufig sind beide synonym, wenn die Bewertung des Profilings in
einer Punktbewertung erfolgt.
2.4.2. Zulässigkeit
Eine Bonitätsprüfung anhand Scorings ist nur bei unsicheren Zahlungsarten zulässig. (siehe 1.7 Zahlungsarten)
2.4.3. Anschriftendaten
Der genutzte Score-Wert darf nicht ausschließlich auf Basis von Anschriftendaten beruhen. Des Weiteren muss
die betroffene Person über die Nutzung von Anschriftendaten vor Berechnung unterrichtet werden (in der Regel
über die Auskunftei, z.B. per Link).
Datenklassifizierung B2B B2C
Wohnanschrift nicht relevant ✔ (Mit Unterrichtung)
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
18
Mindestanforderungen an den Datenschutz im Credit Management
Vor der Kundenbeziehung
2.4.4. Widerspruchs-, Widerrufsrecht
siehe 2.3.12
2.5. Stichprobenprüfung des berechtigten Interesses durch Auskunfteien
Auskunfteien können gegebenenfalls stichprobenartig das berechtigte Interesse an einer Bonitätsabfrage
überprüfen. Ob eine entsprechende Rechtsgrundlage vorliegt, dazu kann derzeit keine verbindliche Aussage
getroffen werden.
Erläuterung
• Anmerkung: Soweit bekannt, vertritt der Hamburger Beauftragte für Datenschutz und Informationssicherheit
(HmbBfDI) aktuell die Auffassung, dass es keine Rechtsgrundlage zur Überprüfung gibt.
• Schriftliche Äußerungen anderer Landesbehörden (weder für oder gegen) liegen aktuell hier nicht vor.
Wenn keine Rechtsgrundlage zur Stichprobenüberprüfung bejaht werden kann, dürfen Kreditabteilungen, bzw.
Unternehmen, welche die Auskunft eingeholt haben, keine Informationen an die Auskunftei weiterleiten.
Erläuterung
• Für Unternehmen, welche dem Zuständigkeitsbereichs des HmbBfDI unterfallen, bedeutet dies, dass eine
Beantwortung der stichprobenartigen Abfrage nicht zulässig ist.
2.6. Besonderheiten beim Onlinehandel
2.6.1. Unzulässige Zahlartensteuerung
Eine Bonitätsabfrage darf erst nach Auswahl einer wirtschaftlich unsicheren Zahlungsart. erfolgen (siehe 1.7
Zahlungsarten).
Erläuterung
• Es ist nicht zulässig, während des Bestellprozess oder sogar noch früher eine Bonitätsprüfung durchzuführen
und dann vom Ergebnis abhängig bestimmte Zahlungsarten anzubieten, sondern erst nachdem der Betroffene
eine unsichere Zahlungsart ausgewählt hat.
2.6.2. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung ist zulässig, sofern die Entscheidung für den Abschluss oder die
Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder sofern
die ausdrückliche Einwilligung der betroffenen Person vorliegt. Diese ist regelmäßig nur im Online-Handel von
Bedeutung.
Erläuterung
• Eine automatisierte Entscheidungsfindung bedeutet, dass das Ergebnis der Bonitätsprüfung automatisiert
erfolgt und keine natürliche Person das Ergebnis gegencheckt
• Die Erforderlichkeit der automatisierten Entscheidungsfindung kann im Massengeschäft, insbesondere im
Online-Handel, bejaht werden.
• Das Unternehmen trifft im Falle einer negativen automatisierten Entscheidung angemessene Maßnahmen,
um die Rechte der betroffenen Person zu wahren, wozu mindestens das Recht gehört, den eigenen Standpunkt
geltend zu machen und die Entscheidung anzufechten. Dies gilt für eine erforderliche Bonitätsprüfung wie für
in eine Eingewilligte gleichermaßen.
Mindestanforderungen an den Datenschutz im Credit Management
19
Während der Kundenbeziehung
3. Während der Kundenbeziehung
3.1. Rechnungen
3.1.1. Erstellung und Versand von Rechnungen
Rechnungen müssen in unveränderbarer Form erstellt und datensicher versandt werden.
Erläuterung
• Zur Datensicherheit sind Vorkehrungen zur treffen, dass Rechnungen nicht an falsche Empfänger sowie ggf.
verschlüsselt versandt bzw. nur zum Herunterladen bereitgestellt werden.
3.1.2. Beauftragung von Lettershops
Sofern Druck und Versand von Rechnungen durch externe Dienstleister erfolgen, ist sicherzustellen, dass dies im
Rahmen einer Auftragsverarbeitung erfolgt.
Erläuterung
• Die Beauftragung von Lettershops ist Auftragsverarbeitung. Unternehmen und Dienstleister müssen einen
entsprechenden Datenschutz-Vertrag abschließen, und das Unternehmen muss sich von der Einhaltung der
Datensicherheitsvorschriften beim Dienstleister überzeugen.
3.1.3. Aufewahrungsvorschriften
Alle rechnungsrelevanten Daten sind für 10 Jahre aufzubewahren.
Erläuterung
• Die 10-Jahresfrist ergibt sich aus § 14b Abs. 1 UStG. Die Regelungen für die Aufewahrung gelten gleichwohl
für analoge als auch für digitale Dokumente.
3.2. Zahlungswege
3.2.1. Barzahlung
Die Form der Barzahlung ist die anonyme Form der Bezahlung und somit nicht datenschutzrelevant.
Erläuterung
• Beider Barzahlung werden keine personenbezogenenDaten hinsichtlich der Bezahlung erhobenoder verarbeitet.
3.2.2. Nachnahme
Bei der Nachnahme erfolgt die Bezahlung über das liefernde und kassierende Unternehmen.
Erläuterung
• Bei der Beauftragung des Logistikdienstleisters im Rahmen der Nachnahme, handelt es sich in der Regel
nicht um Auftragsverarbeitung. Die Beauftragung des Logistikdienstleisters erfolgt in den meisten Fällen zur
Vertragserfüllung.
3.2.3. Vorkasse
Bei der Bezahlung per Vorkasse ist die Speicherung personenbezogener Daten des Käufers zur Vertragserfüllung
zulässig.
3.2.4. SEPA Mandat
Bei der Bezahlung per Lastschriftmandat wird die IBAN des Käufers gespeichert. Die Speicherdauer ergibt sich aus
der Kundenbeziehung (einmalige oder wiederkehrende Zahlungen). Zur Vermeidung missbräuchlicher Verwendung
sollte die Speicherung der IBAN in verschlüsselter Form erfolgen.
20
Mindestanforderungen an den Datenschutz im Credit Management
Während der Kundenbeziehung
Erläuterung
• Bei einmaliger Zahlung ist die IBAN des Käufers zu löschen, sobald das Geld des Käufers auf dem
Unternehmenskonto eingegangen und die Lastschrift-Widerrufsfrist verstrichen ist.
• Bei wiederkehrender Zahlung ist die IBAN des Käufers nach Beendigung des Vertrages und verstrichener
Widerrufsfrist der letzten Bestellung zu löschen.
3.2.5. Kreditkarten-Zahlung
Ohne das Vorliegen einer PCI DSS Zertifizierung dürfen Händler in ihren Systemen keine Kreditkartendaten
verarbeiten oder speichern. Dies gilt auch für den CVC (Card Validation Code).
Erläuterung
• Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI DSS, ist ein Security-
Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht.
3.2.6. Bezahldienste
Beim Einsatz von Bezahldiensten (z.B. PayPal) erfolgt die Abwicklung und damit die Datenverarbeitung der
Bezahlung über diese Dienste Dies gilt auch für Kreditkartenabwicklungen ohne PCI (siehe 3.2.5.). Die Beziehung
zum Bezahldienstleister erfolgt zur Vertragserfüllung. Eine Auftragsverarbeitung liegt nicht vor.
3.3. IBAN Validierung
Sofern die Validierung einer IBAN durch einen externen Dienstleister erfolgt, ist mit diesem eine
Auftragsvereinbarung abzuschließen. Die unternehmenseigene Hausbank ist hiervon ausgenommen.
3.4. Weitergabe von Zahlungserfahrungen an Auskunfteien
Sofern personenbezogene Daten an Auskunfteien weitergegeben werden, damit diese hieraus einen Score-Wert
ermitteln können, gilt je nach Datenklassifizierung folgendes:
Datenklassifizierung
Positiv
Negativ (weich)
Negativ (weich)
Negativ (hart)
B2B
✚
✔
(sofern juristische Person)
✔
(sofern natürliche Person / Ein-Personen-GmbH
/ unter besonderen Voraussetzungen,
siehe Erläuterungen)
✔
B2C
✚
✔
(unter besonderen Voraussetzungen,
siehe Erläuterungen)
✔
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Weiche Negativ-Zahlungsinformationen über Auskunfteien in einem Wahrscheinlichkeitswert anzufragen, ist
zulässig:
• bei denen der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich
gemahnt worden ist,
•
•
•
•
die erste Mahnung mindestens vier Wochen zurückliegt,
der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung
durch eine Auskunftei unterrichtet worden ist und
der Schuldner die Forderung nicht bestritten hat oder
deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt
werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine
Auskunftei unterrichtet worden ist.
• Die Information der Einschaltung von Inkassobüros als weiches Negativmerkmal weiterzuleiten, ist zulässig,
insbesondere das Mahnverhalten des Unternehmens umgesetzt ist.
Mindestanforderungen an den Datenschutz im Credit Management
21
Während der Kundenbeziehung
3.5. Monitoring / Unternehmensinternes Scoring
3.5.1. Zulässigkeit
Monitoring / Unternehmensinternes Scoring ist zulässig bei Dauerschuldverhältnissen und bei Verträgen mit
Kunden, die wiederkehrend beliefert werden.
3.5.1.1. Mathematisch-statistisches Verfahren
Scoring muss auf einem wissenschaftlich anerkannten mathematisch-statistischen Verfahren basieren.
3.5.1.2. Datenklassifizierung:
Datenklassifizierung B2B B2C
Positiv ✔ ✔
(da eigene Zahlungserfahrungen) (da eigene Zahlungserfahrungen)
Negativ (weich)
✔
✔
(da eigene Zahlungserfahrungen) (da eigene Zahlungserfahrungen)
Negativ (hart)
Neutral
Sensibel (insbesondere
Gesundheitsdaten)
Persönlich
✔
(da eigene Zahlungserfahrungen)
✔
(da eigen gesammelte Daten)
Nicht zulässig
Nicht zulässig
✔
(da eigene Zahlungserfahrungen)
✔
(da eigen gesammelte Daten)
Nicht zulässig
Nicht zulässig
Bankauskünfte ✔ ✔
(da zum Einholen Einwilligung vorliegt) (da zum Einholen Einwilligung vorliegt)
Scorewerte Auskunftei ✔ ✔
(sofern unsichere Zahlungsart)
(sofern unsichere Zahlungsart)
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
3.5.2. Transparenz
3.5.2.1. Information zum Scoring
Die Betroffenen sind darüber zu informieren, dass ein unternehmensinternes Scoring-Modell eingesetzt wird.
3.5.2.2. Auskunft zu Scoring
Die erhobenen Scoringwerte müssen zu Auskunftszwecken auswertbar gespeichert werden, um dem
Betroffenen, der sein Auskunftsrecht geltend macht, offenzulegen. Über die Logik des Scoring-Modells und
die prozentuale Verteilung ist keine Auskunft zu erteilen, aber über die zugrundeliegenden Daten, bzw.
Datenkategorien.
3.6. Internes Mahnverfahren
3.6.1. Mahnmedien
Die verschiedenen Mahnmedien (wie Festnetz, Handy, Hinterlassen einer Nachricht auf einem Anrufeantworter,
Email, Fax, SMS, Post, soziale Medien, WhatsApp, etc.) sind auf die datenschutzrechtliche Zulässigkeit zu prüfen.
Erläuterung
• Bei den Mahnmedien ist sicherzustellen, dass unberechtigte Dritte keine Informationen über die Mahnung
erfahren, z. B., ist es nicht zulässig, wenn man im B2C-Bereich Mahninformationen auf einem Anrufeantworter
auf der Familienfestnetznummer hinterlässt. Genauso kritisch ist die Verwendung von Faxnummern, wie
Sammel-Accounts.
• Mahnungen dürfen im B2C-Bereich keine nötigenden Sätze enthalten wie „Wenn Sie nicht bis zum… zahlen,
geben wir Ihre Nichtzahlung an Auskunfteien weiter“.
• Im B2C-Bereich sind SMS, soziale Medien und WhatsApp nicht zulässig zum Mahnen, da sie einen
unverhältnismäßigen Eingriff in die Privatsphäre darstellen.
22
Mindestanforderungen an den Datenschutz im Credit Management
Während der Kundenbeziehung
3.6.2. Beauftragung von Lettershops
Sofern Druck und Versand von Rechnungen durch externe Dienstleister erfolgen, ist sicherzustellen, dass dies im
Rahmen einer Auftragsverarbeitung geschieht.
Erläuterung
• Das Wording in den Mahnungen sollte in Bezug auf mögliche Persönlichkeitsverletzungen abgestimmt werden.
3.7. Inkasso
3.7.1. Inkasso
Die Datenweitergabe an Externe zur Realisierung offener Forderungen ist datenschutzrechtlich zulässig, aber
keine Auftragsvereinbarung.
Erläuterung
• Es dürfen nur die für den Forderungseinzug notwendigen Daten übergeben werden.
3.8. Factoring
Beim Factoring verkauft ein Unternehmen seine Forderungen gegen dessen Kunden fortlaufend an ein Factoring-
Unternehmen. Dies ist bei sicheren wie unsicheren Zahlungsarten zulässig.
Erläuterung
• Sofern die Daten als Gesamtportfolio zur Verfügung stehen, ist die Beauftragung des Factoring-Unternehmens
weder Auftragsverarbeitung noch gemeinsame Verantwortung.
3.8.1. Weitergabe der Daten zum Kunden und zur Forderung
Datenweitergabe
Daten zum Kunden
und zur Forderung
Daten zum Kunden
und zur Forderung
B2B
✔ (sofern natürliche Person /
Ein-Personen-GmbH)
✔
(sofern juristische Person)
B2C
✔
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Die Forderungsabtretung stellt eine Änderung der Zweckbindung des Vertrages zwischen Unternehmen und
dessen Kunden dar und bedarf damit eines Erlaubnistatbestandes oder der Zustimmung des Kunden.
3.8.2. Bewertung des Kundenportfolios
Zur Bewertung des Kundenportfolios darf der Kundenbestand nur zu diesem Zweck im Vorfeld an das Factoring-
Unternehmen übergeben werden.
Erläuterung
• Das Unternehmen sollte mit dem Factoring-Unternehmen einen Vertrag abschließen, der Themen wie zur
Geheimhaltung, zur Zweckbindung und zur Löschung der Daten, wenn es nicht zu einem Factoring-Auftrag
kommt, enthalten sollte.
3.9. Warenkreditversicherung
3.9.1. Zulässigkeit der Warenkreditversicherung
Der Abschluss einer Warenkreditversicherung ist nur für Kunden mit unsicheren Zahlungsarten zulässig.
Mindestanforderungen an den Datenschutz im Credit Management
23
Während der Kundenbeziehung
Erläuterung
• Der Abschluss einer Warenkreditversicherung setzt in der Regel voraus, dass der potenzielle Kunde vom
Unternehmen auf dessen Bonität überprüft wird.
3.9.2. Weitergabe der (potenziellen) Kundendaten an den Versicherer
Sofern der Versicherer die potenziellen Kunden hinsichtlich ihrer Bonität prüft, ist dies -wie nachfolgend dargestelltzulässig.
Datenweitergabe B2B B2C
Daten zum Kunden
✚
(sofern natürliche Person /
Ein-Personen-GmbH)
✚
Daten zum Kunden
✔
(sofern juristische Person)
„✔“ = berechtigtes Interesse; „✚“ = Einwilligung, „Nicht zulässig“ = weder „✔“ noch „✚“
Erläuterung
• Mit dem Versicherer ist ein Vertrag zur gemeinsamen Verantwortlichkeit abzuschließen, da ein gemeinsamer
Zweck undgemeinsame Mittel zu bejahensind.Die Bonitätsprüfungerfolgt zur Durchführungdes gemeinsamen
Warenkreditvertrages.
3.10. Verfahren durch Einschaltung von öffentlichen Stellen
Öffentliche Stellen sind bspw. Gerichte und Gerichtsvollzieher im Rahmen von Mahnbescheid- und Klag-,
Zwangsvollstreckungs- oder Insolvenzverfahren zu verstehen. Die Datenverarbeitung ist durch die entsprechenden
Normen gerechtfertigt.
3.11. Warnlisten
Unternehmen können Warnlisten von Kunden zum Gläubigerschutz erstellen, wenn ihre Forderungen nicht
vollständig verwirklicht worden sind und sie sich vor zukünftigen Bestellungen und Forderungsausfällen schützen
wollen.
3.12. Mitarbeiter als Kunde
3.12.1.Speicherung der Daten außerhalb Personalabteilung
In der Regel werden Mitarbeiter, wenn sie Kunden des eigenen Unternehmens werden, in der Kreditabteilung wie
„normale“ Kunden aufgebaut. Das bedeutet, dass vertrauliche Beschäftigungsdaten nicht in der Personalabteilung,
sondern außerhalb dieser gespeichert werden, aber derselbe hohe Datenschutz zu Grunde gelegt werden muss.
Erläuterung
• Aus Datenschutzsicht wäre eine Separierung der „Mitarbeiter-Kunden“ in einen eigenen Kundenkreis und
Begrenzung des Zugriffs auf einen kleinen Personenkreis der Mitarbeiter der Kreditabteilung sinnvoll und
angemessen.
3.12.2.Nichtbezahlung von Rechnungen
Sofern es bei einer Mitarbeiterbestellung zu nicht bezahlten Rechnungen, z.B. zu einer Rücklastschrift kommt, ist
darüber Stillschweigen zu wahren.
Erläuterung
• Das Stillschweigen gilt gegenüber Personen, die für die Bearbeitung der Nichtbezahlung nicht erforderlich sind.
24
Mindestanforderungen an den Datenschutz im Credit Management
Nach der Kundenbeziehung
3.12.3.Auskünfte an die Personalabteilung
Auskünfte an die Personalabteilung über Mitarbeiter dürfen seitens der Kreditabteilung grundsätzlich nicht erteilt
werden.
Erläuterung
• Kredit- und Personalabteilungen sind zwei unterschiedliche Organisationseinheiten, die grundsätzlich jede
für sich allein Daten verarbeiten. Eine Datenweitergabe ist nur mit Zustimmung des Mitarbeiters erlaubt.
Zustimmungen im Arbeitgeber-/Arbeitnehmerverhältnis sind zurückhaltend zu nutzen. Ggf. kann ein
Datenaustausch, bzw. eine Datenweitergabe durch Betriebsversammlungen geregelt werden.
• Für die Weitergabe bedarf es einer Rechtsgrundlage, wie z.B. § 26 BDSG oder der Einwilligung des Mitarbeiters.
4. Nach der Kundenbeziehung
4.1. Allgemeines
Die Themen Mahnung, Inkasso Verfahrendurch Einschaltung von offiziellen Dritten oder Warnlisten sind auch nach
Beendigung der Kundenbeziehung möglich (siehe dazu Ziffer 3). Es gibt aus Datenschutzsicht keinen Unterschied,
ob die Kundenbeziehung noch besteht oder beendet wurde.
4.2. Datenlöschung
4.2.1. Löschung von rechnungsrelevanten Daten
Rechnungsrelevante Daten sind für 10 Jahre aufzubewahren und danach zu löschen.
Erläuterung
• Die 10-Jahresfrist ergibt sich aus § 14b Abs. 1 UStG. Die Regelungen für die Aufewahrung gelten gleichwohl
für analoge als auch für digitale Dokumente.
4.2.2. Löschung von Daten nach der Kundenbeziehung
Nicht rechnungsrelevante Daten von Kunden (auch Bonitätsdaten) sind drei Jahre zum Ende des Jahres zu
löschen, und zwar drei Jahre nach der letzten Bestellung, es sei denn die Forderung wird gerichtlich oder
per Zwangsvollstreckung geltend gemacht, bzw. über das Vermögen des Kunden ist das Insolvenzverfahren
eröffnet.
Erläuterung
• Bei der Löschung sind auch Daten in unstrukturierten Dateien, wie Daten im Posteingangsserver oder Daten
in lokal gespeicherten Ordnern, zu löschen.
4.2.3. Löschung von Daten (Gerichts-, Zwangsvollstreckungs-, Insolvenzverfahren)
Nicht rechnungsrelevante Daten von Kunden (auch Bonitätsdaten), deren Forderung gerichtlich oder per
Zwangsvollstreckung geltend gemacht werden, bzw. es ist ein Insolvenzverfahren über das Vermögen des Kunden
eröffnet, müssen nach vollständiger Realisierung der Forderungen gelöscht werden.
Erläuterung
• In der Regel werden die rechnungsrelevanten Daten und die Daten für die verschiedenen Verfahren identisch
sein. Deswegen gilt dann mindestens die 10-Jahresfrist.
Mindestanforderungen an den Datenschutz im Credit Management
25
Besonderheiten
4.2.4. Löschung von besonderen Daten
Besondere Daten wie Bank- oder Kreditkartendaten sollten früher als drei Jahre gelöscht oder überschrieben
werden, um das Missbrauchsrisiko zu minimieren.
4.2.5. Löschung von Warnlisten
Warnlisten müssen mit angemessenen Löschfristen verbunden werden. In der Praxis haben sich Zeiträume von
3-5 Jahren etabliert.
5. Besonderheiten
5.1. Datenschutzvorfälle
Die Kreditabteilung muss potentielle Datenschutzvorfälle unverzüglich nach Bekanntwerden an den
Datenschutzbeauftragten bzw. die Unternehmensleitung melden, sodass die Meldefrist von 72 Stunden gegenüber
der Aufsichtsbehörde eingehalten werden kann.
Erläuterung
• Für eine Meldung potenzieller Datenschutzvorfälle sind beispielsweise folgende Themen relevant: Art, Ort,
Zeitpunkt und Beschreibung des Vorfalls, sowie betroffene Datenkategorien und Anzahl betroffener Personen.
5.2. Datenschutzfolgenabschätzung
Bei Prozessen in der Kreditabteilung,wo ein hohesRisiko für Betroffenebesteht, wie bspw. bei Nutzung von Massen-
Inkasso, Nutzung von Tools zur Betrugsvermeidung, Nutzung eigener Scoring-Tools, ist der Datenschutzbeauftragte
hinsichtlich Durchführung einer Datenschutzfolgenabschätzung zu konsultieren.
Erläuterung
• Bei den genannten Prozessen ist eine Datenschutzfolgeabschätzungnotwendig, da dieseForm der Verarbeitung,
aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko
für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
5.3. Weitergabe von Daten in unsichere Drittstaaten
Eine Weitergabe von personenbezogenen Daten an Dienstleister oder Kooperationspartner in unsichere
Drittstaaten ist kritisch und durch geeignete Maßnahmen abzusichern.
Erläuterung
• Welche Länder, das Datenschutzniveau betreffend, als unsicher gelten, entscheidet die Europäische Kommission.
Dabei bedeutet, dasseinDrittland unsicher ist, wenndieKommissionkeinenAngemessenheitsbeschlusserlassen
hat. Derzeit (Stand 07/21) sind folgende Länder sicher: Andorra, Argentinien, Kanada (Handelsorganisationen),
Faroer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Großbritannien (zeitlich begrenzt),
Uruguay und Süd-Korea.
26
Mindestanforderungen an den Datenschutz im Credit Management
Qualifizierung zum
Certified Credit Manager (CCM)®
Juristischer Bedingungsrahmen
Credit Management und Unternehmensrechnung
Risikomanagement
Credit Policy
Credit Collections
Marktorientierung des Credit Management
Informationssysteme
Methodenbasis des Credit Management
Externe Unternehmensdiagnose
Softskills und Konzepte zur Personalführung
Benchmarking im Credit Management
Qualifizierung komplett digital!
Weitere Informationen unter:
www.credit-manager.de/weiterbildung/ccm
Qualifizierung zum
Certified Credit Controller (CCC)®
Aufgaben und Organisation des Credit Controlling
in der Unternehmenspraxis
Bonitätsprüfung und -überwachung im Firmenkunden-Geschäft
Credit Collections
Rechtliche Aspekte und Realisierung von Forderungen
Qualifizierung komplett digital!
Weitere Informationen unter:
www.credit-manager.de/weiterbildung/ccc
Drususdeich 24
47533 Kleve
T 02821 / 97 67 10-0
F 02821 / 97 67 10-636
sekretariat@credit-manger.de
www.credit-manager.de
Die Credit Manager -
Wir steigern gemeinsam Erfolg!
Wir wiegen Chancen und Risiken fundiert ab
Wir optimieren das Kundenportfolio
Wir reduzieren Forderungsausfälle
Wir verbessern das Working Capital und die Liquidität
Wir schaffen zusätzliche Handlungsspielräume
Wir vergrößern die unternehmerische Unabhängigkeit
Wir sichern nachhaltiges Wachstum
Drususdeich 24
47533 Kleve
T 02821 / 976710-0
F 02821 / 976710-636
sekretariat@credit-manager.de
www.credit-manager.de