Der Hamburgischen Beauftragten für Datenschutz hat auf seiner Seite eine FAQ veröffentlicht, welche sich mit dem Thema Datenschutz bei Inkassodienstleistern beschäftigt. Da das auch das Thema meiner Masterarbeit aus 2012 war, habe ich mich damit einmal näher beschäftigt.
Die Seite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erklärt vor allem, wann Inkassodienstleister personenbezogene Daten rechtmäßig verarbeiten dürfen, woher diese Daten typischerweise stammen und welche Rechte Betroffene haben. Kernpunkt ist: Die Weitergabe von Schuldnerdaten an ein Inkasso ist in vielen Fällen auch ohne Einwilligung zulässig, und zwar regelmäßig auf Grundlage von Art. 6 Abs. 1 lit. b oder lit. f DSGVO.
Die Veröffentlichung ist als FAQ aufgebaut und behandelt typische Fragen von Personen, die Post von einem Inkassodienstleister erhalten haben. Im Zentrum stehen Forderungseinzug, Datenherkunft, Adressermittlung, Bonitätsabfragen, Auskunfteien, Löschung und Auskunft nach DSGVO.
Der HmbBfDI stellt dabei klar, dass er nicht über das Bestehen oder die Durchsetzbarkeit der Forderung entscheidet; dafür seien Zivilgerichte zuständig. Die Behörde prüft nur datenschutzrechtliche Fragen.
Herkunft der Daten
Nach Darstellung der Behörde stammen die Daten meist vom ursprünglichen Gläubiger, also etwa von Online-Händlern, Zahlungsdienstleistern oder Energieversorgern. Zusätzlich können Inkassodienstleister Daten aus öffentlich zugänglichen Quellen, von Adressdienstleistern, Wirtschaftsauskunfteien oder direkt von der betroffenen Person erhalten.
Besonders wichtig ist der Punkt, dass der Gläubiger Namen, Anschrift, Kontaktdaten und Forderungsdetails an das Inkasso weitergeben darf, wenn dies zur Durchsetzung der offenen Forderung erforderlich ist. Eine Einwilligung der betroffenen Person sei dafür in der Regel nicht nötig.
Forderung trotz Widerspruch
Auch wenn eine Forderung bestritten, bereits bezahlt oder aus Sicht der betroffenen Person nicht existent oder verjährt ist, kann sie zunächst weiter geltend gemacht werden. Der HmbBfDI betont, dass Inkassodienstleister vor allem eine Plausibilitäts- oder Schlüssigkeitsprüfung vornehmen müssen und nicht in jedem Fall selbst die materielle Rechtslage abschließend beurteilen.
Die Betroffenen sollen der Behörde zufolge den behaupteten Fehler direkt gegenüber dem Inkassodienstleister vorbringen. Solange nicht feststeht, dass die Forderung nicht besteht oder nicht durchsetzbar ist, kann die Verarbeitung grundsätzlich weiter auf Art. 6 Abs. 1 lit. b und f DSGVO gestützt werden.
Unbekannte Forderungen
Für den Fall, dass eine Forderung völlig unbekannt ist, nennt die Seite drei typische Ursachen: falsche Zustellung, Personenverwechslung oder Identitätsbetrug. Bei falscher Zustellung soll der Brief nicht geöffnet werden; bei Verwechslung oder Identitätsbetrug sollen Betroffene den Sachverhalt dem Inkasso mitteilen.
Wenn sich der Fehler bestätigt, werden die Daten zunächst gesperrt und bei Personenverwechslung regelmäßig mit einem Sperrvermerk versehen. Bei Identitätsbetrug empfiehlt die Behörde zusätzlich eine Anzeige bei der Polizei.
Adressermittlung und Nachsendung
Wenn ein Schreiben unzustellbar ist, darf das Inkassounternehmen spezialisierte Adressdienstleister einsetzen, um eine aktuelle Anschrift zu ermitteln. Der HmbBfDI hält das für datenschutzrechtlich grundsätzlich zulässig, weil das berechtigte Interesse an der Forderungsdurchsetzung überwiegen kann und diese Methode oft günstiger und aktueller sei als eine Melderegisterabfrage.
Wichtig ist dabei: Die Verantwortung für fehlerhafte Zuordnungen liegt aus Sicht der Behörde zunächst beim Adressdienstleister. Der Inkassodienstleister darf sich grundsätzlich auf die erhaltenen Daten verlassen, solange keine offensichtlichen Auffälligkeiten vorliegen.
E-Mail-Kommunikation
Der HmbBfDI sieht grundsätzlich keine überwiegenden datenschutzrechtlichen Bedenken dagegen, dass ein Inkassodienstleister per E-Mail kommuniziert, wenn die Adresse im ursprünglichen Geschäftsverhältnis angegeben wurde. Betroffene können dieser Kommunikationsform widersprechen, dann soll der Kontakt auf Post umgestellt werden.
Für die Sicherheit verweist die Seite auf die BSI TR-03108 (Technische Richtlinie „Sicherer E-Mail-Transport“ ) und auf die Orientierungshilfe der DSK (Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mai). Nach der Darstellung genügt im Regelfall eine qualifizierte Transportverschlüsselung; eine durchgängige Ende-zu-Ende-Verschlüsselung sei normalerweise nicht erforderlich.
Weitergabe an Dritte und Bonitätsprüfung
Eine Weitergabe von Daten an Dritte ist nur zulässig, wenn sie zur Durchsetzung der Forderung nötig ist oder ein berechtigtes Interesse besteht. Genannt werden etwa Adressermittlung, Einschaltung von Rechtsanwälten, Zwangsvollstreckung oder Meldungen an Auskunfteien.
Auch eine Bonitätsauskunft über die betroffene Person kann rechtmäßig sein, wenn das Inkasso ein berechtigtes Interesse hat, etwa um das Kostenrisiko weiterer Schritte einzuschätzen. Die Rechtsgrundlage ist nach der Seite Art. 6 Abs. 1 lit. f DSGVO.
Meldung an Auskunfteien
Offene Forderungen dürfen unter den Voraussetzungen des § 31 Abs. 2 Nr. 1 bis 5 BDSG an Wirtschaftsauskunfteien gemeldet werden. Die Seite nennt als wichtige Voraussetzung unter anderem, dass mehrfach gemahnt wurde, Fristen eingehalten wurden, die Forderung nicht bestritten wurde und auf die mögliche Meldung hingewiesen wurde.
Wird die Forderung später beglichen, muss das Inkassounternehmen die Erledigung an die Auskunftei melden; die Löschung des Eintrags liegt dann aber bei der Auskunftei selbst.
Löschung und Aufbewahrung
Ein Löschungsantrag nach Art. 17 DSGVO muss innerhalb eines Monats beantwortet werden. Die Seite macht aber deutlich, dass Inkassounternehmen Löschung oft ablehnen dürfen, solange der Vorgang noch läuft oder Daten zur Geltendmachung von Rechtsansprüchen benötigt werden.
Auch nach Abschluss des Verfahrens können Aufbewahrungspflichten bestehen, etwa nach HGB, AO oder BRAO. Dann wird nicht „frei“ weiterverarbeitet, sondern die Verarbeitung wird eingeschränkt, die Daten also archiviert oder streng zugriffsbeschränkt aufbewahrt.
Auskunftsrecht
Betroffene können auch gegenüber Inkassodienstleistern Auskunft nach Art. 15 DSGVO verlangen. Die Behörde weist aber darauf hin, dass der Dienstleister bei Zweifeln an der Identität zusätzliche Informationen verlangen darf, bevor er Daten herausgibt.
Das ist aus Sicht des HmbBfDI notwendig, um zu verhindern, dass sensible Informationen an unbefugte Dritte gelangen. Wenn die Identität nicht sicher geklärt werden kann, darf der Zugang zu den Daten verweigert werden.
Praktische Einordnung
Insgesamt verfolgt die Seite einen eher pragmatischen Ansatz zugunsten des Inkassowesens, solange die Forderungsdurchsetzung plausibel erscheint und datenschutzrechtliche Mindestanforderungen eingehalten werden. Für Betroffene ist die wichtigste Botschaft, dass eine Inkassoanschrift nicht automatisch unzulässig ist, dass aber bei Fehlern, Verwechslungen oder Identitätsmissbrauch schnell reagiert werden sollte.
Für die Praxis besonders relevant sind die Hinweise zu Datenherkunft, Adressermittlung, E-Mail-Verschlüsselung, Auskunfteien und den Grenzen von Löschbegehren. Gerade bei Bestreiten der Forderung ist die Unterscheidung zwischen datenschutzrechtlicher Zulässigkeit und der zivilrechtlichen Frage, ob die Forderung wirklich besteht, zentral.