Im Rahmen unseres Tagesgeschäftes wird häufig die Frage gestellt, ob eingesetzte Dienstleister Auftragsverarbeiter oder eigene verantwortliche Stelle im Sinne der DSGVO sind. Diese Beurteilung ist vor allem wichtig, um die Rechte und Pflichten im Rahmen der Zusammenarbeit festzustellen und entsprechend zu regeln.
Nicht ganz einfach ist die Beantwortung bei der Fragestellung, ob es sich bei einem eingesetzten Inkassodienstleister um einen Auftragsverarbeiter handelt oder eben auch nicht.
Die von uns initiierte Diskussion bei Twitter gibt den Meinungsstand gut wieder.
Definitionen, relevante Normen, EDSA, DSK
Auftragsverarbeitung liegt gem. Definition des Art. 4 Nr. 8 DSGVO vor, wenn eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verantwortliche Stelle ist gem. Art. 4 Nr. 7 DSGVO hingegen die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
Ein wesentliches Tatbestandsmerkmal für die Einstufung als Auftragsverarbeiter ist die Verarbeitung „im Auftrag“. Sie ist also abhängig von einer nachvollziehbaren Beauftragung durch einen Verantwortlichen (= Auftraggeber). Zentrales Element der Auftragsverarbeitung ist die Weisungsabhängigkeit des Auftragsverarbeiters (vgl. Art. 28 Abs. 3 a, Abs. 10 DSGVO).
Weitere Informationen können Sie den Leitlinien des Europäischen Datenschutzausschusses entnehmen, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, zu finden in englischer Sprache unter:
https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf.
Eine bislang nicht geprüfte deutsche Übersetzung hat der EDSA unter folgendem Link zur Verfügung gestellt:
Aber auch die dt. Aufsichtsbehörden haben hierzu eine Auslegung veröffentlicht:
Gem. Kurzpapier Nr. 13 Anhang A der DSK liegt eine Auftragsverarbeitung typischerweise bei Outsourcing eines Rechenzentrums, externer Datenhaltung, Cloud Systeme zur Personal- und Kundenverwaltung, externe Druckdienstleister, Aktenvernichtung, Vernichtung von Datenträgern etc. vor. Im Gegensatz dazu liegt Auftragsverarbeitung gem. Anhang B des Kurzpapieres der DSK nicht vor, wenn die Inanspruchnahme fremder Fachdienstleistungen bei einem eigenständig Verantwortlichen gegeben ist, z.B. bei Beauftragung von Berufsgeheimnisträgern, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienstes für den Brieftransport.
Inkasso mit Forderungsübertragung
Wird also eine Forderung laut Aufsichtsbehörden an den Inkassodienstleister übertragen (Fall aus Anlage B), legt dieser Zwecke und Mittel und das Forderungsmanagement selbst fest und ist daher als eigener Verantwortlicher anzusehen.
Inkasso ohne Forderungsübertragung
Die Frage stellt sich deswegen insbesondere, wie der Sachverhalt zu bewerten ist, wenn ein Inkassounternehmen ohne Forderungsübertragung tätig wird.
Jetzt die enttäuschende Nachricht:
Es gibt keine allgemeingültige Antwort!
Es kommt im Zweifel also auf die ganz konkrete Ausgestaltung des Vertragsverhältnisses zwischen den Parteien an, ob es sich bei der Beauftragung eines Inkassounternehmens um eine Auftragsverarbeitung handelt oder nicht.
Nachfolgend fasse ich gern die Argumente zusammen, die zur Argumentation für oder gegen eine Auftragsverarbeitung herangezogen werden können:
- Contra Auftragsverarbeitung: Beim Inkasso handelt es sich um eine gesetzlich geregelte Dienstleistung gem. RDG, die einem Registrierungsprozess und strengen gesetzlichen Regelungen unterliegt und sowohl aus gebührenrechtlicher Sicht, als auch was Darlegungs- und Informationspflichten (§ 13a RDG) angeht ähnlich dem Rechtsanwaltsinkasso geregelt ist, so dass nach meiner Ansicht ein Inkasso schon allein deswegen keine Auftragsverarbeitung darstellen kann. Die §§ 10, 11 RDG verlangen von den Inkassounternehmen „besondere Sachkunde“ und um diese Anforderungen zu erfüllen, beschäftigen Inkassounternehmen juristisch kundige sowie in der Regel ausgebildete Fachkräfte. Die Datenverarbeitung ist regelmäßig in Art und Umfang vergleichbar aufgebaut, insbesondere, soweit es Schuldnerdaten betrifft.
- Pro Auftragsverarbeitung: Auftragsverarbeitung ist in den Fällen insbesondere denkbar, in denen dem Inkassounternehmen nur bestimmte Teilaufgaben des Forderungsmanagements übertragen werden und sie hierbei streng an die Weisungen des Auftraggebers hinsichtlich ihrer Datenverarbeitungen gebunden sind. In der Praxis kommt das vor allem im öffentlichen Bereich vor, wenn z.B. Inkassounternehmen einzelne, isolierte Dienstleistungen als unselbstständige Verwaltungshelfer erbringen.
- Contra Auftragsverarbeitung: Der Bundesverband der Inkassodienstleister (BDIU) vertritt die Ansicht, dass Inkassounternehmen regelmäßig Verantwortliche seien, da sie selbst den Zweck (Forderungsmanagement) und die Mittel der Inkassobearbeitung festlegen.
- Contra Auftragsverarbeitung: Auf Nachfrage hat sich auch der LDI NRW uns gegenüber dazu ausgesprochen, dass in der Regel nicht von Auftragsverarbeitung ausgegangen werden kann. So hieß es: „Nach Auffassung der LDI NRW wird ein „klassischer“ Inkassodienstleister regelmäßig als Verantwortlicher tätig. (…) sind Ausnahmen in besonders gelagerten Einzelfällen denkbar.“
Bei der Einführung von externen Dienstleistern ist unbedingt Ihr/e Datenschutzbeauftragte/r zu involvieren! Gern helfen wir Ihnen auch bei der Bewertung und beim datenschutzkonformen Onboarding neuer Dienstleister!