Sind Inkassounternehmen Auftragsverarbeiter?

Fachbeitrag

Bei bestimmten Berufsgruppen herrscht seit jeher Widerstand gegen die Einordnung als Auftragsverarbeiter. Neben Steuerberatern und Rechtsanwälten sperren sich auch sog. Rechtsdienstleister wie Inkassounternehmen regelmäßig gegen diese Einordnung. Je nach Ausgestaltung der Inkassodienstleistungen mögen die von Ihnen vorgebrachten Gründe aber nicht zu überzeugen.

Zulässigkeit von Dienstleistungen durch Inkassounternehmen

Die Zulässigkeit von Rechtsdienstleistungen bestimmt sich in Deutschland nach dem Rechtsdienstleistungsgesetz (RDG). Neben Tätigkeiten in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert (§ 2 Abs. 1 RDG) gelten Inkassodienstleistungen nach § 2 Abs. 2 RDG stets als Rechtsdienstleitungen. Diese dürfen nach § 10 Abs. 1 Nr. 1 RDG nur von registrierten Personen erbracht werden.

Grundlage für eine solche Registrierung ist stets der sog. Sachkundenachweis. Neben der persönlichen Eignung und Zuverlässigkeit bedarf es insbesondere auch theoretischer und praktischer Kenntnisse in dem Bereich, in dem die Rechtsdienstleistung erbracht werden soll. Explizite Berufspflichten, wie bei Rechtsanwälten oder Steuerberatern sucht man hingegen vergebens. Diese sind weder im RDG, noch in einer anderen Vorschrift explizit vorgesehen.

Was sind eigentlich Inkassodienstleistungen?

Der § 2 Abs. 2 RDG definiert Inkassodienstleistungen als

„die Einziehung fremder oder zum Zweck der Einziehung auf fremde Rechnung abgetretener Forderungen, wenn die Forderungseinziehung als eigenständiges Geschäft betrieben wird“

In der Praxis werden dabei meist die folgenden Dienstleitungen umfasst:

  • Mahnungen
  • Abschluss von Ratenzahlungsvereinbarungen
  • Ermittlung von Adressen oder dem Aufenthalt von Schuldnern
  • Telefonische und postalische Zahlungsaufforderungen
  • Vorbereitung gerichtlicher Durchsetzungsmöglichkeiten
  • Abschluss außergerichtlicher Vergleiche
  • Überwachung und Erfassung von Zahlungseingängen
  • Laufende Kontrolle der Zahlungsfähigkeit von Schuldnern
  • Ermittlung von etwaigen Erben
  • Auffinden von vollstreckbaren Werten
  • Betreuung des sog. Factoring

Was wird von Inkassounternehmen argumentiert?

Mangels aktueller Rechtsprechung und Literatur berufen sich Inkassounternehmen gerne auf die alte Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung. Es wird angenommen, dass aufgrund eines eigenen Bewertungs- und Entscheidungsspielraums hinsichtlich der Wahl der Maßnahmen zur Forderungseinziehung, keine reine Hilfeleistung vorliegt. Zudem beschränke sich die Dienstleistung nicht auf vom Auftraggeber bereitgestellte Daten, das Inkassounternehmen ergänzt diese durch Abfrage bei Behörden, Instituten oder sonstigen Quellen.

Im Übrigen sei die Einordnung als Auftragsverarbeitung auch nicht wünschenswert, da ähnlich wie bei Rechtsanwälte die Kontrolle der technischen und organisatorischen Maßnahmen durch Audits aufgrund von Verschwiegenheitsverpflichtungen nicht durchzuführen sei.

Zu guter Letzt sei ja auch die Datenschutzkonferenz im Kurzpapier Nr. 13 in Anhang B nicht von einer Auftragsverarbeitung ausgegangen. Dort hieße es ja schließlich:

„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines (…) Inkassobüros mit Forderungsübertragung“

Warum die Argumente nicht zu überzeugen vermögen

Zunächst ist die Argumentation, dass wegen des eigenen Entscheidungsspielraums keine Auftragsverarbeitung vorliege, verfehlt. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO derjenige, der über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Dabei kommt es vorrangig auf die Zwecke an, wohingegen die Wahl der Mittel, bspw. bei den technisch organisatorischen Maßnahmen teilweise durchaus übertragen werden können. Aus dem Blickwinkel des Dienstleister ist also entscheidend, ob es ihm eher auf die Verarbeitung personenbezogener Daten für einen Anderen oder auf die Dienstleistung an sich ankommt. Einfacherer gesprochen muss demnach festgestellt werden, ob der Dienstleister eher verlängerter Arm des Verantwortlichen ist, oder ob er die Dienstleistung eher im eigenen Interesse erbringt. Zum einen wird der Verantwortliche bei Inkassounternehmen regelmäßig einen sehr genauen Rahmen für die Vorgehensweise vorgeben und zum anderen ändert die Entscheidung des Inkassounternehmens welche Maßnahmen in welchem Zeitstadium getroffen werden nichts an der grundsätzlichen Weisungsgebundenheit.

Der Vergleich mit Rechtsanwälten hinkt gleichermaßen. Diese Berufsgruppe ist rechtlich zur Verschwiegenheit verpflichtet und muss bei unbefugter Offenbarung mit einer strafrechtlichen Verfolgung rechnen. Zu den in § 203 StGB aufgeführten Berufsgruppen gehören Inkassounternehmen aber gerade nicht. Eine berufsrechtliche Verschwiegenheitsverpflichtung existiert ebenfalls nicht. Neben durchaus gegebenen technischen und vertraglichen Möglichkeiten ein Audit Recht ohne Verletzung einer Geheimhaltungspflicht zu ermöglichen, ist das Risiko demnach viel geringer.

Wer sich auf das Kurzpapier Nr. 13 der Datenschutzkonferenz stützen möchte, muss zu Ende lesen. Dort heißt es nämlich „Inkassobüros mit Forderungsübertragung“. Wird eine Forderung an den Dienstleister übertragen, legt dieser Zwecke und Mittel und des Forderungsmanagement selbst fest und ist daher als eigener Verantwortlicher anzusehen.

Wie ist damit in der Praxis umzugehen?

Wie so oft ist eine Entscheidung im Einzelfall notwendig. Es ist durchaus denkbar, dass ein Verantwortlicher einem Inkassounternehmen für das Forderungsmanagement so weiten Spielraum lässt, dass keine Auftragsverarbeitung mehr vorliegt.

Entscheidend ist also eine Untersuchung der tatsächlichen Vereinbarungen und der gelebten Vertragsbeziehung. Umso enger der vorgegebene Rahmen des Forderungsmanagements ist, desto mehr spricht für eine Auftragsverarbeitung.

Liegt eine solche vor, sollten Inkassounternehmen Ihre Verträge entsprechend anpassen. So dürfte eine Änderung der Geheimhaltungsklausel dahingehend notwendig sein, dass keine Audits betroffen sind, bei denen die Prüfer Ihrerseits Geheimhaltungsklauseln unterschrieben haben. Auf technischer Seite kann aber auch eine saubere Mandantentrennung helfen, so dass auch bei Audits die Möglichkeit zur Einsicht in fremde Kundendaten ausgeschlossen bleibt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Zu dem Thema gibt es eine gutachterliche Stellungnahme des Prof. Dr. Ralf B. Abel, Deutsche Inkasso Akademie GmbH, der für eine Funktionsübertragung argumentiert.
    Die Tätigkeit von Inkassounternehmen ist danach eine selbständige, eigenverantwortliche, gesetzlich regulierte Rechtsdienstleistung im Sinne von § 2 RDG. Diese Dienstleistung sei daher eine eigenständige bzw. selbständige Aufgabe, wobei regelmäßig eine Anreicherung der übermittelten Daten mit Informationen, z. B. aus Schuldnerverzeichnissen, Melderegistern, bzw. mit zusätzlichen Erkenntnissen stattfindet. Das Inkassounternehmen sei daher regelmäßig nicht nur „verlängerter Arm“ im Sinne einer Auftragsdatenverarbeitung.

    Nach meinem Dafürhalten kommt es auch entscheidend darauf an, ob Inkassounternehmen im eigenen Namen oder im Namen des Mandanten gegenüber dem Schuldner auftritt.

    Letztlich fragt sich m. E., was bei der Diskussion aus Sicht des Inkassomandanten und/oder der Kunden wünschenswert ist. Der Mandant will mit dem Inkasso ja möglichst wenig zu tun haben. Im Interesse des Kunden wäre es, wenn er alle seine Rechte alleine über den Gläubiger geltend machen kann.

  2. Das sehen wir anders: Inkassounternehmen treten in der Regel als Verantwortliche nach Art. 4 Nr. 7 DS-GVO auf.

    Für diese Sichtweise gibt es viele, sehr gute und nachvollziehbare Gründe. Einige möchten wir an dieser Stelle anführen:

    Zum einen verweisen wir auf Dr. Kai-Uwe Plath. Er schreibt in seinem White Paper zu den Anforderungen der Datenschutzgrundverordnung an Inkassounternehmen:

    „Der Inkassodienstleister wird – anders als der Auftragsverarbeiter – nicht weisungsgebunden tätig. Vielmehr legt er auch die Zwecke der Datenverarbeitung fest. Der Inkassodienstleister verarbeitet die Daten zur Durchsetzung der Forderungen der Mandanten und im Rahmen des (eigenen) Forderungsmanagements. Zudem legt er – im Rahmen der mit seinem Mandanten vereinbarten vertraglichen Grenzen – fest, welche konkreten Maßnahmen zur Durchsetzung der Forderungen ergriffen und welche Daten dazu verarbeitet werden. Auch die konkreten Maßnahmen zur datenbasierten Optimierung des Forderungsmanagements werden durch ihn gesteuert. Der Inkassodienstleister ist mithin nicht als Auftragsverarbeiter für seine Mandanten tätig, sondern als Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO. Darüber hinaus liegt auch keine gemeinsame Verantwortlichkeit mit den Mandanten des Inkassodienstleisters vor. Denn auch insoweit gilt, dass der Inkassodienstleister im Rahmen der mit seinem Mandanten vereinbarten vertraglichen Grenzen eigenverantwortlich agieren soll und muss.“

    Das White Papier ist auf der Website des BDIU veröffentlicht. Die hier zitierte Passage findet sich unter Punkt 2.1 http://www.inkasso.de/sites/default/files/downloads/BDIU%20DSGVO-WHITE%20PAPER.pdf

    Auch im Standardwerk zur DS-GVO aus dem C.H.Beck-Verlag wird diese Auffassung gestützt. Schulz schreibt in Gola, DS-GVO, 2017, Art. 6, Rn. 144, dass „bei der Kerntätigkeit von Inkassounternehmen, dem Einziehen offener Forderungen von sich in Verzug befindlichen Schuldnern, (…) es sich infolge der weitestgehend selbstständigen Aufgabenwahrnehmung regelmäßig nicht um Verarbeitungen im Auftrag (handelt).“

    Daraus folgt: Die Einordnung von Inkassounternehmen als Auftragsverarbeiter ist den meisten Fällen falsch. Inkassounternehmen haben ein umfangreiches Tätigkeitsspektrum, das sie selbstständig ausüben. Das betrifft auch die Verarbeitung von Daten. Die Mittel und Zweck(e) der Datenverarbeitungen legen Inkassounternehmen in der Regel selbst fest – und handeln eben nicht nur auf Weisung des Auftraggebers.

    • Vielen Dank für Ihre Stellungnahme. In Ihrem Kommentar bestätigen Sie die Ansicht des weit überwiegenden Teils der Inkassounternehmen, was als Bundesverband auch durchaus nachvollziehbar ist. Genauso verständlich ist, dass auch Dr. Plath in seinem Whitepaper diese Ansicht verfolgt, wurde er doch durch Sie beauftragt. Damit sei ihm keinesfalls unterstellt, dass sein Gutachten nicht von seiner Überzeugung und seiner Auslegung der Thematik getragen ist.

      Dennoch halten wir die Thematik für weniger klar, als es ihr Kommentar und das Whitepaper darstellen wollen.

      Wie bereits im Artikel festgestellt, wird eine Einzelfallentscheidung notwendig sein. Wird der Inkassodienstleister tatsächlich vollkommen weisungsfrei tätig oder lässt er sich die Forderung gar zur Einziehung im eigenen Namen übertragen, wird die Einordnung als Verantwortlicher kaum zu bezweifeln sein. Eine gesetzliche vorgeschriebene Weisungsfreiheit wie bspw. bei Steuerberatern nach § 57 Abs. 1 StBerG („unabhängig“) existiert für Inkassounternehmen als Rechtsdienstleister hingegen nicht.

      Im Ergebnis wird also stets zu ermitteln sein, wer und in welchem Ausmaß die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Wer dabei darüber über die sonstigen Maßnahmen und die Ausgestaltung bestimmt ist nicht entscheidend. Relevant sind lediglich diejenigen Tätigkeiten, deren Kern ein gewisses Maß an Verarbeitungen personenbezogener Daten beinhaltet. Ein Dienstleister für den Newsletterversand wird bspw. nicht deswegen zum eigenen Verantwortlichen, weil er über das optische Design des Newsletters entscheidet oder in welchem Turnus dieser verschickt wird.

      Wie bereits im Whitepaper von Herrn Dr. Plath angeklungen, legt das Inkassounternehmen „(…)im Rahmen der
      mit seinem Mandanten vereinbarten vertraglichen Grenzen fest, welche konkreten Maßnahmen zur Durchsetzung der Forderungen ergriffen und welche Daten dazu verarbeitet werden.“
      Je enger diese vertraglichen Grenzen sind, desto wahrscheinlicher liegt eine Auftragsverarbeitung und keine eigene Verantwortlichkeit vor.

      Gibt der Auftraggeber dem Inkassounternehmen ganz klar vor, bei welchen eingetretenen Ereignissen welche nächste Schritte unternommen werden sollen und betreibt das Forderungsmanagement im Namen des Auftraggebers, kann durchaus von einer Auftragsverarbeitung und keiner eigenen Verantwortlichkeit ausgegangen werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.