EU-Datenschutz-Grundverordnung: Auswirkungen … · (c) Prof. Dr. Ralf B. Abel 2017 1 Seghorn Forum...
Transcript of EU-Datenschutz-Grundverordnung: Auswirkungen … · (c) Prof. Dr. Ralf B. Abel 2017 1 Seghorn Forum...
(c) Prof. Dr. Ralf B. Abel 2017 1
Seghorn Forum
20.September 2017
EU-Datenschutz-Grundverordnung:
Auswirkungen auf das Forderungsmanagement
RA Prof. Dr. Ralf B. Abel
2
Referent:
Professor Dr. Ralf B. AbelRechtsanwalt
Externer Datenschutzbeauftragter
Verbandsbeauftragter für den Datenschutz beimBundesverband Deutscher Inkasso-Unternehmen
Akkreditierter Sachverständiger (Recht) beim ULD Kiel
Legal Expert bei EuroPriSe (European Privacy Seal)
ehem. Lehrstuhl für Öffentliches Recht, Informations- und Datenschutzrecht
Hochschule Schmalkalden - Fakultät Wirtschaftsrecht (em.)
Kanzlei Prof. Abel
Oktaviostr. 129, 22043 Hamburg
prof.abel(at)t-online.de
Social Media: Xing - LinkedIn
(c) Prof. Dr. Ralf B. Abel 2017
4
- Rechtsrahmen
- Neue / veränderte Erlaubnisnormen
- Auswirkungen auf das Forderungsmanagement
- Scoring
- Anwendung auf Inkassounternehmen
- Anwendung auf Auskunfteien
(c) Prof. Dr. Ralf B. Abel 2017
Überblick
6(c) Prof. Dr. Ralf B. Abel 2017
Auswirkung einer EU-Verordnung auf deutsches Recht
Grundsatz: Anwendungsvorrang des EU-Rechts
Deutsches
RechtEU-Verordnung
7(c) Prof. Dr. Ralf B. Abel 2017
Auswirkung der GVO auf das Datenschutzrecht
EU-DS-
“Grund“verordnung
TKG
BDSG
KWG
TKG
SGB ...BDSG
8(c) Prof. Dr. Ralf B. Abel 2017
DS-GVO: Inhalt
- Allgemeiner Teil (Art. 1-4)
- Grundsätze (Art. 5-11)
- Rechte des Betroffenen (Art. 12-23)
- Verantwortliche Stelle und Auftragsverarbeiter (Art. 24-43)
- Übermittlung in Drittstaaten / an internationale Organisationen
(Art. 44-50)
- Unabhängige Aufsichtsbehörden (Art. 51-59)
- Zusammenarbeit und Kohärenz (Art. 60-76)
- Rechtsbehelfe/Haftung/Sanktionen (Art. 77-84)
- Besondere Verarbeitungssituationen (Art. 85-91)
- Delegierte Rechtsakte/ Durchführungsrechtsakte (Art. 92-93)
- Schlußbestimmungen (Art. 94-99)
(c) Prof. Dr. Ralf B. Abel 2017 9
Spielräume für nationales Recht
- Bereichsausnahmen
• AN-Datenschutz (Art. 88)
• Archive / Forschung (Art. 89)
• Kirchen / Religionsgemeinschaften (Art. 91)
• Anwendungsbereich e-Commerce-RL (Art.2 Abs.4)
• Berufsgeheimnisse (Art. 90)
• Presse / Meinungsäußerung / Informationsfreiheit (Art. 85)
• autom. Einzelentscheidungen / Profiling
(Art. 22 Abs.2 lit. b)
(c) Prof. Dr. Ralf B. Abel 2017 10
Spielräume für nationales Recht
- Konkretisierungsklauseln („Gold Plating“)
GVO verlangt RGrdlagen, ist selbst z.T. jedoch keine
• Art.6 Abs. 2, 3 :
- Rechtliche Verpflichtungen des Verantwortlichen
- Aufgaben im öffentl. Interesse / Ausübung öfftl.
Gewalt
(c) Prof. Dr. Ralf B. Abel 2017 11
Spielräume für nationales Recht
- Einräumung von Optionen
= Speziellere Konkretisierung, umfassendere Regelung
• Art. 8 – Altersgrenze bei Kindern
• Art.18 – Verbandsklagerecht
• Art.37 Abs.4 – bDSB
• Art.88 – Arbeitnehmer-Datenschutz
• EG 27 – Daten Verstorbener
• Art. 23 – Einschränkungen des Rechtekatalogs
(c) Prof. Dr. Ralf B. Abel 2017 12
Spielräume für nationales Recht
- Regelungsaufträge an MS
• Art. 54 - Errichtung von Aufsichtsbehörden
• Art. 84 - Sanktionen
• Art. 85 - Anpassung Meinungs- u. Informationsfreiheit
13(c) Prof. Dr. Ralf B. Abel 2017
Datenschutz unter der DS-GVO: Rechtsrahmen = mehrstufiges Normengeflecht
DS-GVO
BDSG-neu
KWG
TKG TMG ...
SGB ...GwG
(c) Prof. Dr. Ralf B. Abel 2017 14
Ergänzende deutsche Gesetzgebung [DSAnpUG-EU]
Statt BDSG nun ⇨ “BDSG-neu“
Teil 1 – Gemeinsame Bestimmungen
Teil 2 – Durchführungsbestimmungenzur DS-GVO
Teil 3 - Umsetzung der JI-Richtlinie
(Justiz / Innere Sicherheit)
(c) Prof. Dr. Ralf B. Abel 2017 15
Ergänzende deutsche Gesetzgebung [BDSG-neu]
Wichtig für das Forderungsmanagement
§ 24 – Zweckänderung
§ 31 – Scoring / Einmeldung
(c) Prof. Dr. Ralf B. Abel 2017 16
Ergänzende deutsche Gesetzgebung
Vorläufig:
Keine Änderung bereichsspezifischer Normen
(Art.6 Abs. 2,3)
KWG (...)GwG
(c) Prof. Dr. Ralf B. Abel 2017 17
BDSG
LDSG§§§§§
Und das bedeutet in der Praxis:
zwar ... aber:
BDSG-neu ...
19
- Das Verbotsprinzip
- Der betriebliche Datenschutzbeauftragte
- Der Arbeitnehmer-Datenschutz
und außerdem:
- Das Verbandsklagerecht beim Verbraucher-DS
- Das Wettbewerbsrecht
(c) Prof. Dr. Ralf B. Abel 2017
Was bleibt ?
20(c) Prof. Dr. Ralf B. Abel 2017
Was ist neu ?
Accountabilityerweiterte Nachweis- und Dokumentationspflichten
Drastisch erhöhte Sanktionen:
bis 10 Mio./ 20 Mio.€ bzw. 2% / 4% des weltweiten
Jahresumsatzes (!), Art. 83 Abs.4
Neuausrichtung des Risikomanagements erforderlich !
21
Accountability - Dokumentationspflichten
(c) Prof. Dr. Ralf B. Abel 2017
Erhebliche Ausweitung:
Dokumentation erforderlich über
- Verarbeitungsprozesse
- Zulässigkeit / Zulässigkeitsprüfung
- Folgenabschätzung (PIA)
- Beweislast beim Unternehmen !
23
- DS-GVO enthält überwiegend generische
Grundanforderungen, d.h. Bestimmungen sind nicht
mehr detailliert, sondern unterkomplex
- Problem:
bisher kaum Interpretationshilfen und kaum RSpr.
- Player zur Ausfüllung:
Aufsichtsbehörden (DE, MS, EU)
Gerichte (national, EuGH)
Rechtswissenschaft (Meinungsbildung)
(c) Prof. Dr. Ralf B. Abel 2017
Generell gilt ...
24
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
Prüfung auf 2 Ebenen:
1. Verarbeitung benötigt - wie bisher - eine konkrete Rechtsgrundlage
[wegen Verbotsprinzip]
ggf. besondere Verarbeitungsbedingungen beachten (Art. 7-11 u.a.)
------------------------------------------------------------------------------------
2. Verarbeitung muss stets den Rahmen
der allgemeinen Verarbeitungsgrundsätze (Art. 5) einhalten,
insbes. die Zweckbindung
25
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
Verarbeitungsgrundsätze (Art. 5)
Allgemeine Rechtsgrundlage (Art. 6)
§§§
Besondere
Rechtsgrundlage
(Verarbeitungsbe-
dingungen)
26
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
Allgemeine Rechtsgrundlage (Art. 6)
§§§
27
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
Rechtsgrundlagen für die Verarbeitung
Einwilligung
Gesetzliche Grundlage (nicht explizit erwähnt,
ergibt sich aus Art. 6 und anderen Vorschriften)
oder
§
28
• muß den Voraussetzungen des Art. 7 entsprechen
Opt-out genügt nicht mehr (EG 32) !
• Aufsichtsbehörden DE: Bisherige Einwilligungs-
erklärungen bleiben wirksam►
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
Rechtsgrundlagen für die Verarbeitung
Einwilligung
29
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen
Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder
zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person
erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche
unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen
natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt
oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die
den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der
betroffenen Person um ein Kind handelt.
Rechtsgrundlagen aus Gesetz (Art. 6 Abs.1)
30
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
nur, wenn ...
Vertragserfüllung
lebensw. Interesse
Rechtspflicht
öffentl. Aufgabe
Güterabwägung
31
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die
betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen
erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der
der Verantwortliche unterliegt;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen
oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und
Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten
erfordern, überwiegen, ...
Rechtsgrundlagen aus Gesetz (Art. 6 Abs.1)
32
Gesetzliche Grundlage / nichtöffentlicher Bereich
(c) Prof. Dr. Ralf B. Abel 2017
Zulässig nur, wenn ...
Vertragserfüllung
Rechtspflicht
Güterabwägung
oder
33
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
Grundsätze für die Verarbeitung
Rechtmäßigkeit, Treu und Glauben, Transparenz
Datenminimierung
Zweckbindung
Datensicherheit (Integrität,Vertraulichkeit,TOM)
Speicher(dauer)begrenzung
Richtigkeit
34
- Zweckbindungsregelungen (Art. 5 Abs.1c)
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
Personenbezogene Daten müssen
• für festgelegte, eindeutige und legitime Zwecke erhoben werden
dem Zweck angemessen
sachlich relevant
auf das für die Zwecke notwendige Maß beschränkt sein
• Sie dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise
weiterverarbeitet werden;
Grundsätze für die Verarbeitung
35
- Zweckbindungsregelung bedeutet ...
Zulässigkeit der Verarbeitung
(c) Prof. Dr. Ralf B. Abel 2017
nötig ist stets
ein festgelegter Verarbeitungszweck
Grundsätze für die Verarbeitung
eine Zweckänderung ist
nur eingeschränkt erlaubt
(c) Prof. Dr. Ralf B. Abel 2017 36
BDSG-neu
§ 24 Verarbeitung zu anderen Zwecken durch nicht-öffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die
Daten erhoben wurden, durch nicht-öffentliche Stellen ist zulässig, wenn
1. sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung
von Straftaten erforderlich ist oder
2. sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich
ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung
überwiegen.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1
der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben
wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach
Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
38
Forderungskauf / -verkauf
Abgabe an Rechtsdienstleister / Inkassozession
Scoring / Profiling (Due Diligence-Prüfung, interne
Bewertungen, ... )
Auswirkungen auf Forderungsmanagement und NPL-Transaktionen
(c) Prof. Dr. Ralf B. Abel 2017
39
Beispiel Forderungsverkauf
Auswirkungen auf Forderungsmanagement und NPL-Transaktionen
(c) Prof. Dr. Ralf B. Abel 2017
Verkäufer
(Zedent)
Käufer
(Zessionar)
?
Zweck der DV ?
Vertragserfüllung
Zweckänderung ?
nein
KV (BGB)
§ 402 BGB
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
40
Beispiel Abgabe an Rechtsdienstleister
Auswirkungen auf Forderungsmanagement und NPL-Transaktionen
(c) Prof. Dr. Ralf B. Abel 2017
Gläubiger
(Zedent)
IKU
(Zessionar)
?
Geschäftsbesorgungsvertrag (BGB)
z.B. Inkassozession
Zweck der DV ?
Vertragserfüllung
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
Zweck der DV ?
Forderungsmanagement
???
Zweckänderung?
ja, aber zulässig
41
Beispiel Factoring
Auswirkungen auf Forderungsmanagement und NPL-Transaktionen
(c) Prof. Dr. Ralf B. Abel 2017
Lieferant Kunde
Factor
Boni-Prüfung
KV, Lieferung Ware
Verkauf der Forderung
Zweck =
Vertragserfüllung
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
Zweck =
FoManagement
Rechtsgrundlage:
Art. 6 Abs.1 lit. f
43
Scoring / Profiling
(c) Prof. Dr. Ralf B. Abel 2017
Automatisierte Entscheidungen (Art. 22):
• Eine natürliche Person hat das Recht, nicht ausschließlich einer auf einer
automatisierten Verarbeitung einschließlich Profiling basierenden
Maßnahme unterworfen zu werden,
• die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise
erheblich beeinträchtigt.
44
Scoring / Profiling
(c) Prof. Dr. Ralf B. Abel 2017
Definition Profiling (Art. 4 Abs.4):
Profiling ist jede Art der automatisierten Verarbeitung
personenbezogener Daten, die darin besteht, dass diese
personenbezogenen Daten verwendet werden, um
bestimmte persönliche Aspekte, die sich auf eine
natürliche Person beziehen, zu bewerten, insbesondere
um Aspekte bezüglich Arbeitsleistung, wirtschaftliche
Lage, Gesundheit, persönliche Vorlieben, Interessen,
Zuverlässigkeit, Verhalten, Aufenthaltsort oder
Ortswechsel dieser natürlichen Person zu analysieren
oder vorherzusagen
45
Scoring / Profiling
(c) Prof. Dr. Ralf B. Abel 2017
Ausnahmen (Art. 22 Abs.2):
• für Vertragsabschluss oder -erfüllung erforderlich*
• Rechtliche Verpflichtungen / Rechtsvorschriften (mit Rechtewahrung)
• Einwilligung*
*sofern der Verantwortliche Rechtewahrung gewährleistet (Min: Intervention
durch Menschen, Darlegg. eigene Sicht, Anfechtung der Entscheidung)
46
Scoring / Profiling
(c) Prof. Dr. Ralf B. Abel 2017
Rechtliche Verpflichtungen (Art.22 Abs.2 lit.b)
Beispiele:
• Risikoprüfung bei Kreditinstituten (§ 10 Abs.2, § 18 Abs.2 KWG)
• Kreditwürdigkeitsprüfung bei Verbraucherdarlehen (§505a BGB)
47
Scoring / Profiling
(c) Prof. Dr. Ralf B. Abel 2017
Folge:
• Nur internes Scoring beim Entscheider erfaßt• Gilt nur für Entscheidungsprozess selbst• Gilt nicht für dynamische Prozesssteuerung (Profiling,
aber erlaubt)
• Externes Scoring d. Auskunfteien etc. nicht erfaßt (da nur Vorbereitung einer Entscheidung),
• aber dort: § 31 BDSG-neu !
49
Grundverhältnis
Auswirkungen auf Inkassounternehmen
(c) Prof. Dr. Ralf B. Abel 2017
Gläubiger IKU
?
Geschäftsbesorgungsvertrag (BGB)
Zweck der DV ?
Vertragserfüllung
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
Zweckänderung?
ja, aber zulässig (Art.6 IV)
???
Kunde(Schuldner)
Zweck der DV ?
Forderungsmanagement
51
Auswirkungen auf Auskunfteien
(c) Prof. Dr. Ralf B. Abel 2017
Auskunftei
?
IKU
Zweck der DV ?
Forderungsmanag
ement
Rechtsgrundlage:
Art. 6 Abs.1 lit.f
Rechtsgrundlage:
Art. 6 Abs.1 lit.b
Zweck der DV ?
Vertragsschluss
Gläubiger
Informations-
empfänger y
Informations-
empfänger x
Rechtsgrundlage:
Art. 6 Abs.1 lit.f
Zweck der DV ?
Risikoabschätzung
Zweck der DV ?
Risikoabschätzung
52
Auswirkungen auf Auskunfteien
(c) Prof. Dr. Ralf B. Abel 2017
Problem:
Auskunfteien benötigen relevante Daten !
Auskunftei
Datenquelle
IKU
Datenquelle
öfftl.
Verzeichnisse
53
Auswirkungen auf Auskunfteien
(c) Prof. Dr. Ralf B. Abel 2017
Problematik für Einmeldungen in Auskunfteien:
DE: Neuregelung in § 31 BDSG-neu
(c) Prof. Dr. Ralf B. Abel 2017 54
BDSG-neu
§ 31
Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer
natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines
Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
1. die Vorschriften des Datenschutzrechts eingehalten wurden,
2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich
anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des
bestimmten Verhaltens erheblich sind,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden,
4. im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts
über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(c) Prof. Dr. Ralf B. Abel 2017 55
BDSG-neu
§ 31
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und
Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig,
soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz
Fälligkeit nicht erbracht worden ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder ein Schuldtitel
nach § 794 der Zivilprozessordnung vorliegt,
2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind ,
3. der Schuldner ausdrücklich anerkannt hat,
4. bei denen
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine
Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
5. deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei
denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen
bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.
56
Auswirkungen auf Auskunfteien
(c) Prof. Dr. Ralf B. Abel 2017
Problematik der Einmeldungen in Auskunfteien:
- Typisierende Güterabwägung nach Art. 6 Abs.1 lit. f im Massenverfahren?
- Auskünfte durch Auskunfteien nur kontextbezogen (Bsp. Vermieteranfragen) ?
nationale Neuregelung in § 31 BDSG-neu:
Wegfall von § 28a BDSG:
- Abs. 2 („Positivdaten“ bei Kreditinstituten) und
- Abs. 1 (Negativmerkmale bzgl. Forderungen)