EU-Datenschutz-Grundverordnung: Auswirkungen … · (c) Prof. Dr. Ralf B. Abel 2017 1 Seghorn Forum...

(c) Prof. Dr. Ralf B. Abel 2017 1

Seghorn Forum

20.September 2017

EU-Datenschutz-Grundverordnung:

Auswirkungen auf das Forderungsmanagement

RA Prof. Dr. Ralf B. Abel

2

Referent:

Professor Dr. Ralf B. AbelRechtsanwalt

Externer Datenschutzbeauftragter

Verbandsbeauftragter für den Datenschutz beimBundesverband Deutscher Inkasso-Unternehmen

Akkreditierter Sachverständiger (Recht) beim ULD Kiel

Legal Expert bei EuroPriSe (European Privacy Seal)

ehem. Lehrstuhl für Öffentliches Recht, Informations- und Datenschutzrecht

Hochschule Schmalkalden - Fakultät Wirtschaftsrecht (em.)

Kanzlei Prof. Abel

Oktaviostr. 129, 22043 Hamburg

prof.abel(at)t-online.de

Social Media: Xing - LinkedIn

(c) Prof. Dr. Ralf B. Abel 2017


Darum geht es:

Datenschutz-

Gesamtrevision

4

- Rechtsrahmen

- Neue / veränderte Erlaubnisnormen

- Auswirkungen auf das Forderungsmanagement

- Scoring

- Anwendung auf Inkassounternehmen

- Anwendung auf Auskunfteien


Überblick


Rechtsrahmen

6(c) Prof. Dr. Ralf B. Abel 2017

Auswirkung einer EU-Verordnung auf deutsches Recht

Grundsatz: Anwendungsvorrang des EU-Rechts

Deutsches

RechtEU-Verordnung


Auswirkung der GVO auf das Datenschutzrecht

EU-DS-

“Grund“verordnung

TKG

BDSG

KWG

TKG

SGB ...BDSG


DS-GVO: Inhalt

- Allgemeiner Teil (Art. 1-4)

- Grundsätze (Art. 5-11)

- Rechte des Betroffenen (Art. 12-23)

- Verantwortliche Stelle und Auftragsverarbeiter (Art. 24-43)

- Übermittlung in Drittstaaten / an internationale Organisationen

(Art. 44-50)

- Unabhängige Aufsichtsbehörden (Art. 51-59)

- Zusammenarbeit und Kohärenz (Art. 60-76)

- Rechtsbehelfe/Haftung/Sanktionen (Art. 77-84)

- Besondere Verarbeitungssituationen (Art. 85-91)

- Delegierte Rechtsakte/ Durchführungsrechtsakte (Art. 92-93)

- Schlußbestimmungen (Art. 94-99)


Spielräume für nationales Recht

- Bereichsausnahmen

• AN-Datenschutz (Art. 88)

• Archive / Forschung (Art. 89)

• Kirchen / Religionsgemeinschaften (Art. 91)

• Anwendungsbereich e-Commerce-RL (Art.2 Abs.4)

• Berufsgeheimnisse (Art. 90)

• Presse / Meinungsäußerung / Informationsfreiheit (Art. 85)

• autom. Einzelentscheidungen / Profiling

(Art. 22 Abs.2 lit. b)



- Konkretisierungsklauseln („Gold Plating“)

GVO verlangt RGrdlagen, ist selbst z.T. jedoch keine

• Art.6 Abs. 2, 3 :

- Rechtliche Verpflichtungen des Verantwortlichen

- Aufgaben im öffentl. Interesse / Ausübung öfftl.

Gewalt



- Einräumung von Optionen

= Speziellere Konkretisierung, umfassendere Regelung

• Art. 8 – Altersgrenze bei Kindern

• Art.18 – Verbandsklagerecht

• Art.37 Abs.4 – bDSB

• Art.88 – Arbeitnehmer-Datenschutz

• EG 27 – Daten Verstorbener

• Art. 23 – Einschränkungen des Rechtekatalogs



- Regelungsaufträge an MS

• Art. 54 - Errichtung von Aufsichtsbehörden

• Art. 84 - Sanktionen

• Art. 85 - Anpassung Meinungs- u. Informationsfreiheit


Datenschutz unter der DS-GVO: Rechtsrahmen = mehrstufiges Normengeflecht

DS-GVO

BDSG-neu

KWG

TKG TMG ...

SGB ...GwG


Ergänzende deutsche Gesetzgebung [DSAnpUG-EU]

Statt BDSG nun ⇨ “BDSG-neu“

Teil 1 – Gemeinsame Bestimmungen

Teil 2 – Durchführungsbestimmungenzur DS-GVO

Teil 3 - Umsetzung der JI-Richtlinie

(Justiz / Innere Sicherheit)


Ergänzende deutsche Gesetzgebung [BDSG-neu]

Wichtig für das Forderungsmanagement

§ 24 – Zweckänderung

§ 31 – Scoring / Einmeldung


Ergänzende deutsche Gesetzgebung

Vorläufig:

Keine Änderung bereichsspezifischer Normen

(Art.6 Abs. 2,3)

KWG (...)GwG


BDSG

LDSG§§§§§

Und das bedeutet in der Praxis:

zwar ... aber:

BDSG-neu ...


Was bleibt?

Was ändert sich?

19

- Das Verbotsprinzip

- Der betriebliche Datenschutzbeauftragte

- Der Arbeitnehmer-Datenschutz

und außerdem:

- Das Verbandsklagerecht beim Verbraucher-DS

- Das Wettbewerbsrecht


Was bleibt ?


Was ist neu ?

Accountabilityerweiterte Nachweis- und Dokumentationspflichten

Drastisch erhöhte Sanktionen:

bis 10 Mio./ 20 Mio.€ bzw. 2% / 4% des weltweiten

Jahresumsatzes (!), Art. 83 Abs.4

Neuausrichtung des Risikomanagements erforderlich !

21

Accountability - Dokumentationspflichten


Erhebliche Ausweitung:

Dokumentation erforderlich über

- Verarbeitungsprozesse

- Zulässigkeit / Zulässigkeitsprüfung

- Folgenabschätzung (PIA)

- Beweislast beim Unternehmen !


Neu: Komplexere Prüfung der Zulässigkeit der Verarbeitung

23

- DS-GVO enthält überwiegend generische

Grundanforderungen, d.h. Bestimmungen sind nicht

mehr detailliert, sondern unterkomplex

- Problem:

bisher kaum Interpretationshilfen und kaum RSpr.

- Player zur Ausfüllung:

Aufsichtsbehörden (DE, MS, EU)

Gerichte (national, EuGH)

Rechtswissenschaft (Meinungsbildung)


Generell gilt ...

24

Zulässigkeit der Verarbeitung


Prüfung auf 2 Ebenen:

1. Verarbeitung benötigt - wie bisher - eine konkrete Rechtsgrundlage

[wegen Verbotsprinzip]

ggf. besondere Verarbeitungsbedingungen beachten (Art. 7-11 u.a.)

------------------------------------------------------------------------------------

2. Verarbeitung muss stets den Rahmen

der allgemeinen Verarbeitungsgrundsätze (Art. 5) einhalten,

insbes. die Zweckbindung

25



Verarbeitungsgrundsätze (Art. 5)

Allgemeine Rechtsgrundlage (Art. 6)

§§§

Besondere

Rechtsgrundlage

(Verarbeitungsbe-

dingungen)

26



Allgemeine Rechtsgrundlage (Art. 6)

§§§

27



Rechtsgrundlagen für die Verarbeitung

Einwilligung

Gesetzliche Grundlage (nicht explizit erwähnt,

ergibt sich aus Art. 6 und anderen Vorschriften)

oder

§

28

• muß den Voraussetzungen des Art. 7 entsprechen

Opt-out genügt nicht mehr (EG 32) !

• Aufsichtsbehörden DE: Bisherige Einwilligungs-

erklärungen bleiben wirksam►



Rechtsgrundlagen für die Verarbeitung

Einwilligung

29



(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen

Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder

zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person

erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche

unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen

natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt

oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten

erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die

den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der

betroffenen Person um ein Kind handelt.

Rechtsgrundlagen aus Gesetz (Art. 6 Abs.1)

30



nur, wenn ...

Vertragserfüllung

lebensw. Interesse

Rechtspflicht

öffentl. Aufgabe

Güterabwägung

31



(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die

betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen

erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der

der Verantwortliche unterliegt;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen

oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und

Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten

erfordern, überwiegen, ...

Rechtsgrundlagen aus Gesetz (Art. 6 Abs.1)

32

Gesetzliche Grundlage / nichtöffentlicher Bereich


Zulässig nur, wenn ...

Vertragserfüllung

Rechtspflicht

Güterabwägung

oder

33



Grundsätze für die Verarbeitung

Rechtmäßigkeit, Treu und Glauben, Transparenz

Datenminimierung

Zweckbindung

Datensicherheit (Integrität,Vertraulichkeit,TOM)

Speicher(dauer)begrenzung

Richtigkeit

34

- Zweckbindungsregelungen (Art. 5 Abs.1c)



Personenbezogene Daten müssen

• für festgelegte, eindeutige und legitime Zwecke erhoben werden

dem Zweck angemessen

sachlich relevant

auf das für die Zwecke notwendige Maß beschränkt sein

• Sie dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise

weiterverarbeitet werden;


35

- Zweckbindungsregelung bedeutet ...



nötig ist stets

ein festgelegter Verarbeitungszweck


eine Zweckänderung ist

nur eingeschränkt erlaubt


BDSG-neu

§ 24 Verarbeitung zu anderen Zwecken durch nicht-öffentliche Stellen

(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die

Daten erhoben wurden, durch nicht-öffentliche Stellen ist zulässig, wenn

1. sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung

von Straftaten erforderlich ist oder

2. sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich

ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung

überwiegen.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1

der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben

wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach

Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

37

Auswirkungen auf

Forderungsmanagement und NPL-Transaktionen


38

Forderungskauf / -verkauf

Abgabe an Rechtsdienstleister / Inkassozession

Scoring / Profiling (Due Diligence-Prüfung, interne

Bewertungen, ... )

Auswirkungen auf Forderungsmanagement und NPL-Transaktionen


39

Beispiel Forderungsverkauf



Verkäufer

(Zedent)

Käufer

(Zessionar)

?

Zweck der DV ?

Vertragserfüllung

Zweckänderung ?

nein

KV (BGB)

§ 402 BGB

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

40

Beispiel Abgabe an Rechtsdienstleister



Gläubiger

(Zedent)

IKU

(Zessionar)

?

Geschäftsbesorgungsvertrag (BGB)

z.B. Inkassozession

Zweck der DV ?

Vertragserfüllung

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

Zweck der DV ?

Forderungsmanagement

???

Zweckänderung?

ja, aber zulässig

41

Beispiel Factoring



Lieferant Kunde

Factor

Boni-Prüfung

KV, Lieferung Ware

Verkauf der Forderung

Zweck =

Vertragserfüllung

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

Zweck =

FoManagement

Rechtsgrundlage:

Art. 6 Abs.1 lit. f


Scoring / Profiling

43

Scoring / Profiling


Automatisierte Entscheidungen (Art. 22):

• Eine natürliche Person hat das Recht, nicht ausschließlich einer auf einer

automatisierten Verarbeitung einschließlich Profiling basierenden

Maßnahme unterworfen zu werden,

• die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise

erheblich beeinträchtigt.

44

Scoring / Profiling


Definition Profiling (Art. 4 Abs.4):

Profiling ist jede Art der automatisierten Verarbeitung

personenbezogener Daten, die darin besteht, dass diese

personenbezogenen Daten verwendet werden, um

bestimmte persönliche Aspekte, die sich auf eine

natürliche Person beziehen, zu bewerten, insbesondere

um Aspekte bezüglich Arbeitsleistung, wirtschaftliche

Lage, Gesundheit, persönliche Vorlieben, Interessen,

Zuverlässigkeit, Verhalten, Aufenthaltsort oder

Ortswechsel dieser natürlichen Person zu analysieren

oder vorherzusagen

45

Scoring / Profiling


Ausnahmen (Art. 22 Abs.2):

• für Vertragsabschluss oder -erfüllung erforderlich*

• Rechtliche Verpflichtungen / Rechtsvorschriften (mit Rechtewahrung)

• Einwilligung*

*sofern der Verantwortliche Rechtewahrung gewährleistet (Min: Intervention

durch Menschen, Darlegg. eigene Sicht, Anfechtung der Entscheidung)

46

Scoring / Profiling


Rechtliche Verpflichtungen (Art.22 Abs.2 lit.b)

Beispiele:

• Risikoprüfung bei Kreditinstituten (§ 10 Abs.2, § 18 Abs.2 KWG)

• Kreditwürdigkeitsprüfung bei Verbraucherdarlehen (§505a BGB)

47

Scoring / Profiling


Folge:

• Nur internes Scoring beim Entscheider erfaßt• Gilt nur für Entscheidungsprozess selbst• Gilt nicht für dynamische Prozesssteuerung (Profiling,

aber erlaubt)

• Externes Scoring d. Auskunfteien etc. nicht erfaßt (da nur Vorbereitung einer Entscheidung),

• aber dort: § 31 BDSG-neu !


Auswirkungen

auf

Inkassounternehmen

49

Grundverhältnis

Auswirkungen auf Inkassounternehmen


Gläubiger IKU

?

Geschäftsbesorgungsvertrag (BGB)

Zweck der DV ?

Vertragserfüllung

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

Zweckänderung?

ja, aber zulässig (Art.6 IV)

???

Kunde(Schuldner)

Zweck der DV ?

Forderungsmanagement


Auswirkungen

auf Auskunfteien

51

Auswirkungen auf Auskunfteien


Auskunftei

?

IKU

Zweck der DV ?

Forderungsmanag

ement

Rechtsgrundlage:

Art. 6 Abs.1 lit.f

Rechtsgrundlage:

Art. 6 Abs.1 lit.b

Zweck der DV ?

Vertragsschluss

Gläubiger

Informations-

empfänger y

Informations-

empfänger x

Rechtsgrundlage:

Art. 6 Abs.1 lit.f

Zweck der DV ?

Risikoabschätzung

Zweck der DV ?

Risikoabschätzung

52



Problem:

Auskunfteien benötigen relevante Daten !

Auskunftei

Datenquelle

IKU

Datenquelle

öfftl.

Verzeichnisse

53



Problematik für Einmeldungen in Auskunfteien:

DE: Neuregelung in § 31 BDSG-neu


BDSG-neu

§ 31

Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften

(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer

natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines

Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn

1. die Vorschriften des Datenschutzrechts eingehalten wurden,

2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich

anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des

bestimmten Verhaltens erheblich sind,

3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden,

4. im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts

über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.


BDSG-neu

§ 31

(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und

Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig,

soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz

Fälligkeit nicht erbracht worden ist, berücksichtigt werden,

1. die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder ein Schuldtitel

nach § 794 der Zivilprozessordnung vorliegt,

2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind ,

3. der Schuldner ausdrücklich anerkannt hat,

4. bei denen

a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,

b) die erste Mahnung mindestens vier Wochen zurückliegt,

c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine

Auskunftei unterrichtet worden ist und

d) der Schuldner die Forderung nicht bestritten hat oder

5. deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei

denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.

Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen

bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.

56



Problematik der Einmeldungen in Auskunfteien:

- Typisierende Güterabwägung nach Art. 6 Abs.1 lit. f im Massenverfahren?

- Auskünfte durch Auskunfteien nur kontextbezogen (Bsp. Vermieteranfragen) ?

nationale Neuregelung in § 31 BDSG-neu:

Wegfall von § 28a BDSG:

- Abs. 2 („Positivdaten“ bei Kreditinstituten) und

- Abs. 1 (Negativmerkmale bzgl. Forderungen)

Wirksamwerden der DS-GVO:

25.Mai 2018


Die Uhr tickt !

58

Ihre Fragen ?


EU-Datenschutz-Grundverordnung: Auswirkungen … · (c) Prof. Dr. Ralf B. Abel 2017 1 Seghorn Forum...

Documents

Transcript of EU-Datenschutz-Grundverordnung: Auswirkungen … · (c) Prof. Dr. Ralf B. Abel 2017 1 Seghorn Forum...