Bonitätsauskunft und Auftragsverarbeitung
Eine der wohl meist gestellten Fragen im Datenschutz – Wann liegt eine Auftragsverarbeitung vor? Genau diese Frage stellt sich auch bei der Beauftragung von Auskunfteien, wie z.B. der Creditreform, Schufa, etc. sowie aber auch bei Inkassounternehmen. Muss ein Auftragsverarbeitungsvertrag (AVV) mit einer Auskunftei geschlossen werden?
Erteilung von Bonitätsauskünften
Die normale Auskunftserteilung zu Bonitätsprüfungszwecken ist aus Sicht des Datenschutzes rechtlich gesehen immer eine Weitergabe von Daten an einen Dritten im Sinne von Art. 4 Nr. 10 DSGVO. Der Kunde liefert Name und Adresse zu einer Firma oder Person, zu der er eine Auskunft benötigt, an die Auskunftei. Dabei liegt ein Übermittlungsvorgang auf dem Hinweg vor. Auf dem Rückweg erfolgt dann die Rückübermittlung der Auskunftsdaten von der Auskunftei an den Kunden. Es liegt also eine Beziehung zwischen dem Kunden als verantwortlichen Stelle und der Auskunftei als einem Dritten, also einer Stelle außerhalb des Kunden bzw. verantwortlichen Stelle vor.
Demzufolge ist begrifflich bereits eine Auftragsverarbeitung ausgeschlossen. Denn die Weitergabe von Daten von einem Auftraggeber an dne Auftragnehmer im Sinne einer Auftragsverarbeitung ist eben keine Weitergabe von Daten an eine Stelle außerhalb des Verantwortlichen, sondern nur eine Weitergbae von Daten einen weisungsabhängigen Dienstleister, die datenschutzrechtlich so zu behandeln ist, als würden die Daten die Einflusssphäre des Verantwortlichen nie verlassen haben.
Outsourcing-Modelle bei Auskunfteien
Eine echte Auftragsverarbeitung liegt zum Beispiel bei sogenannten „Outsourcing-Modellen“ vor, wenn eine externe Stelle lediglich als weisungsabhängier Dienstleister für den datenschutzrechtlich Verantwortlichen auftritt. Stärkstes Merkmal ist die weisungsgebundene Durchführung des Auftrages, orientiert an den Weisungen, welcher der Auftraggeber (Verantwortlicher) vertraglich fixiert vorgibt. Weitere Beispiele dafür sind die Durchführung von Aktenvernichtungen oder Call-Center-Dienstleistungen. In beiden Fällen hat der Auftragnehmer keinen eigenen Handlungs- oder Entscheidungsspielraum, sondern handelt nur nach engen Vorgaben des Auftraggebers.
Eigene Verantwortung der Auskunfteien
Gerade das ist bei der Beantwortung von Bonitätsanfragen und der damit zusammenhängenden Auskunftserteilung nicht der Fall. Die Auskunftei recherchiert und beantwortet die Anfragen in eigener Verantwortung. Die Auskunftei ist dabei selbst als verantwortliche Stelle tätig. Weiterhin handelt Sie als eine außerhalb des auskunftsabfragenden Unternehmens tätige dritte Stelle. Ein Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO ist demzufolge also nicht notwendig.
Forderungsmanagement und Inkassodienstleistungen
Genauso gelagert ist die Situation auch im Bereich der Erbringung von Inkassodienstleistungen. Auch hier entscheidet der Inkassodienstleister im Standardfall in eigener Verantwortlichkeit darüber, welche Maßnahmen im Sinne der Forderungsbeibringung aufbringt, wie viele Mahnschreiben er verschickt, ob er telefonisch oder schriftlich mahnt oder ob er gerichtliche Maßnahmen einleitet.
Das Inkassounternehmen ist dabei fachlich verantwortlich und im Sinne des Datenschutzes eigenverantwortliche Stelle. Demzufolge erfolgt also eine Übermittlung der für die Forderungsbearbeitung erforderlichen Daten vom Gläubiger an das Inkassounternehmen. Auch hier liegt demzufolge keine Auftragsverarbeitung im Sinne des Datenschutzes vor.