Der irre­füh­ren­de Name “Sco­ring Novel­le” im Rah­men aktu­el­ler Anpas­sun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) mag dazu ver­lei­ten, sich mit die­ser Ände­rung nicht näher zu befas­sen. Der Teu­fel steckt im Detail, denn es wer­den dar­in kla­re Rege­lun­gen für die Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten an Aus­kunftei­en getrof­fen. Deren Nicht­be­ach­tung kann für Unter­neh­mer /​ Unter­neh­men ab dem 01.04.2010 fata­le Fol­gen haben. Geben sie die Daten des Schuld­ners im Zuge des Mahn­we­sens an Aus­kunftei­en wei­ter, so gilt die “Sco­ring Novel­le” ohne Ausnahmen.

Die wich­tigs­ten Rege­lun­gen in Stichpunkten:

  • Betrof­fen sind For­de­run­gen, die bei der Über­ga­be noch nicht rechts­si­cher fest­ge­stellt sind (Urteil, Titel)
  • Der Schuld­ner muss zwei Mal min­des­tens schrift­lich vom Unter­neh­men ange­mahnt wor­den sein
  • Die Über­mitt­lung an den Dienst­leis­ter darf frü­hes­tens vier Wochen nach der ers­ten schrift­li­chen Mah­nung stattfinden
  • Vor­her ist der Schuld­ner recht­zei­tig auf die bevor­ste­hen­de Daten­über­mitt­lung hin­zu­wei­sen, jedoch nicht vor der ers­ten Mahnung
  • Bestrei­tet der Schuld­ner die For­de­rung, darf die Über­mitt­lung nicht statt­fin­den. Die Grün­de des Bestrei­tens sind irrele­vant, es zählt der Vor­gang des Bestrei­tens. Der Vor­gang ist zu prü­fen und zu dokumentieren

Unter­neh­men soll­ten daher zeit­nah ihr For­de­rungs­ma­nage­ment und Mahn­we­sen auf die­se neue Rechts­la­ge hin über­prü­fen und anpas­sen. Ver­stö­ße gegen die­se Rege­lun­gen kön­nen — wie vom BDSG vor­ge­se­hen — mit Stra­fen belegt wer­den und auch Scha­dens­er­satz­for­de­run­gen sei­tens der Schuld­ner nach sich ziehen.

Sind Sie unsi­cher, ob Ihr Unter­neh­men die aktu­el­len Rege­lun­gen bereits umsetzt und recht­zei­tig erfüllt? Ger­ne prü­fe ich dies für Sie als exter­ner Daten­schutz­be­auf­trag­ter und emp­feh­le Ihnen not­wen­di­ge Kor­rek­tu­ren /​ Anpas­sun­gen. Spre­chen Sie mich unver­bind­lich an.

Update 26.03.2010:

Es gibt ers­te Dis­kus­sio­nen in Web­fo­ren und Bloggs, daß die­se Rege­lun­gen über Aus­kunftei­en hin­aus in der pra­ti­schen Anwen­dung auch auf Inkas­so­diens­te aus­ge­wei­tet wer­den könn­ten. Der Wort­laut der Novel­le spricht ein­deu­tig nur von Aus­kunftei­en — es bleibt also abzuwarten.

Pro­ble­ma­tisch könn­te die Über­mitt­lung theo­re­tisch zumin­dest jetzt schon sein, wenn Aus­kunf­tei und Inkas­so­dienst in einem Unter­neh­men gebün­delt ange­bo­ten wer­den und die über­mit­tel­ten Daten dort nicht scharf genug von­ein­an­der abge­grenzt wer­den, also die Aus­kunf­tei z.B. auf Infor­ma­tio­nen über lau­fen­de Inkas­so­ver­fah­ren im Bereich des Inkas­so­diens­tes zugreift. Hier soll­te man sich ver­trag­lich im Vor­feld absichern.

[wpfi­le­ba­se tag=‘file’ id=‘2’]

Liegt die Not­wen­dig­keit zur Bestel­lung eines Daten­schutz­be­auf­trag­ten für Ihr Unter­neh­men vor und haben Sie sich auf­grund der zahl­rei­chen Vor­tei­le für einen exter­nen Daten­schutz­be­auf­trag­ten ent­schie­den, dann sind eini­ge For­ma­li­tä­ten zu beachten.

Sind Sie noch nicht sicher, ob das BDSG für Sie die Bestel­lung eines Daten­schutz­be­auf­trag­ten not­wen­dig macht, dann spre­chen Sie mich an. Ich unter­stüt­ze Sie ger­ne bei der Bewer­tung. Selbst­ver­ständ­lich ste­he ich Ihnen auf­grund mei­ner bun­des­wei­ten Tätig­keit zeit­nah als exte­ner Daten­schutz­be­auf­trag­ter zur Verfügung.

Die Bestel­lung eines Daten­schutz­be­auf­trag­ten bedarf in jedem Fall der Schrift­form. Der not­wen­di­ge Schrift­satz für mei­ne Bestel­lung als Ihr exter­ner Daten­schutz­be­auf­trag­ter liegt im Haus vor und kann jeder­zeit — nach Ergän­zung Ihrer Unter­neh­mens­an­ga­ben — zum Ein­satz kommen.

Zusätz­lich wird ein sog. Geschäfts­be­sor­gungs­ver­trag /​ Dienst­ver­trag benö­tigt, der die Auf­ga­ben, Kom­pe­ten­zen, Ver­ant­wort­lich­kei­ten, Haf­tung und das Zusam­men­spiel zwi­schen Ihrem Unter­neh­men und mei­ner Per­son als exter­nem Daten­schutz­be­auf­trag­ten regelt. Hier­für gibt es eben­falls eine geprüf­te und bewähr­te Vor­la­ge, die ich Ihnen bei einer Bestel­lung und Auf­trags­ver­ga­be ger­ne zur Ver­fü­gung stel­le — Sie spa­ren somit die Kos­ten für die Erstel­lung durch einen Anwalt.

Sind die­se For­ma­li­tä­ten geklärt und erle­digt, kann es ans Werk gehen.

Bit­te haben Sie Ver­ständ­nis dafür, daß ich die­se Vor­la­gen nur für die Bestel­lung mei­ner Per­son als exter­nen Daten­schutz­be­auf­trag­ten ein­set­ze und nicht — auch nicht gegen Bezah­lung — an Drit­te veräußere.

[wpfi­le­ba­se tag=‘file’ id=‘2’]

Ein exter­ner Daten­schutz­be­auf­trag­ter hat die glei­chen Auf­ga­ben wie ein inter­ner Daten­schutz­be­auf­trag­ter (DSB). Für ein Unter­neh­men jedoch von ent­schei­den­dem Vor­teil: der exter­ne Daten­schutz­be­auf­trag­te hat eine ande­re Stel­lung und ist oft­mals preiswerter.

  • Weg­fall des erwei­ter­ten Kün­di­gungs­schut­zes: im Gegen­satz zu einem inter­nen DSB ver­fügt der exter­ne DSB über kei­nen gesetz­lich fest­ge­schrie­be­nen erwei­ter­ten Kün­di­gungs­schutz. D.h. der Ver­trag der exter­nen Bestel­lung kann regel­mä­ßi­ge Kün­di­gungs­fris­ten vor­se­hen! Dahin­ge­gen geniesst der inter­ne DSB wäh­rend sei­ner Tätig­keit als inter­ner DSB und ein Jahr dar­über­hin­aus einen erwei­ter­ten Kündigungsschutz.
  • Ver­bes­ser­te Haf­tung /​ Absi­che­rung: wäh­rend für den inter­nen DSB in Haf­tungs­fra­gen die sog. “betrieb­li­che Ver­an­las­sung” gilt, kann in exter­ner DSB für sein Han­deln ver­ant­wort­lich gemacht wer­den. Übli­cher­wei­se ver­fügt der exter­ne DSB über eine dahin­ge­hend spe­zia­li­sier­te Betriebs- und Vermögensschadenshaftplicht.
  • Über­schau­ba­rer und trans­pa­ren­ter Kos­ten­fak­tor: ein inter­ner DSB ist in sei­ner Zeit­ein­tei­lung und Tätig­keit als DSB frei und wei­sungs­un­ge­bun­den. Die Kos­ten­kon­trol­le für den Bereich Daten­schutz und Daten­schutz­be­auf­trag­ter ist fak­tisch aus­ge­he­belt. Anders ver­hält sich es sich beim Ein­satz eines exter­nen Daten­schutz­be­auf­tra­gen, mit dem das Unter­neh­men einen trans­pa­ren­ten und nach­voll­zieh­ba­ren Ver­trag über Auf­ga­ben, Ver­ant­wort­lich­kei­ten und Kos­ten schlies­sen. Oft­mals ist der exter­ne DSB für das Unter­neh­men die deut­lich preis­wer­te­re Alternative.
  • (Kos­ten der) Wei­ter­bil­dung /​ Erfül­lung der gesetz­li­chen Anfor­de­run­gen an die Fach­kun­de eines DSB: ein DSB — unab­hän­gig ob intern oder extern — ist gehal­ten, sich neben der not­wen­di­gen Aneig­nung der Grund­kennt­nis­se regel­mä­ßig in Bezug auf aktu­el­le Geset­zes­än­de­run­gen und Anwen­dun­gen fort- und wei­ter­zu­bil­den. Die­se Kos­ten (Fort­bil­dung, Rei­se, Über­nach­tung, Mate­ria­li­en) spart ein Unter­neh­men beim Ein­satz eines exter­nen Daten­schutz­be­auf­trag­ten. Die­ser ist übli­cher­wei­se schon aus Grün­den der Wett­be­werbs­fä­hig­keit stets up to date.
  • Ver­mei­dung von Inter­es­sens­kon­flik­ten: da der exter­ne DSB nicht im Unter­neh­men ver­an­kert ist, sind Inter­es­sen­kon­flik­te mit ande­ren Berei­chen und The­men nicht zu ver­mu­ten und unwahr­schein­lich. Er kann daher sei­nen Auf­ga­ben und Ver­pflich­tun­gen unbe­fan­gen nachkommen.
  • Inter­ids­zi­pli­nä­res und unter­neh­mens­über­grei­fen­des Know How: ein exter­ner Daten­schutz­be­auf­trag­ter ver­fügt zumeist über das Know How aus meh­re­ren Berei­chen und Erfah­run­gen aus zahl­rei­chen Tätig­kei­ten und Ein­sät­zen, wel­ches für ein Unter­neh­men durch sei­nen Ein­satz ver­füg­bar wird.

Immer noch nicht über­zeugt? Spre­chen Sie mich an!

[wpfi­le­ba­se tag=‘file’ id=‘2’]

Vor­ran­gig natür­lich die Ein­hal­tung der gesetz­li­chen Rege­lun­gen. Hin­zu kommt, daß Ver­stö­ße gegen das Daten­schutz­ge­setz mit Geld­bu­ßen von 50.000 bis 300.000 EURO (in begrün­de­ten Ein­zel­fäl­len auch dar­über hin­aus) geahn­det wer­den kön­nen (sie­he BDSG § 43). Je nach Sach­la­ge kön­nen auch Scha­dens­er­satz­for­de­run­gen bis hin zu Frei­heits­ent­zug (im straf­recht­li­chen Anwen­dungs­be­reich) auf den Ver­ur­sa­cher zukom­men. Vom Image­ver­lust für ein Unter­neh­men gar nicht zu reden.

Daten­schutz und Daten­si­cher­heit sind eng mit­ein­an­der ver­knüpft. So haben Sie als Unter­neh­mer die Gewiss­heit, dass kon­se­quen­ter Daten­schutz auch das Risi­ko von Daten­ver­lust durch Dieb­stahl, Spio­na­ge, Hard­ware­aus­fall etc. mini­miert.

Die fach­kun­di­ge, nach­voll­zieh­ba­re, fort­wäh­ren­de Prü­fung auf Ein­hal­tung der Daten­schutz­be­stim­mun­gen kann aber nicht nur vor den oben­ge­nann­ten “Schä­den” bewah­ren, son­dern ein Unter­neh­men kann durch kon­se­quen­ten und geleb­ten Daten­schutz ein Qua­li­täts­merk­mal errei­chen, mit dem es sich von Wett­be­wer­bern posi­tiv abhebt. Sich an gesetz­li­che Rege­lun­gen zu hal­ten, ist kein zuläs­si­ges Wer­be-Merk­mal. Jedoch mehr zu tun, als der Gesetz­ge­ber vor­schreibt, muss nicht ver­heim­licht wer­den — tue Gutes und rede darüber.

Das Bun­des­da­ten­schutz­ge­setz (BDSG) regelt (in sei­ner aktu­el­len Fas­sung) die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten inkl. deren Über­mitt­lung an Drit­te. Hier­bei wer­den sowohl die auto­ma­ti­sier­te (per IT Sys­te­me) als auch die manu­el­le Ver­ar­bei­tung berück­sich­tigt durch öffent­li­che (Behör­den, Ämter) und nicht-öffent­li­che Stel­len (z.B. Unternehmen).

Per­so­nen­be­zo­ge­ne Daten wer­den defi­niert als “Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son” (§ 3 BDSG). Damit sind Infor­ma­tio­nen gemeint, die sich auf einen ein­zel­nen (leben­den) Men­schen bezie­hen oder einen Bezug zu ihm mög­lich machen. Unter per­sön­li­chen und sach­li­chen Ver­hält­nis­sen sind Anga­ben gemeint, die einen per­sön­li­chen oder sach­li­chen Bezug zu die­sem Men­schen ermög­li­chen. Das beginnt mit Anschrift und Tele­fon­num­mer und endet nicht zwin­gend bei Beur­tei­lun­gen und Bewer­tun­gen oder Kauf­ver­hal­ten. Per­so­nen­be­zo­ge­ne Daten kön­nen gera­de in Unter­neh­men intern (Per­so­nal­ak­ten) und extern (Kun­den­da­ten, Fak­tu­ra, Wer­bung etc.) vorliegen.

Es gel­ten die Grund­sät­ze der Daten­ver­mei­dung und der Daten­spar­sam­keit nach § 3a BDSG: mög­lichst kei­ne oder so wenig wie mög­lich an per­so­nen­be­zo­ge­nen Daten erhe­ben, ver­ar­bei­ten oder nutzen.

(mehr …)