Zur Rechtsnatur von Inkassomandaten: Auftragsdatenverarbeitung oder Funktionsübertragung?

Herr Spitz, der Bundesverband Deutscher Inkasso-Unternehmen e.V. vertritt die Interessen der Inkassobranche in Politik und Öffentlichkeit. Warum ist die Differenzierung zwischen Auftragsdatenverarbeitung und Funktionsübertragung für Ihre Mitglieder relevant?

Das liegt an der Rechtsnatur der Inkassomandate. Ein Inkassomandat ist grundsätzlich ein Geschäftsbesorgungsvertrag, der auf die Einziehung der Forderung des Gläubigers gegen den Schuldner gerichtet ist.

Wie muss man sich dieses „klassische“ Inkassomandat vorstellen?

Das Inkassomandat ist eng mit der besonderen berufsrechtlichen Stellung des Inkassodienstleisters verbunden.

Bei der Inkassotätigkeit handelt es sich um eine gesetzlich regulierte Dienstleistung. Der Gesetzgeber hat hierzu in § 2 Abs. 2 Rechtsdienstleistungsgesetz (RDG) geregelt, dass eine erlaubnispflichtige Rechtsdienstleistung unter anderem derjenige erbringt, der die Einziehung fremder oder zum Zwecke der Einziehung auf fremde Rechnung abgetretener Forderungen vornimmt, wenn diese Forderungseinziehung als eigenständiges Geschäft betrieben wird. Um zunächst als Inkassounternehmer tätig werden zu können, müssen nach dem RDG verschiedene, strenge Voraussetzungen erfüllt sein. So muss dieser im Rahmen der Registrierung eine umfassende theoretische und praktische Sachkunde in den einschlägigen Rechtsgebieten nachweisen. Er hat seine persönliche Eignung und Zuverlässigkeit zu belegen und eine Berufshaftpflichtversicherung abzuschließen.

Erst nach erfolgter Registrierung darf der Forderungseinzug als „eigenständiges Geschäft“ i.S.d. § 2 Abs. 2 RDG betrieben werden.

Darunter ist nach ständiger Rechtsprechung die Übernahme der Bearbeitung von Rechtsangelegenheiten zu verstehen, die der Inkassodienstleister grundsätzlich selbst auszuführen hat. Demzufolge erbringen Inkassodienstleister nach dem expliziten Willen des Gesetzgebers ihre Rechtsdienstleistung eigenständig und in eigener Verantwortung.

Die berufsrechtlichen Rahmenbedingungen des Inkassomandats finden ihre Berücksichtigung in der vertraglichen Absprache zwischen Auftraggeber (Gläubiger) und Inkassounternehmen als Rechtsdienstleister.

Auch wenn es keine einheitlichen Inkassoverträge gibt, da Inkassodienstleister als Kaufleute grundsätzlich in ihrer vertraglichen und kaufmännischen Gestaltung frei sind, handelt es sich der Sache nach um Geschäftsbesorgungsverträge i.S.d. § 675 BGB.

Inhaltlich regeln die Inkassoverträge die Haupt- und Nebenpflichten der Parteien, wobei die Befugnisse der Inkassounternehmen i.d.R. dahingehend ausgestaltet sind, dass diese als Dienstleister agieren, die eigenverantwortlich und selbstständig handeln und dazu von den Auftraggebern entsprechend bevollmächtigt werden.

So wird Inkassounternehmen neben der Befugnis zur Vereinbarung von Ratenzahlungen, Stundungen und Vergleichen beispielsweise auch die Möglichkeit eingeräumt, Forderungsnachlässe zu gewähren und Mahnbescheide zu beantragen.

Die Rechtsnatur des Inkassomandats ist also maßgebend für die datenschutzrechtliche Einordnung?

So ist es. Das Bundesdatenschutzgesetz (BDSG) stellt für die Bestimmung der datenschutzrechtlichen Rechtsverhältnisse zwischen Auftraggeber und Inkassounternehmen nicht auf zivilrechtliche Kriterien ab, sondern darauf, ob es sich um rechtlich selbstständige Personen und damit grundsätzlich um sogenannte „Dritte“ i.S.d. § 3 Abs. 8 Satz 2 Bundesdatenschutzgesetz (BDSG) handelt.

§ 3 Abs. 8 BDSG regelt, dass Dritter jede Person oder Stelle außerhalb der verantwortlichen Stelle ist. Im Verhältnis zu einem Dritten gelten die strengen Zulässigkeitsvoraussetzungen des § 28 BDSG.

Es gibt aber eine wichtige Ausnahme: Im datenschutzrechtlichen Auftragsverhältnis nach § 11 BDSG gelten Auftraggeber und Auftragnehmer innerhalb der EU nicht als Dritte, sondern gedanklich als eine Einheit, innerhalb derer Daten ohne die Einschränkungen des § 28 BDSG fließen dürfen.

Die datenschutzrechtliche Einordnung zieht also unterschiedliche Pflichten des Unternehmens nach sich?

Ja. Würde es sich bei dem Vertragsverhältnis zwischen Gläubiger und Inkassounternehmen um eine Auftragsdatenverarbeitung i.S.d. § 11 BDSG handeln, fände zwischen den Parteien keine Datenübermittlung, sondern lediglich ein Datenaustausch im Innenverhältnis statt, für den das BDSG keine Einschränkungen vorsieht. Das klingt zunächst wie eine Erleichterung, hat aber einen entscheidenden Haken. Für die verantwortliche Stelle (hier: Gläubiger) und den Auftragnehmer gelten besondere Pflichten, die namentlich nach der Neuregelung des § 11 BDSG schriftlich zu vereinbaren und sehr detailliert auszugestalten sind.

Diese vertraglichen Regelungen müssen ganz kleinteilig den Gegenstand und die Dauer des Auftrages sowie den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art und den Kreis der Betroffenen sowie die Berichtigung, Löschung und Sperrung von Daten festlegen und, was ganz wichtig ist, eingehende Kontrollen durch den Auftraggeber vorsehen.

Welche Merkmale kennzeichnen eine typische Auftragsdatenverarbeitung?

Eine Auftragsdatenverarbeitung ist dadurch gekennzeichnet, dass die Erledigung der Aufgabe an sich vom Auftraggeber vorgenommen wird und dazu lediglich gewisse Hilfs- und Unterstützungsfunktionen vom Auftragnehmer geleistet werden.

Das heißt,  Auftragsdatenverarbeitung bedeutet nicht die Übertragung der eigentlichen Aufgabe an eine andere Stelle, sondern lediglich deren technische Ausführung. Typisches Beispiel ist ein Rechenzentrum.

Für die Annahme einer Auftragsdatenverarbeitung sprechen unter anderem die fehlende Entscheidungsbefugnis des Auftragnehmers in der Sache, insbesondere hinsichtlich der Auswahl sowie die Art und Weise der Verarbeitung der Daten, die Beschränkung der Datenverarbeitung auf die Daten, die der Auftraggeber zur Verfügung stellt, sowie die fehlende Beziehung des Auftragnehmers zum Betroffenen.

Der Auftrag ist somit ausschließlich auf die praktisch-technische Durchführung einer Verarbeitung gerichtet, die der Auftraggeber nach außen in eigener Verantwortung vertritt.

Inkassounternehmen sind danach für Sie keine Auftragsdatenverarbeiter i.S.d. § 11 BDSG?

Nein, natürlich nicht.

Inkassounternehmen sind sowohl nach der Rechtsprechung des Bundesverfassungsgerichts als auch aufgrund der ihnen durch das RDG übertragenen Kompetenzen, unter anderem in Bezug auf die Durchführung des gerichtlichen Mahnverfahrens, zu eigenverantwortlichem Handeln berechtigt und verpflichtet, sodass ihre Tätigkeit über eine reine Hilfsfunktion im Rahmen fremder Zwecke hinausgeht.

Die datenschutzrechtliche Verantwortlichkeit für die gespeicherten personenbezogenen Daten liegt daher klar bei den Inakssounternehmen, da diesen beim Forderungseinzug inhaltliche Entscheidungs- und Ermessensspielräume zustehen.

Zudem greifen Inkassounternehmen bei der Inkassosachbearbeitung auf ihr gesamtes Know-how zurück, das heißt, es wird insbesondere auf externe Datenquellen wie Auskunfteien, Melderegister, Schuldnverzeichnisse, Informationen des Außendienstes und so weiter zurückgegriffen. Inkassounternehmen werden selbst zur verantwortlichen Stelle, da über die technische Durchführung der Verarbeitung hinaus materialie vertragliche Leistungen mithilfe der überlassenen Daten erbracht werden. Auch etwaige Weisungen des Gläubigers erfolgen im Rahmen der Mandatsbearbeitung punktuell nur in Einzelfällen, da den Inkassounternehmen der Forderungseinzug i.d.R. „als Ganzes“ übertragen wird. Lediglich in speziell geregelten Sonderfällen - wie beim Forderungseinzug für die öffentliche Hand - gelten andere Bedingungen.

Die Intention des Gesetzgebers zu § 28a BDSG, also die Datenübermittlung an Auskunfteien, liefe daneben ins Leere, würden Inkassounternehmen als Auftragsdatenverarbeiter angesehen werden.

Wie beurteilen die Datenschutzbehörden die rechtliche Einordnung der Inkassotätigkeit?

Die Aufsichtsbehörden sehen die Sache seit jeher genauso. Wir haben hierzu kürzlich die jeweiligen Landesdatenschutzbeauftragten noch einmal um ihre Einschätzung gebeten.

Die bislang unter anderem aus Kiel, Berlin und Stuttgart eingegangenen schriftlichen Stellungnahmen zeigen deutlich, dass auch die Landesdatenschutzbehörden nach wie vor selbstverständlich davon ausgehen, dass es sich bei Inkassodienstleistungen nicht um Auftragsdatenverarbeitung, sondern um Funktionsübertragung handelt.

Alles andere hätte auch überrascht: Eine Rechtsdienstleistung, die im RDG als selbstständig-eigenverantwortliche Tätigkeit ausgestaltet ist, kann nicht aufgrund einer für ganz anders gelagerte Sachverhalte konzipierten Sonderregelung des Datenschutzrechts als technische Hilfsfunktion, wie Aktenvernichtung oder der Betrieb eines Rechenzentrums, eingeordnet werden. Das liefe dem Konzept eines ganzen Berufsstandes entgegen.

Herr Spitz, vielen Dank für das Gespräch.

Der Beitrag erschien in Ausgabe 3/2010 des Fachmagazins „Der CreditManager“.