(DEU) Inkassounternehmen - Auftragsverarbeiter oder Verantwortlicher?
Thomas Reisinger | 13.April 2020Artikelinhalt
"(Auftragsverabeiter) sein oder nicht sein?" Nach wie vor ist diese Frage im Detail nicht nicht immer ganz eindeutig zu beantworten. Im Nachbarland Deutschland lag diese Unsicherheit einem besorgten Bürger derart schwer im Magen, dass es sogar zu Zahlungsverzug und zum Gang zu den Gerichten kam.
Das Ergebnis: ein wenig Klarheit zu dieser Frage im Bereich der Inkassounternehmen durch das Verwaltungsgericht Mainz.
Auch für Österreich können wir davon ausgehen, dass ein Inkassounternehmen selbst Verantwortlicher im Sinne der DSGVO ist.
Rechnungen einzutreiben ist manchmal mühsam. Viele Unternehmen lagern diesen Prozess gar gänzlich an Externe aus damit diese sich darum kümmern. Oftmals ist in solchen Rahmenverträgen auch der Fall der Forderungsabtretung vorgesehen. Für den Fall von ganz zahlungsunwilligen Kunden wird der Dienstleister dann als Inkassounternehmen tätig.
In datenschutzrechtlicher Hinsicht stellt sich dabei - im Wesentlichen zusammengefasst - die Frage, ob dies einen Fall der Auftragsverarbeitung oder eine Datenübermittlung an einen (eigenverantwortlichen) Dritten darstellt?
Entscheid des Verwaltungsgericht Mainz
Geht es nach dem Verwaltungsgericht Mainz (VG Mainz) so ist diese Frage klar entschieden und handelt es sich bei solchen Dienstleistern nicht um Auftragsverarbeiter, sondern um eigene Verantwortliche.
Zu diesem Ergebnis ist das VG Mainz in einem Verfahren anlässlich einer Tierarztpraxis gekommen, welche genau wie eingangs erwähnt den Prozess der Rechnungseintreibung externalisiert hatte.
Nach Meinung der Tierarztpraxis wurde der externe Dienstleister hierbei grundsätzlich als Auftragsverarbeiter tätig und nur im Fall der Inkassobetreibung als eigener Verantwortlicher.
Für einen Kunden der Tierarztpraxis dürfte dieses Agieren als Switcher zwischen den Rollen jedoch eher unbefriedigend gewesen sein, sodass sich dieser - unter Inkaufnahme eines Zahlungsverzuges - hilfesuchend an die Datenschutzbehörde gewendet hat. In weiterer Folge wurde schließlich die Angelegenheit an das VG Mainz als nächste Instanz getragen, welches zu oben erwähntem Ergebnis kam.
Begründung des VG Mainz
Begründet hat das VG Mainz seine Entscheidung im faktisch im Wesentlichen damit, dass man nicht zwischen der normalen Abrechnungstätigkeit und der Forderungsabtretung / Inkassobetreibung differenzieren dürfe. Vor allem aufgrund des Umstandes, dass der zugrundeliegende Rahmenvertrag dem externen Dienstleister die Entscheidung darüber ob die Forderung abgetreten wird allein diesem einräumt.
Die Tierarztpraxis hat hierüber faktisch als auch rechtlich keine eigene Entscheidungsbefugnis, sodass es an der für einen Auftragsverarbeiter maßgeblichen Weisungsgebundenheit fehlt.
Diese Übermittlung an einen Dritten ist - wie das VG Mainz zutreffend argumentiert - gemäß Art 6 Abs 1 lit b DSGVO gerechtfertigt, da es zum Zweck der Vertragserfüllung erforderlich ist.
Die Argumentation des VG Mainz ist unserer Ansicht nach auch ohne Probleme hierzulande anzuwenden.
Links zum Artikel
Blogbeitrag delegedata
Blogbeitrag datenschutzbeauftragter-info.de
VORHERIGER ARTIKEL
NÄCHSTER ARTIKEL
Tags
Ähnliche Inhalte
- (DEU) Verpflichtender Datenschutzbeauftragter erst ab 20 MA
- (DEU) Google Analytics = gemeinsame Verantwortlichkeit???
- Corona-Videoconferencing Schlammschlacht - Circuit aus Europa? Nie gehört!
- Ratgeber - Unterschiedliche Sensibilität personenbezogener Daten - Teil 1
- DSGVO - Versicherung! Endlich! Darauf haben wir gewartet!
