Key Take aways
- Die Beurteilung der Notwendigkeit einer Bonitätsprüfung hängt von der Risikoeinschätzung der gewählten Zahlungsmethode ab
- Umgekehrt ist die Bereitstellung der Zahlungsmethoden in Abhängigkeit von der Bonität grundsätzlich nicht statthaft
- Der Online-Händler muss seine Kunden über die zumindest potenziell mögliche Weitergabe der personenbezogenen Daten an einen Dritten im Rahmen der Datenschutzerklärung hinweisen
Einführung
Ein Online-Händler wird, soweit er das nicht ohnehin schon weiß, sehr schnell feststellen, dass nicht jede Bezahlform in jedem Fall eine optimale Einhaltung der Zahlungsverpflichtungen seitens des Bestellers/Kunden hervorruft. Vor diesem Hintergrund wird er alsbald beginnen, sich Gedanken darum zu machen, wie er sicherstellen kann, dass er auch die Bezahlung für seine Ware oder Dienstleistung erhält. Dazu gehört, dass er sich Informationen beschafft.
Indem er dies tut, führt er bei seinen Kunden eine Prüfung der Kreditwürdigkeit oder auch Bonitätsprüfung durch. Dabei wird versucht, anhand verschiedener Parameter, die dem Online-Händler zum Teil aus der Geschäftsbeziehung bekannt sind, zum Teil direkt vom Nutzer oder aus einer Drittquelle stammen, Rückschlüsse auf das zukünftige Zahlverhalten zu ziehen. Hierzu können zum Beispiel das bisherige Zahlverhalten, aber auch solche Informationen, die eher mittelbar Rückschlüsse auf das Zahlverhalten erlauben, wie Einkommen, Alter, Wohnadresse, Dauer und Art des Arbeitsverhältnisses und andere mehr, herangezogen werden.
In einfachster Form wird also die Bonitätsprüfung in unserem Fall aus einem Blick in die Kundenhistorie oder in eine interne Warndatei bestehen. Je nachdem, ob es sich bei dem Bestellenden um eine Neukundenverbindung, eine sporadische Geschäftsbeziehung oder jemanden aus der Stammkundschaft handelt, mag der Online-Händler versucht sein, unterschiedliche Zahlmethoden zu erlauben.
Zur Minimierung der betrugsbedingten Zahlungsausfälle wird der Online-Händler gegebenenfalls dazu übergehen nicht nur auf eigene Informationsquellen zurückzugreifen, sondern eine Auskunftei zu befragen. Noch weitergehende Maßnahmen zur Optimierung des eigenen Zahlungsverkehrs und der eigenen Liquidität wären aus Sicht des Online-Händlers der Einsatz von Inkasso- oder Factoring-Gesellschaften.
So nachvollziehbar diese Schritte möglicherweise sind – sind sie aus Datenschutzperspektive auch rechtlich einwandfrei?
Wie so häufig lautet die Antwort: „Es kommt darauf an!“
Grundsätzlich ist die Prüfung der Bonität nicht als integraler Bestandteil eines Kaufvertrags oder für die Begründung eines anderen rechtsgeschäftlichen Schuldverhältnisses anzusehen. Vor diesem Hintergrund erscheint eine Verarbeitung der Daten in einer Warndatei und erst recht die Übermittlung der Daten an eine Auskunftei, ein Inkasso-Büro oder das Factoring Unternehmen auf Rechtsgrundlage der Abwicklung eines Vertrages mit der betroffenen Person im Sinne des Artikels 6 Abs. 1 lit. b) als nicht möglich.
Demnach wäre als nächstes zu prüfen, ob das „Berechtigte Interesse“ des Verantwortlichen als maßgebliche Rechtsgrundlage für die vorgesehene Verarbeitungstätigkeit genutzt werden kann.
Als unstrittig kann sicherlich gelten, dass der Verantwortliche ein starkes Interesse daran hat, nicht Betrug zum Opfer zu fallen und hierdurch entstehende Verluste zu minimieren. Vor diesem Hintergrund erscheinen Maßnahmen zur Betrugsprävention zumindest potenziell über den entsprechenden Artikel 6 Abs. 1 lit. f) DSGVO legitimierbar zu sein.
Allerdings ist hierbei zu beachten, dass nicht alle Zahlungsmethoden ein gleich hohes Betrugspotential beinhalten. So ist eine Bestellung gegen Vorkasse ungleich weniger risikobehaftet als ein Verkauf, für den als Zahlungsmodalität „Zahlung bei Lieferung“, ein Zahlungsziel oder eine ratierliche Begleichung der Zahlungsverpflichtung vereinbart werden. Dies berücksichtigend, wird eine Interessenabwägung zu unterschiedlichen Ergebnissen kommen.
Insofern wird eine Verarbeitung der Daten auf Basis der Interessenabwägung möglicherweise in den Fällen als Rechtsgrundlage dienen können, in denen ein hohes Betrugsrisiko zu konstatieren ist. Umgekehrt wird eine Legitimierung der Bonitätsprüfung über Artikel 6 Abs. 1 lit. f) DSGVO nicht möglich sein, wenn, wie bei der Vorauskasse, das Ausfallrisiko als gering gelten muss.
Als gleichermaßen problematisch hat ein Prozess zu gelten, in dem nach Durchlaufen einer zunächst durchgeführten Bonitätsprüfung die nutzbaren Zahlungsmethoden durch den Verantwortlichen individuell selektiert werden.
Exkurs: Amazons Angebot für einen zinsfreien Ratenkauf
In den genannten Zusammenhang passt ein neues Angebot des Branchenprimus im Versandhandel Amazon. Hier werden im Hintergrund automatisch eine Reihe von Teilnahmevoraussetzungen abgeprüft. Wenn ein so vorgeprüfter Kunde sich nun für ein Produkt entscheidet, für das Amazon eine solche Ratenzahlungsoption freigeschaltet hat, wird diese als zusätzliche Zahlungsvariante angezeigt. Verläuft die Hintergrundrecherche negativ, weil eins der vom Unternehmen vordefinierten Kriterien nicht eingehalten wird, wird diese Zahlungsmöglichkeit nicht angeboten.
In diesem Kontext wird die Zukunft zeigen, inwieweit dieses Vorgehen von Amazon datenschutzkonform ist.
Als dritte denkbare Rechtsgrundlage für die Verarbeitung stellt sich die Einwilligung gemäß Artikel 6 Abs. 1 lit. a) DSGVO dar. Aus datenschutzrechtlichen Gründen ist gegen die Verarbeitung der Daten auf dieser Basis kein Veto einzulegen. Allerdings wird dann häufig seitens des Verantwortlichen, möglicherweise nicht zu Unrecht, der Nutzen der Maßnahme insgesamt in Frage gestellt.
Ein zusätzliches Problem zeigt sich, wenn vom Verantwortlichen, oder einem nachgelagerten Dienstleister, nicht nur ein Vergleich mit einer bestehenden Warndatei durchgeführt wird, sondern eine automatisierte Entscheidungsfindung, bzw. ein Profiling im Sinne des Artikels 4 Nr. 4 DSGVO eingesetzt werden soll. In diesem Fall hat der Verantwortliche neben den allgemeinen Informationspflichten gemäß Artikel 13 Abs. 2 DSGVO ergänzend aussagekräftig über die „…involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ zu informieren.
Verantwortlichkeiten für Scoring
Wie schon angeklungen ist, steigert sich die Komplexität der Thematik, wenn weitere Parteien in die Bonitätsprüfung, oder nachfolgend in den Zahlvorgang involviert werden. So könnte sich der Online-Händler beispielsweise dafür entscheiden, die Schufa oder eine andere Auskunftei in die Bonitätsprüfung einzubeziehen. In diesem Kontext geht die Zusammenarbeit über das „einfache Einmelden“ von Daten an die Auskunftei hinaus. Vielmehr stellt ja gerade das Bewerten der aus verschiedenen Quellen stammenden Informationen einen wesentlichen Teil der Tätigkeit und Funktion einer Auskunftei dar. Darüber hinaus besteht das Geschäftsmodell einer Auskunftei weiterhin darin, diese von verschiedenen Seiten zusammengetragenen Daten aggregiert den verschiedenen Unternehmen für deren jeweilige Bonitätsbeurteilung zur Verfügung zu stellen.
Vor diesem Hintergrund handeln Auskunfteien als eigene Verantwortliche, die eigene Zwecke verfolgend, mit Anfragenden, in unserem Fall also dem Online-Händler, zusammenarbeiten. Rechtsgrundlage hierfür stellt das berechtigte Interesse gemäß Artikel 6 Abs. 1 lit. f) DSGVO dar, sofern und solange, die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Um diese Übermittlung der Daten an die Auskunftei rechtskonform durchführen zu können, ist eine Kompatibilitätsprüfung gemäß Artikel 6 Abs. 4 DSGVO erforderlich. Hierzu muss der Online-Händler bereits vor der Übermittlung zumindest auf die fallweise Möglichkeit einer solchen Datenverarbeitung hingewiesen haben. Dabei ist zu berücksichtigen, dass Daten nur im für den Betroffenen erwartbaren Umfang weitergegeben werden dürfen.
Benachrichtigungs-/ Hinweispflichten
Wenn der Online-Händler im Rahmen einer Bonitätsprüfung auf die Unterstützung von Auskunfteien setzen möchte, sind hierbei operativ verschiedene Dinge zu beachten. So muss der Online-Händler darüber aufklären, welche Zahlungsmodalitäten für ihn mit einem Ausfallrisiko verbunden sein können, und somit eine Bonitätsprüfung erforderlich machen.
Darüber hinaus ist der potentielle Kunde entsprechend Artikel 13 der DSGVO über die Verarbeitung insgesamt zu informieren. Hierzu gehören untere anderem der Name und die Kontaktdaten des Verantwortlichen und dessen Datenschutzbeauftragten. Außerdem sind Angaben zu den Betroffenenrechten und der der Verarbeitung zu Grunde liegenden Rechtsgrundlage zu ergänzen. In diesem Zusammenhang kommt der Konkretisierung des berechtigten Interesses eine besondere Bedeutung zu, sofern die Verarbeitung hierauf abgestellt wird.
Andererseits obliegt es der Auskunftei ihrerseits de Kunden gemäß Artikel 14 DSGVO neben den bereits angesprochenen Informationen hinsichtlich der von ihr verarbeiteten Daten zusätzlich über deren Herkunft zu informieren.
Inkasso
Auch bei der Weitergabe von Forderungen an ein anderes Unternehmen zum Zwecke des Einzugs derselben beim Schuldner stellt sich die datenschutzrechtliche Situation ähnlich dar.
Hier findet eine Übermittlung von Daten einerseits auf Grundlage der Verarbeitung der Daten zur Vertragserfüllung und andererseits eines berechtigten Interesses von dem bisherigen Verantwortlichem, unserem Online-Händler, an einen neuen Verantwortlichen, das Inkasso-Unternehmen, statt. In der Folge übernimmt der Dienstleister die Überwachung des Zahlungseingangs und ggf. ein im Falle der Nicht-Zahlung notwendig werdendes Mahnwesen. Dabei bleibt der Online-Händler Eigentümer der Forderung.
Factoring
Die Ausgangssituation ist auch bei Factoring ähnlich. Es findet eine Übermittlung der relevanten Daten vom Factor, unserem Online-Händler, an das Factoring-Unternehmen statt. Allerdings verkauft der Online-Händler die Forderung in diesem Fall an die Factoring-Gesellschaft. Sie wird zur neuen Eigentümerin der Forderung. Für diese Forderungsabtretung gibt es mehrere Ausgestaltungsformen, die zwischen den Parteien vereinbart werden können. So wird zwischen einem regresslosen Factoring und einer Forderungsabtretung mit Rückgriff auf den ehemaligen Eigentümer der Forderung unterschieden.
Daneben kann auch zwischen den Parteien vereinbart werden, ob der Schuldner über die Forderungsabtretung informiert werden soll. Ist dies der Fall, spricht man von einer offenen Zession. Wird vereinbart, dass die Abtretung der Forderung dem Schuldner nicht bekannt gegeben wird, wird dies als stille Zession bezeichnet.
Letztere wirft dann wiederum datenschutzrechtliche Fragen auf, die tatsächlich derzeit kontrovers diskutiert werden. Einerseits ist die stille Zession ein im Bürgerlichen Gesetzbuch geregeltes Rechtsgeschäft, dessen Sinn eben darin besteht, dass der Schuldner keine Kenntnis von der Forderungsabtretung erhält.
Andererseits fordert die DSGVO von einem Dritten, der personenbezogene Daten nicht direkt von der betroffenen Person erhält, dass Ersterer den Zweitgenannten gemäß Artikel 14 über die Verarbeitung informiert, was zwangsläufig zu einer Offenlegung der Abtretung führen würde.
Eine Lösung für diese widerstreitenden Rechtsaussagen mag Artikel 14 Abs. 5 lit. b) Satz 1, letzter Halbsatz bieten, in dem die Nicht-Anwendbarkeit der Informationsverpflichtung behandelt wird, „… soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.“
Fazit
Insgesamt bleibt festzustellen, dass es für den Online-Händler rund um die Fragen der Zahlungsmodalitäten, der Bonitätsbewertung der Kunden und der Einbindung von Dienstleistern in diesem Themenkomplex auch unter Datenschutzaspekten einiges zu beachten gibt.
