Datenschutzhinweise Inkasso-Vertrag

Datenschutzhinweise

Datenschutzhinweise

1. Datenschutzerklärung

über die Einhaltung der Vorschriften der DSGVO und des BDSG-NEU
Stand: August 2023

Diagonal Inkasso GmbH
Bremer Straße 11
21244 Buchholz in der Nordheide

vertreten durch: Philipp Kadel, Ines Thoms

Die Diagonal Inkasso GmbH, Bremer Straße 11, 21244 Buchholz in der Nordheide, Deutschland (nachfolgend: Diagonal Inkasso), vertreten durch die Geschäftsführer Philipp Kadel und Ines Thoms, ist als registrierter Inkassodienstleister im Sinne des § 10 Abs. 1 Nr. 1 RDG tätig. Als solches erbringt Diagonal Inkasso neben vorgerichtlichem und gerichtlichem Inkasso auch viele präventive Maßnahmen für ein effizientes Finanz- und Forderungsmanagement, wie beispielsweise Auskunftei- und Bonitätsprüfungen. Als registriertes Inkassounternehmen ist Diagonal Inkasso im Rahmen ihrer Aufgabenwahrnehmung für Gläubiger aus Deutschland und anderen Ländern, als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO tätig und bestimmt insoweit sowohl über die Zwecke, als auch die Mittel der im Zusammenhang mit der Forderungseinziehung erforderlichen Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO) eigenständig. Eine gemeinsame Verantwortung mit Mandanten der Diagonal Inkasso im Sinne des Art. 26 DSGVO wird regelmäßig nicht begründet. Diese Erklärung dient der Darstellung der von Diagonal Inkasso bei der Aufgabenerfüllung als Verantwortliche etablierten Datenschutz- und Datensicherheitsmaßnahmen, zu denen sich Diagonal Inkasso selbst verpflichtet hat und für die sie ihren Mandanten gegenüber einsteht.

1. Vertraulichkeit und Einhaltung der Datenschutz-Vorschriften

Diagonal Inkasso verpflichtet sich, die den Datenschutz betreffenden gesetzlichen Bestimmungen insbesondere der DSGVO und des BDSG-NEU zu beachten und ihre Einhaltung regelmäßig – auch unter Einsatz sachverständiger Dritter – zu überwachen.

Diagonal Inkasso gewährleistet die Wahrung der Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f. DSGVO, Art. 32 Abs. 4 DSGVO und setzt bei der Verarbeitung personenbezogener Daten nur Beschäftigte ein, die auf die Vertraulichkeit und zum Datengeheimnis gemäß Art. 5, 24, 29 und 32 DSGVO verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Diagonal Inkasso führt zu diesem Zweck jährlich – bei Bedarf (gravierende Änderungen oder neue Gefährdungslagen) auch häufiger – Mitarbeiterschulungen durch. Sie werden jeweils vom Datenschutzbeauftragten oder von einer in Abstimmung mit dem Datenschutzbeauftragten beauftragten geeigneten Person durchgeführt. Grundsätzlich kennt die DSGVO keine explizite Verpflichtung auf das Datengeheimnis. Im sogenannten BDSG-NEU, welches ebenfalls am 25.05.2018 in Kraft tritt, findet sich hierzu ebenfalls keine Aussage. Das Bayrische Landesamt für Datenschutzaufsicht hat jedoch in einer Stellungnahme explizit darauf hingewiesen, dass es die Verpflichtung der zur Verarbeitung befugten Personen auch weiterhin als probates Mittel ansieht, um die Einhaltung datenschutzrechtlicher Vorschriften von vornherein zu gewährleisten.

Dies zeigt sich unter anderem am Regime der Auftragsverarbeitung (AV), welches in Art. 28 Abs. 3 lit. b DSGVO die Verpflichtung auf die Vertraulichkeit zumindest beim Dienstleister ausdrücklich als Pflichtinhalt des AV-Vertrages vorsieht. Hinsichtlich der Verpflichtung folgt Diagonal Inkasso dem vom Bayerischen Landesamt für Datenschutzaufsicht im Februar 2018 veröffentlichten Muster (siehe: Bay. LDA, Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO, Februar 2018, abrufbar unter nachfolgendem Link:

https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf

2. Übermittlung der Daten an Drittländer

Datenverarbeitungen im Sinne des Art. 4 Nr. 2 DSGVO finden ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Übermittlungen in Drittländer erfolgen nur, soweit hierfür eine gesetzliche Rechtsgrundlage besteht und unter den besonderen Voraussetzungen der Art. 44 ff. DSGVO.

3. Technisch-organisatorische Massnahmen

Diagonal Inkasso stellt die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO insbesondere in Verbindung mit Art. 25 Abs. 1, Abs. 2 DSGVO sicher. Im Rahmen eines jährlich durchgeführten Kurzaudits werden die technisch-organisatorischen Maßnahmen durch den Datenschutzbeauftragten überprüft. Bei Bedarf führt der Datenschutzbeauftragte auch häufiger Überprüfungen durch. Das Ermessen über die Notwendigkeit liegt alleine beim Datenschutzbeauftragten. Wenn Zweifel daran bestehen, ob die eingesetzten Systeme nach dem Stand der Technik noch sicher sind, finden Prüfungen auch unterjährig statt. Soweit Änderungen anstehen, welche technische Systeme, Software-Systeme, organisatorisch-technische Maßnahmen oder die IT-Infrastruktur betreffen, ist der Daten-schutzbeauftragte über die geplanten Änderungen frühzeitig zu informieren. Er entscheidet dann über die Notwendigkeit einer Einzelprüfung. Der Datenschutzbeauftragte erstellt Berichte zu den, von ihm durchgeführten Audits sowie Jahresberichte an die Unternehmensleitung.

Insgesamt verpflichtet sich Diagonal Inkasso, hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme, geeignete Maßnahmen zur Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus zu etablieren. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die Einzelheiten werden in einer Übersicht über technisch-organisatorische Maßnahmen nach Art. 32 DSGVO niedergelegt. Die Übersicht wird Mandanten der Diagonal Inkasso auf Verlangen zur Verfügung gestellt.

Die Rücksicherung gesicherter Daten ist gemeinhin die Ultima Ratio aller Maßnahmen zur Aufrechterhaltung der Betriebssicherheit von IT-Systemen. Sie stellt damit auch eine der wichtigsten Komponenten der Datensicherheit dar. Wird eine Datensicherung benötigt und es stellt sich heraus, dass sie nicht brauchbar ist, liegt in aller Regel ein Datenverlust vor, der wahrscheinlich sogar als meldepflichtiger Vorfall anzusehen ist. Aus diesem Grund ist es erforderlich, dass Datensicherungen auch an einem sicheren Ort gelagert werden – üblicherweise außerhalb der Räumlichkeit in denen sich gesicherte Geräte befinden.

Diagonal Inkasso verpflichtet sich daher zur Etablierung eines Datensicherungskonzepts, dass regelmäßig durch den IT- Verantwortlichen auf Aktualität geprüft wird. Der IT-Verantwortliche hat darüber hinaus regelmäßig Rücksicherungstests durchzuführen und diese zu dokumentieren. Die Dokumentation kann üblicherweise in einer Tabelle (Spreadsheet) erfolgen. Im Rahmen einer jährlichen Überprüfung nimmt der Datenschutzbeauftragte die Dokumentation der Rücksicherungstests in Augenschein und hinterfragt die Vorgehensweise hinsichtlich der Datensicherung.

Neben den in der DSGVO aufgeführten Dokumentationen ist durch den IT-Verantwortlichen auch ein Konzept hinsichtlich der Virenüberwachung und ein Backup-Konzept zu führen. Durch den IT-Verantwortlichen erfolgt regelmäßig die Überwachung des Antivirensystems. Soweit diesbezüglich Auffälligkeiten auftreten oder das Aufkommen von Meldungen signifikant zunimmt, hat der IT-Verantwortliche unverzüglich die Geschäftsleitung sowie den Datenschutzbeauftragten zu verständigen. Die Dokumentationen werden im Rahmen des jährlichen oder bei Bedarf auch häufiger durch den Datenschutzbeauftragten durchgeführten Kurzaudits auf Vollständigkeit überprüft.

4. Bestellung eines Datenschutzbeauftragten

Diagonal Inkasso gewährleistet die schriftliche Bestellung eines betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Der Datenschutzbeauftragte wird unaufgefordert durch den IT-Verantwortlichen oder durch die Geschäftsleitung über Neuerungen informiert, welche für die Verarbeitung personenbezogener Daten von Relevanz sein könnten. Ob und inwieweit neue Verfahren im Fokus des Datenschutzbeauftragten liegen, wird ausschließlich vom Datenschutzbeauftragten selbst bzw. von den von Ihm beauftragten Personen ermittelt.

Der Datenschutzbeauftragte ist über den geplanten Einsatz neuer Verfahren so frühzeitig zu informieren, dass bereits vor Vertragsabschluss oder vor einem geplanten Inbetriebnahme-Datum eine entsprechende Überprüfung stattfinden kann, ob der Betrieb entsprechender neuer Verfahren konform zu den Rechtsvorschriften des Datenschutzes realisierbar ist. Der Datenschutzbeauftragte nimmt nach Prüfung des Sachverhalts Stellungnahme zu der geplanten Einführung neuer Verfahren. Soweit der Datenschutzbeauftragte zum Schluss kommt, dass ein Verfahren der automatisierten Verarbeitung nicht datenschutzkonform realisiert werden kann, wird das Verfahren nicht durchgeführt oder eingesetzt. Zur Klärung von Sachverhalten des Datenschutzes ist jeder Mitarbeiter uneingeschränkt verpflichtet, Fragen des Datenschutzbeauftragten wahrheitsgemäß zu beantworten und ihn bei seiner Tätigkeit nach besten Möglichkeiten zu unterstützen.

Soweit ein Datenschutzverstoß eingetreten ist oder es sich auch möglicherweise um einen Verstoß gegen datenschutzrechtliche Bestimmungen handeln könnte, sind unverzüglich Geschäftsleitung und Datenschutzbeauftragter zu verständigen.

Der Datenschutzbeauftragte nimmt die in der DSGVO für ihn festgelegten Aufgaben wahr. Diese sind insbesondere (Art. 39 (1) DSGVO):

a)

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b)

Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c)

Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;

d)

Zusammenarbeit mit der Aufsichtsbehörde;

e)

Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO und gegebenenfalls Beratung zu allen sonstigen Fragen;

f)

Der Datenschutzbeauftragte unterstützt darüber hinaus die Verantwortliche Stelle bei der Erstellung von Verzeichnissen der automatisierten Verarbeitung nach Art. 30 DSGVO sowie bei der Durchführung von Datenschutzfolgenabschätzungen nach Art. 35 DSGVO.

5. Verfahren bei Verstössen gegen den Datenschutz

Beschwerden zum Datenschutz sind unverzüglich dem betrieblichen Datenschutzbeauftragten weiterzuleiten. Ebenfalls ist der Datenschutzbeauftragte über Verstöße gegen den Datenschutz und über mögliche Gefährdungen der Datensicherheit unverzüglich zu unterrichten.

Soweit ein meldepflichtiger Vorfall identifiziert wird, wird dieser innerhalb der gesetzlich vorgeschriebenen Frist (max. 72 Stunden) jedoch besser unverzüglich der zuständigen Aufsichtsbehörde gemeldet. Bestehen Zweifel darüber, ob es sich um einen meldepflichtigen Vorfall handelt, wird die entsprechende Fragestellung im Dialog zwischen Datenschutzbeauftragtem und der Leitung der Verantwortlichen Stelle besprochen. Das Ergebnis der Besprechung ist schriftlich festzuhalten und den Dokumentationen zum Datenschutz beizufügen.

Diagonal Inkasso verpflichtet sich zur umgehenden Meldung von Datenschutzverstößen auch gegenüber ihren Mandanten, deren Auftragsverhältnisse zu Diagonal Inkasso betroffen sind oder betroffen sein könnten.

Jetzt anmelden!

Deine Privatsphäre ist uns wichtig

Diagonal Inkasso GmbH verpflichtet sich, Deine Privatsphäre zu schützen und zu respektieren. Wir nutzen Deine personenbezogenen Daten nur zur Verwaltung Deines Kontos und zur Bereitstellung der von Dir angeforderten Produkte und Dienstleistungen.

Zusätzliche Benachrichtigungen

Von Zeit zu Zeit möchten wir Dich über unsere Produkte und Dienstleistungen, sowie andere Inhalte, die für Dich von Interesse sein könnten, informieren. Um Dir die gewünschten Inhalte bereitzustellen, müssen wir Deine personenbezogenen Daten speichern und verarbeiten. Du hast die Möglichkeit Dein von Dir gegebenes Einverständnis bei Bedarf jederzeit einzustellen und damit weitere Benachrichtigungen zu deaktivieren. 

Weitere Informationen zum Abbestellen, zu unseren Datenschutzverfahren und dazu, wie wir Deine Privatsphäre schützen und respektieren, findest Du in unseren Datenschutzrichtlinien.