Am Montag, den 25. Mai 2020, sind zwei Jahre seit dem Inkrafttreten der RODO-Verordnung vergangen. In diesem Zeitraum hat der Präsident von UODO denjenigen, die gegen die Bestimmungen von RODO verstoßen, Folgendes mitgeteilt Bußgelder in Höhe von 20 Tausend PLN bis fast 3 Millionen PLN. Erwähnenswert ist auch, dass eine der Inspektionen bezüglich der Einhaltung der RODO mit dem Verdacht auf eine Straftat nach Artikel 108 Absatz 1 des Gesetzes über den Schutz personenbezogener Daten endete. Die Bezirksstaatsanwaltschaft in Katowice hat in diesem Fall bereits eine Anklage gegen den Präsidenten des geprüften Unternehmens bei Gericht eingereicht.
Als die RODO in Kraft trat, wurde vermutet, dass zunächst diejenigen Unternehmen mit Sanktionen rechnen müssen, die keine Schritte zur Einhaltung der neuen Vorschriften unternommen haben. Inzwischen werden auch Unternehmen bestraft, die sich irrtümlich an die RODO gehalten haben oder Verstöße und Fahrlässigkeit begehen - Beispiele sind die Verfahren gegen zwei Gesellschaften mit beschränkter Haftung aus der Internet-Vertriebsbranche und ein Business Intelligence-Unternehmen. Interessanterweise betraf eines der ersten Bußgeldverfahren ein Unternehmen, das mit einer Reihe von Unternehmen der Factoring-Branche zusammenarbeitete.
Welche möglichen Fehler machen Factoring-Unternehmen bei der Anwendung der RODO-Vorschriften? Ich habe mir erlaubt, einige davon aufzulisten subjektiv Einblicke.
- Informationspflicht
Gemäß Artikel 12 Absatz 1 Satz 2 der RODO ist die Standardform für die Unterrichtung der betroffenen Personen die Schriftform. Die RODO sieht jedoch auch die Möglichkeit vor, andere, nicht näher spezifizierte Mittel - einschließlich elektronischer Mittel - zu verwenden. Zweifellos ist die Informationspflicht nach den Artikeln 13-14 RODO eine der wichtigsten Verpflichtungen der RODO für Factoring-Unternehmen. In diesem Bereich sind einige Versäumnisse zu verzeichnen. Welche sind das?
Intransparente und schwer zugängliche Nachrichten
Die Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in erster Linie für die betroffene Person bestimmt sein jederzeit verfügbar. Das bedeutet, dass man instinktiv wissen sollte, wo und wie man die Informationen abrufen kann, ohne unnötigerweise die gesamte Website zu durchforsten. Viele Factoring-Unternehmen trennen ihre Datenschutzinformationen nicht von ihrer Datenschutzerklärung. Das Ergebnis ist eine "Textwand", in der es nicht einfach ist, Informationen über die Verarbeitung personenbezogener Daten zu finden. Diejenigen, die sich dazu entschließen, sollten den Punkt, an dem die Datenschutzinformationen beginnen, deutlich hervorheben, z. B. durch Fettdruck und Vergrößerung der Schriftart des Textes.
Verwendung zweideutiger Formulierungen
Datenschutzinformationen sollten nicht nur für die betroffene Person leicht zugänglich sein, sondern auch klar, verständlich und in einfacher Sprache formuliert sein - eine allzu legalistische, spezialisierte oder technische Sprache sollte nicht verwendet werden, wie es in der Praxis einiger Unternehmen zu beobachten ist. Gemäß den Leitlinien der Artikel-29-Datenschutzgruppe zur Transparenz im Rahmen der Verordnung (EU) 2016/679 sollte die Verwendung zweideutiger Begriffe von vornherein eingeschränkt werden. Entscheiden sich die für die Verarbeitung Verantwortlichen für mehrdeutige Formulierungen, müssen sie nach dem Grundsatz der Rechenschaftspflicht in der Lage sein, nachzuweisen, warum die Verwendung einer solchen Formulierung nicht vermieden werden konnte und dass sie die Verarbeitung nach Treu und Glauben nicht beeinträchtigt.
fehlende Kategorisierung der Informationen auf der Ebene der verschiedenen Akteure
Betrachtet man die Praxis der Factoring-Gesellschaften hinsichtlich der Bereitstellung von Datenschutzinformationen, so ist festzustellen, dass viele von ihnen Informationen über nicht näher bezeichnete Rechtssubjekte bereitstellen - es wird nicht unterschieden, welche Gruppe von Rechtssubjekten, die mit der Factoring-Dienstleistung in Kontakt stehen, die fraglichen Informationen betreffen. Ein Factoring-Geschäft kann die Verarbeitung personenbezogener Daten nicht nur des Factors (Verkäufers), sondern auch seiner Vertreter und Angestellten, des Factoring-Empfängers (Kontrahenten) und seiner Angestellten, die als Ansprechpartner für die Saldenbestätigung angegeben sind, und sogar von Bürgen, Ehegatten des Factors usw. beinhalten. Es ist nicht möglich, all diese Informationen in einer einzigen Mitteilung "unterzubringen", ohne auf die Unterschiede hinzuweisen (sowohl die Zwecke der Verarbeitung als auch die Art und Weise, wie die Daten beschafft werden). Es ist ratsam, mehrere Informationen zusammenzustellen. Natürlich kann man darüber streiten, wie viel von all diesen Informationen auf der Website des Anbieters stehen sollte. Diese Frage ist umstritten. Unbestritten ist jedoch, dass es wichtig ist, die Verfügbarkeit allgemeiner Informationen für jeden Rechteinhaber zu gewährleisten. Wenn also beispielsweise die Erklärung eines Schuldscheinbürgen auf der Rückseite Informationen über die Verarbeitung der personenbezogenen Daten des Bürgen enthält, ist dies in Ordnung. Allerdings kann man sich immer die Frage stellen, ob man noch mehr tun kann. Es scheint, dass es zur Wahrung eines Sicherheitspuffers (es besteht immer das Risiko, dass Informationen über die Verarbeitung personenbezogener Daten irgendwo vergessen werden) nicht besser ist, alle Kategorien von Mitteilungen auf der Homepage des Factors in einer speziellen Registerkarte für die Verarbeitung personenbezogener Daten zur Verfügung zu stellen. Meiner Meinung nach ist eine solche Lösung nicht nur sicher und transparent, sondern auch bequem, da im Falle einer Änderung (Aktualisierung) des Inhalts der Mitteilung der Zugang der Rechtsinhaber zum aktuellen Inhalt stets gewährleistet ist. Daher lohnt es sich, in der Mitteilung festzulegen, dass der aktuelle Inhalt der Mitteilung immer in einer speziellen Registerkarte auf der Website verfügbar ist und der aktuelle Inhalt der Mitteilung dort aufbewahrt wird.
Wegfall von Artikel 14 der RODO
Einige Akteure übersehen den unterschiedlichen Inhalt der Bestimmungen der Artikel 13 bis 14 RODO und ignorieren die Verpflichtung nach Artikel 14 RODO, wobei sie insbesondere die Situation vergessen, in der personenbezogene Daten von Dritten (z. B. von einem Vermittler) erhalten werden. Dies ist auch auf der Ebene des RCP zu beobachten.
- Übersehen von Änderungen der Vorschriften und Richtlinien
RODO und ein langes Nichts? Nicht unbedingt. Nachdem RODO in Kraft getreten ist, ist die Gesetzgebung nicht stehen geblieben. Es wurde ein neues Datenschutzgesetz verabschiedet, das durch das Gesetz vom 21.02.2019 geändert wurde. Eine Reihe von Leitlinien, Klarstellungen und Stellungnahmen wurden herausgegeben. Viele von ihnen klärten am 25.05.2020 unbekannte Fragen auch im Bereich der Kommunikation, der Websites, der Datenverarbeitung in bestimmten Bereichen. Darüber hinaus sind neue rechtliche Lösungen als Methode/Quelle der permanenten Datenverarbeitung entstanden - z.B. Weiße Liste der Steuerpflichtigen, Zentrales Register der tatsächlichen Begünstigten, etc. Die Dokumentation und das Verfahren sollten den Stand der Technik berücksichtigen, nicht nur den Stand vom 25.05.2018.
- Unterlassung einer Datenverarbeitungs-Folgenabschätzung (DPiA)
Die RODO verlangt von den für die Verarbeitung Verantwortlichen die Durchführung einer Datenschutz-Folgenabschätzung (DPiA), wenn die betreffende Art der Verarbeitung "ein hohes Risiko der Verletzung der Rechte oder Freiheiten von Personen mit sich bringen kann". Der Zweck der DPIA ist die systematische Analyse neuer Situationen, die zu einem hohen Risiko von Verletzungen der Rechte und Freiheiten des Einzelnen führen könnten. Ein beträchtlicher Teil der Fabriken hat keine DPiA durchgeführt, einige haben sie im Rahmen der Umsetzung von RODO durchgeführt. Der Bankensektor, der diese Fragen umfassend bewertete, wie ein stark regulierter Sektor, sieht hier besser aus.
Am 8.07.2019 wurde die PUODO-Mitteilung vom 17.06.2019 über die Liste der Arten von Verarbeitungen personenbezogener Daten, die eine Bewertung der Auswirkungen der Verarbeitung auf den Schutz dieser Daten erfordern, veröffentlicht. Wir haben darüber auf dem Blog geschrieben hier. Anhand dieser Liste können Factoring-Unternehmen beurteilen, welche ihrer Tätigkeiten zur Verarbeitung personenbezogener Daten eine solche Analyse erfordern.
Factoring-Unternehmen sollten bei der DPIA-Analyse die folgenden Aktivitäten berücksichtigen:
- die automatische Bewertung der finanziellen Leistungsfähigkeit des KundenSie nutzen künstliche Intelligenz und so genannte Scoring-Maschinen und verlangen die Offenlegung von Daten, die nicht unmittelbar mit der Beurteilung der finanziellen Leistungsfähigkeit zusammenhängen;
- Konditionierung der Finanzierungs-/Factoring-Limitentscheidung auf der Grundlage von Informationen aus Schuldnerinformationsdatenbanken oder ähnlichen Datenbanken;
- Kundenprofilierung - insbesondere auf der Grundlage von Aspekten, die sich auf die wirtschaftliche Lage, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder die Bewegungen der betroffenen Person beziehen. Sie gilt auch für das indirekte Profiling, bei dem eine Person/Kunde aufgrund ihrer Zugehörigkeit zu einer bestimmten Gruppe beurteilt wird und ihr deshalb günstigere Konditionen angeboten werden.
- die Funktionsweise der Systeme zur Meldung von Missständen (Whistleblowing) - insbesondere bei der Verarbeitung von Arbeitnehmerdaten, vor allem in großem Umfang und auf elektronischem Wege;
- Sammlung von Daten über aufgerufene Seiten, durchgeführte Banktransaktionen, Einkäufe in Online-Shops und anschließende Analyse dieser Daten, um ein Profil der Person zu erstellen;
- Überwachung der Arbeitszeit der Mitarbeiter und den Informationsfluss in den von ihnen verwendeten Instrumenten (E-Mail, Internet);
- Überwachung des Mitarbeiterstandorts insbesondere im Zusammenhang mit der Arbeit von zu Hause aus und aus der Ferne;
- Verarbeitung biometrischer Daten zum alleinigen Zweck der Identifizierung einer Person oder der Zugangskontrollez. B. Gesichtserkennungssysteme, Identitätsüberprüfung am Arbeitsplatz zur Zugangskontrolle, Identitätsüberprüfung in Geräten/Apps (einschließlich Sprach-, Fingerabdruck- und Gesichtserkennung);
- Nutzung von Anwendungen mit Kommunikationsfunktionen und Software zum Austausch von Informationen mit der unmittelbaren Umgebung und aus der Ferne über ein Telekommunikationsnetz - d. h. die Verwendung von Geräten mit unterschiedlichen Schnittstellen (Lautsprecher, Mikrofon, Kamera) sowie von Software und Kommunikationssystemen die die Übertragung von Daten über Telekommunikationsnetze ermöglichen.
Jedes Unternehmen sollte daher prüfen, ob es die oben genannten Lösungen einsetzt und ob es diese von der DPiA bewerten lassen sollte.
- RODO implementieren und... nichts tun
Einige Unternehmen haben nach dem 25.05.2018 nichts mehr unternommen und sind bei den Bemühungen vor Inkrafttreten der Rechtsvorschriften stehen geblieben. Einige Unternehmen aktualisieren nicht einmal ihr RCP. In der Zwischenzeit sollten die Maßnahmen, die vor der Einrichtung zur Gewährleistung der Sicherheit der Verarbeitung getroffen wurden, regelmäßig auf ihre Wirksamkeit überprüft und aktualisiert werden, wie aus Artikel 24 Abs. 1 RODO hervorgeht, der eindeutig besagt, dass die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu treffen sind. 1 RODO, der eindeutig besagt, dass die getroffenen technischen und organisatorischen Maßnahmen bei Bedarf überprüft und aktualisiert werden sollten.
Zumindest sollten Unternehmen - insbesondere solche, die Daten in großem Umfang verarbeiten - ihre Prozesse und Verfahren sowie die verwendeten Vorlagen mit den oben erörterten Änderungen und Leitlinien aktualisieren, Dokumente (einschließlich RCP) aktualisieren, Schulungen durchführen, regelmäßige Audits und Überprüfungen vornehmen, neue Maßnahmen und Lösungen im Einklang mit der RODO anwenden und eine Bewertung im Rahmen des DPiA durchführen. Um Fehler zu vermeiden, die zur Verhängung eines Bußgeldes durch den Präsidenten des DPiA gegen den Datenverarbeiter führen können, lohnt es sich, eine ein Audit zur Einhaltung der DSGVO, um aufzuzeigen, wie und welche personenbezogenen Daten von der Einrichtung verarbeitet werden. Es ist besonders vorteilhaft, Audits und Überprüfungen im Abstand von 1 bis 2 Jahren durchzuführen, was dazu beiträgt, Fehler aufzuspüren, sie zu korrigieren und die Einhaltung von RODO zu gewährleisten, da es in einem zuverlässigen Compliance-System funktionieren sollte. Ein wichtiges, wenn auch nicht obligatorisches Element der RODO-Prüfung ist die Abbildung der Datenverarbeitungsprozesse, durch die die Einrichtung u. a. Informationen darüber erhält, auf welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden und wem sie anvertraut sind. Dies trägt zu einer effizienteren Erstellung des RCP bei, den der für die Verarbeitung Verantwortliche gemäß Artikel 30 RODO zu führen hat und für den er verantwortlich ist.
- Zusammenfassung
Die zahlreichen regulatorischen Änderungen, die in den letzten Jahren in der Factoring-Branche vorgenommen wurden, sollten keine Entschuldigung dafür sein, dass Factoring-Unternehmen ihr System zur Verarbeitung personenbezogener Daten nicht bewerten, aktualisieren und verbessern. Ein solides Compliance-System (dessen Schaffung durch die Änderungen der letzten Jahre erzwungen wurde) setzt voraus, dass die Verarbeitung personenbezogener Daten ein proaktives System ist und dass festgestellte Fehler unverzüglich behoben werden. In den ersten beiden Jahren der Geltungsdauer von RODO konnten einige dieser Fehler behoben werden, so dass dies ist ein hervorragender Zeitpunkt für die Prüfung/Überprüfung der verwendeten Verfahren und Dokumentedie wir fördern, auch Inanspruchnahme externer Hilfe. In diesem Fall ist die Kenntnis der Besonderheiten der Factoring-Branche wichtig, da bei der Verarbeitung personenbezogener Daten im Rahmen des Factoring-Prozesses die besonderen Merkmale einer solchen Transaktion im Zusammenhang mit der Abtretung und der Beteiligung verschiedener Akteure in verschiedenen Phasen berücksichtigt werden müssen.
Der Text lässt bewusst die nach wie vor höchst fragwürdige Frage der Verarbeitung personenbezogener Daten von Teilnehmern an Factoring-Geschäften im Rahmen der stilles Factoring.
Die vorstehende Bewertung ist subjektiver Natur und resultiert aus der eigenen Einschätzung des Textautors zu den RODO-Lösungen im Hinblick auf die Factoring-Branche.