Artikel 13 und 14 DSGVO am Beispiel eines Inkasso Büros

Zuletzt aktualisiert am 7. April 2026

Detaillierte Betrachtung der Informationspflichten

Pflichtinformationen nach Artikel 13 DSGVO

Bei der Direkterhebung – also wenn der Gläubiger seine Daten beim Inkasso-Büro hinterlegt – muss das Inkasso-Unternehmen folgende Informationen bereitstellen:

• Name und Kontaktdaten des Verantwortlichen (des Inkasso-Büros)
• Kontaktdaten des Datenschutzbeauftragten, sofern vorhanden
• Zwecke und Rechtsgrundlage der Verarbeitung
• Empfänger oder Kategorien von Empfängern der Daten
• Dauer der Datenspeicherung bzw. Kriterien für die Festlegung
• Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit)
• Beschwerderecht bei der Aufsichtsbehörde

Pflichtinformationen nach Artikel 14 DSGVO

Bei der Kontaktaufnahme mit dem Schuldner – einer indirekten Datenerhebung – gelten erweiterte Informationspflichten. Zusätzlich zu den Angaben nach Art. 13 muss das Inkasso-Büro den Schuldner über Folgendes informieren:

• Aus welcher Quelle die personenbezogenen Daten stammen (in der Regel vom Gläubiger)
• Welche Kategorien personenbezogener Daten verarbeitet werden
• Das berechtigte Interesse, auf dem die Verarbeitung basiert

Diese Information muss gemäß Art. 14 Abs. 3 DSGVO spätestens innerhalb eines Monats nach Erhalt der Daten erfolgen – oder bereits bei der ersten Kontaktaufnahme mit dem Schuldner.

Praktische Umsetzung im Inkassoverfahren

In der Praxis empfiehlt es sich, die Datenschutzinformationen bereits im ersten Mahnschreiben an den Schuldner beizufügen. Viele Inkasso-Unternehmen verwenden dafür standardisierte Datenschutzhinweise, die dem Mahnschreiben als Anlage beigelegt werden.

Ein häufiger Fehler ist dabei die Verwendung zu allgemeiner Formulierungen. Die DSGVO verlangt eine transparente, verständliche und leicht zugängliche Information. Juristische Fachsprache oder verschachtelte Formulierungen können die Informationspflicht verletzen und zu Beanstandungen durch die Aufsichtsbehörde führen.

Rechtsgrundlagen der Datenverarbeitung im Inkassowesen

Die Verarbeitung personenbezogener Daten durch Inkasso-Unternehmen stützt sich auf mehrere Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung – wenn ein Vertrag zwischen Gläubiger und Inkasso-Unternehmen besteht
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse – die Durchsetzung einer Forderung stellt ein berechtigtes Interesse dar (vgl. Erwägungsgrund 47)
• Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung – etwa bei Meldepflichten gegenüber Behörden

Ein externer Datenschutzbeauftragter kann Inkasso-Unternehmen dabei unterstützen, die korrekte Rechtsgrundlage für jede einzelne Verarbeitungstätigkeit zu identifizieren und im Verarbeitungsverzeichnis zu dokumentieren.

Häufige Datenschutzverstöße im Inkassowesen

Die Praxis zeigt, dass Inkasso-Unternehmen besonders häufig gegen folgende Datenschutzvorschriften verstoßen:

1. Unzureichende Datenschutzinformationen: Fehlende oder unvollständige Informationen nach Art. 13/14 DSGVO
2. Übermäßige Datenerhebung: Erhebung von mehr Daten als für die Forderungsdurchsetzung erforderlich
3. Fehlende Löschfristen: Aufbewahrung personenbezogener Daten über den erforderlichen Zeitraum hinaus
4. Weitergabe an Dritte: Unberechtigte Weitergabe von Schuldnerdaten an Auskunfteien oder andere Dritte
5. Mangelnde Datensicherheit: Unzureichende technisch-organisatorische Maßnahmen beim Umgang mit Schuldnerdaten

Betroffenenrechte im Inkassoverfahren

Sowohl Gläubiger als auch Schuldner haben umfassende Betroffenenrechte nach der DSGVO. Besonders relevant im Inkassokontext sind:

Auskunftsrecht (Art. 15 DSGVO): Jeder Betroffene kann Auskunft über die zu seiner Person gespeicherten Daten verlangen. Das Inkasso-Unternehmen muss innerhalb eines Monats vollständig antworten.

Recht auf Löschung (Art. 17 DSGVO): Nach Begleichung der Forderung und Ablauf etwaiger Aufbewahrungsfristen müssen die Daten des Schuldners gelöscht werden.

Widerspruchsrecht (Art. 21 DSGVO): Betroffene können der Verarbeitung aus Gründen ihrer besonderen Situation widersprechen. Das Inkasso-Unternehmen muss dann nachweisen, dass zwingende schutzwürdige Gründe für die Verarbeitung vorliegen.

Bei Fragen zur datenschutzkonformen Gestaltung von Inkassoverfahren unterstützt Sie die DATUREX GmbH aus Dresden mit einer umfassenden DSGVO-Beratung. Wir helfen Ihnen, die Informationspflichten korrekt umzusetzen und Ihre Prozesse rechtssicher zu gestalten.

Datensicherheit im Inkassoverfahren

Inkasso-Unternehmen verarbeiten regelmäßig sensible personenbezogene Daten, darunter Finanzdaten, Kontoinformationen und teilweise auch Gesundheitsdaten (etwa bei Forderungen aus medizinischen Behandlungen). Dies erfordert besonders strenge Sicherheitsmaßnahmen.

Technische Anforderungen

Die IT-Systeme von Inkasso-Unternehmen müssen dem Stand der Technik entsprechen. Dazu gehören:

• Verschlüsselung: Alle Schuldnerdaten müssen verschlüsselt gespeichert werden. Die Kommunikation mit Gläubigern und Schuldnern sollte über verschlüsselte Kanäle erfolgen.
• Zugriffskontrollen: Nur autorisierte Mitarbeiter dürfen auf Schuldnerdaten zugreifen. Ein Rollen- und Rechtekonzept muss implementiert sein.
• Protokollierung: Alle Zugriffe auf personenbezogene Daten müssen protokolliert werden, um Missbrauch erkennen und nachvollziehen zu können.
• Datensicherung: Regelmäßige Backups und ein getesteter Wiederherstellungsplan sind wichtig.

Organisatorische Anforderungen

Neben technischen Maßnahmen sind auch organisatorische Vorkehrungen erforderlich:

• Regelmäßige Schulung der Mitarbeiter zum Umgang mit personenbezogenen Daten
• Verpflichtung aller Mitarbeiter auf das Datengeheimnis
• Klare Prozesse für die Ausübung von Betroffenenrechten
• Regelmäßige interne Audits der Datenschutzprozesse

Löschfristen und Aufbewahrungspflichten

Die Festlegung korrekter Löschfristen ist im Inkassowesen besonders komplex, da verschiedene gesetzliche Aufbewahrungspflichten zu beachten sind:

• Handelsrechtliche Aufbewahrung (§ 257 HGB): Geschäftsbriefe und Buchungsbelege müssen 6 bzw. 10 Jahre aufbewahrt werden
• Steuerrechtliche Aufbewahrung (§ 147 AO): Steuerlich relevante Unterlagen müssen 6 bzw. 10 Jahre aufbewahrt werden
• Zivilrechtliche Verjährung (§ 195 ff. BGB): Die regelmäßige Verjährungsfrist beträgt 3 Jahre, bei titulierten Forderungen 30 Jahre

Nach Ablauf aller relevanten Fristen müssen die personenbezogenen Daten unverzüglich gelöscht werden. Ein automatisiertes Löschkonzept mit regelmäßiger Überprüfung ist daher wichtig.

Auftragsverarbeitung im Inkassowesen

Wenn ein Gläubiger ein Inkasso-Unternehmen beauftragt, stellt sich die Frage, ob es sich um eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO handelt. Die herrschende Meinung geht davon aus, dass Inkasso-Unternehmen als eigenständige Verantwortliche im Sinne der DSGVO agieren, da sie die Forderungsdurchsetzung eigenverantwortlich und weisungsunabhängig durchführen. Dennoch empfiehlt es sich, die datenschutzrechtliche Rollenverteilung vertraglich klar zu regeln.

Informationspflichten nach Art. 13 und Art. 14 DSGVO im Detail

Pflichtangaben nach Art. 13 DSGVO bei Direkterhebung

Wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden, muss der Verantwortliche folgende Informationen zum Zeitpunkt der Erhebung mitteilen:

• Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
• Kontaktdaten des Datenschutzbeauftragten
• Zwecke und Rechtsgrundlage der Verarbeitung
• Berechtigte Interessen des Verantwortlichen oder eines Dritten (bei Art. 6 Abs. 1 lit. f DSGVO)
• Empfänger oder Kategorien von Empfängern der Daten
• Absicht zur Datenübermittlung in Drittländer und die dabei angewandten Garantien
• Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
• Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
• Recht auf Widerruf einer erteilten Einwilligung
• Beschwerderecht bei einer Aufsichtsbehörde
• Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist
• Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Besonderheiten bei Art. 14 DSGVO — Daten aus Drittquellen

Art. 14 DSGVO regelt die Informationspflichten für den Fall, dass personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden. Dies ist typischerweise der Fall bei Inkassounternehmen, Auskunfteien, Adresshändlern oder bei der Datenübernahme im Rahmen von Unternehmensübernahmen.

Zusätzlich zu den Angaben nach Art. 13 DSGVO muss der Verantwortliche in diesem Fall informieren über die Kategorien der verarbeiteten personenbezogenen Daten und die Quelle, aus der die personenbezogenen Daten stammen, und ob es sich um eine öffentlich zugängliche Quelle handelt.

Die Information muss innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats nach Erlangung der Daten erfolgen. Werden die Daten zur Kommunikation mit der betroffenen Person verwendet, muss die Information spätestens zum Zeitpunkt der ersten Kontaktaufnahme erfolgen.

Praxisbeispiel: Informationspflichten im Inkassowesen

Das Inkassowesen ist ein besonders praxisrelevantes Beispiel für die Anwendung der Art. 13 und 14 DSGVO. Der Gläubiger, der ein Inkassounternehmen beauftragt, muss sicherstellen, dass seine Datenschutzhinweise nach Art. 13 DSGVO die Weitergabe an Inkassounternehmen als mögliche Empfänger benennen.

Das Inkassounternehmen seinerseits erhält die Daten des Schuldners vom Gläubiger und ist daher nach Art. 14 DSGVO verpflichtet, den Schuldner umfassend zu informieren. In der Praxis erfolgt dies üblicherweise im ersten Anschreiben an den Schuldner. Dabei muss das Inkassounternehmen insbesondere Folgendes angeben:

• Woher die personenbezogenen Daten des Schuldners stammen (in der Regel: vom Gläubiger)
• Welche Datenkategorien verarbeitet werden (Name, Anschrift, Forderungsdaten)
• Die Rechtsgrundlage der Verarbeitung (berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO)
• Mögliche weitere Empfänger (z. B. Wirtschaftsauskunfteien wie die SCHUFA)

Ausnahmen von den Informationspflichten

Art. 14 Abs. 5 DSGVO sieht begrenzte Ausnahmen von den Informationspflichten vor. Die Information kann unterbleiben, wenn die betroffene Person bereits über die Informationen verfügt, die Erteilung der Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, oder wenn die Datenerhebung durch nationales Recht ausdrücklich geregelt ist. Diese Ausnahmen sind jedoch eng auszulegen.

Konsequenzen bei Verstößen gegen die Informationspflichten

Verstöße gegen die Informationspflichten nach Art. 13 und 14 DSGVO können mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden. Außerdem können betroffene Personen Schadensersatzansprüche nach Art. 82 DSGVO geltend machen.

Praktische Umsetzung: Datenschutzhinweise richtig gestalten

Um die Informationspflichten rechtssicher umzusetzen, sollten Unternehmen folgende Punkte beachten:

• Verständliche Sprache: Die Informationen müssen in klarer und einfacher Sprache formuliert sein (Art. 12 DSGVO).
• Leichte Zugänglichkeit: Datenschutzhinweise sollten leicht auffindbar sein — auf Websites etwa durch einen dauerhaft sichtbaren Link.
• Vollständigkeit: Alle gesetzlich geforderten Angaben müssen enthalten sein.
• Aktualität: Datenschutzhinweise müssen bei Änderungen der Verarbeitungstätigkeiten aktualisiert werden.
• Dokumentation: Im Rahmen der Rechenschaftspflicht sollte dokumentiert werden, wann und wie die Information erfolgt ist.

Die DATUREX GmbH unterstützt Unternehmen bei der Erstellung und Überprüfung datenschutzkonformer Informationspflichten. Ein professionelles Datenschutzkonzept bildet die Grundlage für die rechtssichere Umsetzung aller Anforderungen der DSGVO. Kontaktieren Sie unseren externen Datenschutzbeauftragten für eine unverbindliche Beratung.