---
name: datenschutz-debitorendaten-dsgvo-informationspflichten
description: "Datenschutz Debitorendaten DSGVO Informationspflichten: prüft die einschlägigen Voraussetzungen, Dokumente, Risiken und Ausnahmen. Norm-/Quellenanker: KWG § 1 Abs. 1a Satz 2 Nr. 9, § 32 KWG, BaFin-Merkblatt Factoring, BGB §§ 398 ff., HGB § 354a, ZAG, GwG, DSGVO im Factoring Recht."
---

# Datenschutz Debitorendaten DSGVO Informationspflichten

## Arbeitsbereich

Datenschutz Debitorendaten DSGVO Informationspflichten: prüft die einschlägigen Voraussetzungen, Dokumente, Risiken und Ausnahmen. Norm-/Quellenanker: KWG § 1 Abs. 1a Satz 2 Nr. 9, § 32 KWG, BaFin-Merkblatt Factoring, BGB §§ 398 ff., HGB § 354a, ZAG, GwG, DSGVO. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: StaRUG §§ 1, 29, 31, 39, 49-55, 84, 102, IDW S 6, IDW S 11, InsO § 270 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Fachkern: Datenschutz Debitorendaten DSGVO Informationspflichten
- **Normen-/Quellenanker:** BGB Forderungsabtretung, HGB, KWG/ZAG-Erlaubnisfragen, InsO-Anfechtung, Factoringvertrag, Debitorenmanagement, Datenschutz und Geldwäsche.
- **Entscheidende Weiche:** Echtes/unechtes Factoring, Forderungsbestand, Abtretbarkeit, Einwendungen, Debitoreninformation, Insolvenzrisiko und Refinanzierung trennen.
- **Arbeitsprodukt:** Erzeuge eine konkrete Prüf- oder Entscheidungsmatrix mit Norm, Tatbestand, Beleg, Einwand, Risikoampel und nächstem Schritt; Anschluss-Skills nur bei echter Vertiefung nennen.

## Worum geht es konkret

Beim Forderungsverkauf werden **personenbezogene Daten** der Debitoren mit übertragen: Name, Adresse, Bankverbindung, Zahlungsverhalten, gegebenenfalls Krankendaten (bei Gesundheits-Factoring), Sozialdaten. Diese Datenweitergabe ist eine **Verarbeitung im Sinne der DSGVO** und benötigt eine Rechtsgrundlage. Häufig genutzt: Art. 6 Abs. 1 lit. b (Vertragsdurchführung) und Art. 6 Abs. 1 lit. f (berechtigtes Interesse). Beim Factor entsteht eine **neue Verantwortlichkeit** im Sinne von Art. 4 Nr. 7 DSGVO – mit eigenen Informationspflichten gegenüber dem Debitor (Art. 14 DSGVO).

Dieser Skill behandelt: Rechtsgrundlagen, Informationspflichten, Auftragsverarbeitung versus Joint Controllership, Datenexport bei Auslandsfactoring, Löschpflichten, Betroffenenrechte und die DSGVO-Spezialfälle Bonitätsbewertung und Inkasso.

## Wann dieses Modul hilft / Kaltstart-Fragen

- Sie strukturieren ein neues Factoring und müssen das DSGVO-Konzept aufsetzen.
- Ein Debitor verlangt nach Abtretungsanzeige Auskunft nach Art. 15 DSGVO.
- Bei Auslandsfactoring stellt sich die Frage Datentransfer in Drittländer (Art. 44 ff. DSGVO).
- Bei Gesundheits-Factoring greifen besondere Datenkategorien nach Art. 9 DSGVO.

Fragen zum Einstieg:
- Welche Daten werden übertragen (Stammdaten, Bonität, sensible Daten)?
- Sind Debitoren natürliche Personen (DSGVO greift) oder juristische Personen (eingeschränkt)?
- Erfolgt ein Datentransfer ins Ausland?
- Gibt es schon Datenschutzhinweise des Kunden, die den Factor erwähnen?
- Ist ein Datenschutzbeauftragter beim Factor bestellt?

## Rechtlicher Rahmen

- **DSGVO Art. 4 Nr. 7**: Verantwortlicher – natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung entscheidet. Factor ist eigenständig verantwortlich.
- **DSGVO Art. 6 Abs. 1 lit. b**: Verarbeitung zur Vertragserfüllung.
- **DSGVO Art. 6 Abs. 1 lit. f**: Verarbeitung aufgrund berechtigter Interessen (Forderungsdurchsetzung).
- **DSGVO Art. 9**: Besondere Kategorien (Gesundheitsdaten beim Forderungskauf von Ärzten, Krankenhäusern).
- **DSGVO Art. 13, 14**: Informationspflichten – bei Erhebung beim Betroffenen (Art. 13), bei Erhebung aus Dritter Quelle (Art. 14, also typische Factor-Konstellation).
- **DSGVO Art. 15**: Auskunftsrecht des Betroffenen.
- **DSGVO Art. 17**: Recht auf Löschung.
- **DSGVO Art. 28**: Auftragsverarbeitung (bei Inkasso-Dienstleistern).
- **DSGVO Art. 44 ff.**: Drittlandtransfer.
- **BDSG § 31**: Scoring – Voraussetzungen für Bonitätsbewertung.
- **§ 203 StGB**: Geheimnisschutz bei Berufsgeheimnisträgern (Ärzte, Anwälte) – bei Factoring von Honorarforderungen relevant.

## / Schritt für Schritt

1. **Datenkatalog erstellen**: Welche Datenkategorien werden vom Kunden auf den Factor übertragen?
2. **Verantwortlichkeit klären**: Verkäufer und Factor sind in der Regel jeweils eigenständig Verantwortliche, keine Auftragsverarbeitung.
3. **Rechtsgrundlage festlegen**: Art. 6 Abs. 1 lit. b/f; bei sensiblen Daten Art. 9.
4. **Informationspflichten erfüllen**: Art. 14 DSGVO – binnen vier Wochen nach Datenerhebung Information an Debitor (typischerweise integriert in Abtretungsanzeige).
5. **Betroffenenrechte abbilden**: Prozess für Auskunft, Berichtigung, Löschung, Widerspruch.
6. **Auftragsverarbeitung prüfen**: Inkassobüro, IT-Hoster – AVV nach Art. 28 erforderlich.
7. **Drittlandtransfer**: Bei Auslandsfactoring SCC nach Art. 46 oder Angemessenheitsbeschluss prüfen.

## Trade-off-Matrix

| Konstellation | DSGVO-Lösung | Risiko |
|---|---|---|
| Debitor = Unternehmen | DSGVO greift nur für natürliche Daten dahinter | Beschränkte Pflichten |
| Debitor = Verbraucher | Volle DSGVO-Pflichten | Hoher Informationsaufwand |
| Stille Zession | Information dennoch nach Art. 14 erforderlich | Konflikt mit "still" |
| Auslandsfactoring (Drittland) | SCC / Angemessenheitsbeschluss | Risiko Bußgeld DSGVO |
| Gesundheits-Factoring | Art. 9 plus berufsrechtliche Sondervorgaben | Sehr hoch |
| Anwalt/StB-Forderungen | § 203 StGB plus DSGVO | Mandantengeheimnis |

## Praxistipps

- **Information schon in Notifikation integrieren**: Die Abtretungsanzeige enthält ohnehin Pflichtangaben – Art. 14-Information dort verarbeiten.
- **Stille Zession ist DSGVO-kritisch**: Wenn der Debitor nicht informiert wird, ist Art. 14 schwer einzuhalten – ggf. Berufung auf Art. 14 Abs. 5 (unverhältnismäßiger Aufwand) prüfen.
- **AVV mit Inkassopartnern**: Wenn ein externes Inkassobüro tätig wird, AVV nach Art. 28 ist Pflicht.
- **Datenschutzfolgenabschätzung**: Bei groß angelegter Verarbeitung von Bonitätsdaten ist DSFA nach Art. 35 möglich.
- **Datenschutzbeauftragten benennen**: Bei Factor mit mehr als 20 Mitarbeitern in datenintensiven Tätigkeiten Pflicht (§ 38 BDSG).

## Mustertexte

**Information nach Art. 14 DSGVO (in Notifikation integriert)**

"Information nach Art. 14 DSGVO: Wir haben Ihre personenbezogenen Daten (Name, Anschrift, Bankverbindung, Forderungsdaten) von [Kunde] erhalten. Verantwortlicher: [Factor], …, Datenschutzbeauftragter: …, Verarbeitungszwecke: Forderungseinzug und -verwaltung, Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Speicherdauer: bis zur vollständigen Abwicklung der Forderung und Ablauf der gesetzlichen Aufbewahrungsfristen. Ihre Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Beschwerde bei der Datenschutzaufsicht."

**Klausel im Factoringvertrag (DSGVO)**

"Die Parteien sind im Hinblick auf die Verarbeitung von Debitorendaten jeweils eigenständig Verantwortliche im Sinne der DSGVO. Der Kunde gewährleistet, dass die Übermittlung der Daten an den Factor auf Art. 6 Abs. 1 lit. b oder f DSGVO gestützt ist und dass die Debitoren entsprechend Art. 13 DSGVO informiert wurden. Der Factor wird seinerseits die Information nach Art. 14 DSGVO erfüllen."

**Auskunftsantwort (Art. 15 DSGVO)**

"Sehr geehrte Damen und Herren, in Beantwortung Ihres Auskunftsersuchens vom … teilen wir mit: 1. Welche Daten wir verarbeiten: Name, Anschrift, Geburtsdatum, Bankverbindung, Forderungsbetrag, Zahlungseingänge, Mahnstand. 2. Zwecke: Forderungseinzug. 3. Empfänger: Inkassopartner, Rechtsanwälte. 4. Speicherdauer: 10 Jahre nach vollständiger Abwicklung. 5. Herkunft: [Kunde]. Anlage: Kopie der zu Ihnen gespeicherten Daten."

## Typische Fehler

- Verkennen, dass Factor eigenständig Verantwortlicher ist (nicht nur Auftragsverarbeiter).
- Vernachlässigung der Art. 14-Information bei stiller Zession.
- AVV mit Inkassopartner fehlt – Datenschutzaufsicht stuft als DSGVO-Verstoß ein.
- Auslandstransfer ohne SCC oder Angemessenheitsbeschluss.
- Übersehen des § 203 StGB bei Factoring ärztlicher/anwaltlicher Honorarforderungen.

## Quellen Stand 06/2026

- DSGVO Art. 4, 6, 9, 13, 14, 15, 17, 28, 35, 44 ff.
- BDSG §§ 31, 38, 39 (Scoring, Datenschutzbeauftragter, Aufsicht).
- StGB § 203 zum Geheimnisschutz Berufsgeheimnisträger.
- EuGH zu Standard Contractual Clauses und Schrems-II-Folgen (jeweils aktueller Stand).
- BfDI- und Landesdatenschutzbehörden, Veröffentlichungen zur Verarbeitung im Factoring.