Hier finden Sie Fragen und Antworten rund um das Thema DSGVO und Datenschutz. Wenn Sie die Antwort auf Ihre Frage nicht finden können, kontaktieren Sie unseren Kundenservice über unser Kontaktformular oder per Telefon.
Die Dun & Bradstreet Austria GmbH ist zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse nach § 152 Gewerbeordnung „(GewO“) berechtigt. Es liegt daher im überwiegenden berechtigten Interesse dieses Unternehmens, Daten über Kreditverhältnisse sowie in diesem Zusammenhang auch über die Identität von Unternehmen und der für diese handelnden Personen zu verarbeiten und an Kunden zu übermitteln.
Im Rahmen dieser Tätigkeit werden Auskünfte über die Bonität, insbesondere unter der Berücksichtigung der finanziellen Leistungsfähigkeit und des bisherigen Zahlungsverhaltens und anderer kreditrelevanter Umstände erteilt. Die Tätigkeit umfasst die Prüfung der Richtigkeit von Identitätsdaten und Kundenangaben, Prüfung von Vertretungs- und Zeichnungsbefugnissen, Informationen über die wirtschaftliche Situation einer Person oder eines Unternehmens, Informationen über einzelne Aspekte der Kreditwürdigkeit, wie z.B. Zahlungsverhalten und Bilanzanalysen, und umfassende Bonitätsauskünfte, die Berechnung einer Ausfallswahrscheinlichkeit, die Unterstützung von Kunden bei der Betrugserkennung sowie die Unterstützung von Kunden beim Erfüllen von Compliance-Vorschriften.
Zur Umsetzung dieser Aufgaben sammelt, speichert und verarbeitet Dun & Bradstreet Daten zu Unternehmen und Personen. Die Rechtmäßigkeit der Verarbeitung ergibt sich auch aus Art. 6 Abs. 1 lit f) Datenschutz-Grundverordnung („DSGVO“), da die Verarbeitung zur Wahrung berechtigter Interessen der Dun & Bradstreet Austria und derer Kunden erforderlich ist.
Dun & Bradstreet Austria GmbH übt nach §151 GewO die Tätigkeit als Adressverlag- und Direktmarketingunternehmen aus.
Zur Umsetzung dieser Aufgaben sammelt, speichert und verarbeitet Dun & Bradstreet Daten zu Unternehmen und Personen. Die Rechtmäßigkeit der Verarbeitung ergibt sich auch aus Art. 6 Abs. 1 lit f) DSGVO, da die Verarbeitung zur Wahrung berechtigter Interessen der Dun & Bradstreet Austria und derer Kunden erforderlich ist.
In den Erwägungsgründen zur DSVGO wird unter Erwägungsgrund #47 explizit die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung als eine dem berechtigten Interesse dienende Verarbeitung betrachtet.
Die Sicherheitsmaßnahmen der Dun & Bradstreet Austria GmbH umfassen Zugangs-, Zutritts- und Zugriffskontrollen, sowie Einweisungen und Schulungen für Mitarbeiter. Des Weiteren sind hinsichtlich der Verarbeitung der Daten Weitergabekontrollen, Eingabekontrollen und Auftragskontrollen implementiert, die eine unsachgemäße Eingabe bzw. Auslieferung der Daten verhindern. Unsere Daten sind natürlich gegen Zerstörung und Verlust geschützt. Bei Fragen erreichen Sie uns am besten per E-Mail unter der Adresse customerservice.at@dnb.com
Die Dun & Bradstreet Austria GmbH führt für alle derzeit und zukünftig betroffenen Datenquellen, Systeme, Produkte und Prozesse eine Risikofolgeabschätzung nach Art. 35 DSGVO durch.
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Widerspruch nach Art. 21 DSGVO sowie das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Darüber hinaus besteht nach Art. 77 DSGVO ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde.
Personenbezogene Daten speichern wir solange, wie es zur Leistungsabwicklung erforderlich ist. Danach werden sie gelöscht, es sei denn, ihre – zweckgebundene – weitere Speicherung ist notwendig zur Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten oder zur Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften.
Eine Übermittlung Ihrer Daten an Stellen in Staaten außerhalb der Europäischen Union („Drittländer“) findet nur statt, wenn Sie uns dafür Ihre Einwilligung erteilt haben, die Übermittlung zur Ausführung des konkreten Auftrags erforderlich (beispielsweise zur Beschaffung von ausländischen Wirtschaftsinformationen) oder gesetzlich vorgeschrieben ist oder im Rahmen einer Auftragsverarbeitung.
Sollte für ein Drittland kein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO vorliegen, übermittelt Dun & Bradstreet die Daten in ein Drittland nur dann, wenn geeignete Garantien für ein dem europäischen Recht vergleichbares Datenschutzniveau bestehen. Dun & Bradstreet verlangt in diesen Fällen, dass sich der Empfänger auf die von der Europäischen Kommission vorgegebenen Standarddatenschutzklauseln nach Art. 46 Abs. 2c DSGVO vertraglich bindend verpflichtet.
Verantwortlicher im Sinn von Art. 4 Nr. 7 Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer Daten ist, sofern Sie Kunde, Interessent oder Geschäftspartner
- der Dun & Bradstreet Austria GmbH sind:
Dun & Bradstreet Austria GmbH, Geiselbergstraße 17-19, 1110 Wien
Sie erreichen uns am besten per E-Mail unter der Adresse customerservice.at@dnb.com
Die DSGVO tritt ab dem 25.05.2018 in Kraft. Bis zu diesem Zeitpunkt müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.
Die DSGVO regelt die einheitliche Verarbeitung von Daten natürlicher Personen innerhalb der Europäischen Union. Ziel ist es, den Schutz für die Verarbeitung von personenbezogenen Daten zu gewährleisten. Betroffen davon sind alle automatisierten und nicht automatisierten Verarbeitungsprozesse von personenbezogenen Daten. Dies beinhaltet Vorgänge wie Erhebung, Erfassung, Speicherung, Anpassung oder Übermittlung von Daten.
Alle personenbezogenen Daten werden ausschließlich zu dem Zweck verarbeitet, für den sie erhoben wurden. Die bei Nutzung dieser Internetseiten anfallenden Daten werden daher nur dann in den Dun & Bradstreet-Auskunftdatenbestand übernommen, wenn dies gerade der Zweck der entsprechenden Datenerhebung war und Sie Ihre Daten dafür freigegeben haben (beispielsweise durch Nutzung von Selbsteingabefunktionen im Rahmen unserer Datenbankprodukte).
Wir verwenden Ihre Daten nur dann für Werbezwecke, wenn Sie uns dafür eine Einwilligung erteilt haben und ansonsten nur soweit, wie Sie dem Erhalt von Werbung nicht widersprochen haben und eine werbliche Verwendung ohne gesonderte Einwilligung aufgrund der gesetzlichen Vorschriften zulässig ist.
Fragen zum Datenschutz im Zusammenhang mit diesen Internetseiten oder dem Leistungsangebot von Dun & Bradstreet beantworten wir Ihnen gern. Senden Sie uns einfach eine E-Mail an customerservice.at@dnb.com. Wenn Sie Ihre gesetzlichen Rechte auf Auskunft, Berichtigung, Löschung oder Sperrung Ihrer Daten geltend machen wollen, wenden Sie sich bitte schriftlich an uns.
Verantwortlicher im Sinn von Art. 4 Nr. 7 Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer Daten ist, sofern Sie Kunde, Interessent oder Geschäftspartner
- der Dun & Bradstreet Austria GmbH sind:
Dun & Bradstreet Austria GmbH, Jakov-Lind-Straße 4/2, 1020 Wien
Ja, wenn Sie sich dafür auf (mindestens) einen der Erlaubnistatbestände in Artikel 6 DSGVO berufen können. Dazu zählen insbesondere die Einwilligung der betroffenen Person, die Notwendigkeit der Datenverarbeitung zur Vertragsabwicklung oder die Datenverarbeitung aufgrund eines berechtigten Interesses. Möglicherweise lassen Sie sich sowieso schon in Ihren Vertragsformularen unterschreiben, dass Sie auf die Dienste von Auskunfteien zurückgreifen. Dann würde sich die Erlaubnis zum Abruf und zur Nutzung unserer Daten bereits aus dieser Einwilligung gemäß Artikel 6 Absatz 1a DSGVO ergeben.
Wenn Sie keine ausdrückliche Einwilligung vorliegen haben, die Geschäftsbeziehung mit Ihrem Kunden aber typischerweise Vorleistungen von Ihnen beinhaltet (beispielsweise Lieferung auf Rechnung), ist die Prüfung der Bonitätsverhältnisse als zur Erfüllung des Vertrags erforderlich anzusehen. Diesen Fall regelt Artikel 6 Absatz 1b DSGVO, der damit auch ohne eine ausdrückliche Einwilligung die Rechtsgrundlage dafür wäre, Bonitätsdaten von uns zu beziehen.
Selbst wenn sie weder eine Einwilligung haben noch konkrete Vorleistungs- oder Kreditverträge beabsichtigen, besteht in der Regel zu Ihren Gunsten ein berechtigtes Interesse an der Nutzung von Kreditinformationen im Sinn von Artikel 6 Absatz 1f DSGVO. Denn ein funktionierender Markt und der Eigenschutz der Marktteilnehmer sind anerkannte Gründe, um im Rahmen von Geschäftsbeziehungen Daten zur Bonitätsbewertung und Reduzierung von Ausfallrisiken zu nutzen.
Unsere Kreditinformationsprodukte enthalten Risikoeinschätzungen zur Bonitätsbewertung, die als Rangeinstufung auf einer bestimmten Skala ausgewiesen werden („Score“, „Rating“). Datenschutzrechtlich fallen solche Scoringverfahren unter den Begriff des Profiling. Sie unterliegen damit besonderen Voraussetzungen. So dürfen für die Berechnung von Kreditscores ausschließlich anerkannte mathematisch-statistische Verfahren zum Einsatz kommen. Ferner sind Bonitätsbewertungen allein aufgrund von Geodaten verboten. Selbstverständlich berechnen wir unsere Scores unter Beachtung dieser Vorgaben. Sofern Sie Kreditinformationsprodukte bei uns beziehen, denken Sie aber bitte daran, dass eine mathematisch-statistisch ermittelte Bonitätsbewertung – unabhängig davon, ob sie in unserem Produkt als Score, Rating, Kreditempfehlung, Bonitätsindex, etc. bezeichnet wird – keine festgestellte Tatsache ist, sondern lediglich eine auf subjektiven Prognosen beruhende Wahrscheinlichkeitsbeurteilung, die naturgemäß aufgrund des sich fortlaufend
ändernden Datenbestands auch nur eine Momentaufnahme sein kann.
Automatisierte Entscheidungsfindungen gemäß Art. 22 DSGVO nutzen wir nicht.
Ja, Zahlungserfahrungspools wie das D&B DUN Trade® Programm werden durch die Neuregelung des Datenschutzes nicht berührt. Das berechtigte Interesse, das als Erlaubnisgrund für die Verarbeitung und Nutzung von Bonitätsinformationen anerkannt ist, erstreckt sich auch auf den Betrieb von Zahlungserfahrungspools und ähnliche Warndateien, weil ohne sie aussagekräftige Bonitätseinschätzungen nur schwer möglich wären. Für unser DUN Trade Programm verarbeiten wir heute wie in Zukunft personenbezogene Zahlungsdaten nur dann, wenn uns die einmeldenden Vertragspartner entweder die Einwilligung der Betroffenen bestätigen oder sie uns ausschließlich solche Zahlungserfahrungen melden, deren Übermittlung das Gesetz auch ohne besondere Einwilligung zulässt. Die Verarbeitung von Zahlungsdaten zu Unternehmen, bei denen kein Personenbezug hergestellt werden kann, war und ist dagegen datenschutzrechtlich unkritisch.
Egal was Sie vorhaben, Sie müssen für den Umgang mit personenbezogenen Daten immer eine Erlaubnisgrundlage aus Artikel 6 DSGVO belegen können. Das kann eine Einwilligung sein (Artikel 6 Absatz 1a DSGVO), diese ist aber nicht die einzige Möglichkeit, die Datenverarbeitung auf erlaubte Füße zu stellen. Wenn keine Einwilligung der zu bewerbenden Person vorliegt, ist die Datenverarbeitung zulässig, wenn sie zur Abwicklung Ihrer Geschäftsbeziehung erforderlich ist (Artikel 6 Absatz 1b DSGVO) oder wenn Sie sich auf ein berechtigtes Interesse berufen können (Artikel 6 Absatz 1f DSGVO). Wie das zu bewerten ist, hängt wiederum von Ihren konkreten betrieblichen Umständen ab. Der Begriff der „Erforderlichkeit“ macht dabei deutlich, dass der Gesetzgeber zwar keine uferlose Datenverarbeitung gestatten wollte – auch dann nicht, wenn Sie mit dem Adressaten der Werbung vertraglich verbunden sind. Ein Totalverbot spricht er aber auch nicht aus. Wenn Daten zur Katalog- oder Prospektanforderung oder zur Erstellung eines individualisierten Angebots überlassen werden, ist dagegen kaum etwas einzuwenden. Dasselbe gilt für das Einpflegen Ihrer Kundendaten in ein Customer-Relationship-Managementsystem. Solche Prozesse der Bestandskundenpflege dürften heute als üblich und damit als für die Geschäftsabwicklung „erforderlich“ anzusehen sein, so dass Artikel 6 Absatz 1b DSGVO eine taugliche Rechtsgrundlage ist. Verlassen Sie mit Ihren Datenverarbeitungsabsichten aber den engeren Zusammenhang mit der Vertragsbeziehung und streben Sie beispielsweise Kundenprofilbildungen oder die Speicherung bestimmter Vorlieben an, sollten Sie dies besser auf Basis einer Einwilligung tun. Merkregel: Je weiter Sie sich vom eigentlichen Geschäftsinhalt mit ihrer Kampagne entfernen, desto schwieriger wird es, die rechtliche Erforderlichkeit zu begründen.
Nein, ist es nicht. Wenn Sie keine Vertragsbeziehung mit dem Werbeadressaten und erst recht keine Einwilligung von ihm haben, bleibt als mögliche Rechtsgrundlage für Ihre Direktmarketingabsichten immer noch das „berechtigte Interesse“ im Sinn von Artikel 6 Absatz 1f DSGVO. Wie die Abwägung im konkreten Fall ausgeht, hängt erneut von den spezifischen Umständen ab. Eigene Werbezwecke (und spiegelbildlich dazu auch die Datenverarbeitung und Übermittlung durch den Adresshandel) sind grundsätzlich legitime Anliegen. Denn die kommerzielle Kommunikation ist unter anderem als Bestandteil der unternehmerischen Freiheit anzusehen. Gebremst werden diese Interessen durch die Erwartungen der betroffenen Werbeadressaten. Je weniger intensiv der Eingriff in die Schutzinteressen der Betroffenen ist (beispielsweise, indem Sie auf unnötige Datenfelder und die Nutzung sensibler Daten bei der werblichen Verarbeitung verzichten) und je transparenter Sie Ihre Datenverarbeitungsvorgänge machen (beispielsweise durch Bereitstellung umfassender Datenschutzinformationen), desto mehr wird Ihre Werbung im Einklang mit den Erwartungen des Betroffenen stehen. Anders ausgedrückt: Je ausgewogener Sie den Rahmen Ihrer werblichen Datenverarbeitungsprozesse abstecken, desto sicherer können Sie sich auf Artikel 6 Absatz 1f DSGVO als Rechtsgrundlage für die Nutzung der Daten berufen.
Eine Einwilligung bezogen auf Ihre konkrete Werbung („Opt-in“) können die Dun & Bradstreet-Daten naturgemäß nicht enthalten, weil Sie als späterer Nutzer zum Zeitpunkt der Datenerhebung ja noch gar nicht bekannt waren.
Im Grundsatz schon, denn eine besondere vorherige Einwilligung ist nicht für alle Werbeformen und Medien erforderlich, aber beispielsweise dann, wenn Sie den Kontakt „elektronisch“, das heißt per E-Mail, Telefon oder Telefax, herstellen wollen. Auf dem Postweg versandte Werbesendungen sind nicht von der vorherigen Zustimmung abhängig. Das ist aber keine Frage des Datenschutzrechts, sondern sonstiger rechtlicher Rahmenbedingungen wie dem Telekommunikationsgesetz (TKG), die Sie als Werbetreibender wie gehabt separat zu beachten haben.
Nein, ein generelles Verbot enthält die DSGVO nicht. Solange kein Widerspruch vorliegt, spricht gemäß Artikel 22 Absatz 1 DSGVO nichts dagegen, einen Datenbestand vor einer Werbeaktion nach bestimmten Kriterien zu filtern, um die Effektivität der Aktion zu erhöhen und unnötige Streuverluste so gering wie möglich zu halten. Das Gesetz will den Betroffenen in erster Linie die Möglichkeit geben, sich gegen automatische Entscheidungsprozesse zu wehren, die einen Nachteil oder eine rechtliche Wirkung mit sich bringen. Wenn das Werbescoring aber nur dazu führt, dass jemand von einer Werbeaktion ausgenommen wird, hat das weder eine rechtliche Wirkung und kann auch kaum als „Nachteil“ bezeichnet werden, weil insoweit ja gerade keine Daten verarbeitet werden – was aus datenschutzrechtlicher Sicht eher als Vorteil gelten muss.
Ja, durchaus. Das Datenschutzrecht unterscheidet nicht zwischen Verbrauchern und Unternehmern. Es gilt für die Verarbeitung von Daten natürlicher Personen und damit auch dann, wenn die betreffende Personeninformation im Zusammenhang mit einer beruflichen Tätigkeit steht. Reine Geschäftsadressen und Unternehmensinformationen ohne Personenbezug wie etwa Branchenangaben oder Umsatzzahlen bleiben von den Anforderungen des Datenschutzrechts natürlich unbehelligt. Informationen zur geschäftlichen Tätigkeit oder zur geschäftlichen Funktion einer Person (wie sie als Ansprechpartner der ersten und zweiten Führungsebene in der „Firmendatenbank“ enthalten sind) unterfallen dagegen grundsätzlich dem Datenschutzrecht, sind aber in der Regel als weitaus weniger schutzwürdig einzustufen als Informationen über Private. Das ergibt sich daraus, dass die geschäftsbezogenen Informationen häufig öffentlich zugänglich sind (beispielsweise im Firmenbuch) oder von den Betroffenen selbst öffentlich gemacht wurden (beispielsweise uns gegenüber in Telefoninterviews oder für die Allgemeinheit auf den Internetseiten des betreffenden Unternehmens).
Sie brauchen in jedem Fall einen vollständigen Überblick über alle Vorgänge, in denen Sie personenbezogene Daten verarbeiten. Diese Verfahrensübersicht ist fortlaufend aktuell zu halten. Denken Sie daran, sich über die Rechtsgrundlagen Ihrer Verarbeitungsprozesse zu vergewissern. Darüber hinaus sollten Sie strukturierte Prozesse zur Erfüllung von Informations- und Auskunftspflichten etablieren sowie zum Umgang mit den Rechten und Anliegen Betroffener. Schaffen Sie Bewusstsein für den Datenschutz. Trainieren Sie Ihre Mitarbeiter in Bezug auf die Einhaltung Ihrer technischen und organisatorischen Schutzvorkehrungen. Prüfen Sie Ihre Dienstleister und geben Sie Ihre Daten nur in zuverlässige Hände.
Sorgen Sie für eine funktionierende Datenschutzorganisation, die sicherstellt, dass die gesetzlichen Pflichten nicht nur bekannt sind und umgesetzt werden, sondern dass Sie das auch gegenüber Dritten nachweisen können.
An den Nutzungsrechten bereits bezogener Daten ändert sich nichts. Diese richten sich unverändert nach dem zwischen Ihnen und Dun & Bradstreet über die betreffende Datenlieferung geschlossenen Bezugsvertrag. Auch die allgemeinen Vorgaben des Wettbewerbsrechts für zulässige Direktwerbung bleiben vom Wirksamwerden der DSGVO unberührt. Mit Blick auf den Datenschutz sollten Sie allerdings insbesondere überprüfen, ob die Dokumentation Ihrer Datenverarbeitungsprozesse auf dem neuesten Stand ist und Sie etwaige Betroffenenrechte (beispielsweise Auskunfts und Beschränkungsrechte) ordnungsgemäß erfüllen können. Der Anpassungsaufwand an das neue Recht wird dabei in der Regel um so geringer ausfallen, je mehr Sie diese Dinge auch in der Vergangenheit bereits im Fokus hatten. Denn die Kernprinzipien der DSGVO sind in weiten Teilen nicht neu, sondern eine Fortschreibung der aus dem alten DSG 2000 bekannten Regeln.
Ja, dem Geltungsbereich der DSGVO unterliegen sowohl die in der EU niedergelassenen Unternehmen als auch diejenigen, die zwar in einem Drittland ansässig sind, aber gleichwohl gegenüber EU-Bürgern ihre Dienste anbieten oder Daten von EU-Bürgern verarbeiten. Ein Geschäftssitz der datenverarbeitenden Stelle im Ausland schützt mithin nicht (mehr) vor der Anwendbarkeit europäischen Datenschutzrechts.
Die DSGVO regelt den Umgang mit personenbezogenen Daten. Sie bezieht sich ausschließlich auf natürliche Personen. Personenbezogene Daten sind nicht nur Daten, die den Namen einer Person enthalten, sondern auch pseudonymisierte Daten und ähnliche Informationen, die zwar auf den ersten Blick verschlüsselt sind, die von der verarbeitenden Stelle aber einer Person (wieder) zugeordnet werden können. Typische Beispiele dafür sind Kundennummern, Kreditkartennummern oder Online- und Gerätekennungen (IP-Adressen, Cookie-IDs).