Weitergabe von personenbezogenen Daten

DSGVO: Wie geben Sie Daten rechtssicher an Dritte weiter?

Weitergabe von personenbezogenen Daten

 

Die bisherigen Artikel der Reihe DSGVO haben gezeigt, was Unternehmen beachten müssen, wenn sie selbst Daten erheben und verarbeiten. In der Praxis findet die Datenverarbeitung dagegen selten nur intern des eigenen Unternehmens statt. So wird zum Beispiel ein E-Shop typischerweise auf den Servern eines Webhosters betrieben, Rechnungen werden von einem Software-as-a-Service-Dienst in der Cloud bearbeitet, die IT durch externe Dienstleister gewartet und Kunden werden über eine Helpdesk-Plattform betreut. Bei all diesen Fällen der Weiterleitung, des Empfangs oder der bloßen Möglichkeit der Kenntnisnahme von personenbezogenen Daten durch Dritte (kurz „Weitergabe“), handelt es sich um erlaubnispflichtige Verarbeitungen. Wann die Weitergabe auch erlaubt ist, erfähren Sie im folgenden Artikel.

 

Was ist die Einwilligung nach DSGVO?

 

Einwilligung zur Weitergabe von Daten sollte nur eine Notlösung sein. Zum einen können die betroffenen Personen in die Weitergabe ihrer Daten einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Doch an Einwilligungen werden hohe Anforderungen gestellt (Kopplungsverbot) und zudem kann sie schnell widerrufen werden. Immer, wenn möglich, sollte die Datenweitergabe zudem auch auf eine gesetzliche Erlaubnisnorm gestützt werden.

 

Die Weitergabe durch Vertragserfüllung

 

Die Weitergabe kann zur Vertragserfüllung erforderlich, den Interessen der Betroffenen entsprechend und damit gesetzlich erlaubt sein (Art. 6 Abs. 1 lit. b DSGVO). Das ist der Fall, wenn ein Dienstleister Daten der Kunden an eine weitere Stelle zwecks z.B. Bezahlung und Zustellung weitergibt. Grundsätzlich gehen Kunden davon aus, dass Unternehmen ihre Kunden selbst betreuen und haben kein besonderes Interesse an der Weitergabe ihrer Daten an einen weiteren Anbieter. Das heißt diese Erlaubnisnorm scheidet zwar aus, aber das Unternehmen könnte sich auf die berechtigten Interessen an der Weitergabe berufen.

 

Auftragsdatenverarbeitung als Erlaubnisgrund für eine Weitergabe

 

Bei den meisten Weitergaben von Daten handelt es sich um sogenannte Fälle der Datenverarbeitung im Auftrag. Das heißt ein Unternehmen beauftragt ein anderes Unternehmen, personenbezogene Daten auf seine Anweisung hin zu verarbeiten. Zum Beispiel wird Google mit Websiteanalysen beauftragt, Newsletterversender mit Versand von Werbemailings. Für dieses Auftragsverhältnis sieht die DSGVO den Abschluss und die spezielle Erfüllung eines ADV-Vertrags vor nach Art. 28 Abs. 3 S.1 DSGVO. Hierfür müssen gesetzliche Vorgaben zur Vertragsgestaltung eingehalten werden. Im folgenden ein grober Überblick der Anforderungen an einen solchen Vertrag:

  • Angaben zum Auftraggeber und Auftragnehmer
  • Kategorien der verarbeiteten Daten (beispielsweise E-Mailadressen, Namen)
  • Kategorien der Verarbeitung betroffenen Personen (beispielsweise Kunden)
  • Zweck der Verarbeitung (beispielsweise Google Analytics)
  • Vertragliche Verpflichtungen auf Befolgung von Weisungen, Genehmigung von Kontrollen, Beauftragung von Subunternehmern nur mit Zustimmung, Mitwirkung- und Information
  • Vertragsdauer
  • Technisch-organisatorische Schutzmaßnahmen und sonstige Garantien
  • Liste der Subunternehmer

 

 

Schreibe einen Kommentar