Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

DSGVO: So gibst du Daten rechtssicher an Dritte weiter (Teil 5)

    DSGVO: So gibst du Daten rechtssicher an Dritte weiter (Teil 5)
Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Wenn beispielsweise Rechnungen in der Cloud eines Software-Anbieters bearbeitet werden, kommt es zur Weitergabe von Daten an Dritte. Doch wie hält man dabei die DSGVO ein? So geht's.

Die bisherigen Teile der Beitragsreihe haben gezeigt, was Unternehmen beachten müssen, wenn sie selbst Daten erheben und verarbeiten. In der Praxis findet die Datenverarbeitung dagegen selten nur innerhalb des eigenen Unternehmens statt. So wird zum Beispiel ein E-Shop typischerweise auf den Servern eines Webhosters betrieben, Rechnungen werden von einem Software-as-a-Service-Dienst in der Cloud bearbeitet, die IT durch externe Techniker gewartet und Kunden werden über eine US-amerikanische Helpdesk-Plattform betreut.

Bei all diesen Fällen der Weiterleitung, des Empfangs oder der bloßen Möglichkeit der Kenntnisnahme von personenbezogenen Daten durch Dritte (kurz „Weitergabe“), handelt es sich um erlaubnispflichtige Verarbeitungen. Wann die Weitergabe auch erlaubt ist, erfährst du im folgenden Beitrag.

DSGVO: Einwilligung

Einwilligung zur Weitergabe von Daten sollte nur eine Notlösung sein.

Zum einen können die betroffenen Personen in die Weitergabe ihrer Daten einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Doch an Einwilligungen werden hohe Anforderungen gestellt (siehe „Kopplungsverbot“ im Teil 3 der Beitragsreihe) und zudem kann sie schnell widerrufen werden.

Immer, wenn möglich, sollte die Datenweitergabe (auch wenn nur zusätzlich) zudem auch auf eine gesetzliche Erlaubnisnorm gestützt werden (siehe Teil 2 der Beitragsreihe).

Weitergabe zur Vertragserfüllung

Die zur Vertragserfüllung erforderliche Weitergabe von Daten ist zulässig.

Die Weitergabe kann zur Vertragserfüllung erforderlich, den Interessen der Betroffenen entsprechend und damit gesetzlich erlaubt sein (Art. 6 Abs. 1 lit. b DSGVO). Das ist beispielsweise der Fall, wenn ein E-Shop-Betreiber Daten der Kunden an eine Bank und einen Paketzusteller zwecks Bezahlung und Zustellung weitergibt.

Werden die Daten der Kunden jedoch zum Beispiel über eine Customer-Relation-Management-Plattform verwaltet, dann entspricht dies nicht automatisch den Kundeninteressen. Grundsätzlich gehen Kunden davon aus, dass Unternehmen ihre Kunden selbst betreuen und haben kein besonderes Interesse an der Weitergabe ihrer Daten an einen weiteren Anbieter. Das heißt diese Erlaubnisnorm scheidet zwar aus, aber das Unternehmen könnte sich auf die berechtigten Interessen an der Weitergabe berufen.

Berechtigte Interessen an der Weitergabe von Daten

Die Weitergabe von Daten, kann auch ohne Einwilligung und Vertrag zulässig sein.

Zu den berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO gehören auch Interessen an der Gewinnmaximierung, Kostensenkung, Optimierung der Dienste und Steigerung der Usability. Wenn die Interessen der Nutzer am Schutz derer Daten nicht überwiegen, ist in solchen Fällen die Weitergabe erlaubt.

Bei dieser Interessensabwägung kommt es zum einen auf die Art der Daten, den Zweck der Datenweitergabe und mögliche Risiken für die Betroffenen an. So wird die Abwägung grundsätzlich negativ ausfallen, wenn beispielsweise ein E-Shop Kundendaten an Adresshändler verkauft. Hier wird im Regelfall eine Einwilligung der Nutzer notwendig sein. Dagegen sind die Rechte der Nutzer berufsrechtlich und strafrechtlich (§ 203 StGB) gesichert, wenn die Kundendaten an den Steuerberater des E-Shops weitergegeben werden.

In den meisten Fällen liegt die Risikolage irgendwo zwischen diesen beiden Polen und kann mit speziellen Verträgen so gemindert werden, dass die Datenweitergabe erlaubt ist.

Auftragsverarbeitungsvertrag als Erlaubnisgrund für eine Datenweitergabe

Wer für den Schutz der Daten vertraglich sorgt, der darf sie weitergeben.

Bei den meisten heutiger Weitergaben von Daten handelt es sich um sogenannte Fälle der Datenverarbeitung im Auftrag. Das heißt ein Unternehmen beauftragt ein anderes Unternehmen, personenbezogene Daten auf seine Anweisung hin zu verarbeiten. Zum Beispiel wird Google mit Websiteanalysen beauftragt, Newsletterversender mit Versand von Werbemailings oder die US-Helpdesk-Plattform mit dem Kundenmanagement.

Für solche Fälle der „Auftragsverarbeitung“ sieht das Gesetz den Abschluss und die Erfüllung eines speziellen Vertrags als hinreichende Risikominderung für die Betroffenen und damit als Erlaubnisgrundlage vor (Art. 28 Abs. 3 S. 1 DSGVO). Das bedeutet die berechtigten Interessen an der Weitergabe von Daten überwiegen dann die Datenschutzinteressen betroffener Personen und die Weitergabe ist erlaubt.

Das gilt jedoch nur, wenn der Vertrag und seine Umsetzung den gesetzlichen Vorgaben entsprechen.

Voraussetzungen wirksamer Auftragsverarbeitungsverträge

Vertragliche Verpflichtung + Sicherheitskonzept + Liste der Subunternehmer = Auftragsverarbeitungsvertrag.

In einem Auftragsverarbeitungsvertrag muss sich der Auftragnehmer dazu verpflichten, die Daten nur entsprechend dem Auftrag und nach Weisung zu verarbeiten. Dazu gehört noch eine Anzahl weiterer Pflichten, zu denen unter anderem die Verpflichtung der Mitarbeiter auf Vertraulichkeit, Mitwirkung, Beauftragung von weiteren Subunternehmern, Kontrollrechte und technisch-organisatorische Maßnahmen zum Schutz der Daten (diese wurden in Teil 4 der Beitragsreihe erklärt) gehören. Der Vertrag kann ab 25. Mai 2018 auch elektronisch geschlossen werden, die bisherige Pflicht eigenhändiger Unterschriften entfällt.

Es würde den Rahmen sprengen alle Punkte eines Auftragsverarbeitungsvertrages zu erläutert. In den Linktipps findest du jedoch Hinweise zur Vertiefung und Beispiele für derartige Verträge.

Zwei Problempunkte werden jedoch im Folgenden erklärt, da sie in der Praxis Schwierigkeiten mit sich bringen.

Checkliste: Notwendige Inhalte eines Auftragsverarbeitungsvertrages (vereinfacht)

  • Angaben zum Auftraggeber und Auftragnehmer
  • Kategorien der verarbeiteten Daten (beispielsweise E-Mailadressen, Namen)
  • Kategorien der Verarbeitung betroffenen Personen (beispielsweise Kunden)
  • Zweck der Verarbeitung (beispielsweise Newsletterversand)
  • Vertragliche Verpflichtungen auf Befolgung von Weisungen, Genehmigung von Kontrollen, Beauftragung von Subunternehmern nur mit Zustimmung, Mitwirkung- und Information
  • Vertragsdauer
  • Technisch-organisatorische Schutzmaßnahmen und sonstige Garantien (siehe Teil 4)
  • Liste der Subunternehmer

DSGVO: Beauftragung von Subunternehmern

Bei Auftragsverarbeitungsketten wird es kompliziert.

Es kommt sehr häufig vor, dass Daten nicht nur zwischen zwei, sondern zwischen drei oder mehreren Unternehmen fließen. Angenommen ein Unternehmen beauftragt eine Agentur mit Durchführung von Werbemailings an die Kunden und diese wiederum einen Dienstleister mit der technischen Durchführung des Mailversandes.

Dann liegt eine Kette von Auftragsverarbeitungen vor und das Unternehmen musst es vertraglich absichern, dass die Daten seiner Kunden bei dem technischen Versender genauso geschützt sind wie bei ihm selbst. Dazu muss es der Werbeagentur zum einem erlauben, den technischen Versender überhaupt zu beauftragen. Des Weiteren muss die Werbeagentur dazu verpflichtet werden, den Versender entsprechend auf den Datenschutz zu verpflichten.  Also muss auch die Werbeagentur einen Auftragsverarbeitungsvertrag mit dem Versender abschließen. Es liegt dann am Ende die folgende Konstellation vor:

Unternehmen--Auftragsverarbeitungsvertrag-->Werbeagentur—Auftragsverarbeitungsvertrag-->Mailversender

Noch eine Stufe komplizierter wird es, wenn Unternehmen aus sogenannten „Drittländern“ beauftragt werden.

2 Tipps zur Auftragsverarbeitung:

  • Als Auftraggeber immer nach Auftragsverarbeitungsverträgen/ Data-Processing-Agreements fragen (beispielsweise beim Webhoster, Mailversender, Cloud-Dienst, SaaS-Anbieter, Freelancer, IT-Wartung).
  • Als Dienstleister/Auftragnehmer selbst Auftragsverarbeitungsverträge für Kunden bereithalten, ansonsten werden sie gestellt und müssen jedes Mal geprüft werden.

Weitergabe von Daten zur Verarbeitung in Drittländern

Sobald die Daten außerhalb der EU verarbeitet werden, sind besondere Garantien notwendig.

Eine Vielzahl von Onlinediensten wird nicht in der EU oder dem europäischen Wirtschaftsraum, sondern von der ganzen übrigen Welt, vor allem von den USA aus, angeboten. Man spricht dabei von „Drittländern“.

In diesem Fall kommt zusätzlich zu den vorstehend geschilderten Voraussetzungen eines Vertrages über Auftragsverarbeitung (im Englischen als „Data-Processing-Agreement“ bezeichnet), eine zweite Prüfungsstufe hinzu. Denn die Weitergabe von Daten außerhalb der EU bringt zusätzliche Gefahren mit sich, die ebenfalls aufgefangen werden müssen.

Dies geschieht, wenn eine der folgenden Voraussetzung bejaht werden kann. Nur dann ist die Datenweitergabe auf Grundlage der berechtigten Interessen erlaubt:

  • Es wurde ein angemessenes Datenschutzniveau festgestellt (Art. 45 DSGVO):
    • Das Datenschutzniveau wurde durch sogenannte „Angemessenheitsbeschlüsse“ für derzeit folgende Länder festgestellt: Andorra, Argentinien, Kanada (eingeschränkt), Schweiz, Färöer-Inseln, Guernsey, Israel (eingeschränkt), Isle of Man, Jersey, Neuseeland und Uruguay.
    • Ebenfalls ein angemessenes Datenschutzniveau gilt für US-Unternehmen, die nach dem Privacy-Shield-Abkommen zertifiziert sind.
  • Wurde kein angemessenes Datenschutzniveau festgestellt, müssen geeignete Garantien vorgelegt werden (Art. 46 DSGVO):
    • Genehmigte „Binding-Corporate-Rules“ (das heißt unternehmensinterne Selbstverpflichtungen).
    • Standarddatenschutzklauseln der Kommission/Aufsichtsbehörde.
    • Genehmigte Zertifizierungsverfahren.
  • Es wurden Ausnahmen für bestimmte Fälle getroffen (Art. 49 DSGVO).
    • Es liegt eine Einwilligung der Nutzer mit der Weitergabe der Daten vor (Nutzer müssen jedoch auch transparent über die Risiken der Übermittlung in ein Drittland belehrt werden).
    • Die Weitergabe von Daten ist zur Vertragserfüllung erforderlich (beispielsweise wenn Ware auf Wunsch des Kunden direkt aus den USA geliefert werden soll und die dortigen Paketversender die Adressdaten des Kunden erhalten).
    • Verfolgung von Rechtsansprüchen (das heißt wenn man beispielsweise in den USA Klagen einreicht) und weniger relevant die Verfolgung lebenswichtiger und Wahrung sonstiger zwingender berechtigter Interessen in Sonderfällen.

Fazit und Checkliste

Datenflüsse zwischen Unternehmen sind alltäglich geworden und dementsprechend schickt sich die DSGVO dazu an, auch den „freien Verkehr personenbezogener Daten“ zu gewährleisten (Art. 1 Abs. 3 DSGVO).

Angesichts dieses hehren Zieles, erscheint die gesetzliche Regelung der Datenflüsse als umständlich ausgestaltet. Anderseits muss das Recht abstrakte Regeln treffen und Vereinfachungen sind eher seitens der Technik, durch standardisierte Schutz- und Datentransferprozesse zu erwarten.

Bis dahin sorgt ein Bußgeld von bis zu zwei Prozent des Jahresumsatzes (für den Auftraggeber und den Auftragnehmer), dass der Datenschutz auf die gleiche Stufe wie Steuerpflichten vorrückt. Das gilt dann passenderweise auch für die Verständlichkeit der gesetzlichen Regelungen.

Checkliste: Erlaubnis der Weitergabe personenbezogener Daten an Dritte
  1. Bekommen Dritte mindestens eine Möglichkeit der Kenntnisnahme personenbezogener Daten? Wenn ja:
  2. Haben die Betroffenen nach umfassender Information eingewilligt? Wenn ja, dann ist die Weitergabe erlaubt (trotzdem sollte weiter geprüft werden, ob nicht zusätzlich eine gesetzliche Erlaubnis vorliegt). Wenn nein:
  1. Ist die Weitergabe für die Vertragserfüllung erforderlich und entspricht den Interessen der Betroffenen (beispielsweise E-Shop)? Wenn ja, dann darf die Weitergabe erfolgen. Wenn nein:
  1. Liegt eine Verarbeitung im Auftrag vor und liegt ein wirksamer Auftragsverarbeitungsvertrag vor? Wenn nein, dann ist sie unerlaubt. Wenn ja:
  1. Werden die Daten in einem Drittland (außerhalb EU/EWR, beispielsweise USA) verarbeitet? Wenn nein, dann ist die Weitergabe erlaubt. Wenn ja, dann müssen zusätzliche Anforderung erfüllt werden:
  • Anerkanntes Schutzniveau (And, Arg, Ca, Ch, ISR, NZ, Ury, etc.)
  • Privacy-Shield-Zertifizierung (Unternehmen in der Liste suchen)
  • Standarddatenschutzklauseln
  • Spezielle genehmigte Schutzverfahren (Binding-Corporate-Rules)
  • Erforderlichkeit für Vertragserfüllung (Warenlieferung aus den USA)
  • Einwilligung (Umfassend über Risiken der Auslandsverarbeitung informieren)

Nach diesem Teil wird es noch einen weiteren Teil der Beitragsreihe geben. In diesem wird es um die Rechte der Nutzer und die Informationspflichten, also vor allem um die Datenschutzerklärung gehen.

Bisheriger Teile der DSGVO-Beitragsreihe

Teil 1 – DSGVO: Diese Änderungen kommen auf dein Online-Business zu

Teil 2 – DSGVO: Welche Daten du nutzen darfst – und welche nicht

Teil 3 - DSGVO: So holst du Einwilligungen richtig ein

Teil 4 - DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten

Finde einen Job, den du liebst

Eine Reaktion
Friedrich Howanietz

Ich beschäftige mich nun schon seit rund einem Jahr mit der Verordnung und ich frage mich welches Unternehmen diese risikofrei umsetzen kann. Selbst wenn das jemand ehrlich umsetzen möchte hat er einen Berg an Verantwortung vor sich. Abgesehen von der Zeit die Sache zu studieren, sich dann daraus einen Arbeitsplan zurecht zu lagen und abzuarbeiten, kommen auch Kosten ungeahnter Höhe auf ihn zu.
Die Kosten sind nicht alleine nur Softwarekosten sondern auch Anwaltskosten.

Spannend ist die Tatsache, dass sich niemand darüber Gedanken gemacht hat, wie die Verordnung in das Vertragsrecht integriert wird.

Stellen Sie sich vor, sie kaufen heute eine Firma. Die Adressen der Kunden ist ein großer Teil des Firmenwertes. Wenn diese Adressen aber nicht rechtssicher sind, ist der ganze Firmenwert ab Mai 2018, dahin.
Wer haftet dann dafür? Der Anwalt, der den Vertrag dafür aufgesetzt hat und die Berücksichtigung der Verordnung vergessen hat? Er haftet - aber ist das von seiner Versicherung gedeckt?

Eigentlich muss man sich so verhalten, als ist die Verordnung schon in Kraft. Aber ich kenne niemanden der das so sieht. Viele glauben, sie tritt erst in Kraft - nein das ist nicht der Fall. Wir sind jetzt in der Umsetzungsphase. Am besten stellt man sich das so vor: Sie haben eine Wohnung verkauft und die Übergabe ist im Mai 2018.

Antworten
Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hinweis

Du hast gerade auf einen Provisions-Link geklickt und wirst in Sekunden weitergeleitet.

Bei Bestellung auf der Zielseite erhalten wir eine kleine Provision – dir entstehen keine Mehrkosten.


Weiter zum Angebot