Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

DSGVO: So gibst du Daten rechtssicher an Dritte weiter (Teil 5)

Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Wenn beispielsweise Rechnungen in der Cloud eines Software-Anbieters bearbeitet werden, kommt es zur Weitergabe von Daten an Dritte. Doch wie hält man dabei die DSGVO ein? So geht's.

Die bisherigen Teile der Beitragsreihe haben gezeigt, was Unternehmen beachten müssen, wenn sie selbst Daten erheben und verarbeiten. In der Praxis findet die Datenverarbeitung dagegen selten nur innerhalb des eigenen Unternehmens statt. So wird zum Beispiel ein E-Shop typischerweise auf den Servern eines Webhosters betrieben, Rechnungen werden von einem Software-as-a-Service-Dienst in der Cloud bearbeitet, die IT durch externe Techniker gewartet und Kunden werden über eine US-amerikanische Helpdesk-Plattform betreut.

Bei all diesen Fällen der Weiterleitung, des Empfangs oder der bloßen Möglichkeit der Kenntnisnahme von personenbezogenen Daten durch Dritte (kurz „Weitergabe“), handelt es sich um erlaubnispflichtige Verarbeitungen. Wann die Weitergabe auch erlaubt ist, erfährst du im folgenden Beitrag, den du in voller Länge im DSGVO-Guide von t3n abrufen kannst.

DSGVO: Einwilligung

Einwilligung zur Weitergabe von Daten sollte nur eine Notlösung sein.

Zum einen können die betroffenen Personen in die Weitergabe ihrer Daten einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Doch an Einwilligungen werden hohe Anforderungen gestellt (siehe „Kopplungsverbot“ im Teil 3 der Beitragsreihe) und zudem kann sie schnell widerrufen werden.

Immer, wenn möglich, sollte die Datenweitergabe (auch wenn nur zusätzlich) zudem auch auf eine gesetzliche Erlaubnisnorm gestützt werden (siehe Teil 2 der Beitragsreihe).

Weitergabe zur Vertragserfüllung

Die zur Vertragserfüllung erforderliche Weitergabe von Daten ist zulässig.

Die Weitergabe kann zur Vertragserfüllung erforderlich, den Interessen der Betroffenen entsprechend und damit gesetzlich erlaubt sein (Art. 6 Abs. 1 lit. b DSGVO). Das ist beispielsweise der Fall, wenn ein E-Shop-Betreiber Daten der Kunden an eine Bank und einen Paketzusteller zwecks Bezahlung und Zustellung weitergibt.

Werden die Daten der Kunden jedoch zum Beispiel über eine Customer-Relation-Management-Plattform verwaltet, dann entspricht dies nicht automatisch den Kundeninteressen. Grundsätzlich gehen Kunden davon aus, dass Unternehmen ihre Kunden selbst betreuen und haben kein besonderes Interesse an der Weitergabe ihrer Daten an einen weiteren Anbieter. Das heißt diese Erlaubnisnorm scheidet zwar aus, aber das Unternehmen könnte sich auf die berechtigten Interessen an der Weitergabe berufen.

Berechtigte Interessen an der Weitergabe von Daten

Die Weitergabe von Daten, kann auch ohne Einwilligung und Vertrag zulässig sein.

Zu den berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO gehören auch Interessen an der Gewinnmaximierung, Kostensenkung, Optimierung der Dienste und Steigerung der Usability. Wenn die Interessen der Nutzer am Schutz derer Daten nicht überwiegen, ist in solchen Fällen die Weitergabe erlaubt.

Bei dieser Interessensabwägung kommt es zum einen auf die Art der Daten, den Zweck der Datenweitergabe und mögliche Risiken für die Betroffenen an. So wird die Abwägung grundsätzlich negativ ausfallen, wenn beispielsweise ein E-Shop Kundendaten an Adresshändler verkauft. Hier wird im Regelfall eine Einwilligung der Nutzer notwendig sein. Dagegen sind die Rechte der Nutzer berufsrechtlich und strafrechtlich (§ 203 StGB) gesichert, wenn die Kundendaten an den Steuerberater des E-Shops weitergegeben werden.

In den meisten Fällen liegt die Risikolage irgendwo zwischen diesen beiden Polen und kann mit speziellen Verträgen so gemindert werden, dass die Datenweitergabe erlaubt ist.

Weiterlesen? Hol dir jetzt den DSGVO-Guide!

Hol dir jetzt den ultimativen t3n-Guide zur Datenschutzgrundverordnung (DSGVO). (Bild: t3n.de)

Bisheriger Teile der DSGVO-Beitragsreihe

Bitte beachte unsere Community-Richtlinien

Eine Reaktion
Friedrich Howanietz

Ich beschäftige mich nun schon seit rund einem Jahr mit der Verordnung und ich frage mich welches Unternehmen diese risikofrei umsetzen kann. Selbst wenn das jemand ehrlich umsetzen möchte hat er einen Berg an Verantwortung vor sich. Abgesehen von der Zeit die Sache zu studieren, sich dann daraus einen Arbeitsplan zurecht zu lagen und abzuarbeiten, kommen auch Kosten ungeahnter Höhe auf ihn zu.
Die Kosten sind nicht alleine nur Softwarekosten sondern auch Anwaltskosten.

Spannend ist die Tatsache, dass sich niemand darüber Gedanken gemacht hat, wie die Verordnung in das Vertragsrecht integriert wird.

Stellen Sie sich vor, sie kaufen heute eine Firma. Die Adressen der Kunden ist ein großer Teil des Firmenwertes. Wenn diese Adressen aber nicht rechtssicher sind, ist der ganze Firmenwert ab Mai 2018, dahin.
Wer haftet dann dafür? Der Anwalt, der den Vertrag dafür aufgesetzt hat und die Berücksichtigung der Verordnung vergessen hat? Er haftet - aber ist das von seiner Versicherung gedeckt?

Eigentlich muss man sich so verhalten, als ist die Verordnung schon in Kraft. Aber ich kenne niemanden der das so sieht. Viele glauben, sie tritt erst in Kraft - nein das ist nicht der Fall. Wir sind jetzt in der Umsetzungsphase. Am besten stellt man sich das so vor: Sie haben eine Wohnung verkauft und die Übergabe ist im Mai 2018.

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst