DSGVO: Weitergabe von Daten an Dritte – so gehts (Teil 5)
Die bisherigen Teile der Beitragsreihe haben gezeigt, was Unternehmen beachten müssen, wenn sie selbst Daten erheben und verarbeiten. In der Praxis findet die Datenverarbeitung dagegen selten nur innerhalb des eigenen Unternehmens statt. So wird zum Beispiel ein E-Shop typischerweise auf den Servern eines Webhosters betrieben, Rechnungen werden von einem Software-as-a-Service-Dienst in der Cloud bearbeitet, die IT durch externe Techniker gewartet und Kunden werden über eine US-amerikanische Helpdesk-Plattform betreut.
Bei all diesen Fällen der Weiterleitung, des Empfangs oder der bloßen Möglichkeit der Kenntnisnahme von personenbezogenen Daten durch Dritte (kurz „Weitergabe“), handelt es sich um erlaubnispflichtige Verarbeitungen. Wann die Weitergabe auch erlaubt ist, erfährst du im folgenden Beitrag.
DSGVO: Einwilligung
Einwilligung zur Weitergabe von Daten sollte nur eine Notlösung sein.
Zum einen können die betroffenen Personen in die Weitergabe ihrer Daten einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Doch an Einwilligungen werden hohe Anforderungen gestellt (siehe „Kopplungsverbot“ im Teil 3 der Beitragsreihe) und zudem kann sie schnell widerrufen werden.
Immer, wenn möglich, sollte die Datenweitergabe (auch wenn nur zusätzlich) zudem auch auf eine gesetzliche Erlaubnisnorm gestützt werden (siehe Teil 2 der Beitragsreihe).
Weitergabe zur Vertragserfüllung
Die zur Vertragserfüllung erforderliche Weitergabe von Daten ist zulässig.
Die Weitergabe kann zur Vertragserfüllung erforderlich, den Interessen der Betroffenen entsprechend und damit gesetzlich erlaubt sein (Art. 6 Abs. 1 lit. b DSGVO). Das ist beispielsweise der Fall, wenn ein E-Shop-Betreiber Daten der Kunden an eine Bank und einen Paketzusteller zwecks Bezahlung und Zustellung weitergibt.
Werden die Daten der Kunden jedoch zum Beispiel über eine Customer-Relation-Management-Plattform verwaltet, dann entspricht dies nicht automatisch den Kundeninteressen. Grundsätzlich gehen Kunden davon aus, dass Unternehmen ihre Kunden selbst betreuen und haben kein besonderes Interesse an der Weitergabe ihrer Daten an einen weiteren Anbieter. Das heißt diese Erlaubnisnorm scheidet zwar aus, aber das Unternehmen könnte sich auf die berechtigten Interessen an der Weitergabe berufen.
Berechtigte Interessen an der Weitergabe von Daten
Die Weitergabe von Daten, kann auch ohne Einwilligung und Vertrag zulässig sein.
Zu den berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO gehören auch Interessen an der Gewinnmaximierung, Kostensenkung, Optimierung der Dienste und Steigerung der Usability. Wenn die Interessen der Nutzer am Schutz derer Daten nicht überwiegen, ist in solchen Fällen die Weitergabe erlaubt.
Bei dieser Interessensabwägung kommt es zum einen auf die Art der Daten, den Zweck der Datenweitergabe und mögliche Risiken für die Betroffenen an. So wird die Abwägung grundsätzlich negativ ausfallen, wenn beispielsweise ein E-Shop Kundendaten an Adresshändler verkauft. Hier wird im Regelfall eine Einwilligung der Nutzer notwendig sein. Dagegen sind die Rechte der Nutzer berufsrechtlich und strafrechtlich (§ 203 StGB) gesichert, wenn die Kundendaten an den Steuerberater des E-Shops weitergegeben werden.
In den meisten Fällen liegt die Risikolage irgendwo zwischen diesen beiden Polen und kann mit speziellen Verträgen so gemindert werden, dass die Datenweitergabe erlaubt ist.
Auftragsverarbeitungsvertrag als Erlaubnisgrund für eine Datenweitergabe
Wer für den Schutz der Daten vertraglich sorgt, der darf sie weitergeben.
Bei den meisten heutiger Weitergaben von Daten handelt es sich um sogenannte Fälle der Datenverarbeitung im Auftrag. Das heißt ein Unternehmen beauftragt ein anderes Unternehmen, personenbezogene Daten auf seine Anweisung hin zu verarbeiten. Zum Beispiel wird Google mit Websiteanalysen beauftragt, Newsletterversender mit Versand von Werbemailings oder die US-Helpdesk-Plattform mit dem Kundenmanagement.
Für solche Fälle der „Auftragsverarbeitung“ sieht das Gesetz den Abschluss und die Erfüllung eines speziellen Vertrags als hinreichende Risikominderung für die Betroffenen und damit als Erlaubnisgrundlage vor (Art. 28 Abs. 3 S. 1 DSGVO). Das bedeutet die berechtigten Interessen an der Weitergabe von Daten überwiegen dann die Datenschutzinteressen betroffener Personen und die Weitergabe ist erlaubt.
Das gilt jedoch nur, wenn der Vertrag und seine Umsetzung den gesetzlichen Vorgaben entsprechen.
Voraussetzungen wirksamer Auftragsverarbeitungsverträge
Vertragliche Verpflichtung + Sicherheitskonzept + Liste der Subunternehmer = Auftragsverarbeitungsvertrag.
In einem Auftragsverarbeitungsvertrag muss sich der Auftragnehmer dazu verpflichten, die Daten nur entsprechend dem Auftrag und nach Weisung zu verarbeiten. Dazu gehört noch eine Anzahl weiterer Pflichten, zu denen unter anderem die Verpflichtung der Mitarbeiter auf Vertraulichkeit, Mitwirkung, Beauftragung von weiteren Subunternehmern, Kontrollrechte und technisch-organisatorische Maßnahmen zum Schutz der Daten (diese wurden in Teil 4 der Beitragsreihe erklärt) gehören. Der Vertrag kann ab 25. Mai 2018 auch elektronisch geschlossen werden, die bisherige Pflicht eigenhändiger Unterschriften entfällt.
Es würde den Rahmen sprengen alle Punkte eines Auftragsverarbeitungsvertrages zu erläutert. In den Linktipps findest du jedoch Hinweise zur Vertiefung und Beispiele für derartige Verträge.
Zwei Problempunkte werden jedoch im Folgenden erklärt, da sie in der Praxis Schwierigkeiten mit sich bringen.
Checkliste: Notwendige Inhalte eines Auftragsverarbeitungsvertrages (vereinfacht)
- Angaben zum Auftraggeber und Auftragnehmer
- Kategorien der verarbeiteten Daten (z.B. E-Mailadressen, Namen)
- Kategorien der Verarbeitung betroffenen Personen (z.B. Kunden)
- Zweck der Verarbeitung (z.B. Newsletterversand)
- Vertragliche Verpflichtungen auf Befolgung von Weisungen, Genehmigung von Kontrollen, Beauftragung von Subunternehmern nur mit Zustimmung, Mitwirkung- und Information
- Vertragsdauer
- Technisch-organisatorische Schutzmaßnahmen und sonstige Garantien (siehe Teil 4)
- Liste der Subunternehmer
DSGVO: Beauftragung von Subunternehmern
Bei Auftragsverarbeitungsketten wird es kompliziert.
Es kommt sehr häufig vor, dass Daten nicht nur zwischen zwei, sondern zwischen drei oder mehreren Unternehmen fließen. Angenommen ein Unternehmen beauftragt eine Agentur mit Durchführung von Werbemailings an die Kunden und diese wiederum einen Dienstleister mit der technischen Durchführung des Mailversandes.
Dann liegt eine Kette von Auftragsverarbeitungen vor und das Unternehmen musst es vertraglich absichern, dass die Daten seiner Kunden bei dem technischen Versender genauso geschützt sind wie bei ihm selbst. Dazu muss es der Werbeagentur zum einem erlauben, den technischen Versender überhaupt zu beauftragen. Des Weiteren muss die Werbeagentur dazu verpflichtet werden, den Versender entsprechend auf den Datenschutz zu verpflichten. Also muss auch die Werbeagentur einen Auftragsverarbeitungsvertrag mit dem Versender abschließen. Es liegt dann am Ende die folgende Konstellation vor:
Unternehmen–Auftragsverarbeitungsvertrag–>Werbeagentur—Auftragsverarbeitungsvertrag–>Mailversender
Noch eine Stufe komplizierter wird es, wenn Unternehmen aus sogenannten „Drittländern“ beauftragt werden.
2 Tipps zur Auftragsverarbeitung:
- Als Auftraggeber immer nach Auftragsverarbeitungsverträgen/ Data-Processing-Agreements fragen (z.B. beim Webhoster, Mailversender, Cloud-Dienst, SaaS-Anbieter, Freelancer, IT-Wartung).
- Als Dienstleister/Auftragnehmer selbst Auftragsverarbeitungsverträge für Kunden bereithalten, ansonsten werden sie gestellt und müssen jedes Mal geprüft werden.
Weitergabe von Daten zur Verarbeitung in Drittländern
Sobald die Daten außerhalb der EU verarbeitet werden, sind besondere Garantien notwendig.
Eine Vielzahl von Onlinediensten wird nicht in der EU oder dem europäischen Wirtschaftsraum, sondern von der ganzen übrigen Welt, vor allem von den USA aus, angeboten. Man spricht dabei von „Drittländern“.
In diesem Fall kommt zusätzlich zu den vorstehend geschilderten Voraussetzungen eines Vertrages über Auftragsverarbeitung (im Englischen als „Data-Processing-Agreement“ bezeichnet), eine zweite Prüfungsstufe hinzu. Denn die Weitergabe von Daten außerhalb der EU bringt zusätzliche Gefahren mit sich, die ebenfalls aufgefangen werden müssen.
Dies geschieht, wenn eine der folgenden Voraussetzung bejaht werden kann. Nur dann ist die Datenweitergabe auf Grundlage der berechtigten Interessen erlaubt:
- Es wurde ein angemessenes Datenschutzniveau festgestellt (Art. 45 DSGVO):
- Das Datenschutzniveau wurde durch sogenannte „Angemessenheitsbeschlüsse“ für derzeit folgende Länder festgestellt: Andorra, Argentinien, Kanada (eingeschränkt), Schweiz, Färöer-Inseln, Guernsey, Israel (eingeschränkt), Isle of Man, Jersey, Neuseeland und Uruguay.
- Ebenfalls ein angemessenes Datenschutzniveau gilt für US-Unternehmen, die nach dem Privacy-Shield-Abkommen zertifiziert sind.
- Wurde kein angemessenes Datenschutzniveau festgestellt, müssen geeignete Garantien vorgelegt werden (Art. 46 DSGVO):
- Genehmigte „Binding-Corporate-Rules“ (d.h. unternehmensinterne Selbstverpflichtungen).
- Standarddatenschutzklauseln der Kommission/Aufsichtsbehörde.
- Genehmigte Zertifizierungsverfahren.
- Es wurden Ausnahmen für bestimmte Fälle getroffen (Art. 49 DSGVO).
- Es liegt eine Einwilligung der Nutzer mit der Weitergabe der Daten vor (Nutzer müssen jedoch auch transparent über die Risiken der Übermittlung in ein Drittland belehrt werden).
- Die Weitergabe von Daten ist zur Vertragserfüllung erforderlich (z.B. wenn Ware auf Wunsch des Kunden direkt aus den USA geliefert werden soll und die dortigen Paketversender die Adressdaten des Kunden erhalten).
- Verfolgung von Rechtsansprüchen (d.h. wenn man z.B. in den USA Klagen einreicht) und weniger relevant die Verfolgung lebenswichtiger und Wahrung sonstiger zwingender berechtigter Interessen in Sonderfällen.
Fazit und Checkliste
Datenflüsse zwischen Unternehmen sind alltäglich geworden und dementsprechend schickt sich die DSGVO dazu an, auch den „freien Verkehr personenbezogener Daten“ zu gewährleisten (Art. 1 Abs. 3 DSGVO).
Angesichts dieses hehren Zieles, erscheint die gesetzliche Regelung der Datenflüsse als umständlich ausgestaltet. Anderseits muss das Recht abstrakte Regeln treffen und Vereinfachungen sind eher seitens der Technik, durch standardisierte Schutz- und Datentransferprozesse zu erwarten.
Bis dahin sorgt ein Bußgeld von bis zu zwei Prozent des Jahresumsatzes (für den Auftraggeber und den Auftragnehmer), dass der Datenschutz auf die gleiche Stufe wie Steuerpflichten vorrückt. Das gilt dann passenderweise auch für die Verständlichkeit der gesetzlichen Regelungen.
Checkliste: Erlaubnis der Weitergabe personenbezogener Daten an Dritte |
|
|
|
|
Nach diesem Teil wird es noch einen weiteren Teil der Beitragsreihe geben. In diesem wird es um die Rechte der Nutzer und die Informationspflichten, also vor allem um die Datenschutzerklärung gehen.
Bisheriger Teile der DSGVO-Beitragsreihe
Teil 1 – DSGVO: Diese Änderungen kommen auf dein Online-Business zu
Teil 2 – DSGVO: Welche Daten du nutzen darfst – und welche nicht
Teil 3 – DSGVO: So holst du Einwilligungen richtig ein
Teil 4 – DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten
Ich beschäftige mich nun schon seit rund einem Jahr mit der Verordnung und ich frage mich welches Unternehmen diese risikofrei umsetzen kann. Selbst wenn das jemand ehrlich umsetzen möchte hat er einen Berg an Verantwortung vor sich. Abgesehen von der Zeit die Sache zu studieren, sich dann daraus einen Arbeitsplan zurecht zu lagen und abzuarbeiten, kommen auch Kosten ungeahnter Höhe auf ihn zu.
Die Kosten sind nicht alleine nur Softwarekosten sondern auch Anwaltskosten.
Spannend ist die Tatsache, dass sich niemand darüber Gedanken gemacht hat, wie die Verordnung in das Vertragsrecht integriert wird.
Stellen Sie sich vor, sie kaufen heute eine Firma. Die Adressen der Kunden ist ein großer Teil des Firmenwertes. Wenn diese Adressen aber nicht rechtssicher sind, ist der ganze Firmenwert ab Mai 2018, dahin.
Wer haftet dann dafür? Der Anwalt, der den Vertrag dafür aufgesetzt hat und die Berücksichtigung der Verordnung vergessen hat? Er haftet – aber ist das von seiner Versicherung gedeckt?
Eigentlich muss man sich so verhalten, als ist die Verordnung schon in Kraft. Aber ich kenne niemanden der das so sieht. Viele glauben, sie tritt erst in Kraft – nein das ist nicht der Fall. Wir sind jetzt in der Umsetzungsphase. Am besten stellt man sich das so vor: Sie haben eine Wohnung verkauft und die Übergabe ist im Mai 2018.
„Bei den meisten heutiger Weitergaben von Daten handelt es sich um sogenannte Fälle der Datenverarbeitung im Auftrag.“ Ist so eigentlich nicht richtig. Rechtlich gesehen, handelt es sich bei einem Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO nicht um eine Weitergabe/Übermittlung, die Daten sind immer noch in der Verantwortung des Verantwortlichen (Auftraggeber).
Ferner würden die Beispiele „Cloud“, „Helpdesk“ auf Grundlage der Art. 6 Abs. 1 lit. a bis f m. E. sowieso herausfallen, da hier zwingend ein Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO vorliegt.
Was mich interessieren würde. Wie verhält es sich im Falle einer Übertragung von Kundendaten, nachdem bspw. ein Freelancer einen bestehenden Kundenstamm einer Agentur übernimmt? Wie läuft hier der Hase? Kennt sich jemand mit dieser Thematik aus?