Anzeige
Anzeige
Ratgeber
Artikel merken

DSGVO: Weitergabe von Daten an Dritte – so gehts (Teil 5)

Wenn beispielsweise Rechnungen in der Cloud eines Software-Anbieters bearbeitet werden, kommt es zur Weitergabe von Daten an Dritte. Doch wie hält man dabei die DSGVO ein? So geht’s.

Von Thomas Schwenke
7 Min. Lesezeit
Anzeige
Anzeige
Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Die bisherigen Teile der Beitragsreihe haben gezeigt, was Unternehmen beachten müssen, wenn sie selbst Daten erheben und verarbeiten. In der Praxis findet die Datenverarbeitung dagegen selten nur innerhalb des eigenen Unternehmens statt. So wird zum Beispiel ein E-Shop typischerweise auf den Servern eines Webhosters betrieben, Rechnungen werden von einem Software-as-a-Service-Dienst in der Cloud bearbeitet, die IT durch externe Techniker gewartet und Kunden werden über eine US-amerikanische Helpdesk-Plattform betreut.

Anzeige
Anzeige

Bei all diesen Fällen der Weiterleitung, des Empfangs oder der bloßen Möglichkeit der Kenntnisnahme von personenbezogenen Daten durch Dritte (kurz „Weitergabe“), handelt es sich um erlaubnispflichtige Verarbeitungen. Wann die Weitergabe auch erlaubt ist, erfährst du im folgenden Beitrag.

DSGVO: Einwilligung

Einwilligung zur Weitergabe von Daten sollte nur eine Notlösung sein.

Anzeige
Anzeige

Zum einen können die betroffenen Personen in die Weitergabe ihrer Daten einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Doch an Einwilligungen werden hohe Anforderungen gestellt (siehe „Kopplungsverbot“ im Teil 3 der Beitragsreihe) und zudem kann sie schnell widerrufen werden.

Anzeige
Anzeige

Immer, wenn möglich, sollte die Datenweitergabe (auch wenn nur zusätzlich) zudem auch auf eine gesetzliche Erlaubnisnorm gestützt werden (siehe Teil 2 der Beitragsreihe).

Weitergabe zur Vertragserfüllung

Die zur Vertragserfüllung erforderliche Weitergabe von Daten ist zulässig.

Anzeige
Anzeige

Die Weitergabe kann zur Vertragserfüllung erforderlich, den Interessen der Betroffenen entsprechend und damit gesetzlich erlaubt sein (Art. 6 Abs. 1 lit. b DSGVO). Das ist beispielsweise der Fall, wenn ein E-Shop-Betreiber Daten der Kunden an eine Bank und einen Paketzusteller zwecks Bezahlung und Zustellung weitergibt.

Werden die Daten der Kunden jedoch zum Beispiel über eine Customer-Relation-Management-Plattform verwaltet, dann entspricht dies nicht automatisch den Kundeninteressen. Grundsätzlich gehen Kunden davon aus, dass Unternehmen ihre Kunden selbst betreuen und haben kein besonderes Interesse an der Weitergabe ihrer Daten an einen weiteren Anbieter. Das heißt diese Erlaubnisnorm scheidet zwar aus, aber das Unternehmen könnte sich auf die berechtigten Interessen an der Weitergabe berufen.

Berechtigte Interessen an der Weitergabe von Daten

Die Weitergabe von Daten, kann auch ohne Einwilligung und Vertrag zulässig sein.

Anzeige
Anzeige

Zu den berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO gehören auch Interessen an der Gewinnmaximierung, Kostensenkung, Optimierung der Dienste und Steigerung der Usability. Wenn die Interessen der Nutzer am Schutz derer Daten nicht überwiegen, ist in solchen Fällen die Weitergabe erlaubt.

Bei dieser Interessensabwägung kommt es zum einen auf die Art der Daten, den Zweck der Datenweitergabe und mögliche Risiken für die Betroffenen an. So wird die Abwägung grundsätzlich negativ ausfallen, wenn beispielsweise ein E-Shop Kundendaten an Adresshändler verkauft. Hier wird im Regelfall eine Einwilligung der Nutzer notwendig sein. Dagegen sind die Rechte der Nutzer berufsrechtlich und strafrechtlich (§ 203 StGB) gesichert, wenn die Kundendaten an den Steuerberater des E-Shops weitergegeben werden.

In den meisten Fällen liegt die Risikolage irgendwo zwischen diesen beiden Polen und kann mit speziellen Verträgen so gemindert werden, dass die Datenweitergabe erlaubt ist.

Anzeige
Anzeige

Auftragsverarbeitungsvertrag als Erlaubnisgrund für eine Datenweitergabe

Wer für den Schutz der Daten vertraglich sorgt, der darf sie weitergeben.

Bei den meisten heutiger Weitergaben von Daten handelt es sich um sogenannte Fälle der Datenverarbeitung im Auftrag. Das heißt ein Unternehmen beauftragt ein anderes Unternehmen, personenbezogene Daten auf seine Anweisung hin zu verarbeiten. Zum Beispiel wird Google mit Websiteanalysen beauftragt, Newsletterversender mit Versand von Werbemailings oder die US-Helpdesk-Plattform mit dem Kundenmanagement.

Für solche Fälle der „Auftragsverarbeitung“ sieht das Gesetz den Abschluss und die Erfüllung eines speziellen Vertrags als hinreichende Risikominderung für die Betroffenen und damit als Erlaubnisgrundlage vor (Art. 28 Abs. 3 S. 1 DSGVO). Das bedeutet die berechtigten Interessen an der Weitergabe von Daten überwiegen dann die Datenschutzinteressen betroffener Personen und die Weitergabe ist erlaubt.

Anzeige
Anzeige

Das gilt jedoch nur, wenn der Vertrag und seine Umsetzung den gesetzlichen Vorgaben entsprechen.

Voraussetzungen wirksamer Auftragsverarbeitungsverträge

Vertragliche Verpflichtung + Sicherheitskonzept + Liste der Subunternehmer = Auftragsverarbeitungsvertrag.

In einem Auftragsverarbeitungsvertrag muss sich der Auftragnehmer dazu verpflichten, die Daten nur entsprechend dem Auftrag und nach Weisung zu verarbeiten. Dazu gehört noch eine Anzahl weiterer Pflichten, zu denen unter anderem die Verpflichtung der Mitarbeiter auf Vertraulichkeit, Mitwirkung, Beauftragung von weiteren Subunternehmern, Kontrollrechte und technisch-organisatorische Maßnahmen zum Schutz der Daten (diese wurden in Teil 4 der Beitragsreihe erklärt) gehören. Der Vertrag kann ab 25. Mai 2018 auch elektronisch geschlossen werden, die bisherige Pflicht eigenhändiger Unterschriften entfällt.

Anzeige
Anzeige

Es würde den Rahmen sprengen alle Punkte eines Auftragsverarbeitungsvertrages zu erläutert. In den Linktipps findest du jedoch Hinweise zur Vertiefung und Beispiele für derartige Verträge.

Zwei Problempunkte werden jedoch im Folgenden erklärt, da sie in der Praxis Schwierigkeiten mit sich bringen.

Checkliste: Notwendige Inhalte eines Auftragsverarbeitungsvertrages (vereinfacht)

Anzeige
Anzeige
  • Angaben zum Auftraggeber und Auftragnehmer
  • Kategorien der verarbeiteten Daten (z.B. E-Mailadressen, Namen)
  • Kategorien der Verarbeitung betroffenen Personen (z.B. Kunden)
  • Zweck der Verarbeitung (z.B. Newsletterversand)
  • Vertragliche Verpflichtungen auf Befolgung von Weisungen, Genehmigung von Kontrollen, Beauftragung von Subunternehmern nur mit Zustimmung, Mitwirkung- und Information
  • Vertragsdauer
  • Technisch-organisatorische Schutzmaßnahmen und sonstige Garantien (siehe Teil 4)
  • Liste der Subunternehmer

DSGVO: Beauftragung von Subunternehmern

Bei Auftragsverarbeitungsketten wird es kompliziert.

Es kommt sehr häufig vor, dass Daten nicht nur zwischen zwei, sondern zwischen drei oder mehreren Unternehmen fließen. Angenommen ein Unternehmen beauftragt eine Agentur mit Durchführung von Werbemailings an die Kunden und diese wiederum einen Dienstleister mit der technischen Durchführung des Mailversandes.

Dann liegt eine Kette von Auftragsverarbeitungen vor und das Unternehmen musst es vertraglich absichern, dass die Daten seiner Kunden bei dem technischen Versender genauso geschützt sind wie bei ihm selbst. Dazu muss es der Werbeagentur zum einem erlauben, den technischen Versender überhaupt zu beauftragen. Des Weiteren muss die Werbeagentur dazu verpflichtet werden, den Versender entsprechend auf den Datenschutz zu verpflichten.  Also muss auch die Werbeagentur einen Auftragsverarbeitungsvertrag mit dem Versender abschließen. Es liegt dann am Ende die folgende Konstellation vor:

Unternehmen–Auftragsverarbeitungsvertrag–>Werbeagentur—Auftragsverarbeitungsvertrag–>Mailversender

Noch eine Stufe komplizierter wird es, wenn Unternehmen aus sogenannten „Drittländern“ beauftragt werden.

2 Tipps zur Auftragsverarbeitung:

  • Als Auftraggeber immer nach Auftragsverarbeitungsverträgen/ Data-Processing-Agreements fragen (z.B. beim Webhoster, Mailversender, Cloud-Dienst, SaaS-Anbieter, Freelancer, IT-Wartung).
  • Als Dienstleister/Auftragnehmer selbst Auftragsverarbeitungsverträge für Kunden bereithalten, ansonsten werden sie gestellt und müssen jedes Mal geprüft werden.

Weitergabe von Daten zur Verarbeitung in Drittländern

Sobald die Daten außerhalb der EU verarbeitet werden, sind besondere Garantien notwendig.

Eine Vielzahl von Onlinediensten wird nicht in der EU oder dem europäischen Wirtschaftsraum, sondern von der ganzen übrigen Welt, vor allem von den USA aus, angeboten. Man spricht dabei von „Drittländern“.

In diesem Fall kommt zusätzlich zu den vorstehend geschilderten Voraussetzungen eines Vertrages über Auftragsverarbeitung (im Englischen als „Data-Processing-Agreement“ bezeichnet), eine zweite Prüfungsstufe hinzu. Denn die Weitergabe von Daten außerhalb der EU bringt zusätzliche Gefahren mit sich, die ebenfalls aufgefangen werden müssen.

Dies geschieht, wenn eine der folgenden Voraussetzung bejaht werden kann. Nur dann ist die Datenweitergabe auf Grundlage der berechtigten Interessen erlaubt:

  • Es wurde ein angemessenes Datenschutzniveau festgestellt (Art. 45 DSGVO):
    • Das Datenschutzniveau wurde durch sogenannte „Angemessenheitsbeschlüsse“ für derzeit folgende Länder festgestellt: Andorra, Argentinien, Kanada (eingeschränkt), Schweiz, Färöer-Inseln, Guernsey, Israel (eingeschränkt), Isle of Man, Jersey, Neuseeland und Uruguay.
    • Ebenfalls ein angemessenes Datenschutzniveau gilt für US-Unternehmen, die nach dem Privacy-Shield-Abkommen zertifiziert sind.
  • Wurde kein angemessenes Datenschutzniveau festgestellt, müssen geeignete Garantien vorgelegt werden (Art. 46 DSGVO):
    • Genehmigte „Binding-Corporate-Rules“ (d.h. unternehmensinterne Selbstverpflichtungen).
    • Standarddatenschutzklauseln der Kommission/Aufsichtsbehörde.
    • Genehmigte Zertifizierungsverfahren.
  • Es wurden Ausnahmen für bestimmte Fälle getroffen (Art. 49 DSGVO).
    • Es liegt eine Einwilligung der Nutzer mit der Weitergabe der Daten vor (Nutzer müssen jedoch auch transparent über die Risiken der Übermittlung in ein Drittland belehrt werden).
    • Die Weitergabe von Daten ist zur Vertragserfüllung erforderlich (z.B. wenn Ware auf Wunsch des Kunden direkt aus den USA geliefert werden soll und die dortigen Paketversender die Adressdaten des Kunden erhalten).
    • Verfolgung von Rechtsansprüchen (d.h. wenn man z.B. in den USA Klagen einreicht) und weniger relevant die Verfolgung lebenswichtiger und Wahrung sonstiger zwingender berechtigter Interessen in Sonderfällen.

Fazit und Checkliste

Datenflüsse zwischen Unternehmen sind alltäglich geworden und dementsprechend schickt sich die DSGVO dazu an, auch den „freien Verkehr personenbezogener Daten“ zu gewährleisten (Art. 1 Abs. 3 DSGVO).

Angesichts dieses hehren Zieles, erscheint die gesetzliche Regelung der Datenflüsse als umständlich ausgestaltet. Anderseits muss das Recht abstrakte Regeln treffen und Vereinfachungen sind eher seitens der Technik, durch standardisierte Schutz- und Datentransferprozesse zu erwarten.

Bis dahin sorgt ein Bußgeld von bis zu zwei Prozent des Jahresumsatzes (für den Auftraggeber und den Auftragnehmer), dass der Datenschutz auf die gleiche Stufe wie Steuerpflichten vorrückt. Das gilt dann passenderweise auch für die Verständlichkeit der gesetzlichen Regelungen.

Checkliste: Erlaubnis der Weitergabe personenbezogener Daten an Dritte
  1. Bekommen Dritte mindestens eine Möglichkeit der Kenntnisnahme personenbezogener Daten? Wenn ja:
  2. Haben die Betroffenen nach umfassender Information eingewilligt? Wenn ja, dann ist die Weitergabe erlaubt (trotzdem sollte weiter geprüft werden, ob nicht zusätzlich eine gesetzliche Erlaubnis vorliegt). Wenn nein:
  1. Ist die Weitergabe für die Vertragserfüllung erforderlich und entspricht den Interessen der Betroffenen (beispielsweise E-Shop)? Wenn ja, dann darf die Weitergabe erfolgen. Wenn nein:
  1. Liegt eine Verarbeitung im Auftrag vor und liegt ein wirksamer Auftragsverarbeitungsvertrag vor? Wenn nein, dann ist sie unerlaubt. Wenn ja:
  1. Werden die Daten in einem Drittland (außerhalb EU/EWR, beispielsweise USA) verarbeitet? Wenn nein, dann ist die Weitergabe erlaubt. Wenn ja, dann müssen zusätzliche Anforderung erfüllt werden:
  • Anerkanntes Schutzniveau (And, Arg, Ca, Ch, ISR, NZ, Ury, etc.)
  • Privacy-Shield-Zertifizierung (Unternehmen in der Liste suchen)
  • Standarddatenschutzklauseln
  • Spezielle genehmigte Schutzverfahren (Binding-Corporate-Rules)
  • Erforderlichkeit für Vertragserfüllung (Warenlieferung aus den USA)
  • Einwilligung (Umfassend über Risiken der Auslandsverarbeitung informieren)

Nach diesem Teil wird es noch einen weiteren Teil der Beitragsreihe geben. In diesem wird es um die Rechte der Nutzer und die Informationspflichten, also vor allem um die Datenschutzerklärung gehen.

Bisheriger Teile der DSGVO-Beitragsreihe

Teil 1 – DSGVO: Diese Änderungen kommen auf dein Online-Business zu

Teil 2 – DSGVO: Welche Daten du nutzen darfst – und welche nicht

Teil 3 – DSGVO: So holst du Einwilligungen richtig ein

Teil 4 – DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
3 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Friedrich Howanietz

Ich beschäftige mich nun schon seit rund einem Jahr mit der Verordnung und ich frage mich welches Unternehmen diese risikofrei umsetzen kann. Selbst wenn das jemand ehrlich umsetzen möchte hat er einen Berg an Verantwortung vor sich. Abgesehen von der Zeit die Sache zu studieren, sich dann daraus einen Arbeitsplan zurecht zu lagen und abzuarbeiten, kommen auch Kosten ungeahnter Höhe auf ihn zu.
Die Kosten sind nicht alleine nur Softwarekosten sondern auch Anwaltskosten.

Spannend ist die Tatsache, dass sich niemand darüber Gedanken gemacht hat, wie die Verordnung in das Vertragsrecht integriert wird.

Stellen Sie sich vor, sie kaufen heute eine Firma. Die Adressen der Kunden ist ein großer Teil des Firmenwertes. Wenn diese Adressen aber nicht rechtssicher sind, ist der ganze Firmenwert ab Mai 2018, dahin.
Wer haftet dann dafür? Der Anwalt, der den Vertrag dafür aufgesetzt hat und die Berücksichtigung der Verordnung vergessen hat? Er haftet – aber ist das von seiner Versicherung gedeckt?

Eigentlich muss man sich so verhalten, als ist die Verordnung schon in Kraft. Aber ich kenne niemanden der das so sieht. Viele glauben, sie tritt erst in Kraft – nein das ist nicht der Fall. Wir sind jetzt in der Umsetzungsphase. Am besten stellt man sich das so vor: Sie haben eine Wohnung verkauft und die Übergabe ist im Mai 2018.

Antworten
Sv

„Bei den meisten heutiger Weitergaben von Daten handelt es sich um sogenannte Fälle der Datenverarbeitung im Auftrag.“ Ist so eigentlich nicht richtig. Rechtlich gesehen, handelt es sich bei einem Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO nicht um eine Weitergabe/Übermittlung, die Daten sind immer noch in der Verantwortung des Verantwortlichen (Auftraggeber).

Ferner würden die Beispiele „Cloud“, „Helpdesk“ auf Grundlage der Art. 6 Abs. 1 lit. a bis f m. E. sowieso herausfallen, da hier zwingend ein Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO vorliegt.

Antworten
Stefan Paulus

Was mich interessieren würde. Wie verhält es sich im Falle einer Übertragung von Kundendaten, nachdem bspw. ein Freelancer einen bestehenden Kundenstamm einer Agentur übernimmt? Wie läuft hier der Hase? Kennt sich jemand mit dieser Thematik aus?

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige