Kategorien
Neueste Beiträge
Externe Empfänger personenbezogener Daten
Wann immer eine datenschutzrechtlich verantwortliche Stelle personenbezogene Daten verarbeitet, besteht die Möglichkeit, dass Externe Empfänger personenbezogener Daten sind. Dabei ergeben sich verschiedene zu beachtende Aspekte – im Folgenden, gehen wir auf nach unserer Erfahrung wesentliche Aspekte ein.
Grund für die Übermittlung
Externe Parteien können Empfänger personenbezogener Daten sein, indem sie z. B. Dienstleister des Verantwortlichen im Rahmen einer Auftragsverarbeitung nach Art. 28 DSVO sind. Auch wer die personenbezogenen Daten gekauft hat (z. B. Adresshandel), kann Empfänger sein. Das Gesundheitsamt oder das Krebsregister sind auf aufgrund gesetzlicher Vorgaben Empfänger der gesetzlich verpflichtenden Meldungen.
Je nach Art eines Dienstleistungsvertrages oder einer gesetzlichen Vorgabe ergeben sich verschiedene Pflichten, die ein Verantwortlicher einhalten muss.
Auftragsverarbeitung oder gemeinsame Verantwortlichkeit
Übermittelt ein Verantwortlicher personenbezogene Daten an Dritte, also an Empfänger außerhalb der eigenen Organisationseinheit, so muss er prüfen, auf welcher datenschutzrechtlichen Rechtsgrundlage die Übermittlung erfolgen darf. Demnach liegt möglicherweise eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vor. Ist eine Tätigkeit als Auftragsverarbeitung einzuordnen (bei Zweifelsfragen helfen wir gern), muss ein entsprechender Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO geschlossen werden. Legen mindestens zwei Stellen die Zwecke und Mittel der Datenverarbeitung fest, muss ein Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zwischen den involvierten Parteien vereinbart werden.
Informationspflichten
Einen Verantwortlichen treffen umfangreiche gesetzliche Informationspflichten. Empfängt er die personenbezogenen Daten von einer anderen Partei, also nicht direkt von den betroffenen Personen, so muss er die Betroffenen darüber informieren (Art. 14 DSGVO), sofern keine der im Gesetz genannten Ausnahmen vorliegt.
Ein Unternehmen, eine Einrichtung, eine Behörde, ein Verein, eine Arztpraxis etc., der/die die personenbezogenen Daten exportiert, muss ebenfalls in den relevanten Datenschutzinformation darüber informieren, an wen die Daten weitergeleitet werden (Art. 13 DSGVO). Dies spezifiziert Art. 13 Abs. 1 lit. e) DSGVO, wonach „[…] gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten […]“ genannt werden müssen. Die einen sehen hierin die Möglichkeit für einen Verantwortlichen, zu entscheiden, ob er nur über die Kategorie der Empfänger, z. B. technische Dienstleister im Rahmen einer Auftragsverarbeitung, oder über den jeweiligen konkreten Empfänger informieren muss (z. B. Firma X mit Anschrift als Hosting-Anbieter der Webseite).
Einwilligungserklärungen
Wenn sich keine bessere und sicherere Rechtsgrundlage für eine Datenverarbeitung finden lässt, kann es sogar sein, dass ein Verantwortlicher die Daten nur mit einer freien und informierten Einwilligung der betroffenen Personen übermitteln darf (Artt. 6 Abs. 1 lit. a) DSGVO oder 9 Abs. 2 lit. a) DSGVO i. V. m. Art. 7 DSGVO). Demnach ist die Einwilligung vor dem Export bzw. der Übermittlung der personenbezogenen Daten einzuholen.
Weitere mögliche Rechtsgrundlagen
Eine Einwilligung als Basis für die Übermittlung von personenbezogenen Daten ist nicht die richtige bzw. sinnvollste Rechtsgrundlage, wenn sich die Verarbeitung auch auf eine andere Rechtsgrundlage stützen lässt. Schließlich besteht die Möglichkeit, dass den Betroffenen eine nicht vorhandene Wahlmöglichkeit suggeriert wird, wenn ein Verantwortlicher versucht, zusätzlich zu den anderen bestehenden Rechtsgrundlagen noch eine Einwilligung von ihm einzuholen.
Das Problem besteht im Falle des Widerrufes der Einwilligung. Um es einfach auszudrücken: Erst die Einwilligung einzuholen, um dann im Fall eines Widerrufes zu sagen, dass die Daten trotzdem weiterverarbeitet werden, weil ein Verantwortlicher sich dann auf eine andere Rechtsgrundlage stützt, geht nicht. Schließlich kann es auch sein, dass ein Verantwortlicher gesetzlich dazu verpflichtet ist, bestimmte Kategorien personenbezogener Daten an beispielsweise Behörden zu senden. Genauso kann es sein, dass die Verarbeitung auf einem Vertrag beruht (Art. 6 Abs. 1 lit b) DSGVO) oder ein Verantwortlicher ein berechtigtes Interesse an der Übermittlung der Daten hat (Art. 6 Abs. 1 lit. f) DSGVO).
Standort des Empfängers der personenbezogenen Daten
Nicht zu vernachlässigen ist der Standort des Empfängers der personenbezogenen Daten. Dabei sind verschiedene Aspekte zu beachten. Die wesentliche Frage ist, ob der Empfänger seinen Sitz in einem EU- oder EWR-Mitgliedsstaat oder in einem Drittland hat. Dabei ist nicht außer Acht zu lassen, wo der Hauptsitz des Unternehmens ist. Eventuell findet in einem Konzerngefüge ein Datenaustausch statt. Dabei hat ein Tochterunternehmen den Sitz möglicherweise in der EU / dem EWR, während das Mutterunternehmen in einem Drittland angesiedelt sein kann. Folglich stellt sich sogar die Frage nach der etwaigen Übermittlung personenbezogener Daten in ein unsicheres Drittland – wenn also kein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO vorliegt. In solch einem Fall ist es nötig, dass eine geeignete Garantie (siehe Art. 46 ff. DSGVO) oder eine Einwilligung der betroffenen Person (Artt. 6 Abs. 1 lit. a) DSGVO oder 9 Abs. 2 lit. a) DSGVO) für die Übermittlung der Daten vorhanden ist.
Übrigens: Allein der Umstand, dass ein in der EU ansässiges Unternehmen Tochter einer US-amerikanischen Muttergesellschaft ist, stellt nach einem Beschluss der Vergabekammer des Bundeskartellamtes keinen Ausschlussgrund aus einem Vergabeverfahren aus datenschutzrechtlichen Gründen dar (VK 2 – 114/22).
Verzeichnis von Verarbeitungstätigkeiten
Natürlich dürfen Informationen über die Datenempfänger nicht im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO fehlen.
Ist ein Unternehmen Auftragsverarbeiter, hat es diese Verarbeitungstätigkeit ebenfalls im Verzeichnis von Verarbeitungstätigkeiten festzuhalten (Art. 30 Abs. 2 DSGVO). Empfehlenswert ist es dabei, ein separates Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeitungen zu führen. So kann ein Unternehmen als Auftragsverarbeiter den relevanten Abschnitt schneller finden oder herausfiltern, falls ein Auftraggeber oder die Datenschutzaufsichtsbehörde diesbezüglich anfragt.
Informationen zu den externen Empfängern
In einem Unternehmen, in dem sich die externen Empfänger beispielsweise aufgrund der Delegation von Aufgaben an externe Dienstleister ergeben („Outsourcing“), ist die Liste der Empfänger personenbezogener Daten womöglich übersichtlich. Umfangreicher gestaltet sich dies eventuell bei Unternehmen, die personenbezogene Daten an andere Unternehmen verkaufen (Handel mit Daten). Wenn die konkreten Empfänger noch nicht feststehen, so muss zumindest die Kategorie, z. B. „Lizenznehmer“ oder „Kunde“, als Empfänger angegeben werden.
Um etwaigen Auskunftsanfragen Betroffener gerecht zu werden (Art. 15 DSGVO), Beschwerden bei Datenschutzaufsichtsbehörden (Art. 77 DSGVO), eventuelle Klagen oder Schadensersatzansprüche zu vermeiden, empfehlen wir auch hier eine genaue Dokumentation zu führen und diese aktuell zu halten. Im Detail bedeutet dies, eine Liste mit u. a. den tatsächlichen Unternehmensnamen und ladungsfähigen Adressen zu führen. Unsere Empfehlung hier ist, dies am besten im entsprechenden Verzeichnis von Verarbeitungstätigkeiten festzuhalten.
Urteil des Europäischen Gerichtshofes
Übrigens gab es zur Frage des Obersten Gerichtshofes (Österreich), ob es ausreicht, die Kategorie der Empfänger personenbezogener Daten zu nennen, eine Antwort (Az.: C-154/21): Demnach entschied der Europäische Gerichtshof (EuGH), dass ein Verantwortlicher in der Lage sein muss, einer betroffenen Person bei einem Auskunftsersuchen auch die Identität der Empfänger ihrer personenbezogenen Daten nennen zu können, „[…] es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind [..]“.
Fazit
Auch wenn ein Verantwortlicher das Thema Datenschutz ernst nimmt, so kann es im Bereich der externen Empfänger personenbezogener Daten eventuell Defizite geben. Diese können darin bestehen, dass bisher, auch intern, nur die Kategorien von Empfängern dokumentiert wurden.
Sowohl bisherige Urteile als auch die Pflicht zur Erfüllung der DSGVO und sonstiger rechtlicher Pflichten zeigen, dass ein Verantwortlicher einen Überblick darüber haben muss, an wen er personenbezogene Daten übermittelt.
Wer während des Lesens dieses Beitrages das Gefühl bekommen hat, beim Datenschutz Beratung und Unterstützung zu benötigen, kann sich für ein kostenfreies Erstgespräch an uns wenden. Im Anschluss erstellen wir Ihnen gern ein unverbindliches Angebot.