Datenübermittlung nach DSGVO

Unter Datenübermittlung im Sinne der DSGVO versteht man bspw. die Weitergabe von personenbezogenen Daten innerhalb eines Konzerns oder an Dritte. Bevor eine Datenübermittlung erfolgen darf, muss zunächst geprüft werden, ob eine Rechtsgrundlage zur Übermittlung vorliegt. Zudem ist zwischen einer Datenübermittlung innerhalb des Europäischen Wirtschaftsraums (folgend EWR) und einer Datenübermittlung in Drittländer zu unterschieden. In diesem Blog-News wird die Datenübermittlung innerhalb des EWR betrachtet. 

‍

Verschiedene Arten von Daten

Die Übermittlung von Daten lässt sich in drei verschiedene Arten einteilen:

1. Die Übermittlung an einen Dritten, der die Daten als eigenständiger Verantwortlicher verarbeitet. Dies umfasst bspw. Übermittlungen an Behörden.
2. Die Verarbeitung findet aufgrund einer gemeinsamen Verantwortlichkeit statt (auch Joint-Controllership genannt). 
3. Die Übermittlung an einen weisungsgebundenen Dienstleister, der als Auftragsverarbeiter für den Verantwortlichen tätig wird.  

‍

Wie haben Sie bei einer Datenübermittlung vorzugehen?

Jede Datenübermittlung, ob an eine Behörde oder einen Dienstleister stellt einen Verarbeitungsvorgang mit personenbezogenen Daten nach Art. 4 Nr. 1 und Nr. 2 DSGVO dar. Da jede der zuvor genannten Varianten der Datenübermittlung andere Rechtsfolgen nach sich zieht, ist zuerst die Art der Übermittlung zu bestimmen und dann die in Betracht kommende Rechtsgrundlage.

‍

Datenübermittlung an eine Behörde

Ob die Polizei oder das Finanzamt, immer wieder kommen Ämter oder Behörden auf Verantwortliche zu und verlangen Auskunft zu bestimmten Sachverhalten. Bei Auskunftsersuchen der Polizei bzw. anderer Behörden stellt sich die Problematik, dass einerseits staatlichen Anfragen Folge zu leisten ist, andererseits der Datenschutz – gegenüber den Mitgliedern, Kunden oder Beschäftigten – eingehalten werden muss.

Stellt Ihnen bspw. das Finanzamt oder die Agentur für Arbeit eine Anfrage oder verlangt Auskunft, so können Sie sich bei der Weitergabe personenbezogener Daten in der Regel auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. c) DSGVO berufen. Diese ist dann verwendbar, wenn eine rechtliche Verpflichtung zur Herausgabe der Daten besteht. Diese konkrete Verpflichtung sollte Ihnen die anfragende Behörde mitteilen. Auf allgemeine Anfragen, zu einer Antwort Sie nicht rechtlich verpflichtet sind, sollte die Datenübermittlung verweigern werden.  

Gem. § 24 Abs. 1 BDSG ist eine Datenweitergabe grundsätzlich zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erlaubt. Außerdem darf kein Grund zur Annahme bestehen, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat.

In der Praxis bedeutet dies, dass Sie sich ausreichend informieren lassen sollten, über:

• den Tatvorwurf,
• den Zweck der Verarbeitung durch die Ermittlungsbehörde,
• die Rechtsgrundlage der Anfrage und
• Gesetzliche Verpflichtung zur Übermittlung.

Unter Abwägung der oben genannten Punkte, müssen die schutzwürdigen Interessen des Betroffenen abgewogen werden. Überwiegt das Interesse der betroffenen Person, sollten Sie sich vor Herausgabe beraten lassen.

Ist eine Übermittlung zulässig, hat zunächst noch die Information an die Betroffenen nach Art. 13 Abs. 3 DSGVO zu erfolgen. Von dieser kann nur abgesehen werden, wenn die Polizeibehörden eine dadurch entstehende Gefährdung der Ermittlungsmaßnahmen erläutern und ebenfalls eine Rechtsgrundlage nennen.

Übrigens wird empfohlen, dass Sie keine telefonischen Auskünfte erteilen. Aber auch auf anderen Wegen sollten Sie sich stets von der Ordnungsmäßigkeit der Anfrage überzeugen.

‍

Datenübermittlung an einem gemeinsamen Verantwortlichen

Gem. Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung von personenbezogenen Daten entscheidet“. Bei Kooperationen mit anderen Vereinen oder sonstigen Stellen ist demnach zu prüfen, ob Entscheidungen über die Datenverarbeitung alleine (jeder für sich) oder gemeinsam (nach festgelegten Kriterien) getroffen werden. Im zweiten Fall kann von einer gemeinsamen Verantwortlichkeit ausgegangen werden. In diesem Fall sind die involvierten Parteien verpflichtet einen Vertrag über die gemeinsame Verantwortung bei der Datenverarbeitung (auch Joint-Controller-Agreement) nach Art. 26 Abs. 1 DSGVO zu schließen.

Hierbei ist zu beachten, dass Art. 26 DSGVO zwar die Modalitäten regelt, wie eine gemeinsame Verantwortlichkeit zu gestalten ist, jedoch keine Rechtsgrundlage darstellt, nach der eine Datenverarbeitung legitimiert werden kann. Dafür ist weiterhin eine Rechtgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich. Oftmals liegt hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO zu Gunsten des Verantwortlichen vor, welches im Einzelfall darzulegen ist.

‍

Datenübermittlung im Rahmen einer Auftragsverarbeitung

Verantwortlicher ist derjenige, der die Mittel und Zwecke der Datenverarbeitung festlegt und über die Mittel entscheidet. Daher ist Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter erbringt demnach eine weisungsgebundene Dienstleistung, deren Hauptzweck die Verarbeitung der personenbezogenen Daten ist. Auftragsverarbeiter dürfen kein eigenes Interesse an der Datenverarbeitung verfolgen, mit Ausnahme der Erbringung der vereinbarten Dienstleistung an sich. Nach Art. 28 DSGVO besteht eine Verpflichtung einen Vertrag zwischen den beiden Parteien zu schließen, welcher nach Art. 28 Abs. 9 DSGVO „schriftlich“ zu schließen ist, wobei auch ein elektronisches Format zulässig ist. Häufige Beispiele für eine Auftragsverarbeitung sind:

• Outsourcing des Rechenzentrums,
• Erstellung von Lohn- und Gehaltsabrechnungen (Ausnahme: Steuerberaterleistungen),
• Papier- und Aktenvernichtung einschließlich der Vernichtung von Datenträgern,
• Werbeadressenverarbeitung in einem Lettershop,
• Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume oder
• Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen.

Im Gegensatz zur gemeinsamen Verantwortlichkeit, bedarf es für die Datenübermittlung zum Auftragsverarbeiter keiner „normalen“ Rechtsgrundlage für die Datenübermittlung. Es ist ausreichend, wenn die Voraussetzungen des Art. 28 DSGVO eingehalten werden.

Hinweis: Steuerberater sind keine Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Dies ergibt sich aus den besonderen berufsrechtlichen Vorgaben für Steuerberater. Danach haben Steuerberater ihre beruflichen Tätigkeiten weisungsfrei, eigenverantwortlich und unabhängig auszuüben (§ 11 Abs. 2 Satz 1 und Satz 2, § 32 Abs. 2 Satz 1 sowie § 57 des Steuerberatungsgesetzes (StBerG)). Dies gilt auch, soweit sie zusätzlich Aufgaben im Rahmen der Lohn- und Gehaltsbuchhaltung wahrnehmen. Eine weisungsgebundene Tätigkeit im Sinne einer Auftragsverarbeitung nach Art. 28 DSGVO stünde den berufsrechtlichen Regelungen entgegen. Als Rechtsgrundlage für die Datenverarbeitung durch den Steuerberater kommt Art. 6 Abs. 1 lit. b) DSGVO in Verbindung mit § 11 Abs. 1 S. 1 StBerG (gegebenenfalls für besondere Kategorien personenbezogener Daten in Verbindung mit Art. 9 Abs. 2 lit. g) DSGVO in Verbindung mit § 11 Abs. 2 S. 3 StBerG) in Betracht. Das gleiche gilt für Rechtsanwälte, Ärzte oder Datenschutzbeauftragte, da diese als Berufsgeheimnisträger niemals weisungsgebunden handeln.

‍

Zusammenfassung

Die regelkonforme Datenübermittlung ist ein komplexes Themengebiet und an einige Anforderungen geknüpft. In der Praxis empfiehlt sich die beschriebene Herangehensweise, sich zuerst über die Rechtsbeziehung zur anderen Partei oder der Behörde Sicherheit zu verschaffen, dann die Rechtgrundlage für die Datenverarbeitung zu klären und anschließend zu überprüfen, ob eine zulässige Drittlandübermittlung vorliegt.

Behörden, gemeinsame Verantwortliche und Auftragsverarbeiter sind im Regelfall Empfänger von Daten (Art. 4 Nr. 9 DSGVO), sodass die betroffenen Personen im Rahmen der Informationspflichten nach Art. 13 DSGVO stets darauf hinzuweisen sind, dass eine Datenübermittlung erfolgt.

Weitere Informationen finden Sie nachfolgend unter:

Der Bayerische Landesbeauftragte für den Datenschutz; Auftragsverarbeitung Orientierungshilfe; Stand 1. April 2019; zu erreichen unter folgenden Link: https://www.datenschutz-bayern.de/technik/orient/oh_auftragsverarbeitung.pdf

ActiveMind AG; Datenübermittlung zwischen Unternehmen (Anleitung); Stand 8. Juni 2020; zu erreichen unter folgendem Link: https://www.activemind.de/magazin/datenuebermittlung-unternehmen/

Dr. Datenschutz; Polizeianfragen: Rechtskonforme Datenweitergabe nach der DSGVO; Stand 17. September 2018; zu erreichen unter folgendem Link: https://www.dr-datenschutz.de/polizeianfragen-rechtskonforme-datenweitergabe-nach-der-dsgvo

‍