Vor­schlag für ein zwei­stu­fi­ges Modell des Daten­aus­tau­sches zwi­schen Ver­ant­wort­li­chen

Beim Aus­tausch von Per­so­nen­da­ten zwi­schen zwei Ver­ant­wort­li­chen gilt – wie immer – der Ver­hält­nis­mä­ssig­keits­grund­satz. Oft ist es aber – aus ope­ra­ti­ven Grün­den – schwie­rig oder kaum mög­lich, den Daten­aus­tausch auf die Not­wen­dig­kei­ten des Emp­fän­gers zu beschrän­ken. Es kann z.B. sein, dass ein Kon­zern­un­ter­neh­men Trans­ak­ti­ons­da­ten oder das Ergeb­nis einer Ana­ly­se sol­cher Daten an ande­re Kon­zern­ge­sell­schaf­ten über­mit­telt, etwa zu Zwecken der Betrugs­be­kämp­fung, des Mar­ke­tings, der Boni­täts­prü­fung usw., oder dass ein Inkas­so­un­ter­neh­men nicht nur die not­wen­di­gen Rech­nungs- und Ver­trags­da­ten, son­dern wei­te­re Infor­ma­tio­nen erhält.

In sol­chen Fäl­len ver­langt der Ver­hält­nis­mä­ssig­keits­grund­satz, dass nur für den jewei­li­gen Zweck des Emp­fän­gers not­wen­di­gen Per­so­nen­da­ten über­mit­telt wer­den, und erst dann, wenn sie kon­kret benö­tigt wer­den (d.h. nicht vor­ab auf Vor­rat); abge­se­hen von den wei­te­ren Vor­aus­set­zun­gen der Trans­pa­renz, der Zweck­bin­dung usw. Das kann prak­tisch schwie­rig sein, wes­halb wir hier ein Modell vor­stel­len, das die­ses Pro­blem lösen kann:

Der Daten­aus­tausch in den beschrie­be­nen Sze­na­ri­en ist ein Aus­tausch zwi­schen zwei Ver­ant­wort­li­chen, weil der Emp­fän­ger die über­mit­tel­ten Daten für sei­ne eige­nen Zwecke bear­bei­tet und die Rah­men­be­din­gun­gen sei­ner Bear­bei­tung selbst bestimmt.

Der Aus­tausch­vor­gang kann nun aber auf­ge­spal­ten wer­den:

1. Auf­trags­be­ar­bei­tung

In einem ersten Schritt kann er als Auf­trags­be­ar­bei­tung aus­ge­stal­tet wer­den:

  • Das über­mit­teln­de Unter­neh­men steht in der Pflicht, Umfang und Zeit­punkt des Daten­aus­tau­sches auf das erfor­der­li­che Mass zu beschrän­ken. Das setzt eine Tria­ge vor­aus – die erfor­der­li­chen Daten müs­sen von Über­schuss­da­ten getrennt wer­den. Für die Daten­hal­tung und für die­se Tria­ge kann das emp­fan­gen­de Unter­neh­men als Auf­trags­be­ar­bei­te­rin ein­ge­setzt wer­den. Die Daten­über­mitt­lung kann in die­sem Schritt daher umfas­sen­der sein. Per­so­nen­da­ten kön­nen so auch vor­aus­schau­end an Unter­neh­men gehen, die die­se Daten für eige­ne Zwecke letzt­lich nicht benö­ti­gen.
  • Das setzt vor allem aber vor­aus, dass die bei­den Unter­neh­men eine Auf­trags­be­ar­bei­tungs­ver­ein­ba­rung schlie­ssen und der Emp­fän­ger die über­mit­tel­ten Per­so­nen­da­ten zunächst tat­säch­lich nur für die Zwecke des über­mit­teln­den Unter­neh­mens ein­setzt. Unter Umstän­den – je nach Risi­ken – ist die Ver­ein­ba­rung einer Kon­ven­tio­nal­stra­fe bei unbe­rech­tig­ten Ent­nah­men sinn­voll, und es ist – beson­ders im inter­nen Ver­hält­nis – an die Fra­ge des Ver­rech­nungs­prei­ses für die im Auf­trag erbrach­te Dienst­lei­stung zu den­ken. Die emp­fan­ge­nen Daten müs­sen phy­sisch oder logisch getrennt auf­be­wahrt wer­den, und die Zugriffs­mög­lich­kei­ten sei­tens des Emp­fän­gers sind ent­spre­chend, durch ein tech­nisch imple­men­tier­tes Zugriffs­kon­zept, auf das Not­wen­di­ge zu beschrän­ken.
  • In die­sem ersten Schritt ver­hält sich der Emp­fän­ger wie ein Hosting- und Daten­auf­be­rei­tungs­dienst­lei­ster, also eine klas­si­sche Auf­trags­be­ar­bei­tung. Dass er dane­ben einen wei­te­ren eige­nen Zweck ver­folgt, tut dem kei­nen Abbruch, denn die Daten­be­ar­bei­tung – und dar­auf kommt es an – erfolgt zu die­sem Zeit­punkt aus­schliess­lich nach den Vor­ga­ben des Ver­ant­wort­li­chen, d.h. des über­mit­teln­den Unter­neh­mens. Und wür­de der Ver­ant­wort­li­che einen Auf­trags­be­ar­bei­ter mit der Daten­auf­be­rei­tung zugun­sten des Ver­ant­wort­li­chen B beauf­tra­gen, wäre der Ver­ant­wort­li­che B nicht ein Ver­ant­wort­li­cher im Ver­hält­nis zum Auf­trags­be­ar­bei­ter, obwohl die Bear­bei­tung sei­nen – nach­ge­la­ger­ten – wirt­schaft­li­chen Inter­es­sen dient.
  • In die­sem ersten Schritt wird nicht unbe­dingt eine gemein­sa­me Ver­ant­wor­tung vor­lie­gen. Zwar gibt der Dienst­lei­ster bis zu einem gewis­sen Grad vor, nach wel­chen Kri­te­ri­en die von ihm gehal­te­nen Daten auf­zu­be­rei­ten sind, nach­dem die­se Auf­be­rei­tung in einem zwei­ten Schritt für sei­ne Zwecke bestimmt ist. Das trifft aber für jede Daten­über­mitt­lung zu, die zugun­sten des Emp­fän­gers erfolgt, auch etwa dann, wenn ein Kli­ent sei­nem Anwalt – also einem Ver­ant­wort­li­chen – die­je­ni­gen Per­so­nen­da­ten über­mit­telt, die der Anwalt nach eige­nem Ermes­sen benöitgt. Es wäre falsch, aus die­ser Über­le­gung fast jede Über­mitt­lung von Per­so­nen­da­ten an einen ande­ren Ver­ant­wort­li­chen als gemein­sa­me Ver­ant­wor­tung zu sehen.

2. Daten­ent­nah­me und eige­ne Ver­ant­wor­tung

In einem zwei­ten Schritt ent­nimmt der Emp­fän­ger die auf­be­rei­te­ten Per­so­nen­da­ten aus dem im Auf­trag des über­mit­teln­den Unter­neh­mens gehal­te­nen Daten­be­stand für sei­ne eige­nen Zwecke:

  • Hier ver­hält sich der Emp­fän­ger wie ein Auf­trags­be­ar­bei­ter, des­sen Bear­bei­tung die Gren­zen der Auf­trags­be­ar­bei­tung sprengt. In sol­chen Fäl­len ist aner­kannt (vgl. Art. 28 Abs. 10 DSGVO, der aller­dings den eigen­mäch­ti­gen Auf­ga­ben­ex­zess des Auf­trags­ver­ar­bei­ters betrifft), dass der Auf­trags­be­ar­bei­ter zum Ver­ant­wort­li­chen wird. Ein Bei­spiel wäre der Auf­trags­be­ar­bei­ter, der Auf­trags­da­ten als Ver­ant­wort­li­cher für eige­ne Ana­ly­sen, Bench­mar­king etc. ver­wen­det. Erst in die­sem Augen­blick erfolgt also eine Daten­über­mitt­lung vom einen Ver­ant­wort­li­chen an den ande­ren Ver­ant­wort­li­chen.
  • Erst in die­sem Augen­blick wird – wenn über­haupt – eine Recht­fer­ti­gung erfor­der­lich. Die vor­an­ge­hen­de Über­mitt­lung des Ver­ant­wort­li­chen an den Auf­trags­be­ar­bei­tung ist pri­vi­le­giert.
  • Der Emp­fän­ger muss die Bear­bei­tung der ent­nom­me­nen Daten ein­stel­len, sobald ihr Zweck erreicht ist. Die wei­te­re Spei­che­rung der­sel­ben Daten im Rah­men der wei­ter­lau­fen­den Auf­trags­be­ar­bei­ter bleibt aber mög­lich. Er muss das über­mit­teln­de Unter­neh­men zudem über die Ent­nah­me infor­mie­ren, ent­we­der im Ein­zel­fall oder gene­rell vor­ab, sofern der Zeit­punkt der Ent­nah­me durch den Zweck des Emp­fän­gers nicht schon bestimmt ist.

3. Vor­tei­le für die betrof­fe­ne Per­son

Die­se zeit­li­che oder logi­sche Staf­fe­lung ist nicht ein Umge­hungs­ge­schäft, son­dern hat für die betrof­fe­ne Per­son Vor­tei­le:

  • Bei der Bekannt­ga­be von Per­so­nen­da­ten an einen ande­ren Ver­ant­wort­li­chen für des­sen Zwecke ist eine Recht­fer­ti­gung – sofern eine sol­che erfor­der­lich ist, bspw. weil beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le über­mit­telt wer­den oder weil der Zweck des Emp­fän­gers vom über­mit­teln­den Unter­neh­men nicht trans­pa­rent gemacht wur­de – in vie­len Fäl­len de fac­to nur durch Ein­wil­li­gung mög­lich (weil ein über­wie­gen­des bzw. berech­tig­tes Inter­es­se als Recht­fer­ti­gung einer nur zu kom­mer­zi­el­len Zwecken zwar mög­lich, für den Ver­ant­wort­li­chen aber mit Unsi­cher­hei­ten und daher Risi­ken behaf­tet ist). Weil die recht­fer­ti­gungs­be­dürf­ti­ge Daten­über­mitt­lung aber erst dann erfolgt, wenn der Emp­fän­ger die betref­fen­den Daten tat­säch­lich aus dem in Auf­trags­be­ar­bei­tung gehal­te­nen Daten­be­stand ent­nimmt, kann und soll­te die Ein­wil­li­gung erst in die­sem Augen­blick ein­ge­holt wer­den. Dies führt dazu, dass das über­mit­teln­de Unter­neh­men auf eine Ein­wil­li­gung im Vor­feld ver­zich­ten kann, sofern die Emp­fän­ge­rin die­se Ein­wil­li­gung aus Anlass der kon­kre­ten Daten­ent­nah­me – aber noch vor die­ser – ein­holt. Ein Bei­spiel wäre die Ver­wen­dung der erhal­te­nen Daten durch die Emp­fän­ge­rin zur Betrugs­prä­ven­ti­on oder zur Boni­täts­prü­fung bei einem kon­kre­ten Ein­kaufs­vor­gang. Hier kann die Ein­wil­li­gung punkt­ge­nau im Rah­men des Ver­kaufs­ge­schäfts der Emp­fän­ge­rin ein­ge­holt wer­den, z.B. dann, wenn der Kun­de Kauf auf Rech­nung wünscht. Eine sol­che “just in time”-Einwilligung ist aus daten­schutz­recht­li­cher Sicht vor­teil­haft, weil sie spe­zi­fisch für den kon­kre­ten Vor­gang und nicht glo­bal bspw. über AGB ein­ge­holt wird, zu dem­je­ni­gen Zeit­punkt, bei dem die Auf­merk­sam­keit des Kun­den auf den kon­kre­ten Vor­gang gerich­tet ist und er die Trag­wei­te der Ein­wil­li­gung am besten ein­schät­zen kann.
  • Ent­nimmt die Emp­fän­ge­rin Per­so­nen­da­ten zu unter­schied­li­chen Zwecken, kann sie eben­falls jeweils punkt­ge­nau auf den ein­zel­nen Zweck bezo­gen eine Ein­wil­li­gung ein­ho­len.
  • Auch die Infor­ma­ti­ons­pflich­ten des Daten­emp­fän­gers ent­ste­hen erst in die­sem Augen­blick. Auch die Infor­ma­ti­ons­pflicht kann daher “just in time” erfüllt wer­den, was für die betrof­fe­ne Per­son aner­kann­ter­ma­ssen vor­teil­haft ist (Stich­wort “laye­red approach”).
  • Die Auf­tei­lung führt zu einer kla­ren Rol­len­ver­tei­lung der Ver­ant­wort­li­chen, was die Trans­pa­renz erhöht und dazu bei­trägt, dass die Ver­ant­wor­tung für daten­schutz­recht­li­che Pflich­ten nicht in der Arbeits­tei­lung dif­fun­diert.

Die­ses Aus­tausch­mo­dell mag auf den ersten Blick viel­leicht etwas kon­stru­iert wir­ken. Es hat aber nicht nur für die bei­den Ver­ant­wort­li­chen, son­dern auch für die betrof­fe­ne Per­son Vor­tei­le, und es kann dazu bei­tra­gen, dass kon­zern­in­ter­ne – aber auch kon­zern­ex­ter­ne – Daten­über­mitt­lun­gen bewuss­ter, geziel­ter und trans­pa­ren­ter erfol­gen.