Beim Austausch von Personendaten zwischen zwei Verantwortlichen gilt – wie immer – der Verhältnismässigkeitsgrundsatz. Oft ist es aber – aus operativen Gründen – schwierig oder kaum möglich, den Datenaustausch auf die Notwendigkeiten des Empfängers zu beschränken. Es kann z.B. sein, dass ein Konzernunternehmen Transaktionsdaten oder das Ergebnis einer Analyse solcher Daten an andere Konzerngesellschaften übermittelt, etwa zu Zwecken der Betrugsbekämpfung, des Marketings, der Bonitätsprüfung usw., oder dass ein Inkassounternehmen nicht nur die notwendigen Rechnungs- und Vertragsdaten, sondern weitere Informationen erhält.
In solchen Fällen verlangt der Verhältnismässigkeitsgrundsatz, dass nur für den jeweiligen Zweck des Empfängers notwendigen Personendaten übermittelt werden, und erst dann, wenn sie konkret benötigt werden (d.h. nicht vorab auf Vorrat); abgesehen von den weiteren Voraussetzungen der Transparenz, der Zweckbindung usw. Das kann praktisch schwierig sein, weshalb wir hier ein Modell vorstellen, das dieses Problem lösen kann:
Der Datenaustausch in den beschriebenen Szenarien ist ein Austausch zwischen zwei Verantwortlichen, weil der Empfänger die übermittelten Daten für seine eigenen Zwecke bearbeitet und die Rahmenbedingungen seiner Bearbeitung selbst bestimmt.
Der Austauschvorgang kann nun aber aufgespalten werden:
Auftragsbearbeitung
In einem ersten Schritt kann er als Auftragsbearbeitung ausgestaltet werden:
- Das übermittelnde Unternehmen steht in der Pflicht, Umfang und Zeitpunkt des Datenaustausches auf das erforderliche Mass zu beschränken. Das setzt eine Triage voraus – die erforderlichen Daten müssen von Überschussdaten getrennt werden. Für die Datenhaltung und für diese Triage kann das empfangende Unternehmen als Auftragsbearbeiterin eingesetzt werden. Die Datenübermittlung kann in diesem Schritt daher umfassender sein. Personendaten können so auch vorausschauend an Unternehmen gehen, die diese Daten für eigene Zwecke letztlich nicht benötigen.
- Das setzt vor allem aber voraus, dass die beiden Unternehmen eine Auftragsbearbeitungsvereinbarung schliessen und der Empfänger die übermittelten Personendaten zunächst tatsächlich nur für die Zwecke des übermittelnden Unternehmens einsetzt. Unter Umständen – je nach Risiken – ist die Vereinbarung einer Konventionalstrafe bei unberechtigten Entnahmen sinnvoll, und es ist – besonders im internen Verhältnis – an die Frage des Verrechnungspreises für die im Auftrag erbrachte Dienstleistung zu denken. Die empfangenen Daten müssen physisch oder logisch getrennt aufbewahrt werden, und die Zugriffsmöglichkeiten seitens des Empfängers sind entsprechend, durch ein technisch implementiertes Zugriffskonzept, auf das Notwendige zu beschränken.
- In diesem ersten Schritt verhält sich der Empfänger wie ein Hosting- und Datenaufbereitungsdienstleister, also eine klassische Auftragsbearbeitung. Dass er daneben einen weiteren eigenen Zweck verfolgt, tut dem keinen Abbruch, denn die Datenbearbeitung – und darauf kommt es an – erfolgt zu diesem Zeitpunkt ausschliesslich nach den Vorgaben des Verantwortlichen, d.h. des übermittelnden Unternehmens. Und würde der Verantwortliche einen Auftragsbearbeiter mit der Datenaufbereitung zugunsten des Verantwortlichen B beauftragen, wäre der Verantwortliche B nicht ein Verantwortlicher im Verhältnis zum Auftragsbearbeiter, obwohl die Bearbeitung seinen – nachgelagerten – wirtschaftlichen Interessen dient.
- In diesem ersten Schritt wird nicht unbedingt eine gemeinsame Verantwortung vorliegen. Zwar gibt der Dienstleister bis zu einem gewissen Grad vor, nach welchen Kriterien die von ihm gehaltenen Daten aufzubereiten sind, nachdem diese Aufbereitung in einem zweiten Schritt für seine Zwecke bestimmt ist. Das trifft aber für jede Datenübermittlung zu, die zugunsten des Empfängers erfolgt, auch etwa dann, wenn ein Klient seinem Anwalt – also einem Verantwortlichen – diejenigen Personendaten übermittelt, die der Anwalt nach eigenem Ermessen benöitgt. Es wäre falsch, aus dieser Überlegung fast jede Übermittlung von Personendaten an einen anderen Verantwortlichen als gemeinsame Verantwortung zu sehen.
Datenentnahme und eigene Verantwortung
In einem zweiten Schritt entnimmt der Empfänger die aufbereiteten Personendaten aus dem im Auftrag des übermittelnden Unternehmens gehaltenen Datenbestand für seine eigenen Zwecke:
- Hier verhält sich der Empfänger wie ein Auftragsbearbeiter, dessen Bearbeitung die Grenzen der Auftragsbearbeitung sprengt. In solchen Fällen ist anerkannt (vgl. Art. 28 Abs. 10 DSGVO, der allerdings den eigenmächtigen Aufgabenexzess des Auftragsverarbeiters betrifft), dass der Auftragsbearbeiter zum Verantwortlichen wird. Ein Beispiel wäre der Auftragsbearbeiter, der Auftragsdaten als Verantwortlicher für eigene Analysen, Benchmarking etc. verwendet. Erst in diesem Augenblick erfolgt also eine Datenübermittlung vom einen Verantwortlichen an den anderen Verantwortlichen.
- Erst in diesem Augenblick wird – wenn überhaupt – eine Rechtfertigung erforderlich. Die vorangehende Übermittlung des Verantwortlichen an den Auftragsbearbeitung ist privilegiert.
- Der Empfänger muss die Bearbeitung der entnommenen Daten einstellen, sobald ihr Zweck erreicht ist. Die weitere Speicherung derselben Daten im Rahmen der weiterlaufenden Auftragsbearbeiter bleibt aber möglich. Er muss das übermittelnde Unternehmen zudem über die Entnahme informieren, entweder im Einzelfall oder generell vorab, sofern der Zeitpunkt der Entnahme durch den Zweck des Empfängers nicht schon bestimmt ist.
Vorteile für die betroffene Person
Diese zeitliche oder logische Staffelung ist nicht ein Umgehungsgeschäft, sondern hat für die betroffene Person Vorteile:
- Bei der Bekanntgabe von Personendaten an einen anderen Verantwortlichen für dessen Zwecke ist eine Rechtfertigung – sofern eine solche erforderlich ist, bspw. weil besonders schützenswerte Personendaten oder Persönlichkeitsprofile übermittelt werden oder weil der Zweck des Empfängers vom übermittelnden Unternehmen nicht transparent gemacht wurde – in vielen Fällen de facto nur durch Einwilligung möglich (weil ein überwiegendes bzw. berechtigtes Interesse als Rechtfertigung einer nur zu kommerziellen Zwecken zwar möglich, für den Verantwortlichen aber mit Unsicherheiten und daher Risiken behaftet ist). Weil die rechtfertigungsbedürftige Datenübermittlung aber erst dann erfolgt, wenn der Empfänger die betreffenden Daten tatsächlich aus dem in Auftragsbearbeitung gehaltenen Datenbestand entnimmt, kann und sollte die Einwilligung erst in diesem Augenblick eingeholt werden. Dies führt dazu, dass das übermittelnde Unternehmen auf eine Einwilligung im Vorfeld verzichten kann, sofern die Empfängerin diese Einwilligung aus Anlass der konkreten Datenentnahme – aber noch vor dieser – einholt. Ein Beispiel wäre die Verwendung der erhaltenen Daten durch die Empfängerin zur Betrugsprävention oder zur Bonitätsprüfung bei einem konkreten Einkaufsvorgang. Hier kann die Einwilligung punktgenau im Rahmen des Verkaufsgeschäfts der Empfängerin eingeholt werden, z.B. dann, wenn der Kunde Kauf auf Rechnung wünscht. Eine solche “just in time”-Einwilligung ist aus datenschutzrechtlicher Sicht vorteilhaft, weil sie spezifisch für den konkreten Vorgang und nicht global bspw. über AGB eingeholt wird, zu demjenigen Zeitpunkt, bei dem die Aufmerksamkeit des Kunden auf den konkreten Vorgang gerichtet ist und er die Tragweite der Einwilligung am besten einschätzen kann.
- Entnimmt die Empfängerin Personendaten zu unterschiedlichen Zwecken, kann sie ebenfalls jeweils punktgenau auf den einzelnen Zweck bezogen eine Einwilligung einholen.
- Auch die Informationspflichten des Datenempfängers entstehen erst in diesem Augenblick. Auch die Informationspflicht kann daher “just in time” erfüllt werden, was für die betroffene Person anerkanntermassen vorteilhaft ist (Stichwort “layered approach”).
- Die Aufteilung führt zu einer klaren Rollenverteilung der Verantwortlichen, was die Transparenz erhöht und dazu beiträgt, dass die Verantwortung für datenschutzrechtliche Pflichten nicht in der Arbeitsteilung diffundiert.
Dieses Austauschmodell mag auf den ersten Blick vielleicht etwas konstruiert wirken. Es hat aber nicht nur für die beiden Verantwortlichen, sondern auch für die betroffene Person Vorteile, und es kann dazu beitragen, dass konzerninterne – aber auch konzernexterne – Datenübermittlungen bewusster, gezielter und transparenter erfolgen.