Datenoffenlegung an Partnerunternehmen

8. März 2021

Arbeitsteilung und Kooperation sind für viele Unternehmen nicht nur eine Frage der Notwendigkeit, Effizienz und Kostenreduktion, sondern auch eine reine Selbstverständlichkeit. Was ein anderer besser kann, kann er meist auch schneller und kostengünstiger erledigen und wer an dieselben Kunden verkauft, für den ergeben sich Synergien beim Zusammenschluss. Insofern denken viele Unternehmen bei Partnerschaften und Kooperationen mit anderen Unternehmen an vieles – nur wird bei der Datenoffenlegung- und Übermittlung oftmals der Datenschutz vergessen.

Vielfach wird übersehen, dass Kooperationen mit anderen Unternehmen erfordern, dass personenbezogene Daten an Dritte offengelegt werden. Verantwortliche Unternehmen sollten diesen Datentransfer jedoch unbedingt datenschutzrechtlich prüfen und Verantwortlichkeiten sauber definieren und regeln, um Bußgelder zu vermeiden.

Kundenbeschwerden als Auslöser

Erst wenn sich Kundenbeschwerden häufen, taucht das Thema Datenschutz auf: Wie sind die Kundendaten an den Kooperationspartner gelangt? Gab es eine vertragliche Regelung hierfür? Worauf stützt sich die Datenübermittlung? Hat der Kunde darin eingewilligt? Warum wusste der Kunde über diese Kooperation nicht Bescheid?

Datenoffenlegung – was zu beachten ist

Verantwortliche müssen vor Kooperationen stets klären, auf welcher Rechtsgrundlage eine Übermittlung von Daten an den künftigen Partner erfolgen könnte. Oft sind vorher Einwilligungen der Betroffenen einzuholen. Diese müssen dann vor Kooperationsstart rechtzeitig geplant und eingeholt werden.

Handelt es sich bei der geplanten Partnerschaft um eine Verarbeitung in gemeinsamer Verantwortlichkeit im Sinne des Art. 26 DSGVO, ist dies vertraglich zu regeln. Dabei sind die Verantwortlichkeiten klar zu regeln, u. a. ist zu bestimmen, wer für die Betroffenen als Ansprechpartner dient und wer den Kunden die nach Art. 13, 14 DSGVO erforderlichen Datenschutzinformationen zur Verfügung stellt.

Es gibt kein Konzernprivileg in der DSGVO

Hartnäckig hält sich der verbreitete Mythos, innerhalb eines Konzerns sei die Übermittlung und Offenlegung von personenbezogenen Daten „schon in Ordnung. Ist ja ein Konzern“. Ein solches Konzernprivileg sieht die DSGVO jedoch nicht vor. Jeder Verantwortliche, d. h. jede juristische Person, ist gesondert zu betrachten. Auch zwei juristische Personen, die zum selben Konzern gehören, müssen die Übermittlung personenbezogener Daten rechtfertigen und datenschutzrechtlich regeln. Der Aufwand, der für die Konzerne zur Regelung und Dokumentation der datenschutzrechtlichen Verantwortlichkeiten erforderlich ist, ist enorm, aber unabdingbar. Verantwortliche tun gut daran, entsprechende Ressourcen bereitzustellen, die sich dieser Aufgabe widmen können.

Bußgelder vermeiden – Regeln schaffen

Um Bußgelder zu vermeiden, sollten verantwortliche Unternehmen ihre Partnerschaften datenschutzrechtlich auf den Prüfstand stellen. Gerade wenn diese schon lange bestehen, wurden sie vielleicht auch im Zuge der Einführung der DSGVO 2018 nicht datenschutzrechtlich überprüft. Wurden Datenströme nicht umfassend analysiert und Kooperationen als selbstverständlich hingenommen, kann es sein, dass sie datenschutzrechtlich nicht ausreichend geregelt wurden. Im schlimmsten Fall erfolgt eine systematische Datenübermittlung ohne Rechtsgrundlage und es drohen hohe Bußgelder.

Kunden verstehen Datenschutz zunehmend als Qualitätsmerkmal. Daher haben alle Partner einer Kooperation ein hohes Interesse an einer datenschutzrechtlich sauberen Regelung der Datenübermittlung. Verantwortliche sollten sich deswegen vor Verhandlungen mit ihren Kooperationspartnern nicht scheuen.

Wenn Sie unsicher sind, was genau Sie mit Ihren Partnerunternehmen im Hinblick auf Datenschutz regeln müssten, kontaktieren Sie uns. Wir beraten Sie gerne.