Muss einem Dritten bei Weitergabe seiner Daten innerhalb des Konzerns diese Übermittlung mitgeteilt werden?
PSP Case Study zur DSGVO: Praxisfall 5

DSGVO: Praktischer Fall

Die Maier GmbH ist eine Tochtergesellschaft der Huber AG. Herr Schulze, ein freiberuflicher Programmierer, der für die Maier GmbH Software programmiert hat, fordert seine Vergütung von der Maier GmbH inkl. Verzugszinsen ein, während die Maier GmbH Mängel der programmierten Software geltend macht und die Zahlung verweigert bzw. mit Schadensersatzansprüchen aufrechnet. Das Rechnungswesen der Huber AG erstellt traditionell auch den Jahresabschluss der Maier GmbH und fragt nun für das hier maßgebliche Jahr detaillierte Informationen über das Verhältnis zwischen der Maier GmbH und Herrn Schulze ab, um die Notwendigkeit der Einstellung entsprechender Verbindlichkeiten/Rückstellungen in den Jahresabschluss der Maier GmbH bewerten zu können. Die Maier GmbH stellt der Huber AG die maßgeblichen Informationen, darunter auch Namen und Korrespondenz mit Herrn Schulze, zur Verfügung.

Zum Hintergrundverständnis dieses Falles ist zunächst folgender Gedankengang hilfreich: Der Gesetzgeber geht davon aus, dass die Übermittlung von personenbezogenen Daten Dritter (etwa einer aktuellen oder künftigen „Gegenpartei“) durch einen Mandanten an einen Berufsgeheimnisträger – Rechtsanwalt, Wirtschaftsprüfer, Steuerberater – eine Zweckänderung darstellt. Das klingt nachvollziehbar, denn in den wenigsten Fällen werden Daten von vornherein vom ursprünglichen Verantwortlichen bei einem Dritten (z. B. einem Vertragspartner) beispielsweise zu dem Zweck erhoben, die rechtlichen Möglichkeiten oder Risiken eines Vorgehens gegen den Vertragspartner (oder umgekehrt gegen den Verantwortlichen) bewerten zu lassen und zu diesem Zweck Daten an einen Rechtsanwalt weiterzugeben. Gerade diese Zweckänderung löst jedoch eigentlich Informationspflichten des übermittelnden Mandanten (zum Übermittlungsempfänger siehe Fall 1) gegenüber dem Betroffenen über die Zweckänderung und das weitere Schicksal der Daten aus (Art. 13 Abs. 3 DSGVO). Der deutsche Gesetzgeber „erlässt“ dem Mandanten diese Informationspflicht gegenüber dem Betroffenen im Falle einer Zweckänderung gleichwohl, wenn die Daten an einen Berufsgeheimnisträger übermittelt werden (§ 29 Abs. 2 BDSG).

Der Hintergrund dieser Regelung liegt auf der Hand: Der Mandant soll sich ungestört einen Rat über sein Verhältnis zum Dritten vom Berufsgeheimnisträger einholen dürfen, ohne den Dritten vorwarnen zu müssen. Auch der Berufsgeheimnisträger, der die Daten des Dritten übermittelt erhält, „erhebt“ sie eventuell gar nicht (siehe Fall 1) und muss daher den Dritten auch nicht (nach Art. 14 DSGVO) benachrichtigen. Selbst wenn man den Empfang als Erhebung ansieht, kann der Berufsgeheimnisträger wohl im Regelfall nach § 29 Abs. 1 BDSG von einer Erteilung der Pflichthinweise an den Betroffenen absehen.

Nach einer ähnlichen Regelung gilt dieser „Erlass“ der Verpflichtung zur Informierung des Betroffenen bei Zweckänderung auch dann, wenn die Daten nicht an einen Berufsgeheimnisträger weitergegeben, sondern allgemein zu einem anderen Zweck weiterverarbeitet (d. h. auch an einen anderen Verantwortlichen übermittelt) werden sollen, sofern eine Information darüber an den Betroffenen „die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde“  (§ 32 Abs. 1 Nr. 4 BDSG). Im Unterschied zur Übermittlung an einen Berufsgeheimnisträger ist der „Erlass“ der Informationsverpflichtung bei Zweckänderung demnach hier an inhaltliche Voraussetzungen gekoppelt. Es stellt sich damit die Frage, ob eine Information der Maier GmbH an Herrn Schulze, dass die das bestehende Freiberuflerverhältnis betreffenden (personenbezogenen) Daten zu Zwecken der Verbindlichkeits-/Rückstellungsprüfung an die Huber AG übermittelt werden sollen, „die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde“. Damit würde gegenüber Herrn Schulze transparent, dass eine Bewertung „seiner“ vertraglichen Ansprüche bzw. Verpflichtungen bei der Huber AG stattfindet. Diese Bewertung findet im Rahmen einer Jahresabschlusserstellung jedoch typischerweise statt, stellt also kein besonderes Geheimnis dar und dürfte damit auch die Ansprüche der Maier GmbH bzw. die Schlagkraft der zugrunde liegenden Argumente nicht beeinträchtigen. Eine Besorgnis beispielsweise, Herr Schulze könnte durch die Information Vermögen verschieben, wird sich aus einer solchen Mitteilung an Herrn Schulze nicht ergeben können. Eine Mitteilung über die bevorstehende Zweckänderung, die in der Übermittlung an die Huber AG liegt, muss also stattfinden. Dies wäre, wie oben dargestellt, nicht der Fall, wenn die Daten zur Jahresabschlusserstellung an einen Wirtschaftsprüfer/Steuerberater als Berufsgeheimnisträger übermittelt werden würden.

Dabei ist allerdings wichtig, dass die beiden genannten Regelungen zum „Erlass“ der Informationspflicht gegenüber dem Betroffenen bei Zweckänderung nur diese eine Pflicht entfallen lassen. Weder die Frage, ob die Zweckänderung als solche erlaubt ist, noch die Frage, welche datenschutzrechtliche Legitimationsgrundlage für die Übermittlung unter dem neuen Zweck notwendig bzw. einschlägig ist, werden hierdurch beantwortet. Zunächst muss der neue Zweck zum alten Zweck „kompatibel“ sein, was sich nach den kryptischen (und nicht abschließenden) Kriterien in Art. 6 Abs. 4 DSGVO richtet. Gesetzt den Fall, eine Zweckkompatibilität liegt vor, wird für die Verarbeitung unter dem neuen Zweck eine neue datenschutzrechtliche Legitimationsgrundlage benötigt. Dabei ist offen, ob der genannte Art. 6 Abs. 4 DSGVO selbst eine solche Legitimationsgrundlage darstellt oder ob eine neue Legitimationsgrundlage für die Verarbeitung zum neuen Zweck in Art. 6 Abs. 1 DSGVO gesucht werden muss. Zwar besagt Erwägungsgrund 50, dass bei zweckändernden Weiterverarbeitungen „keine andere gesonderte Rechtsgrundlage erforderlich (ist) als diejenige für die Erhebung der personenbezogenen Daten“. Doch manche Juristen halten dies für ein „Redaktionsversehen“, d. h. im Zuge verschiedener Entwurfsfassungen sei da etwas durcheinander geraten. Geht man davon aus, dass eine eigenständige Legitimationsgrundlage nach Art. 6 Abs. 1 DSGVO für die Verarbeitung unter dem neuen Zweck gefunden werden muss, wird diese in der überwiegenden Zahl derartiger Fälle mit einer Interessenabwägung begründet werden müssen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Ist aber die Übermittlung der Dokumente an die Huber AG gerade mit den personenbezogenen Daten von Herrn Schulze „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“? Oder genügt es nicht vielmehr, die Dokumente zu schwärzen, da die Identität von Herrn Schulze für die Bewertung durch das Rechnungswesen der Huber AG irrelevant ist? Bei jeder Verarbeitung, also auch bei der Übermittlung, personenbezogener Daten muss ihr Umfang „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein (Art. 5 Abs. 1 lit. c DSGVO). Pseudonymisierung und Anonymisierung (insbesondere Schwärzung) sind Mittel, um die Verarbeitung personenbezogener Daten auf das notwendige Maß zu beschränken.

Die unklare Reichweite der Legitimationsgrundlage führt zu weitergehenden Fragen, nicht nur im obigen Beispielsfall, sondern generell bei der Übermittlung personenbezogener Daten an Konzernunternehmen oder Berufsgeheimnisträger. Ob die Übermittlung zum jeweiligen Zeitpunkt im Sinne der Interessenabwägung „erforderlich“ bzw. im Sinne des Gebots der Datenminimierung „notwendig“ ist (oder nicht auch eine anonyme oder pseudonyme Übermittlung ausreichend ist), muss jeweils im Einzelfall geprüft werden (s. dazu auch Fall 41). Im Rahmen der Übermittlung an eine Konzernrechtsabteilung werden – insbesondere zur Prüfung der Rechtslage – personenbezogene Daten von Beschäftigten (wie etwa Anstellungsverträge, Abmahnungen oder Personenlisten) häufig mit „Klarnamen“ weitergeleitet. Dasselbe gilt für die Überlassung von Beschäftigtendaten an einen Berufsgeheimnisträger im Rahmen der Jahresabschlusserstellung oder Jahresabschlussprüfung.

Oder: Teilt ein Mandant, der eine natürliche Person ist, einem Berufsgeheimnisträger personenbezogene Daten über einen Familienangehörigen mit, so stellt sich die Frage, ob er bei dieser Datenweitergabe noch eine „ausschließlich persönliche oder private Tätigkeit“ im Sinne von Art. 2 Abs. 2 lit. c DSGVO ausübt oder nicht selbst Verantwortlicher im Sinne der DSGVO ist bzw. wird. Bisweilen, etwa bei der Übermittlung besonderer Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten), scheidet die Interessenabwägung auch als Legitimationsgrundlage gänzlich aus und es ist eine gesonderte Einwilligung des Betroffenen notwendig. Dies zeigt die Schwierigkeit der Legitimationsgrundlage „Interessenabwägung“ in einer schnelllebigen, auf Standardprozesse verengten Massendatenpraxis auf: Das von der DSGVO „verordnete Grübeln über jeden Einzelfall“ stößt damit schnell an seine Grenzen.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden