Die Datenkette
PSP Case Study zur DSGVO: Praxisfall 12

DSGVO: Praktischer Fall

Die Huber AG wurde von einer freiberuflichen Übersetzerin, Frau Schmidt, angeschrieben, die anbot, Übersetzungsdienstleistungen zu erbringen. Die Huber AG hat die Daten von Frau Schmidt daher in ihre Kontaktdatenbank übernommen und ihr Pflichthinweise nach der DSGVO zukommen lassen. Einige Zeit später erhielt die Huber AG ein Schreiben von Frau Schmidt, die mitteilte, sie sei nicht mehr als freiberufliche Übersetzerin tätig und die Huber AG möge bitte sämtliche personenbezogenen Daten über sie löschen. Dieses Schreiben gelangte bei der Huber AG nicht an die zuständige Stelle; die Daten wurden nicht gelöscht. Einige Zeit später fragt eine Tochtergesellschaft der Huber AG, die Müller GmbH, an, ob die Huber AG einen Übersetzer benennen könne. Die Huber AG gibt die Daten von Frau Schmidt an die Müller GmbH weiter.

Dieser Fall steht für ein Problem, das in Zukunft noch deutlicher zutage treten dürfte: Die Datenkette. Der Zivilrechtler fühlt sich an Besitz- und Eigentumsketten erinnert, an gutgläubigen Erwerb, Rechtsscheintatbestände und Abhandenkommen, der Strafrechtler an Hehlerei. Im Datenschutzrecht gilt jedenfalls: Jeder in einer Verarbeitungskette ist im Grundsatz voll verantwortlich für das, was in der Kette passiert (Art. 82 Abs. 2 DSGVO). Wurden Daten rechtswidrig nicht gelöscht oder übermittelt, haftet der Empfänger für diese Umstände im Grundsatz ebenso. Man muss also zwischen rechtmäßig erhobenen und übermittelten Daten einerseits und „toxischen“ Daten andererseits unterscheiden.

Es ist nun vor diesem Hintergrund aber völlig unklar, welche Prüfpflichten der Empfänger hat, d. h. welche Formen von „due diligence“ er hinsichtlich der Herkunft und Legitimationsgrundlage der Daten betreiben muss. Nur wenn der Empfänger nachweisen kann, dass „er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“ (Art. 82 Abs. 3 DSGVO), kann er sich entlasten. Welcher Aufwand dafür notwendig oder zumutbar ist (bzw. ob es Grenzen hinsichtlich dieses Aufwands gibt), erläutert das Gesetz nicht. Wie kann man also einen solchen Nachweis führen?

Der Vertragsrechtler würde sofort an Mängelgewährleistung oder Garantien denken: Die Müller GmbH müsste einen Datenübermittlungsvertrag mit der Huber AG abschließen und sich in diesem Vertrag garantieren lassen, dass die Daten rechtmäßig erhoben wurden, nicht gelöscht werden mussten und eine Legitimationsgrundlage für die Übermittlung vorliegt. Sicherheitshalber könnte die Müller GmbH im Vorfeld des Abschlusses dieses Vertrags verlangen, dass ihr die Einwilligung von Frau Schmidt vorgelegt wird – eine Interessenabwägung ist mit Wertungsrisiken behaftet – und die Huber AG garantiert, dass die Einwilligung nicht widerrufen wurde.

Aber neben dieser Problematik auf Empfängerseite geht es auch aufseiten des Übermittelnden noch weiter: Wenn Frau Schmidt ihren Widerrufsbrief nicht geschrieben hätte, sondern stattdessen bereits von Anfang an darum gebeten hätte, die Daten nicht an konzernfremde Dritte weiterzugeben, und die Müller GmbH als Empfängerin der Daten den Kontakt an einen Lieferanten der Müller GmbH weitergegeben hätte, dann wäre die Huber AG hierfür mitverantwortlich. Mit anderen Worten: Die Huber AG musste sicherstellen, dass sämtliche Informationen über die Bedingungen der weiteren Verarbeitung von ihr an die Müller GmbH weitergegeben und dort beachtet werden. Nur dann ist eine Enthaftung der Huber AG denkbar. Auch hier mag man wieder an vertragliche Verpflichtungen der Müller GmbH denken – das muss ja nicht eine notarielle Vereinbarung sein, es wäre auch ein einfacher E-Mail-Verkehr zwischen der Huber AG und der Müller AG bei Weitergabe der Daten über die Konditionen der Verwendung denkbar.

Die dargestellten Fallkonstellationen zeigen deutlich, dass „Datenschutz-Management“ nicht nur eine Worthülse ist. Nach der Vorstellung der DSGVO hat ein Verantwortlicher zu jedem Zeitpunkt vollen Überblick darüber, welche Daten er hat, wie und wie lange er diese verwenden und an wen er sie weitergeben darf, wie er eine rechtmäßige Herkunft sichergestellt hat und eine rechtmäßige weitere Verwendung sicherstellen wird und so fort. In einem perfekten System könnten personenbezogene Daten gar nicht „das Haus verlassen“, ohne dass automatisiert sichergestellt wird, dass sich der Empfänger verpflichtet, die Daten im Rahmen des Zwecks zu verarbeiten und ihm dieser Zweck nachweislich mitgeteilt wird. Im heutigen Massengeschäft mit personenbezogenen Daten (Stichwort „Big Data“) ist eine solche „automatisierte (regelbasierte) Einzelfallbehandlung“ nur durch integrierte EDV-Lösungen umsetzbar. Vielleicht ein Einsatzfeld für „smart contracts“, um die Modalitäten der Zurverfügungstellung von personenbezogenen Daten automatisch auszuverhandeln und nachweisbar abzubilden? Oder für jedes personenbezogene Datum wird eine Blockchain angelegt, um dessen „track record“ unveränderbar zu speichern? Der Wirtschaftskreislauf mit dem „Öl des 21. Jahrhunderts“ erfordert anscheinend eine umfangreiche Schutzausrüstung der Beteiligten in Form umfangreicher „Datenprüfungen“ und gegenseitiger „Sicherheitserklärungen“.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden