Der Wechsel von Verantwortlichen im Datenschutz

Datenschutz: der oder die Verantwortliche am Laptop

Nicht immer bleibt der oder die Verantwortliche während einer Datenverarbeitung gleich. Es kann bspw. vorkommen, dass ein Unternehmen ein anderes kauft oder mit diesem verschmilzt und der oder die vormalige Verantwortliche nicht mehr weiter verantwortlich im datenschutzrechtlichen Sinne ist. Aber wann und wie ist denn ein*e Verantwortliche*r verantwortlich? Und was passiert, wenn Verantwortliche dieser Definition nicht mehr gerecht werden? Verarbeitet man dann personenbezogene Daten „verantwortungslos“? Diesen und weiteren Fragen gehen wir in diesem Tipp der Woche auf den Grund.

Der oder die Verantwortliche

Der Definition aus Art. 4 Nr. 7 DSGVO folgend kann ein*e Verantwortliche*r als eine natürliche oder juristische Person, Behörde, Einrichtung o.ä. beschrieben werden, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Zweck spiegelt dabei das „erwartete Ergebnis“ der Datenverarbeitung wider, die Mittel sind die „Art und Weise“, wie dieses Ergebnis erreicht werden soll. Verantwortliche treffen aus der Datenschutzgrundverordnung heraus einige Pflichten, wie bspw. Betroffene über die Verarbeitung ihrer personenbezogenen Daten zu informieren oder geeignete Maßnahmen zur Datensicherheit und Vertraulichkeit umzusetzen. Diese Pflichten müssen auch bei der Übertragung von personenbezogenen Daten an eine*n neue*n Verantwortliche*n beachtet werden.

Die am häufigsten betroffenen Datenkategorien

Bei einem Wechsel der oder des Verantwortlichen für die Verarbeitung personenbezogener Daten können grundsätzlich alle Arten von personenbezogenen Daten betroffen sein. Die genauen Kategorien hängen jedoch vom jeweiligen Anwendungsfall ab. Typischerweise sind folgende Datenkategorien relevant:

Stammdaten

  • Name, Anschrift, Kontaktdaten
  • Geburtsdatum, Alter
  • Familien- und Personenstand
  • Staatsangehörigkeit

Vertragsdaten

  • Kundendaten wie Vertrags- und Rechnungsinformationen
  • Bankverbindungen, Zahlungsdaten
  • Bestelldaten, Lieferadressen

Nutzungs- und Verkehrsdaten

  • Nutzungsprotokolle von IT-Systemen, Websites etc.
  • Kommunikationsdaten wie E-Mails, Anrufe
  • Standort- und Bewegungsdaten

Je nach Branche und Geschäftsmodell können auch weitere spezifische Datenkategorien wie Bewerberdaten, Mitarbeitenden-Daten, Forschungsdaten etc. beim Verantwortlichen-Wechsel eine Rolle spielen.

Beispielfall

Shopbetreiberin A bietet neben ihrem digitalen und stationären Verkauf von Pflanzen und Gartenzubehör einige zugehörige Dienstleistungen an, bspw. das Setzen und wiederholte Betreuen von Pflanzen, Bäumen und Gärten, einen Verleih von entsprechenden Gerätschaften oder sonstiges.

Nun entscheidet A, sich wieder vollkommen auf den Verkauf von Waren zu konzentrieren und die gesamte Dienstleistungssparte zu veräußern.

Sie erhält dazu ein Übernahmeangebot von dem Garten- und Landschaftspflegebetrieb B, der sowohl Interesse an den Geräten wie auch an den Kundenlisten hat, mit denen Wartungsverträge über die periodische Pflege von Gärten geschlossen wurden. Zudem sucht der Betrieb B auch Verstärkung im Personalbereich, sodass er das vormals von Shopbetreiberin A für die Erbringungen der o.g. Dienstleistungen eingesetzte Personal übernehmen möchte.

Bei der Übertragung von personenbezogenen Daten kommen nun vor allem die Kategorien der Kundendaten und der übernahmewilligen Mitarbeitenden in Betracht. Was muss nun datenschutzrechtlich beachtet werden?

📝Schon gewusst? Die Trusted Shops Legal Produkte können Sie sowohl für den Verkauf von Waren als auch für das Anbieten von Dienstleistungen nutzen!

Taugliche Rechtsgrundlage und Informationspflichten für die Übertragung von Daten

Eine mögliche taugliche Rechtsgrundlage für die Weiterleitung der Daten von Shopbetreiberin A zu dem Betrieb B bestünde in der Einwilligung der Betroffenen. In der Praxis hieße das, A müsste alle betroffenen Kund*innen und Mitarbeitenden um eine Einwilligung bitten, deren personenbezogenen Daten an B weiterleiten zu dürfen. Ein solches Einholen von diversen Einwilligungen vieler Betroffener kann, gerade bei großen Kundendatenbanken, in der Praxis mit erheblichem Aufwand verbunden sein und scheint bestenfalls als Notlösung denkbar.

Glücklicherweise bietet der Art. 6 Abs. 1 DSGVO einige Rechtsgrundlagen mehr. Im Folgenden werfen wir einen genaueren Blick auf die Rechtgrundlage der berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO, die Shopbetreiberin A haben könnte. Dies ist auch eine von der Datenschutzkonferenz (DSK) vorgestellte Möglichkeit.

Die Interessen der Shopbetreiberin sind bei dem gewünschten Verkauf der Dienstleistungssparte klar erkenntlich, müssen aber mit den entgegenstehenden Interessen der Betroffenen abgewogen werden, sodass die Verhältnismäßigkeit gewahrt wird. Dazu unterscheidet die DSK verschiedene Fallgruppen, bzw. Arten der Kundenbeziehung. Besteht bspw. ein laufender Vertrag, kann eine datenschutzrechtliche Zustimmung zur Übermittlung der zivilrechtlichen Vertragsübernahme entnommen werden. Daten von Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung vor über drei Jahren sollten nur noch bei bestehenden Aufbewahrungspflichten übernommen und auch nur zu diesem Zweck verarbeitet werden.

Sind Bestandskund*innen oder Kund*innen in der Vertragsanbahnung umfasst, deren Vertragsbeziehung jünger als 3 Jahre ist, kann die Weiterleitung dieser Kundendaten auf Art. 6 Abs. 1 lit. F DSGVO gestützt werden. Dabei sollten alle Betroffenen über den Wechsel der Verantwortlichkeit informiert werden und es sollte ihnen eine Widerspruchsmöglichkeit eingeräumt werden. Dabei sollte den Betroffenen eine Frist von ca. sechs Wochen eingeräumt werden, innerhalb derer sie der Datenweitergabe widersprechen können.

Eine solche Widerspruchsmöglichkeit sollte dabei einfach ausgestaltet sein, bspw. über eine online klickbare Checkbox oder einen klickbaren Link in der Informationsmail. Bankdaten oder auch besondere Kategorien von personenbezogenen Daten gem. Art. 9 DSGVO sind jedoch von einer Übertragung auf Grundlage der berechtigten Interessen ausgeschlossen und bedürfen dann einer Einwilligung.

Ähnlich könnte mit dem betroffenen Personal verfahren werden. Die Kontaktdaten der betroffenen Mitarbeitenden könnten an Betreiber B weitergeleitet werden, wenn diese der Weiterleitung nicht widersprechen. Der Betreiber B und die Betroffenen könnten dann neue Arbeitsverträge verhandeln bzw. alte übernehmen.

Zusammengefasst: Werden Betroffene vernünftig informiert und wird ihnen eine Widerspruchsmöglichkeit eingeräumt, können Datenübermittlungen an „neue“ Verantwortliche auf die berechtigten Interessen „alter“ Verantwortlicher berufen werden.

Datenschutzklauseln für die Pflichten von ehemaligen und neuen Verantwortlichen

In einem zugehörigen Vertragsdokument sollten die an der Datenübertragung beteiligten Interessensgruppen Ihre jeweiligen Pflichten festhalten. So sollte bspw. die die personenbezogenen Daten veräußernde Partei für das Erfüllen der Informationspflicht Sorge tragen und sämtliche Kopien der Daten nach Übertragung löschen, sofern denn keine Rechtsgrundlage für eine weitere Speicherung vorliegt.

Zudem darf der oder die ehemals Verantwortliche keine personenbezogenen Daten von Mitarbeitenden weiterleiten, die dem Übergang des Arbeitsverhältnisses zu dem neuen Verantwortlichen oder allgemein von Betroffenen, die der Datenübermittlung nach Art. 21 Abs. 1 oder 2 DSGVO widersprochen haben. Sollten Daten in ein Drittland übertragen werden, müssen zudem die Vorschriften des Kapitel 5 der DSGVO beachtet werden.

Neue Verantwortliche müssen dann die Betroffenen gem. Art. 14 DSGVO informieren und sollten die Daten nur für die ursprünglichen Erhebungszwecke verarbeiten. Die typischen Pflichten von Verantwortlichen, bspw. das Bearbeiten von Betroffenenanfragen aus Arts. 12ff DSGVO oder das Ergreifen von technischen und organisatorischen Schutzmaßnahmen, obliegen auch dem oder der neuen Verantwortlichen.

Zusammenfassung

Personenbezogene Daten von verschieden Betroffenengruppen können bspw. auf Grundlage einer Einwilligung oder berechtigter Interessen der oder des Verantwortlichen an neue Verantwortliche übertragen werden. Hierbei müssen verschiedene datenschutzrechtliche Pflichten beachtet werden und es sollte eine entsprechende vertragliche Grundlage geschaffen werden.

📝Kund*innen unseres Legal Ultimate Produkts steht eine datenschutzrechtliche Beratung zur Verfügung, mit der individuelle Lösungen erstellt werden können.

02.05.24
Select Country: