Wir berichten heute über die Antwort des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) auf eine Anfrage des GDD Erfahrungsaustauschkreises (kurz: Erfa) Coburg. Dieser hatte das BayLDA um Stellungnahme gebeten, auf welche Rechtsgrundlage die Übermittlung von Daten von Ansprechpartnern zwischen Unternehmen im B2B-Bereich gestützt werden kann.
Der Inhalt im Überblick
Hohe Praxisrelevanz im Arbeitsalltag
Wenn Unternehmen miteinander in geschäftlichen Kontakt stehen, wird nach dem Erstkontakt, beispielsweise über eine allgemeine E-Mail-Adresse wie info@rocketstartup.de, schnell über die Kontaktdaten von Angestellten kommuniziert. Der Frank aus dem Vertrieb von Unternehmen A schreibt dann direkt dem Gustl aus dem Einkauf von Unternehmen B.
Wenn nun die Kontaktdaten von Ansprechpartnern im B2B-Bereich veröffentlicht oder sonst übermittelt werden, findet eine Verarbeitung personenbezogener Daten statt. Wegen des generellen Verbots mit Erlaubnisvorbehalt – d.h. jede Verarbeitung personenbezogener Daten ist verboten, es sei denn es gibt eine „Rechtfertigung“ – muss eine Rechtsgrundlage für die Datenverarbeitung her.
Vor diesem Hintergrund hat der GDD-Erfa-Kreis Coburg folgende Anfrage zur Rechtsgrundlage gestellt:
„Wenn Kontaktdaten von Ansprechpartner der B2B-Kunden verarbeitet werden, wie z. B. die Geschäfts-E-Mail-Adresse und Name, handelt es sich hierbei ja auch um personenbezogene Daten (wenn die E-Mail-Adresse aus Vor- und Nachnamen) besteht. Die Ansprechpartner werden im Rahmen des E-Mailkontaktes bei Datenerhebung bzgl. der Punkte des Art. 13 EU-DS-GVO in einem PDF hingewiesen. Es wird als Rechtsgrundlage Art. 6 Abs. 1 lit. b DS-GVO angegeben, da die Kontaktdaten der Ansprechpartner zur Durchführung des Rechtsgeschäftes mit dem Kunden benötigt werden. Ist die Rechtsgrundlage korrekt?“
Verarbeitung zur Vertragsanbahnung oder Erfüllung eines Vertrages
Wegen des geschäftlichen Kontextes ist es naheliegend, die Verarbeitung der Kontaktdaten eines Ansprechpartners auf die Rechtsgrundlage der Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO zu stützen. Schließlich geschieht im B2B-Bereich alles im weitesten Sinne zur Anbahnung eines Vertrages oder zur Durchführung eines Vertrages.
Der Wortlaut des Art. 6 Abs. 1 lit. b DSGVO ist aber sehr restriktiv. Danach kann die Verarbeitung nur in folgenden Fällen auf die Rechtsgrundlage der Vertragsdurchführung gestützt werden:
„die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“
Wenn man das Gesetz also beim Wort nimmt, müssten die Ansprechpartner selbst Vertragspartei sein oder bei einer Vertragsanbahnung werden wollen. Das wird in der Praxis fast nie der Fall sein.
Alternative Rechtsgrundlagen
Alternativ könnte die Weitergabe der Kontaktdaten auf folgende Rechtsgrundlagen gestützt werden:
- Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses, § 26 Abs. 1 S.1 BDSG
- Einwilligung des Mitarbeiters, Art. 6 Abs. 1 lit. a DSGVO
- Das berechtigte Interesse des Arbeitgebers, Art. 6 Abs. 1 lit. f DSGVO
Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses
Im Rahmen des Beschäftigungsverhältnisses könnte man die Weitergabe von Kontaktdaten ggf. auf die Rechtsgrundlage der Erforderlichkeit zur Durchführung des Beschäftigungsverhältnisses stützen. Dafür spricht, dass die Herausgabe von Kontaktdaten bei vielen Stellen notwendig ist, damit der Mitarbeiter seinen Job machen kann.
Problematisch ist hierbei allerdings, dass bei dem Merkmal der Erforderlichkeit eine Verhältnismäßigkeitsprüfung vorzunehmen ist. Es darf also kein milderes, zur Erreichung des Zwecks gleich geeignetes Mittel zur Verfügung stehen.
Als milderes Mittel wäre beispielsweise die Einrichtung einer Kontaktzentrale (in vielen Unternehmen schon in Form des Sekretariats/Backoffice vorhanden) möglich, die die Anfragen an die zuständigen Mitarbeiter weiterleitet. So könnte sichergestellt werden, dass keine personenbezogenen Kontaktdaten weitergegeben werden. Letztlich wird aber im Einzelfall nach den konkreten Umständen zu entscheiden sein, ob die Weitergabe von Kontaktinformationen erforderlich ist.
Einwilligung des Mitarbeiters
Alternativ könnte die Einwilligung als Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO herangezogen werden. Hierbei ist allerdings problematisch,
- dass die Einwilligung freiwillig erteilt werden muss und
- dass sie jederzeit frei widerrufbar ist.
Die Freiwilligkeit im Beschäftigungsverhältnis ist, wegen des Abhängigkeitsverhältnisses des Beschäftigten von seinem Arbeitgeber, oft nicht gegeben. Zudem kann eine Einwilligung jederzeit ohne Angaben von Gründen widerrufen werden. Mit der Folge, dass ab dem Widerruf die Rechtsgrundlage für die Verarbeitung entfällt.
Eine Einwilligung sollte also auch nicht das Mittel der Wahl sein.
Berechtigtes Interesse des Arbeitgebers
Als weitere Alternative kommt das berechtigte Interesse des Unternehmens an der Verarbeitung der personenbezogenen Daten seiner Angestellten nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Schließlich müssen viele Mitarbeiter zur Erfüllung ihrer Aufgaben Kontakt mit B2B-Kunden pflegen.
Im Rahmen einer Interessenabwägung ist dann das berechtigte Interesse des Unternehmens an einem reibungslosen Geschäftsablauf mit dem Interesse des Arbeitnehmers an dem Schutz seiner Daten abzuwägen.
Diese Abwägung sollte während des Beschäftigungsverhältnisses in den meisten Fällen zugunsten des Arbeitgebers ausfallen, da zum einen geschäftliche Kontaktdaten keine sehr sensible Daten sind und es auch nicht ersichtlich ist, welches berechtigte Interesse der Arbeitnehmer daran hat, dass ihn auf der Arbeit – salopp gesagt – niemand erreichen kann.
Stellungnahme des BayLDA
So ähnlich sieht das auch das BayLDA:
„Artikel 6 Abs. 1 Buchst. b DS-GVO als Rechtsgrundlage ist nur einschlägig, wenn die Vertragsbeziehung zu der natürlichen Person selbst besteht, um deren Daten es geht, also z.B. bei einem Einzelkaufmann oder anderen Einzelpersonen (z.B. Selbständigen).
Wenn die Vertragsbeziehung dagegen z.B. zu einer GmbH besteht, und es werden personenbezogene (Kontakt-)Daten von Mitarbeitern dieser GmbH gespeichert, wäre Artikel 6 Abs. 1 Buchst. f DSGVO die „richtige“ Rechtsgrundlage, aufgrund derer der Verantwortliche die (Kontakt-)Daten dieser Mitarbeiter verarbeiten darf, soweit und solange es für die Geschäftsbeziehung zu dem „B2B-Partner“ (also z.B. zu der GmbH) erforderlich ist.“
Problematisch wird das berechtigte Interesse als Rechtsgrundlage aber, wenn ein Arbeitnehmer aus dem Unternehmen ausscheidet. Dann werden regelmäßig das berechtigte Interesse des Arbeitnehmers, dass seine Daten nicht mehr verarbeitet werden, die Interessen des Unternehmens überwiegen.
Problem 1: Widerspruch gegen die Verarbeitung
Problematisch ist bei der Verarbeitung aufgrund eines berechtigten Interesses, dass der Arbeitnehmer jederzeit nach Art. 21 Abs. 1 S. 1 DSGVO Widerspruch gegen die Verarbeitung seiner Kontaktdaten erheben könnte. Dann dürften die Kontaktdaten gemäß Art. 21 Abs. 1 S. 2 DSGVO nicht mehr genutzt werden, es sei denn das Unternehmen könnte schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen der betroffenen Personen, Rechte und Freiheiten der betroffenen Person überwiegen.
Es wird während des Beschäftigungsverhältnisses schwer sein, sich eine Konstellation vorzustellen, in der ein Arbeitnehmer ein überwiegendes in seiner Person begründetes berechtigtes Interesse daran hat, dass seine geschäftlichen Kontaktdaten nicht mehr verarbeitet werden. Denkbar wäre es aber schon, beispielweise, wenn ein Mitarbeiter sich einer Geschlechtsumwandlung unterzieht und nicht mit falschen Geschlecht angesprochen werden möchte oder ein Mitarbeiter wechselt die Abteilung und hat fortan keinen Außenkontakt mehr, z.B. in der Produktion.
Problem 2: Mitteilungspflicht gegenüber anderen Unternehmen
Der Arbeitnehmer hat auch nach Art. 17 Abs. 1 lit. c DSGVO ggf. auch ein Recht auf Berichtigung, Einschränkung der Verarbeitung oder Löschung seiner Daten, wenn keine vorrangigen berechtigten Interessen bei dem Arbeitgeber vorliegen.
Damit einher geht die Pflicht des Arbeitgebers gemäß Art. 19 DSGVO den Empfängern der Kontaktdaten – hier andere Unternehmen – die Löschung der Daten des ausgeschiedenen Mitarbeiters mitzuteilen. Es sei denn, es erweist sich als unmöglich oder es ist mit einem unverhältnismäßigen Aufwand verbunden. Die Daten des ausgeschiedenen Mitarbeiters werden aber häufig bei unzähligen Geschäftspartnern irgendwo gespeichert sein. Fraglich ist, wie die Pflicht zur Mitteilung umgesetzt werden soll. Man müsste ermitteln, an wen die Kontaktdaten weitergegeben wurden. Angesichts der Vielzahl der Kontakte im Geschäftsleben, die über einen Zeitraum von mehreren Jahren geknüpft werden, scheint das fast unmöglich.
Auswirkung auf die Praxis
Wie jede Stellungnahme der Aufsichtsbehörden ist auch diese zunächst nur eine Stellungnahme und kein rechtlich bindendes Urteil, dennoch entfalten die Stellungnahmen der Aufsichtsbehörden häufig faktische Bindungswirkung, weil Unternehmen oft nicht das Risiko eines Bußgeldes eingehen wollen.
Richtet man sich aber nach der Stellungnahme bedeutet das, dass im B2B-Bereich nur in seltenen Ausnahmenfällen, wenn ein Einzelkaufmann oder anderen Einzelpersonen (z.B. Selbständigen) handelt, die Rechtsgrundlage der Vertragsdurchführung angewendet werden könnte. Die Rechtsgrundlage würde nach dieser Auffassung im B2B-Bereich zu einer Rechtsgrundlage ohne Anwendungsbereich werden.
Die Kirche im Dorf lassen
Angesichts des sehr engen Anwendungsbereich des Art. 6 Abs. 1 lit. b DSGVO, fragt man sich, ob der Gesetzgeber bewusst den Anwendungsbereich des Art. 6 b stark beschränkt hat oder ob er aus Versehen einen Erlaubnistatbestand geschaffen hat, der im B2B-Bereich, in dem die wenigsten Unternehmen Einzelkaufmänner oder andere Einzelpersonen sind, praktisch keine Anwendung finden kann.
Das Beispiel zeigt die Fallstricke, welche die DSGVO für vermeintlich einfache Vorgänge bereithält. Ein Fall, in dem sich ein rechtlicher Laie sagen würde „nun lasst’s die Kirche mal im Dorf“. Ein Faktor, der die Problemtaik überhaupt erst schafft, ist auch das generelle Verbot mit Erlaubnisvorbehalt. Anders als im allgemeinen Zivilrecht gilt nicht der Grundsatz der Vertragsfreiheit „Alles was nicht verboten ist, ist erlaubt“, sondern „alles was nicht erlaubt ist, ist verboten“. Nicht gerade ein Paradestück an liberaler Gesetzgebung!
Hier hat sich ein Fehler im Text eingeschlichen
Ansatt
„Der Wortlaut des Art. 6 Abs. 1 lit. f DSGVO ist aber sehr restriktiv. Danach kann die Verarbeitung nur in folgenden Fällen auf die Rechtsgrundlage der Vertragsdurchführung gestützt werden:“
muss es
„Der Wortlaut des Art. 6 Abs. 1 lit. b DSGVO ist aber sehr restriktiv. Danach kann die Verarbeitung nur in folgenden Fällen auf die Rechtsgrundlage der Vertragsdurchführung gestützt werden:“
heissen.
Mit freundlichen Grüßen
Vielen Dank für den Hinweis. Wir haben den Fehler korrigiert.
Auf der Suche nach der „richtigen“ Rechtsgrundlage stellt sich die Frage, ob der Anwendungsbereich der DS-GVO überhaupt eröffnet ist.
Gemäß ErwGr. 14 Satz DS-GVO gilt die DS-GVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.
Was unter Kontaktdaten der juristischen Person zu verstehen ist, muss durch Auslegung ermittelt werden. Zu den Kontaktdaten gehören die vertretungsberechtigten Personen einer juristischen Person (z.B. Geschäftsführer oder Prokurist, die in Deutschland im Handelsregister eingetragen sind). Da der Wortlaut in ErwGr. 14 DS-GVO weit gefasst ist, fallen m.E. nicht nur die vertretungsberechtigten Personen unter Kontaktdaten, sondern alle Ansprechpartner, die aufgrund ihrer Stellung im Unternehmen (juristische Person) nach Außen hin auftreten. Das ist auch richtig so. Schließlich müssen an dieser Stelle im B2B Bereich die Interessen der Unternehmen überwiegen, um das Wirtschaftsleben aufrecht zu erhalten. Sobald der Ansprechpartner aus dem Unternehmen ausscheidet, dürfte die DS-GVO allerdings Anwendung finden, da dann der Betroffene kein „Kontaktdatum“ der juristischen Person mehr ist. Die personenbezogenen Daten wären in diesem Fall wohl zu löschen. Stellt sich die Frage, wie das in der Praxis umgesetzt werden soll?
Ein interessanter Ansatz, aber es ist schwierig, alle Ansprechpartner einer juristischen Person aus dem Anwendungsbereich des Datenschutzrechts auszunehmen.
Kontaktdaten einer juristischen Person im Sinne des Erwägungsgrund 14 DSGVO sind eher als allgemeine nicht personenbezogene Kontaktdaten wie info@unternehmen, eine allgemeine Service-Telefonummer oder die Postanschrift zu sehen.
Äußerst praxisrelevant und rechtlich einmal interessant aufbereitet. Würde dann Art. 6 I e) für Mitarbeiter von Behörden in Erfüllung ihrer Aufgaben herangezogen werden können?
Das ist ein interessanter Punkt. Bei Behörde wird jedenfalls der Art. 6 Abs. 1 lit. b DSGVO nicht einschlägig sein. Auch die Verarbeitung aufgrund einer Interessenabwägung kommt nicht in Betracht, solange eine vorrangige Rechtsgrundlage in Betracht kommt. Die Verarbeitung der Ansprechpartner wird in der Regel erforderlich für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder Ausübung öffentlicher Gewalt sein, die der Behörde als Verantwortlichen übertragen wurde.
Bei der Anwendung des Art. 6 Abs. 1 lit. e DSGVO ist aber anzumerken, dass er gemäß Art. 6 Abs. 3 DSGVO erst in Verbindung mit einer Rechtsgrundlage im Unionsrecht oder im Recht der Mitgliedstaaten anwendbar ist. Erst aus einer solchen Rechtsgrundlage ergeben sich die tatbestandlich vorausgesetzten Aufgaben.
Die Frage, die sich da stellt, ist doch, wie viele B2B-Unternehmen ausschließlich im Geltungsbereich der DSGVO oder innerhalb der Drittstaaten mit anerkanntem Datenschutzniveau aktiv sind. Denn sobald ein B2B-Unternehmen Kundenakquise in Drittstaaten mit nicht anerkanntem Datenschutzniveau betreibt, kann die Verarbeitung nicht mehr auf Art. 6 gestützt werden! Kann man hier dann zweckmäßigerweise auf Art. 49 Abs. 1 lit. b zurückgreifen? Denn für die Durchführung des Arbeitsverhältnisses mit einem Vertriebsmitarbeiter könnte man eine solche Übermittlung m.E. in der Tat für erforderlich erachten. In die andere Richtung (Ansprechpartner des ausländischen Geschäftspartners) ist es ja kein Art. 49-Problem… wäre Art. 49 I lit. b hier nicht einschlägig, müssten alle Unternehmen, die Geschäftspartner in Drittstaaten haben, die Korrespondenz nur über unpersönliche Email-Konten mit unpersönlichen Emails machen – das halte ich für sehr abwegig.
Bei einer Übermittlung von personenbezogenen Daten in einen Drittstaat ohne ausreichendes Datenschutzniveau sind dennoch die Rechtsgrundlagen des Art. 6 DSGVO für die Zulässigkeit der Datenverarbeitung erforderlich. Die Regelung zur Gewährleistung eines ausreichenden Datenschutzniveaus in Drittstaaten nach Art. 44 ff. DSGVO kommen erst auf einer zweite Ebene als weitere Zulässigkeitsvoraussetzung hinzu.
D.h. Art. 49 Abs. 1 lit. b müsste neben den Rechtsgrundlagen des Art. 6 DSGVO angewandt werden. Zudem ist der Art. 49 DSGVO nach der Regel-Ausnahme Systematik der Art. 44 ff. DSGVO als eng begrenzter Ausnahmetatbestand für bestimmte Fälle zu lesen. Die Problematik, ob bei der Verarbeitung von Ansprechpartnerdaten Art. 6 Abs. 1 lit. b oder f. DSGVO anwendbar ist, ist dann in diesem ebenfalls Kontext relevant. Denn nur wenn man die Anwendbarkeit des Art. 6 Abs. 1 lit. b DSVO annimmt, kann man konsequenterweise auch bei der Drittstaatenübermittlung Art. 49 Abs. 1 lit. b DSGVO anwenden.
Die Erforderlichkeit der Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses oder auch das berechtigte Interesse des Arbeitgebers hieran kann m. E. in der Regel bei dienstlichen Kontaktdaten unproblematisch durch entsprechende Regelungen klargestellt werden.
Die dienstlichen Kontaktdaten sollen dienstlichen und nicht privaten Zwecken des Mitarbeiters dienen. Der Mitarbeiter soll diese Daten insbesondere nur dienstlich und nicht für private Zwecke nutzen. Sie müssen deswegen auch der Verfügungsgewalt des Arbeitgebers unterliegen, der sie dem Mitarbeiter zuweisen und ohne weiteres auch wieder entziehen kann.
Geregelt wird dies über entsprechende Vereinbarungen zum Arbeitsvertrag oder Dienst- bzw. Arbeitsanweisungen. Daneben sollten auch Betriebsvereinbarungen, die die private Nutzung von Unternehmensressourcen wie Internet oder E-Mail in gewissem Rahmen erlauben eine Verwendung der dienstlichen Kontaktdaten für private Zwecke ausschließen.
Die im Artikel dargestellten Probleme erscheinen dagegen eher konstruiert. Welche Verarbeitung der dienstlichen Kontaktdaten sollte bei einem Wechsel in die Produktion ausgeschlossen sein? Welches Problem hindert daran, einen Mitarbeiter nach einer Geschlechtsumwandung mit dem richtigen Geschlecht anzusprechen? In welchem Fall erscheint es verhältnismäßig sämtliche Kontakte eines ausgeschiedenen Mitarbeiters zu ermitteln (das führt doch viel eher zu einer Datenschutzverletzung), damit diese die dort gespeicherten Kontaktdaten, unter denen er nicht mehr erreichbar ist, ggf. löschen?
Sie erwähnen, dass die dienstliche Verwendung über eine entsprechende Vereinbarungen zum Arbeitsvertrag oder Dienst- bzw. Arbeitsanweisungen geregelt wird.
Ich glaube Sie verwechseln hier zwei verschiedene Rechtsfragen. Einerseits geht es um die private Nutzung von Internet und E-Mail durch den Mitarbeiter. Dabei geht es aber vorrangig um Fragen, welche Pflichten für den Arbeitgeber entstehen, wenn er die Privatnutzung zulässt. Es gibt dann den Meinungsstreit, ob der Arbeitgeber dadurch Kommunikationsdienstleister im Sinne des Telekommunikationsgesetzes wird.
Die Frage, auf welcher Rechtsgrundlage die Kontaktdaten von Ansprechpartnern verarbeitet werden dürfen, ist getrennt davon zu betrachten.
Entschuldigen Sie die verursachte Verwirrung. Aber da sehe ich tatsächlich einen Zusammenhang zwischen unterschiedlichen Rechtfragen.
Aus Sicht des Arbeitgebers findet die Verarbeitung der dienstlichen Kontaktdaten auf der Basis des Arbeits-/Dienstverhältnisses statt. Diese Daten dienen der unternehmensinternen Kommunikation und, sofern dies die Aufgabe des Mitarbeiters umfasst, eben auch der Kommunikation mit den Geschäftspartnern des Arbeitgebers. Der Arbeitgeber darf diese Daten auf dieser Grundlage also an seine Geschäftspartner weitergeben.
Seine Dienstadresse soll/darf der Mitarbeiter demgegenüber grundsätzlich nicht ohne ausdrückliche Erlaubnis für private Zwecke nutzen, wie z. B. Registrierung bei Amazon mit der dienstlichen Mailadresse.
Aus Sicht des Geschäftspartners basiert die Verarbeitung der Kontaktdaten ggf. auf dem Vertrags- bzw. vorvertraglichen Verhältnis mit dem Arbeitgeber bzw. aus einem berechtigten Interesse an der geschäftlichen Kommunikation, denn für letztere sind diese Daten doch (zweck)bestimmt.
Sie haben Recht, der Arbeitgeber hat ein berechtigtes Interesse daran, dass er die Kontaktdaten des Mitarbeiters an Geschäftspartner herausgeben darf, sodass dieser seine beruflichen Aufgaben erfüllen kann.
Wie im Beitrag beschrieben, kann man aber die Herausgabe der Kontaktdaten nicht ohne weiteres als zur Durchführung des Beschäftigungsverhältnisses nach § 26 Abs. 1 2. Alt. BDSG erforderlich eingeordnet werden. Die von Ihnen angesprochene Rechtsgrundlage für die Verarbeitung der Kontaktdaten der Mitarbeiter zur Kommunikation mit Geschäftspartnern ist die im Beitrag besprochene Frage. Darum dreht sich der gesamte Beitrag. Auf Art. 6 Abs. 1 lit. b DSGVO lässt sich die Verarbeitung schließlich nach dem Wortlaut nicht stützen, weil der Mitarbeiter nicht Vertragspartei ist oder werden soll. Dann bleibt tatsächlich nur die Rechtsgrundlage der Verarbeitung auf Grundlage des berechtigten Interesses des Arbeitgebers.
Heißt das dann im Umkehrschluss, dass ich mit Dienstleistern in Drittstaaten EU-Standardvertragsklauseln abschließen müsste, wenn ich mit diesem Informationen per Email austausche, die einen gemeinsamen Kunden betreffen. Auf den Art. 49 DSGVO kann ich mich nur ausnahmsweise beziehen, was bei einem regelmäßigen Kontakt per Email demnach dann nicht möglich ist!
Bei der Beurteilung der Situation kommt es auf die Umstände des Einzelfalls an, um eine abschließende Beurteilung vorzunehmen, z.B. wie häufig werden Daten übermittelt? In welchem Umfang werden personenbezogene Daten übermittelt? Handelt es sich um situationsbedingte Übermittlungen oder sich standardmäßig wiederholende Übermittlungen?
Grundsätzlich gilt, dass Datenübermittlungen in Drittländer nur bei Vorliegen eines angemessenen Datenschutzniveaus (Art. 45 DSGVO) oder geeigneter Garantien (Art. 46 DSGVO) zwischen den beteiligten Stellen zulässig sind. Art. 49 DSGVO ist nur für die Fälle gedacht, in denen trotz des Fehlens eines Angemessenheitsbeschlusses oder geeigneter Garantien, Daten in Drittländer übermittelt werden müssen. Solche Datenübermittlungen sollen zwar ermöglicht werden, gleichzeitig soll diese Norm nicht für den dauernden Datenaustausch weit interpretiert werden, deswegen enthält Art. 49 DSGVO auch einen abschließenden Katalog an Ausnahmetatbeständen, welche zudem immer eng auszulegen sind.
Von den Ausnahmetatbeständen, kommt in der vorliegenden Konstellation nach vorläufiger Einschätzung nur die Einwilligung Betracht.
Die anderen denkbaren Erlaubnisnormen des Art. 49 Abs. 1 lit. b, c DSGVO erfordern, dass die Verträge, für deren Erfüllung der Datenaustausch erforderlich ist,
– entweder zwischen den betroffenen Personen geschlossen wurden,
– oder zwischen den Verantwortlichen/Unternehmen im Interesse der betroffenen Personen – also der korrespondierenden Ansprechpartnern – geschlossen wurden.
Das ist beides nicht einschlägig, weil die Mitarbeiter der Unternehmen weder Vertragspartner sind noch die Verträge in ihrem Interesse geschlossen wurden.
Auch der Auffangtatbestand des Art. 49 Abs. 1 2. Unterabsatz ist nicht passend, u.a. weil hierfür unter anderem die Aufsichtsbehörde über die Übermittlung informiert werden muss, was etwas übertrieben ist für eine schlichte E-Mail Korrespondenz mit einem Unternehmen in einem Drittland. Selbst bei Einholung einer Einwilligung wirft diese weitere Fragen auf, weil die Einwilligung im Arbeitsverhältnis problematisch ist, denn sie muss ohne Zwang erteilt werden. Daran kann es wegen des Abhängigkeitsverhältnisses fehlen, wenn der Arbeitnehmer die Erteilung der Einwilligung nicht ohne Nachteile verweigern kann.
Sie sehen, die rechtliche Beurteilung dieses alltäglichen Vorgangs ist alles andere als einfach. Selbst wenn man die Anwendbarkeit des Art. 49 DSGVO bejaht, ist es problematisch eine geeignete Grundlage für den Datenaustausch zu finden. Es kommt am Ende auf die Umstände des Einzelfalls an. Wenn regelmäßig ein Datenaustausch stattfindet, sollten Standardvertragsklauseln abgeschlossen werden. Diese werfen in der aktuellen Situation nach dem Schrems II Urteil des EuGH jedoch auch wieder weitere Fragen auf.
Missverständliche Formulierung:
Als mögliche Rechtsgrundlage wir im Beitrag das „berechtigte Interesse des Arbeitgebers“ diskutiert. Nach meinem Verständnis geht es in der Anfrage aber um die Rechtmäßigkeit der Speicherung der Daten des Ansprechpartners welcher beim Geschäftspartner angestellt ist.
Es geht also gerade nicht um das Interesse des Arbeitgebers (dieses Wort ist in Art. 6 I f) DSGVO auch nicht enthalten), sondern um das Interesse eines Unternehmens an der Speicherung von Daten von Ansprechpartnern, die bei anderen Unternehmen angestellt sind.
Auch der Absatz unterhalb der Stellungnahme des BayLDA im Artikel ließe darauf schließen, dass Arbeitgeber und Datenverarbeiter im Kontext der gestellten Anfrage identisch sind. Das ist im Kontext der gestellten Rechtsfrage aber m.M.n. nicht der Fall.
Der Arbeitgeber ist nicht zwingend der Verantwortliche. Das stimmt. Auch das andere Unternehmen, an das die Kontaktdaten übermittelt werden, ist ein Verantwortlicher.
Hallo, folgendes gängiges Szenario in B2B-Geschäftsbeziehungen: Unternehmen A und Unternehmen B haben eine vertragliche Geschäftsbeziehung. Bei Vertragsschluss legt Unternehmen A dem Unternehmen B eine entsprechende Datenschutzerklärung vor. Damit informiert Unternehmen A u.a. darüber informiert, dass auch die Daten von Mitarbeitern des Unternehmens B zur Durchführung der Vertragsbeziehung verarbeitet werden. Mitarbeiter A des Unternehmens A hat nun im Zuge dieser Geschäftsbeziehung erstmalig E-Mail-Kontakt zu Mitarbeiter B des Unternehmens B. Muss Mitarbeiter A nun den Mitarbeiter B gemäß der Informationspflicht nach Art. 13 DSGVO nochmals über die Verarbeitung seiner eigenen persönlichen Daten informieren? Sobald E-Mails-Verkehr besteht, werden ja regelmäßig personenbezogen Daten (z.B. Namen) verarbeitet. Oder reicht es aus, dass Unternehmen A das Unternehmen B bei Start der Geschäftsbeziehung gem. Art. 13 DSGVO entsprechend informiert hat? Müssen Unternehmen in Geschäftsbeziehungen auch einzelne Mitarbeiter anderer Unternehmen entsprechend informieren? Viele Grüße.
Wenn Mitarbeiter von zwei Unternehmen per E-Mail zueinander Kontakt aufnehmen muss nicht gesondert über die Datenverarbeitung informiert werden. Man kann einerseits argumentieren, dass die betroffene Person bereits über die Informationen verfügt und daher nach Art. 13 Abs. 4 DSGVO die Pflicht zur Information entfällt. Schließlich hat Mitarbeiter B eigene personenbezogene Daten dem Mitarbeiter A zur Verfügung gestellt. Es weiß also, welche seiner personenbezogenen Daten verarbeitet werden und für welchen Zweck. Jedoch ist es dennoch ratsam in der Signatur der E-Mail einen Link auf die Webseite/Datenschutzerklärung einzubetten. In der Datenschutzerklärung muss dann ein Passus zur Verarbeitung personenbezogener Daten im geschäftlichen Kontakt aufgenommen werden. Telefonisch kann man auf Nachfrage des Ansprechpartners mündlich auf die Datenschutzerklärung verweisen.
Unternehmen A informiert Unternehmen B beim Online-Kauf über den Datenschutz vom Unternehmen A. Unternehmen B weiß nun, wie mit seinen Daten umgegangen wird. Es erfolgt kein persönlicher Kontakt, dafür folgen Emails (Bestellbestätigung, Versandbenachrichtigung etc.) an Unternehmen B. Wie und wo und wann informiert das Unternehmen B denn nun das Unternehmen A über den Umgang mit dessen Daten (den Emails und der Rechnung)?
Die Frage ist, ob überhaupt personenbezogene Daten von Unternehmen A verarbeitet werden. Es werden wohl höchstens die Kontaktdaten von Ansprechpartnern bei Unternehmen A verarbeitet. Es muss für diese Verarbeitung keine Datenschutzerklärung erstellt werden. Es reicht aus, wenn auf der Webseite ein entsprechender Abschnitt aufgenommen wird, z.B.:
„Bei der Verarbeitung Ihrer personenbezogenen Daten zur Erfüllung eines Vertrages zwischen Ihnen und […] dient Art. 6 Abs. 1 S.1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.“
In dem E-Mail-Footer kann ein Link auf die Webseite eingebettet werden, sodass Ansprechpartner von Unternehmen A leicht auf die Datenschutzerklärung dort zugreifen können.