Rechtsgrundlage für Weitergabe von Daten (B2B)

Guten Morgen liebe Datenschutz-Community,

vielleicht könnt Ihr mir weiterhelfen, ich finde folgenden Sachverhalt undurchsichtig bzw. finde keine zufriedenstellende Lösung.

Ein fiktiver Hersteller von Heizkörpern und Zubehör verkauft seine Produkte an Fachhandwerker, die die Heizkörper dann bei Endkunden einbauen.

Einige Endkunden haben kniffelige Probleme, die die Fachhandwerker nicht lösen können. Die Fachhandwerker geben die Daten der entsprechenden Endkunden an den Hersteller zwecks Wartung/Reparatur über ein Webformular des Herstellers weiter.

In diesem Zusammenhang stelle ich mir die Frage, ob folgendes angemessen ist, um DS-GVO-konform zu agieren:

Fachhandwerker:

Dieser bespricht die Weitergabe der Daten an den Hersteller mit dem Endkunden und holt keine schriftliche Einwilligung gemäß Art. 6 Abs. 1 lit. a ein, da es sich um die Anbahnung eines Vertrages zwischen dem Hersteller und dem Kunden gemäß Art. 6 Abs. 1 lit. b handelt (dann wäre das vermutlich eine Auftragsverarbeitung des Fachhandwerkers?).

Hersteller:

• Vor Erhalt der Endkundendaten lässt sich der Hersteller über eine Checkbox im Webformular, das immer der Fachhandwerker ausfüllt, versichern, dass der Fachhandwerker eine Rechtsgrundlage für die Weitergabe der Endkundendaten hat (dem Hersteller ist egal welche).
• Nach Erhalt der Daten informiert der Hersteller die Endkunden zeitnah über die Verarbeitung ihrer Daten mit allen in Art. 14 genannten, notwendigen Informationen.
• Rechtsgrundlage für die Verarbeitung der Daten durch den Hersteller wäre Art. 6 Abs. 1 lit. b (meiner Meinung wäre die Abfrage über die Checkbox nicht notwendig, wenn ein AVV bestünde).

Ich würde denken, dass der Hersteller keinen Risiken ausgesetzt ist, er wälzt das Risiko auf den Fachhandwerker ab.

Der Fachhandwerker jedenfalls steht mit der erhaltenen mündlichen Einwilligung wahrscheinlich im Feuer. Meiner Meinung gibt er die Daten weiter ohne eine nachweisbare Rechtsgrundlage zu haben. Er kann nichts beweisen, wenn sich Endkunden über die Weitergabe der Daten beschweren. Und es ist für Handwerker auch schwierig im Tagesgeschäft hinter einer gültigen Einwilligung herzurennen, weshalb man die Daten häufig einfach in das Webformular eingeben wird, ohne die Endkunden adäquat zu informieren.

Oder könnte die Rechtsgrundlage für den Handwerker sein berechtigtes Interesse nach 6f sein, da der Hersteller das Problem für den Handwerker zur Zufriedenheit des Endkunden löst?

• Welche Vorgehensweise würdet Ihr dem Fachhandwerker empfehlen?
• Haltet Ihr die Vorgehensweise des Herstellers DS-GVO-konform?
• Wenn der Hersteller alle Endkundendaten zu Zwecken der Listung im CRM haben wollte (auch die, die ganz normal vom Fachhandwerker bedient werden können) sehe ich nur eine Einwilligung als mögliche Rechtsgrundlage oder seht Ihr Alternativen?

Ich wäre für jeden Hinweis dankbar. Irgendwie sortiere ich das falsch, sonst wäre es nicht so undurchsichtig.

Besten Dank und viel Grüße

(Ich muste kurz daran denken, wie Händler Kundenanschriften an Hersteller/Distributieren durchreicht, damit die direkt dorthin liefern. Das wäre eine Variante davon, Adressen an die Post oder Speditionen zu geben, inkl. Telefon oder Mail zur Terminvereinbarung /Lieferankündigung. Hier wäre es nur eine andere Reihenfolge. Kann aber datenmäßig komplexer werden.)

Sowohl der Händler als auch der Hersteller würden für ihre jeweilige Verarbeitung Zulässigkeit benötigen.

Vertrag: Elegant wäre, eine bedarfsweise Eskalation der Unterstützung an den Hersteller als Leistung in den Kaufvertrag einzubauen. Um zur Vertragserfüllung erforderlich(!) zu sein, müsste sich der Datenumfang der Übermittlung von Händler an Hersteller auf das Nötige beschränken. Die Erlaubnis für Händler wäre (Art. 6 Abs. 1 DSGVO) lit. b, für Hersteller lit. f (Unterstützungsinteresse der Händler). Alternativ könnte auch der Hersteller Partei eines dreiseitigen Vertrags sein; bzw. in einem zusätzlichen Vertrag den Direktsupport mit den Kunden vereinbaren.

Auftragsverarbeitung: Damit der Hersteller nicht plötzlich Daten erhält, für die er keine Rechtsgrundlage hat, könnte er sich per Auftragsverarbeitung an die Rechtsgrundlage der Händler dranhängen. Aus Kundensicht wäre es, als ob der Händler den Support bringt. Entweder selbst, oder durch den Hersteller, der wegen der Auftragsverarbeitung nicht als Dritter gilt, sondern wie… eine zuständige Abteilung des Händlers betrachtet werden kann. (Händler lit. b, Auftragsverarbeiter keine eigene Rechtsgrundlage nötig)

Einwilligung: Natürlich kann der Händler sich auch vorab bei allen (die zustimmen) oder für jeden konkreten Fall erlauben lassen, den Hersteller für den Supportzweck einzubeziehen. Die Einwilligung sollte so formuliert sein, dass sie nicht nur dem Händler die Übermittlung erlaubt, sondern auch dem Hersteller die Verarbeitung zum Erbringen des Supports. (beide lit. a)

D., dem das auf die Schnelle einfällt.

Das Konstrukt mit der Auftragsverarbeitung wäre meine erste Idee gewesen…

Ja, der Hersteller kann in seinen Verträgen mit den Händlern /Handwerkern einheitlich Auftragsverarbeitung einbauen. (Die würden das sowieso nicht allein schaffen. Überhaupt daran denken, dass es eine Datenschutzproblematik geben könnte…) Das wäre dann als verstecktes “Datenschutz inklusive” ein Vorteil für alle Beteiligten, mit denen er sich und den Händlern (und vor allem den Betroffenen) unnötige Rechtsunsicherheit erspart.

D., der Auftragsverarbeitung auch für die stabilste Lösung hält.

Vielleicht habe ich etwas nicht verstanden, aber für mich ist da weder irgendeine Einwilligung noch eine Auftragsverarbeitung im Spiel.

Die Weitergabe der Daten ist von Controller zu Controller und basiert auf einem berechtigten Interesse. Der Endkunde will ja schließlich auch, dass ihm geholfen wird - da wird er gegen die Übergabe der Kontaktdaten wohl kaum etwas einzuwenden haben.

Zuerst einmal danke ich Euch sehr für Euren hilfreichen Input. Ich finde, plausibel sind all Eure Lösungen.
Im Streitfall, und um den geht es ja letztlich, wären Handwerker und Hersteller m. E. wahrscheinlich am ehesten mit der AVV-Variante abgesichert, weil Sie am einfachsten nachweisen können, dass Sie sich von vorherein um angemessene datenschutzkonforme Verarbeitung gekümmert haben. Auf der anderen Seite ist vorstellbar, dass es Aufsichtbehörden gibt, die beanstanden, dass die Mittel und Zwecke lt. AVV allein vom Handwerker festgelegt werden (und eben doch 2 eigenständige (und nicht gemeinsam) Verantwortliche vorliegen.

Vor dem Hintergrund, dass in der “Dreiecksbeziehung” Endkunde, Handwerker, Hersteller allen geholfen ist, wenn die Daten weitergegeben werden, würde ich aber das berechtigte Interesse normalerweise favorisieren. Das hier für alle Parteien der geringste Aufwand entsteht, soll keine Rolle spielen, ist aber zudem ein echter Vorteil.

Ich persönlich sträube mich häufig vor 6f, weil es schnell zu Diskussionen kommen kann. Ich habe schon hin und wieder erlebt, dass Endkunden auf Dienstleister wegen scheinbar schlechter Leistung “sauer” waren und sich dann über den Datenschutz rächen wollten. Mir scheint, da ist der 6f die gefährlichere Variante, wenn die Datenschutzbehörde vom Endkunden angerufen wird.

Ich muss noch mal darüber nachdenken, danke Euch erst einmal und melde mich demnächst mit einem Update.

Liebe Community,

am Ende haben wir es im Unternehmen über das berechtigte Interesse und nicht über einen AVV geregelt.

Davon abgesehen, dass ich allen Antwortenden noch einmal danken möchte, hat bdsb den Ausschlag dafür gegeben. Mit dem 6f-Gedanken im Kopf habe ich eine deutsche Aufsichtsbehörde telefonisch kontaktiert und meine Bedenken hinsichtlich der Diskussionsfähigkeit der Abwägung sowie AVV/eigenständige Controller als Alternative geäußert. Aber auch hier war es wie bei bdsb-Äußerung so, dass in diesem Fall relative Klarheit hinsichtlich des positiven Interesses des Bauherrn vorliegen sollte.
Der Kontakt zur Aufsicht ist kein Nachweis, dass dies richtig ist, es macht jedoch einen plausiblen Eindruck.
Wollte also Abschluss vermelden und Euch danken.

Viele Grüße
Datennutzer