Mir fehlt irgendwie die richtige Formulierung für die Überschrift.
Es geht um Folgendes:
Ein Auftraggeber gibt persönliche Daten (Name, Adresse, Telefonnummer) an kleinere und mittelgroße Unternehmen weiter.
Da die Daten keinen Auftrag zur Datenverarbeitung bedeuten, sondern im Kern andere Tätigkeiten ausgeführt werden und die Datenübermittlung zur Erfüllung erforderlich sind, bestehen keine AVV zwischen Auftraggeber und Auftragnehmer.
(Das lassen wir mal so unbestritten stehen!)
Aber wie würdet ihr folgendes Szenario bewerten:
Auftraggeber und Auftragnehmer unterhalten sich “so nebenbei” über das Thema Datenschutz und was damit alles an Aufwand verbunden ist.
In diesem Gespräch lässt der Auftragnehmer den Satz fallen “DSGVO interessiert mich nicht, solange da nichts kommt und mich niemand anspricht, lasse ich das alles einfach so laufen.”
Auf Nachfrage des Auftraggebers erklärt der Auftragnehmer, dass er bislang absolut keine Maßnahmen zur Erfüllung der Vorgaben der DSGVO getroffen hat, sie nicht einmal ansatzweise kennt.
Jetzt stellen sich mir zwei Fragen:
Rein rechtlich:
Kann, darf, sollte der Auftraggeber dem Auftragnehmer weiterhin persönliche Daten seiner Kunden übermitteln?
Leider habe ich da keine Artikel, Urteile oder ähnliches gefunden.
Und rein moralisch:
Genau die gleiche Frage.
Wie würdet ihr als Datenschutzbeauftragte oder Datenschutzkoordinatoren reagieren, selbst wenn sich der Gesetzgeber da ausschweigt?
Vielen Dank für eure Antworten.
1 „Gefällt mir“
Hallo Frank_Berger,
auch wenn keine Auftragsverarbeitung nach Art. 28 DSGVO gegeben ist, bleibt der Auftraggeber für die Daten verantwortlich, die er an andere weitergibt.
Urteile kenne ich aus dem Stegreif auch nicht, aber die fehlende Bereitschaft des Auftragnehmers, sich um den Datenschutz zu kümmern und dies so deutlich zum Ausdruck zu bringen, wäre für mich ein absolutes No-Go.
Die genannte Einstellung gefährdet insbesondere auch die Gewährleistung von Betroffenenrechten, für die der Auftraggeber ggf. zu sorgen hat.
Als DSB des Auftraggebers würde ich die Ablehnung sehr deutlich und nachvollziehbar gegenüber der eigenen Geschäftsführung zum Ausdruck bringen.
Gruß, Collonium
3 „Gefällt mir“
Könnte zu einer unzulässigen Verarbeitung auf Seiten des Absenders führen.
Falls die Rechtsgrundlage der Verarbeitung, mit der u. a. Datenübermittlung an den uneinsichtigen erfolgt “berechtigtes Intesse” sein sollte, würde das Abkippen von Daten in ein… Risikogebiet Rechte und Freiheiten der betroffenen Personen stärker als normal belasten. Damit katapultieren diese sich bei der Abwägung in “überwiegen”. Infolgedessen sind die Bedingungen für diesen Erlaubnistatbestand nicht mehr erfüllbar; der Verantwortliche verarbeitet die Daten (mindestens in Bezug auf die Übermittlung) unrechtmäßig.
Außerdem ist (auch bei Vertragserfülung, rechtlicher Verpflichtung oder öffentlichem Interesse) die Erforderlichkeit zu prüfen. Ist das, was beim Datenempfänger passiert noch erforderlich (i. S. V. notwendig, geeignet, verhältnismäßig)? Auch wenn das nicht ganz klar ist und man nur die Wurstigkeit kennt.
Jetzt kann man diskutieren, ob man sich die Verstöße beim Datenempfänger zurechnen lassen muss. Ich würde sagen: ja. Wenigstens darf man nicht offenen Auges Daten, für deren Schutz man verantwortlich ist vermeidbaren Risiken aussetzen. Die Wahl des Datenempfängers, des Datenumfangs usw. ist der Verantwortung des Übermittelnden zuzurechnen. Bei bekannten Misständen müsste man sie einschränken, bzw. ganz abbrechen.
D., der u. a. Meta und Alphabet nicht für vertauenswürdige Empfänger hält. Denen darf man nichts geben, mit dem sie was anstellen können.
6 „Gefällt mir“
Sehe ich ähnlich.
Als DSB würde ich - abhängig vom verbundenen Risiko - dahingehend beraten, dass hier ggf. geprüft werden sollte, ab man nicht mit einem anderen Auftragnehmer zusammenarbeiten kann.
Zudem sollte man auch die eigene Geschäftsführung einmal fragen, ob in Kenntnis des mangelnden Compliance-Bewusstseins des Auftragnehmers eine weitere Zusammenarbeit im Falle von schweren Verstössen aller Art nicht auch als Organisationsverschulden zu bewerten ist…
Wenn mit der Datenweitergabe und Beauftragung mehr als nur sehr geringe Risiken verbudnen sind, dann wäre mein Hinwirken schon etwas intensiver.
Weiterhin sind wir in der Ausübung unserer Fachkunde weisungsfrei und der Geschäftspartner ist ein Auftragsnehmer, auch wenn nach Ansicht der Aufsichtsbehörden hier keine AV vonnöten ist, so können wir noch immer in Erfüllung des Art. 28 Abs. 1 Fragebögen verschicken …
Also rechtlich - abhängig vom Risiko - wahrscheinlich noch OK.
Moralisch - nicht Ok, mangelndes Verantwortungsbewusstsein für seine Tätigkeit gegenüber Betroffenen.
2 „Gefällt mir“
Dem kann ich nur zustimmen, also Gespräch mit der Geschäftsführung und ggf. auch gleich entsprechende Alternativen zum derzeitigen Auftragnehmer vorschlagen.