Datenweitergabe an Dritte - Mustereinwilligung durch Betroffene

null

In unserem Artikel zur Erstellung einer Einwilligungserklärung erfahren Sie alles notwendige um selbst passende Vorlagen zu erstellen. Wir gehen hier insbesondere auf die Datenübermittlung an andere Stellen ein und zeigen einige Probleme aus der täglichen Datenschutzpraxis auf.

Was ist bei der Datenweitergabe an Dritte zu berücksichtigen?

Die Datenweitergabe an Dritte ist nach der DSGVO nur extrem schwer möglich. Daher können Daten in der Regel nur weitergegeben werden, sofern dies zur Erfüllung eines Vertrages notwendig ist oder wenn eine Einwilligung durch die Betroffenen vorliegt.

Um jedoch Daten an Dritte aufgrund der Notwendigkeit zur Vertragserfüllung auch tatsächlich rechtssicher übermitteln zu können, ist ein enger Beurteilungsmaßstab anzusetzen. So ist zwar im eCommerce Bereich die Weitergabe der Kund:innendaten an z. B. DHL zum Zwecke des Versands an den/die Kund:in gestattet, jedoch umfasst dies nur die Daten die auch tatsächlich zur Erfüllung dieser Verpflichtung notwendig sind. Demnach darf zwar die Anschrift übermittelt werden, nicht aber die E-Mail-Adresse der Kund:innen.

Problematisch ist es auch, wenn zwar eine Datenweitergabe zur Vertragserfüllung notwendig ist, der/die Betroffene dies aber nicht zu erwarten hatte. So könnte z.B. bei der Buchung eines Seminars mit Abschlusszertifikat (eines Drittanbieters) eine Datenweitergabe zwangsläufig notwendig werden. Ein:e Betroffene:r könnte jedoch unter Umständen anderes erwarten, womit die Probleme für den/die Verantwortliche:n beginnen. Besonders problematisch wird dies bei einer Übermittlung von personenbezogenen Daten in Drittstaaten, denn hier dürfte der Beurteilungsmaßstab noch viel enger anzusetzen sein. Letztendlich würde die Notwendigkeit der Übermittlung in vielen Fällen bereits daran scheitern, dass die Erfüllung auch mit einem innereuropäischen Dienst möglich gewesen wäre.

Um all diese Rechtsunsicherheiten ausschließen zu können, empfiehlt es sich Kund:innen bzw. Betroffene bereits vor Vetragsschluss bestens zu informieren oder eine Einwilligungserklärung zu erhalten.

An eine solche Einwilligungserklärung sind jedoch einige Voraussetzungen gebunden. Liegen diese nicht vor gilt eine Einwilligung als nicht erteilt.

Die Einwilligung muss in unmissverständlicher Weise (1) freiwillig (2) durch den vollständig informierten (3) Betroffenen abgegeben werden. Zusätzlich muss der/die Betroffene über allgemeinen Rechte (4) und dem Recht die Einwilligung später zu widerrufen (5) informiert werden.

Untätigkeit oder Schweigen von Betroffenen können keineswegs als Einwilligung verstanden werden, denn dies wäre in keinem Fall eine unmissverständliche Einwilligung. Missverständlich kann eine Einwilligung aber auch sein, wenn diese zusammen mit anderen Erklärungen oder versteckt erfolgt.

Zudem darf die Einwilligung nicht "unter Zwang" durchgeführt werden. Dies ist insbesondere bei der Verarbeitung zu Werbezwecken problematisch. Denn in vielen Fällen ist z. B. für die Durchführung eines Gewinnspiels, die Verarbeitung um den/die Empfänger:in später Werbebotschaften zukommen zu lassen, nicht Voraussetzung dafür das Gewinnspiel durchführen zu können. Dies gilt selbst dann wenn die Auslosung anhand der E-Mail-Adresse erfolgt.

Warum ist diese Trennung bei der Einwilligung notwendig?

Die ursprüngliche Absicht ist die Durchführung des Gewinnspiels. Die Zusendung von (späteren) Werbenachrichten ist ein zusätzlicher neuer - sozusagen unnötiger - Zweck um die Daten zu verarbeiten.

Ist die Teilnahme an dem Gewinnspiel an die Erteilung der Zustimmung gebunden wird dies problematisch, denn dann erfolgt die Einwilligung nicht mehr gänzlich freiwillig und ist ungültig.

Auch Einwilligungen ohne die Betroffenen umfassend zu informieren (z. B. "Ich willige ein das Unternehmen A nach belieben meine Daten verarbeiten und an Dritte übermitten kann") sind nicht wirksam. Dies wird bei besonderen Kategorien von Daten (z. B. Gesundheitsdaten) noch strenger beurteilt als bei "normalen" Daten. Daher ist bei solchen besonderen Kategorien von Daten detailliert aufzuführen, was genau mit welchen Daten geschieht.

Betroffene müssen zudem darüber informiert werden, dass ihre freiwillig abgegebene Einwilligung jederzeit widerrufen werden kann. Hier sind auch Informationen darüber zu erteilen, in welcher Form bzw. wie der Widerruf erfolgen soll.

Außerdem ist über die allseits bestehenden Rechte nach der DSGVO zu informieren, darunter jeweils das Recht auf Löschung, Berichtigung, Auskunft und Sperrung von personenbezogenen Daten.

Mustereinwilligungserklärung zur Datenübermittlung an Dritte

Die untenstehenden Einwilligungserklärungen sind um die allgemeinen Rechte und das Widerrufsrecht zu ergänzen. Die Beispiele beanspruchen für sich weder Vollständigkeit noch Richtigkeit und bedürfen stets einer individuellen Beurteilung der Situation.

Beispiel 1 (E-Mail-Adresse)

Hiermit erteile ich meine Einwilligung zur Übermittlung meiner E-Mail-Adresse an Partnerunternehmen, um mir Informationen und Angebote im Bereich Open-Source-Software per E-Mail zusenden zu lassen.

Beispiel 2 (Drittstaat)

Hiermit erteile ich meine Einwilligung zur Übermittlung meiner personenbezogenen Daten (Name, Anschrift, Geburtsdatum, handschriftliche Prüfung) an den Teststellenanbieter XY mit Sitz in den USA - zum Zwecke der Bewertung meiner Prüfungsleistungen und der Erstellung eines Zertifikats für meine ggf. erfolgreiche Prüfung. Mir ist bewusst, dass bei einer Datenübermittlung in die USA kein angemessenes Schutzniveau gewährleistet werden kann und ich unter Umständen meine Rechte gänzlich oder teilweise nicht gegenüber dem Datenempfänger in den USA durchsetzen kann. Ich habe verstanden, dass hierdurch vielfältige Risiken bei der Verarbeitung meiner personenbezogenen Daten entstehen, darunter insbesondere aber nicht ausschließlich das Risiko einer weiteren Datenübermittlung, Offenlegung oder Verarbeitung zu anderen Zwecken. Darüber hinaus besteht das Risiko, dass selbst bei einem nachträglichen Widerruf dieser Einwilligung, bereits übermittelte Daten ganz oder teilweise nicht vom Datenempfänger in den USA gelöscht werden.

Mit Glasskube werden keine Daten an Dritte weitergegeben, stattdessen haben Sie volle Kontrolle über Ihre Daten. Sie wollen mehr darüber erfahren? Wir freuen uns, Sie bei einem kostenlosen Ersttermin kennenzulernen!

Unsere Lösungen für zuverlässige und skalierbare Infrastruktur

Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.

Testen Sie Glasskube kostenlos

Ihre Cloud Native Experten für zuverlässe IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.