Aktuelles

Urteile, Vorfälle, Kommentierungen...
Zusammenarbeit zweier Unternehmen: Wer muss wen datenschutzrechtlich informieren?

Zusammenarbeit zweier Unternehmen: Wer muss wen datenschutzrechtlich informieren?

by 7. März 2019

Unternehmen A und Unternehmen B schließen einen Vertrag. Aus diesem Grund kommunizieren die Mitarbeiter von A und die Mitarbeiter von B miteinander. Dabei werden aber mehr oder weniger zwangsläufig personenbezogene Daten der Mitarbeiter von A bei B verarbeitet, und A verarbeitet die Daten der Mitarbeiter von B. A und B sind also jeweils für sich Datenverarbeiter in Bezug auf die Mitarbeiterdaten des anderen.

Nun stellt sich mit Blick auf die DSGVO die Frage:

Der Datenverarbeiter muss Betroffene umfassend informieren (siehe den Katalog in Art. 13 DSGVO). Betroffener sind im Beispiel aber nicht A und B, Betroffene sind vielmehr die einzelnen Mitarbeiter von A und von B, deren Daten bei A bzw. B verarbeitet werden.

Also müsste A die jeweiligen Mitarbeiter von B informieren, d.h. ihnen seine Datenschutzhinweise zur Verfügung stellen.

Ob A das wirklich tun muss? Naja, eigentlich ja schon… es sei denn, die Gerichte erkennen irgendwann den dahinterstehenden Aufwand und argumentieren dann mit “gesellschaftlich anerkannten Gepflogenheiten” o.Ä. …

Denn:

A müsste seine Mitarbeiter anweisen, bei jedem (neuen) Ansprechpartner von B auch dorthin die A-Datenschutzhinweise zu schicken bzw. dem neuen Ansprechpartner die Hinweise zugänglich zu machen. Das wird kompliziert, wenn mehrere Mitarbeiter von A mit mehreren Mitarbeitern von B “überkreuz” kommunizieren: Dann müsste irgendwo dokumentiert werden, ob der Herr Müller von B schon die Hinweise bekommen hat, und die Frau Meier usw., damit auch andere Mitarbeiter wissen, ob Sie Herrn Müller oder Frau Meier noch informieren müssen usw.

Vertragliche Lösung?

Eine Lösung kann sein, dass A den B schon im Vertrag verpflichtet, dass B die Datenschutzhinweise von A seinen eigenen Mitarbeitern zur Kenntnis geben muss.

Eine solche Delegation würde aber m.E. nichts daran ändern, dass A in Anspruch genommen werden würde, wenn B seiner vertraglichen Pflicht nicht nachkommen würde. Allerdings dürfte A dann wohl einen Regressanspruch gegen B haben.

Ein Problem stellt sich, wenn es sich bei dem Vertrag zwischen A und B um AGB handelt – wie es wohl in den meisten Fällen der Fall sein dürfte: Denn sobald A diese Klausel nicht nur gegenüber B einsetzt, sondern gegenüber allen Vertragspartnern, dann ist diese Klausel eine AGB-Klausel. Und AGB´s sind dann unwirksam, wenn sie “überraschend” sind (§ 305c Absatz 1 BGB).

Und überraschend – da ungewöhnlich – dürfte es jedenfalls zurzeit sein, wenn der eine Vertragspartner den anderen Vertragspartner dazu verpflichtet, die eigenen Datenschutzhinweise weiterzuverbreiten.

Um das zu vermeiden, sollte A diese Klausel optisch hervorheben bzw. sehr unmissverständlich darauf aufmerksam machen.

Link in der E-Mail-Signatur?

Eine andere Lösung kann sein, in der E-Mail-Signatur eine Verlinkung auf die URL vorzunehmen, unter der der Mailempfänger die Datenschutzhinweise finden kann.

Die Frage stellt sich dabei, ob der Mailversender ausdrücklich darauf hinweisen muss, m.E. muss er das aber nicht (auf der Webseite bspw. hat sich ja auch eingebürgert, dass der Nutzer die Datenschutzhinweise entweder ganz oben oder ganz unten verlinkt finden kann. Wer aber auf Nummer sicher gehen möchte, sollte in seinem Mailtext kurz auf den Link hinweisen.

Art. 13 DSGVO verlangt die Informationen “bei Erhebung”, aber strenggenommen hat man ja die Mailadresse des (ggf. neuen) Ansprechpartners bereits erhoben, bevor er die E-Mail erhält. Das dürfte aber unter dem Strich kein wirkliches Problem sein, da wohl auch die Aufsichtsbehörden den Zeitmoment “bei Erhebung” nicht allzu streng sehen (außerdem gäbe es immer noch die Nach-Information gemäß Art. 14 DSGVO).

Und am Telefon?

Am Telefon dürfte es nach derzeitigem Stand ausreichen, wenn man dort die URL nennt, auf der der Ansprechpartner die Informationen finden kann. Soweit man früher gesagt hat, es soll keinen “Medienbruch” geben (also nicht von mündlich aufs Internet verweisen), spielt das derzeit wohl auch bei den Aufsichtsbehörden keine Rolle mehr, d.h. ein Medienbruch ist durchaus möglich.

Eine Alternative kann sein, dem Ansprechpartner in der nächstbesten E-Mail nach dem Telefonat die Datenschutzhinweise zur Verfügung zu stellen (siehe oben). Wenn der Ansprechpartner aber nicht von sich aus seine Mailadresse herausgibt, müsste man diese extra abfragen und erheben… (dann kann man auch gleich die URL mündlich am Telefon sagen).

Urheberangabe für das/die Foto(s) (Symbolfoto):