Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Daten an Dritte weitergeben: Wie wäre es mit anonymisieren?

0 Beurteilungen
Urheber: allvision | Fotolia

Von Wolfram von Gagern,

Damit die Geschäftswelt funktioniert, müssen häufig Daten ausgetauscht werden, und zwar personenbezogene Daten. Denken Sie beispielsweise an die Informationen, die das Reisebüro an den Reiseveranstalter weitergibt, damit die Reise durchgeführt werden kann. Auch in Ihrem Unternehmen gibt es typische Fälle.

So beispielsweise die Weitergabe von Adressinformationen an die Spedition, damit die Ware an den Kunden ausgeliefert wird. Klar, alles kein Problem, weil es hierfür eine Rechtsgrundlage gibt (§ 28 Abs. 1 Satz 1 Nr. 1 Bundesdatenschutzgesetz (BDSG)).

Doch was tun, wenn Daten ohne Rechtsgrundlage, beispielsweise für Marktanalysen, weitergegeben werden sollen?

Wichtiger Grundsatz: der Erlaubnisvorbehalt

Wenn Ihr Unternehmen etwa bei Kunden personenbezogene Daten erhebt, verarbeitet oder nutzt, bedarf es hierfür einer Rechtsgrundlage. Schließlich gilt das Erlaubnisvorbehaltsprinzip. Danach ist jedes Erheben, Verarbeiten oder Nutzen personenbezogener Daten verboten, wenn es nicht durch eine Rechtsvorschrift (z. B. Gesetz, Betriebsvereinbarung) vorgeschrieben bzw. erlaubt ist oder der Betroffene eingewilligt hat (§ 4 Abs. 1 BDSG).

Zweck berücksichtigen

Außerdem muss stets der Zweck berücksichtigt werden, für den die Daten erhoben wurden. Eine nachträgliche Zweckänderung ist nur in engen Grenzen möglich. So muss die etwa im Rahmen des § 28 Abs. 2 BDSG erforderliche Interessenabwägung zugunsten des berechtigten Interesses Ihres Unternehmens ausfallen.

Bitte beachten Sie: Eine Zweckänderung ist nach einer Einwilligung in der Regel nicht möglich. Es bedarf dann einer neuen Einwilligung.

Anzeige

Unproblematische Datenweitergabe: Anonymisierte Daten

Keine personenbezogenen Daten sind gegeben, wenn es sich um von Anfang an anonyme Daten handelt. Nichts anderes gilt, wenn ursprünglich personenbezogene Daten vor der Übermittlung anonymisiert worden sind.

Was unter anonymisieren zu verstehen ist, ergibt sich aus § 3 Abs. 6 BDSG. Dabei handelt es sich um das Verändern personenbezogener Daten, sodass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Daten dürfen nicht mehr bzw. nur mit extremem Aufwand zugeordnet werden können

In der Praxis heißt das: Soll ein Datensatz an einen Dritten übermittelt werden, müssen alle Merkmale entfernt oder durch nicht personenbezogene Informationen (z. B. Zufallszahlen oder -buchstaben) ersetzt werden. Wichtig ist letztendlich, dass es nach menschlichem Ermessen nur mit extremem Aufwand möglich ist, die Informationen einer natürlichen Person zuzuordnen.

Tipp: Es kommt darauf an, dass die Daten für IHR Unternehmen anonym sind

Sollte der Datenempfänger trotz richtig durchgeführter Anonymisierung die anonymen Daten einer Person zuordnen können, dürfte das eher nicht zu einem Bußgeld für Ihr Unternehmen führen. Die Daten waren schließlich für Ihr Unternehmen anonym.

Außerdem werden durch den Datenempfänger erst die personenbezogenen Daten erzeugt, die wiederum den Bestimmungen des BDSG unterliegen. Für den zulässigen Umgang mit den Daten ist dann das andere Unternehmen verantwortlich.

Entscheidendes Kriterium: Personenbeziehbarkeit

Ob Ihr Unternehmen für den Verarbeitungsschritt „Übermittlung von Daten“ eine Rechtsgrundlage benötigt, hängt in erster Linie von einer Frage ab: Handelt es sich um Daten, die sich auf eine natürliche Person beziehen lassen?

Geht es nicht um personenbezogene Daten, ist das BDSG nicht anwendbar. Infolgedessen bedarf es für die Weitergabe der Daten keiner Rechtsgrundlage oder der Einwilligung des Betroffenen.

Zum besseren Verständnis ein Beispiel: Die Information „Der Datenschutzbeauftragte der Mustermann GmbH hat einen Preis gewonnen“ ist an sich kein personenbezogenes Datum. Erst wenn weitere Informationen hinzukommen, beispielsweise der Name des Datenschutzbeauftragten, kann man von einer personenbezogenen Information (= personenbezogenes Datum) sprechen.

Wichtig: Nicht Personenbezug, sondern Personenbeziehbarkeit ist entscheidend Bei der Frage „Personenbezogen oder nicht?“ müssen Sie mit einfließen lassen, wie leicht weitergehende Informationen verfügbar sind, durch welche ein Personenbezug hergestellt werden kann. Lässt sich der Name des Datenschutzbeauftragten problemlos ausfindig machen, beispielsweise durch Einsatz einer Suchmaschine im Internet, kann dies dazu führen, dass die Information als personenbeziehbar einzustufen ist.

Im Ergebnis macht es keinen Unterschied ob eine Information direkt (=personenbezogen) oder indirekt (=personenbeziehbar) einer natürlichen Person zuzuordnen ist.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!