Werden personenbezogene Daten nicht nur "im eigenen Haus" verarbeitet, sondern auf Dritte übertragen (z.B. an den Steuerberater, an Behörden, an Gerichte oder an den IT-Dienstleister), müssen zusätzliche Voraussetzungen erfüllt werden. Diese hängen maßgeblich davon ab, wie das Verhältnis Verantwortlicher – Dritter datenschutzrechtlich eingeordnet wird und wo der Dritte seinen Sitz hat bzw. wo er die Daten verarbeitet.
Es muss zunächst zwischen einer sog. Auftragsverarbeitung (AV), einer gemeinsamen Verantwortlichkeit (engl.: joint controllership, kurz: JC) und einer getrennten Verantwortlichkeit differenziert werden. AV-Verhältnisse i.S.d. Art. 28 DSGVO liegen etwa bei der Beauftragung eines IT-Dienstleisters, bei der Inanspruchnahme eines Web-Hosters oder auch bei Auslagerung von Lohn- bzw. Gehaltsabrechnungen vor. In derartigen Konstellationen handelt der Auftragsverarbeiter auf Weisung des Verantwortlichen (als "verlängerter Arm"), entscheidet selbst nicht über die Zwecke der Verarbeitung und nutzt die ihm übertragenen Daten regelmäßig nicht zu eigenen Zwecken. Im Gegensatz dazu liegt ein JC-Verhältnis i.S.v. Art. 26 DSGVO vor, wenn zwei verantwortliche Stellen zu einem bestimmten Zweck zusammenarbeiten, keine Weisungsgebundenheit vorliegt und beide ihre eigenen Zwecke verfolgen (können). Als Beispiel wäre hier etwa die Nutzung eines gemeinsamen Datenbestands einer Kanzlei und einer (ausgelagerten) Insolvenzverwaltung zu nennen. Außerdem liegt eine gemeinsame Verantwortlichkeit beim Betrieb eines Social-Media-Profils mit dem Betreiber des sozialen Netzwerks vor (vgl. EuGH, Urt. v. 29.7.2019 – C-40/17). Exemplarisch für eine getrennte Verantwortlichkeit kann etwa das Verhältnis der Verantwortlichen Stelle zur Post, zur Hausbank oder auch zur Rechtsschutzversicherung angeführt werden. In solchen Fällen findet ein eher zufälliges "Zusammenwirken" zweier Verantwortlicher statt, die beide jeweils ihre eigenen Zwecke verfolgen und dabei – eher als "Randerscheinung" – die gleichen Daten nutzen.
Beim Vorliegen eines AV-Verhältnisses muss ein AV-Vertrag und bei einer gemeinsamen Verantwortlichkeit ein JC-Vertrag geschlossen werden. Ein Muster für einen AV-Vertrag findet sich z.B. auf der Website der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) unter "Praxishilfe IV" ( www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo ). Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg stellt eine Vorlage für eine JC-Vereinbarung bereit ( www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/ ).
Weiterhin wichtig ist der Blick auf den Sitz des datenempfangenden Dritten. Befindet sich dieser innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, gilt für alle Beteiligten gleichermaßen die DSGVO, sodass keine weiteren Maßnahmen erforderlich sind.
Sitzt der Dritte allerdings im Nicht-EU-Ausland in einem sog. Drittstaat, muss weiterhin differenziert werden. Denn es gibt Drittstaaten, die hat die EU-Kommission mit einem Angemessenheitsbeschluss ausgestattet, sodass von dem Vorliegen eines mit der EU vergleichbaren Datenschutzniveaus ausgegangen werden kann. Zu diesen Staaten zählen beispielsweise Japan, Großbritannien, Argentinien oder auch die Schweiz (vgl. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de ). Diese Staaten werden datenschutzrechtlich so behandelt, als seien sie EU-/EWR-Mitglieder. Problematisch sind hingegen unsichere Drittstaaten ohne Angemessenheitsbeschluss, also z.B. China, Indien, Russland oder die USA. Für eine Datenübermittlung in diese Länder müssen verschiedene Voraussetzungen erfüllt werden. So sind insb. spezielle Verträge in Form der EU-Standardvertragsklauseln (engl.: standard contractual clauses, kurz: SCC) abzuschließen ( https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_de) und auch noch zusätzliche Maßnahmen zu ergreifen.
Um den Überblick zu behalten, empfiehlt es sich, eine Übersicht der eigenen Datentransfers anzufertigen. Dies kann z.B. in Form einer Excel-Tabelle erfolgen, in der die 1. Spalte die Angaben zu allen Dritten enthält, an die Daten übertragen werden (z.B. Steuerberater, Hausbank, Webhoster, IT-Dienstleister, Cloud-Speicher, Anwaltssoftware-Anbieter etc.). Spalte 2 sollte den Sitz des jeweiligen Unternehmens enthalten, also insb. die Angabe, ob sich der Sitz innerhalb oder außerhalb der EU befindet. In der 3. Spalte der Tabelle sollte dann jeweils angegeben werden, ob es sich um ein AV-Verhältnis, um eine gemeinsame oder um eine getrennte Ver...