Ergebnis 1 bis 3 von 3

Thema: Rechtsgrundlage Datenübermittlung

  1. #1
    Registriert seit
    19.12.2014
    Beiträge
    7

    Standard Rechtsgrundlage Datenübermittlung

    Hallo,

    wir erheben auf einer Messe von potentiellen internationalen Kunden personenbezogene Daten über einen Messebogen (Name und Kontaktdaten des Ansprechpartner).
    Da wir im Ausland (auch Drittstaaten) mit eigenständigen Vertretungen zusammenarbeiten, leiten wir die erhobenen Daten an die entsprechenden Landesvertretungen weiter. Diese wiederum nehmen Kontakt mit den Kunden auf und betreuen sie vor Ort. Dementsprechend führen wir u.a. Datenübermittlungen in Drittstaaten durch.

    Nicht für alle Staaten kann ich als Rechtsgrundlage
    - einen Angemessenheitsbeschluss nach Art. 45 DS-GVO oder
    - geeignete Garantien gem. Art. 46 DS-GVO oder
    - verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO geltend machen.

    Benötige ich dann von jedem Kunden eine Einwilligung nach Art. 49 Abs. 1 lit. a) oder kann ich auch lit. b) bzw. c) als Rechtsgrundlage zugrunde legen?

    Vielleicht muss ich noch ergänzen, dass die Landesvertretung dann den Vertrag mit dem Kunden macht und wir den Vertrag mit der Landesvertretung.

    Danke für eure Einschätzungen!

  2. #2
    Registriert seit
    23.02.2017
    Beiträge
    461

    Standard

    Hallo Claudia14

    Den 46DSGVO sehe ich eher, wenn mal ein MA eine reise ins Ausland machen muss und z.B. ein Visum beantragt.
    Die Teilnahme an der Messe wird jetzt kein Zufall oder einmaliger Event sein, bei dem Sie sich spontan zur Datenerhebung entschieden haben.

    Also doch eher in Richtung Art.6 DSGVO gehen. Wobei Sie eh in beiden Fällen ja Ihren Informationspflichten nachkommen müssen.

    Einen Vertrag besteht nicht, daher wäre 49b nicht anwendbar und auch 49c ist Vertragsanbahnung..."zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person" Von mir hervorgehoben, treffend, mein ich.

    Einwilligung, freiwillig,transparent mit allen zugehörigen Informationen.

    Der Messestand auch Global betrachtet, eine Werbung(marketing) mit dem Ziel der Kundengewinnung.

    Gruß

    Dataparanoia

    Hätte ich beinahe vergessen: Natürlich auch den EU Standardvertrag dann abschließen, wenn das Drittland mitspielen soll.

  3. #3
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    Art.46 präferiert weder MA noch spontane Datenverarbeitungen. Auch diesem Artikel ist gleichgültig, welche Person hinter den personenbezogenen Daten steht. Und die Frage nach Art.49 scheint einen gewissen Hintergrund zu haben (Art.49: "Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen...").


    Zitat Zitat von Claudia14 Beitrag anzeigen
    Benötige ich dann von jedem Kunden eine Einwilligung nach Art. 49 Abs. 1 lit. a) oder kann ich auch lit. b) bzw. c) als Rechtsgrundlage zugrunde legen?

    Vielleicht muss ich noch ergänzen, dass die Landesvertretung dann den Vertrag mit dem Kunden macht und wir den Vertrag mit der Landesvertretung.
    Warum sammelt die Landesvertretung nicht gleich die Daten bei der Messe ein, sondern geht den Umweg über die Hauptniederlassung? Meine naive Vorstellung wäre etwas wie: Landesvertretung, die landesrechtlichen Vorschriften unterliegt, sammelt Kundendaten auf einer Messe ein und schließt einen Vertrag mit dem Kunden ab. Die Daten werden anschließend für den Vertrag zwischen Landesvertretung und Hauptniederlassung an die Hauptniederlassung, die der DSGVO unterliegt, übermittelt. Ihr übermittelt die Daten jedoch andersherum und dreimal im Kreis: Erst an die Hauptniederlassung, dann an die Landesvertretung und dann zurück an die Hauptniederlassung? Das verleitet irgendwie zu einem "Hhmmmja... solange es in der Familie bleibt...".

    Die Übermittlung findet unternehmensintern für Zwecke des Vertragsabschlusses (oder dessen Anbahunung) zwischen einer Person im Drittlannd und einer juristischen Person im selben Drittland statt. Wenn nun dieser Vertrag gar nicht mit der Hauptniederlassung abgeschlossen wird, welche Rechtsgrundlage macht sie dann bei der Datenerhebung geltend? Es bleibt hier nur eine Einwilligung, die allerdings über die Übermittlungen zwischen Landesvertretung und Hauptniederlassung informieren muß. Das heißt, die potentiellen Kunden werden von den gemeinsam Verantwortlichen über die jeweiligen Verarbeitungen informiert.

    Momentan befindet sich der EDSA in der Findungs- und Ordnungsphase, weswegen dort noch nicht alle Dokumente zur Verfügung stehen. Aber mit Art.49 hat er sich schon beschäftigt: Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679. Und darin heißt es zu Art.49 Abs.1 lit.b:
    This derogation cannot be used for example when a corporate group has, for business purposes, centralized its payment and human resources management functions for all its staff in a third country as there is no direct and objective link between the performance of the employment contract and such transfer. Other grounds for transfer as provided for in Chapter V such as standard contractual clauses or binding corporate rules may, however, be suitable for the particular transfer.
    Wenn es bei den Personalverwaltungsfragen keinen direkten und objektiven Zusammenhang gibt und darum eine Erforderlichkeit verneint wird, bejaht welcher Zusammenhang die Erforderlichkeit einer Datenverarbeitung der Hauptniederlassung, wenn der Vertrag zwischen Person und Landesvertretung abgeschlossen wird?

    Gemäß Art.44 Satz 2 sind alle Bestimmungen des Kapitel V so anzuwenden, daß das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. Insofern ergibt es keinen Sinn, den Satz 3 des Art.49 Abs.1 ("Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis.") nicht auf die Ausnahmen des Abs.1 lit.a bis g, aber auf alle anderen Artikel des Kapitels anzuwenden. Und wenn die Aufsichtsbehörde ohnehin informiert werden muß, kann man sie auch fragen, wie das Konstrukt rechtssicher gestaltet werden kann. Art.6 Abs.1 lit.b stellt zwar auf den Vertrag zwischen Person und Landesvertretung ab, wird vertragsrechtlich aber auch in Verbindung mit §311 Abs.3 BGB gesehen (was auf die Hauptniederlassung zuträfe). Es würde die Frage Einwilligung vs. Vertrag klären. Doch um Art.49 als bereichsspezifische Regelung käme die Hauptniederlassung nicht herum.

    Unternehmensinterne Datenschutzvorschriften müssen - entgegen der Erwartungshaltung des gemeinen DSB - nicht existieren, wenn die Hauptniederlassung in der EU wohnt. Erwägungsgrund 111 erklärt, daß eine Unternehmensgruppe genehmigte verbindliche interne Datenschutzvorschriften anwenden dürfen soll, nicht aber anwenden muß. Ich würde hier trotzdem einen Blick in die vom EDSA übernommenen Arbeitspapiere der Artikel-29-Gruppe werfen:
    WP 264, Recommendation on the approval of the Controller Binding Corporate Rules form, http://ec.europa.eu/newsroom/article...item_id=623850
    WP 256 rev.01, Working Document on Binding Corporate Rules for Controllers, http://ec.europa.eu/newsroom/article...item_id=614109

Ähnliche Themen

  1. Rechtsgrundlage Firma Internetprotokoll
    Von gkwloki im Forum Allgemeine Rechtsfragen, Gesetze, Gesetzgebung
    Antworten: 1
    Letzter Beitrag: 11.06.2018, 17:05
  2. Rechtsgrundlage Einzelverfahren
    Von Dataparanoia im Forum Arbeitnehmerdatenschutz
    Antworten: 21
    Letzter Beitrag: 19.01.2016, 02:01
  3. Rechtsgrundlage Datenherausgabe an Finanzgericht
    Von Karon von Jetsam im Forum Öffentliche Verwaltung, staatliche Einrichtungen
    Antworten: 9
    Letzter Beitrag: 16.09.2015, 14:32
  4. Prüfung Einführung Dienstplansoftware Rechtsgrundlage
    Von rotesengelchen im Forum Arbeitnehmerdatenschutz
    Antworten: 8
    Letzter Beitrag: 26.09.2014, 09:22
  5. § 13 (1a) BDSG - Rechtsgrundlage im Strafverfahren ?
    Von MBS im Forum DATENSCHUTZ IM ALLTAG
    Antworten: 8
    Letzter Beitrag: 20.08.2012, 00:13

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •