In Unternehmen verbleiben personenbezogene Daten selten ausschließlich an einem Ort. Sie werden erhoben, verarbeitet, intern weitergegeben, an externe Stellen übermittelt, gespeichert und archiviert. Nach Ablauf der jeweiligen Verarbeitungs- und Aufbewahrungszwecke müssen sie auch wieder gelöscht werden („Lifecycle“).
Gerade deshalb ist die Frage nach den Empfängern personenbezogener Daten ein zentraler Baustein eines belastbaren Datenschutzmanagements.
Je nach Prozess können zu den Empfängern sehr unterschiedliche Stellen gehören: interne Fachbereiche, Tochter- und Mutterunternehmen, externe Dienstleister, Behörden, Sozialversicherungsträger, Berufsgenossenschaften, Finanzdienstleister, Versicherungen, Kunden, Lieferanten, Unterauftragnehmer, Weiterbildungsanbieter, Personaldienstleister, Inkassodienstleister und sonstige Empfänger.
Rollen der Empfänger
Entscheidend ist dabei nicht allein die Weitergabe der Daten. Maßgeblich ist auch, in welcher datenschutzrechtlichen Rolle der jeweilige Empfänger handelt. Handelt er eigenständig als Verantwortlicher? Liegt eine Auftragsverarbeitung vor? Besteht möglicherweise eine gemeinsame Verantwortlichkeit? Oder handelt es sich um eine sonstige empfangende Stelle?
Diese Einordnung hat erhebliche praktische Bedeutung. Sie beeinflusst, welche vertraglichen Regelungen erforderlich sind, welche Informationspflichten gegenüber betroffenen Personen bestehen, welche technischen und organisatorischen Maßnahmen zu prüfen sind und wie die Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren ist.
Checkliste
Für Unternehmen empfiehlt es sich daher, Empfänger personenbezogener Daten strukturiert zu erfassen und regelmäßig zu überprüfen. Dabei sollten insbesondere folgende Fragen beantwortet werden:
- Wer erhält personenbezogene Daten?
- Zu welchem Zweck erfolgt die Übermittlung?
- Auf welcher Rechtsgrundlage werden die Daten weitergegeben?
- In welcher Rolle handelt der Empfänger?
- Sind erforderliche Verträge, Vereinbarungen und Dokumentationen vorhanden?
- Sind die Empfänger im Verzeichnis von Verarbeitungstätigkeiten nachvollziehbar abgebildet?
- Welche Auswirkungen ergeben sich für Lösch- und Aufbewahrungsfristen?
Lösch- und Archivierungskonzept
Auch für Lösch- und Archivierungskonzepte ist die Empfängerstruktur relevant. Denn die Übermittlung personenbezogener Daten an Dritte beendet nicht automatisch die eigene Verantwortung des Unternehmens. Weiterhin ist zu prüfen, welche Daten intern gespeichert bleiben müssen, welche gesetzlichen oder vertraglichen Aufbewahrungspflichten bestehen und wann Daten in Fachsystemen, Ablagen, E-Mail-Postfächern, Dokumentationen oder Archiven gelöscht, gesperrt oder archiviert werden können.
Ein praxistaugliches Datenschutz- und Löschkonzept sollte daher nicht nur interne Systeme und Speicherorte betrachten, sondern auch die Weitergabe personenbezogener Daten an Empfänger einbeziehen. Erst dadurch entsteht ein vollständigeres Bild darüber, wo personenbezogene Daten verarbeitet werden, wer Zugriff auf sie erhält und welche Verantwortlichkeiten im weiteren Lebenszyklus der Daten bestehen.
Fazit
Wer Empfänger, Datenflüsse, Verantwortlichkeiten und Löschfristen zusammen betrachtet, schafft eine wichtige Grundlage für ein nachvollziehbares, prüffähiges und praxistaugliches Datenschutzmanagement.
Bei Fragen zur datenschutzkonformen Erfassung von Empfängern, Datenflüssen und Löschfristen unterstützen wir Sie gerne. Kontaktieren Sie uns unter: consulting@adorgasolutions.de.
