tick-gdpr-author-spacer

Vereinbarungen zur Datenfreigabe – Prozess und Implementierung

Sanjiv Sharma
March 12, 2025
On this page

Einführung

Unternehmen nutzen häufig den Datenaustausch im Rahmen ihrer Geschäftsprozesse. Der unsachgemäße Umgang mit freigegebenen Daten kann jedoch erhebliche Risiken bergen – nicht nur für die Privatsphäre von Einzelpersonen, sondern auch für die Geschäftsziele des Unternehmens.

Dieser Beitrag beleuchtet wichtige Aspekte, die Unternehmen vor dem Abschluss einer Datenaustauschvereinbarung (DSA) prüfen sollten, um Compliance, Sicherheit und Verantwortlichkeit zu gewährleisten. Der Beitrag führt Sie durch die einzelnen Schritte und liefert Beispiele zum besseren Verständnis.
Dieser Leitfaden führt Sie durch die Schritte zur Erstellung einer DSGVO-konformen Datenaustauschvereinbarung.

1. Zweck und Umfang der Datenfreigabe definieren

Beantworten Sie die folgenden Fragen und fassen Sie Ihre Antworten zusammen. Die folgenden Überlegungen helfen Ihnen, Zweck und Umfang der Datenfreigabevereinbarung festzulegen. Formulieren Sie klar und präzise, ​​damit alle Beteiligten verstehen, wie die Daten geteilt und genutzt werden können.

1.1 Warum die Daten geteilt werden müssen

Organisationen sollten kritisch prüfen, ob die Datenfreigabe wirklich notwendig ist, indem sie sich folgende Fragen stellen:

„Was passiert, wenn wir die Daten nicht mit einer anderen Partei teilen?“

Diese Frage hilft bei der Beurteilung:

  • Notwendigkeit – Ist die Datenfreigabe für das Erreichen des beabsichtigten Ergebnisses unerlässlich oder gibt es alternative Möglichkeiten, dies ohne Datenfreigabe zu erreichen?
  • Risiken vs. Nutzen – Überwiegt der Nutzen der Datenfreigabe die Risiken? (z. B. Datenschutzbedenken, Compliance-Probleme, Datensicherheitsbedrohungen)?
  • Rechtliche und ethische Aspekte – Gibt es rechtliche oder ethische Gründe, die eine Datenweitergabe erfordern oder einschränken?

Wie diese Frage bei der Entscheidungsfindung angewendet werden kann:”

  • Hätte die Weitergabe der Daten rechtliche Konsequenzen, wenn das Ziel die Einhaltung gesetzlicher Vorschriften ist?
  • Könnten bei Forschungszwecken anonymisierte oder synthetische Daten anstelle von personenbezogenen Daten verwendet werden?
  • Könnte das Unternehmen bei der Serviceverbesserung dieselben Ergebnisse mit internen Analysen erzielen, anstatt die Daten extern weiterzugeben?

Durch die Beantwortung dieser Frage stellen Unternehmen sicher, dass Daten nur dann weitergegeben werden, wenn dies wirklich notwendig ist. Dies entspricht Grundsätzen wie Datenminimierung und Datenschutz durch Technikgestaltung.

Welche Daten werden weitergegeben?

Unterteilen Sie die Daten in Typen und prüfen Sie, ob jeder Typ notwendig ist:

  • Wesentliche Daten: Müssen weitergegeben werden (z. B. Diagnosedaten für eine Forschungsstudie).
  • Bedingte Daten: Können unter Sicherheitsvorkehrungen weitergegeben werden (z. B. pseudonymisierte Mitarbeiterdaten für Personalanalysen).
  • Unnötige Daten: Sollten nicht weitergegeben werden (z. B. persönliche Adressen für eine allgemeine demografische Studie).

Beispiel: Für eine klinische Studie könnten die weitergegebenen Daten sein:
Wesentlich: Für die Studie relevante medizinische Vorgeschichte.
Bedingt: Genetische Daten (mit spezifischen Genehmigungen).
Unnötig: Kontaktdaten oder unabhängige Diagnosen.

Szenario: Weitergabe von Gesundheitsdaten zu Forschungszwecken (DSGVO- und HIPAA-Konformität)

Ein Krankenhaus (Verantwortlicher) plant die Weitergabe von Patientendaten an ein Forschungsinstitut für eine Studie zu Herzerkrankungen.

  • Rechtliche Anforderung gemäß DSGVO (EU)
    • Zweckbegründung: Das Krankenhaus muss eine Rechtsgrundlage für die Datenweitergabe schaffen (DSGVO Artikel 6).
      • Verarbeitung besonderer Kategorien von Daten: Gesundheitsdaten sind sensible personenbezogene Daten (DSGVO Artikel 9) und erfordern zusätzliche Schutzmaßnahmen. Minimierung & Einwilligung: Wenn eine Patienteneinwilligung erforderlich ist, muss diese informiert, spezifisch und ausdrücklich erfolgen.
    • Schutzmaßnahmen: Pseudonymisierung oder Anonymisierung sollte nach Möglichkeit angewendet werden.
  • Gesetzliche Anforderungen gemäß HIPAA (USA)
    • De-Identifizierung: Bei der Weitergabe geschützter Gesundheitsinformationen (PHI) verlangt HIPAA entweder die Einwilligung des Patienten oder eine De-Identifizierung der Daten (Entfernung von 18 HIPAA-Kennungen).
    • Geschäftspartnervereinbarung (BAA): Handelt es sich bei dem Forschungsinstitut um einen Dritten, ist eine BAA erforderlich, um Rollen und Verantwortlichkeiten festzulegen.

Richtiger Ansatz (konform)

  • Das Krankenhaus stellt eine rechtliche Prüfung sicher, anonymisiert Daten, wo möglich, und holt bei Bedarf die ausdrückliche Einwilligung des Patienten ein.
  • Es wird eine Datenaustauschvereinbarung (DSA) unterzeichnet, die Sicherheitsmaßnahmen und Compliance definiert.

Falscher Ansatz (nicht konform)

  • Das Krankenhaus geht davon aus, dass die Forschungsstudie im öffentlichen Interesse liegt. und gibt identifizierbare Patientenakten ohne Einwilligung oder Anonymisierung weiter.
  • Risiko: Verstoß gegen DSGVO/HIPAA, was zu rechtlichen Sanktionen und potenzieller Haftung wegen Datenschutzverletzungen führt.

Szenario: Weitergabe von Personaldaten für Hintergrundüberprüfungen

Ein Unternehmen gibt Hintergrunddaten von Mitarbeitern an einen Drittanbieter für Screenings vor der Einstellung weiter.

🔹 Versäumnis:

  • Das Unternehmen vergisst, die Einhaltung der DSGVO/CCPA durch den Anbieter zu überprüfen.
  • Die Einwilligung der Mitarbeiter zur Weitergabe ihres Strafregisters (Daten besonderer Kategorien gemäß DSGVO) wird nicht ausdrücklich eingeholt.
  • Datenspeicherung: Die Vereinbarung legt nicht fest, wie lange der Anbieter die Daten speichern darf.

Rechtliches Risiko:

  • DSGVO-Verstoß: Die Einwilligung der Mitarbeiter war erforderlich, wurde jedoch nicht eingeholt.
  • CCPA-Verstoß: Die Mitarbeiter wurden nicht über die Weitergabe von Daten an Dritte informiert.
  • Folgen: Mögliche Geldstrafen, Klagen und Reputationsschäden.

So beheben Sie das Problem:

  • Holen Sie sich die Zustimmung der Mitarbeiter zu Hintergrundüberprüfungen ausdrücklich ein.
  • Führen Sie eine Compliance-Prüfung des Lieferanten durch (befolgt der Lieferant die DSGVO/CCPA?).
  • Definieren Sie die Richtlinien zur Datenaufbewahrung in der Vereinbarung.

2. Identifizierung der am Datenaustausch beteiligten Organisationen

Beim Entwurf einer Datenaustauschvereinbarung (DSA) ist es wichtig, alle am Datenaustausch beteiligten Organisationen klar zu definieren. Dies gewährleistet Transparenz, Rechenschaftspflicht und die Einhaltung der Datenschutzgesetze.

2.1. Arten von Organisationen, die am Datenaustausch beteiligt sind

Je nach Art des Datenaustauschs sollte die Vereinbarung die Rollen der verschiedenen Stellen festlegen:

(a) Verantwortliche

  • Definition: Organisationen, die den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmen.
  • Beispiel:
    • Ein Krankenhaus (Verantwortlicher) gibt Patientenakten für eine klinische Studie an ein Forschungsinstitut weiter. Das Krankenhaus entscheidet, welche Daten unter welchen Bedingungen weitergegeben werden.

(b) Auftragsverarbeiter

  • Definition: Organisationen, die Daten im Auftrag eines Verantwortlichen verarbeiten.
  • Beispiel:
    • Eine Bank (Verantwortlicher) lagert die Identitätsprüfung ihrer Kunden an einen Drittanbieter (Auftragsverarbeiter) aus, der die Identitätsprüfung anhand der weitergegebenen Daten durchführt.

(c) Unterauftragsverarbeiter

  • Definition: Unternehmen, die von einem Auftragsverarbeiter mit der Weiterverarbeitung von Daten beauftragt werden.
  • Beispiel:
    • Ein Cloud-Speicheranbieter (Auftragsverarbeiter), der Finanzdaten hostet, kann Verschlüsselungsdienste an ein anderes Unternehmen (Unterauftragsverarbeiter) untervergeben.

(d) Datenempfänger

  • Definition: Organisationen, die Daten ohne Verarbeitungspflicht, aber für bestimmte Zwecke erhalten.
  • Beispiel:
    • Eine staatliche Aufsichtsbehörde erhält anonymisierte Finanztransaktionsdaten von Banken zum Zwecke der Betrugsbekämpfung. Erkennung.

2.2 Wichtige Kontaktdaten in der Vereinbarung

Die Vereinbarung sollte Folgendes enthalten:
Datenschutzbeauftragter (DSB) oder benannter Compliance-Beauftragter.
Schlüsselpersonen, die für die Datenverarbeitung, Sicherheit und Reaktion auf Datenschutzverletzungen verantwortlich sind.

Beispielklausel:
“Jede teilnehmende Organisation benennt einen Datenschutzbeauftragten (DSB) oder einen gleichwertigen Vertreter, der für die Einhaltung dieser Vereinbarung verantwortlich ist. Die Kontaktdaten des Datenschutzbeauftragten müssen angegeben und bei Bedarf aktualisiert werden.

2.3 Verfahren zum Hinzufügen oder Entfernen von Organisationen

Die Vereinbarung sollte Folgendes darlegen:

  • Wie neue Parteien in die Datenaustauschvereinbarung einbezogen werden können.
  • Bedingungen, unter denen eine Organisation ausgeschlossen werden kann (z. B. Nichteinhaltung von Sicherheitsstandards, Vertragsverletzungen).
  • Genehmigungsmechanismen für die Aufnahme neuer Datenverarbeiter oder -empfänger.

Beispiel:

  • Wenn ein Forschungsinstitut im Rahmen einer Studie mit einer weiteren Universität zusammenarbeiten möchte, muss es die Genehmigung des ursprünglichen Verantwortlichen (z. B. eines Krankenhauses) einholen.
  • Wenn eine externe Marketingagentur die weitergegebenen Kundendaten missbräuchlich verarbeitet, kann sie von der Vereinbarung ausgeschlossen werden.

2.4 Praktisches Beispiel einer Vereinbarungsklausel

“Wenn eine weitere Organisation an der Datenfreigabevereinbarung teilnehmen möchte, muss sie einen formellen Antrag einreichen, in dem ihr Zweck, ihre Compliance-Maßnahmen und ihre Sicherheitsprotokolle dargelegt werden. Die Genehmigung wird nur erteilt, wenn die vereinbarten Datenschutzstandards eingehalten werden. Jede Organisation, die gegen diese Standards verstößt, kann sofort aus der Vereinbarung ausgeschlossen werden.

Durch die Aufnahme dieser Details in eine Datenfreigabevereinbarung können Organisationen Klarheit, Compliance und Verantwortlichkeit bei Datenaustauschvereinbarungen gewährleisten.

3. Welche Datenelemente werden wir freigeben?

Die Datenspezifikation beschreibt die Kategorien und spezifischen Datenelemente, die freigegeben werden. Dies ist notwendig, um sicherzustellen, dass die beteiligten Parteien genau verstehen, welche Daten übertragen und wie sie verwendet werden. Dies kann alles umfassen, von Kundeninformationen bis hin zu internen Projektdaten.

Beispiel:

Ein Tech-Startup, das sich auf die Entwicklung einer neuen KI-basierten Anwendung konzentriert, muss möglicherweise Daten zur Analyse oder Integration an einen Drittanbieter weitergeben. Das Startup muss die genauen Datentypen identifizieren und auflisten, die weitergegeben werden sollen, z. B.:

  • Kundeninformationen: Name, E-Mail-Adresse und Telefonnummer der Nutzer, die sich für die Plattform registriert haben.
  • Verhaltensdaten: Informationen darüber, wie Nutzer mit der App interagieren, z. B. Seitenaufrufe, Klicks oder Verweildauer in der Anwendung.
  • Transaktionsdaten: Kaufhistorie der Kunden (sofern die App eine In-App-Kauffunktion enthält).
Das Startup muss angeben, ob nur bestimmte Datenpunkte benötigt werden und andere weggelassen werden. Wenn beispielsweise der Drittanbieterdienst die Telefonnummer eines Kunden nicht benötigt, sollte diese von den freigegebenen Daten ausgeschlossen werden, um Risiken zu minimieren und die Privatsphäre zu schützen. 3.1. Sensible Daten und ihr Schutz In vielen Fällen müssen nicht alle Daten einer Datei freigegeben werden. Sensible Informationen (wie Finanzdaten, medizinische Unterlagen oder Passwörter) sollten sorgfältig behandelt werden. Die Vereinbarung sollte festlegen, welche Daten von der Freigabevereinbarung ausgeschlossen sind und welche Schutzmaßnahmen getroffen werden müssen, falls sie freigegeben werden. Beispiel: Wenn das Startup detaillierte Nutzerprofile sammelt, muss es möglicherweise bestimmte sensible Felder wie die Sozialversicherungsnummer nicht freigeben. oder „Zahlungsinformationen“ mit einem Analyseanbieter. Das Startup könnte sich dafür entscheiden, nur anonymisierte Daten zu Nutzerverhalten und Engagement weiterzugeben und sensible Finanzdaten auszuschließen.

Die Vereinbarung sollte auch festlegen, welche Maßnahmen bei der Weitergabe sensibler Daten ergriffen werden sollen, wie z. B. Verschlüsselung oder Pseudonymisierung, um die Privatsphäre der Nutzer zu schützen.

3.2. Berechtigungen und rollenbasierter Zugriff

Es ist wichtig, Berechtigungen für den Zugriff und die Verarbeitung der freigegebenen Daten festzulegen. In einem Tech-Startup bedeutet dies typischerweise, den Zugriff auf bestimmte Rollen innerhalb des Unternehmens oder der Partnerorganisation nach dem Prinzip der geringsten Privilegien zu beschränken.

Beispiel:

Angenommen, ein Startup arbeitet mit einem externen Anbieter zusammen, um Sicherheitsbewertungen seiner Anwendung durchzuführen. Die mit dem Anbieter geteilten Daten könnten Kunden-E-Mail-Adressen zum Testen von Anmeldemechanismen enthalten. Die DSA könnte Folgendes festlegen:

  • Nur Sicherheitsingenieure oder Datenschutzbeauftragte innerhalb des Teams des Anbieters dürfen auf E-Mail-Adressen zugreifen.
  • Die E-Mails sollten nicht für die Vertriebs- oder Marketingteams des Anbieters zugänglich sein.

Zusätzlich könnte die Vereinbarung vorschreiben, dass nur Mitarbeiter, die eine spezielle Schulung zum Datenschutz und zur Datensicherheit absolviert haben, Zugriff auf sensible Daten haben dürfen, um sicherzustellen, dass nur qualifiziertes Personal damit umgeht.

3.4. Datenmapping für sicheres Teilen

Datenmapping ist der Prozess, bei dem ermittelt wird, wo und wie sich Daten befinden. Dies trägt dazu bei, die ordnungsgemäße Handhabung und Weitergabe von Daten gemäß der Vereinbarung zu gewährleisten. Ein effektiver Datenmapping-Prozess hilft, den Datenfluss zwischen verschiedenen Systemen und Stakeholdern zu definieren.

Beispiel:

Das Tech-Startup nutzt möglicherweise ein Customer-Relationship-Management-System (CRM) zur Speicherung von Kundendaten und eine Datenanalyseplattform zur Verarbeitung von Verhaltensdaten. Eine Datenmap stellt den Datenfluss vom CRM zur Analyseplattform visuell dar und stellt sicher, dass nur autorisierte Daten weitergegeben und während der Übertragung sicher verarbeitet werden.

Darüber hinaus kann Data Mapping helfen, zu identifizieren und zu kontrollieren, welche Systeme am Datenaustauschprozess beteiligt sind, welche spezifischen Datenpunkte zwischen den Systemen ausgetauscht werden und ob versehentlich sensible Daten enthalten sind.

Data Mapping ist entscheidend, wenn das Startup sein Datenaustauschnetzwerk erweitern möchte. Durch die Datenmapping kann das Startup die Einhaltung von Gesetzen wie DSGVO oder CCPA sicherstellen und gleichzeitig Risiken minimieren. Beispielsweise könnte die Zuordnung zeigen, dass in Europa erfasste Kundendaten möglicherweise anonymisiert werden müssen, bevor sie an einen Anbieter außerhalb der Europäischen Union weitergegeben werden, um die Vorschriften für den grenzüberschreitenden Datentransfer einzuhalten.

3.5 Bedeutung der Datenzuordnung:

Die Datenzuordnung schafft Klarheit darüber, welche Daten weitergegeben werden müssen, und gewährleistet, dass sie sicher und gesetzeskonform an die richtigen Stellen übermittelt werden. Für ein Startup bietet dies folgende Vorteile:

  • Risikominimierung: Reduziert das Risiko, dass sensible Daten unbeabsichtigt weitergegeben oder falsch verarbeitet werden.
  • Vorschriften einhalten: Stellt sicher, dass die Datenfreigabe gesetzlichen Standards wie DSGVO oder HIPAA entspricht.
  • Datenfreigabe optimieren: Hilft, die effizientesten und sichersten Wege zur Datenfreigabe zu finden und unnötige oder redundante Datenübertragungen zu vermeiden.

Durch die Erstellung einer Datenlandkarte stellt ein Startup sicher, dass es ein umfassendes Verständnis davon hat, wo und wie die Daten verwendet werden und ob für bestimmte Datenpunkte zusätzliche Sicherheitsmaßnahmen (wie Verschlüsselung oder Anonymisierung) erforderlich sind.

4. Rechtsgrundlage der Datenweitergabe

Vor der Weitergabe von Daten ist es wichtig, einen rechtlichen Grund dafür zu haben. Das bedeutet, dass eine rechtliche Begründung vorliegen muss, die erklärt, warum die Daten weitergegeben werden. Der Grund für die Datenfreigabe kann je nach Organisation unterschiedlich sein.

Allgemeine Rechtsgrundlagen für die Datenfreigabe (mit Beispielen)

  1. Einwilligung – Die betroffene Person erteilt ihre ausdrückliche Einwilligung zur Datenfreigabe.
    • Beispiel: Eine Fitness-App fragt Nutzer, ob sie mit der Weitergabe ihrer Aktivitätsdaten an ein externes Gesundheitsanalyseunternehmen einverstanden sind. Die App stellt eine Einwilligungserklärung bereit, die erklärt, welche Daten weitergegeben werden, und ermöglicht es Nutzern, der Weitergabe jederzeit zu widersprechen.
  2. Vertrag – Die Datenweitergabe erfolgt, weil dies zur Erfüllung eines Vertrags erforderlich ist.
    • Beispiel: Ein Mitfahrdienst gibt den Standort und die Telefonnummer eines Fahrers an einen Kunden weiter, da dies für die Durchführung der Fahrt erforderlich ist.
  3. Gesetzliche Verpflichtung – Daten müssen weitergegeben werden, da dies gesetzlich vorgeschrieben ist.
    • Beispiel: Ein Finanztechnologie-Startup muss bestimmte Kundentransaktionsdaten an die Steuerbehörden weitergeben, um Finanzvorschriften einzuhalten.
  4. Berechtigtes Interesse – Die Datenweitergabe ist für den Geschäftsbetrieb erforderlich und hat keinen Einfluss auf die Rechte des Einzelnen.
    • Beispiel: Ein E-Commerce-Unternehmen gibt die Kaufhistorie seiner Kunden an einen Betrugserkennungsdienst weiter, um betrügerische Transaktionen zu verhindern.
  5. Öffentliche Aufgabe – Die Daten werden im öffentlichen Interesse weitergegeben.
    • Beispiel: Ein staatliches Gesundheitsministerium gibt Daten über Krankheitsausbrüche an Forschungseinrichtungen weiter, um die Ausbreitung von Infektionen zu verfolgen und zu verhindern.

Was sollte bei Einwilligung enthalten sein?

Wenn Daten auf Grundlage einer Einwilligung weitergegeben werden, sollte die Vereinbarung Folgendes enthalten:
✔ Ein Einwilligungsformular, das klar erklärt, welche Daten, warum und mit wem weitergegeben werden.
✔ Eine Möglichkeit, die Einwilligung jederzeit zu widerrufen.

💡 Beispiel: Eine Meditations-App ermöglicht es Nutzern, ihre Schlafdaten mit einem Wellness-Coach zu teilen. Die App bietet in den Einstellungen eine einfache Schaltfläche zum Widerrufen der Einwilligung, sodass Nutzer die Weitergabe ihrer Daten jederzeit beenden können.

Rechtsbefugnis zur Datenweitergabe

Ihre Vereinbarung sollte auch die Rechtsbefugnis erwähnen, die die Datenweitergabe erlaubt. Dies könnte auf Gesetzen wie diesen basieren:

  • DSGVO (Datenschutz-Grundverordnung) in Europa
  • CCPA (California Consumer Privacy Act) in den USA
  • Branchenspezifische Vorschriften (z. B. HIPAA für Gesundheitsdaten)

💡 Beispiel: Ein Startup im Gesundheitswesen, das Patientenakten verarbeitet, muss sicherstellen, dass seine Datenaustauschpraktiken dem HIPAA in den USA oder der DSGVO in Europa entsprechen.

5. Individuelle Rechte vs. Datenfreigabevereinbarung

Bei der Datenfreigabe müssen Organisationen klare Verfahren für den Umgang mit individuellen Rechten gemäß Datenschutzgesetzen haben. Zu diesen Rechten gehören:

  • Informationszugang (Wissen über die gespeicherten Daten)
  • Widerspruchsrecht (Nichteinverständnis mit der Datenverarbeitung)
  • Anträge auf Berichtigung (Korrektur unrichtiger Daten)
  • Anträge auf Löschung (Löschung personenbezogener Daten)

Es ist wichtig, dass alle am Datenaustausch beteiligten Organisationen für die Einhaltung dieser Rechte verantwortlich bleiben, auch wenn eine Organisation Anfragen im Auftrag anderer bearbeitet.

Bearbeitung von Anfragen auf Auskunft, Berichtigung und Löschung

📌 Beispiel 1: Auskunftsrecht (Subject Access Request – SAR)

Eine Fitness-Tracking-App gibt Nutzerdaten an ein externes Gesundheitsanalyseunternehmen weiter. Ein Nutzer möchte wissen, welche personenbezogenen Daten weitergegeben werden.
✅ Die Vereinbarung sollte festlegen, wer die Anfrage bearbeitet.
✅ Wenn der Nutzer die Fitness-App kontaktiert, die Daten aber beim Analyseunternehmen gespeichert sind, muss ein Prozess zur Abfrage der Daten von allen relevanten Parteien vorhanden sein.
✅ Ein Datenschutzbeauftragter (DSB) oder ein zuständiger Mitarbeiter sollte sicherstellen, dass der Nutzer eine vollständige Antwort erhält.

📌 Beispiel 2: Recht auf Berichtigung

Ein Kunde eines Online-Zahlungsdienstes bemerkt eine falsche Adresse in seinen Datensätzen, die an Partner zur Betrugserkennung weitergegeben wird.
✅ Die Vereinbarung muss erklären, wie Korrekturen unternehmensübergreifend vorgenommen werden.
✅ Aktualisiert der Zahlungsdienst den Datensatz, muss er den Partner zur Betrugserkennung informieren, um die Richtigkeit in allen Systemen sicherzustellen.

📌 Beispiel 3: Recht auf Löschung (Recht auf Vergessenwerden)

Ein ehemaliger Nutzer einer Social-Media-Plattform beantragt die Löschung seiner Daten.
✅ Hat die Plattform Nutzerdaten an Marketingagenturen weitergegeben, muss die Vereinbarung sicherstellen, dass diese Agenturen die Daten ebenfalls löschen.
✅ Einige Daten müssen möglicherweise aus rechtlichen Gründen aufbewahrt werden (z. B. Transaktionsaufzeichnungen zur Einhaltung von Finanzvorschriften). Dies muss dem Nutzer erläutert werden.

Wer ist für die Beantwortung von Anfragen verantwortlich?

Da Nutzer jede am Datenaustausch beteiligte Organisation kontaktieren können, muss die Vereinbarung Folgendes festlegen:

  • Welche Organisation bearbeitet Anfragen (z. B. der ursprüngliche Verantwortliche oder ein benannter Ansprechpartner).
  • Wie Anfragen weitergeleitet und bearbeitet werden, wenn mehrere Organisationen beteiligt sind.
  • Wer stellt die vollständige Einhaltung sicher (in der Regel ein Datenschutzbeauftragter oder ein benannter Mitarbeiter).

🔹 Für gemeinsam Verantwortliche

Gemäß Artikel 26 der britischen DSGVO muss die Vereinbarung, wenn zwei oder mehr Organisationen gemeinsam die Daten verwalten, klar festlegen, welcher Verantwortliche der Hauptansprechpartner für die Nutzer ist.

💡 Beispiel: Eine Mitfahr-App und ihr Zahlungsabwickler verwalten gemeinsam die Zahlungsdaten der Nutzer. Die Vereinbarung sollte festlegen, ob die App oder der Zahlungsabwickler Datenzugriffsanfragen bearbeitet.

Zugriff und Behörden

Für Behörden oder öffentliche Einrichtungen muss die Vereinbarung außerdem Folgendes abdecken:

  • Anfragen im Rahmen des Informationsfreiheitsgesetzes (FOI) – Gewährleistung der Transparenz darüber, welche Daten weitergegeben werden.
  • Veröffentlichungsregelungen – proaktive Bereitstellung bestimmter Daten für die Öffentlichkeit.

💡 Beispiel: Eine Gemeinde gibt Wohnungsdaten an eine Behörde weiter. Fordert ein Bürger Informationen nach dem Informationsfreiheitsgesetz an, sollte die Vereinbarung klären, welche Behörde antwortet.

6. Informations-Governance-Regelungen für den Datenaustausch

Beim Datenaustausch benötigen Organisationen klare Regeln für den Umgang mit auftretenden praktischen Problemen. Dies gewährleistet die Genauigkeit, Sicherheit und ordnungsgemäße Verwaltung der freigegebenen Daten. Nachfolgend werden die wichtigsten Governance-Regelungen anhand von Beispielen aus der Praxis von Tech-Startups erläutert.

6.1. Klare Regeln für die Weitergabe von Daten

Warum? Verhindert die Weitergabe irrelevanter oder übermäßiger Daten.
💡 Beispiel: Ein Healthtech-Startup, das Patientendaten mit einem Forschungslabor teilt, muss festlegen, dass nur anonymisierte Krankengeschichten weitergegeben werden, keine personenbezogenen Daten wie Namen oder Adressen.

6.2. Sicherstellung der Datengenauigkeit

Warum? Fehlerhafte Daten können zu falschen Entscheidungen und einer schlechten Nutzererfahrung führen.
✅ Nutzen Sie Datenqualitätsprüfungen, wie z. B. regelmäßige Stichprobennahme und Validierung.

💡 Beispiel: Ein Fintech-Unternehmen gibt Kreditscores an Kreditgeber weiter. Ein regelmäßiges Datenaudit stellt sicher, dass die Scores aktualisiert und Fehler (z. B. fehlerhafte verspätete Zahlungen) korrigiert werden.

6.3. Standardisierung von Datenformaten

Warum? Unterschiedliche Formate können Fehler oder Systeminkompatibilitäten verursachen.
✅ Unternehmen sollten gemeinsame Datenformate verwenden oder Daten bei Bedarf konvertieren.

💡 Beispiel: Eine Recruiting-Plattform teilt Kandidatenprofile mit einstellenden Unternehmen. Um Abweichungen zu vermeiden, müssen alle Profile das gleiche Datumsformat (TT/MM/JJJJ oder MM/TT/JJJJ) und standardisierte Berufsbezeichnungskategorien verwenden.

6.4. Aufbewahrungs- und Löschregeln

Warum? Verschiedene Unternehmen haben möglicherweise unterschiedliche rechtliche Anforderungen an die Dauer der Datenspeicherung.
✅ Die Vereinbarung sollte festlegen, wie lange gemeinsam genutzte Daten aufbewahrt werden und wann sie gelöscht werden müssen.

💡 Beispiel: Eine Mitfahr-App speichert die Standortdaten des Fahrers 12 Monate, während der Versicherungspartner Unfalldaten 5 Jahre speichert. Die Vereinbarung muss festlegen, wann gemeinsam genutzte Daten von jeder Partei gelöscht werden sollen.

6.5. Sicherheitsmaßnahmen & Umgang mit Datenschutzverletzungen

Warum? Daten müssen vor Datenlecks, Hacks und unbefugtem Zugriff geschützt werden.
✅ Die Vereinbarung sollte Folgendes regeln:

  • Wie Daten übertragen werden (z. B. Verschlüsselung, VPNs).
  • Zugriffskontrollen (z. B. rollenbasierte Berechtigungen).
  • Was passiert im Falle einer Datenschutzverletzung (z. B. Meldefristen, Untersuchungsverfahren).

💡 Beispiel: Ein Cloud-Speicheranbieter gibt Kundendateien an einen externen KI-Dienst weiter. Im Falle einer Sicherheitsverletzung sollte die Vereinbarung vorsehen, dass betroffene Kunden innerhalb von 24 Stunden benachrichtigt werden müssen und die Verletzung umgehend untersucht wird.

6.6. Mitarbeiterschulung & Bewusstsein

Warum? Mitarbeiter, die mit gemeinsam genutzten Daten arbeiten, müssen ihre Verantwortung verstehen.
✅ Unternehmen sollten regelmäßige Schulungen zu folgenden Themen anbieten:

  • Sicherer Umgang mit gemeinsam genutzten Daten
  • Vorgehen bei Datenschutzverletzungen
  • Datenschutzgesetze und -konformität (z. B. DSGVO, CCPA)

💡 Beispiel: Ein Kundensupportteam eines SaaS-Unternehmens greift auf gemeinsam genutzte Benutzerdaten über eine CRM-Plattform zu. Durch Schulungen wird sichergestellt, dass sie nur notwendige Details einsehen und keine sensiblen Informationen herunterladen oder weitergeben.

6.7. Umgang mit Nutzeranfragen und Beschwerden

Warum? Nutzer haben das Recht, ihre Daten anzufordern, zu korrigieren oder zu löschen.
✅ Die Vereinbarung muss festlegen, wer Nutzeranfragen bearbeitet und wie mit Beschwerden umgegangen wird.

💡 Beispiel: Eine Fitness-App teilt Trainingsdaten ihrer Nutzer mit einer Coaching-Plattform. Wenn ein Nutzer seine Daten löschen möchte, sollte die Vereinbarung Folgendes enthalten:

  • Die Fitness-App erhält die Anfrage.
  • Die Coaching-Plattform muss die Daten innerhalb von 30 Tagen löschen.

6.8. Überprüfung der Wirksamkeit der Datenfreigabevereinbarung

Warum? Stellt sicher, dass die Vereinbarung auch langfristig nützlich und konform bleibt.
✅ Legen Sie Überprüfungszeiträume fest (z. B. alle 6 oder 12 Monate), um Folgendes zu beurteilen:

  • Werden die Daten korrekt und sicher freigegeben?
  • Sind Aktualisierungen aus Gründen der Rechtskonformität oder Effizienz erforderlich?

💡 Beispiel: Ein Healthtech-Startup überprüft alle sechs Monate seine Datenaustauschvereinbarung mit Krankenhäusern, um die Einhaltung der neuen Gesundheitsdatenvorschriften sicherzustellen.

6.9. Umgang mit der Beendigung der Datenfreigabe

Warum? Wenn eine Partnerschaft endet, müssen Daten ordnungsgemäß gelöscht oder zurückgegeben werden.
✅ Die Vereinbarung sollte Folgendes festlegen:

  • Wie freigegebene Daten gelöscht werden (z. B. sichere Löschmethoden).
  • Ob Daten an den ursprünglichen Anbieter zurückgegeben werden sollen.

💡 Beispiel: Eine Marketingagentur beendet die Zusammenarbeit mit einem E-Commerce-Unternehmen. Die Vereinbarung sollte sicherstellen, dass alle von der Agentur gespeicherten Kundendaten innerhalb von 30 Tagen nach Vertragsbeendigung gelöscht werden.

7. Weitere Details, die in die Datenfreigabevereinbarung aufgenommen werden sollten

Die folgenden zusätzlichen Dokumente können die Datenfreigabe effektiver und übersichtlicher gestalten:

1. Wichtige gesetzliche und rechtliche Bestimmungen

Dieser Abschnitt fasst die Gesetze und Vorschriften zusammen, die die Datenfreigabe regeln. Es sollte Folgendes enthalten:
✅ Relevante Abschnitte des Data Protection Act 2018 (DPA 2018) und der UK GDPR (oder anderer anwendbarer Gesetze).
✅ Spezifische Branchenvorschriften (z. B. HIPAA für Gesundheitsdaten, PSD2 für Finanzdaten).
✅ Links zu maßgeblichen professionellen Leitlinien (z. B. den Richtlinien des ICO zum Datenaustausch).

💡 Beispiel:

Ein Healthtech-Startup, das Patientendaten mit Krankenhäusern teilt, sollte Folgendes zitieren:

  • DPA 2018 & UK DSGVO – Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten.
  • NHS-Richtlinien zur Informationsverwaltung – Wie Patientenakten sicher verwaltet werden sollten.
  • Leitfaden des Medical Research Council – Wenn Daten zu Forschungszwecken weitergegeben werden.

2. Muster-Einwilligungsformular für die Datenweitergabe

Wenn die Einwilligung die Rechtsgrundlage für die Datenweitergabe ist, sollte ein Muster-Einwilligungsformular beigefügt werden. Dadurch wird sichergestellt, dass die Nutzer:
✅ klar verstehen, welche Daten weitergegeben werden und warum.
✅ wissen, wer auf die Daten zugreift und wie lange.
✅ jederzeit die Möglichkeit haben, die Einwilligung zu widerrufen.

💡 Beispiel:

Eine App für psychische Gesundheit, die Stimmungsdaten der Nutzer zu Forschungszwecken sammelt, kann Folgendes enthalten:

  • Ein Kontrollkästchen, mit dem Nutzer der Datenweitergabe zustimmen können.
  • Eine klare Erklärung, dass ihre Daten anonymisiert werden.
  • Ein “Einwilligung widerrufen” Schaltfläche in den App-Einstellungen.

3. Entscheidungsdiagramm für die Datenfreigabe

Ein Flussdiagramm oder Entscheidungsbaum hilft Mitarbeitern, schnell zu entscheiden, ob Daten freigegeben werden sollen. Dies sollte Folgendes beinhalten:

  • Prüfung der Rechtsgrundlage (Liegt eine Einwilligung oder ein anderer rechtlicher Grund vor?)
  • Prüfung der Datennotwendigkeit (Ist die Freigabe für den beabsichtigten Zweck erforderlich?)
  • Sicherheitsprüfung (Sind angemessene Schutzmaßnahmen vorhanden?)

💡 Beispiel:

Ein Fintech-Unternehmen, das Kundenfinanzdaten an Betrugserkennungsdienste weitergibt, könnte ein Flussdiagramm mit folgenden Schritten verwenden:
🔹 Sind die Daten zur Betrugsprävention erforderlich? → Falls ja, fahren Sie fort.
🔹 Besteht eine gesetzliche Verpflichtung zur Weitergabe der Daten? → Falls ja, geben Sie die Daten sicher weiter.
🔹 Hat der Kunde ein Widerspruchsrecht? → Falls ja, respektieren Sie seine Rechte.

4. Antragsformular für Datenfreigabe

Dieses Formular stellt sicher, dass alle Anträge zur Datenfreigabe vor der Genehmigung dokumentiert und geprüft werden. Es sollte Folgendes enthalten:
✅ Wer fordert die Daten an?
✅ Welche Daten werden benötigt und warum?
✅ Die Rechtsgrundlage für die Freigabe.
✅ Sicherheitsmaßnahmen für Übertragung und Speicherung.

💡 Beispiel:

Ein Unternehmen für Smart-Home-Geräte erhält von einer Forschungsuniversität eine Anfrage zum Zugriff auf anonymisierte Energieverbrauchsdaten. Die Universität muss ein Antragsformular für die Datenfreigabe einreichen, in dem folgende Angaben gemacht werden:

  • Die benötigten spezifischen Daten (z. B. stündlicher Energieverbrauch).
  • Der Forschungszweck (z. B. Untersuchung der Energieeffizienz von Haushalten).
  • Sicherheitsmaßnahmen (z. B. Verschlüsselung gespeicherter Daten).

5. Entscheidungsformular zur Datenfreigabe

Dieses Formular dokumentiert Entscheidungen über die Genehmigung oder Ablehnung eines Antrags auf Datenfreigabe. Es gewährleistet Transparenz und Compliance. Das Formular sollte Folgendes enthalten:
✅ Den Namen der Person oder Organisation, die die Daten anfordert.
✅ Den Grund für die Weitergabe oder Ablehnung der Datenfreigabe.
✅ Wer hat die Entscheidung wann genehmigt?
✅ Alle mit der Datenfreigabe verbundenen Bedingungen.

💡 Beispiel:

Eine Online-Bildungsplattform gibt Leistungsdaten von Schülern an eine staatliche Bildungseinrichtung weiter. Vor der Weitergabe prüft der Datenschutzbeauftragte ein Formular zur Entscheidung über die Datenfreigabe und stellt Folgendes sicher:

  • Die Daten sind anonymisiert.
  • Die Weitergabe entspricht den Gesetzen zum Schutz von Bildungsdaten.
  • Der Zugriff ist nur autorisierten Mitarbeitern gestattet.
Related Posts

Beliebt

Blog

Self Assessment

Eigenschaften

Preisgestaltung

Unternehmen

Datenschutzerklärung

Nutzungsbedingungen

Kontaktiere uns

Social

© Prudent Professional Services