Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Artikel

Daten weitergeben – aber richtig

Die Personalabteilung arbeitet mit einem externen Büro zusammen. Der Steuerberater erhält regelmäßig Unterlagen mit personenbezogenen Daten. Ein Kollege aus einem anderen Unternehmen der Unternehmensgruppe bittet um eine interne Telefonliste. Solche Situationen gehören zum Arbeitsalltag. Kaum ein Unternehmen arbeitet heute isoliert. Daten werden ausgetauscht – mit Dienstleistern, Beratern, Konzernunternehmen, Banken, Lieferanten oder Behörden. Doch wann ist eine Datenweitergabe eigentlich erlaubt? Und was muss dabei beachtet werden?

Andreas Hessel

24.04.2026 · 5 Min Lesezeit

Datenaustausch ist möglich

Unsere Wirtschaft ist arbeitsteilig organisiert. Unternehmen greifen auf spezialisierte Dienstleister zurück, lagern Aufgaben aus oder arbeiten in Unternehmensverbünden zusammen. Die Datenschutzvorschriften ermöglichen dies auch – unter Einhaltung der festgelegten Regeln.

Grundfrage: Wer verarbeitet die Daten – und warum?

Für die erste Einordnung ist entscheidend:

  • Müssen wir aufgrund gesetzlicher Vorschriften Daten weitergeben oder möchten wir Daten an andere übermitteln?
  • Verarbeitet der Empfänger die Daten ausschließlich für unser Unternehmen oder nutzt er sie für eigene Zwecke?
  • Wer entscheidet über Zwecke und Mittel der Verarbeitung?

Je nach Antwort ergeben sich unterschiedliche rechtliche Konstellationen.

Wichtig: Kein „Konzernprivileg“

Besonders häufig entsteht Unsicherheit innerhalb von Unternehmensgruppen. Nur weil mehrere Unternehmen zu einem Konzern oder Verbund gehören, dürfen personenbezogene Daten nicht automatisch frei ausgetauscht werden.

Selbstständige Unternehmen gelten grundsätzlich als eigenständige Verantwortliche – und damit als „Dritte“. Das bedeutet: Auch zwischen Konzernunternehmen muss geprüft werden, ob eine Rechtsgrundlage für die Datenübermittlung besteht.

Beispiel: Eine unternehmensübergreifende interne Telefonliste mit dienstlichen Kontaktdaten könnte unter Umständen auf ein berechtigtes Interesse gestützt werden – etwa zur Verbesserung der Zusammenarbeit. Aber auch hier muss das berechtigte Interesse geprüft werden, also etwa ob

  • die Weitergabe erforderlich ist,
  • nur die notwendigen Daten übermittelt werden und
  • überwiegende Interessen der betroffenen Personen dem entgegenstehen.

Übernimmt eine Gesellschaft aus dem Unternehmensverbund für die anderen Leistungen wie eine eigene Abteilung oder ein externer Dienstleister, also etwa die Buchhaltung, Personalabrechnung oder IT, ist so gut wie immer eine Vereinbarung zur Auftragsverarbeitung zwischen den Unternehmen erforderlich.

1. Datenübermittlung: gesetzliche Verpflichtungen

Nicht jede Datenweitergabe erfolgt freiwillig oder im Rahmen einer Zusammenarbeit mit Dienstleistern. In vielen Fällen ist ein Unternehmen sogar gesetzlich verpflichtet, bestimmte personenbezogene Daten weiterzugeben.

Beispiele:

  • Die Personalabteilung muss Entgelt- und Beschäftigtendaten an Sozialversicherungsträger übermitteln.
  • Steuerliche Angaben werden an Finanzbehörden gemeldet.
  • Behörden können im Rahmen gesetzlicher Befugnisse Auskünfte verlangen.

In solchen Fällen bildet die gesetzliche Verpflichtung die Rechtsgrundlage für die Datenübermittlung. Das Unternehmen hat hier regelmäßig keinen Entscheidungsspielraum – wohl aber die Pflicht, nur die gesetzlich erforderlichen Daten zu übermitteln.

2. Datenübermittlung: die Auftragsverarbeitung – der „Klassiker“

Regelmäßig verarbeiten andere Unternehmen die Daten nicht zu eigenen Zwecken, sondern für den Auftraggeber. In diesen Fällen liegt häufig eine Auftragsverarbeitung vor.

Typische Beispiele:

  • IT-Hosting oder Cloud-Speicher
  • Lohnabrechnung durch externes Lohnbüro
  • Akten- oder Datenträgervernichtung
  • Newsletter-Anbieter und Werbebrief-Dienstleister

Wichtige Erkennungsmerkmale für eine Auftragsverarbeitung

Der Auftragsverarbeiter ist eng an den Auftraggeber gebunden und muss dessen Weisung befolgen. Unter anderem muss der Dienstleister auf Weisung des Auftraggebers die Daten löschen oder er stellt etwa in Software-Lösungen entsprechende Funktionen bereit.

Ein IT-Dienstleister darf z. B. nicht die Kundendaten seiner Kunden dafür nutzen, um seine Leistungen bei diesen zu bewerben.

Wichtig: Es gibt Ausnahmen bei der Auftragsverarbeitung!

Auf den ersten flüchtigen Blick erfüllt ein externes Buchhaltungsbüro die gleichen Aufgaben wie ein
Steuerberater mit seiner Kanzlei.

Aber auf den zweiten Blick gibt es einen wesentlichen Unterschied: Der Steuerberater unterliegt eigenen gesetzlichen Pflichten und entscheidet gemäß diesen Regelungen eigenverantwortlich über Art und Weise der Verarbeitung.

Deshalb kann er in diesem Sinne nicht „auf Weisung“ im Hinblick auf den Datenschutz tätig werden und gilt als eigenverantwortlicher Dritter.

Dadurch ergibt sich, dass ein externes Buchhaltungsbüro regelmäßig eine Vereinbarung zur Auftragsverarbeitung benötigt, ein Steuerberater in der Regel nicht.

3. Datenübermittlung: gesetzlich eigenständig Verantwortliche

Neben den Steuerberatern gibt es viele weitere Organisationen, die als eigenständig Verantwortliche
gelten, etwa:

  • Rechtsanwalt
  • Wirtschaftsprüfer
  • Banken und Zahlungsdienstleister
  • Post- und Paketdienstleister
  • Telekommunikationsanbieter

Die oben genannten Anbieter haben häufig bekannte gesetzliche Pflichten, die als „Schweigepflicht“, „Postgeheimnis“ oder „Fernmeldegeheimnis“ bekannt sind.

Oft werden hier sensible personenbezogene Daten verarbeitet. Aber auch andere Berufsgruppen bzw. Branchen können eigenverantwortlich tätig sein. Dies kann sich ebenfalls aus gesetzlichen Regelungen ergeben, wie bei Handelsvertretern.

Gemäß den Regelungen des Handelsgesetzbuchs sind selbstständige Handelsvertreter damit betraut, für ein anderes Unternehmen Geschäfte zu vermitteln oder in dessen Namen abzuschließen. Entsprechend erheben diese Daten von Kunden und leiten diese an ihren Auftraggeber weiter bei Handelsvertretern.

Gemäß den Regelungen des Handelsgesetzbuchs sind selbstständige Handelsvertreter damit betraut, für ein anderes Unternehmen Geschäfte zu vermitteln oder in dessen Namen abzuschließen. Entsprechend erheben diese Daten von Kunden und leiten diese an ihren Auftraggeber weiter.

4. Datenübermittlung: andere eigenständig Verantwortliche

Zudem gibt es zahlreiche Fälle, in denen eine Datenübermittlung erforderlich ist, der Empfänger eigenverantwortlich tätig ist und es keine speziellen Verschwiegenheitsgesetze oder Regelungen gibt, dass dieser eigenverantwortlich tätig wird. Beispiele:

  • Ein Unternehmen beauftragt etwa eine Spedition zur Auslieferung von Ware an einen Kunden,
  • ein Hausbesitzer gibt die Kontaktdaten eines Mieters an einen Handwerker.

Hinweise auf diese Art von Datenübermittlung sind, wenn

  • der Empfänger in der Liefer-/Dienstleistungskette eingebunden ist,
  • er keinen besonderen gesetzlichen Schweigepflichten unterliegt,
  • die Verarbeitung nicht im Kern die Verarbeitung personenbezogener Daten vorsieht und
  • er regelmäßig nur die absolut notwendigen Daten für seine Zwecktätigkeit erhält.

Die Datenübermittlung an eigenständig Verantwortliche (Möglichkeit 3 und 4) erfolgt häufig auf Basis eines berechtigten Interesses. Voraussetzungen sind jedoch eine sorgfältige Interessenabwägung, die Beschränkung auf die erforderlichen Daten sowie die transparente Information der betroffenen Personen.

Kleine Änderung – große Wirkung!

Ein Reisebüro, das für Beschäftigte von Unternehmen lediglich Reisen bucht, ist oftmals eigenständig verantwortlich. Bietet es zusätzlich ein Onlineportal mit Mitarbeiterverwaltung, Budgetsteuerung und Freigabeprozessen an, kann die Bewertung ganz oder teilweise anders ausfallen.

Datenübermittlung: gemeinsame Verantwortlichkeit

In manchen Konstellationen entscheiden zwei oder mehr Unternehmen gemeinsam über Zwecke und
Mittel der Verarbeitung.

Dies ist etwa der Fall, wenn mehrere Unternehmen ein gemeinsames Presse- oder Bewerberportal betreiben. Das können z. B. Unternehmen aus einem Unternehmensverbund sein, aber auch zwei oder mehr eigenständige Unternehmen.

In solchen Fällen spricht man von gemeinsamer Verantwortlichkeit und es müssen die Regelungen des Art. 26 EU-Datenschutz-Grundverordnung eingehalten werden. Im Wesentlichen geht es hier um die Erfüllung der Betroffenenrechte.

Der Unterschied zur Auftragsverarbeitung ist, dass alle Verantwortlichen gemeinsam über die Mittel, z. B. ein Webportal und die dahinterliegende Software, entschieden haben.

Zudem nutzen die Unternehmen zu jeweils eigenen Zwecken die Daten und kontaktieren etwa in ihrem Interesse die dort registrierten Journalisten.

Eine Auftragsverarbeitung würde hinzukommen, wenn die gemeinsamen Verantwortlichen das Webportal von einem Dienstleister betreiben lassen.

Fazit: Datenaustausch ist erlaubt – wenn die Regeln beachtet werden

Die Weitergabe personenbezogener Daten ist im Geschäftsalltag häufig notwendig und zulässig. Wichtig ist, die Verarbeitung bzw. Verarbeitungen im Detail möglichst frühzeitig zu prüfen und die jeweilige Rechtsgrundlage zu klären.

Denn alle beteiligten Verantwortlichen benötigen eine Rechtsgrundlage und müssen die Datenschutzvorgaben einhalten. Ihre Datenschutzbeauftragte oder Ihr Datenschutzbeauftragter ist Ihnen sicherlich gerne dabei behilflich.

Kontaktieren Sie Ihre Datenschutzexperten bitte so früh wie möglich. Denn je nach Einordnung ergeben sich weitere notwendige Maßnahmen.

Dies kann der Abschluss einer Vereinbarung zur Auftragsverarbeitung oder gemeinsamen Verantwortlichkeit sein und auch die Umsetzung der notwendigen Maßnahmen, welche
sich aus der Vereinbarung oder gesetzlichen Vorgaben ergibt.

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Hessel
133
2
504
Andreas Hessel ist Chief Information Security Officer. Er ist langjähriger Leiter des Be­rei­ches Informationssicherheit und Risi­komanagement einer namenhaften Bank. Daneben arbeitet er als exter­ner Datenschutzbeauftragter und Berater im Bereich Cybersicherheit. Er […]

Ausgaben

Ausgaben

Privacy@Work

04-26

·

24.04.2026

Inhaltsverzeichnis

Inhaltsverzeichnis

Datenaustausch ist möglich Grundfrage: Wer verarbeitet die Daten – und warum? Wichtig: Kein „Konzernprivileg“ 1. Datenübermittlung: gesetzliche Verpflichtungen 2. Datenübermittlung: die Auftragsverarbeitung – der „Klassiker“ Wichtige Erkennungsmerkmale für eine Auftragsverarbeitung Wichtig: Es gibt Ausnahmen bei der Auftragsverarbeitung! 3. Datenübermittlung: gesetzlich eigenständig Verantwortliche 4. Datenübermittlung: andere eigenständig Verantwortliche Kleine Änderung – große Wirkung! Datenübermittlung: gemeinsame Verantwortlichkeit Fazit: Datenaustausch ist erlaubt – wenn die Regeln beachtet werden

Mehr interessante Beiträge