Darf ein Dienstleister die Daten ohne die Einwilligung der Endverbraucher verarbeiten, ohne dabei selbst gegen die DSGVO zu verstoßen?

Konkretisierung der Fragestellung:

Wir (DL-Unternehmen im Bereich B2B) sollen Daten der Kunden (E, Endverbraucher) unserer Kunden (K, B2C) bezüglich ableitbarer Verhalten analysieren. Das bedeutet, es interessiert uns letzten Endes nicht, wie ein Kunde E heißt, wo er genau wohnt, wann er genau geboren ist. 

Unser Kunde K hat dabei die Daten genau vorliegen, also wie heißt die Person E, welche Email-Adresse(n) hat sie, wie lautet die Adresse, Geburtsdatum, ...; kurzum, unser Kunde K weiß soweit "alles" über seine Kunden E, was Datenschützer-Herzen höher schlagen lässt.

Wie dürfen wir (DL) nun die Daten der Endverbraucher E verwenden bzw. wie muss unser Kunde K uns die gewünschten Daten zur Verfügung stellen? 
Uns interessiert wie gesagt NICHT die Adresse, genaues Geburtsdatum, Email-Adresse; Ausschließlich betrachtet werden soll das Geschlecht sowie die Altersspanne (wir dachten an das Alter auf 5 bis 10 Jahre genau, sofern möglich), evtl. eine Umkreis-Angabe zum ungefähren Wohnort / Region des Wohnorts, die bestellten / gekauften Produkte, angesehene Produkte bis zur Kaufentscheidung, ggf. das verwendete Endgerät (Hersteller und Model, nicht Seriennummer!), usw.

An sich dachten wir in einem ersten Schritt der konzeptionellen Überlegungen daran, die Adress- und Namensdaten komplett zu vernachlässigen und noch bei unserem Kunden K eine Verschlüsselung der Email-Adresse vorzunehmen, die von uns als DL nicht wieder zurückgerechnet werden kann ("hashing").* Mit diesen gehashed-ten Email-Adressen könnten wir als DL dann eine ID bilden, die die uns relevanten Informationen anschließend der verschlüsselten ID zuordnen lässt. Hintergrund für diese Notwendigkeit wäre, dass die Infos einzelnen fiktiven Personen zugeordnet und nicht zu einer großen Datenmasse verschmelzen sollen.


In einem vergangenen Datenschutz-Weekly hatten wir über die Begriffe Anonymisierung und Pseudonymisierung gesprochen. Aktuell wäre soweit vermutlich vom Begriff der Pseudonymisierung auszugehen, anhand des Hashes ist das erfolgreiche Durchführen einer Rückrechnung dabei höchst unwahrscheinlich. Unserem Kunde K hingegen würde in dem Szenario voraussichtlich die Zuordnung "genaue Kundendaten" (die K sowieso von E weiß...) zu der verschlüsselten Email-Adresse vorliegen.

Art. 5 Abs. 1 c) DGSVO – Datenminimierung und

Art. 6 DSGVO – Rechtsgrundlage für Verarbeitung notwendig

1. Dienstleister DL muss vom Kunden K also so wenig wie möglich Daten über den Endverbraucher E bekommen.

Idealerweise sollte der Datensatz keine Adressdaten, keine Geburtsdaten, keine Namen und keine Mailadressen umfassen.


2. Wenn der Kunde K die Ergebnisse nach dem Analyseprozess wieder zurückführen kann auf einzelne Personen, dann wäre das ein Analyseverfahren auf Basis personenbezogener Daten, nach denen er die Vorgaben der DSGVO einhalten muss. Dafür braucht er wiederum eine Rechtsgrundlage. Das kann wohl nur durch die vorab eingeholte Einwilligung der Endverbraucher E geschehen.

Ergebnis: Verarbeitet der Kunde K die Daten der Endverbraucher E nach durchgeführter Analyse so, dass er die Daten wieder zusammenführen kann (und damit wieder personenbezogene Daten vorliegen hat), braucht er eine  vorherige Einwilligung der Endverbraucher.

Vor Einführung der DSGVO spielte es keine Rolle, welche Daten an den Dienstleister DL geschickt worden wären, da der Auftragsverarbeiter nicht verantwortlich war für die personenbezogenen Daten.


Seit der Einführung der DGSVO ist die Rechtslage anders:

Er muss … hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, vgl. Art. 28 Abs. 1 DSGVO

Die Verpflichtung geht sogar noch weiter: vgl. Art. 28 Abs. 3, letzter Absatz:

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

Stand: 28.09.2022