Datenschutzbestimmungen: Verweis auf einen Dritten

rlx · 12. Mai 2023 um 11:32

Es kommt ja häufiger vor, dass ich beim Betrachten von Datenschutzbestimmungen ins Staunen oder ins Verzweifeln gerate (machmal auch beides). Hier wieder so ein Fall:
Ich möchte mich bei einem Event anmelden, beim Blick in die Datenschutzbestimmungen stolpere ich über den folgenden Satz: "We’ll forward all information you entered during the order process to the organizer of the event. Please contact the event organizer to obtain their privacy policy. " (Quelle: https://pretix.eu/creativebureaucracy/2023/privacy/)

Ist so eine Formulierung, die ganz allgemein auf einen Dritten verweist, mit der DSGVO vereinbar?
Hat jemand ne Idee?

Cornelius · 12. Mai 2023 um 12:11

Der Veranstalter ist kein Dritter.
Pretix ist Auftragsdatenverarbeiter für den Veranstalter.

Also, Ja. Das würde ich als zulässig ansehen.

Winston · 26. Mai 2023 um 11:15

Interessantes Thema.
Man liest ja oft: „Wir bedienen uns …blabla bla … Es gelten die dortigen Datenschutzbestimmungen.“

Weiter könnte es heißen: „… für die wir nix können! Wir sind unschuldig! Wir garantieren für nix!! Wir liefern denen nur Opfer zum Nackigmachen, klar, und profitieren davon, klar, aber … !!“

@Cornelius:
Nein, da verdrehst du was.
Du kannst nicht als Verantwortlicher auf die Datenschutzbestimmungen deines Auftragsverarbeiters (wenn’s hier konkret überhaupt einer ist) verweisen.
DU bist Verantwortlicher und MUSST in DEINEN Datenschutzbestimmungen erklären, was du mit den Daten machst, sagt die DSGVO, bspw. in Art. 13.

Auftragsverarbeitung (definiert in Art. 28 DSGVO) hat lediglich den Sinn, dass der Verantwortliche sich Dritter überhaupt bedienen darf, WENN er die Sonderregeln für eine solche Konstellation beachtet.
Eigentlich (!) ist die Übermittlung an Dritte ja verboten - und nur ausnahmsweise erlaubt.

Cornelius · 26. Mai 2023 um 13:00

Da hast Du die Ausgangsfrage fehlinterpretiert.
Pretix ist der Auftragsverarbeiter, der auf die Datenschutzerklärung des Verantwortlichen (Auftraggeber) verweist.

Ein Auftragsverarbeiter ist kein Dritter im Sinne der DSGVO.
Die Datenverarbeitung des AVs ist damit der Verarbeitung beim Verantwortlichen gleichgestellt.

Hier ist ein Verweis auf die Datenschutzerklärung des AVs nicht zulässig.

Bei vielen Auftragsverarbeitern gibt es aber auch eine Verarbeitung für eigene Zwecke (z.B.: Webseitenbetreiber wie Pretix).
Daraus ergibt sich auch nicht zwangsläufig eine gemeinsame Verantwortlichkeit.

Hier wird der Verantwortliche, für diesen Teil der Verarbeitung, auf die Datenschutzerklärung des AVs verweisen müssen.