DSGVO im B2B: Was müssen Unternehmen bei der Datenweitergabe beachten?

Die DSGVO B2B Datenweitergabe zwischen Unternehmen ist ein Thema, das in vielen Geschäftsbeziehungen unterschätzt wird. Dabei gelten die Anforderungen der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht nur im Endkundengeschäft – auch im B2B-Bereich sind Unternehmen verpflichtet, personenbezogene Daten rechtssicher zu verarbeiten und weiterzugeben. Wer hier nachlässig handelt, riskiert empfindliche Bußgelder, Reputationsschäden und rechtliche Auseinandersetzungen. Dieser Artikel zeigt, welche Pflichten Unternehmen bei der Datenweitergabe im B2B-Kontext treffen und wie sie sich rechtlich absichern können.

Warum gilt die DSGVO auch im B2B-Bereich?

Ein weit verbreiteter Irrtum lautet: Die DSGVO betrifft vor allem den B2C-Bereich, also die Beziehung zwischen Unternehmen und Verbrauchern. Das ist falsch. Die DSGVO schützt personenbezogene Daten natürlicher Personen – und diese kommen im B2B-Geschäft ständig vor. Ansprechpartner, Einkäufer, Geschäftsführer, Mitarbeiter von Partnerunternehmen: All diese Personen haben Datenschutzrechte, die gewahrt werden müssen.

Sobald ein Unternehmen also Namen, E-Mail-Adressen, Telefonnummern oder andere Daten von Kontaktpersonen eines Geschäftspartners verarbeitet oder weitergibt, greift die DSGVO. Das gilt für CRM-Systeme, Angebotsversände, Newsletter an Geschäftskunden und natürlich für die strukturierte Weitergabe von Daten an Dritte.

DSGVO B2B Datenweitergabe: Die wichtigsten Rechtsgrundlagen

Für jede Datenweitergabe im B2B-Umfeld braucht es eine rechtliche Grundlage nach Art. 6 DSGVO. Die häufigsten im B2B-Kontext relevanten Grundlagen sind:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Datenweitergabe für die Erfüllung eines Vertrags notwendig ist – zum Beispiel die Übermittlung von Lieferadressen an einen Logistikdienstleister – ist dies zulässig.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Im B2B-Bereich kann das berechtigte Interesse des Unternehmens als Rechtsgrundlage dienen, sofern die Interessen der betroffenen Person nicht überwiegen. Dies ist etwa bei der Weitergabe von Kontaktdaten innerhalb einer Unternehmensgruppe denkbar.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für bestimmte Marketingaktivitäten, wie den Versand von B2B-Newslettern, empfiehlt sich eine dokumentierte Einwilligung – auch wenn die Rechtslage hier teils umstritten ist.
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Steuerrechtliche Meldepflichten oder handelsrechtliche Aufbewahrungspflichten können ebenfalls eine Grundlage darstellen.

Praxistipp: Dokumentieren Sie für jeden Verarbeitungsvorgang die gewählte Rechtsgrundlage im Verarbeitungsverzeichnis nach Art. 30 DSGVO. Diese Dokumentation ist nicht nur rechtlich gefordert, sondern auch bei Behördenprüfungen von zentraler Bedeutung.

Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit: Den Unterschied kennen

Wenn Unternehmen im B2B-Bereich Daten miteinander teilen, stellt sich oft die Frage: Wer trägt welche Verantwortung? Die DSGVO unterscheidet hier grundlegend zwischen zwei Modellen:

• Auftragsverarbeitung (Art. 28 DSGVO): Ein Dienstleister verarbeitet Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers. Typische Beispiele sind Cloud-Anbieter, Steuerberater oder Marketingagenturen. Hier ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich.
• Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Zwei oder mehr Unternehmen legen gemeinsam Zwecke und Mittel der Datenverarbeitung fest. In diesem Fall muss eine Vereinbarung über die jeweiligen Zuständigkeiten geschlossen werden – zum Beispiel bei gemeinsamen Marketingkampagnen oder geteilten Kundendatenbanken.

Das falsche Modell zu wählen ist ein häufiger Fehler in der Praxis. Unternehmen sollten im Zweifelsfall rechtliche Beratung hinzuziehen, um die korrekte Einordnung sicherzustellen.

Internationale Datenweitergabe: Besondere Sorgfalt bei Drittländern

Globale Lieferketten und internationale Geschäftsbeziehungen bedeuten oft, dass Daten in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Die DSGVO stellt hierfür erhöhte Anforderungen.

Für Transfers in sogenannte Drittländer ohne Angemessenheitsbeschluss der EU-Kommission – darunter viele Länder außerhalb Europas – sind geeignete Garantien erforderlich. Die gängigsten Instrumente sind:

• Standardvertragsklauseln (SCC): Von der EU-Kommission vorgegebene Vertragsklauseln, die zwischen dem Datenexporteur und -importeur vereinbart werden.
• Binding Corporate Rules (BCR): Konzerninterne Datenschutzregeln, die von der zuständigen Aufsichtsbehörde genehmigt werden müssen.
• EU-US Data Privacy Framework: Seit 2023 besteht wieder ein Angemessenheitsbeschluss für Datenübermittlungen in die USA – allerdings nur für zertifizierte Unternehmen.

Konkret: Nutzen Sie einen US-amerikanischen CRM-Anbieter oder einen Cloud-Dienst mit Serverstandort außerhalb der EU, prüfen Sie unbedingt, ob die Voraussetzungen für einen rechtskonformen Datentransfer erfüllt sind. Viele Anbieter bieten entsprechende Vertragsunterlagen auf Anfrage oder über ihr Kundenportal an.

Bei der Verifikation von Geschäftspartnern – etwa zur Prüfung von Umsatzsteuer-Identifikationsnummern – können spezialisierte Tools wie VAT Verifizierung dabei helfen, Geschäftspartnerdaten schnell und datenschutzkonform abzugleichen, ohne unnötige Datenmengen zu erheben.

Praktische Maßnahmen für rechtssichere B2B-Datenweitergabe

Compliance im Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Folgende Maßnahmen helfen Unternehmen, die DSGVO-Anforderungen bei der B2B-Datenweitergabe dauerhaft zu erfüllen:

• Verarbeitungsverzeichnis pflegen: Alle Verarbeitungstätigkeiten inklusive der Datenweitergabe an Dritte müssen dokumentiert sein (Art. 30 DSGVO).
• AVV-Management etablieren: Für jeden externen Dienstleister, der personenbezogene Daten verarbeitet, muss ein gültiger AVV vorliegen. Nutzen Sie eine zentrale Übersicht aller abgeschlossenen Verträge.
• Datenschutzinformation aktualisieren: