Das Wichtigste in Kürze
Personenbezogene Daten dürfen grundsätzlich nur dann an Dritte weitergegeben werden, wenn dafür eine Rechtsgrundlage nach Art. 6 Datenschutz-Grundverordnung (DSGVO) existiert. Besonders schützenswerte Daten wie Gesundheitsdaten, politische Überzeugungen oder biometrische Merkmale unterliegen nach Art. 9 DSGVO einem generellen Verarbeitungsverbot mit engen Ausnahmen. Wer gegen diese Regeln verstößt, riskiert Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Stand: März 2026 — Dieser Artikel wurde zuletzt im März 2026 fachlich geprüft und aktualisiert.
Die Frage, welche Daten an Dritte weitergegeben werden dürfen, gehört zu den häufigsten im Datenschutzrecht. Verständlich: Unternehmen arbeiten mit Dienstleistern, tauschen Kundendaten aus, nutzen Cloud-Dienste und integrieren externe Tools in ihre Prozesse. Dabei wird fast immer die Grenze zur Datenweitergabe überschritten – oft unbewusst.
Meine Erfahrung aus der Beratungspraxis zeigt: Die meisten Unternehmen wissen, dass sie nicht einfach Kundenlisten verschicken dürfen. Aber bei der konkreten Abgrenzung – was genau zählt als personenbezogen, welche Rechtsgrundlage greift, was ist mit Auftragsverarbeitern – wird es regelmäßig dünn.
Dieser Leitfaden liefert klare Antworten. Ohne Juristendeutsch, mit konkreten Beispielen und einer Praxis-Checkliste, die Sie direkt im Unternehmen einsetzen können.
Kurz gesagt: Alle personenbezogenen Daten, für die keine Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Besonders streng geschützt sind die sogenannten besonderen Kategorien nach Art. 9 DSGVO – dazu zählen Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit, religiöse Überzeugungen und Daten zur sexuellen Orientierung. Für diese Daten gilt ein generelles Verarbeitungsverbot. Eine Weitergabe an Dritte ist nur mit ausdrücklicher Einwilligung oder zur Erfüllung arbeitsrechtlicher Pflichten zulässig. Auch Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) dürfen nur unter behördlicher Aufsicht verarbeitet werden. Selbst "normale" personenbezogene Daten wie Name, E-Mail oder IP-Adresse dürfen ohne dokumentierte Rechtsgrundlage nicht weitergegeben werden – Verstöße kosten bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes — mehr zu den konkreten Konsequenzen erfahren Sie in unserem Artikel Was passiert, wenn man gegen den Datenschutz verstößt.
Bevor wir über Weitergabe sprechen, muss klar sein, was überhaupt unter den Schutz der DSGVO fällt. Die Antwort ist breiter, als die meisten denken.
Definition nach Art. 4 Nr. 1 DSGVO
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt – etwa über eine Kennung wie einen Namen, eine Kennnummer, Standortdaten oder Online-Kennungen – bestimmt werden kann.
Das klingt abstrakt. Konkret heißt das: Jede Information, die sich irgendwie einer lebenden Person zuordnen lässt, ist personenbezogen. Und "irgendwie" meint die DSGVO durchaus ernst.
Was viele Unternehmen überrascht: Auch indirekte Informationen können personenbezogen sein. Ein Beispiel – die Kombination "Geschäftsführer des Unternehmens X in Stadt Y" identifiziert eine Person, ohne deren Namen zu nennen. Weitere häufig übersehene Datenkategorien:
Der Europäische Gerichtshof (EuGH) hat in seiner Rechtsprechung den Begriff "personenbezogene Daten" bewusst weit ausgelegt. Im Zweifel ist ein Datum personenbezogen – und fällt damit unter die DSGVO.
Innerhalb der personenbezogenen Daten gibt es eine Kategorie, bei der der Gesetzgeber besonders streng ist: die sogenannten besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO.
Achtung: Generelles Verarbeitungsverbot
Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt. Eine Weitergabe an Dritte ist nur unter den eng definierten Ausnahmen des Art. 9 Abs. 2 DSGVO zulässig. Im Unternehmensalltag kommen praktisch nur die ausdrückliche Einwilligung (lit. a) und die Erfüllung arbeitsrechtlicher Pflichten (lit. b) als Rechtsgrundlage in Betracht.
Diese Daten unterliegen dem Verarbeitungsverbot:
| Datenkategorie | Beispiele aus der Praxis |
|---|---|
| Rassische oder ethnische Herkunft | Nationalität in Bewerbungsunterlagen, Passfotos |
| Politische Meinungen | Parteimitgliedschaft, politische Spenden |
| Religiöse oder weltanschauliche Überzeugungen | Konfession auf der Lohnsteuerkarte, Kirchensteuer |
| Gewerkschaftszugehörigkeit | Mitgliedsbeiträge, Teilnahme an Streiks |
| Genetische Daten | DNA-Analysen, Abstammungstests |
| Biometrische Daten | Fingerabdrücke für Zugangskontrollen, Gesichtserkennung |
| Gesundheitsdaten | Krankmeldungen, Arztberichte, Schwerbehindertenausweis |
| Daten zum Sexualleben oder zur sexuellen Orientierung | Angaben in Mitarbeiterprofilen, Versicherungsanträge |
In der Praxis begegnen mir diese Daten vor allem im Personalbereich: Krankmeldungen, Schwerbehindertenausweise, Lohnsteuerkarten mit Konfessionsangabe. Viele HR-Abteilungen sind sich nicht bewusst, dass sie damit regelmäßig Art.-9-Daten verarbeiten – und dass für jede einzelne Verarbeitung eine spezifische Rechtsgrundlage dokumentiert sein muss.
Zusätzlich zu Art. 9 regelt Art. 10 DSGVO die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten. Diese dürfen nur unter behördlicher Aufsicht oder aufgrund nationaler Rechtsvorschriften verarbeitet werden. Das polizeiliche Führungszeugnis eines Bewerbers darf das Unternehmen also nicht dauerhaft speichern oder an Dritte weitergeben.
Die Weitergabe personenbezogener Daten an Dritte ist eine Verarbeitung im Sinne der DSGVO. Sie braucht deshalb immer eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Ohne Rechtsgrundlage ist die Weitergabe schlicht verboten.
1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) Die betroffene Person hat der Verarbeitung für einen bestimmten Zweck ausdrücklich zugestimmt. Die Einwilligung muss freiwillig, informiert und unmissverständlich sein. Sie kann jederzeit widerrufen werden – und dann muss die Weitergabe sofort gestoppt werden.
2. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) Die Weitergabe ist notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen. Klassiker: Die Lieferadresse wird an den Paketdienstleister übermittelt, Bankdaten an den Zahlungsdienstleister.
3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) Das Unternehmen ist gesetzlich zur Weitergabe verpflichtet. Beispiele: Meldung an das Finanzamt, Sozialversicherungsträger, Berufsgenossenschaft, oder Auskünfte an Strafverfolgungsbehörden auf richterliche Anordnung.
4. Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO) Kommt in der Unternehmenspraxis kaum vor. Denkbar bei medizinischen Notfällen am Arbeitsplatz, wenn Gesundheitsdaten an Rettungsdienste übermittelt werden müssen.
5. Öffentliches Interesse (Art. 6 Abs. 1 lit. e DSGVO) Relevant für Behörden und öffentliche Stellen, nicht für Privatunternehmen.
6. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) Die Weitergabe ist zur Wahrung eines berechtigten Interesses erforderlich, sofern die Interessen der betroffenen Person nicht überwiegen. Diese Rechtsgrundlage erfordert eine dokumentierte Interessenabwägung – und genau daran scheitern die meisten Unternehmen in der Praxis.
Praxis-Beispiel: Auftragsverarbeiter vs. Dritter
Ein häufiger Fehler: Die Begriffe Auftragsverarbeiter und Dritter werden verwechselt. Ihr Cloud-Hosting-Anbieter, der Daten ausschließlich nach Ihrer Weisung verarbeitet, ist ein Auftragsverarbeiter nach Art. 28 DSGVO – kein Dritter. Sie brauchen einen Auftragsverarbeitungsvertrag (AVV), aber keine eigene Rechtsgrundlage für die Übermittlung.
Ein Kooperationspartner, dem Sie Kundendaten für dessen eigene Zwecke übermitteln (z. B. für gemeinsames Marketing), ist dagegen ein Dritter. Hier brauchen Sie eine vollständige Rechtsgrundlage – in der Regel die Einwilligung der Betroffenen.
Geht die Datenweitergabe über die Grenzen der EU bzw. des EWR hinaus, kommen zusätzliche Anforderungen hinzu. Seit dem Wegfall des Privacy Shield (Schrems-II-Urteil des EuGH, 2020) und der Einführung des EU-US Data Privacy Framework im Juli 2023 müssen Unternehmen bei Transfers in die USA prüfen, ob der Empfänger unter dem DPF zertifiziert ist.
Für alle anderen Drittländer ohne Angemessenheitsbeschluss der EU-Kommission gelten strenge Anforderungen: Standardvertragsklauseln (SCCs), verbindliche interne Datenschutzvorschriften (BCRs) oder genehmigte Verhaltensregeln. Ohne diese Garantien ist die Übermittlung rechtswidrig.
Jetzt wird es konkret. Die Datenweitergabe ist verboten, wenn mindestens eine der folgenden Bedingungen zutrifft:
Der häufigste Verstoß. Unternehmen geben Daten weiter, ohne sich über die Rechtsgrundlage Gedanken gemacht zu haben. Typische Fälle:
Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres für einen anderen Zweck verwendet oder weitergegeben werden. Wer Kundendaten für die Vertragsabwicklung erhebt, darf sie nicht automatisch für Newsletter-Versand oder Marktforschung an Dritte weitergeben.
Gesundheitsdaten, die ein Arbeitgeber im Rahmen der Entgeltfortzahlung erhält, dürfen nicht an den Betriebsarzt eines anderen Unternehmens oder an eine Versicherung weitergegeben werden – es sei denn, eine der engen Ausnahmen des Art. 9 Abs. 2 DSGVO greift.
Warnung: Typische Fallstricke im Alltag
Hat eine betroffene Person ihre Einwilligung widerrufen oder der Verarbeitung widersprochen, muss die Datenweitergabe unverzüglich eingestellt werden. Das gilt auch für bereits laufende Übermittlungen an Dritte – diese müssen aktiv informiert werden, dass die Daten zu löschen sind (Art. 17 Abs. 2 DSGVO).
Die DSGVO verlangt in Art. 32 angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten. Bei der Weitergabe an Dritte sind diese Maßnahmen besonders relevant, weil die Daten die kontrollierte Umgebung des eigenen Unternehmens verlassen.
Verschlüsselung: Personenbezogene Daten sollten bei der Übertragung immer verschlüsselt werden. Unverschlüsselte E-Mails mit Personaldaten oder Kundenlisten sind ein klarer DSGVO-Verstoß. Nutzen Sie mindestens Transportverschlüsselung (TLS), besser Ende-zu-Ende-Verschlüsselung.
Pseudonymisierung: Wo möglich, sollten Daten vor der Weitergabe pseudonymisiert werden. Statt Klarnamen können interne Kennungen verwendet werden, die der Empfänger nicht auflösen kann.
Zugriffskontrollen: Beschränken Sie den Zugriff auf personenbezogene Daten nach dem Need-to-know-Prinzip. Nicht jeder Mitarbeitende braucht Zugang zu allen Kundendaten – und nicht jeder Dienstleister braucht den vollständigen Datensatz.
Protokollierung: Dokumentieren Sie, wann welche Daten an wen weitergegeben wurden. Im Falle einer Datenpanne oder einer Anfrage der Aufsichtsbehörde müssen Sie nachweisen können, welche Daten wohin geflossen sind.
Interne Richtlinien: Erstellen Sie eine Richtlinie, die regelt, wer unter welchen Bedingungen personenbezogene Daten an Dritte weitergeben darf. Definieren Sie einen Freigabeprozess – nicht jeder Mitarbeitende sollte eigenständig Kundendaten exportieren und versenden können.
Vertragliche Absicherung: Schließen Sie mit jedem Auftragsverarbeiter einen AVV ab. Bei Datenübermittlungen an Dritte (keine Auftragsverarbeiter) prüfen und dokumentieren Sie die Rechtsgrundlage vor der ersten Übermittlung.
Regelmäßige Schulungen: Ihre Mitarbeitenden sind die erste Verteidigungslinie. Schulen Sie mindestens einmal jährlich zum Thema Datenweitergabe – mit konkreten Beispielen aus dem eigenen Unternehmen. Warum sich ein externer Datenschutzbeauftragter für Unternehmen gerade bei der Organisation solcher Schulungen auszahlt, haben wir in einem eigenen Ratgeber aufbereitet. Ein versehentlich falsch adressiertes Fax mit Patientendaten oder eine E-Mail an den falschen Verteiler sind die häufigsten Datenpannen in Deutschland. Eine professionelle Datenschutzschulung vermittelt Ihrem Team die nötige Sicherheit im Umgang mit sensiblen Daten.
Datenschutz-Folgenabschätzung (DSFA): Bei systematischer Übermittlung personenbezogener Daten an Dritte – etwa bei der Einführung eines neuen CRM-Systems oder einer Cloud-Lösung – ist regelmäßig eine DSFA nach Art. 35 DSGVO erforderlich.
Wenn Daten unrechtmäßig an Dritte weitergegeben wurden, ist schnelles Handeln Pflicht. Die DSGVO gibt enge Fristen vor – und wer sie verstreichen lässt, macht den Schaden größer.
Eine unrechtmäßige Datenweitergabe ist in der Regel eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) im Sinne von Art. 33 DSGVO. Die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden nach Bekanntwerden informiert werden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Betroffenen.
Bei einem hohen Risiko für die Betroffenen müssen auch diese selbst benachrichtigt werden (Art. 34 DSGVO). Das ist etwa der Fall, wenn Gesundheitsdaten, Bankdaten oder Zugangsdaten betroffen sind.
Die Bußgeldrahmen der DSGVO sind abschreckend konzipiert:
| Verstoß | Bußgeldrahmen |
|---|---|
| Verstoß gegen Grundsätze der Verarbeitung (Art. 5, 6, 9 DSGVO) | Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes |
| Verstoß gegen Betroffenenrechte (Art. 12–22 DSGVO) | Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes |
| Verstoß gegen Pflichten des Verantwortlichen (Art. 25–39 DSGVO) | Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes |
| Nichtmeldung einer Datenpanne (Art. 33 DSGVO) | Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes |
Diese Bußgelder sind keine Theorie. Die Bundesdatenschutzbeauftragte und die Landesdatenschutzbehörden verhängen regelmäßig empfindliche Strafen. Allein 2024 und 2025 wurden in Deutschland mehrere Bußgelder im sechsstelligen Bereich gegen mittelständische Unternehmen verhängt – häufig wegen unzulässiger Datenweitergabe an Dritte ohne Rechtsgrundlage oder fehlendem AVV.
Neben Bußgeldern drohen zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO. Betroffene können materiellen und immateriellen Schadensersatz verlangen. Die deutschen Gerichte sprechen bei DSGVO-Verstößen zunehmend Schadensersatz zu – die Beträge liegen typischerweise zwischen 500 und 5.000 Euro pro Betroffenen. Bei Massenverstößen summiert sich das schnell.
Ein verbreiteter Irrtum: Viele Unternehmen gehen davon aus, dass die Weitergabe personenbezogener Daten innerhalb eines Konzerns unproblematisch sei. Das ist falsch. Die DSGVO kennt kein Konzernprivileg. Jede Konzerngesellschaft ist ein eigenständiger Verantwortlicher, und die Datenübermittlung zwischen Konzerngesellschaften ist eine Weitergabe an Dritte.
Das bedeutet: Auch für die konzerninterne Weitergabe brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis stützen sich Konzerne meist auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f) – was eine saubere Interessenabwägung und Dokumentation voraussetzt. Erwägungsgrund 48 der DSGVO erkennt zwar an, dass die Übermittlung innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke ein berechtigtes Interesse darstellen kann. Aber das ist kein Freifahrtschein.
Bevor Sie personenbezogene Daten an einen Dritten weitergeben, prüfen Sie diese Punkte:
Checkliste Datenweitergabe
Wenn Sie bei einem dieser Punkte unsicher sind, ist das ein deutliches Signal: Holen Sie sich fachliche Unterstützung. Ein externer Datenschutzbeauftragter kann diese Prüfung systematisch durchführen und dokumentieren – und zwar bevor die Aufsichtsbehörde fragt.
Unsicher, welche Daten Sie weitergeben dürfen?
Unsere Datenschutzberater prüfen Ihre Prozesse und schaffen Klarheit.
Kostenloses Erstgespräch buchen →Nur unter engen Voraussetzungen. Arbeitgeber dürfen personenbezogene Daten von Beschäftigten an Sozialversicherungsträger, Finanzämter und Berufsgenossenschaften weitergeben, weil sie gesetzlich dazu verpflichtet sind (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 26 BDSG). Für eine Weitergabe an Konzerngesellschaften, Kunden oder externe Dienstleister braucht es eine eigene Rechtsgrundlage – und in vielen Fällen die ausdrückliche Einwilligung der Mitarbeitenden.
Sie begehen einen DSGVO-Verstoß, der mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden kann. Zusätzlich können Betroffene Schadensersatz verlangen. Im Falle einer Datenpanne müssen Sie die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren. Außerdem droht ein Reputationsschaden, der langfristig schwerer wiegen kann als das Bußgeld.
Echte anonymisierte Daten fallen nicht unter die DSGVO und dürfen frei weitergegeben werden. Der Knackpunkt: Die Anonymisierung muss irreversibel sein. Das bedeutet, die Daten dürfen mit keinem vertretbaren Aufwand re-identifiziert werden können. Pseudonymisierte Daten – also Daten, bei denen der Personenbezug durch zusätzliche Informationen wiederhergestellt werden kann – bleiben personenbezogen und unterliegen voll der DSGVO. In der Praxis ist echte Anonymisierung deutlich schwieriger, als viele Unternehmen annehmen.
Nein. Ein AVV regelt das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter. Er ist erforderlich, wenn ein Dienstleister Daten in Ihrem Auftrag und nach Ihrer Weisung verarbeitet. Für die Übermittlung an einen Dritten, der die Daten für eigene Zwecke nutzt, brauchen Sie eine eigenständige Rechtsgrundlage nach Art. 6 DSGVO. Der AVV ersetzt diese Rechtsgrundlage nicht.
Fast jede Website gibt personenbezogene Daten an Dritte weiter – oft ohne dass es dem Betreiber bewusst ist. Google Analytics, extern eingebundene Schriftarten, Social-Media-Plugins, Chatbots, eingebettete YouTube-Videos: All diese Dienste übertragen IP-Adressen und andere Nutzerdaten an Drittanbieter. Ein automatisierter Website-Scan, etwa über den Hugo Check, deckt solche Datenflüsse in wenigen Sekunden auf und zeigt konkret, welche Dienste betroffen sind.
Für die Übermittlung personenbezogener Daten in Drittländer gelten nach Kapitel V der DSGVO besondere Anforderungen. Die Übermittlung ist nur zulässig, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt (derzeit unter anderem für die USA unter dem Data Privacy Framework, Großbritannien, die Schweiz und Japan), geeignete Garantien wie Standardvertragsklauseln (SCCs) vereinbart wurden, oder eine der Ausnahmen nach Art. 49 DSGVO greift. Ohne eine dieser Grundlagen ist die Übermittlung verboten.
Sie brauchen Klarheit bei der Datenweitergabe?
Die Regeln zur Datenweitergabe an Dritte sind komplex – aber beherrschbar. Als erfahrene Datenschutzberater unterstützen wir Sie bei der Prüfung Ihrer Datenflüsse, der Dokumentation der Rechtsgrundlagen und der Umsetzung technischer Schutzmaßnahmen. Praxisnah, auf den Punkt und zugeschnitten auf Ihr Unternehmen.
Inhaltsverzeichnis
Vom Skeptiker zum Befürworter: So überzeugt ein Datenschutz-Audit die Geschäftsführung – mit konkretem Ablauf und Praxisbeispiel.
WeiterlesenChatGPT, Copilot, KI-Tools im Unternehmen: Was die DSGVO und der AI Act verlangen, welche Risiken bestehen und wie Sie KI datenschutzkonform einsetzen.
WeiterlesenSo erstellen Sie ein DSGVO-konformes Datenschutzkonzept: Schritt-für-Schritt-Anleitung mit Muster-Struktur, häufigen Fehlern und Praxistipps für kleine und mittlere Unternehmen.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
