EU-Datenschutzgrundverordnung, Art. 4 Rn. 69; vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 32. 525 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 33; Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 69. 526 Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 6 i.V.m. Art. 4 Nr. 7 Rn. 9; vgl. im Hinblick auf den Verantwortlichen gem. Art. 4 Nr. 7 DSGVO auch: Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 10. 527 Vgl. im Hinblick auf die Definition der verantwortlichen Stelle gem. Art. 2 lit. d DSRl: Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 19ff., wobei zu beachten ist, dass diese Stellungnahme durch neue Leitlinien des EDSA ersetzt wurde, Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 7f. 528 Vgl. z.B. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 529 Auch die Erläuterungen des EDSA zum Begriff des „Empfängers“ enthalten nach hier vertretener Lesart keine Stellungnahme zu dieser Frage. Insbesondere ist nach hier vertretener Ansicht die Aussage „The definition covers anyone who receives personal data [...]“ aufgrund der weiteren Ausführungen im dortigen Zusammenhang nicht dahingehend zu verstehen, dass sie zum Ausdruck bringen soll, dass auch Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen Empfänger sein sollen. So beziehen sich z.B. sämtliche dort genannten Beispiele auf externe Empfänger, Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 530 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 57; Regenhardt, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 156; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 3. 531 Art. 13 Abs. 1 lit. e, Art. 14 Abs. 1 lit. e, Art. 15 Abs. 1 lit. c DSGVO lassen insoweit zumindest auch die Nennung von Gruppen von Empfängern zu. 532 Siehe z.B. Arning, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 6 Rn. 492 m.w.N. 533 So im Ergebnis z.B. auch Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 29; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 57; Gola, in: Gola, DS-GVO, Art. 4 Rn. 80; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 6; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Nr. 9 Rn. 102, der allerdings alle als Empfänger begreift, die nicht Dritte sind. Dies ist nach hier vertretener Ansicht aber nicht mit Art. 4 Nr. 9 DSGVO vereinbar, da die Eigenschaft des Empfängers gerade „unabhängig“ davon sein soll, ob es sich bei dieser Person bzw. Stelle auch um einen Dritten handelt oder nicht. Somit geht auch Art. 4 Nr. 9 DSGVO davon aus, dass eine Person bzw. Stelle zugleich ein Empfänger nach Art. 4 Nr. 9 DSGVO und ein Dritter gem. Art. 4 Nr. 10 DSGVO sein kann. 534 BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218, 1221. 535 Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 9. 536 Vgl. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 30. 537 Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 7; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 7. 538 Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 9 Rn. 7 m.w.N.; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 9 Rn. 7. 539 Siehe zur Gesetzgebungshistorie z.B. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 10 Rn. 2; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 3. 540 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 541 Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 28. 542 Allerdings können im Fall eines Datentransfers in ein Drittland die Art. 44ff. DSGVO zu beachten sein. 543 Vgl. schon zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 234f.; vgl. auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 8. Der EDSA und die überwiegende Mehrheit der Autoren thematisieren den „Ausschluss“ von Personen, die dem Verantwortlichen/Auftragsverarbeiter zuzurechnen sind, unter dem Gesichtspunkt, inwieweit es sich bei ihnen um Personen handelt, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, und deshalb nicht als Dritte zu betrachten sind, siehe z.B. Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 29; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 60; Gola, in: Gola, DS-GVO, Art. 4 Rn. 82; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 162; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 10 Rn. 4. Nach hier vertretener Ansicht sind Personen, die dem Verantwortlichen/Auftragsverarbeiter zuzurechnen sind, aber auch als Teil des Verantwortlichen/Auftragsverarbeiters anzusehen und schon aus diesem Grund keine Dritten, siehe zu den Unterschieden auch Rn. 288ff. 544 Siehe zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 234ff.; Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Nr. 10 Rn. 119ff.; Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 6. 545 Vgl. z.B. auch Europäischer Datenschutzausschuss, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0), S. 29, im Rahmen seiner Erörterungen des Gesichtspunkts, inwieweit Mitarbeiter Personen sind, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, und deshalb nicht als Dritte zu betrachten sind. 546 Vgl. zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 234; Gola, in: Gola, DS-GVO, Art. 4 Rn. 82. 547 Vgl. z.B. Gola, in: Gola, DS-GVO, Art. 4 Rn. 83. 548 Siehe für die unterschiedlichen Ansichten hierzu Rn. 85, ebenso im Hinblick auf die Qualifikation als „Übermittlung“ i.S.d. Art. 4 Nr. 2 DSGVO. Nicht abschließend geklärt ist insbesondere, ob (auch dann) eine „Übermittlung an ein Drittland“ vorliegt, wenn die (anschließende) Verarbeitung durch die unselbstständige Zweigstelle etc. im Drittland gem. Art. 3 DSGVO der DSGVO unterliegt. Siehe zur Qualifikation von unselbstständigen Filialen etc. als „Empfänger“ Rn. 270ff. 549 Vgl. auch Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 10 Rn. 6. 550 Siehe zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 240; a.A. Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 121a f. Ausdrücklich offen gelassen z.B. vom BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, NZA 2019, 1055, 1058; BAG, Beschl. v. 7.5.2019 – 1 ABR 53/17, 1218, 1221. 551 So zu § 3 Abs. 8 BDSG a.F. Dammann, in: Simitis, BDSG, § 3 Rn. 239; a.A. im Hinblick auf externe Datenschutzbeauftragte:
