Der Umstand, dass die in Art. 4 Nr. 10 DSGVO enthaltene Ausnahme in Art. 4 Nr. 9 DSGVO nicht enthalten ist, führt somit nur dazu, dass organisatorisch nicht in den Verantwortlichen eingebundene Personen und Stellen, wie z.B. Freelancer und Berater,535 Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sein können, aber keine Dritten i.S.d. Art. 4 Nr. 10 DSGVO.
cc) Gemeinsam Verantwortliche
274
Gemeinsam Verantwortliche sind, soweit ihnen personenbezogene Daten durch andere Beteiligte, mit denen sie die Daten gemeinsam i.S.d. Art. 26 DSGVO verarbeiten, offengelegt werden, als Empfänger i.S.d. Art. 4 Nr. 9 DSGVO anzusehen (wenn auch nicht als Dritte, siehe unten Rn. 287). So führt die gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO nicht dazu, dass sie derart miteinander „verschmelzen“, dass sie als interne Stellen der anderen Beteiligten anzusehen und ihnen zuzurechnen sind. Dies folgt insbesondere aus der Systematik der DSGVO. So werden die einzelnen Beteiligten, die personenbezogene Daten gemeinsam i.S.d. Art. 26 DSGVO verarbeiten, in Art. 26 Abs. 1 DSGVO jeweils als Verantwortliche bezeichnet, also als – trotz der gemeinsamen Verantwortlichkeit – separate Personen, Behörden, Einrichtungen oder andere Stellen.
dd) Ausnahme für bestimmte Behörden
275
Bestimmte Behörden sind gem. Art. 4 Nr. 9 Satz 2 DSGVO allerdings vom Begriff des „Empfängers“ ausgenommen. So gelten nach dieser Vorschrift Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, nicht als Empfänger. Nach ErwG 31 sind hiermit z.B. Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden und Finanzmarktbehörden gemeint, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind.536 Allerdings ist Art. 4 Nr. 9 Satz 2 DSGVO wohl dahingehend einschränkend auszulegen, dass diese Ausnahme vom Begriff des „Empfängers“ nur für Behörden mit hoheitlichen Befugnissen gelten soll.537 Die Verarbeitung dieser Daten durch die genannten Behörden erfolgt gem. Art. 4 Nr. 9 Satz 2 Hs. 2 DSGVO sodann im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung. Mithin bedarf auch die Datenverarbeitung durch solche Behörden insbesondere einer Rechtsgrundlage.538 Allerdings hat die Ausnahme vom Begriff des „Empfängers“ zur Folge, dass die Pflichten nach der DSGVO, die an einen Empfänger anknüpfen (dazu näher oben Rn. 263), in diesem Fall nicht bestehen, also ein Verantwortlicher eine solche Behörde z.B. nicht im Rahmen der Information der betroffenen Person gem. Art. 13 bzw. 14 DSGVO benennen muss.
XI. Dritter (Nr. 10)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
276
Ein „Dritter“ ist gem. Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Damit entspricht die Definition des „Dritten“ fast wortgleich der Definition des „Dritten“ in Art. 2 lit. f DSRl.539
277
Der Begriff des „Dritten“ beschreibt eine der drei grundlegenden Rollen, die eine Person oder Stelle im Datenschutzrecht innehaben kann. So kann sie entweder betroffene Person, Verantwortlicher oder Dritter sein. Ggf. können auch der Auftragsverarbeiter oder der Empfänger noch als eigenständige Rollen angesehen werden. Vereinfacht ausgedrückt handelt es sich bei dem Dritten um die Rolle, die Personen bzw. Stellen zugeordnet wird, auf die sich die verarbeiteten Daten nicht beziehen und die an der Verarbeitung der Daten nicht beteiligt sind. Es handelt sich bei den Dritten quasi um Außenstehende. Mithin legt die DSGVO Dritten auch keine speziellen Pflichten oder Verantwortlichkeiten auf, sofern sie nicht zu einem Verantwortlichen oder Auftragsverarbeiter werden.540 Vielmehr beschreibt der Begriff „Dritter“ eine Beziehung zu einem Verantwortlichen oder Auftragsverarbeiter.541
278
Aufgegriffen wird die Definition vor allem in Art. 6 Abs. 1 lit. f DSGVO sowie in Art. 4 Nr. 9, 13 Abs. 1 lit. d, Art. 14 Abs. 2 lit. b DSGVO. So können nach Art. 6 Abs. 1 lit. f DSGVO auch die berechtigten Interessen eines Dritten die Verarbeitung personenbezogener Daten durch einen Verantwortlichen rechtfertigen, über die die betroffene Person dann nach Art. 13 Abs. 1 lit. d bzw. Art. 14 Abs. 2 lit. b DSGVO zu informieren ist. Im Rahmen von Art. 4 Nr. 9 DSGVO (Definition des Empfängers) dient der Begriff des „Dritten“ vor allem der Klarstellung, dass der Begriff des „Empfängers“ weiter ist als der Begriff des „Dritten“, da es nach Art. 4 Nr. 9 DSGVO unerheblich ist, ob der „Empfänger“ zugleich als „Dritter“ zu qualifizieren ist oder nicht (dazu näher oben Rn. 269).
2. Begriff des Dritten
279
Ein Dritter ist nach der Definition in Art. 4 Nr. 10 DSGVO also grundsätzlich jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, es sei denn, dass sie zu einer der vier ebenfalls in der Norm genannten Rollen gehört. Demnach sind keine Dritten i.S.d. Art. 4 Nr. 10 DSGVO: 1. die betroffene Person selbst, 2. der Verantwortliche, 3. der Auftragsverarbeiter und 4. die Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
a) Auftragsverarbeiter innerhalb/außerhalb der EU bzw. des EWR
280
Auftragsverarbeiter sind generell von der Definition des „Dritten“ nach Art. 4 Nr. 10 DSGVO ausgenommen. Es ist also unerheblich – anders als noch in § 3 Abs. 8 Satz 3 BDSG a.F. –, ob der Auftragsverarbeiter die personenbezogenen Daten im Auftrag des Verantwortlichen innerhalb der EU bzw. des EWR verarbeitet oder außerhalb oder ob er innerhalb oder außerhalb der EU/des EWR ansässig ist. Der Auftragsverarbeiter wird also auch dann nicht zu einem „Dritten“, wenn er die Daten außerhalb der EU bzw. des EWR verarbeitet bzw. dort ansässig ist. Demzufolge gelten die Anforderungen der DSGVO, insbesondere in Art. 28 DSGVO für die Auftragsverarbeitung und die damit verbundene Privilegierung, dass eine Auftragsverarbeitung keine gesonderte Rechtsgrundlage erfordert, – anders als noch unter dem BDSG a.F. – auch im Fall der Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter in einem Land außerhalb der EU bzw. des EWR.542
b) Personen, die dem Verantwortlichen/Auftragsverarbeiter zuzurechnen sind
281
Ebenfalls keine „Dritten“ sind Personen, die dem Verantwortlichen bzw. dem Auftragsverarbeiter zuzurechnen sind und damit einen Teil von ihnen bilden. Zuzurechnen sind dem Verantwortlichen bzw. dem Auftragsverarbeiter sämtliche Tätigkeiten, die von internen, d.h. organisatorisch in den Verantwortlichen bzw. Auftragsverarbeiter eingebundenen Personen bzw. Stellen im Rahmen der ihnen vom Verantwortlichen bzw. Auftragsverarbeiter übertragenen, dienstlichen Funktionen erbracht werden.543 Somit sind z.B. Beschäftigte des Verantwortlichen bzw. des Auftragsverarbeiters, Mitglieder von ihren Organen (z.B. Vorstände, Geschäftsführer und Aufsichtsräte), Gesellschafter, Betriebsärzte (zumindest im Rahmen ihrer Aufgaben nach dem Arbeitssicherheitsgesetz) oder Behördenleiter i.d.R. dem jeweiligen Verantwortlichen bzw. Auftragsverarbeiter zuzurechnen und damit keine Dritten.544
282
Etwas anderes gilt ausnahmsweise jedoch dann, wenn eigentlich interne Personen oder Stellen personenbezogene Daten nicht im Rahmen ihrer dienstlichen Aufgaben für den Verantwortlichen bzw. Auftragsverarbeiter verarbeiten, sondern für eigene Zwecke oder die Zwecke