Auftragsverarbeitung - Dritte und Empfänger

Relative Begriffe

Die Datenschutzgrundverordnung definiert auch die Begriffe „Empfänger" sowie „Dritter". Allerdings schreibt die DSGVO diesen Begriffen – anders als bei den Begriffen des Verantwortlichen und des Auftragsverarbeiters – keine bestimmten Verantwortlichkeiten oder Pflichten zu. Empfänger und Dritter sind als relativ gemeinte Begriffe zu interpretieren, weil sie Beziehungen zu Verantwortlichen und Auftragsverarbeitern beschreiben. Das tun sie aus einem bestimmten Blickwinkel, etwa wenn einem Empfänger gegenüber von einem Verantwortlichen Daten offengelegt werden. Aus einer anderen Perspektive heraus könnte der Empfänger unseres Beispiels dann aber wiederum – auch zur gleichen Zeit – die Rolle des Verantwortlichen oder des Auftragsverarbeiters einnehmen. So kann eine Stelle, die aus einem bestimmten Blickwinkel als Dritter oder Empfänger von Daten eingestuft wird, für die Verarbeitung dieser Daten die Verantwortlichkeit übernehmen, weil diese Stelle dafür Zweck und Mittel bestimmt.

Dritter

Art. 4 Nr. 10 der Datenschutzgrundverordnung bestimmt den Dritten als eine natürliche oder eine juristische Person, als eine Behörde, eine Einrichtung oder eine andere Stelle, bei der es sich weder um die betroffenen Personen noch um den Verantwortlichen oder den Auftragsverarbeiter und ebenfalls nicht um Personen handelt, die mit der Verarbeitung personenbezogener Daten befasst sind, dabei aber der direkten Verantwortung eines Verantwortlichen oder eines Auftragsverarbeiters unterstehen. Hinweis: Diese Definition des Dritten stimmt insgesamt mit der bisherigen Definition überein, die in Richtlinie 95/46/EG festgeschrieben wurde.

Personen mit der Befugnis zur Verarbeitung personenbezogener Daten

Eine ganze Reihe von Begriffen wurde in der Datenschutzgrundverordnung definiert. Dazu zählen Verantwortlicher, Auftragsverarbeiter, betroffene Person, personenbezogene Daten. Nicht definiert wurde der folgende Begriff:

Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten

Grundsätzlich wird dieser Begriff aber so interpretiert, dass er Personen meint, die einer juristischen Einheit eines Verantwortlichen oder auch eines Auftragsverarbeiters zugeordnet werden – allerdings lediglich insofern sie befugt sind, personenbezogene Daten zu verarbeiten. Dabei kann es sich zum Beispiel um Beschäftigte handeln oder um Personen, die eine Rolle einnehmen, die mit der der Beschäftigten sehr vergleichbar ist. Letzteres wäre bei Zeitarbeitskräften der Fall, welche im Rahmen der Arbeitnehmerüberlassung beschäftigt werden.

Nicht zu dieser Gruppe zählende Beschäftigte

Nicht zu dieser Personengruppe zählt allerdings ein Beschäftigter, der zu Daten Zugang hat, obwohl er zu diesen Daten keinen Zugang haben dürfte, die er aber dennoch für andere als die vom Arbeitgeber vorgegebenen Zwecke verarbeitet. Solch ein Beschäftigter sollte im Hinblick auf die eigentlich von dem Arbeitgeber vorgegebene Datenverarbeitung als Dritter angesehen werden. Verarbeitet dieser Beschäftigte die personenbezogenen Daten für seine eigenen Zwecke, die nicht die Zwecke des Arbeitgebers sind, so ist er in Bezug auf diese Verarbeitung von personenbezogenen Daten der Verantwortliche und hat für die sich aus diesem Tun ergebenden Folgen und Verpflichtungen geradezustehen.

Abgrenzung der Rolle des Dritten

Mit dem Begriff des Dritten ist also eine Person gemeint, die im Kontext einer bestimmten Datenverarbeitung keine betroffene Person, kein Beschäftigter, kein Auftragsverarbeiter und kein Verantwortlicher ist. Ein Beispiel: Ein Verantwortlicher weist den von ihm beauftragten Auftragsverarbeiter an, einem Dritten bestimmte personenbezogene Daten zukommen zu lassen. Sofern der Dritte diese Daten für eigene Zwecke verarbeitet, ist er der eigenständige Verantwortliche. Ein Unternehmen, Teil einer Unternehmensgruppe und weder Verantwortlicher noch Auftragsverarbeiter, ist bezüglich einer bestimmten Verarbeitung ebenfalls Dritter. Das ist auch dann so, wenn dieses Unternehmen derselben Unternehmensgruppe angehört wie das als Verantwortlicher oder als Auftragsverarbeiter fungierende Unternehmen.

Empfänger

Der Empfänger ist laut Art. 4 Nr. 9 der Datenschutzgrundverordnung – wie der Dritte – definiert als eine natürliche oder eine juristische Person, als eine Behörde, eine Einrichtung oder eine andere Stelle, der gegenüber personenbezogene Daten offengelegt werden. Dabei ist es unerheblich, ob es sich bei dem Empfänger um einen Dritten handelt. Allerdings gelten Behörden, die im Zusammenhang mit einem Untersuchungsauftrag nach dem Recht der Union oder der Mitgliedstaaten personenbezogene Daten erhalten, nicht als Empfänger. Dies kann Finanzermittlungsstellen, Zoll- und Steuerbehörden sowie weitere Behörden betreffen. Auch diese Definition des Empfängers stimmt mit der Definition überein, die in Richtlinie 95/46/EG festgeschrieben wurde.

Empfänger ist, wer personenbezogene Daten empfängt

Als Empfänger wird jeder definiert, der personenbezogene Daten empfängt. Es ist unerheblich, ob der Empfänger ein Dritter ist oder nicht. Sobald ein Verantwortlicher personenbezogene Daten an einen Auftragsverarbeiter oder einen Dritten übergibt, ist dieser Empfänger. Verarbeitet der Dritte als Empfänger der personenbezogenen Daten diese Daten zu eigenen Zwecken weiter, so ist er im Rahmen dieser nach dem Erhalt erfolgenden Verarbeitung der Verantwortliche.

Mehr Informationen zu Dritten und Empfängern

Wenn Sie zu diesem Thema weitere Informationen wünschen, stehen wir Ihnen sehr gern zur Verfügung. Rufen Sie uns an: Telefon 09122 6937302. Oder senden Sie uns Ihre Nachricht. Wir freuen uns, von Ihnen zu hören!

Ihr Team von Datenschutz Prinz

Mehr zum Thema Auftragsverarbeitung:

• Auftragsverarbeiter: Daten im Auftrag eines anderen verarbeiten
• Voraussetzungen und Bedingungen für Auftragsverarbeiter