ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
263
In der DSGVO wird der Begriff des Empfängers in der Folge an mehreren Stellen verwendet, insbesondere in Art. 13 Abs. 1 lit. e, in Art. 14 Abs. 1 lit. e, in Art. 15 Abs. 1 lit. c und in Art. 19 DSGVO, nach denen der betroffenen Person Auskunft über die Empfänger (bzw. mit Ausnahme von Art. 19 DSGVO: Kategorien von Empfängern) zu erteilen bzw. sie darüber zu informieren ist. Der Begriff wird aber z.B. auch in Art. 30 (Verzeichnis von Verarbeitungstätigkeiten), Art. 46 (Datenübermittlung vorbehaltlich geeigneter Garantien), Art. 58 (Befugnisse der Aufsichtsbehörden) und Art. 83 (Allgemeine Bedingungen für die Verhängung von Geldbußen) verwendet. Hierbei legt die DSGVO Empfängern keine speziellen Pflichten oder Verantwortlichkeiten auf, sofern sie nicht gleichzeitig auch als Verantwortlicher oder Auftragsverarbeiter zu qualifizieren sind.520 Vielmehr beschreibt der Begriff „Empfänger“ eine Beziehung zu einem Verantwortlichen oder Auftragsverarbeiter.521
2. Begriff des Empfängers
264
Der Begriff des „Empfängers“ ist an zwei Voraussetzungen geknüpft:
1. Es müssen personenbezogene Daten offengelegt werden.
2. Diese Offenlegung muss gegenüber einer natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle erfolgen, die dann als „Empfänger“ bezeichnet wird.
a) Offenlegung personenbezogener Daten
265
Der Begriff der Offenlegung personenbezogener Daten ist vom Verordnungsgeber im Rahmen der Definition des Begriffs „Verarbeitung“ in Art. 4 Nr. 2 DSGVO näher spezifiziert worden (dazu näher oben Rn. 83ff.). Die Offenlegung bezeichnet ganz grundlegend den Vorgang, anderen Stellen personenbezogene Daten zugänglich zu machen, sodass diese die Möglichkeit haben, die Daten zur Kenntnis zu nehmen.522
266
Zudem verlangt Art. 4 Nr. 2 DSGVO, dass dies durch eine Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgt. Eine Übermittlung liegt vor, wenn personenbezogene Daten einem individuell bestimmten Adressaten mitgeteilt werden (siehe ausführlich oben Rn. 88).523 Eine Verbreitung ist – in Abgrenzung zur Übermittlung – gegeben, wenn personenbezogene Daten einem unbestimmten Adressatenkreis mitgeteilt werden, der Adressat also gerade nicht individuell bestimmt ist (siehe ausführlich oben Rn. 92).524 Eine andere Form der Bereitstellung liegt vor, wenn Daten auf andere Art und Weise einer anderen Stelle zugänglich gemacht werden als durch eine Übermittlung oder eine Verbreitung, sodass diese Form der Offenlegung einen Auffangcharakter besitzt (siehe ausführlich oben Rn. 93).525
b) Mögliche Adressaten
aa) Allgemeine Merkmale
267
Nach Art. 4 Nr. 9 DSGVO können natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen „Empfänger“ sein. Hieraus folgt, dass grundsätzlich jede Person oder Personenmehrheit ein Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sein kann und zwar unabhängig davon, ob sie privat-rechtlich oder öffentlich-rechtlich organisiert ist.526
268
Legt ein Verantwortlicher personenbezogene Daten faktisch gegenüber einer (einzelnen) natürlichen Person innerhalb eines (anderen) Unternehmens, einer (anderen) Behörde, (anderen) Einrichtung oder einer sonstigen anderen Stelle offen, ist im Einzelfall zu bestimmen, ob er die Daten der einzelnen Person oder dem gesamten Unternehmen bzw. der gesamten Behörde, Einrichtung oder anderen Stelle offenlegt. Hierbei sind insbesondere der Wille des Verantwortlichen, aber auch zivil-, verwaltungs- und strafrechtliche Zuordnungsnormen zu beachten.527
269
Unerheblich ist es nach dem ausdrücklichen Wortlaut von Art. 4 Nr. 9 DSGVO, ob es sich bei der die Daten empfangenden Person, Behörde oder anderen Stelle um einen Dritten i.S.d. Art. 4 Nr. 10 DSGVO (dazu näher unten Rn. 276) handelt oder nicht. Somit können auch Auftragsverarbeiter oder die betroffene Person selbst Empfänger personenbezogener Daten i.S.d. Art. 4 Nr. 9 DSGVO sein.528
bb) Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen
270
Schwierigkeiten bereitet die Anwendung dieser allgemeinen Merkmale im Fall von internen Datentransfers, also Datentransfers innerhalb der (Organisation) des Verantwortlichen, z.B. von einem Mitarbeiter des verantwortlichen Unternehmens an einen anderen Mitarbeiter des Unternehmens. So geht aus Art. 4 Nr. 9 DSGVO nicht eindeutig hervor, ob auch Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen (wie z.B. Mitarbeiter, Abteilungen oder Funktionseinheiten), denen Daten durch den Verantwortlichen (z.B. durch andere Mitarbeiter des Verantwortlichen) offengelegt werden, Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sind.529
271
Dafür, dass auch solche internen Personen oder Stellen Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sein können, spricht, dass der Verordnungsgeber – anders als bei der Definition des Dritten in Art. 4 Nr. 10 DSGVO – Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen [...] befugt sind, die personenbezogenen Daten zu verarbeiten – zu denen u.a., aber nicht ausschließlich, auch Mitarbeiter des Verantwortlichen zählen (siehe unten Rn. 272) –, nicht von der Definition des Empfängers ausgenommen hat. Allerdings ist diese Argumentation nicht zwingend.
272
So sprechen dann auch die besseren Argumente gegen eine allgemeine Einbeziehung interner Personen oder Stellen des Verantwortlichen in die Definition des Empfängers – und zwar insbesondere der Wortlaut von Art. 4 Nr. 9 DSGVO und die Systematik der DSGVO. So lässt sich aus dem Wortlaut von Art. 4 Nr. 9 DSGVO schließen, dass ein Empfänger zumindest ein gewisses Maß an Eigenständigkeit haben muss, das bei internen Personen und Stellen nicht gegeben ist.530 Außerdem müsste der Verantwortliche andernfalls der betroffenen Person zumindest nach Art. 19 DSGVO grundsätzlich jeden Mitarbeiter bzw. jede Abteilung und Funktionseinheit innerhalb des eigenen Unternehmens mitteilen, der bzw. die diese Daten erhalten hat.531 Dies würde aber über den Sinn und Zweck von Art. 19 DSGVO hinausgehen, der darin besteht, ggf. auch Betroffenenrechte gegenüber dem jeweiligen Empfänger geltend machen zu können.532 Da aber derartige Rechte nur gegenüber Verantwortlichen bestehen und Mitarbeiter bzw. andere Stellen innerhalb des Verantwortlichen selbst grundsätzlich keine eigenen Verantwortlichen sind, wäre deren Angabe sinnwidrig. Daher sind Personen, Einrichtungen oder Stellen innerhalb (der Organisation) des Verantwortlichen (wie z.B. Mitarbeiter, Abteilungen, Funktionseinheiten oder auch unselbstständige Zweigstellen), denen Daten offengelegt werden, nicht als Empfänger i.S.d. Art. 4 Nr. 9 DSGVO anzusehen, soweit sie keine eigenen Zwecke verfolgen und daher selbst als eigenständige Verantwortliche anzusehen sind.533 Beim Betriebsrat handelt es sich nach Auffassung des BAG allerdings um einen Empfänger i.S.d. Art. 4 Nr. 9 DSGVO, wenn dieser vom Betrieb personenbezogene Daten erhält.534
273
Vor diesem Hintergrund ist auch eine ausdrückliche Ausnahme von Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen befugt sind, die personenbezogenen Daten zu verarbeiten, vom Begriff des Empfängers – wie sie in der Definition des Dritten in Art. 4 Nr. 10 DSGVO enthalten ist – zumindest im Hinblick auf Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen, die diesem zuzurechnen sind, entbehrlich.