BDSG a.F. Kommentare und Erläuterungen

(Weitergeleitet von 3 BDSG Kommentar Absatz 8)

§ 3 Weitere Begriffsbestimmungen

Absatz 8 Text

(8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

Empfänger und Dritte

Das Gesetz kennt begrifflich zwei Fallgruppen der Weitergabe von personenbezogenen Daten:

  • der umfassende Begriff ist der im Gesetz als "Weitergabe" bezeichnete Vorgang; der Adressat ist der in Satz 1 definierte "Empfänger" und
  • eine Teilmenge der Fälle der Weitergabe sind diejenigen, bei denen "Dritte" (definiert in Satz 2) die Daten erhalten; diese werden vom Gesetz als "Übermittlung" bezeichnet (Abs. 4 Satz 2 Nr. 3)


Die Fallgruppe der Weitergabe an Nicht-Dritte kann auch als interne Weitergabe bezeichnet werden. Die Aufnahme von Regelungen zu dieser Fallgruppe erfolgte in Umsetzung der EU-Datenschutzrichtlinie.


Soweit keine Übermittlung vorliegt, handelt es sich um eine Nutzung. Die Zulässigkeitsregelungen sind weitestgehend gleich.

Empfänger (Abs. 8 Satz 1)

Empfänger ist nach dem Gesetz jede Person oder Stelle, die Daten erhält. Die Regelung ist außerordentlich weit. Zwar betrifft der Begriff "Stelle" nur die in § 2 definierten öffentliche und nicht-öffentliche Stellen, so dass stelleninterne Vorgänge davon nicht erfasst werden. Jedoch genügt auch, dass eine "Person" die Daten erhält. Erhalten bedeutet Gelegenheit zur Kenntnisnahme oder Nutzung zu bekommen. Hier sind alle in der Definition des Übermittelns (§ 3 Abs. 4 Nr. 3) genannten Varianten zutreffend, also insbesondere Übergabe, Übertragung und Zugriff. Damit ist schlechthin jeder Datenfluss an eine Person erfasst. Dazu gehört auch der bei arbeitsteiliger Organisation ebenso unverzichtbare wie selbstverständliche Datenfluss in der Hierarchie, zwischen beteiligten Organisationseinheiten, innerhalb von Arbeitsteams und zwischen dem Beschäftigten und seinen Vertretern sowie Vorgängern und Nachfolgern auf seinem Arbeitsplatz.


Die Gesetzesregelungen, die auf die Empfänger abstellen, dienen der Information der Betroffenen in vier Fällen:


Eine detaillierte Mitteilung aller Empfänger wird dabei in keinem Fall verlangt. Bei der Benachrichtigung und der Verfahrensmeldung sind Empfänger nur mitzuteilen, wenn aus Sicht des Betroffenen mit der Weitergabe nicht zu rechnen ist. Im Übrigen besteht in Bezug auf die internen Weitergaben jeweils die Möglichkeit, statt über konkrete Empfänger nur über die Kategorien von Empfängern aufzuklären,

Dritter (Abs. 8 Satz 2 und 3)

Die Bedeutung der Definition ergibt sich aus ihrem Zusammenhang mit dem Begriff der „Übermittlung“. Eine Übermittlung liegt nur dann, aber auch immer dann vor, wenn die verantwortliche Stelle Daten einem Dritten bekannt gibt. In anderen Vorschriften geht es darum, ob „überwiegende“ bzw. „berechtigte Interessen“ eines „Dritten“ bzw. „einer dritten Person“ eine Übermittlung (an einen anderen als den hier gemeinten Dritten) rechtfertigen, ob sie einer Auskunft an den Betroffenen entgegenstehen oder ob sie eine ausnahmsweise Nutzung gesperrter Daten legitimieren. Die begriffliche Ausnahme der im Auftrag tätigen Personen und Stellen ist auf diese Fälle nicht anwendbar.


In Umsetzung der Richtlinie wurde mit der Novelle 2001 ein selbstständiger Begriff der Empfänger eingeführt (Abs. 8 Satz 1), der neben Dritten auch andere Adressaten einer Weitergabe umfasst. Die Informationspflichten der verantwortlichen Stelle wurden auf diese Tatbestände erweitert.


Dritter ist, von den ausdrücklichen Ausnahmen abgesehen, „jede Person oder Stelle außerhalb der verantwortlichen Stelle“. Der Ausdruck „jede Person oder Stelle“ ist gleichbedeutend mit „jeder“. Auf die Zugehörigkeit zum öffentlichen oder privaten Bereich, auf die Rechtsformen und auf den Sitz bzw. Wohnsitz kommt es nicht an. Auch Ausländer sind einbegriffen. Auch ob die Betreffenden bekannt oder bestimmbar sind, spielt keine Rolle; eine öffentliche Bekanntgabe, ob durch Medien, in öffentlicher Versammlung, durch Aushang oder per Internet, erfolgt an Dritte. Unerheblich ist auch, ob die Person oder Stelle Normadressat nach § 1 Abs. 2 ist.


Durch Fusion kann ein Dritter Teil der verantwortlichen Stelle werden; durch Spaltung oder Ausgliederung können Dritte neu entstehen; dabei ist grundsätzlich der Zeitpunkt der Umwandlung maßgebend.

Außerhalb der verantwortlichen Stelle

Entscheidend ist das Kriterium „außerhalb der verantwortlichen Stelle“.

Da im öffentlichen Bereich die einzelne Behörde oder öffentliche Stelle und nicht die jeweilige juristische Person des öffentlichen Rechts verantwortlichen Stelle ist, ist eine andere Behörde bzw. eine andere öffentliche Stelle stets „Dritter“. Sie ist es auch dann, wenn sie dem gleichen Rechtsträger angehört (z.B. zwei Landesbehörden, zwei Ämter einer Gemeindeverwaltung, untere und Mittelbehörde, Steueramt und Rechnungsprüfungsamt). Dies gilt unabhängig davon, ob sie räumlich getrennt untergebracht sind. Ein Eigenbetrieb (z.B. Wasserwerk, Gartenbetrieb, Verkehrsbetrieb) ist im Verhältnis zu anderen Betrieben und Ämtern Dritter. Privatrechtssubjekte sind gegenüber einer Behörde oder öffentlichen Stelle stets Dritter. Dies gilt grundsätzlich auch für beliehene Unternehmer.


Im nicht-öffentlichen Bereich ist jede natürliche oder juristische Person und jede Gesellschaft oder sonstige Personenvereinigung des Privatrechts eine verantwortliche Stelle. Im Verhältnis zu ihr ist jede andere Person, Gesellschaft oder Vereinigung daher Dritter. Wirtschaftliche Verflechtungen haben, selbst wenn sie bis zur Eingliederung gehen, auf die Beurteilung keinen Einfluss. Verbundene Unternehmen bleiben zueinander Dritte, solange sie rechtlich selbstständig sind. Eine nach dem Grad der Verbindung differenzierende Beurteilung im Sinne eines Konzernprivilegs sieht das Gesetz nicht vor.


Gehören zu einer verantwortlichen Stelle (z.B. Aktiengesellschaft, OHG oder Einzelkaufmann) mehrere Betriebe, Filialen oder andere rechtlich unselbstständige Zweigstellen, so sind sie, auch untereinander, nicht Dritte. Die Übermittlungsvorschriften greifen nicht ein.


Zu einer öffentlichen oder nicht-öffentlichen verantwortlichen Stelle gehören auch die von ihr beschäftigten Personen (Arbeitnehmer, Beamte), dies allerdings nur so weit, als sie für die verantwortliche Stelle handeln. Gibt daher die verantwortliche Stelle einem ihrer Beschäftigten Daten im Hinblick auf seine dienstliche Funktion als Personalsachbearbeiter, Buchhalter, Archivverwalter usw. bekannt, so bleibt der Vorgang innerhalb der verantwortlichen Stelle, ist also keine Übermittlung. Ebenso wenig handelt es sich um eine Übermittlung, wenn Daten innerhalb einer arbeitsteiligen Organisation verschiedene Stationen (Arbeitsplätze) durchlaufen, wenn Daten aus Gründen der Arbeitsdisposition an andere Mitarbeiter abgegeben werden oder wenn sie zu Kontrollzwecken an Vorgesetzte gehen.


Erfolgt eine Bekanntgabe dagegen ohne unmittelbaren Zusammenhang mit den dienstlichen Funktionen des Empfängers, so ist dieser als Privatmann angesprochen, also Dritter. Dies ist etwa der Fall, wenn ein Mitarbeiter Kunden- oder Personalanschriften zur Verwertung im Rahmen einer Nebentätigkeit (z.B. Versicherungsagentur, Werbung für eine Vereinigung) erhält.


Die (Un-)Rechtmäßigkeit einer Bekanntgabe hat keine Auswirkung auf die Eigenschaft als Dritter. Teilt also beispielsweise die Personalabteilung dem Vorgesetzten des Betroffenen nicht nur die Art einer Verwendungsbeschränkung, sondern auch die medizinische Diagnose mit, so ist dies zwar unzulässig, aber noch funktionsbezogen, denn der Vorgesetzte wurde im Hinblick auf den Personaleinsatz informiert..


Rechtlich selbstständige Einrichtungen sind auch dann Dritte, wenn sie organisatorisch, räumlich oder personell mit der verantwortlichen Stelle verbunden sind. Das gilt beispielsweise für Betriebskrankenkassen, und zwar auch dann, wenn sie ausschließlich durch Mitarbeiter des Betriebes in Personalunion geführt werden. Dagegen sind Betriebsärzte im Hinblick auf ihre Stellung nach dem Arbeitssicherstellungsgesetz nicht Dritte. Dasselbe gilt für Fachkräfte für Arbeitssicherheit und für den Vertrauensmann der Schwerbehinderten.

Eine Person, die Funktionen sowohl innerhalb als auch außerhalb der verantwortlichen Stelle, d.h. als Dritte oder Beschäftigte eines Dritten, wahrnimmt, darf die Funktionskreise nicht verwischen. Daten, die ihr als Angehöriger der verantwortlichen Stelle zugänglich sind, darf sie nach dem Zweckbindungsgrundsatz nicht im Rahmen der anderen Funktionen nutzen (§ 4b Abs. 6, § 5, § 15 Abs. 3, § 16 Abs. 4, § 28 Abs. 5, § 29 Abs. 4, § 39 und § 40).


Für die Mitglieder von Organen der verantwortlichen Stelle, wie Vorstände, Aufsichtsräte, Verwaltungsräte und Geschäftsführer, sowie für Gesellschafter gilt grundsätzlich dasselbe wie für Beschäftigte. Sie stehen innerhalb der verantwortlichen Stelle, solange sie ausschließlich funktionsbezogen angesprochen werden. Gremien mit beratender Funktion, wie etwa Beiräte aus Sachverständigen und/oder Vertretern von Interessengruppen, sind meist nicht als Teil der verantwortlichen Stelle, sondern – ohne gesetzliche Grundlage – „bei“ dieser eingerichtet und sind demgemäß als Dritte anzusehen.


Der Datenschutzbeauftragte (§ 4f) ist ein Organ der internen Kontrolle der verantwortlichen Stelle. Er ist daher (in seiner Funktion) ebenfalls kein Dritter. Dies gilt auch für einen externen Beauftragten. Für ihn gilt das Verbot der Funktionsvermischung.


Die Datenschutzaufsichtsbehörde (§ 38) ist im Verhältnis zu einer der Aufsicht unterliegenden Stelle stets Dritter.

Organe der Mitbestimmung und andere Einrichtungen

Die Organe der betrieblichen Mitbestimmung sowie der Personalvertretung (einschließlich Gesamtbetriebsrat, Jugendvertretung, Wirtschaftsausschuss und Wahlvorstand) sind keine Personenvereinigung nach § 1 Abs. 2, sondern unselbstständiger Teil der verantwortlichen Stelle. Solange ihnen personenbezogene Daten im Hinblick auf ihre gesetzlichen Aufgaben zugänglich gemacht werden, greifen daher die Übermittlungsregeln des BDSG nicht ein; maßgeblich sind allein die Vorschriften des Arbeits- bzw. Personalvertretungsrechts. Auch soweit der Betriebs-/Personalrat selbst Daten speichert oder sonst verarbeitet, ist er nicht als eigenständige verantwortliche Stelle anzusehen. Der besonderen Stellung der Betriebs- und Personalräte ist dadurch Rechnung zu tragen, dass Auskunfts- und andere Kontrollansprüche der Betroffenen direkt an das Vertretungsorgan zu richten und unmittelbar von diesem zu beantworten sind, dass diese direkt mit der zuständigen Datenschutzkontrollinstanz verkehren können und dass der nach § 35 zu bestellende Datenschutzbeauftragte von seiner Verschwiegenheitspflicht gegenüber der Unternehmensleitung gezielt Gebrauch macht.


Vertretungen, die nicht bei der verantwortlichen Stelle, sondern auf einer anderen Ebene gebildet sind (Konzernbetriebsräte, Gesamtpersonalräte, Euro-Betriebsräte), sind im Verhältnis zu ihr jedoch Dritte. Die Übermittlung personenbezogener Daten ist zulässig, soweit sie durch die gesetzlichen Aufgaben und Befugnisse der Beteiligten und ihre Pflicht zum Zusammenwirken gedeckt ist. Gewerkschaftliche Vertrauensleute sind keine Organe der verantwortlichen Stelle, sondern Vertreter einer Gewerkschaft im Betrieb und damit Dritte.


Mitwirkungsorgane der Schulverwaltung (Schulsprecher, Klassenpflegschaft etc.) sind Teil der Stelle, bei der sie gebildet sind.


Betriebs- oder unternehmensbezogene Sozialeinrichtungen, wie Urlaubskassen, Betriebssparvereine, Kindergärten, Erholungsstätten usw., stehen außerhalb der speichernden Stelle, wenn sie rechtlich verselbstständigt sind, etwa als GmbH oder e.V..


Betroffener

Der Betroffene (Definition in § 3 Abs. 1) ist vom Begriff des Dritten ausdrücklich ausgenommen.

Beauftragte

Die Herausnahme der „Personen und Stellen, die … im Auftrag erheben, verarbeiten oder nutzen“, aus dem Begriff des Dritten dient dazu, die Anwendung der (als sachlich unangemessen erachteten) Übermittlungsvorschriften auszuschließen.


Die Regelung zielt darauf ab, die Weitergabe von Daten im Rahmen eines Auftragsverarbeitungsverhältnisses ganz allgemein von der Anwendbarkeit der Zulässigkeitsvorschriften freizustellen. Dies setzt voraus, dass auch die Vorschriften über die Zulässigkeit der Nutzung, welche hier begrifflich vorliegt, nicht angewendet werden. Der Gesetzgeber hat anlässlich der Einbeziehung der Nutzung in die Zulässigkeitsregelungen versäumt, eine generelle Ausnahme vom Verbot des § 4 Abs. 1 anzuordnen. Dies ist als planwidrige Lücke anzusehen, die durch eine sinngemäße Anwendung der in Abs. 8 Satz 3 enthaltenen Privilegierung zu schließen ist.


Näheres zum Begriff „Auftrag“ siehe Erläuterungen zu § 11. Auch soweit die Auftragsregelungen wegen gleichartiger Interessenlage entsprechend anzuwenden sind (z.B. Postdienstleister), ist der Auftragnehmer nicht als Dritter einzustufen.


Der Gesetzgeber erleichtert die Weitergabe an eine mit der Verarbeitung der Daten beauftragte Stelle aus der Erwägung heraus, dass der Empfänger in diesem Falle über die Informationen nicht selbstständig verfügen kann, sondern dass die Verfügungsgewalt und Verantwortlichkeit des Auftraggebers ungeschmälert bleiben. Insofern besteht gegenüber der Verarbeitung im eigenen Haus kein grundlegender Unterschied. Hieraus ergeben sich auch die notwendigen Begrenzungen. Entscheidend ist, dass die Daten bei der beauftragten Stelle genauso geschützt sind wie beim Auftraggeber. In tatsächlicher Hinsicht wird dies dadurch erreicht, dass der Auftraggeber die zu beauftragende Person oder Stelle sorgfältig auswählen und überwachen muss. In rechtlicher Hinsicht muss gesichert sein, dass die beauftragte Stelle und die dort beschäftigten Personen genauso dem Datenschutz unterstehen, wie es bei hausinterner Verarbeitung durch den Auftraggeber der Fall wäre. Dies ist im Inland ohne weiteres der Fall.


Mit der Umsetzung der EU-Datenschutzrichtlinie ist davon auszugehen, dass auch in deren gesamten Anwendungsbereich ein gleichwertiger Datenschutz besteht. Das Gesetz nimmt deshalb auch Auftragsverarbeiter, die „im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedsstaaten der Europäischen Union personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen“, vom Begriff des Dritten aus.


Ausdrücklich spricht das Gesetz nur aus, dass für die beauftragte Person oder Stelle im Verhältnis zur auftraggebenden Stelle kein Dritter ist. Dies gilt aber selbstverständlich auch in umgekehrter Richtung.


Die Unterscheidung zwischen Dritten und „Nicht-Dritter“ ist spezifisch datenschutzrechtlicher Natur. Bei der Anwendung der Geheimhaltungsbestimmungen, wie etwa der ärztlichen Verschwiegenheitspflicht oder des Steuergeheimnisses spielt sie keine Rolle. Dort wird meist auf das unbefugte Offenbaren abgestellt.


Beauftragte im Ausland

Die Regelung gilt auch für Beauftragte in einem Staat des Europäischen Wirtschaftsraums EWR, in dem die Datenschutzrichtlinie Kraft entsprechender Verträge in gleicher Weise umzusetzen ist wie in den Mitgliedsstaaten der EU.


Werden Organe oder Einrichtungen der Europäischen Union als Beauftragte tätig, so sind sie nicht als Dritte einzustufen, da auch insoweit Datenschutz nach Maßgabe der Richtlinie hergestellt wurde.


Sobald die Daten den hier umschriebenen Bereich verlassen, ist der Empfänger Dritter mit der Folge, dass die Übermittlungsschranken eingehalten werden müssen. Auf Sitz und Nationalität des Empfängers kommt es nicht an.


Die EU-Datenschutzrichtlinie verlangt nicht, die Weitergabe von Daten zur Auftragsverarbeitung, oder -nutzung in ein Drittland vom Übermittlungsbegriff (und damit von den Übermittlungsregelungen) auszunehmen. Auch eine Einstufung als Nicht-Dritter im Wege einer analogen Anwendung des § 3 Abs. 8 Nr. 3 ist nicht begründet. Es genügt, den unterschiedlichen. Gefährdungssituationen bei der Anwendung der Zulässigkeitsvorschriften Rechnung zu tragen. Dabei ist auch auf europäische Lösungen der Drittlandproblematik einzugehen, wie etwa die Anerkennung des Datenschutzes eines Drittlandes als angemessen oder die Verwendung anerkannter Standardvertragsklauseln oder Konzernregelungen.


Ausländische Zweigniederlassung

Die ausländische Zweigniederlassung der verantwortlichen Stelle ist im Gesetz nicht ausdrücklich als Dritter erwähnt. Daraus kann aber nicht geschlossen werden, dass der Gesetzgeber ausländische Zweigstellen inländischen gleichstellen möchte. Die Differenzierung bei den beauftragten Personen und Stellen lässt vielmehr den Willen des Gesetzgebers erkennen, personenbezogene Daten nicht aus dem harmonisierten europäischen Schutzbereich zu entlassen, ohne dass die gesetzlichen Voraussetzungen einer Übermittlung erfüllt sind. Ausländische Zweigstellen in Drittstaaten (außerhalb von EU und EWR) sind daher ebenfalls Dritte.


Mit sonstigen Geschäftsbesorgungen Beauftragte

Aus der Sonderregelung für die Datenerhebung, -verarbeitung und -nutzung im Auftrag kann geschlossen werden, dass Außenstehende in anderen Fällen auch dann Dritte bleiben, wenn sie, z.B. im Rahmen eines Werk- oder Geschäftsbesorgungsvertrages, für die verantwortliche Stelle tätig sind. Auch die Erteilung von Vollmachten hat keinen Einfluss auf die Stellung als Dritter. Es wäre mit dem Schutzzweck des Gesetzes unvereinbar, wenn ein Außenstehender nach Belieben „internalisiert“ werden könnte. Ein selbstständiger Handelsvertreter (§ 84 HGB) ist daher (im Gegensatz zu einem Angestellten) Dritter. Anders ist es nur, soweit er ausnahmsweise Daten im Auftrag verarbeitet.


 § 3 BDSG a.F. Kommentar Absatz 8
 § 3 BDSG a.F. Kommentar Absatz 8 Beispiele

Online-Kommentare

← § 3 BDSG a.F. Kommentar Absatz 7   § 3 BDSG a.F. Kommentar Absatz 9 →

← § 2 BDSG a.F. Kommentare   § 3a BDSG a.F. Kommentare →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.