Wer ist Dritter gemäß Art. 4 Nr. 10 DSGVO?

Die EU-Datenschutz-Grundverordnung (DSGVO) kennt viele verschiedene Akteure: etwa die verantwortliche Stelle, Auftragsverarbeiter und betroffene Personen. Und dann gibt es da noch sogenannte „Dritte“.

Ausschlussverfahren – Wer ist kein Dritter?

Die gesetzliche Definition aus Art. 4 Nr. 10 DSGVO definiert Dritte negativ: demnach sind „Dritte“ alle natürlichen oder juristischen Personen, Behörde, Einrichtung oder andere Stelle außer:

• die betroffenen Personen,
• die Verantwortlichen,
• die Auftragsverarbeiter,
• Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Es handelt sich um eine Abgrenzung, alle anderen Stellen und Personen, die nicht zu den Ausnahme-Fallgruppen gehören, sind demnach Dritte.

Praktische Bedeutung – Wer ist also Dritter?

Nach Art. 4 Nr. 10 DSGVO ist ein Dritter jede Stelle, die nicht dem Verantwortlichen oder dem Auftragsverarbeiter zugeordnet ist und personenbezogene Daten erhält. Dies umfasst sowohl externe Dienstleister als auch andere Organisationen, die Daten im Rahmen von Verträgen oder gesetzlichen Pflichten verarbeiten.

Für die Verantwortlichkeit und Haftung gilt: Ein Dritter wird eigenständiger Verantwortlicher für seine Verarbeitung. Er oder sie muss sich den Datenschutz eigenständig gewährleisten.

Abgrenzung zu Auftragsverarbeiter

• Dritte tragen die volle Verantwortung für die Verarbeitung personenbezogener Daten und unterliegen allen Pflichten eines Verantwortlichen. Sie entscheiden eigenständig über Zweck und Mittel, die Übermittlung an sie erfordert eine Rechtsgrundlage.
• Auftragsverarbeiter handeln im Auftrag des Verantwortlichen, weisungsgebunden und genießen bestimmte Privilegien nach Art. 28 DSGVO.

Anschauungsfälle:

1. Zahlungsdienstleister: Wenn Webshops Zahlungsdienstleister wie Paypal oder Klarna verwenden, verarbeiten sie die Daten für eigene Zweck. Sie treffen Entscheidungen und sind nicht weisungsgebunden an den Webshop.
2. Externer Rechtsanwalt, der von einer anderen Partei als dem Verantwortlichen beauftragt wurde, gilt als Dritter, wenn er personenbezogene Daten erhält. Er handelt nicht im Auftrag des übermittelnden Unternehmens, sondern eigenständig für seinen Mandanten.

In beiden Fällen handelt es sich daher um Dritte.

Der Datenfluss als Unterscheidungsmerkmal: Die „Sphären-Theorie“

Um Dritte sicher von Auftragsverarbeitern abzugrenzen, hilft ein Blick auf den Datenfluss und die sogenannte Kontrollsphäre. Beim Datentransfer an einen Auftragsverarbeiter verlassen die Daten rechtlich gesehen nicht die Sphäre des Verantwortlichen. Der Dienstleister fungiert lediglich als „verlängerter Arm“ oder Hilfswerkzeug. Der Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur strikt nach Weisung verarbeiten.

Fließen Daten hingegen an einen Dritten, überschreiten sie eine Grenze. Der Dritte empfängt die Daten nicht nur, um sie zu verwalten, sondern um sie für eigene Zwecke zu nutzen (z. B. ein Inkassobüro, das eine Forderung übernimmt, oder die Post, die eigenständig Briefe zustellt). Sobald die Datenflüsse so gestaltet sind, dass der Empfänger die volle Verfügungsgewalt über das „Warum“ und „Wie“ der Verarbeitung erhält, handelt es sich also um eine Übermittlung an einen Dritten.

Fazit: Grenze der eigenen Organisationssphäre

Der Begriff des „Dritten“ markiert im Datenschutzrecht die Grenze der eigenen Organisationssphäre. Wer weder Verantwortlicher noch Auftragsverarbeiter oder betroffene Person ist, gilt in der Regel als Dritter. Während Daten z. B. innerhalb einer Auftragsverarbeitung weisungsgebunden fließen dürfen, stellt die Weitergabe an Dritte eine Datenübermittlung dar.

Häufig wird der Begriff der „Datenübermittlung“ also fälschlicherweise pauschal für jeden Datentransfer verwendet, doch rechtlich ist hier Vorsicht geboten. Eine echte Übermittlung, die zwingend einer eigenen Rechtsgrundlage bedarf, liegt nur bei der Offenlegung gegenüber Dritten vor, während die Weitergabe an Auftragsverarbeiter als interner Vorgang innerhalb der eigenen Sphäre gilt.