Wer ist „Dritter“ im Sinne des Art. 4 Nr. 10 DSGVO und was hat diese Rolle für datenschutzrechtliche Folgen?

Mit diesem, in der Praxis durchaus relevanten, Thema, befassen sich u.a. die aktuell veröffentlichten Leitlinien des EDSA (im Entwurf, 07/2020, pdf).

Die DSGVO selbst grenzt in Art. 4 Nr. 10 DSGVO im Grunde zu den übrigen Rollen nur negativ ab, wer nicht (!) Dritter ist. „Dritter“ ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle. Jedoch nicht:

• Die betroffene Person
• Der Verantwortliche
• Der Auftragsverarbeiter
• Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (vgl. Art. 29 DSGVO)

Zunächst stellt der EDSA klar, dass die im letzten Spiegelstrich erwähnten „Personen“ solche sind, die zu der juristischen Einheit des Verantwortlichen/Auftragsverarbeiters gehören. Also vor allem Mitarbeiter. Dann werden sie quasi zu dem Verantwortlichen/Auftragsverarbeiter hinzugerechnet. Dies gilt jedoch nur soweit, wie diese Mitarbeiter innerhalb ihres Arbeitgebers befugt sind, mit personenbezogenen Daten umzugehen. Der EDSA geht davon aus, dass Mitarbeiter, die unbefugt/weisungswidrig Daten verarbeiten, nicht in diese privilegierte Kategorie fallen, sondern „Dritte“ sind.

Nun stellt man sich aber die Frage: was ist denn nun dieser „Dritte“ datenschutzrechtlich? Treffen ihn irgendwelche Pflichten der DSGVO (diese spricht ja zumeist den Verantwortlichen oder Auftragsverarbeiter an). Wenn „Dritter“ nach Art. 4 Nr. 10 DSGVO nicht der Verantwortliche oder der Auftragsverarbeiter ist, was soll er dann sein, wenn er mit personenbezogenen Daten umgeht?

Der EDSA vertritt die Ansicht, dass der „Dritte“ grundsätzlich beide Rollen einnehmen kann, je nachdem, wie er in Bezug auf die Daten agiert. Um bei dem Beispiel des Mitarbeiters zu bleiben: verwendet er die Daten weisungswidrig für eigene Zwecke, so agiert er als Verantwortlicher (und ihn treffen alle DSGVO-Pflichten).

Die Figur des „Dritten“ ist also als vorgelagertes Abgrenzungskriterium (zu dem Verantwortlichen/Auftragsverarbeiter, der betroffenen Person und den berechtigten Personen innerhalb einer Organisation) zu verstehen, welches aus dem Blickwinkel des Verantwortlichen/Auftragsverarbeiters bewertet wird. In welcher Pflichtenrolle (Verantwortlicher oder Auftragsverarbeiter) der Dritte agiert, bemisst sich nach der jeweiligen Situation und wie der Dritte mit den Daten umgeht (insb., ob er selbst Zwecke und Mittel der Verarbeitung festlegt).

Meines Erachtens kommt man zu diesem Ergebnis auch durch eine sehr genaue Betrachtung des Wortlauts von Art. 4 Nr. 10 DSGVO. Dort steht immer „dem“ Verantwortliche oder „dem“ Auftragsverarbeiter. Damit bezieht sich der Gesetzgeber (abgrenzend zum Dritten) auf den aktuell bzw. bisher Verantwortlichen/Auftragsverarbeiter.