85
Nach Art. 4 Nr. 9 DSGVO ist ein Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Die prägenden Merkmale des Empfängers bestehen also darin, dass ihm gegenüber Daten offengelegt werden und es sich bei ihm nicht um einen Dritten i.S.d. Art. 4 Nr. 10 DSGVO handeln muss. Es wäre daher systematisch sinnwidrig, wenn eine Offenlegung, z.B. in Form der Übermittlung, auch gegenüber „Nicht-Empfängern“ erfolgen könnte191 oder gegenüber einem Dritten i.S.d. Art. 4 Nr. 10 DSGVO erfolgen müsste.
86
Nach hier vertretener Ansicht (siehe ausführlich unten Rn. 270ff.) sind Mitarbeiter des Verantwortlichen und andere ihm zurechenbare Personen und Stellen grundsätzlich keine Empfänger, weshalb der Verantwortliche ihnen auch nicht Daten i.S.d. Art. 4 Nr. 2 DSGVO offenlegt, wenn er ihnen Daten mitteilt.192 Mitteilungen eines Betriebes an seinen Betriebsrat stellen nach Auffassung des BAG allerdings eine Offenlegung (durch Übermittlung) dar, weil es sich beim Betriebsrat nach Ansicht des BAG insoweit um einen Empfänger i.S.d. Art. 4 Nr. 9 DSGVO handelt.193
87
Als weitere Voraussetzung einer Offenlegung verlangt Art. 4 Nr. 2 DSGVO, dass diese durch eine Übermittlung, eine Verbreitung oder eine andere Form der Bereitstellung erfolgt.194
aa) Übermittlung
88
Eine Übermittlung liegt vor, wenn personenbezogene Daten gezielt einem oder mehreren individuell bestimmten Adressaten mitgeteilt werden.195
89
Die Art und Weise der Übermittlung spielt insoweit keine Rolle, sodass die Übermittlung z.B. schriftlich, elektronisch, mündlich oder auch durch Übergabe eines Datenträgers erfolgen kann.196
90
Werden Daten, z.B. im Internet, zum Abruf oder zur Einsicht bereitgehalten, liegt noch keine Übermittlung vor, da es zu diesem Zeitpunkt (noch) an einer Mitteilung gegenüber einem individuell bestimmten Adressaten fehlt. Dies ist erst dann der Fall, wenn ein Nutzer diese Daten abruft oder einsieht (siehe auch unten Rn. 93).197 In diesem Zusammenhang ist davon auszugehen, dass die Grundsätze des Lindqvist-Urteils des EuGH unter der DSGVO fortgelten, auch wenn diese Entscheidung zur DSRl ergangen ist.198 Demnach liegt keine Übermittlung personenbezogener Daten in ein Drittland vor, wenn ein Verantwortlicher in der EU bzw. dem EWR personenbezogene Daten auf eine Webseite einstellt, die bei ihm oder einem Host-Provider in der EU/dem EWR gehostet wird und diese Webseite – und damit auch die auf ihr eingestellten personenbezogenen Daten – weltweit abgerufen werden können, also auch aus Drittstaaten außerhalb der EU/des EWR.199 Wie soeben erläutert, liegt zu diesem Zeitpunkt aber ohnehin noch keine Übermittlung vor. Allerdings müssen diese Grundsätze auch auf den Fall übertragen werden, dass ein Nutzer die Daten von der Webseite abruft bzw. diese einsieht – also eigentlich eine Übermittlung vorliegt –, da andernfalls die Erwägungen des EuGH praktisch gegenstandslos wären. Diese Grundsätze gelten aber nur für Übermittlungen in ein Drittland, also auf der sogenannten zweiten Stufe.
91
Große Bedeutung in der Praxis besitzt auch die Frage, inwieweit (rechtfertigungsbedürftige) Übermittlungen im Rahmen von Unternehmenstransaktionen vorliegen.200 Erfolgt die Transaktion im Rahmen eines Share Deals, findet keine Übermittlung statt, sofern die personenbezogenen Daten, die sich „im Besitz“ des von der Übernahme betroffenen Unternehmens befinden, nicht einer anderen Stelle (wie dem Erwerber) zugänglich gemacht werden – in diesem Fall ändern sich lediglich die „Eigentumsverhältnisse“ an dem Unternehmen.201 Gehen personenbezogene Daten im Rahmen eines Asset Deals an den Erwerber über, liegt hingegen eine Übermittlung vor.202 Datenweitergaben bei Umwandlungen von Unternehmen nach dem UmwG, wie z.B. einer Verschmelzung, einer Auf- bzw. Abspaltung oder einer Ausgliederung, stellen i.d.R. keine Übermittlungen dar, weil die Verfügungsbefugnis der hiervon betroffenen Daten im Rahmen der Gesamtrechtsnachfolge automatisch auf den neuen Rechtsträger übergeht.203 Diese Ausführungen gelten entsprechend auch für die Offenlegung ganz allgemein, da (auch) diese stets die Zugänglichmachung der Daten gegenüber anderen Stellen erfordert (siehe oben Rn. 83).204
bb) Verbreitung
92
Eine Verbreitung liegt – in Abgrenzung zur Übermittlung – vor, wenn personenbezogene Daten ungezielt einem unbestimmten Adressatenkreis mitgeteilt werden, der Adressat also gerade nicht individuell bestimmt ist, z.B. im Fall der Übertragung der Daten im TV, im Rundfunk oder durch Zeitungen/Zeitschriften.205
cc) Andere Form der Bereitstellung
93
Eine andere Form der Bereitstellung liegt vor, wenn Daten auf andere Art und Weise einer anderen Stelle zugänglich gemacht werden als durch eine Übermittlung oder eine Verbreitung, sodass diese Form der Offenlegung einen Auffangcharakter besitzt.206 So handelt es sich nach hier vertretener Ansicht z.B. um eine andere Form der Bereitstellung, wenn personenbezogene Daten, z.B. im Internet, zur Einsicht oder zum Abruf bereitgehalten werden, da zu diesem Zeitpunkt noch keine Mitteilung an einen individuell bestimmten Adressaten oder einen unbestimmten Adressatenkreis erfolgt (ist). Mithin liegt weder eine Übermittlung noch eine Verbreitung vor. Da die Daten aber anderen Stellen zugänglich sind, liegt eine andere Form der Bereitstellung vor. Erst wenn ein Nutzer Einsicht in diese Daten nimmt bzw. diese abruft, findet eine Übermittlung statt.207
94
Zu beachten ist, dass eine andere Form der Bereitstellung – ebenso wie die Übermittlung und die Verbreitung – erfordert, dass der Vorgang durch eine Aktivität der verarbeitenden Stelle erfolgt, sodass keine andere Form der Bereitstellung vorliegt, wenn ein Angreifer unbefugt in die Systeme der Stelle eindringt und Zugang zu dort gespeicherten Daten erlangt.208
l) Der Abgleich personenbezogener Daten (12. Alt.)
95
Unter Abgleich wird der Vergleich personenbezogener Daten einschließlich der Prüfung verstanden, ob diese Daten in zwei verschiedenen Systemen vorhanden und/oder inwieweit die verglichenen Daten identisch bzw. konsistent sind respektive welche Unterschiede sie aufweisen.209
m) Die Verknüpfung personenbezogener Daten (13. Alt.)
96
Als Verknüpfung wird die Zusammenführung von personenbezogenen Daten bezeichnet.210 Dies kann z.B. erfolgen, indem ein Datensatz zu einem anderen Datensatz hinzugespeichert wird. So kann z.B. das Nutzungsprofil einer betroffenen Person, das über einen Cookie A erstellt wurde, mit einem Nutzungsprofil dieser Person, das über einen Cookie B erstellt wurde, im Rahmen des sogenannten Cookie Matching zusammengeführt, also verknüpft werden, um gegenüber dieser Person (noch) passgenauere Werbung ausspielen zu können, die noch besser auf ihre Vorlieben hin abgestimmt ist, als dies mit nur einem Nutzungsprofil möglich