aa) Unselbstständige Filialen, Zweigstellen und Betriebe
283
Umstritten ist in diesem Zusammenhang, inwieweit auch unselbstständige Filialen, Zweigstellen oder Betriebe, die zum Verantwortlichen bzw. Auftragsverarbeiter gehören, als dessen Teil anzusehen sind. Teilweise wird vertreten, dass unselbstständige Zweigstellen Dritte seien, wenn sie sich außerhalb der EU bzw. des EWR und damit außerhalb des Schutzbereichs der DSGVO befinden würden.547 Diese Auffassung basiert maßgeblich auf dem BDSG a.F., nach dem eine Übermittlung eine Kommunikation von Daten an einen Dritten voraussetzte und nur dann die Anforderungen an internationale Datentransfers zu beachten waren. Dem ist aber entgegenzuhalten, dass eine Übermittlung i.S.d. DSGVO nicht mehr zwangsweise eine Kommunikation von Daten an einen Dritten voraussetzt. So sind die Art. 44ff. DSGVO auch auf die Übermittlung an „Nicht-Dritte“, wie z.B. an Auftragsverarbeiter und nach herrschender Meinung wohl auch an unselbstständige Zweigstellen anwendbar.548 Deshalb müssen vor diesem Hintergrund unselbstständige Zweigstellen außerhalb der EU bzw. des EWR nicht mehr als Dritte qualifiziert werden, um den Schutz personenbezogener Daten dort sicherzustellen.549
bb) Mitarbeitervertretungen und betriebliche Datenschutzbeauftragte
284
Nach h.M. sind Mitarbeitervertretungen beim Verantwortlichen bzw. Auftragsverarbeiter selbst, wie z.B. Betriebsräte, als Teil des Verantwortlichen bzw. Auftragsverarbeiters anzusehen und damit keine „Dritten“ im Verhältnis zu dem Verantwortlichen bzw. Auftragsverarbeiter.550 Der deutsche Gesetzgeber hat dies (jedenfalls bis zu einer etwaigen Verwerfung durch den EuGH) im Hinblick auf Betriebsräte auch entsprechend in § 79a Satz 2 BetrVG kodifiziert, indem er geregelt hat, dass der Arbeitgeber datenschutzrechtlich verantwortlich ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Allerdings lässt sich diese Einordnung von Mitarbeitervertretungen durchaus in Zweifel ziehen (siehe ausführlich hierzu oben Rn. 179).
285
Inwiefern betriebliche Datenschutzbeauftragte als „Dritte“ anzusehen sind, ist umstritten. Nach hier vertretener Ansicht sind – wie nach dem BDSG a.F. – sowohl interne als auch externe Datenschutzbeauftragte als Teil des Verantwortlichen bzw. des Auftragsverarbeiters anzusehen, auch wenn diesen gegenüber dem Datenschutzbeauftragten im Hinblick auf diese Tätigkeit kein Weisungsrecht zusteht, weil sie eine interne Kontrollfunktion beim Verantwortlichen bzw. beim Auftragsverarbeiter wahrnehmen.551 Selbstständige Handelsvertreter sind hingegen als Dritte zu qualifizieren.552
cc) Unternehmen innerhalb einer Unternehmensgruppe
286
Verschiedene Unternehmen innerhalb einer Unternehmensgruppe gelten im Verhältnis zueinander als Dritte, soweit nicht eines der Unternehmen als Auftragsverarbeiter für ein anderes Unternehmen der Gruppe fungiert.553 So wurde in die finale Fassung der DSGVO kein echtes „Konzernprivileg“ mit aufgenommen, welches ggf. den Datenaustausch innerhalb einer Unternehmensgruppe hätte vereinfachen bzw. privilegieren können. Vielmehr enthält die letztendlich verabschiedete Fassung der DSGVO im ErwG 48 nur noch ein „kleines Konzernprivileg“, nach dem der Austausch personenbezogener Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, ein berechtigtes Interesse darstellt, welches die Verarbeitung nach Maßgabe von Art. 6 Abs. 1 lit. f DSGVO rechtfertigen kann. Etwas anderes gilt jedoch i.d.R. im Fall der Zuweisung datenschutzrechtlicher Verantwortlichkeiten innerhalb einer Unternehmensgruppe. Hier sind die beteiligten Unternehmen im Verhältnis zueinander i.d.R. nicht als Dritte zu qualifizieren (siehe ausführlich hierzu oben Rn. 232).
dd) Gemeinsam Verantwortliche
287
Verarbeiten zwei oder mehr Verantwortliche personenbezogene Daten als gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO, sind sie im Hinblick auf die Datenverarbeitung, für die sie als gemeinsam Verantwortliche agieren, zueinander nicht als Dritte i.S.d. Art. 4 Nr. 10 DSGVO zu qualifizieren. So ist der Verantwortliche nach Art. 4 Nr. 10 DSGVO ausdrücklich nicht als Dritter zu qualifizieren. Nichts anderes kann für gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO gelten. Hierfür spricht insbesondere auch die Systematik der DSGVO. So werden die einzelnen Beteiligten, die personenbezogene Daten als gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO verarbeiten, in Art. 26 Abs. 1 DSGVO (jeweils) als Verantwortliche bezeichnet. Als Verantwortliche sind sie aber gem. Art. 4 Nr. 10 DSGVO nicht als Dritte zu qualifizieren. Verarbeiten Verantwortliche personenbezogene Daten als gemeinsam Verantwortliche, sind aber insbesondere die Vorgaben und Pflichten aus Art. 26 DSGVO zu beachten (siehe ausführlich Art. 26 Rn. 72ff.).
c) Ausnahme: Personen unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters
288
Keine Dritten sind nach Art. 4 Nr. 10 DSGVO die Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Dies sind Personen, deren Befugnis zur Datenverarbeitung sich – insbesondere infolge des Organisations- und Direktionsrechts des Verantwortlichen bzw. des Auftragsverarbeiters – von der Befugnis eben dieses Verantwortlichen bzw. Auftragsverarbeiters zur Verarbeitung dieser Daten ableitet,554 z.B. indem ein Verantwortlicher einen Mitarbeiter zu einer bestimmten Datenverarbeitung anweist, zu der der Verantwortliche befugt ist.555
289
Allerdings erscheint die praktische Relevanz dieser Ausnahme eher gering zu sein. So sind Mitarbeiter und andere interne Stellen des Verantwortlichen bzw. des Auftragsverarbeiters (wie z.B. Abteilungen und Funktionseinheiten) nach hier vertretener Ansicht ohnehin diesem zuzurechnen und als dessen Teil keine Dritten.556 Dies gilt zumindest, solange sie die Daten zu dienstlichen Zwecken im Rahmen ihrer Funktion verarbeiten (siehe oben Rn. 177). Sollten sie Daten zu privaten Zwecken oder im Rahmen einer Nebentätigkeit verarbeiten, wären aber auch die Voraussetzungen der hier erläuterten Ausnahme nicht erfüllt. Auch Auftragsverarbeiter sind bereits gesondert von der Definition des Dritten ausgenommen.
290
Somit erlangt diese Ausnahme vor allem für externe Personen und Stellen Bedeutung, die zwar nicht in die interne Organisation des Verantwortlichen bzw. Auftragsverarbeiters eingebunden, diesem aber so unterstellt sind, dass sie seine Weisungen beachten müssen und sich ihre Befugnis zur Datenverarbeitung von ihm ableitet, so z.B. ggf. bei freien Mitarbeitern und externen Beratern.557 Diese sind dann nicht als Dritte anzusehen.
XII. Einwilligung (Nr. 11)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
a) Funktion der Einwilligung
291
Die Einwilligung ist eine von zwei Alternativen zur Rechtfertigung der Verarbeitung personenbezogener Daten. So folgt auch die DSGVO dem sogenannten Verarbeitungsverbot mit Erlaubnisvorbehalt. Demnach ist die Verarbeitung personenbezogener Daten grundsätzlich verboten und nur ausnahmsweise erlaubt – und zwar, wenn eine Rechtsvorschrift die Verarbeitung erlaubt oder wenn die betroffene Person in die Verarbeitung eingewilligt