Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 205

270

Schwierigkeiten bereitet die Anwendung dieser allgemeinen Merkmale im Fall von internen Datentransfers, also Datentransfers innerhalb der (Organisation) des Verantwortlichen, z.B. von einem Mitarbeiter des verantwortlichen Unternehmens an einen anderen Mitarbeiter des Unternehmens. So geht aus Art. 4 Nr. 9 DSGVO nicht eindeutig hervor, ob auch Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen (wie z.B. Mitarbeiter, Abteilungen oder Funktionseinheiten), denen Daten durch den Verantwortlichen (z.B. durch andere Mitarbeiter des Verantwortlichen) offengelegt werden, Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sind.529

271

Dafür, dass auch solche internen Personen oder Stellen Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sein können, spricht, dass der Verordnungsgeber – anders als bei der Definition des Dritten in Art. 4 Nr. 10 DSGVO – Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen [...] befugt sind, die personenbezogenen Daten zu verarbeiten – zu denen u.a., aber nicht ausschließlich, auch Mitarbeiter des Verantwortlichen zählen (siehe unten Rn. 272) –, nicht von der Definition des Empfängers ausgenommen hat. Allerdings ist diese Argumentation nicht zwingend.

272

So sprechen dann auch die besseren Argumente gegen eine allgemeine Einbeziehung interner Personen oder Stellen des Verantwortlichen in die Definition des Empfängers – und zwar insbesondere der Wortlaut von Art. 4 Nr. 9 DSGVO und die Systematik der DSGVO. So lässt sich aus dem Wortlaut von Art. 4 Nr. 9 DSGVO schließen, dass ein Empfänger zumindest ein gewisses Maß an Eigenständigkeit haben muss, das bei internen Personen und Stellen nicht gegeben ist.530 Außerdem müsste der Verantwortliche andernfalls der betroffenen Person zumindest nach Art. 19 DSGVO grundsätzlich jeden Mitarbeiter bzw. jede Abteilung und Funktionseinheit innerhalb des eigenen Unternehmens mitteilen, der bzw. die diese Daten erhalten hat.531 Dies würde aber über den Sinn und Zweck von Art. 19 DSGVO hinausgehen, der darin besteht, ggf. auch Betroffenenrechte gegenüber dem jeweiligen Empfänger geltend machen zu können.532 Da aber derartige Rechte nur gegenüber Verantwortlichen bestehen und Mitarbeiter bzw. andere Stellen innerhalb des Verantwortlichen selbst grundsätzlich keine eigenen Verantwortlichen sind, wäre deren Angabe sinnwidrig. Daher sind Personen, Einrichtungen oder Stellen innerhalb (der Organisation) des Verantwortlichen (wie z.B. Mitarbeiter, Abteilungen, Funktionseinheiten oder auch unselbstständige Zweigstellen), denen Daten offengelegt werden, nicht als Empfänger i.S.d. Art. 4 Nr. 9 DSGVO anzusehen, soweit sie keine eigenen Zwecke verfolgen und daher selbst als eigenständige Verantwortliche anzusehen sind.533 Beim Betriebsrat handelt es sich nach Auffassung des BAG allerdings um einen Empfänger i.S.d. Art. 4 Nr. 9 DSGVO, wenn dieser vom Betrieb personenbezogene Daten erhält.534

273

Vor diesem Hintergrund ist auch eine ausdrückliche Ausnahme von Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen befugt sind, die personenbezogenen Daten zu verarbeiten, vom Begriff des Empfängers – wie sie in der Definition des Dritten in Art. 4 Nr. 10 DSGVO enthalten ist – zumindest im Hinblick auf Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen, die diesem zuzurechnen sind, entbehrlich. Als Teil des Verantwortlichen sind sie, wie soeben erläutert, ohnehin in Art. 4 Nr. 9 DSGVO von der Eigenschaft als Empfänger ausgenommen. Der Umstand, dass die in Art. 4 Nr. 10 DSGVO enthaltene Ausnahme in Art. 4 Nr. 9 DSGVO nicht enthalten ist, führt somit nur dazu, dass organisatorisch nicht in den Verantwortlichen eingebundene Personen und Stellen, wie z.B. Freelancer und Berater,535 Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sein können, aber keine Dritten i.S.d. Art. 4 Nr. 10 DSGVO.