Wer ist dieser Akteur?

Art. 4 Absatz 10 definiert einen Dritten als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.“ Mitarbeiter, die nicht befugt sind, personenbezogene Daten zu verarbeiten, zu denen sie Zugang erhalten haben, werden daher als Dritte definiert.

Beispiel:

Eine Forschungseinrichtung oder ein Lehrstuhl an einer Universität, die bzw. der für die Verarbeitung personenbezogener Daten verantwortlich ist, beauftragt einen Reinigungsdienst. Das Reinigungspersonal kann nun technisch auf diese personenbezogenen Daten zugreifen, wenn es die Schreibtische der Organisation reinigt, auf denen die personenbezogenen Daten gespeichert sein könnten. Auch wenn das Reinigungspersonal die Daten nicht verarbeitet und dies auch nicht will, kann es mit den Daten in Kontakt kommen. Der Reinigungsdienst und sein Personal werden als Dritte betrachtet. Um als Verantwortlicher zu gelten, müsste das Reinigungspersonal in diesem Beispiel beispielsweise die Daten fotografieren oder ins Internet stellen. Dies würde dann als Verarbeitung der Daten gelten, wodurch das Reinigungspersonal zu einem Verantwortlichen wird. Als Verantwortlicher muss die Organisation technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass Unbefugte – Dritte – keinen Zugriff auf personenbezogene Daten haben. Dazu gehört die sichere Speicherung der Daten in einer Weise, dass andere Stellen, hier Dritte, nicht in der Lage sind, auf die Daten zuzugreifen, weder versehentlich noch absichtlich.