Wer ist dieser Akteur?
Art. 4 Absatz 9DSGVO definiert einen Empfänger als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, sind jedoch ausdrücklich von dieser Definition ausgenommen und gelten nicht als Empfänger (Art. 4 Absatz 9 Absatz 2DSGVO).
Jede andere Person wird als Empfänger betrachtet, wenn sie personenbezogene Daten erhält. Daher gelten ein Auftragsverarbeiter oder ein Dritter, die beide in diesem Dokument als Hauptakteure behandelt werden, als Empfänger, wenn ein Verantwortlicher personenbezogene Daten an sie übermittelt.[1]
Was sind seine Aufgaben?
Der Empfänger hat keine aktive Rolle, da er nur durch den Zugang zu den Daten definiert ist. Erhält eine Stelle personenbezogene Daten und verarbeitet sie, wird sie natürlich zum Verantwortlichen. Dies zeigt, dass sich die Art und die Rolle des Akteurs mit dem Zugang zu und der Verarbeitung von personenbezogenen Daten ändern.
Was sind seine Rechte und Pflichten?
Den Empfängern werden keine besonderen Rechte gewährt. Wenn personenbezogene Daten an einen Empfänger weitergegeben werden, muss der Verantwortliche die betroffenen Personen über den Empfänger informieren. Im Falle einer Berichtigung oder Löschung durch die betroffene Person muss der Empfänger über solche Änderungen informiert werden[2]. Wenn die Empfänger jedoch selbst Verantwortliche oder Auftragsverarbeiter sind, können sie je nach dem räumlichen Geltungsbereich der Verordnung als Verantwortliche oder Auftragsverarbeiter unter die Bestimmungen der DSGVO fallen.
Beispiel:
Eine Privatperson bestellt bei einem Online-Lebensmittellieferdienst, Unternehmen C, eine Mahlzeit. Das Unternehmen C, das die Webschnittstelle anbietet, ist jedoch nicht das Restaurant, das die Mahlzeit herstellt, sondern handelt auf Wunsch der Person, indem es die Bestellung an ein Restaurant weiterleitet und das Essen dann selbst ausliefert. Sowohl C als auch R gelten als für die Verarbeitung der personenbezogenen Daten Verantwortliche, die sie vornehmen, um ihre jeweiligen Dienste anzubieten. Da C die personenbezogenen Daten, d. h. Bestellinformationen und Adresse, an das Restaurant R weitergibt, wird R als Empfänger der Daten angesehen. In diesem Szenario gibt es keine Beziehung zwischen dem Verantwortlichen und dem Empfänger.[3]
Quellenangaben
1 Siehe https://edpb.europa.eu/sites/edpb/files/consultation/EDSA_guidelines_202007_controllerprocessor_en.pdf S.29 für dieses Beispiel. ↑
2Art. 19 DSGVOMitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung ↑
3Beispiel ähnlich dem Beispiel auf S. 29 des EDSA, Guidelines 07/2020 on the concepts of controller and processor in the DSGVO, 2020. Verfügbar unter: https://edpb.europa.eu/sites/default/files/consultation/EDSA_guidelines_202007_controllerprocessor_en.pdf (Letzter Zugriff: 05.10.2021) ↑