Empfänger (Art. 4 Nr. 9 DSGVO)
Empfänger ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Der Begriff des Empfängers ist einer der zentralen Grundbegriffe der DSGVO. Er ist bewusst weit gefasst und umfasst alle Stellen, gegenüber denen personenbezogene Daten offengelegt werden, also auch Stellen innerhalb derselben Organisation. Ob eine Weitergabe zulässig ist, bestimmt sich nicht nach dem Empfängerbegriff selbst, sondern nach den allgemeinen Anforderungen an die Rechtmäßigkeit der Verarbeitung.
Das Wichtigste in Kürze
- Empfänger ist jede Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob sie Dritter ist oder nicht (Art. 4 Nr. 9 S. 1 DSGVO).
- Auch Auftragsverarbeiter und Beschäftigte, die unter unmittelbarer Aufsicht des Verantwortlichen handeln, sind Empfänger.
- Behörden, die Daten im Rahmen eines bestimmten Untersuchungsauftrags erhalten, gelten ausdrücklich nicht als Empfänger (Art. 4 Nr. 9 S. 2 DSGVO).
- Weitergabe an Empfänger ist nur zulässig, soweit Zweckbindung und Erforderlichkeit gewahrt bleiben, nicht bereits bei bloßer Nützlichkeit.
- Im Auskunftsrecht sind grundsätzlich die konkreten Empfänger zu nennen; eine Beschränkung auf Kategorien ist nur ausnahmsweise zulässig (EuGH, Urt. v. 12.01.2023, C-154/21).
1. Überblick
Art. 4 Nr. 9 DSGVO definiert den Empfänger als jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Die Vorschrift enthält in Satz 2 eine Ausnahme für bestimmte Behörden.
Der Begriff knüpft an den Vorgang der Offenlegung an. Offenlegung meint jede Bekanntgabe, Übermittlung, Bereitstellung oder sonstige Form der Zugänglichmachung, wie sie im Verarbeitungsbegriff des Art. 4 Nr. 2 DSGVO enthalten ist. Entscheidend ist, dass eine andere Stelle Zugang zu den Daten erlangt oder erlangen kann.
Die weite Fassung des Begriffs ist Absicht: Die DSGVO stellt an zahlreichen Stellen auf Empfänger ab (Art. 13 Abs. 1 lit. e, Art. 14 Abs. 1 lit. e, Art. 15 Abs. 1 lit. c, Art. 19, Art. 30 Abs. 1 lit. d DSGVO) und knüpft daran Informations-, Dokumentations- und Mitteilungspflichten. Diese Pflichten greifen unabhängig davon, ob die empfangende Stelle organisationsrechtlich ein Dritter ist oder zur selben Organisation gehört.
2. Reichweite des Begriffs
2.1 Empfänger und Dritter
Zwischen dem Empfänger und dem Dritten besteht ein Überschneidungsverhältnis: Jeder Dritte, dem Daten offengelegt werden, ist zugleich Empfänger. Umgekehrt ist nicht jeder Empfänger ein Dritter. Stellen, die zwar Daten erhalten, aber nicht als Dritte gelten, sind dennoch Empfänger.
Nicht Empfänger ist die betroffene Person selbst. Erteilt der Verantwortliche ihr Auskunft nach Art. 15 DSGVO, liegt darin keine Offenlegung an einen Empfänger im Sinne von Art. 4 Nr. 9 DSGVO.
2.2 Auftragsverarbeiter als Empfänger
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Er ist kein Dritter im Sinne von Art. 4 Nr. 10 DSGVO, wohl aber Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Entsprechendes gilt für Personen, die unter unmittelbarer Verantwortung des Verantwortlichen oder des Auftragsverarbeiters tätig sind und Zugang zu personenbezogenen Daten haben, etwa Beschäftigte, die bestimmte Systeme nutzen oder auf Daten zugreifen.
Greift ein Beschäftigter eigenmächtig und ohne Befugnis auf personenbezogene Daten zu, handelt er nicht mehr unter unmittelbarer Verantwortung des Verantwortlichen. In einem solchen Fall kann der unbefugt Zugreifende selbst als Empfänger anzusehen sein, was datenschutzrechtliche und ggf. strafrechtliche Konsequenzen auslöst.
2.3 Abgrenzungstabelle
Die folgende Übersicht stellt die wichtigsten Konstellationen gegenüber:
| Konstellation | Empfänger (Art. 4 Nr. 9)? | Dritter (Art. 4 Nr. 10)? |
|---|---|---|
| Externer Dienstleister ohne AVV | Ja | Ja |
| Auftragsverarbeiter (mit AVV) | Ja | Nein |
| Eigene Beschäftigte, befugt tätig | Ja | Nein |
| Eigener Beschäftigter, unbefugter Zugriff | Ggf. ja | Ggf. ja |
| Behörde im Untersuchungsauftrag | Nein (S. 2) | Nein |
| Betroffene Person selbst | Nein | Nein |
3. Behörden im Untersuchungsauftrag
Art. 4 Nr. 9 S. 2 DSGVO nimmt Behörden ausdrücklich vom Empfängerbegriff aus, wenn sie personenbezogene Daten im Rahmen eines bestimmten Untersuchungsauftrags nach Unions- oder mitgliedstaatlichem Recht erhalten. Die Datenübermittlung folgt dann nicht dem allgemeinen Offenlegungsregime, sondern unterliegt den für die betreffende Behörde geltenden datenschutzrechtlichen Vorschriften.
Erwägungsgrund 31 DSGVO erläutert den Hintergrund dieser Regelung: Erfasst sind insbesondere Steuer- und Zollbehörden, Finanzermittlungsstellen sowie Finanzmarktaufsichtsbehörden. Daten sollen an diese Stellen nur auf schriftlichen, begründeten und gelegentlichen Antrag übermittelt werden; die Übermittlung soll nicht ganze Dateisysteme erfassen oder zur Vernetzung von Dateisystemen führen (Erwägungsgrund 31 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-31/).
Die Privilegierung gilt nicht für jedwede behördliche Datenanforderung, sondern nur für Anfragen im Rahmen eines konkreten, gesetzlich definierten Untersuchungsauftrags. Auf eine allgemeine Aufsichts- oder Kontrolltätigkeit ohne spezifischen Untersuchungsauftrag ist die Ausnahme nicht anwendbar.
4. Kategorien von Empfängern
Die DSGVO verwendet neben dem Begriff „Empfänger" regelmäßig den Begriff „Kategorien von Empfängern". Damit ist die abstrakte Zusammenfassung gleichartiger Empfänger gemeint, etwa alle Abteilungsleiter eines Unternehmens, alle gesetzlichen Krankenversicherungen oder alle beauftragten IT-Dienstleister.
Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 lit. d DSGVO verlangt ausdrücklich nur die Angabe der Kategorien von Empfängern, nicht die namentliche Benennung jedes einzelnen Empfängers. Dieser abstrakte Ansatz trägt dem Umstand Rechnung, dass in einem laufenden Betrieb Empfänger wechseln können, ohne dass dies eine Pflicht zur Aktualisierung des Verzeichnisses auslöst.
Die proaktiven Informationspflichten nach Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO lassen ebenfalls die Angabe von Kategorien zu. Anders liegt es bei der reaktiven Auskunftspflicht (dazu unten 5.).
5. Empfänger im Auskunftsrecht
Das Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO verpflichtet den Verantwortlichen zur Mitteilung über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
Der EuGH hat klargestellt, dass die betroffene Person grundsätzlich Anspruch auf Nennung der konkreten Empfänger hat. Eine Beschränkung auf Empfänger-Kategorien ist nur ausnahmsweise zulässig: wenn die Identität der Empfänger noch nicht bestimmbar ist oder wenn das Auskunftsersuchen offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist (EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post, Rn. 46, 48).
Der EuGH begründet dies mit dem Transparenzgrundsatz aus Art. 5 Abs. 1 lit. a DSGVO: Nur die Kenntnis der konkreten Empfänger versetzt die betroffene Person in die Lage, ihre weiteren Rechte, insbesondere auf Berichtigung, Löschung und Einschränkung der Verarbeitung, gegenüber allen Beteiligten effektiv durchzusetzen. Das Auskunftsrecht bezieht sich dabei auf tatsächlich erfolgte Offenlegungen; noch ausstehende, geplante Weitergaben können in Kategorien beschrieben werden.
Für die Praxis folgt daraus: Wer Auskunftsersuchen schnell und vollständig beantworten will, sollte im internen Datenschutzmanagementsystem neben den Empfänger-Kategorien auch die konkreten Empfänger erfassen, selbst wenn das Verarbeitungsverzeichnis nach Art. 30 DSGVO nur Kategorien verlangt.
6. Weitergabe an Empfänger und Zweckbindung
Die Eigenschaft einer Stelle als Empfänger besagt nichts darüber, ob die Weitergabe zulässig ist. Jede Offenlegung gegenüber einem Empfänger ist eine Verarbeitung und muss auf eine Rechtsgrundlage gestützt werden.
Besondere Bedeutung hat dabei die Zweckbindung: Personaldaten dürfen etwa nur an Vorgesetzte weitergegeben werden, soweit dies für das Beschäftigungsverhältnis erforderlich ist; eine Weitergabe allein weil sie nützlich oder praktisch erscheint, reicht nicht aus. Erforderlichkeit und Verhältnismäßigkeit, nicht bloße Nützlichkeit, sind der Maßstab.
Nach Art. 19 DSGVO hat der Verantwortliche darüber hinaus alle Empfänger, denen personenbezogene Daten offengelegt wurden, über jede Berichtigung, Löschung oder Einschränkung der Verarbeitung zu unterrichten, sofern dies nicht unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert. Auf Verlangen der betroffenen Person ist ihr mitzuteilen, welche Empfänger benachrichtigt wurden.
Dritter (Art. 4 Nr. 10 DSGVO)
Abgrenzung zwischen Empfänger und Drittem.
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
Auftragsverarbeiter als Sonderfall des Empfängers.
Verarbeitung (Art. 4 Nr. 2 DSGVO)
Offenlegung und Übermittlung als Verarbeitungsformen.
EuGH C-154/21 Österreichische Post
Auskunftsrecht: konkrete Empfänger statt Kategorien als Regel.
Art. 4 Nr. 9 DSGVO
Legaldefinition Empfänger im Gesetzestext.
Erwägungsgrund 31 DSGVO
Behörden im Untersuchungsauftrag als Nicht-Empfänger.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
Auftragsverarbeiter ist jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die DSGVO begründet eigene Pflichten und eine eigenständige Haftung des Auftragsverarbeiters.
Dritter (Art. 4 Nr. 10 DSGVO)
Wer Dritter im Sinne der DSGVO ist, warum es keinen Konzerndatenschutz gibt und wie sich Dritte von Beschäftigten, Auftragsverarbeitern und Zweigstellen abgrenzen.