Dritter (Art. 4 Nr. 10 DSGVO)
Wer Dritter im Sinne der DSGVO ist, warum es keinen Konzerndatenschutz gibt und wie sich Dritte von Beschäftigten, Auftragsverarbeitern und Zweigstellen abgrenzen.
Dritter ist nach Art. 4 Nr. 10 DSGVO jede Person oder Stelle, die außerhalb der verantwortlichen Stelle steht. Die Bedeutung des Begriffs liegt in der Rechtsfolge: Gibt der Verantwortliche Daten an einen Dritten weiter, handelt es sich um eine Übermittlung und damit um eine eigene Verarbeitung, die einer Rechtsgrundlage bedarf, nicht um eine bloße interne Nutzung.
Das Wichtigste in Kürze
- Dritter ist jede Person oder Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den unter deren unmittelbarer Verantwortung handelnden Personen (Art. 4 Nr. 10 DSGVO).
- Die Weitergabe an einen Dritten ist eine Übermittlung und damit eine rechtfertigungsbedürftige Verarbeitung, keine interne Nutzung.
- Es gibt keinen Konzerndatenschutz: Jede juristische Person eines Konzerns ist gegenüber den anderen ein Dritter.
- Beschäftigte, die in dienstlicher Funktion Daten erhalten, sind Empfänger, nicht Dritte; erst außerhalb ihrer Funktion oder bei missbräuchlichem Zugriff werden sie zu Dritten.
- Rechtlich unselbständige Zweigstellen sind Teil der verantwortlichen Stelle, nicht Dritte.
1. Überblick
1.1 Legaldefinition und Abgrenzung durch Ausschluss
Dritter ist nach Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (Art. 4 Nr. 10 DSGVO). Der Begriff arbeitet durch Ausschluss: Dritter ist, wer nach Abzug aller anderen Rollen übrig bleibt. Wer also nicht die betroffene Person, der Verantwortliche, der Auftragsverarbeiter oder eine unter deren Weisung handelnde Person ist, steht außerhalb der verantwortlichen Stelle und ist Dritter.
1.2 Rechtsfolge: Weitergabe ist Übermittlung
Die praktische Bedeutung des Begriffs liegt in der rechtlichen Einordnung der Datenweitergabe. Gelangen Daten an einen Dritten, liegt eine Übermittlung vor, also eine Unterform der Verarbeitung. Sie braucht eine eigene Rechtsgrundlage und unterliegt den vollen Anforderungen der DSGVO. Bleiben die Daten dagegen innerhalb der verantwortlichen Stelle, handelt es sich um eine bloße interne Nutzung in Form der Weitergabe, die nicht als Übermittlung an einen Dritten zu rechtfertigen ist.
1.3 Verhältnis zum Empfänger
Dritter und Empfänger sind nicht deckungsgleich. Empfänger ist jede Stelle, der Daten offengelegt werden, gleich ob es sich um einen Dritten handelt oder nicht. Jeder Dritte, der Daten erhält, ist also Empfänger; nicht jeder Empfänger ist aber ein Dritter. Beschäftigte, die in dienstlicher Funktion auf Daten zugreifen, sind Empfänger innerhalb der verantwortlichen Stelle, ohne deshalb Dritte zu sein.
2. Teil der verantwortlichen Stelle oder Dritter
Die zentrale Abgrenzung verläuft zwischen Personen und Stellen, die zur verantwortlichen Stelle gehören, und solchen, die außerhalb von ihr stehen. Wer innerhalb seiner Funktion für den Verantwortlichen oder den Auftragsverarbeiter handelt, ist nicht Dritter.
| Rolle | Einordnung | Begründung |
|---|---|---|
| Geschäftsführer, Vorstand, Aufsichtsrat | Teil der verantwortlichen Stelle | Handeln in Organ- bzw. Leitungsfunktion |
| Betriebsarzt, betriebliche Beauftragte | Teil der verantwortlichen Stelle | Handeln im Rahmen ihrer betrieblichen Funktion |
| Behörden- bzw. Dienststellenleiter | Teil der verantwortlichen Stelle | Handeln in Leitungsfunktion der Stelle |
| Beschäftigte in dienstlicher Funktion | Empfänger, nicht Dritter | Zugriff unter unmittelbarer Verantwortung des Verantwortlichen |
| Beschäftigte außerhalb ihrer Funktion | Dritter | Handeln als Privatperson, nicht für die Stelle |
| Beschäftigte bei Datenmissbrauch | Dritter | Eigenmächtiger, nicht erforderlicher Zugriff |
| Selbständiger Handelsvertreter | Dritter | Selbständiger Gewerbetreibender (§ 84 HGB) |
2.1 Beschäftigte und Datenmissbrauch
Beschäftigte, die in dienstlicher Funktion Daten erhalten, sind keine Dritten, sondern Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen handeln. Sie werden erst dann zu Dritten, wenn sie außerhalb ihrer Funktion tätig werden, also etwa als Privatperson, oder wenn sie eigenmächtig und ohne dienstliche Erforderlichkeit auf Daten zugreifen. Der missbräuchliche Zugriff verlässt den Rahmen der Befugnis und steht damit außerhalb der verantwortlichen Stelle.
2.2 Selbständiger Handelsvertreter
Ein selbständiger Handelsvertreter bleibt Dritter, auch wenn er für die verantwortliche Stelle tätig wird. Maßgeblich ist seine Selbständigkeit als Gewerbetreibender (§ 84 HGB): Er handelt nicht unter der unmittelbaren Weisung des Verantwortlichen, sondern als eigenständige Stelle.
3. Kein Konzerndatenschutz
Ein verbreitetes Missverständnis betrifft den Datenaustausch innerhalb von Konzernen. Die DSGVO kennt keinen Konzerndatenschutz: Alle Unternehmen eines Konzerns oder einer Organschaft sind zueinander Dritte, weil jede juristische Person, etwa eine AG oder GmbH, eine eigenständige verantwortliche Stelle ist.
Datenweitergaben zwischen Konzerngesellschaften sind Übermittlungen an Dritte und brauchen jeweils eine eigene Rechtsgrundlage. Die gesellschafts- und steuerrechtliche Verbundenheit ersetzt diese Rechtsgrundlage nicht.
Daran ändern weder die aktienrechtliche Verbundenheit (§ 15 AktG) noch der handelsrechtliche Konzernabschluss noch die steuerliche Organschaft (§ 14 KStG) etwas. Diese Konstruktionen verbinden die Unternehmen wirtschaftlich, rechnungslegungsbezogen oder steuerlich, heben aber die datenschutzrechtlich getrennte Verantwortlichkeit nicht auf. Die DSGVO erkennt zwar die Unternehmensgruppe als Phänomen an und gewährt ihr einzelne Erleichterungen, lässt die getrennte Verantwortlichkeit der einzelnen Gesellschaften aber unberührt.
4. Behörden und öffentliche Stellen
Im öffentlichen Bereich gilt ein funktionaler Stellenbegriff. Jede andere Behörde ist Dritter, auch wenn sie zum gleichen Rechtsträger gehört. Innerhalb einer Behörde können sogar funktional getrennte Ämter Dritte zueinander sein, wenn sie unterschiedlichen Geheimhaltungsregimen unterliegen.
| Amt / Stelle | Einschlägiges Geheimnis | Norm |
|---|---|---|
| Sozialamt | Sozialgeheimnis | § 35 SGB I |
| Steueramt | Steuergeheimnis | § 30 AO |
| Personalamt | allgemeines Datenschutzrecht | DSGVO |
Diese funktionale Trennung führt dazu, dass die Ämter im Verhältnis zueinander wie Dritte zu behandeln sind. Auch Eigenbetriebe sind im Verhältnis zu anderen Ämtern oder Betrieben Dritte. Beliehene, also Private, die hoheitliche Aufgaben wahrnehmen, sind gegenüber einer öffentlichen Stelle stets Dritte; das gilt etwa für die technische Prüfstelle bei der Hauptuntersuchung oder den Anwaltsnotar.
5. Sonderfall Zweigstelle
Eine rechtlich unselbständige Zweigstelle, Filiale oder Betriebsstätte ist Teil der verantwortlichen Stelle und kein Dritter. Gibt die Hauptstelle Daten an eine solche Zweigstelle weiter, liegt eine Datennutzung in Form der Weitergabe vor, keine Übermittlung. Das gilt so lange, bis die Zweigstelle selbst zur verantwortlichen Stelle wird, etwa weil sie ein eigenes Personalverwaltungssystem betreibt und über die Verarbeitung eigenständig entscheidet.
Maßgeblich ist die rechtliche Selbständigkeit, nicht die räumliche Trennung. Eine eigenständige juristische Person ist auch dann ein Dritter, wenn sie demselben Konzern angehört; eine unselbständige Filiale bleibt auch bei großer räumlicher Distanz Teil der verantwortlichen Stelle.
6. Betriebs- und Personalrat
Die Einordnung des Betriebs- und Personalrats ist umstritten. Nach der Rechtsprechung des Bundesarbeitsgerichts ist der Betriebsrat Teil der verantwortlichen Stelle. Das nationale Recht bestätigt diese Linie: Es bestimmt den Arbeitgeber (§ 79a BetrVG) beziehungsweise die Dienststelle (§ 69 BPersVG) als Verantwortlichen. Die Datenweitergabe an den Betriebs- oder Personalrat richtet sich daher nach den bereichsspezifischen Regelungen des Betriebs- und Personalvertretungsrechts.
Anders liegt es bei Vertretungen, die auf einer anderen Ebene gebildet wurden. Konzernbetriebsräte, Gesamtbetriebs- und Gesamtpersonalräte sowie Haupt- und Bezirkspersonalräte sind im Verhältnis zur einzelnen verantwortlichen Stelle stets Dritte. Gewerkschaftliche Vertrauensleute sind Vertreter der Gewerkschaft und damit ebenfalls stets Dritte.
Verantwortlicher
Art. 4 Nr. 7 DSGVO: Wer über Zwecke und Mittel entscheidet und die verantwortliche Stelle bildet.
Auftragsverarbeiter
Art. 4 Nr. 8 DSGVO: Verarbeitung im Auftrag, kein Dritter.
Empfänger
Art. 4 Nr. 9 DSGVO: Abgrenzung zum Dritten.
Verarbeitung
Art. 4 Nr. 2 DSGVO: Übermittlung als Verarbeitungsform.
Art. 4 DSGVO
Begriffsbestimmungen, Nr. 10 zum Dritten.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Empfänger (Art. 4 Nr. 9 DSGVO)
Empfänger ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Einwilligung (Art. 4 Nr. 11 DSGVO)
Art. 4 Nr. 11 DSGVO definiert die Einwilligung als freiwillige, bestimmte, informierte und unmissverständliche Willensbekundung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten.