Rz. 54
Nach den Vorgaben der DSGVO kann die Offenlegung durch "Übermittlung", "Verbreitung" oder "eine andere Form der Bereitstellung" erfolgen. Offenlegung meint in diesem Sinne grundsätzlich die die Bekanntgabe von gespeicherten oder durch Datenverarbeitung gewonnen personenbezogenen Daten an einen "Dritten". Dies kann auf unterschiedliche Weise durchgeführt werden. Die DSGVO nennt das Übermitteln und die Verbreitung. Die Offenlegung kann dabei sowohl durch Weitergabe von personenbezogen Daten durch den Verantwortlichen oder den Auftragsverarbeiter an einen Dritten als auch dadurch geschehen, dass einem Dritten die (von diesem auch genutzte) Möglichkeit eingeräumt wird, bereitgehaltene Daten einzusehen ("Lesenlassen") oder abzurufen.
Rz. 55
Nicht maßgeblich ist, in welcher Form Daten weitergegeben werden. So liegt eine Weitergabe nicht nur dann vor, wenn einem Dritten ein verkörperter Datenträger, z.B. eine CD, eine Chipkarte oder ein USB-Stick, ausgehändigt wird, sondern auch, wenn Daten auf jede andere Weise, z.B. mündlich, telefonisch, schriftlich, per SMS oder sonst elektronisch bekanntgegeben werden. Werden personenbezogene Daten veröffentlicht, stellt dies ebenfalls eine – besonders intensive – Offenlegung von Daten dar. Dabei macht es grundsätzlich keinen Unterschied, wo die Daten veröffentlicht werden, z.B. in Zeitschriften, Büchern, im Internet, am Schwarzen Brett eines Unternehmens bzw. einer Behörde oder im Rundfunk. Weitere Beispiele für Offenlegungen sind die Weitergabe kompletter Kunden-, Klienten- oder Patientenkarteien bei Veräußerung eines Unternehmens, einer Anwaltskanzlei oder einer Arztpraxis.
Rz. 56
Die Weitergabe von Daten oder das "Lesenlassen" derselben durch Mitarbeiter eines Verantwortlichen oder eines Auftragsverarbeiters stellt grundsätzlich keine Offenlegung von Daten im Sinne des BDSG dar, da die Daten nicht an einen Dritten gelangen. Dies gilt indes nicht ausnahmslos, wie ein Blick in Kapitel 5 DSGVO zeigt. Hier sind "Datenübermittlungen an Drittländer" geregelt und vorgesehen, dass auch Weitergaben innerhalb ein- und desselben Verantwortlichen als "Übermittlungen" anzusehen sind, wenn personenbezogene Daten "aus der Gemeinschaft heraus" in ein Drittland verbracht oder Teilen der verantwortlichen Stelle mit Sitz in einem Drittland Zugriff auf innerhalb der Union verarbeitete Daten gewährt wird. Auch die Übermittlung an einen Auftragsverarbeiter außerhalb der Union ist eine "Übermittlung" im Sinne der DSGVO, auch wenn der Auftragsverarbeiter – wie noch zu zeigen sein wird – grundsätzlich "wie ein Teil der verantwortlichen Stelle" behandelt wird. Wollte man den Übermittlungsbegriff in einem solchen Fall nur dann anwenden, wenn tatsächlich ein Dritter i.S.d. Art. 4 Nr. 10 DSGVO involviert ist, liefe die DSGVO jedenfalls dann ins Leere, wenn als Verantwortlicher – wegen einer bestehenden Konzernstruktur – nicht die in Europa befindliche "Niederlassung", sondern eine in einem Drittland belegene Konzernzentrale angesehen werden würde. In einem solchen Fall würden die Daten – obwohl die Verarbeitung tatsächlich in einem Drittland erfolgt – nicht "übermittelt" und Art. 44 ff. DSGVO liefen leer.