Verantwortlicher nach DSGVO – Bedeutung, Pflichten und Abgrenzung
Der Begriff „Verantwortlicher“ ist einer der zentralen Grundbegriffe der Datenschutz-Grundverordnung (DSGVO). Wer personenbezogene Daten verarbeitet, kommt an dieser Rolle nicht vorbei. Für Unternehmen, Behörden, Vereine und Selbstständige ist es entscheidend zu wissen, wann sie Verantwortlicher sind, welche Pflichten damit verbunden sind und wie sich diese Rolle vom Auftragsverarbeiter oder der gemeinsamen Verantwortung unterscheidet. Sobald eine Organisation für die Datenverarbeitung im Sinne der DSGVO verantwortlich muss sie für die Verarbeitung alle Pflichten aus der DSGVO erfüllen.
Definition: Wer ist Verantwortlicher?
Gemäß Art. 4 Nr. 7 DSGVO ist der Verantwortliche
„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Entscheidend ist also nicht die technische Durchführung der Datenverarbeitung, sondern die Entscheidungsmacht:
- Warum werden personenbezogene Daten verarbeitet (Zweck)?
- Wie erfolgt die Verarbeitung (Mittel)?
Wer diese Entscheidungen trifft, ist datenschutzrechtlich der Verantwortliche – unabhängig davon, ob die Verarbeitung selbst durchgeführt oder ausgelagert wird.
Typische Beispiele für Verantwortliche
In der Praxis sind Verantwortliche unter anderem:
- Einzelunternehmen
- Handwerksbetriebe
- Arztpraxen und Kanzleien
- Online-Shops und Webseitenbetreiber
- Vereine
- Öffentliche Stellen und Kommunen
Ein Beispiel: Ein Unternehmen erhebt Kundendaten zur Vertragsabwicklung. Auch wenn ein externer IT-Dienstleister die Daten in einer Cloud-Anwendung (SaaS) speichert, bleibt das Unternehmen Verantwortlicher, da es Zweck und Mittel festlegt.
Pflichten des Verantwortlichen nach DSGVO
Der Verantwortliche trägt die Hauptverantwortung für die Einhaltung der DSGVO. Zu den wichtigsten Pflichten zählen:
- Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
- Informationspflichten gegenüber Betroffenen (Art. 13 und 14 DSGVO)
- Umsetzung technischer und organisatorischer Maßnahmen (TOMs) nach Art. 32 DSGVO
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Sicherstellung der Betroffenenrechte (Auskunft, Löschung, Berichtigung etc.)
- Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO)
- Abschluss von Auftragsverarbeitungsverträgen, sofern Dienstleister eingebunden sind
- Benennung eines Datenschutzbeauftragten, wenn die Voraussetzungen erfüllt sind
Gerade für Unternehmen ist es sinnvoll, sich hierbei durch einen externen Datenschutzbeauftragten beraten zu lassen, um Haftungsrisiken zu vermeiden und die Prozesse, die für die Einhaltung der Datenschutzregeln benötigt werden so gut wie möglich in den Unternehmensalltag zu integrieren.
Abgrenzung: Verantwortlicher vs. Auftragsverarbeiter
Die Abgrenzung zum Auftragsverarbeiter ist eine der häufigsten Fragestellungen im Datenschutz.
Was ist ein Auftragsverarbeiter?
Ein Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen (Art. 4 Nr. 8 DSGVO). Er entscheidet nicht eigenständig über Zweck oder Mittel der Verarbeitung.
Typische Auftragsverarbeiter sind:
- IT-Dienstleister
- Cloud-Anbieter
- Lohnbuchhaltungsbüros
- Newsletter-Versanddienste
- Hosting-Provider
Zwischen Verantwortlichem und Auftragsverarbeiter muss zwingend ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen werden.
Wichtiges Abgrenzungskriterium
Wer über den Zweck der Datenverarbeitung entscheidet, ist Verantwortlicher.
Ein häufiger Fehler in der Praxis ist die falsche Einstufung von Dienstleistern als Auftragsverarbeiter, obwohl diese eigene Zwecke verfolgen. Dies kann zu erheblichen DSGVO-Verstößen führen.
Gemeinsame Verantwortung nach Art. 26 DSGVO
Neben der alleinigen Verantwortung kennt die DSGVO auch die gemeinsame Verantwortung.
Wann liegt gemeinsame Verantwortung vor?
Von gemeinsam Verantwortlichen spricht man, wenn zwei oder mehr Parteien gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. Die Verantwortung wird also geteilt.
Typische Beispiele:
- Kooperationen mehrerer Unternehmen
- Gemeinsame Marketing-Aktionen
- Social-Media-Auftritte (z. B. Facebook-Fanpages)
- Gemeinsame Datenplattformen
Pflichten bei gemeinsamer Verantwortung
Gemeinsam Verantwortliche müssen eine Vereinbarung nach Art. 26 DSGVO abschließen. Darin wird festgelegt:
- Wer welche DSGVO-Pflichten übernimmt
- Wer Ansprechpartner für Betroffene ist
- Wie Informationspflichten erfüllt werden
Wichtig: Betroffene können ihre Rechte dennoch gegenüber jedem Verantwortlichen geltend machen, unabhängig von der internen Aufgabenteilung.
Fazit: Warum die richtige Einordnung so wichtig ist
Die korrekte Einordnung als Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlich ist essenziell für die DSGVO-Compliance. Fehler führen nicht nur zu formalen Mängeln, sondern können Bußgelder, Haftungsrisiken und Vertrauensverlust nach sich ziehen.
Gerade für Unternehmen empfiehlt sich eine professionelle Datenschutzberatung, um Rollen, Verträge und Prozesse rechtssicher zu gestalten und dauerhaft DSGVO-konform zu bleiben.
