Zum Hauptinhalt springen
Datenschutz / DSGVO

Verantwortlicher

Der Verantwortliche ist die natürliche oder juristische Person, Behörde oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Der Verantwortliche ist nach Art. 4 Nr. 7 DSGVO die Stelle, die über das „Ob“, „Warum“ und „Wie“ einer Verarbeitung personenbezogener Daten entscheidet, also über deren Zwecke und Mittel. Maßgeblich ist die tatsächliche Entscheidungsmacht, nicht eine vertragliche Bezeichnung: Wer faktisch bestimmt, welche Daten zu welchem Zweck und mit welchen wesentlichen Mitteln verarbeitet werden, ist Verantwortlicher, unabhängig davon, ob er die Verarbeitung selbst durchführt oder durch Dritte ausführen lässt.

Den Verantwortlichen trifft das zentrale Pflichtenprogramm der DSGVO. Dazu gehören die Sicherstellung einer Rechtsgrundlage nach Art. 6 DSGVO, die Wahrung der Verarbeitungsgrundsätze des Art. 5 DSGVO einschließlich der Rechenschaftspflicht, die Erfüllung der Informations- und Betroffenenrechte (Art. 12 ff. DSGVO), die Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO), die Umsetzung technischer und organisatorischer Maßnahmen (Art. 24, 32 DSGVO) sowie die Meldung von Datenpannen (Art. 33, 34 DSGVO). Der Verantwortliche muss die Einhaltung dieser Pflichten nicht nur gewährleisten, sondern auch nachweisen können.

Vom Verantwortlichen abzugrenzen ist der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO), der personenbezogene Daten ausschließlich weisungsgebunden für den Verantwortlichen verarbeitet und nicht über die Zwecke entscheidet. Ihre Beziehung ist nach Art. 28 DSGVO durch einen Auftragsverarbeitungsvertrag zu regeln. Entscheiden mehrere Stellen gemeinsam über Zwecke und Mittel, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor, die eine transparente Vereinbarung über die Pflichtenverteilung erfordert. Die korrekte Rollenbestimmung ist Voraussetzung dafür, dass Haftung, Verträge und Betroffenenrechte richtig zugeordnet werden.

Rechtliche Grundlage

Art. 4 Nr. 7 DSGVO, Art. 5, 24, 28, 26 DSGVO

Praxisbeispiel

Ein mittelständisches Unternehmen betreibt einen Online-Shop und beauftragt einen externen Dienstleister mit dem Versand von Newslettern. Das Unternehmen entscheidet, welche Kundendaten zu welchem Werbezweck genutzt werden, und ist damit Verantwortlicher; der Newsletter-Dienstleister verarbeitet die Daten nur nach Weisung und ist Auftragsverarbeiter. Der Datenschutzbeauftragte des Unternehmens prüft, ob ein Art.-28-Vertrag besteht, ob eine Rechtsgrundlage für die Werbung vorliegt und ob das Verarbeitungsverzeichnis die Tätigkeit korrekt als eigene Verantwortlichkeit ausweist.

Häufige Fragen

Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung und trägt die Hauptverantwortung für die DSGVO-Konformität. Der Auftragsverarbeiter handelt ausschließlich weisungsgebunden im Auftrag des Verantwortlichen und entscheidet nicht über die Zwecke. Ihre Beziehung muss nach Art. 28 DSGVO vertraglich geregelt werden.
Ja. Bestimmen mehrere Stellen gemeinsam über Zwecke und Mittel der Verarbeitung, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor. Sie müssen in einer transparenten Vereinbarung festlegen, wer welche Pflichten erfüllt, insbesondere gegenüber den betroffenen Personen.
Der Verantwortliche muss eine Rechtsgrundlage sicherstellen, die Verarbeitungsgrundsätze des Art. 5 DSGVO wahren, Betroffenenrechte und Informationspflichten erfüllen, ein Verarbeitungsverzeichnis führen, geeignete technische und organisatorische Maßnahmen umsetzen und Datenpannen melden. Zudem muss er die Einhaltung dieser Pflichten nachweisen können.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Auftragsverarbeiter Auftragsverarbeitung (AVV) Gemeinsame Verantwortlichkeit (Joint Controller) Rechenschaftspflicht (Accountability) Verarbeitungsverzeichnis (VVT)
Zurück zum Glossar