Compliance-Lexikon · DSGVO
Verantwortlicher
auch: Controller, Data Controller, fuer natuerliche Personen: Verantwortliche Person
Der Verantwortliche ist die natuerliche oder juristische Person, Behoerde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen ueber die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet -- und damit die primaere datenschutzrechtliche Verantwortung traegt.
Warum die Rolle des Verantwortlichen wichtig ist
Der Verantwortliche ist das Rechtssubjekt, gegenueber dem Betroffene ihre Rechte geltend machen, Aufsichtsbehoerden pruefen und Gerichte urteilen. Wer Verantwortlicher ist, traegt Bussgeld- und Haftungsrisiko. Gleichzeitig ist die korrekte Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter eine der haeufigsten Fehlerquellen in der DSGVO-Praxis -- mit direkter Auswirkung auf Vertragsgestaltung und Haftungsverteilung.
Wo die Rolle des Verantwortlichen gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 4 Nr. 7 | Definition des Verantwortlichen: Entscheidung ueber Zwecke und Mittel der Verarbeitung als Abgrenzungsmerkmal. |
| DSGVO | Art. 5 Abs. 2 | Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung der Grundsaetze der Datenverarbeitung nachweisen koennen. |
| DSGVO | Art. 24 | Verantwortung des fuer die Verarbeitung Verantwortlichen: Pflicht zur Umsetzung geeigneter TOMs und Nachweis der Konformitaet. |
| DSGVO | Art. 26 | Gemeinsam Verantwortliche: Wenn mehrere Stellen gemeinsam Zwecke und Mittel bestimmen, sind Rechte und Pflichten zu regeln. |
| DSGVO | Art. 82 | Haftung: Verantwortlicher haftet gegenueber Betroffenen fuer Schaeden aus Datenschutzverletzungen. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Falsche Einordnung -- Auftragsverarbeiter wird als Verantwortlicher behandelt oder umgekehrt
- Gemeinsame Verantwortlichkeit nicht erkannt und keine Art.-26-Vereinbarung geschlossen
- Rechenschaftspflicht nicht dokumentiert -- keine Nachweise fuer Konformitaet
- Datenschutzerklaerung benennt falschen oder unvollstaendigen Verantwortlichen
Verantwortlicher vs. Auftragsverarbeiter: Abgrenzung
Das Abgrenzungsmerkmal ist die Entscheidungsbefugnis: Wer ueber Zweck ("Warum werden die Daten verarbeitet?") und Mittel ("Wie und womit werden die Daten verarbeitet?") entscheidet, ist Verantwortlicher. Wer Daten nur nach Weisung des Verantwortlichen verarbeitet, ist Auftragsverarbeiter. Ein Cloud-Anbieter, der Daten ausschliesslich nach den Vorgaben des Kunden speichert, ist Auftragsverarbeiter. Eine Marketingagentur, die selbst ueber die Nutzung der Kundendaten entscheidet, koennte Mitverantwortliche sein.
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Wenn zwei oder mehr Stellen gemeinsam Zwecke und Mittel bestimmen, sind sie gemeinsam Verantwortliche. Typische Faelle: Konzernverbund mit gemeinsamer Kundendatenbank, Partnerunternehmen mit gemeinsamem CRM, Social-Media-Plattformen (Meta und Seitenbetreiber werden vom EuGH als gemeinsam Verantwortliche eingestuft). In diesen Faellen ist eine Vereinbarung nach Art. 26 DSGVO erforderlich -- kein AVV.
Naechste Ebene
Verantwortlicher in der Praxis: Abgrenzung, Pflichten und Evidence
Wie Verantwortlichkeit korrekt eingeordnet wird, welche Pflichten folgen und was Auditoren pruefen.