Skip to content
  • PRO
  • Events
  • Login
  • Register
  • Home
      • Influencers
      • Lexology European Awards 2026
      • Client Choice Dinner 2026
  • Lexology Compete
  • About
  • Help centre
  • Blog
  • Lexology Academic
  • Lexology Talent Management
  • Login
  • Register
  • PRO
Lexology Article

Back Forward
  • Save & file
  • View original
  • Forward
  • Share
    • Facebook
    • Twitter
    • LinkedIn
    • WhatsApp
  • Follow
    Please login to follow content.
  • Like
  • Instruct

add to folder:

  • My saved (default)
  • Read later
Folders shared with you

Register now for your free, tailored, daily legal newsfeed service.

Find out more about Lexology or get in touch by visiting our About page.

Register

Das Konzept des Verantwortlichen und des Auftragsverarbeiters in der Praxis

Fabian Privacy Legal GmbH

To view this article you need a PDF viewer such as Adobe Reader. Download Adobe Acrobat Reader

If you can't read this PDF, you can view its text here. Go back to the PDF .

European Union, United Kingdom July 15 2019

1 Einleitung

Sind mehrere Personen an der Verarbeitung personenbezogener Daten beteiligt, stellt sich unweigerlich die Frage nach ihrer datenschutzbezogenen Rolle. Mit der Einführung der DS-GVO und den Bestimmungen über das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern in Artikel 28 und gemeinsam für die Verarbeitung Verantwortlichen in Artikel 26 bleiben die Schwierigkeiten bei der Bestimmung der richtigen Rolle der Parteien bestehen. Unternehmen stehen zunehmend vor der Herausforderung, ihre Rolle(n) zu bestimmen, insbesondere in komplexen Situationen und Geschäftsmodellen, in denen mehrere Parteien in verschiedenen Rechtsordnungen an der Verarbeitungstätigkeit beteiligt sind, jede mit unterschiedlichem Grad an Autonomie, Kontrolle und Verantwortung.  

Die Unterscheidung zwischen den verschiedenen Rollen ist entscheidend für die Zuweisung von Verantwortlichkeiten und insbesondere für die Bestimmung, welche Partei primär für die Einhaltung der Datenschutzgrundsätze, der Datenschutzrechte der betroffenen Personen und der Meldepflichten zuständig ist. Die Unterscheidung ist ferner wesentlich für die Bestimmung des anwendbaren Rechts im grenzüberschreitenden Kontext, der vertraglichen Vereinbarungen und der Aufteilung der Haftung für Schäden, die sich aus der unrechtmässigen Verarbeitung ergeben.

Nach der DS-GVO ist jede Person, die personenbezogene Daten verarbeitet, aus datenschutzrechtlicher Sicht entweder Verantwortlicher oder Auftragsverarbeiter. Sind mehrere Verantwortliche an der Verarbeitung personenbezogener Daten beteiligt, so sind sie je nach konkreter Situation entweder gemeinsam Verantwortliche oder unabhängige Verantwortliche. Die DS-GVO definiert in Artikel 4 die Begriffe “Verantwortlicher”, “Auftragsverarbeiter” und “Verarbeitung,” und in Artikel 26 das Konzept der “gemeinsam Verantwortlichen”:

Der “Verantwortliche” (auf Englisch «Controller») ist die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

“Gemeinsam Verantwortliche” (auf Englisch «Joint Controllers») sind Verantwortliche, die gemeinsam festlegen, welche Daten zu welchem Zweck und mit welchen Mitteln verarbeitet werden.

Der “Auftragsverarbeiter” (auf Englisch «Processor») ist die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet.

Der Begriff “Verarbeitung” umfasst alle Vorgänge oder Reihen von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert durchgeführt werden oder nicht, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung. 

Der Begriff der unabhängigen Verantwortlichen ist in der DS-GVO nicht definiert. Der Begriff, wie er in diesem Artikel verwendet wird, bezeichnet Verantwortliche, die anders als gemeinsam Verantwortliche nicht gemeinsam die Zwecke und Mittel für die Verarbeitung personenbezogener Daten festlegen, sondern jeweils für sich, für eigene und unterschiedliche Zwecke.

Dieser Artikel legt die wesentlichen Faktoren für die Bestimmung der Rollen der Parteien dar und untersucht die Beziehung zwischen Auftraggebern und Dienstleistern und deren Folgen.

2 Die wesentlichen Faktoren für die Bestimmung der Rolle(n) der Parteien

2.1 Die wesentlichen Faktoren

Die Hauptfaktoren für die Bestimmung, ob eine Partei ein Verantwortlicher, gemeinsam Verantwortlicher oder ein Auftragsverarbeiter ist, sind zum einen der Grad der Autonomie jeder Person bei der Bestimmung, für welche Zwecke, wie und in welcher Weise personenbezogene Daten verarbeitet werden und zum anderen der Grad der Kontrolle über den Inhalt personenbezogener Daten. Diese Feststellung ist immer faktisch und muss von Fall zu Fall unter Berücksichtigung jedes einzelnen Verarbeitungsvorgangs getroffen werden. 

In einem ersten Schritt muss geprüft werden, ob und wenn ja, in welcher Weise das Unternehmen personenbezogene Daten “verarbeitet”. Während der Begriff “Verarbeitung” alles abdeckt, was mit personenbezogenen Daten geschieht, gibt es Situationen, in denen ein Unternehmen, das personenbezogene Daten besitzt, weder als Verantwortlicher noch als Auftragsverarbeiter gilt, weil es die Daten nicht im Sinne des Gesetzes verarbeitet. Das UK Information Commissioner’s Office (ICO) liefert ein Beispiel2 , in welchem ein Kurierdienst von einem örtlichen Krankenhaus beauftragt wird, Umschläge mit Krankenakten von Patienten an andere Gesundheitseinrichtungen zu liefern. Während sich der Kurier im physischen Besitz der personenbezogenen Daten befindet, verarbeitet er die in den Briefen enthaltenen Daten nicht, da er diese nicht öffnen darf, um auf persönliche Daten oder andere Inhalte zuzugreifen. Die Verarbeitung personenbezogener Daten impliziert einen gewissen Zugang oder die Fähigkeit, die Verwendung der Daten selbst zu kontrollieren. Der physische Besitz der Briefe mit personenbezogenen Daten ist nicht ausreichend. Das Unternehmen, das sich für die Nutzung der Zustelldienste zur Übermittlung personenbezogener Daten entscheidet, ist in diesem Szenario der für die Verarbeitung Verantwortliche und ist dafür verantwortlich, die Anforderungen der DS-GVO zu erfüllen und insbesondere diese Dienste so zu organisieren, dass die personenbezogenen Daten angemessen geschützt sind und gegebenenfalls eine Geheimhaltungspflicht besteht. Entscheidend ist in diesem Fall, dass der Dienstleister keinen Plan, keine Absicht und kein Interesse an der Verarbeitung der personenbezogenen Daten hat. Der Postzustelldienst ist jedoch ein Verantwortlicher in Bezug auf personenbezogene Daten wie z.B. die Namen und Adressen der einzelnen Absender und Empfänger, die er zur Organisation der Zustellung oder Nachverfolgung besitzt.

2.2 Verantwortlicher

Ein Unternehmen ist ein Verantwortlicher, wenn es durch seine Führungskräfte und Mitarbeiter entscheidet, warum und wie personenbezogene Daten verarbeitet werden sollen, und daher die allgemeinen Zwecke und Mittel der Datenverarbeitung kontrolliert. In der Regel gilt die juristische Person als Verantwortlicher und nicht die einzelne Person, die im Namen der juristischen Person handelt.3 Die Fähigkeit zur Bestimmung des Zwecks und der Art der Verarbeitung kann sich aus rechtlichen Umständen, wie beispielsweise einer rechtlichen Verpflichtung, oder aus faktischen Umständen ergeben. Der Verantwortliche verarbeitet (oder beauftragt eine andere Person mit der Verarbeitung) personenbezogene Daten für seine eigenen Zwecke und bestimmt in der Regel: 

- die Initiierung einer Verarbeitungstätigkeit;

- welche personenbezogenen Daten erhoben werden sollen, von wem, aus welchen Quellen und für welche Zwecke;

wie die Daten verarbeitet werden sollen; - ob personenbezogene Daten an Dritte weitergegeben werden sollen und an wen; - ob ein oder mehrere Auftragsverarbeiter mit der Verarbeitung der Daten beauftragt werden sollen; - ob die Daten geändert, anonymisiert oder gelöscht werden sollen; und - wie lange die Daten gespeichert werden. Der Verantwortliche interagiert in der Regel direkt mit den betroffenen Personen, die davon ausgehen, dass das Unternehmen der Verantwortliche ist. Eine direkte Interaktion ist jedoch keine Voraussetzung und ist auch nicht immer gegeben, wie beispielsweise in einem Kontext klinischer Studien, in dem das Pharmaunternehmen als Sponsor der Studie im Allgemeinen die Identität der Studienteilnehmer nicht kennt. Der für die Verarbeitung Verantwortliche muss die Kontrolle über die Daten behalten, muss aber nicht unbedingt Zugang zu den personenbezogenen Daten haben oder diese verarbeiten können.4 Ein Unternehmen, das personenbezogene Daten aufgrund einer gesetzlichen Verpflichtung verarbeitet, gilt allgemein als Verantwortlicher und behält die Gesamtverantwortung für die jeweilige Verarbeitungstätigkeit. Dies kann beispielsweise eine Steuerbehörde oder ein Sozialversicherungsamt sein, oder ein Spezialist, der personenbezogene Daten gemäss seinen eigenen beruflichen Verpflichtungen verarbeitet, wie z.B. ein Rechtsanwalt oder ein Wirtschaftsprüfer. Erbringt jedoch beispielswiese ein Buchhalter weitere Dienstleistungen, die eine Verarbeitung personenbezogener Daten beinhalten, wie beispielsweise Lohn- und Gehaltsabrechnungsdienstleistungen, wird er zu einem Auftragsverarbeiter. 

2.3 Gemeinsam Verantwortliche Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung nach den oben genannten Kriterien festlegen, sind sie gemeinsam Verantwortliche. Der Wunsch der Parteien, gemeinsam verantwortlich zu sein, reicht jedoch nicht aus, um gemeinsame Verantwortlichkeit nach der DS-GVO anzunehmen. Die Sachverhalte und das Verhalten bei der Festlegung der Zwecke und Mittel sind entscheidend. Der Europäische Gerichtshof hat in seiner Entscheidung vom Juni 2018 (Wirtschaftsakademie) zusätzliche Klarheit geschaffen, indem er entschied, dass der Betreiber einer Facebook-Fanpage ein mit Facebook gemeinsam Verantwortlicher für die Verarbeitung personenbezogener Daten ist.5 In einer weiteren Entscheidung vom Juli 2018 (Jehovan) stellte der Europäische Gerichtshof weiter klar, dass eine Person oder Einrichtung, die für ihre eigenen Zwecke Einfluss auf die Verarbeitung personenbezogener Daten nimmt und sich dadurch an der Festlegung der Zwecke und Mittel dieser Verarbeitung beteiligt, als Verantwortlicher angesehen werden kann.6 Trotz dieser Entscheidungen besteht weiterhin die Unsicherheit, welches Mass an Mitbestimmung notwendig ist, um von einer gemeinsamen Verantwortlichkeit auszugehen, Diese muss von Fall zu Fall geprüft werden. 

2.4 Auftragsverarbeiter Ein Dienstleister ist ein Auftragsverarbeiter im Sinne der DS-GVO, wenn er (a) personenbezogene Daten (b) im Auftrag des Verantwortlichen und (c) auf Weisung des Verantwortlichen verarbeitet. Diese Voraussetzungen müssen erfüllt sein, damit der Dienstleister als Auftragsverarbeiter gilt. Andernfalls, und insbesondere, wenn der Dienstleister über eine gewisse Autonomie bei der Entscheidungsfindung oder der Kontrolle des Inhalts der Daten verfügt, ist er ein Verantwortlicher, gegebenenfalls ein gemeinsam Verantwortlicher. Dies bedeutet jedoch nicht, dass der Auftragsverarbeiter keine Entscheidungen treffen darf. Der Verantwortliche kann einige Entscheidungen im Zusammenhang mit den technischen und organisatorischen Fragen an den Auftragsverarbeiter delegieren, z.B. welche Hard- oder Software er verwenden soll, während er die wesentliche Fragen wie die Art der zu verarbeitenden personenbezogenen Daten, die Aufbewahrungsfrist oder die Zugriffsrechte bestimmt.7 Es stellt sich die Frage, inwieweit der Auftragsverarbeiter über die Art der Verarbeitung entscheiden kann, ohne selbst zum Verantwortlichen zu werden. Die DS-GVO stellt in Artikel 28 Absatz 10 fest, dass ein Auftragsverarbeiter zum Verantwortlichen wird, sobald er die Zwecke und Mittel der Verarbeitung bestimmt. In der Praxis bedeutet dies, dass der Auftragsverarbeiter, sobald er über die Anweisungen des Verantwortlichen hinausgeht, zu einem Verantwortlichen wird. Dies ist der Fall, wenn ein Dienstleister die Daten für eigene Zwecke verwendet, z.B. zur Durchführung von Analysen und zur Verbesserung seiner eigenen Dienste. 

Bei der Feststellung, ob es sich bei einem Dienstleister um einen Auftragsverarbeiter oder einen Verantwortlichen bzw. gemeinsam Verantwortlichen handelt, sollte Folgendes berücksichtigt werden: - der Handlungsspielraum, der dem Auftragsverarbeiter überlassen wird. Je detaillierter die Anweisungen sind, desto kleiner ist der Handlungsspielraum für den Dienstleister; - der Grad der Kontrolle, den der Verantwortliche ausüben möchte; - die Erwartungen der betroffenen Personen, wer der Verantwortliche ist. Dies hängt von den Informationen ab, die die betroffenen Personen vom Verantwortlichen erhalten.

Typischerweise - verarbeitet ein Auftragsverarbeiter die Daten auf der Grundlage eines Mandats des Kunden; - hat ein Auftragsverarbeiter keine Kontrolle über die Daten und entscheidet nicht, welche Daten zu erheben und wie sie zu verwenden sind; - hat ein Auftragsverarbeiter kein eigenes geschäftliches Interesse an der Verarbeitung der Daten; - ist es dem Auftragsverarbeiter vertraglich oder gesetzlich untersagt, die Daten für eigene Zwecke zu verwenden; - bietet der Auftragsverarbeiter dem Kunden technische und operative Unterstützung; - hat der Auftragsverarbeiter kein vertragliches Verhältnis mit den betroffenen Personen über die Verarbeitungstätigkeit; - wird der Auftragsverarbeiter von den betroffenen Personen nicht als der Verantwortliche betrachtet. Je nach den spezifischen Umständen, dem Grad der Anweisungen und der Kontrolle durch den Kunden, kann der Dienstleister ein Auftragsverarbeiter, ein gemeinsam oder unabhängiger Verantwortlicher sein.

3 Die Konsequenzen für jede Rolle

3.1 Das Unternehmen ist Verantwortlicher Wenn ein Unternehmen als Verantwortlicher qualifiziert ist, ist es für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss insbesondere über eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten verfügen und die DS-GVO-Anforderungen erfüllen, wie beispielsweise die Benachrichtigung der betroffenen Personen und die Gewährung von Auskunftsrechten. Das Unternehmen hat die Freiheit, einen oder mehrere Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen, vorbehaltlich spezifischer Weisungen bezüglich der Zwecke  und Verarbeitungsmethoden, während es die Kontrolle über die Daten behält und für diese verantwortlich ist. In diesem Fall muss das Unternehmen sicherstellen, dass mit den Auftragsverarbeitern ein Auftragsverarbeitungsvertrag gemäss Artikel 28 DS-GVO abgeschlossen wird.

Ein Verantwortlicher kann auch personenbezogene Daten an einen anderen Verantwortlichen weitergeben, ohne ein gemeinsam Verantwortlicher zu sein. Wenn beispielsweise ein Adressbroker personenbezogene Daten an ein Unternehmen verkauft, welches diese Daten für Kundenbeziehungen und Marketingzwecke verarbeitet, gelten beide Unternehmen als unabhängige Verantwortliche, da sie ihre Zwecke und Verarbeitungsmethoden getrennt voneinander festlegen. Die DS-GVO schreibt in diesem Fall keinen besonderen Vertrag vor, es sei denn, die Weitergabe personenbezogener Daten erfolgt grenzüberschreitend aus dem EWR in ein Land, das kein angemessenes Datenschutzniveau bietet; in diesem Fall müssen angemessene Garantien wie EU-Standarddatenschutzklauseln vorgesehen werden. Da jedoch jede Partei für die Einhaltung der DS-GVO und insbesondere des Grundsatzes der Zweckbindung verantwortlich und haftbar ist, wird empfohlen, eine Vereinbarung über den Datenaustausch abzuschliessen, in der die wichtigsten Verpflichtungen der Parteien festgelegt sind. 

Fabian Privacy Legal GmbH - Daniela Fábián Masoch

Back Forward
  • Save & file
  • View original
  • Forward
  • Share
    • Facebook
    • Twitter
    • LinkedIn
    • WhatsApp
  • Follow
    Please login to follow content.
  • Like
  • Instruct

add to folder:

  • My saved (default)
  • Read later
Folders shared with you

Filed under

  • European Union
  • United Kingdom
  • IT & Data Protection
  • Fabian Privacy Legal GmbH

Organisations

  • Information Commissioner's Office (UK)
  • European Economic Area

Laws

  • GDPR

Popular articles from this firm

  1. Bringing the EU AI Act to life in a multinational MedTech Organization *
  2. EU-Compliance: KI-gestützte medizinische Wearables am Schnittpunkt zwischen MDR, KIVerordnung, DSGVO und Data Act *
  3. The concept of controller and processor in practice *
  4. Umsetzung der KI-Verordnung der EU in einem multinationalen Medizintechnik-Unternehmen *
  5. Navigating EU compliance for AI-enabled wearable medical devices: MDR, AI Act, GDPR and Data Act interplay *
Interested in contributing?
Get closer to winning business faster with Lexology's complete suite of dynamic products designed to help you unlock new opportunities with our highly engaged audience of legal professionals looking for answers.
Learn more
Powered by Lexology

Professional development

  • Mastering Data Processing Agreements - Drafting, Negotiating & Mitigating Risk- Learn Live

    MBL Seminars | 4 CPD hours
    Online
    12 May 2026

  • Implementing & Maintaining Data Retention & Data Management Policies - Learn Live

    MBL Seminars | 1.5 CPD hours
    Online
    15 September 2026

  • Stay Interviews - Turning Potential Leavers into Loyal Employees - Learn Live

    MBL Seminars | 1.5 CPD hours
    Online
    6 March 2026
View all

Related practical resources PRO

  • How-to guide How-to guide: How to deal with a GDPR data breach (UK)
  • How-to guide How-to guide: How to transfer personal data lawfully outside the European Economic Area (EU)
  • How-to guide How-to guide: How to ensure compliance with the GDPR (UK)
View all

Related research hubs

GDPR

European Union

United Kingdom

IT & Data Protection

Resources
  • Daily newsfeed
  • Panoramic
  • Research hubs
  • Learn
  • In-depth
  • Lexy: AI search
  • Scanner
  • Contracts & clauses
Lexology Index
  • Find an expert
  • Reports
  • Research methodology
  • Submissions
  • FAQ
  • Instruct Counsel
  • Client Choice 2025
More
  • About us
  • Legal Influencers
  • Firms
  • Blog
  • Events
  • Popular
  • Lexology Academic
  • Lexology Talent Management
Legal
  • Terms of use
  • Cookies
  • Disclaimer
  • Privacy policy
Contact
  • Help centre
  • Contact
  • RSS feeds
  • Submissions
 
  • Login
  • Register
  • TwitterFollow on X
  • LinkedInFollow on LinkedIn

© Copyright 2006 - 2026 Law Business Research

Law Business Research