Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
08. April 2024

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages
2,00 (1)
drucken
Abgrenzung und Inhalte
Eine Abgrenzung der Verantwortlichkeiten ist kompliziert – eine Fehleinschätzung und die Verarbeitung personenbezogener Daten ist nicht DSGVO-konform. Der Europäische Gerichtshof (EuGH) und die Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ des Europäischen Datenschutzausschusses (EDSA) helfen bei der Orientierung.

Verantwortlicher und Auftragsverarbeiter

Keine Datenverarbeitung ohne wenigstens einen Verantwortlichen – so steht es in der Datenschutz-Grundverordnung (DSGVO). Diese unterscheidet zwei Datenverarbeiter: den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Was aber sind Verantwortliche und Auftragsverarbeiter?

Wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, ist Verantwortlicher. Wenn zwei oder mehr Verarbeiter die Entscheidung jeweils für sich herbeiführen, sind sie je eigenständig Verantwortliche. Treffen zwei oder mehr die Entscheidung gemeinsam, sind sie nach Art. 4 Nr. 7 DSGVO gemeinsam Verantwortliche bzw. Joint Controller. Ein Auftragsverarbeiter dagegen entscheidet nicht über Zweck und Mittel. Er erledigt, was der Verantwortliche ihm als Auftraggeber vorgibt und verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Art. 4 Nr. 8 DSGVO).

Somit sind vier Kombinationen von Datenverarbeitern möglich:

  1. Der Datenverarbeiter entscheidet allein über Zweck (Warum?) und Mittel (Wie?): Verantwortlicher (Art. 4 Nr. 7 DSGVO)
  2. Datenverarbeiter übermittelt an Datenverarbeiter. Jeder entscheidet für sich allein über Zweck und Mittel: zwei eigenständig und getrennt Verantwortliche (Art. 4 Nr. 7 DSGVO)
  3. Datenverarbeiter und Datenverarbeiter wirken zusammen. Beide entscheiden gemeinsam über Zweck und Mittel einer Datenverarbeitung: gemeinsam Verantwortliche/Joint Controller (Art. 4 Nr. 7 DSGVO)
  4. Datenv…
Andrea Gailus
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Andrea Gailus
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.
Verwandte Beiträge
01. November 2024
DP+
KI-Modelle und KI-Systeme: Eine Definition symbolisiert durch eine gezeichnete Frau, die auf einem Computer-Chip mit der Aufschrift AI sitzt
Bild: Khafizh Amrullah/iStock/Getty Images Plus

Definition und Klassifikation von KI-Modellen und -Systemen

Ratgeber
KI
01. November 2024
DP+
Die DSGVO sieht ein Verzeichnis der Verarbeitungstätigkeiten (VTT) vor. Dessen Aktualisierung ist jedoch nicht Aufgabe des DSB, sondern der jeweiligen Prozessverantwortlichen.
Bild: iStock.com/Galeanu Mihai

Verarbeitungsverzeichnis zeitgemäß neu denken

Praxisbericht
Cybersicherheit KI
01. November 2024
DP+
Mit einer neuen Verordnung hat die EU die Grundlage dafür geschaffen, eine digitale Brieftasche einzuführen. In dieser EU-ID-Wallet können Bürgerinnen und Bürger wichtige Daten und Dokumente speichern.
Bild: iStock.com/dem10

Einführung einer digitalen Brieftasche für EU-Bürger

Hintergrund
01. November 2024
DP+
Die KI-Verordnung (KI-VO) sieht verschiedene Rollen und damit einhergehend verschiedene Verantwortlichkeiten für den Datenschutz vor.
Bild: iStock.com/Atomic62 Studio

Verantwortlichkeiten und Rollen bei KI-Systemen

Ratgeber
KI
31. Oktober 2024
DP+
Terminbuchungstools und Datenschutz: Gemäß dem Need-to-know“-Prinzip dürfen nur die Beschäftigten Zugriff auf das Tool erhalten, für die dies erforderlich ist. Die zuständigen Beschäftigten müssen regelmäßig datenschutzrechtlich sensibilisiert und geschult werden.
Bild: iStock.com/AndreyPopov

Terminbuchungstools für Arztpraxen

Ratgeber
Drittland EuGH
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.