Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

08. April 2024

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages
2,00 (1)
Abgrenzung und Inhalte
Eine Abgrenzung der Verantwortlichkeiten ist kompliziert – eine Fehleinschätzung und die Verarbeitung personenbezogener Daten ist nicht DSGVO-konform. Der Europäische Gerichtshof (EuGH) und die Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ des Europäischen Datenschutzausschusses (EDSA) helfen bei der Orientierung.

Verantwortlicher und Auftragsverarbeiter

Keine Datenverarbeitung ohne wenigstens einen Verantwortlichen – so steht es in der Datenschutz-Grundverordnung (DSGVO). Diese unterscheidet zwei Datenverarbeiter: den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Was aber sind Verantwortliche und Auftragsverarbeiter?

Wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, ist Verantwortlicher. Wenn zwei oder mehr Verarbeiter die Entscheidung jeweils für sich herbeiführen, sind sie je eigenständig Verantwortliche. Treffen zwei oder mehr die Entscheidung gemeinsam, sind sie nach Art. 4 Nr. 7 DSGVO gemeinsam Verantwortliche bzw. Joint Controller. Ein Auftragsverarbeiter dagegen entscheidet nicht über Zweck und Mittel. Er erledigt, was der Verantwortliche ihm als Auftraggeber vorgibt und verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Art. 4 Nr. 8 DSGVO).

Somit sind vier Kombinationen von Datenverarbeitern möglich:

  1. Der Datenverarbeiter entscheidet allein über Zweck (Warum?) und Mittel (Wie?): Verantwortlicher (Art. 4 Nr. 7 DSGVO)
  2. Datenverarbeiter übermittelt an Datenverarbeiter. Jeder entscheidet für sich allein über Zweck und Mittel: zwei eigenständig und getrennt Verantwortliche (Art. 4 Nr. 7 DSGVO)
  3. Datenverarbeiter und Datenverarbeiter wirken zusammen. Beide entscheiden gemeinsam über Zweck und Mittel einer Datenverarbeitung: gemeinsam Verantwortliche/Joint Controller (Art. 4 Nr. 7 DSGVO)
  4. Datenv…
Andrea Gailus
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Andrea Gailus
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.