Verantwortliche nach Art. 4 Nr. 7 DSGVO: Übersicht & Pflichten

Die Frage, wer im Einzelfall als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO einzustufen ist, entscheidet regelmäßig über den gesamten datenschutzrechtlichen Rahmen. Wenn Sie diese Rolle falsch zuordnen, drohen erhebliche rechtliche und wirtschaftliche Nachteile. Denn der Verantwortliche trägt die rechtlichen Pflichten, muss für die Einhaltung der DSGVO einstehen und haftet gegenüber Aufsichtsbehörden und Betroffenen.

In der Praxis wird die Bedeutung dieser Rolle häufig unterschätzt. Oft wird angenommen, es reiche aus, wenn ein Unternehmen „irgendwie“ mit Datenschutz zu tun habe oder einen externen Dienstleister beauftrage. Doch entscheidend ist, wer die tatsächliche Kontrolle darüber hat, warum personenbezogene Daten verarbeitet werden und wie dies geschieht. Diese Weichenstellung wirkt sich auf sämtliche Folgefragen aus: von der Informationspflicht gegenüber Betroffenen über die technischen und organisatorischen Maßnahmen bis hin zur Rechenschaftspflicht gegenüber der Aufsichtsbehörde.

Gerade im digitalen Umfeld, in dem verschiedenste Akteure, Plattformen, Tools und Dienstleister ineinandergreifen, führt die Bestimmung des Verantwortlichen nicht selten zu Unsicherheiten. Dennoch ist sie unverzichtbar. Sie bildet die Grundlage jeder rechtskonformen Verarbeitung personenbezogener Daten und entscheidet darüber, wer letztlich rechtlich zur Verantwortung gezogen wird.

Je präziser Sie diese Rolle bestimmen, desto sicherer können Sie im Umgang mit personenbezogenen Daten agieren.

Übersicht:

Begriff des Verantwortlichen nach Art. 4 Nr. 7 DSGVO
Abgrenzung zu anderen Rollen
Wie wird festgestellt, wer Verantwortlicher ist?
Konstellationen aus der Praxis
Pflichten des Verantwortlichen
Risiken und Haftung
Gemeinsame Verantwortlichkeit in der Praxis
Besonderheiten bei internationalen Datenübermittlungen
Was Unternehmen jetzt tun sollten

Begriff des Verantwortlichen nach Art. 4 Nr. 7 DSGVO

Art. 4 Nr. 7 DSGVO enthält die zentrale Definition des Begriffs „Verantwortlicher“. Gemeint ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Diese Formulierung ist der Ausgangspunkt für jede rechtliche Bewertung: Erst wenn feststeht, wer die „Zügel in der Hand hält“, lässt sich klären, wer welche datenschutzrechtlichen Pflichten trägt.

Wichtig ist: Die DSGVO knüpft nicht in erster Linie an Verträge oder Bezeichnungen an, sondern an die tatsächlichen Entscheidungsbefugnisse. Verantwortlich ist die Stelle, die festlegt, warum personenbezogene Daten verarbeitet werden (Zweck) und in gewissem Umfang auch wie dies geschieht (Mittel). In bestimmten Konstellationen können Zwecke und Mittel durch Unionsrecht oder nationales Recht vorgegeben sein. In diesen Fällen kann das Gesetz selbst festlegen, wer als Verantwortlicher zu betrachten ist oder zumindest Kriterien vorgeben.

Die „Zweckbestimmung“ ist dabei der Kern: Wer entscheidet, zu welchem Ziel Daten erhoben, gespeichert, genutzt oder weitergegeben werden, übernimmt die zentrale Rolle. Die „Mittelbestimmung“ umfasst demgegenüber die maßgeblichen Rahmenbedingungen der Verarbeitung, zum Beispiel welche Datenkategorien verarbeitet werden, welche Personengruppen betroffen sind, welche Speicherfristen gelten sollen oder ob bestimmte Dienstleister eingesetzt werden. Nicht jede technische Detailentscheidung muss vom Verantwortlichen selbst getroffen werden, aber die grundlegenden Weichenstellungen gehen auf ihn zurück.

Diese Definition hat unmittelbare Auswirkungen auf Haftung und Pflichten. Der Verantwortliche muss unter anderem sicherstellen, dass eine rechtmäßige Rechtsgrundlage vorliegt, Informationspflichten gegenüber Betroffenen erfüllt werden, passende technische und organisatorische Maßnahmen eingerichtet sind und Betroffenenrechte wirksam umgesetzt werden können. Außerdem trifft ihn die Rechenschaftspflicht: Er muss nachweisen können, dass die Vorgaben der DSGVO eingehalten werden.

Gleichzeitig beeinflusst die Einordnung als Verantwortlicher das Risiko, von Aufsichtsbehörden in Anspruch genommen oder von Betroffenen auf Schadensersatz verklagt zu werden. Wer als Verantwortlicher gilt, steht im Fokus möglicher Prüfungen, Auskunftsersuchen und Beschwerden. Die präzise Bestimmung, wer diese Rolle innehat, ist daher nicht nur eine theoretische Pflicht, sondern wirkt sich sehr konkret auf die tägliche Praxis und das Haftungsrisiko eines Unternehmens aus.

nach oben

Abgrenzung zu anderen Rollen

Die Definition des Verantwortlichen entfaltet ihre Bedeutung erst vollständig, wenn man sie klar von anderen datenschutzrechtlichen Rollen abgrenzt. Gerade hier entstehen in der Praxis häufig Missverständnisse, die zu erheblichen Rechtsrisiken führen können.

Der Auftragsverarbeiter ist keine alternative Bezeichnung für den Verantwortlichen, sondern dessen Gegenstück. Ein Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Er darf im Rahmen dieser konkreten Verarbeitung keine eigenen Zwecke verfolgen, sondern setzt die Vorgaben des Verantwortlichen technisch und organisatorisch um. Soweit er Daten ausnahmsweise für eigene Zwecke nutzt (zum Beispiel zu eigenen Sicherheits- oder Nachweiszwecken), ist er für diese Verarbeitung insoweit selbst Verantwortlicher. Unternehmen greifen häufig auf externe Dienstleister zurück, zum Beispiel IT-Support, Hosting-Anbieter oder Newsletter-Dienstleister. Entscheidend ist dabei, dass der Dienstleister keine eigenen Zwecke verfolgt. In diesem Fall muss zwingend ein Vertrag zur Auftragsverarbeitung abgeschlossen werden, der die Rollen und Verantwortlichkeiten festlegt.

Von besonderer Bedeutung ist die Konstellation gemeinsamer Verantwortlicher. Diese liegt vor, wenn zwei oder mehr Akteure gemeinsam über Zwecke und Mittel entscheiden. Dabei muss keine vollständige Gleichverteilung vorliegen. Häufig übernimmt ein Partner die technische Umsetzung, während der andere die inhaltlichen Rahmenbedingungen festlegt. Auch Plattform-Betreiber treten oft als gemeinsame Verantwortliche mit Nutzern auf, etwa beim Betrieb bestimmter Social-Media-Angebote. In diesen Fällen ist eine transparente Vereinbarung erforderlich, welche die jeweiligen Pflichten regelt. Zudem bestehen besondere Informationspflichten gegenüber Betroffenen, da diese erfahren müssen, wie die gemeinsame Struktur funktioniert.

Demgegenüber steht die Rolle des Alleinverantwortlichen. Diese ist eindeutig, wenn ein Unternehmen oder eine Organisation sämtliche wesentlichen Entscheidungen über die Verarbeitung trifft, ohne dass ein anderer Akteur dabei mitbestimmt. Dies ist beispielsweise bei internen Personalprozessen oder bei klassischen Kundendatenbanken der Fall.

In der Praxis zeigen sich bestimmte Fehlannahmen, die immer wieder zu Problemen führen. Häufig wird angenommen, jeder Dienstleister sei automatisch Auftragsverarbeiter. Doch sobald ein Dienstleister eigene Zwecke verfolgt, eigene Angebote betreibt oder Daten für eigene Marktinteressen nutzt, kann dies zur Verantwortlichkeit führen. Ebenso wird oft übersehen, dass gemeinsame Verantwortung bereits dann entstehen kann, wenn Partner in Kooperation Projekte planen, ohne dies ausdrücklich festgelegt zu haben. Entscheidend ist nicht, wie sich die Beteiligten selbst sehen, sondern welche tatsächliche Einflussnahme stattfindet.

Wer hier frühzeitig Klarheit schafft, minimiert Risiken und schafft eine belastbare Grundlage für datenschutzkonformes Handeln.

nach oben

Wie wird festgestellt, wer Verantwortlicher ist?

Die Feststellung, wer im konkreten Fall Verantwortlicher ist, erfolgt nicht „am grünen Tisch“, sondern anhand der tatsächlichen Gegebenheiten. Maßgeblich ist, wer die inhaltliche Kontrolle über die Datenverarbeitung ausübt und damit die Richtung vorgibt.

Kriterien der tatsächlichen Entscheidungsgewalt

Im Mittelpunkt steht die Frage: Wer hat die tatsächliche Entscheidungsgewalt über die Verarbeitung? Dabei kommt es vor allem auf folgende Punkte an:

• Wer legt den Zweck der Verarbeitung fest? Also: Warum werden die Daten überhaupt erhoben, gespeichert oder weitergegeben?
• Wer entscheidet über wesentliche Mittel der Verarbeitung? Zum Beispiel darüber, welche Kategorien von Daten verarbeitet werden, welche Personengruppen betroffen sind, wie lange Daten gespeichert bleiben und an wen sie übermittelt werden.
• Wer trägt die wirtschaftliche Verantwortung für das Projekt oder den Prozess, in dem die Daten verarbeitet werden?
• Wer kann Vorgaben zur Datenverarbeitung ändern, stoppen oder neu ausrichten?

Je stärker eine Stelle diese Bereiche prägt, desto eher wird sie als Verantwortlicher einzuordnen sein. Technische Detailentscheidungen einzelner Mitarbeiter oder Dienstleister sind dagegen weniger ausschlaggebend, solange die grundlegenden Weichenstellungen von einer anderen Stelle vorgegeben werden.

Nicht die Vertragsbezeichnung ist ausschlaggebend

In vielen Fällen versuchen Unternehmen, die datenschutzrechtlichen Rollen über Verträge „festzuschreiben“. So wird etwa in einem Vertrag festgelegt, ein Dienstleister sei „reiner Auftragsverarbeiter“ oder man sei „nur technischer Betreiber“. Solche Bezeichnungen können zwar ein wichtiges Indiz sein, sie sind rechtlich aber nicht entscheidend.

Maßgeblich ist, was tatsächlich passiert:

• Wenn ein vermeintlicher Auftragsverarbeiter in Wahrheit eigene Zwecke verfolgt, kann er datenschutzrechtlich als Verantwortlicher einzustufen sein.
• Wenn Partnerunternehmen gemeinsam wesentliche Entscheidungen über Zwecke und Mittel treffen, kann eine gemeinsame Verantwortlichkeit vorliegen, auch wenn dies vertraglich nicht so bezeichnet ist.

Die DSGVO stellt somit auf die gelebte Praxis ab. Verträge sollten diese Realität widerspiegeln und nicht umgekehrt die rechtliche Bewertung „steuern“.

Praktische Prüf-Fragen für Unternehmen

Damit Sie in der Praxis besser einordnen können, wer Verantwortlicher ist, können Sie sich an einigen Leitfragen orientieren. Nützlich sind insbesondere folgende Überlegungen:

• Wer hatte die Idee zu der Datenverarbeitung und bestimmt, welchen Nutzen sie bringen soll?
• Wer entscheidet darüber, welche personenbezogenen Daten konkret benötigt werden und von wem sie erhoben werden?
• Wer entscheidet, welche Systeme, Tools oder Dienstleister eingesetzt werden dürfen?
• Wer legt fest, wie lange Daten aufbewahrt werden und wann sie gelöscht werden sollen?
• Wer trägt die rechtliche und wirtschaftliche Verantwortung, wenn etwas schiefgeht (zum Beispiel bei einer Datenschutzverletzung)?
• Könnte ein Beteiligter einseitig entscheiden, die Verarbeitung inhaltlich zu ändern oder zu beenden?

Je mehr dieser Fragen bei einer Stelle „landen“, desto deutlicher zeichnet sich deren Rolle als Verantwortlicher ab. Es kann sinnvoll sein, solche Fragen systematisch zu dokumentieren, etwa im Rahmen eines Datenschutzkonzepts oder einer Datenschutz-Folgenabschätzung.

Bedeutung interner Organisationsstrukturen

Nicht zu unterschätzen ist die Rolle der internen Organisation. In vielen Unternehmen existieren komplexe Strukturen mit Fachabteilungen, IT, Compliance, Konzernmutter und Tochtergesellschaften. Wer hier gut dokumentiert, welche Stelle welche Verantwortung trägt, verschafft sich einen Vorteil:

• Interne Richtlinien können klarstellen, welche Abteilung für welche Datenverarbeitungen die Verantwortung trägt.
• Ein Datenschutzbeauftragter kann auf dieser Grundlage beraten und auf Lücken hinweisen.
• Verantwortlichkeiten lassen sich in Verfahrensverzeichnissen und Datenschutzrichtlinien abbilden.
• In Konzernen ist es wichtig, sauber zu trennen, welche Gesellschaft jeweils Verantwortlicher ist und in welchen Konstellationen möglicherweise eine gemeinsame Verantwortlichkeit besteht.

Solche Strukturen ersetzen nicht die gesetzliche Definition, sie helfen aber dabei, diese konsequent in die Praxis zu übersetzen. Wer intern klar regelt, wer welche Entscheidungen trifft, kann nach außen deutlich besser begründen, warum eine bestimmte Stelle als Verantwortlicher anzusehen ist – und damit auch seine Rechenschaftspflicht deutlich besser erfüllen.

nach oben

Konstellationen aus der Praxis

In der Theorie ist der Begriff des Verantwortlichen relativ klar umrissen. Spannend – und für Sie rechtlich entscheidend – wird es aber dort, wo mehrere Akteure zusammenwirken. Gerade in typischen Alltagssituationen stellt sich dann die Frage: Wer ist Verantwortlicher, wer „nur“ Dienstleister und wo besteht möglicherweise eine gemeinsame Verantwortung?

Unternehmen und externe Dienstleister

Unternehmen binden heute eine Vielzahl externer Dienstleister ein: IT-Support, Hosting, Newsletter-Tools, CRM-Systeme, Marketing-Agenturen, Callcenter oder externe Buchführung. In vielen Fällen liegt hier ein Auftragsverarbeitungsverhältnis vor, wenn der Dienstleister keine eigenen Zwecke verfolgt, sondern ausschließlich im Interesse des Unternehmens handelt.

Typisch ist etwa:

• Ein Hosting-Anbieter, der die Unternehmenswebsite technisch betreibt
• Ein Newsletter-Dienst, der E-Mail-Kampagnen nach Weisung des Unternehmens versendet
• Ein IT-Dienstleister, der Wartung und Support an den Systemen des Unternehmens durchführt

In diesen Konstellationen bleibt in aller Regel das Unternehmen Verantwortlicher. Es entscheidet, zu welchem Zweck Kundendaten verarbeitet werden, welche Inhalte Newsletter haben, welche Daten gespeichert werden und wie lange dies geschieht. Der Dienstleister setzt diese Vorgaben um. Wichtig ist, dass Sie hier auf einen sauberen Auftragsverarbeitungsvertrag achten und kontrollieren, ob der Dienstleister die vereinbarten Sicherheitsmaßnahmen tatsächlich einhält.

Sobald ein Dienstleister aber beginnt, Daten für eigene Zwecke zu nutzen – etwa um eigene Produkte zu entwickeln, eigene Analysen für Marketingzwecke zu erstellen oder Daten mit anderen Kunden zu verknüpfen –, kann sich seine Rolle in Richtung eigener Verantwortlicher verschieben. An dieser Stelle lohnt ein genauer Blick in Vertragsunterlagen und Datenschutzhinweise.

Arztpraxis und Labor

Ein klassisches Beispiel aus dem Gesundheitsbereich ist die Zusammenarbeit zwischen Arztpraxis und Labor. Die Arztpraxis erhebt Patientendaten und veranlasst Untersuchungen. Das Labor führt die diagnostischen Leistungen durch.

Je nach Ausgestaltung werden beide Seiten als eigenständige Verantwortliche eingestuft:

• Die Arztpraxis ist Verantwortlicher für die Erhebung und Übermittlung der Patientendaten an das Labor sowie für die Nutzung der Untersuchungsergebnisse in der Patientenbehandlung.
• Das Labor ist Verantwortlicher für die eigenständige Verarbeitung der Daten im Rahmen der Laboruntersuchung und Dokumentation, häufig auch aufgrund gesetzlicher Vorgaben.

Es handelt sich häufig nicht um Auftragsverarbeitung, sondern um eine eigenständige, jeweils rechtlich geregelte Verarbeitung auf beiden Seiten. Das kann Auswirkungen auf Informationspflichten, Dokumentationsanforderungen und Betroffenenrechte haben. Gerade im medizinischen Bereich ist daher eine sorgfältige Rollenprüfung sinnvoll.

Online-Shops und Zahlungsdienstleister

Im E-Commerce arbeiten Online-Händler regelmäßig mit Zahlungsdienstleistern zusammen, etwa für Kreditkartenzahlungen, PayPal, Sofortüberweisung oder Buy-now-pay-later-Dienste.

In der Praxis sieht es häufig so aus:

• Der Online-Shop ist Verantwortlicher für die Verarbeitung der Kundendaten im Rahmen des Bestellvorgangs, der Vertragsabwicklung, des Versands und ggf. des Marketings.
• Der Zahlungsdienstleister ist eigenständiger Verantwortlicher für die Durchführung der Zahlung, Bonitätsprüfungen und ggf. Betrugsprävention.

Die Kundin oder der Kunde bewegt sich mit einem Klick gewissermaßen in ein zweites Rechtsverhältnis: vom Kaufvertrag mit dem Händler in das Zahlungsdienstleistungsverhältnis mit dem Zahlungsanbieter. Beide Akteure verfolgen jeweils eigene Zwecke, auch wenn sie eng zusammenarbeiten.

Für Sie als Online-Händler bedeutet das:

• Sie sollten Ihre Kundinnen und Kunden klar darüber informieren, dass bei Auswahl bestimmter Zahlungsmittel der jeweilige Zahlungsdienstleister eigenständiger Verantwortlicher ist.
• Sie sollten die Datenschutzhinweise der Zahlungsdienstleister kennen, um diese ggf. in Ihre Hinweise zu integrieren oder darauf zu verlinken.

Social-Media-Auftritte

Besonders sensibel ist die Lage bei Social-Media-Auftritten, etwa Unternehmensseiten bei Facebook, Instagram, LinkedIn oder ähnlichen Plattformen. Hier treffen regelmäßig die Plattformbetreiber und der Seitenbetreiber zusammen.

In vielen Konstellationen gehen Aufsichtsbehörden und Gerichte davon aus, dass eine gemeinsame Verantwortlichkeit vorliegt, wenn

• der Plattformbetreiber die technische Infrastruktur, das Tracking und die Auswertung zur Verfügung stellt
• und der Seitenbetreiber diese Infrastruktur bewusst nutzt, Inhalte bereitstellt und von den Statistiken profitiert.

Für Sie als Unternehmen bedeutet das:

• Sie gelten in vielen Fällen nicht nur als „Nutzer“, sondern werden datenschutzrechtlich als Mitverantwortlicher behandelt.
• Sie sollten prüfen, ob die Plattform Ihnen Informationen zur gemeinsamen Verantwortlichkeit zur Verfügung stellt und wie diese in Ihre Datenschutzhinweise einzubinden sind.
• Sie sollten sich bewusst machen, dass auch Sie in der Verantwortung stehen, Betroffenenrechte zu unterstützen und Anfragen nicht einfach an die Plattform weiterzureichen.

Cloud-Services

Nahezu jedes Unternehmen nutzt heute in irgendeiner Form Cloud-Dienste – vom einfachen Speicher über Collaboration-Tools bis hin zu komplexen SaaS-Lösungen.

Die Rollenverteilung kann dabei unterschiedlich ausfallen:

• Nutzt Ihr Unternehmen einen Cloud-Anbieter ausschließlich zur technischen Speicherung und Bearbeitung eigener Daten, liegt häufig ein Auftragsverarbeitungsverhältnis nahe.
• Bietet der Cloud-Anbieter hingegen eine eigene Plattform mit eigenständigen Funktionen (z. B. Analyse, Nutzerprofile, Marktplatzfunktionen) und legt selbst Zwecke fest, kann er zumindest teilweise als eigenständiger Verantwortlicher auftreten.

Entscheidend ist wieder die Frage: Wer bestimmt Zwecke und wesentliche Mittel der Verarbeitung? In der Praxis lohnt ein genauer Blick in:

• Leistungsbeschreibung
• Datenschutzbestimmungen des Anbieters
• Vertragsunterlagen (insbesondere, ob ein Auftragsverarbeitungsvertrag abgeschlossen wird)

Unternehmen im Konzernverbund

Besondere Herausforderungen birgt der Umgang mit personenbezogenen Daten innerhalb eines Konzerns. Hier stehen sich häufig mehrere Gesellschaften gegenüber, die rechtlich eigenständig sind, aber operativ eng zusammenarbeiten.

Typische Konstellationen sind:

• Eine Konzernmutter betreibt zentrale IT-Systeme, in denen Daten mehrerer Tochtergesellschaften verarbeitet werden.
• Es existiert ein gruppenweites CRM-System, auf das verschiedene Gesellschaften zugreifen.
• Personal- oder Buchhaltungsprozesse werden von einer Servicegesellschaft für mehrere Konzerngesellschaften erbracht.

Mögliche Konsequenzen:

• Jede Gesellschaft kann für „ihre“ Daten als eigenständiger Verantwortlicher fungieren.
• In bestimmten Konstellationen kommt eine gemeinsame Verantwortlichkeit mehrerer Gesellschaften in Betracht, wenn diese gemeinsam Zwecke und Mittel festlegen.
• In anderen Fällen kann eine Gesellschaft als Auftragsverarbeiter für eine andere handeln, etwa eine interne Servicegesellschaft für Abrechnungsleistungen.

Gerade in Konzernen ist es hilfreich, klar zu dokumentieren, welche Gesellschaft in welchem Prozess Verantwortlicher ist, wo gemeinsame Verantwortung besteht und wo Auftragsverarbeitung vorliegt. Diese Klarheit erleichtert den Umgang mit Betroffenenrechten, die Gestaltung von Verträgen innerhalb des Konzerns und die Kommunikation mit Aufsichtsbehörden.

Wenn Sie diese typischen Konstellationen bewusst durchdenken und für Ihr Unternehmen konkret zuordnen, schaffen Sie eine stabile Grundlage für datenschutzkonformes Arbeiten – und reduzieren Unsicherheiten, bevor sie sich zu rechtlichen Problemen entwickeln.

nach oben

Pflichten des Verantwortlichen

Die DSGVO verlagert den Fokus deutlich: Verantwortliche haben nicht nur die Pflicht, Datenschutzvorgaben einzuhalten, sondern müssen dies auch nachweisen können. Diese sogenannte Rechenschaftspflicht ist eine der zentralen Pflichten.

Für Sie bedeutet das: Es reicht rechtlich nicht aus, „ins Blaue hinein“ zu behaupten, alles laufe datenschutzkonform. Sie sollten vielmehr belegen können, dass

• eine geeignete Rechtsgrundlage besteht
• angemessene Sicherheitsmaßnahmen getroffen wurden
• Betroffenenrechte umgesetzt werden
• Prozesse etabliert und dokumentiert sind

Dieser Nachweis erfolgt in der Praxis vor allem über Konzepte, Richtlinien, Verfahrensverzeichnisse, Protokolle, Schulungsunterlagen und Verträge mit Dienstleistern. Wer hier frühzeitig Ordnung schafft, steht im Fall einer Anfrage durch die Aufsichtsbehörde deutlich besser da.

Umsetzung technischer und organisatorischer Maßnahmen

Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen (TOMs) treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Was angemessen ist, hängt vom konkreten Einzelfall ab, insbesondere von:

• Art, Umfang, Umständen und Zweck der Verarbeitung
• Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für die Rechte und Freiheiten der Betroffenen

In diese Maßnahmen fallen zum Beispiel:

• Zugriffskonzepte und Berechtigungssysteme
• Verschlüsselung und Pseudonymisierung
• Backup- und Wiederherstellungskonzepte
• Protokollierung und Kontrollmechanismen
• Schulungen und Sensibilisierung der Mitarbeiter
• klare Richtlinien (Passwortregelungen, Homeoffice, Umgang mit Datenträgern)

Wichtig ist, dass diese Maßnahmen nicht nur auf dem Papier existieren, sondern tatsächlich gelebt werden. Zudem sollten sie regelmäßig überprüft und an neue technische oder organisatorische Entwicklungen angepasst werden.

Datenschutz-Folgenabschätzung

Bei bestimmten Verarbeitungen ist der Verantwortliche gehalten, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Dies kommt vor allem bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen in Betracht, etwa bei:

• umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten
• systematischer Überwachung öffentlich zugänglicher Bereiche
• Profiling mit erheblichen Auswirkungen

Die DSFA dient dazu, Risiken systematisch zu identifizieren und geeignete Gegenmaßnahmen zu planen. Für Sie bedeutet das: Wenn Sie neue, riskante Projekte planen (zum Beispiel eine umfangreiche Tracking-Lösung, eine neue App oder eine umfassende Videoüberwachung), sollten Sie frühzeitig prüfen, ob eine DSFA erforderlich ist – und diese dann nachvollziehbar dokumentieren.

Dokumentationsanforderungen

Ein wesentlicher Baustein der Rechenschaftspflicht sind Dokumentationspflichten. Typischerweise gehören dazu:

• das Verzeichnis von Verarbeitungstätigkeiten, in dem die wichtigsten Datenverarbeitungsprozesse aufgeführt und beschrieben werden
• die Dokumentation der Rechtsgrundlagen, Speicherfristen und Empfänger
• Nachweise über Schulungen und interne Anweisungen
• Verträge zur Auftragsverarbeitung und Vereinbarungen über gemeinsame Verantwortlichkeit
• Entscheidungsgrundlagen für eingeführte Sicherheitsmaßnahmen
• Protokolle über Prüfungen und Aktualisierungen

Eine saubere Dokumentation wirkt oft unspektakulär, ist aber für eine belastbare Datenschutzorganisation unverzichtbar. Sie hilft nicht nur im Umgang mit Behörden, sondern auch intern, um Verantwortlichkeiten und Prozesse nachvollziehbar zu gestalten.

Umgang mit Datenschutzverletzungen

Verantwortliche müssen mit Verstößen und Sicherheitsvorfällen professionell umgehen. Dazu gehören insbesondere:

• die Pflicht, eine Verletzung des Schutzes personenbezogener Daten zu erkennen und intern zu bewerten
• die Frage, ob eine Meldung an die Aufsichtsbehörde erforderlich ist
• die Prüfung, ob Betroffene informiert werden müssen, wenn ein hohes Risiko für ihre Rechte und Freiheiten droht
• die Dokumentation des Vorfalls und der ergriffenen Maßnahmen

In der Praxis ist ein klar geregelter Incident-Response-Prozess hilfreich: Wer nimmt Meldungen entgegen? Wer bewertet das Risiko? Wer entscheidet über eine Meldung an die Aufsicht oder die Information von Betroffenen? Je besser Sie hier aufgestellt sind, desto eher behalten Sie im Ernstfall die Kontrolle.

Außenauftritt und Ansprechpartner

Schließlich betrifft die Verantwortlichkeit auch den Außenauftritt Ihres Unternehmens. Betroffene und Behörden sollen erkennen können, wer Ansprechpartner ist und wie sie ihre Rechte geltend machen können. Hierzu gehört insbesondere:

• klare Kontaktdaten des Verantwortlichen (z. B. im Impressum, in Datenschutzhinweisen, in Formularen)
• ggf. die Nennung des Datenschutzbeauftragten samt Kontaktmöglichkeit
• transparente Hinweise auf Betroffenenrechte und den richtigen Kommunikationskanal
• strukturierte interne Prozesse, damit Anfragen nicht versanden, sondern koordiniert beantwortet werden

Wenn Sie Betroffenenrechte ernst nehmen und Anfragen strukturiert bearbeiten, wirkt sich das erfahrungsgemäß positiv auf das Vertrauen in Ihr Unternehmen aus. Zugleich reduziert eine klare Zuständigkeit das Risiko, dass Fristen übersehen oder unvollständige Antworten gegeben werden.

In der Summe zeigt sich: Die Rolle des Verantwortlichen erschöpft sich nicht in einer Definition. Sie zieht einen ganzen Pflichtenkranz nach sich, der sowohl rechtliche als auch organisatorische und technische Aspekte umfasst. Wer diese Pflichten bewusst angeht und systematisch umsetzt, stärkt nicht nur die eigene Rechtsposition, sondern schafft auch eine verlässliche Grundlage für den Umgang mit personenbezogenen Daten.

nach oben

Risiken und Haftung

Die Einordnung als Verantwortlicher hat nicht nur organisatorische Folgen, sondern birgt auch spürbare rechtliche und wirtschaftliche Risiken. Wer als Verantwortlicher auftritt, steht im Zentrum möglicher Sanktionen – sowohl gegenüber der Aufsichtsbehörde als auch gegenüber Betroffenen und Vertragspartnern.

Bußgeldrisiken

Ein zentrales Risiko sind datenschutzrechtliche Bußgelder. Aufsichtsbehörden können bei Verstößen gegen die DSGVO Geldbußen verhängen, deren Höhe sich unter anderem nach folgenden Kriterien richtet:

• Art, Schwere und Dauer des Verstoßes
• Zahl der betroffenen Personen
• Grad des Verschuldens
• getroffene technische und organisatorische Maßnahmen
• vorherige Verstöße
• Kooperation mit der Behörde

Die Spannweite der möglichen Bußgelder ist groß. Bereits mittlere Beträge können ein Unternehmen spürbar treffen, insbesondere wenn zusätzlich Maßnahmen wie Auflagen, Anordnungen oder Veröffentlichungen von Entscheidungen hinzukommen.

Wichtig ist: Bußgelder knüpfen daran an, dass Sie als Verantwortlicher Ihre Pflichten nicht angemessen erfüllt haben, etwa weil Informationspflichten fehlen, Rechtsgrundlagen nicht sauber dokumentiert sind oder Sicherheitsvorkehrungen unzureichend waren. Eine gelebte Datenschutzorganisation reduziert dieses Risiko deutlich.

Haftung im Außenverhältnis

Neben der behördlichen Seite droht eine Haftung im Außenverhältnis gegenüber Betroffenen. Personen, deren Daten unrechtmäßig verarbeitet wurden, können unter bestimmten Voraussetzungen Schadensersatz geltend machen. Das betrifft sowohl materielle Schäden (zum Beispiel finanzielle Nachteile) als auch immaterielle Schäden, etwa wegen Kontrollverlusts über die eigenen Daten oder wegen persönlicher Beeinträchtigungen.

Als Verantwortlicher stehen Sie hier grundsätzlich in der ersten Reihe. Kommt es zu einer Datenschutzverletzung, wird häufig zunächst das Unternehmen in Anspruch genommen, das nach außen als Verantwortlicher auftritt. Dabei wird unter anderem geprüft:

• ob Sie ausreichende Schutzmaßnahmen getroffen hatten
• wie Sie auf den Vorfall reagiert haben
• ob Betroffene rechtzeitig informiert wurden

Wenn Sie mit anderen Verantwortlichen oder Auftragsverarbeitern zusammenarbeiten, können Ausgleichsansprüche zwischen den Beteiligten hinzukommen. Ihre Vertragsgestaltung und eine klare Rollenverteilung wirken sich damit direkt auf Ihre Haftungsposition aus.

Haftungsrisiken im Innenverhältnis

Die Rolle des Verantwortlichen spielt auch im Innenverhältnis eine Rolle. Innerhalb eines Unternehmens oder Konzerns stellt sich die Frage, wer für Datenschutzverstöße intern geradestehen muss. Typische Konstellationen sind:

• Geschäftsführung oder Vorstand stehen in der Pflicht, eine angemessene Datenschutzorganisation aufzubauen.
• Fachabteilungen müssen Prozesse so gestalten, dass sie mit den datenschutzrechtlichen Vorgaben vereinbar sind.
• Mitarbeiter, die gegen klare Vorgaben verstoßen, können arbeitsrechtlich zur Verantwortung gezogen werden.

In Konzernstrukturen stellt sich zusätzlich die Frage, ob eine einzelne Gesellschaft Kosten und Risiken trägt, die tatsächlich auf eine andere Gesellschaft zurückgehen. Wenn etwa eine zentrale Konzerngesellschaft IT-Systeme betreibt, während die operativen Gesellschaften nach außen als Verantwortliche auftreten, müssen interne Vereinbarungen klären, wie Haftung und Kosten verteilt werden.

Je klarer hier intern dokumentiert ist, wer welche Verantwortung trägt, desto eher lassen sich Streitigkeiten und unklare Haftungsfragen vermeiden.

Reputationsrisiken

Neben rechtlichen und finanziellen Folgen sind Reputationsschäden ein oft unterschätzter Faktor. Datenschutzverstöße werden zunehmend öffentlich diskutiert – in der Presse, in sozialen Medien und unter Geschäftspartnern. Schon die Nachricht über eine größere Datenpanne kann:

• das Vertrauen von Kunden, Patienten oder Nutzern beeinträchtigen
• bestehende Geschäftsbeziehungen belasten
• die Mitarbeiterzufriedenheit beeinflussen
• die Verhandlungsposition gegenüber Partnern schwächen

Gerade hier zeigt sich, wie wichtig ein verantwortungsvoller Umgang mit personenbezogenen Daten ist. Unternehmen, die transparent kommunizieren, Vorfälle professionell managen und erkennbar gewillt sind, Datenschutz ernst zu nehmen, können Reputationsschäden oft begrenzen.

Sie sollten sich daher bewusst machen: Datenschutz ist nicht nur ein Compliance-Thema, sondern auch ein Element Ihrer Außenwirkung und Ihrer Marke. Wer seine Rolle als Verantwortlicher ernst nimmt, reduziert nicht nur Haftungsrisiken, sondern stärkt langfristig das Vertrauen von Kunden und Geschäftspartnern.

nach oben

Gemeinsame Verantwortlichkeit in der Praxis

Gemeinsame Verantwortlichkeit ist längst kein Randthema mehr, sondern spielt in vielen digitalen Konstellationen eine Rolle. Immer dann, wenn mehrere Akteure gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden, rücken sie datenschutzrechtlich enger zusammen – mit entsprechenden Pflichten und Haftungsfolgen.

Wann liegt gemeinsame Verantwortung vor?

Gemeinsame Verantwortlichkeit liegt vor, wenn

• mehrere Parteien bewusst an derselben Verarbeitung mitwirken und die Zwecke und wesentlichen Mittel der Verarbeitung in einem abgestimmten Zusammenwirken festlegen
• sie dabei gemeinsame Zwecke verfolgen oder ihre Zwecke so eng miteinander verknüpft sind, dass die konkrete Verarbeitung ohne den Beitrag der jeweils anderen Seite so nicht stattfinden würde,
• und beide Seiten Einfluss auf wesentliche Mittel der Verarbeitung haben.

Dabei müssen die Aufgaben nicht identisch verteilt sein. Es reicht, wenn die Entscheidungen über Zwecke und Mittel in einer Weise verflochten sind, dass ohne den Beitrag des jeweils anderen die konkrete Verarbeitung so nicht stattfinden würde. Typisch sind etwa:

• gemeinsam betriebene Plattformen oder Portale
• Kooperationsprojekte im Marketing oder in der Forschung
• der Betrieb bestimmter Social-Media-Angebote

Wichtig: Es kommt nicht darauf an, ob die Beteiligten ihre Zusammenarbeit ausdrücklich als „gemeinsame Verantwortung“ bezeichnen. Entscheidend sind die tatsächlichen Abläufe und die gelebte Praxis.

Bestimmung der jeweiligen Rollen

Wenn gemeinsame Verantwortlichkeit vorliegt, heißt das nicht, dass alle Beteiligten „für alles“ gleichermaßen verantwortlich sind. Vielmehr gilt es, die konkreten Rollen und Zuständigkeiten zu bestimmen:

• Wer informiert Betroffene?
• Wer ist primärer Ansprechpartner bei Auskunfts- oder Löschungsbegehren?
• Wer kümmert sich um die IT-Sicherheit?
• Wer übernimmt die Kommunikation mit der Aufsichtsbehörde?

In der Praxis ist es hilfreich, die Zusammenarbeit Schritt für Schritt zu analysieren:

• Wer bringt welche Daten ein?
• Wer trifft welche inhaltlichen Entscheidungen?
• Wo werden die Daten technisch verarbeitet, ausgewertet oder gespeichert?
• Wer profitiert in welcher Weise von den Ergebnissen?

Auf dieser Grundlage lassen sich die jeweiligen Verantwortungsbereiche klarer zuordnen. Das ist wichtig, um später nicht darüber zu streiten, wer für welche Pflichtverletzung einzustehen hat.

Erforderlichkeit transparenter Vereinbarungen

Die DSGVO fordert, dass gemeinsame Verantwortliche eine Vereinbarung treffen, in der sie in transparenter Form festlegen, wer welche Verpflichtung übernimmt. Dazu gehört insbesondere:

• Verteilung der Informationspflichten gegenüber Betroffenen
• Zuständigkeit für die Umsetzung von Betroffenenrechten
• Regelungen zu technischen und organisatorischen Maßnahmen
• Koordination im Fall von Datenschutzverletzungen

Diese Vereinbarung muss nicht alle Details der Zusammenarbeit enthalten, sollte aber so konkret sein, dass sie im Ernstfall belastbar ist. Sie dient nicht nur als interne Grundlage, sondern kann auch gegenüber der Aufsichtsbehörde vorgelegt werden, um die Erfüllung der Rechenschaftspflicht zu unterstützen.

Praxisnahe Vorgehensweise:

• Bestehende Kooperationen daraufhin prüfen, ob gemeinsame Verantwortung vorliegen könnte
• Rollen und Abläufe strukturiert erfassen
• eine schlanke, aber klare Vereinbarung erarbeiten
• diese Vereinbarung mit der gelebten Praxis synchron halten und regelmäßig überprüfen

Pflicht zur Offenlegung gegenüber Betroffenen

Gemeinsame Verantwortlichkeit betrifft nicht nur das Innenverhältnis der Beteiligten. Auch Betroffene sollen nachvollziehen können, wer wofür zuständig ist. Deshalb ist im Rahmen der Datenschutzhinweise darzustellen,

• welche Parteien gemeinsam verantwortlich sind
• in welchen Grundzügen die Aufgabenverteilung aussieht
• wer der primäre Ansprechpartner für Betroffenenrechte ist.

Betroffene müssen nicht jede Vertragsklausel im Detail kennen, aber verstehen können, an wen sie sich mit ihren Anliegen wenden können und wie die Zusammenarbeit grundlegend organisiert ist.

Für Sie bedeutet das: Wenn Sie in einer Konstellation gemeinsamer Verantwortlichkeit handeln, sollten Sie Ihre Datenschutzhinweise entsprechend anpassen. Eine klare, verständliche Darstellung verhindert Missverständnisse, stärkt das Vertrauen und hilft, Anfragen zielgerichtet zu steuern.

Gemeinsame Verantwortlichkeit ist damit keine rein theoretische Konstruktion, sondern hat ganz konkrete Auswirkungen auf Ihre Abläufe, Ihre Dokumentation und Ihr Auftreten nach außen. Wer diese Struktur sauber erfasst und transparent macht, reduziert nicht nur rechtliche Risiken, sondern zeigt zugleich, dass Datenschutz ernst genommen wird.

nach oben

Besonderheiten bei internationalen Datenübermittlungen

Sobald personenbezogene Daten Grenzen überschreiten, wird die Rolle des Verantwortlichen noch anspruchsvoller. Denn Sie müssen nicht nur die „normalen“ Pflichten der DSGVO erfüllen, sondern zusätzlich sicherstellen, dass Datenübermittlungen in Drittstaaten auf einem tragfähigen rechtlichen Fundament stehen. Gerade hier schauen Aufsichtsbehörden häufig sehr genau hin.

Verantwortliche mit Sitz in Drittstaaten

Unternehmen mit Sitz außerhalb der EU verarbeiten dennoch häufig Daten von Personen in der EU – etwa über Online-Shops, Apps, Plattformen oder Support-Dienstleistungen. In diesen Konstellationen kann das ausländische Unternehmen trotz Sitz im Drittstaat Verantwortlicher im Sinne der DSGVO sein, wenn es:

• sein Angebot gezielt auf Personen in der EU ausrichtet (zum Beispiel durch Sprache, Währung, Versandoptionen), oder
• das Verhalten von Personen in der EU beobachtet, etwa durch Tracking, Profiling oder personalisierte Werbung.

Für Sie als europäisches Unternehmen bedeutet das zweierlei:

• Wenn Sie selbst Dienste eines Drittstaat-Unternehmens nutzen (zum Beispiel Cloud, Analyse-Tools, Marketing-Tools), sollten Sie prüfen, ob dieses Unternehmen als eigenständiger Verantwortlicher auftritt oder als Auftragsverarbeiter.
• Wenn Sie selbst Kunden oder Nutzer in Drittstaaten haben, müssen Sie darauf achten, dass Ihre eigenen Datenflüsse transparent bleiben und Übermittlungen in diese Länder datenschutzkonform gestaltet sind.

Rolle des EU-Vertreters

Verantwortliche (und Auftragsverarbeiter) ohne Niederlassung in der EU müssen nach Art. 27 DSGVO einen EU-Vertreter benennen, wenn sie im Sinne von Art. 3 Abs. 2 DSGVO Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten in der EU beobachten und keine der gesetzlichen Ausnahmen greift. Dieser Vertreter fungiert als Kontaktstelle für betroffene Personen und Aufsichtsbehörden innerhalb der EU. Die Idee dahinter: Auch Unternehmen ohne Niederlassung in der EU sollen erreichbar und greifbar sein.

In der Praxis heißt das:

• Der EU-Vertreter ist in der Regel ein Unternehmen oder eine Person in einem EU-Mitgliedstaat, die im Auftrag des Drittstaat-Verantwortlichen handelt.
• Die Kontaktdaten dieses Vertreters müssen in den Datenschutzhinweisen genannt werden.
• Betroffene und Aufsichtsbehörden können sich an diesen Vertreter wenden, um Auskünfte zu verlangen, Beschwerden zu kommunizieren oder sonstige Anliegen zur Datenverarbeitung vorzubringen.

Wichtig ist: Der EU-Vertreter ersetzt nicht die Verantwortung des eigentlichen Unternehmens. Verantwortlich bleibt weiterhin das Unternehmen im Drittstaat. Der Vertreter ist eine zusätzliche Kontakt- und Kommunikationsschnittstelle.

Herausforderungen bei globalen Plattformen

Besondere Schwierigkeiten ergeben sich bei globalen Plattformen – etwa weltweit agierenden Social-Media-Diensten, Cloud-Anbietern oder großen Software-Plattformen. Hier treffen verschiedene Ebenen aufeinander:

• Konzernstrukturen mit Mutter- und Tochtergesellschaften in unterschiedlichen Ländern
• zentrale IT- und Datenverarbeitungsstandorte, die häufig außerhalb der EU liegen
• komplexe Datenflüsse zwischen verschiedenen Regionen, Systemen und Diensten

Für europäische Unternehmen, die solche Plattformen nutzen, ergeben sich mehrere Herausforderungen:

• Sie müssen nachvollziehen können, wer in der Plattformstruktur Verantwortlicher ist, wer als Auftragsverarbeiter agiert und wo eventuell gemeinsame Verantwortlichkeit besteht.
• Sie benötigen verlässliche Informationen zur Frage, in welche Länder personenbezogene Daten übermittelt werden und auf welcher Grundlage dies geschieht (z. B. Angemessenheitsbeschlüsse, Standardvertragsklauseln, ergänzende Schutzmaßnahmen).
• Sie sollten prüfen, ob die vom Plattformbetreiber bereitgestellten Vereinbarungen und Zusatzdokumente (z. B. Datenverarbeitungsbedingungen, Auftragsverarbeitungsverträge, Klauseln zur gemeinsamen Verantwortlichkeit) zu Ihren eigenen Prozessen passen.

In der Praxis ist es häufig sinnvoll, die Zusammenarbeit mit globalen Plattformen bewusst zu dokumentieren:

• Welche Daten werden übermittelt?
• Zu welchen Zwecken erfolgt die Nutzung?
• Wer informiert die Betroffenen über diese Datenverarbeitung?
• Welche zusätzlichen Sicherheitsmaßnahmen wurden vereinbart (z. B. Verschlüsselung, Pseudonymisierung)?

Gerade bei internationalen Datenübermittlungen zeigt sich die zentrale Rolle des Verantwortlichen besonders deutlich. Sie müssen nicht jede technische Einzelheit im Detail steuern, sollten aber die wesentlichen Datenströme kennen, die rechtliche Grundlage nachvollziehbar festlegen und nach außen klar kommunizieren, wie mit den Daten verfahren wird. So behalten Sie auch in globalen Strukturen die Kontrolle über Ihre datenschutzrechtliche Verantwortung.

nach oben

Was Unternehmen jetzt tun sollten

Nachdem klar ist, welche Rolle der Verantwortliche im Datenschutz spielt, stellt sich die entscheidende Frage: Was bedeutet das ganz konkret für Ihren Unternehmensalltag? Es geht darum, Strukturen zu schaffen, die nicht nur theoretisch auf dem Papier stehen, sondern Ihre tägliche Arbeit tatsächlich tragen.

Strukturen überprüfen

Im ersten Schritt empfiehlt sich ein kritischer Blick auf Ihre bestehenden Abläufe. Hilfreich ist dabei ein systematisches Vorgehen:

• Welche Datenverarbeitungen gibt es in Ihrem Unternehmen (z. B. Kundenverwaltung, Newsletter, Bewerbungen, Tracking, Videoüberwachung, Social Media)?
• Wer entscheidet jeweils über Zwecke und wesentliche Mittel dieser Verarbeitungen?
• Wo sind externe Dienstleister, Konzernunternehmen oder Plattformbetreiber eingebunden?

Ziel ist, für jede wesentliche Verarbeitung klar zuzuordnen: Wer ist Verantwortlicher, wer Auftragsverarbeiter, wo liegt ggf. gemeinsame Verantwortlichkeit? Diese Analyse bildet die Grundlage aller weiteren Schritte.

Verantwortlichkeiten schriftlich festhalten

Im zweiten Schritt sollten Sie diese Ergebnisse schriftlich festhalten. Das schafft Klarheit – intern wie extern. Geeignete Instrumente sind zum Beispiel:

• interne Richtlinien zur Zuständigkeit für bestimmte Prozesse
• Zuordnungstabellen oder Organigramme, in denen Verantwortliche und Beteiligte benannt werden
• Ergänzungen im Verzeichnis von Verarbeitungstätigkeiten, in dem neben Zweck, Rechtsgrundlage und Datenkategorien auch die Rolle des jeweiligen Akteurs erfasst wird

Wichtig ist, dass sich später nachvollziehen lässt, warum Sie eine bestimmte Stelle als Verantwortlichen eingeordnet haben. Eine kurze Begründung im Verfahrensverzeichnis kann hier sehr hilfreich sein.

Datenschutzhinweise anpassen

Wenn die Rollen klarer sind, sollten Sie Ihre Datenschutzhinweise überprüfen. Dabei geht es insbesondere um folgende Punkte:

• Wird der tatsächliche Verantwortliche korrekt benannt (einschließlich Kontaktdaten)?
• Werden Konstellationen gemeinsamer Verantwortlichkeit soweit erforderlich erläutert?
• Wird transparent gemacht, wenn externe Anbieter eigenständig als Verantwortliche auftreten (z. B. Zahlungsdienstleister, Plattformbetreiber)?

Gerade an dieser Stelle lässt sich viel Vertrauen schaffen: Transparente Hinweise, die verständlich erklären, wer für welche Datenverarbeitung verantwortlich ist, wirken professionell und verringern Rückfragen von Betroffenen und Geschäftspartnern.

Verträge mit Dienstleistern aktualisieren

Ein weiterer Baustein sind Ihre Verträge mit Dienstleistern und Partnern. Sie sollten prüfen:

• Liegt tatsächlich Auftragsverarbeitung vor oder eher eine eigene Verantwortlichkeit des Dienstleisters?
• Sind die abgeschlossenen Auftragsverarbeitungsverträge inhaltlich auf dem aktuellen Stand und passend zur gelebten Praxis?
• Gibt es Kooperationen, bei denen eine gemeinsame Verantwortlichkeit näher liegt, sodass eine entsprechende Vereinbarung sinnvoll wäre?

Ziel ist, dass Vertrag und Realität übereinstimmen. Verträge, die eine Auftragsverarbeitung „deklarieren“, obwohl der Dienstleister in Wahrheit eigene Zwecke verfolgt, können zu erheblichen Risiken führen. Umgekehrt lässt sich mit sauber gestalteten Vereinbarungen viel Klarheit schaffen – auch für eine spätere Prüfung durch Behörden.

Verantwortlichkeiten regelmäßig kontrollieren

Datenschutz ist kein statisches Projekt. Digitale Geschäftsmodelle, Tools und Plattformen ändern sich laufend. Deshalb ist es sinnvoll, Verantwortlichkeiten regelmäßig zu überprüfen, zum Beispiel:

• bei Einführung neuer Systeme oder Prozesse
• bei Wechsel von Dienstleistern
• bei Umstrukturierungen im Unternehmen oder Konzern
• im Rahmen regelmäßiger Datenschutz-Audits oder Jahresreviews

So stellen Sie sicher, dass Ihre ursprüngliche Einordnung nicht „veraltet“, während sich die tatsächlichen Abläufe längst geändert haben. Ein einfacher, aber wirksamer Ansatz ist, neue Projekte grundsätzlich mit einer kurzen Datenschutzprüfung zu beginnen, in der die Rolle des Verantwortlichen von Anfang an mitgedacht wird.

Wenn Sie diese Schritte konsequent angehen – Analyse der Strukturen, schriftliche Festlegung, transparente Hinweise, klare Verträge und regelmäßige Überprüfung –, schaffen Sie einen belastbaren Rahmen. Sie behalten die Kontrolle darüber, wer wofür verantwortlich ist, und reduzieren zugleich Ihr rechtliches und organisatorisches Risiko deutlich.

nach oben