Datenschutz HubEinzelthemenVerantwortliche und Auftragsverarbeiter

Verantwortlicher (Art. 4 Nr. 7, Art. 24 DSGVO)

Der Verantwortliche als zentrale Figur der DSGVO: Begriff und weite Auslegung nach Art. 4 Nr. 7, wer Verantwortlicher sein kann, Pflichten nach Art. 24 sowie die unterstellten Personen nach Art. 29 DSGVO.

Als Markdown ansehen

Der Verantwortliche ist die zentrale Figur der DSGVO. Er bestimmt über die Verarbeitung und wird dafür von der Verordnung in die Pflicht genommen. Alle anderen Rollen werden in Abgrenzung zu ihm bestimmt.

Das Wichtigste in Kürze

  • Verantwortlicher ist, wer allein über Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).
  • Maßgeblich ist der rechtliche oder tatsächliche Einfluss auf Ob, Art und Umfang der Verarbeitung, nicht eine formale Benennung.
  • Träger der Rolle ist die juristische Person oder Stelle (etwa die GmbH, die Behörde), nicht eine Abteilung oder ein einzelner Mitarbeiter.
  • Der Verantwortliche trägt grundsätzlich alle Pflichten der DSGVO und muss ihre Einhaltung nachweisen können (Art. 24, Art. 5 Abs. 2 DSGVO).
  • Mitarbeiter sind keine eigenen Verantwortlichen, sondern dem Verantwortlichen unterstellte Personen, die nur auf Weisung verarbeiten dürfen (Art. 29 DSGVO).

1 Begriff und Reichweite

1.1 Definition

Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Entscheidend ist, wer rechtlichen oder tatsächlichen Einfluss auf das Ob, die Art und den Umfang der Verarbeitung in eigener Verantwortungs- und Gestaltungsmacht hat.

Der Begriff wird weit und funktional ausgelegt. Es kommt auf die tatsächlichen Einflussmöglichkeiten an, nicht auf die im Vertrag gewählte Bezeichnung. Wer über den Zweck einer Verarbeitung bestimmt, ist Verantwortlicher, auch wenn er keinen unmittelbaren Zugriff auf die Daten hat. Der vollständige Begriff ist als Nachschlage-Eintrag erläutert (1.2.7 Verantwortlicher).

1.2 Wer Verantwortlicher sein kann

Anknüpfungspunkt ist stets die Organisationseinheit als Ganzes, nicht ihr Innenleben:

  • Nichtöffentlicher Bereich. Verantwortlicher ist die juristische Person des Zivilrechts (etwa AG, GmbH) als solche. Auch nicht-rechtsfähige Personenvereinigungen wie OHG, KG, GbR, Vereine und politische Parteien kommen in Betracht. Zweigniederlassungen sind Teil der verantwortlichen Stelle, nicht eigene Verantwortliche.
  • Öffentlicher Bereich. Verantwortlich ist die einzelne Behörde oder eigenständige öffentlich-rechtliche Einrichtung. Bund und Länder als solche sind keine Stellen; maßgebliche Einheit ist die jeweilige Behörde, das Institut, die Schule oder das Klinikum.
  • Keine Stellen im Rechtssinn sind unselbständige Teile einer Organisation, also Referate, Dezernate oder Abteilungen. Sie handeln für die verantwortliche Stelle, sind aber nicht selbst verantwortlich.

Innerhalb eines Konzerns gibt es kein Konzernprivileg: Jede Konzerngesellschaft ist eine eigene verantwortliche Stelle, und die Weitergabe von Daten zwischen ihnen ist eine rechtfertigungsbedürftige Offenlegung, sofern nicht ausnahmsweise eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vorliegt (zur Abgrenzung 1.2.10 Dritter).

2 Pflichten des Verantwortlichen (Art. 24 DSGVO)

Der Verantwortliche ist Hauptadressat der DSGVO. Nach Art. 24 Abs. 1 DSGVO setzt er unter Berücksichtigung der Risiken geeignete technische und organisatorische Maßnahmen um, um die Verarbeitung im Einklang mit der Verordnung durchzuführen, und muss dies nachweisen können. Diese Nachweispflicht ist die Kehrseite der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

Zu den Pflichten gehören insbesondere die Wahl einer Rechtsgrundlage und die Einhaltung der Grundsätze (Art. 5, 6 DSGVO), die Information der Betroffenen und die Bearbeitung ihrer Anträge (Art. 12 bis 22 DSGVO), die Sicherheit der Verarbeitung (Art. 32 DSGVO), das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO), die Meldung von Datenpannen (Art. 33, 34 DSGVO) und, bei voraussichtlich hohem Risiko, die Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Diese Pflichten treffen den Verantwortlichen unabhängig davon, ob er die Verarbeitung selbst ausführt oder durch einen Auftragsverarbeiter ausführen lässt.

3 Unterstellte Personen (Art. 29 DSGVO)

Wer im Rahmen eines Unternehmens oder einer Behörde für diese mit personenbezogenen Daten umgeht, ist nicht selbst Verantwortlicher. Der einzelne Mitarbeiter oder Beamte handelt für die Stelle und ist ihr unterstellt.

Nach Art. 29 DSGVO dürfen dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese ausschließlich auf Weisung des Verantwortlichen verarbeiten. Spiegelbildlich verpflichtet Art. 32 Abs. 4 DSGVO den Verantwortlichen, genau dies sicherzustellen. Die Verarbeitung durch unterstellte Personen wird der Stelle zugerechnet; für ihren Einsatz bedarf es keiner eigenen Rechtfertigung, ebenso wenig wie für die Verarbeitung durch die Stelle selbst.

Das Abgrenzungsmerkmal ist das Direktionsrecht: Unterstellt ist, wer den Weisungen des Verantwortlichen oder Auftragsverarbeiters unterliegt, typischerweise also Arbeitnehmer. Wer dagegen außerhalb dieses Weisungsverhältnisses steht, ist Dritter im Sinne von Art. 4 Nr. 10 DSGVO. Von dieser internen Weisungsbindung zu trennen ist der externe Auftragsverarbeiter: Auch er handelt weisungsgebunden, ist aber eine eigene Stelle mit eigenen Pflichten und benötigt einen Auftragsverarbeitungsvertrag.

Die Zurechnung zur Stelle endet dort, wo die unterstellte Person ihre Befugnisse überschreitet. Verarbeitet ein Beschäftigter die Daten außerhalb der Weisungen für eigene Zwecke, etwa indem er Kundendaten für ein privates Nebengeschäft nutzt oder Datenbestände unerlaubt für sich kopiert, handelt er insoweit nicht mehr für die Stelle, sondern wird für diese Verarbeitung selbst Verantwortlicher mit eigener Verantwortung. Das entlastet die Stelle allerdings nur, soweit sie ihre Auswahl-, Anweisungs- und Kontrollpflichten erfüllt und geeignete Maßnahmen nach Art. 32 Abs. 4 DSGVO getroffen hat; bei unzureichender Organisation bleibt sie für den Vorfall mitverantwortlich.

Eine ausdrückliche Verpflichtung auf das Datengeheimnis schreibt die DSGVO nur für den Auftragsverarbeiter vor (Vertraulichkeit der eingesetzten Personen, Art. 28 Abs. 3 lit. b DSGVO). Für eigene Beschäftigte folgt die Vertraulichkeit aus dem Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) und aus der Weisungsbindung; eine dokumentierte Verpflichtung der Beschäftigten ist gleichwohl gute Praxis.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Verantwortliche und Auftragsverarbeiter

Übersicht über die datenschutzrechtlichen Rollen der DSGVO: Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter und unterstellte Personen, Abgrenzung nach Zwecken und Mitteln, Pflichtenverteilung und Haftung.

Gemeinsam Verantwortliche (Art. 26 DSGVO)

Wann zwei oder mehr Stellen gemeinsam Verantwortliche sind: Kriterien, Fallgruppen und EuGH-Rechtsprechung sowie die Vereinbarung über die Pflichtenverteilung nach Art. 26 DSGVO, Bekanntgabe an Betroffene und gesamtschuldnerische Haftung.

Auf dieser Seite

1 Begriff und Reichweite1.1 Definition1.2 Wer Verantwortlicher sein kann2 Pflichten des Verantwortlichen (Art. 24 DSGVO)3 Unterstellte Personen (Art. 29 DSGVO)