Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Wer über Zwecke und Mittel der Verarbeitung entscheidet, ist Verantwortlicher und zentraler Pflichtenträger der DSGVO: Definition, Abgrenzung zu Auftragsverarbeiter und gemeinsamer Verantwortlichkeit, Fallgruppen.
Verantwortlicher ist, wer allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). An diese Stelle knüpft die DSGVO ihre Pflichten an: Der Verantwortliche ist der zentrale Normadressat, an den sich die Verpflichtungen aus Kapitel IV (ab Art. 24 DSGVO) richten.
Das Wichtigste in Kürze
- Verantwortlicher ist, wer über das Ob (Zwecke) und das Wie (Mittel) einer Verarbeitung entscheidet, gleich ob natürliche Person, juristische Person, Behörde oder sonstige Stelle (Art. 4 Nr. 7 DSGVO).
- Der Begriff ist weit auszulegen, damit der Schutz der betroffenen Personen wirksam und umfassend bleibt.
- Der Verantwortliche ist der zentrale Pflichtenträger der DSGVO; die Verantwortung lässt sich nur begrenzt delegieren und entfällt nicht durch Bestellung eines Datenschutzbeauftragten.
- Entscheiden mehrere gemeinsam über Zwecke und Mittel, sind sie gemeinsam Verantwortliche (Art. 26 DSGVO); wer nur weisungsgebunden für einen anderen verarbeitet, ist Auftragsverarbeiter.
- Einen Konzerndatenschutz gibt es nicht: Der Konzern als solcher ist kein Verantwortlicher, jedes Unternehmen wird einzeln betrachtet.
1. Überblick
1.1 Legaldefinition und Funktion
Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, kann dieses Recht den Verantwortlichen oder die Kriterien seiner Benennung selbst bestimmen.
Maßgeblich ist die Entscheidungsmacht über zwei Dimensionen: über die Zwecke der Verarbeitung (das „Warum") und über die Mittel (das „Wie", insbesondere die wesentlichen Entscheidungen über Art und Umfang der eingesetzten Verfahren). Wer diese Entscheidungen tatsächlich trifft, ist Verantwortlicher, unabhängig davon, ob er die Daten selbst in den Händen hält.
1.2 Weite Auslegung
Der Begriff ist weit zu verstehen, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Die Zuordnung folgt der tatsächlichen Entscheidungsmacht, nicht einer formalen Bezeichnung in Verträgen. Diese weite Auslegung ist der Grund, weshalb die Rechtsprechung auch Akteure als Verantwortliche eingeordnet hat, die selbst keinen Zugriff auf die erhobenen Daten haben (dazu unten Abschnitt 4).
1.3 Zentraler Pflichtenträger, kein Konzernprivileg
An den Verantwortlichen knüpfen die zentralen Pflichten der DSGVO an, etwa die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), die allgemeinen Pflichten nach Art. 24 DSGVO und das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Einen Konzerndatenschutz kennt die DSGVO nicht: Der Konzern als solcher ist kein Verantwortlicher. Maßgeblich ist stets das einzelne Unternehmen, das über Zwecke und Mittel entscheidet. Auch wirtschaftlich verbundene Unternehmen, die Daten in einer gemeinsamen Datenbank verarbeiten, können sich nicht auf ein Konzernprivileg berufen.
2. Wer Verantwortlicher sein kann
2.1 Stellen und handelnde natürliche Personen
Verantwortlicher kann jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle sein. Bei juristischen Personen und Behörden ist die Stelle selbst Verantwortlicher; daneben sind aber auch die für sie handelnden Organe in ihrer Funktion Verantwortliche. Bei einer Behörde handelt der Behördenleiter, bei einer GmbH die Geschäftsführung, bei einer Aktiengesellschaft der Vorstand.
2.2 Beschränkte Delegierbarkeit
Die Verantwortung ist nur in begrenztem Umfang delegierbar. Sie wird insbesondere nicht dadurch abbedungen, dass der Verantwortliche einen Datenschutzbeauftragten bestellt. Der Datenschutzbeauftragte berät und überwacht, er übernimmt aber nicht die Stellung des Verantwortlichen und tritt nicht an dessen Stelle in die Pflichten ein.
2.3 Insolvenzverwalter
Mit der Eröffnung des Insolvenzverfahrens geht das Verwaltungs- und Verfügungsrecht über das zur Insolvenzmasse gehörende Vermögen auf den Insolvenzverwalter über (§ 80 Abs. 1 InsO). Damit wird der Insolvenzverwalter Verantwortlicher für die Verarbeitung der zur Masse gehörenden personenbezogenen Daten. Bei der vorläufigen Insolvenzverwaltung ist danach zu unterscheiden, ob ein starker oder ein schwacher vorläufiger Verwalter eingesetzt ist, weil sich die Verfügungsbefugnis und damit die Verantwortlichkeit hieran ausrichtet.
Auch ein berufsmäßiger Betreuer ist für die Verarbeitung personenbezogener Daten im Rahmen der Betreuung Verantwortlicher. Umstritten ist, ob eine Hochschule oder ein einzelner Hochschullehrer im Rahmen der grundrechtlich geschützten Forschungsfreiheit Verantwortlicher ist; hier sind die Umstände des Einzelfalls zu würdigen.
3. Abgrenzung zu anderen Rollen
Die praktisch wichtigste Frage ist nicht, ob jemand mit Daten umgeht, sondern in welcher Rolle. Wer über Zwecke und Mittel entscheidet, ist Verantwortlicher. Wer ausschließlich weisungsgebunden für einen anderen verarbeitet, ist Auftragsverarbeiter. Entscheiden mehrere gemeinsam, liegt gemeinsame Verantwortlichkeit vor (dazu Abschnitt 4).
| Kriterium | Verantwortlicher | Gemeinsam Verantwortliche | Auftragsverarbeiter |
|---|---|---|---|
| Entscheidung über Zwecke und Mittel | allein | gemeinsam mit anderen | nein, weisungsgebunden |
| Rechtsgrundlage der Rolle | Art. 4 Nr. 7 DSGVO | Art. 26 DSGVO | Art. 4 Nr. 8, Art. 28 DSGVO |
| Verhältnis zueinander | eigenständig | abgestimmte Pflichtenverteilung | Auftragsverarbeitungsvertrag |
| Zugriff auf die Daten nötig | nein | nein | regelmäßig ja |
Das folgende Schaubild zeigt die Weichenstellung bei der Rollenzuordnung.
Wer Empfänger der Daten ist, ohne über deren Verarbeitung zu entscheiden, fällt unter den Empfänger; eine Stelle außerhalb des Verantwortungskreises kann zugleich Dritter sein.
4. Gemeinsam Verantwortliche
4.1 Voraussetzungen
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, sind sie gemeinsam Verantwortliche (Art. 26 Abs. 1 DSGVO). Der Grad der jeweiligen Verantwortlichkeit ist nach den Umständen des Einzelfalls zu beurteilen; die beteiligten Akteure können in verschiedenen Phasen der Verarbeitung und in unterschiedlichem Ausmaß einbezogen sein. Eine gemeinsame Verantwortlichkeit kann auch ohne förmliche Vereinbarung entstehen, allein aufgrund des tatsächlichen Zusammenwirkens. Insbesondere ist kein gleichberechtigter oder gleich starker Beitrag erforderlich.
4.2 Pflicht zur Aufgabenverteilung
Gemeinsam Verantwortliche müssen festlegen, wer von ihnen welche Pflichten der DSGVO erfüllt. Das betrifft vor allem die Wahrnehmung der Betroffenenrechte und die Erfüllung der Informationspflichten nach Art. 13 und Art. 14 DSGVO. Diese Verteilung soll in einer Vereinbarung transparent festgehalten werden; das Fehlen einer solchen Vereinbarung macht die Verarbeitung allerdings nicht für sich genommen unrechtmäßig (EuGH, Urt. v. 04.05.2023, C-60/22, Bundesrepublik Deutschland).
5. Fallgruppen aus der Rechtsprechung
Die weite Auslegung des Verantwortlichenbegriffs zeigt sich besonders deutlich in der Rechtsprechung des EuGH. Sie hat eine Reihe von Konstellationen entschieden, in denen die Verantwortlicheneigenschaft nicht ohne Weiteres auf der Hand lag.
5.1 Suchmaschinen und Online-Plattformen
Der Betreiber einer Suchmaschine verarbeitet personenbezogene Daten von Webseiten Dritter und ist hierfür Verantwortlicher; er ist auch der richtige Adressat für Auslistungsbegehren (EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain).
Der Betreiber einer Fanpage in einem sozialen Netzwerk ist gemeinsam mit dem Netzwerk für die Verarbeitung der Besucherdaten verantwortlich, weil er durch Auswahl und Parameter der Statistikfunktionen an der Festlegung von Zwecken und Mitteln mitwirkt; auf einen eigenen Datenzugriff kommt es nicht an (EuGH, Urt. v. 05.06.2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein).
Wer ein Social-Plugin in die eigene Website einbindet und damit das Erheben und Übermitteln der Besucherdaten an den Plugin-Anbieter ermöglicht, ist für diese Erhebung und Übermittlung gemeinsam verantwortlich (EuGH, Urt. v. 29.07.2019, C-40/17, Fashion ID).
5.2 Verantwortlichkeit ohne eigenen Datenzugriff
Eine Religionsgemeinschaft, die eine Verkündigungstätigkeit ihrer Mitglieder organisiert und koordiniert, ist für die dabei erhobenen Daten verantwortlich, auch wenn sie selbst keinen Zugriff auf die erhobenen Daten hat (EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas). Diese Entscheidung verdeutlicht, dass die Verantwortlicheneigenschaft an die Entscheidung über Zwecke und Mittel anknüpft und nicht an die physische Verfügungsgewalt über die Daten.
5.3 Parlamente, Gremien und kommunale Stellen
Parlamente sind Verantwortliche; die DSGVO ist auf ihre Tätigkeit anwendbar, ein genereller Ausschluss nach Art. 2 Abs. 2 DSGVO greift nicht. Das gilt auch für Petitionsausschüsse und parlamentarische Untersuchungsausschüsse. Dabei ist zwischen rein verwaltungsmäßigen und parlamentarischen Aufgaben zu unterscheiden. Kommunale Fraktionen sind verantwortliche, nichtöffentliche Stellen. Ein Gutachterausschuss nach § 192 BauGB ist eine verantwortliche Stelle.
Bei Betriebs- und Personalräten bestimmt das nationale Recht den Verantwortlichen: Nach § 79a BetrVG ist der Arbeitgeber, nach § 69 BPersVG die Dienststelle Verantwortlicher für die Verarbeitung durch das jeweilige Gremium. Das entbindet das Gremium aber nicht von eigener Pflichtenwahrnehmung. Der Personalrat muss eigenverantwortlich die technischen und organisatorischen Maßnahmen nach Art. 24 und Art. 32 DSGVO sicherstellen.
Dass das nationale Recht den Arbeitgeber oder die Dienststelle als Verantwortlichen benennt, verlagert nicht die gesamte operative Verantwortung. Betriebs- und Personalräte bleiben für die Sicherheit der von ihnen verarbeiteten Daten selbst in der Pflicht (Art. 24, Art. 32 DSGVO).
5.4 Register und behördliche Online-Bereitstellung
Stellen, die Daten online bereitstellen, können gemeinsam Verantwortliche sein. So können Registergerichte zusammen mit dem gemeinsamen Justizportal der Länder und dem Unternehmensregister gemeinsame Verantwortliche bei der Online-Bereitstellung von Registerdaten sein.
6. Gemeinsame Verarbeitungsverfahren
Über die klassischen Konstellationen hinaus gibt es großflächige gemeinsame Verarbeitungsverfahren, bei denen mehrere Stellen oder Mitgliedstaaten an einem System mitwirken. Auf Unionsebene sind das etwa das Schengener Informationssystem und das Visa-Informationssystem, national vergleichbar das polizeiliche Informationssystem.
Bei diesen Systemen ist auf den jeweils anwendbaren Rechtsrahmen zu achten. Das Ausländerzentralregister fällt unter die DSGVO, während rein polizeiliche Systeme der Strafverfolgung der Richtlinie (EU) 2016/680 unterliegen und damit außerhalb des unmittelbaren Anwendungsbereichs der DSGVO stehen.
7. Querverweise
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
Die weisungsgebundene Verarbeitung im Auftrag und ihre Abgrenzung vom Verantwortlichen.
Empfänger (Art. 4 Nr. 9 DSGVO)
Stelle, der Daten offengelegt werden, ohne notwendig über die Verarbeitung zu entscheiden.
Dritter (Art. 4 Nr. 10 DSGVO)
Personen und Stellen außerhalb des Verantwortungskreises.
Verzeichnis von Verarbeitungstätigkeiten
Art. 30 DSGVO: zentrale Dokumentationspflicht des Verantwortlichen.
EuGH Fashion ID (C-40/17)
Gemeinsame Verantwortlichkeit beim Einbinden von Social-Plugins.
EuGH Zeugen Jehovas (C-25/17)
Verantwortlichkeit ohne eigenen Zugriff auf die erhobenen Daten.
EuGH C-60/22 (BAMF)
Folgen fehlender Art.-26-Vereinbarung und unvollständigen Verzeichnisses.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Dateisystem (Art. 4 Nr. 6 DSGVO)
Art. 4 Nr. 6 DSGVO definiert das Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Bei manueller Verarbeitung ist der Begriff die entscheidende Schwelle für den Anwendungsbereich der DSGVO.
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
Auftragsverarbeiter ist jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die DSGVO begründet eigene Pflichten und eine eigenständige Haftung des Auftragsverarbeiters.