Verantwortliche und Auftragsverarbeiter
Übersicht über die datenschutzrechtlichen Rollen der DSGVO: Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter und unterstellte Personen, Abgrenzung nach Zwecken und Mitteln, Pflichtenverteilung und Haftung.
Die DSGVO verteilt Pflichten und Haftung nach einem grundlegenden Prinzip: Sie treffen die Stelle, die über die Verarbeitung bestimmt. Wer festlegt, wofür und wie Daten verarbeitet werden, ist „Verantwortlicher" und muss die Pflichten der DSGVO erfüllen. Von dieser Einordnung als Verantwortlicher hängt eine Vielzahl weiterer Folgen ab: die nötigen Verträge, die Verteilung der Pflichten, Inhalte der Datenschutzhinweise und die Haftung im Schadensfall. Die richtige Bestimmung der datenschutzrechtlichen Rollen (eigenständiger oder gemeinsamer Verantwortlicher, Auftragsverarbeiter) steht deshalb am Anfang jeder datenschutzrechtlichen Prüfung und ist eine wichtige Weichenstellung.
Das Wichtigste in Kürze
- Die DSGVO kennt vier Rollen: Verantwortlicher (Art. 4 Nr. 7, Art. 24 DSGVO), gemeinsam Verantwortliche (Art. 26 DSGVO), Auftragsverarbeiter (Art. 28 DSGVO) und die dem Verantwortlichen unterstellte Person (Art. 29 DSGVO).
- Maßgeblich ist allein, wer faktisch über Zwecke und (wesentliche) Mittel der Verarbeitung entscheidet, nicht die Bezeichnung im Vertrag.
- Über die Zwecke (das Wofür und Warum) darf nur der Verantwortliche entscheiden; über unwesentliche Mittel (eingesetzte Software, konkrete Sicherheitsmaßnahmen) darf auch ein Auftragsverarbeiter entscheiden.
- Geschlossene Verträge haben nur Indizwirkung. Entscheidend ist die tatsächliche Rollenverteilung. Ein falsch eingeordnetes Verhältnis kann eigene Verantwortlichkeit, Bußgelder und eine unzulässige Datenweitergabe auslösen.
- Der einfachste Fall ist die getrennte (eigenständige) Verantwortlichkeit: keine gemeinsamen Verträge, keine Haftung für die andere Stelle.
1 Die Akteure der DSGVO
Eine einzelne Verarbeitung kann mehrere Stellen einbinden. Die DSGVO ordnet sie in ein festes Rollengefüge ein:
- Verantwortlicher (Art. 4 Nr. 7 DSGVO): die juristische Person, Behörde oder Stelle, die allein über Zwecke und Mittel entscheidet. Sie ist zentraler Normadressat und trägt grundsätzlich alle Pflichten der DSGVO. Mehr unter 1.3.6.2 Verantwortlicher.
- Unterstellte Person (Art. 29 DSGVO): Mitarbeiter oder Beamte, die für den Verantwortlichen handeln. Sie sind nicht selbst verantwortlich, sondern an dessen Weisungen gebunden und werden ihm als Teil seiner Sphäre zugerechnet. Ihr Handeln gilt damit als Handeln des Verantwortlichen. Eine Ausnahme bildet der Exzess: Handelt die Person weisungswidrig zu eigenen Zwecken, wird dieses Handeln dem Verantwortlichen nicht zugerechnet, und sie kann insoweit selbst zum Verantwortlichen werden (dazu am Ende von 1.3.6.2 Verantwortlicher).
- Gemeinsam Verantwortliche (Art. 26 DSGVO): zwei oder mehr Verantwortliche, die Zwecke und Mittel gemeinsam festlegen. Mehr unter 1.3.6.3 Gemeinsam Verantwortliche.
- Auftragsverarbeiter (Art. 28 DSGVO): eine Stelle, die Daten weisungsgebunden für einen Verantwortlichen verarbeitet, ohne über Zwecke oder wesentliche Mittel zu entscheiden. Mehr unter 1.3.6.4 Auftragsverarbeiter.
Daneben steht der Dritte als jede Stelle außerhalb dieses inneren Kreises (Art. 4 Nr. 10 DSGVO), und der Empfänger als jede Stelle, der Daten offengelegt werden (Art. 4 Nr. 9 DSGVO). Auftragsverarbeiter und unterstellte Personen sind gerade keine Dritten, sondern Teil der Sphäre des Verantwortlichen. Diese Begriffe sind als Nachschlage-Einträge gesondert erläutert (1.2.9 Empfänger, 1.2.10 Dritter).
2 Abgrenzung: wer legt Zwecke und Mittel fest
Alle Rollen leiten sich aus einer einzigen Frage ab: Wer entscheidet faktisch über Zwecke und Mittel der Verarbeitung? Faktisch heißt: wie es in der Praxis tatsächlich gehandhabt wird, nicht wie es in Verträgen formuliert ist.
- Zwecke beantworten das Wofür und Warum der Verarbeitung, also das Ziel (etwa Kundenverwaltung, Abrechnung, Werbung). Über die Zwecke darf nur der Verantwortliche entscheiden. Wer über den Zweck mitentscheidet, ist nie bloßer Auftragsverarbeiter.
- Mittel beantworten das Wie der Verarbeitung. Hier ist zu unterscheiden:
- Wesentliche Mittel beeinflussen unmittelbar die Zulässigkeit der Verarbeitung: welche Datenkategorien verarbeitet werden, wie lange gespeichert wird, wer Zugriff erhält und an wen Daten weitergegeben werden. Über sie darf nur der Verantwortliche entscheiden.
- Unwesentliche Mittel betreffen die rein technische Umsetzung: welche konkrete Software eingesetzt wird und welche konkreten Sicherheitsmaßnahmen getroffen werden. Diese Entscheidungen dürfen einem Auftragsverarbeiter überlassen bleiben.
Bezugspunkt ist immer eine bestimmte Verarbeitung bestimmter Daten zu einem bestimmten Zweck, gegebenenfalls in einer bestimmten Phase. Dieselbe Stelle kann für eine Verarbeitung Auftragsverarbeiter und für eine andere eigenständig Verantwortlicher sein. Träger der Rolle ist außerdem stets die juristische Person (etwa die GmbH, die Universität, das Klinikum), nicht eine einzelne Abteilung oder ein einzelner Mitarbeiter.
Die Rollen lassen sich nicht frei vereinbaren. Wer im Vertrag als Auftragsverarbeiter bezeichnet wird, aber tatsächlich über Zwecke oder wesentliche Mittel mitentscheidet, gilt insoweit als Verantwortlicher (Art. 28 Abs. 10 DSGVO), mit allen Pflichten und Bußgeldrisiken.
3 Die Rollen im Überblick
| Rolle | Entscheidet über Zweck/wesentliche Mittel? | Vertrag oder Instrument | Eigene DSGVO-Pflichten | Haftung im Außenverhältnis |
|---|---|---|---|---|
| Verantwortlicher | ja, allein | nicht erforderlich | alle Pflichten (Art. 24 DSGVO) | volle Haftung (Art. 82 DSGVO) |
| Gemeinsam Verantwortliche | ja, gemeinsam mit anderen | Vereinbarung nach Art. 26 DSGVO | alle Pflichten, intern verteilt | gesamtschuldnerisch (Art. 82 DSGVO) |
| Auftragsverarbeiter | nein (nur unwesentliche Mittel) | Auftragsverarbeitungsvertrag (Art. 28 DSGVO) | begrenzte eigene Pflichten | begrenzt auf eigene Pflichten |
| Unterstellte Person | nein | Weisung (Art. 29 DSGVO) | keine eigenen | keine eigene |
4 Relevanz der Einordnung
Die Rolle ist nicht akademisch, sie steuert die gesamte Datenschutz-Compliance eines Verhältnisses:
- Verträge. Mit einem Auftragsverarbeiter ist ein Auftragsverarbeitungsvertrag zu schließen (Art. 28 Abs. 3 DSGVO), mit gemeinsam Verantwortlichen eine Vereinbarung über die Pflichtenverteilung (Art. 26 Abs. 1 DSGVO). Bei getrennter Verantwortlichkeit ist regelmäßig kein datenschutzrechtlicher Vertrag nötig.
- Pflichtenverteilung. Die Rolle entscheidet, wer das Verzeichnis von Verarbeitungstätigkeiten führt (1.3.7), wer eine Datenpanne meldet, wer Betroffenenanfragen beantwortet und wer die Datenschutzhinweise verfasst.
- Datenweitergabe. Die Weitergabe an einen Auftragsverarbeiter ist privilegiert und grundsätzlich zulässig, ohne dass es einer eigenen Rechtsgrundlage für die Weitergabe bedarf. Die Weitergabe an einen anderen Verantwortlichen ist eine rechtfertigungsbedürftige Offenlegung.
- Haftung und Bußgeld. Der Verantwortliche haftet für den gesamten Datenumgang einschließlich des Verhaltens seines Auftragsverarbeiters. Gemeinsam Verantwortliche haften nach außen gesamtschuldnerisch.
Der praktisch einfachste Fall ist die getrennte Verantwortlichkeit: Hier sind in der Regel keine Verträge nötig, und es entsteht keine Haftung für die andere Stelle. Bei allgemeinen Projektdaten (Kontaktdaten der Beteiligten, zugehörige E-Mails, Besprechungsprotokolle) kann meist von getrennter Verantwortlichkeit ausgegangen werden.
Weil die Einordnung an die faktische Rollenverteilung anknüpft, haben geschlossene Verträge nur Indizwirkung. Sie können aber eine Anscheinswirkung entfalten: Wer einen Auftragsverarbeitungsvertrag schließt, signalisiert, von einer Auftragsverarbeitung auszugehen. Eine falsche Einordnung lässt sich daher nicht durch den Vertrag heilen, sondern erzeugt zusätzliche Risiken (dazu 1.3.6.4).
5 Aufbau dieses Abschnitts
1.3.6.2 Verantwortlicher
Begriff und Reichweite (Art. 4 Nr. 7), Pflichten (Art. 24) und unterstellte Personen (Art. 29 DSGVO).
1.3.6.3 Gemeinsam Verantwortliche
Vorliegen einer gemeinsamen Verantwortlichkeit und die Vereinbarung nach Art. 26 DSGVO.
1.3.6.4 Auftragsverarbeiter
Vorliegen einer Auftragsverarbeitung und der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Accountability als Grundsatz der DSGVO: Einhaltung und Nachweis der Grundsätze, Dokumentationspflichten, Aufbewahrungsfrist, Beweislast des Verantwortlichen.
Verantwortlicher (Art. 4 Nr. 7, Art. 24 DSGVO)
Der Verantwortliche als zentrale Figur der DSGVO: Begriff und weite Auslegung nach Art. 4 Nr. 7, wer Verantwortlicher sein kann, Pflichten nach Art. 24 sowie die unterstellten Personen nach Art. 29 DSGVO.