# Verantwortliche und Auftragsverarbeiter

Übersicht über die datenschutzrechtlichen Rollen der DSGVO: Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter und unterstellte Personen, Abgrenzung nach Zwecken und Mitteln, Pflichtenverteilung und Haftung.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter
> Sprache: en



Die DSGVO verteilt Pflichten und Haftung nach einem grundlegenden Prinzip: Sie treffen die Stelle, die über die Verarbeitung bestimmt. Wer festlegt, wofür und wie Daten verarbeitet werden, ist „Verantwortlicher" und muss die Pflichten der DSGVO erfüllen. Von dieser Einordnung als Verantwortlicher hängt eine Vielzahl weiterer Folgen ab: die nötigen Verträge, die Verteilung der Pflichten, Inhalte der Datenschutzhinweise und die Haftung im Schadensfall. Die richtige Bestimmung der datenschutzrechtlichen Rollen (eigenständiger oder gemeinsamer Verantwortlicher, Auftragsverarbeiter) steht deshalb am Anfang jeder datenschutzrechtlichen Prüfung und ist eine wichtige Weichenstellung.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Die DSGVO kennt vier Rollen: **Verantwortlicher** (Art. 4 Nr. 7, Art. 24 DSGVO), **gemeinsam Verantwortliche** (Art. 26 DSGVO), **Auftragsverarbeiter** (Art. 28 DSGVO) und die dem Verantwortlichen **unterstellte Person** (Art. 29 DSGVO).
  * Maßgeblich ist allein, **wer faktisch über Zwecke und (wesentliche) Mittel** der Verarbeitung entscheidet, nicht die Bezeichnung im Vertrag.
  * Über die **Zwecke** (das Wofür und Warum) darf nur der Verantwortliche entscheiden; über **unwesentliche Mittel** (eingesetzte Software, konkrete Sicherheitsmaßnahmen) darf auch ein Auftragsverarbeiter entscheiden.
  * Geschlossene Verträge haben nur **Indizwirkung**. Entscheidend ist die tatsächliche Rollenverteilung. Ein falsch eingeordnetes Verhältnis kann eigene Verantwortlichkeit, Bußgelder und eine unzulässige Datenweitergabe auslösen.
  * Der **einfachste Fall** ist die getrennte (eigenständige) Verantwortlichkeit: keine gemeinsamen Verträge, keine Haftung für die andere Stelle.
</Callout>

## 1 Die Akteure der DSGVO [#1-die-akteure-der-dsgvo]

Eine einzelne Verarbeitung kann mehrere Stellen einbinden. Die DSGVO ordnet sie in ein festes Rollengefüge ein:

* **Verantwortlicher** (Art. 4 Nr. 7 DSGVO): die juristische Person, Behörde oder Stelle, die allein über Zwecke und Mittel entscheidet. Sie ist zentraler Normadressat und trägt grundsätzlich alle Pflichten der DSGVO. Mehr unter [1.3.6.2 Verantwortlicher](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.2-verantwortliche).
* **Unterstellte Person** (Art. 29 DSGVO): Mitarbeiter oder Beamte, die für den Verantwortlichen handeln. Sie sind nicht selbst verantwortlich, sondern an dessen Weisungen gebunden und werden ihm als Teil seiner Sphäre zugerechnet. Ihr Handeln gilt damit als Handeln des Verantwortlichen. Eine Ausnahme bildet der **Exzess**: Handelt die Person weisungswidrig zu eigenen Zwecken, wird dieses Handeln dem Verantwortlichen nicht zugerechnet, und sie kann insoweit selbst zum Verantwortlichen werden (dazu am Ende von [1.3.6.2 Verantwortlicher](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.2-verantwortliche)).
* **Gemeinsam Verantwortliche** (Art. 26 DSGVO): zwei oder mehr Verantwortliche, die Zwecke und Mittel gemeinsam festlegen. Mehr unter [1.3.6.3 Gemeinsam Verantwortliche](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.3-gemeinsam-verantwortliche).
* **Auftragsverarbeiter** (Art. 28 DSGVO): eine Stelle, die Daten weisungsgebunden für einen Verantwortlichen verarbeitet, ohne über Zwecke oder wesentliche Mittel zu entscheiden. Mehr unter [1.3.6.4 Auftragsverarbeiter](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter).

Daneben steht der **Dritte** als jede Stelle außerhalb dieses inneren Kreises (Art. 4 Nr. 10 DSGVO), und der **Empfänger** als jede Stelle, der Daten offengelegt werden (Art. 4 Nr. 9 DSGVO). Auftragsverarbeiter und unterstellte Personen sind gerade **keine** Dritten, sondern Teil der Sphäre des Verantwortlichen. Diese Begriffe sind als Nachschlage-Einträge gesondert erläutert ([1.2.9 Empfänger](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.9-empfaenger), [1.2.10 Dritter](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.10-dritter)).

<Mermaid
  chart="`flowchart LR
B[&#x22;Betroffene Person&#x22;] --> V[&#x22;Verantwortlicher<br/>Art. 4 Nr. 7&#x22;]
V -->|&#x22;Weisung, Art. 29&#x22;| M[&#x22;Unterstellte Person&#x22;]
V -->|&#x22;AVV, Art. 28&#x22;| AV[&#x22;Auftragsverarbeiter&#x22;]
V <-->|&#x22;Vereinbarung, Art. 26&#x22;| GV[&#x22;Gemeinsam Verantwortlicher&#x22;]
V -.->|&#x22;Offenlegung&#x22;| D[&#x22;Dritter / Empfänger<br/>Art. 4 Nr. 9, 10&#x22;]`"
/>

## 2 Abgrenzung: wer legt Zwecke und Mittel fest [#2-abgrenzung-wer-legt-zwecke-und-mittel-fest]

Alle Rollen leiten sich aus einer einzigen Frage ab: Wer entscheidet **faktisch** über Zwecke und Mittel der Verarbeitung? Faktisch heißt: wie es in der Praxis tatsächlich gehandhabt wird, nicht wie es in Verträgen formuliert ist.

* **Zwecke** beantworten das **Wofür und Warum** der Verarbeitung, also das Ziel (etwa Kundenverwaltung, Abrechnung, Werbung). Über die Zwecke darf nur der Verantwortliche entscheiden. Wer über den Zweck mitentscheidet, ist nie bloßer Auftragsverarbeiter.
* **Mittel** beantworten das **Wie** der Verarbeitung. Hier ist zu unterscheiden:
  * **Wesentliche Mittel** beeinflussen unmittelbar die Zulässigkeit der Verarbeitung: welche Datenkategorien verarbeitet werden, wie lange gespeichert wird, wer Zugriff erhält und an wen Daten weitergegeben werden. Über sie darf nur der Verantwortliche entscheiden.
  * **Unwesentliche Mittel** betreffen die rein technische Umsetzung: welche konkrete Software eingesetzt wird und welche konkreten Sicherheitsmaßnahmen getroffen werden. Diese Entscheidungen dürfen einem Auftragsverarbeiter überlassen bleiben.

Bezugspunkt ist immer eine **bestimmte** Verarbeitung bestimmter Daten zu einem bestimmten Zweck, gegebenenfalls in einer bestimmten Phase. Dieselbe Stelle kann für eine Verarbeitung Auftragsverarbeiter und für eine andere eigenständig Verantwortlicher sein. Träger der Rolle ist außerdem stets die **juristische Person** (etwa die GmbH, die Universität, das Klinikum), nicht eine einzelne Abteilung oder ein einzelner Mitarbeiter.

<Callout type="warn">
  Die Rollen lassen sich nicht frei vereinbaren. Wer im Vertrag als Auftragsverarbeiter bezeichnet wird, aber tatsächlich über Zwecke oder wesentliche Mittel mitentscheidet, gilt insoweit als Verantwortlicher (Art. 28 Abs. 10 DSGVO), mit allen Pflichten und Bußgeldrisiken.
</Callout>

## 3 Die Rollen im Überblick [#3-die-rollen-im-überblick]

| Rolle                     | Entscheidet über Zweck/wesentliche Mittel? | Vertrag oder Instrument                      | Eigene DSGVO-Pflichten          | Haftung im Außenverhältnis          |
| ------------------------- | ------------------------------------------ | -------------------------------------------- | ------------------------------- | ----------------------------------- |
| Verantwortlicher          | ja, allein                                 | nicht erforderlich                           | alle Pflichten (Art. 24 DSGVO)  | volle Haftung (Art. 82 DSGVO)       |
| Gemeinsam Verantwortliche | ja, gemeinsam mit anderen                  | Vereinbarung nach Art. 26 DSGVO              | alle Pflichten, intern verteilt | gesamtschuldnerisch (Art. 82 DSGVO) |
| Auftragsverarbeiter       | nein (nur unwesentliche Mittel)            | Auftragsverarbeitungsvertrag (Art. 28 DSGVO) | begrenzte eigene Pflichten      | begrenzt auf eigene Pflichten       |
| Unterstellte Person       | nein                                       | Weisung (Art. 29 DSGVO)                      | keine eigenen                   | keine eigene                        |

## 4 Relevanz der Einordnung [#4-relevanz-der-einordnung]

Die Rolle ist nicht akademisch, sie steuert die gesamte Datenschutz-Compliance eines Verhältnisses:

* **Verträge.** Mit einem Auftragsverarbeiter ist ein Auftragsverarbeitungsvertrag zu schließen (Art. 28 Abs. 3 DSGVO), mit gemeinsam Verantwortlichen eine Vereinbarung über die Pflichtenverteilung (Art. 26 Abs. 1 DSGVO). Bei getrennter Verantwortlichkeit ist regelmäßig **kein** datenschutzrechtlicher Vertrag nötig.
* **Pflichtenverteilung.** Die Rolle entscheidet, wer das Verzeichnis von Verarbeitungstätigkeiten führt ([1.3.7](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten)), wer eine Datenpanne meldet, wer Betroffenenanfragen beantwortet und wer die Datenschutzhinweise verfasst.
* **Datenweitergabe.** Die Weitergabe an einen Auftragsverarbeiter ist privilegiert und grundsätzlich zulässig, ohne dass es einer eigenen Rechtsgrundlage für die Weitergabe bedarf. Die Weitergabe an einen anderen Verantwortlichen ist eine rechtfertigungsbedürftige Offenlegung.
* **Haftung und Bußgeld.** Der Verantwortliche haftet für den gesamten Datenumgang einschließlich des Verhaltens seines Auftragsverarbeiters. Gemeinsam Verantwortliche haften nach außen gesamtschuldnerisch.

Der praktisch einfachste Fall ist die **getrennte Verantwortlichkeit**: Hier sind in der Regel keine Verträge nötig, und es entsteht keine Haftung für die andere Stelle. Bei allgemeinen Projektdaten (Kontaktdaten der Beteiligten, zugehörige E-Mails, Besprechungsprotokolle) kann meist von getrennter Verantwortlichkeit ausgegangen werden.

Weil die Einordnung an die **faktische** Rollenverteilung anknüpft, haben geschlossene Verträge nur Indizwirkung. Sie können aber eine Anscheinswirkung entfalten: Wer einen Auftragsverarbeitungsvertrag schließt, signalisiert, von einer Auftragsverarbeitung auszugehen. Eine falsche Einordnung lässt sich daher nicht durch den Vertrag heilen, sondern erzeugt zusätzliche Risiken (dazu [1.3.6.4](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter)).

## 5 Aufbau dieses Abschnitts [#5-aufbau-dieses-abschnitts]

<Cards>
  <Card title="1.3.6.2 Verantwortlicher" href="/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.2-verantwortliche" description="Begriff und Reichweite (Art. 4 Nr. 7), Pflichten (Art. 24) und unterstellte Personen (Art. 29 DSGVO)." />

  <Card title="1.3.6.3 Gemeinsam Verantwortliche" href="/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.3-gemeinsam-verantwortliche" description="Vorliegen einer gemeinsamen Verantwortlichkeit und die Vereinbarung nach Art. 26 DSGVO." />

  <Card title="1.3.6.4 Auftragsverarbeiter" href="/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter" description="Vorliegen einer Auftragsverarbeitung und der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.