Zum Inhalt springen
Biscotti CMP
FunktionenPreise🔍 Cookie-Check♿ Barrierefreiheit📦 DownloadsDokumentationBlog
Anmelden
Startseite›Blog

Verantwortlicher vs. Auftragsverarbeiter: Haftung nach der DSGVO verstehen

7. Juli 2026 · 16 Min. Lesezeit

Kurze Antwort: Nach der DSGVO bestimmt ein Datenverantwortlicher, warum und wie personenbezogene Daten verarbeitet werden, während ein Datenverarbeiter Daten ausschließlich auf Anweisung des Verantwortlichen verarbeitet. Die Haftung unterscheidet sich erheblich: Verantwortliche tragen die umfassendste Rechenschaftspflicht, während Auftragsverarbeiter nur dann direkt haften, wenn sie außerhalb rechtmäßiger Anweisungen handeln oder gegen DSGVO-Verpflichtungen verstoßen, die sich speziell an sie richten.

Wichtigste Erkenntnisse

  • Ein Datenverantwortlicher entscheidet über die Zwecke und Mittel der Verarbeitung; ein Datenverarbeiter handelt im Auftrag des Verantwortlichen.
  • Verantwortliche tragen die primäre DSGVO-Haftung; Auftragsverarbeiter haften gemäß Artikel 82 nur unter bestimmten Umständen direkt.
  • Beide Rollen können gleichzeitig innerhalb einer Organisation existieren; ein Unternehmen kann Verantwortlicher für seine eigenen Kunden und Auftragsverarbeiter für ein anderes Unternehmen sein.
  • Eine rechtsverbindliche Datenverarbeitungsvereinbarung (DPA) ist zwingend erforderlich, wenn ein Verantwortlicher einen Auftragsverarbeiter beauftragt.
  • Unterauftragsverarbeiter benötigen eine vorherige schriftliche Genehmigung des Verantwortlichen; der Hauptauftragsverarbeiter bleibt für das Verhalten des Unterauftragsverarbeiters voll haftbar.
  • Eine falsche Klassifizierung Ihrer Rolle ist ein Compliance-Risiko, das Ihre Organisation behördlichen Sanktionen aussetzen kann.
  • Auftragsverarbeiter, die personenbezogene Daten für eigene Zwecke nutzen, werden automatisch zu Verantwortlichen für diese Verarbeitungstätigkeit.
  • Der britische Data (Use and Access) Act 2026 führt weitere Änderungen ein, die Organisationen, die unter der UK-DSGVO agieren, umgehend prüfen sollten.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter nach der DSGVO?

Ein Datenverantwortlicher ist jede Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Ein Datenverarbeiter ist jede Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet und sich dabei streng an dessen Anweisungen hält [1].

Die Unterscheidung hängt von der Entscheidungsbefugnis ab. Wenn Ihre Organisation entscheidet, warum Daten erhoben und wie sie verwendet werden, sind Sie der Verantwortliche. Wenn Ihre Organisation Daten nur verarbeitet, weil eine andere Stelle Sie dazu angewiesen hat und Sie kein unabhängiges Mitspracherecht bei den Zwecken haben, sind Sie der Auftragsverarbeiter.

Praktische Beispiele:

Szenario Rolle
Ein E-Commerce-Händler, der Kundendaten sammelt Verantwortlicher
Ein Cloud-Hosting-Anbieter, der die Datenbank dieses Händlers speichert Auftragsverarbeiter
Eine Gehaltsabrechnungs-SaaS-Plattform, die Mitarbeiterdaten für einen Arbeitgeber verarbeitet Auftragsverarbeiter
Eine Marketingagentur, die ihre eigene Interessentenliste erstellt Verantwortlicher
Ein CRM-Anbieter, der auf Kundendaten zugreift, um Support zu leisten Auftragsverarbeiter

Das ICO betont, dass die Bezeichnung in einem Vertrag die Rolle nicht bestimmt, sondern das tatsächliche Verhalten [1]. Ein Anbieter, der in einem Vertrag als „Auftragsverarbeiter“ bezeichnet wird, aber unabhängige Entscheidungen über die Datennutzung trifft, ist rechtlich ein Verantwortlicher, unabhängig davon, was die Vereinbarung besagt.


Was sind die Hauptaufgaben eines Datenverantwortlichen nach der DSGVO?

Verantwortliche tragen die größte Compliance-Last unter der DSGVO. Sie sind für den gesamten Datenlebenszyklus rechenschaftspflichtig und müssen sicherstellen, dass jeder von ihnen beauftragte Auftragsverarbeiter die DSGVO-Standards erfüllt [3].

Zu den Kernpflichten des Verantwortlichen gehören:

  • Festlegung und Dokumentation einer Rechtsgrundlage für jede Verarbeitungstätigkeit
  • Bereitstellung transparenter Datenschutzerklärungen für betroffene Personen
  • Erleichterung der Rechte betroffener Personen: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch
  • Durchführung von Datenschutz-Folgenabschätzungen (DPIAs) für risikoreiche Verarbeitungen
  • Benennung eines Datenschutzbeauftragten (DSB), sofern erforderlich
  • Sorgfältige Prüfung vor der Beauftragung von Auftragsverarbeitern und Überwachung ihrer fortlaufenden Compliance
  • Abschluss einer schriftlichen Datenverarbeitungsvereinbarung mit jedem beauftragten Auftragsverarbeiter [3]

Verantwortliche können die Rechenschaftspflicht nicht auslagern. Selbst wenn ein Auftragsverarbeiter eine Verletzung verursacht, bleibt der Verantwortliche gegenüber den Aufsichtsbehörden für die Wahl des Auftragsverarbeiters und die Angemessenheit der vertraglichen Schutzmaßnahmen verantwortlich.

Was sind die Hauptaufgaben eines Datenverarbeiters nach der DSGVO?

Auftragsverarbeiter haben direkte DSGVO-Verpflichtungen, nicht nur vertragliche, und können Compliance nicht allein als Problem des Verantwortlichen betrachten [3].

Direkte Pflichten des Auftragsverarbeiters nach der DSGVO umfassen:

  • Verarbeitung von Daten nur auf dokumentierte Anweisungen des Verantwortlichen
  • Implementierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
  • Führung von Verzeichnissen aller im Auftrag von Verantwortlichen durchgeführten Verarbeitungstätigkeiten
  • Benachrichtigung des Verantwortlichen über jede Datenpanne unverzüglich
  • Unterstützung des Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen
  • Löschung oder Rückgabe aller personenbezogenen Daten bei Vertragsbeendigung
  • Beauftragung von Unterauftragsverarbeitern nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen [3]

"Auftragsverarbeiter haben direkte Verpflichtungen nach der DSGVO, nicht nur vertragliche Pflichten, und sind behördlichen Risiken ausgesetzt, wenn sie außerhalb der rechtmäßigen Anweisungen des Verantwortlichen handeln."

Wer haftet bei einer Datenpanne: Verantwortlicher oder Auftragsverarbeiter?

Beide können haftbar sein, aber der Umfang unterscheidet sich. Gemäß Artikel 82 der DSGVO hat jede Person, die durch eine DSGVO-Verletzung einen Schaden erleidet, das Recht, Schadensersatz vom verantwortlichen Verantwortlichen oder Auftragsverarbeiter zu verlangen [2].

Verantwortliche haften für Schäden, die durch eine Verarbeitung entstehen, die gegen die DSGVO verstößt. Auftragsverarbeiter haften nur, wenn sie ihren DSGVO-Verpflichtungen, die sich speziell an Auftragsverarbeiter richten, nicht nachgekommen sind oder wenn sie außerhalb oder entgegen den rechtmäßigen Anweisungen des Verantwortlichen gehandelt haben [2].

Haftungsverteilung in der Praxis:

  • Wenn ein Auftragsverarbeiter eine Verletzung erleidet, weil der Verantwortliche unzureichende Sicherheitsanweisungen gegeben hat, trägt der Verantwortliche wahrscheinlich die primäre Haftung.
  • Wenn ein Auftragsverarbeiter die Sicherheitsanforderungen des Verantwortlichen ignoriert hat, trägt der Auftragsverarbeiter die direkte Haftung.
  • Beide können gesamtschuldnerisch haften, was bedeutet, dass eine betroffene Person jede Partei auf den vollen Schadensersatzbetrag verklagen kann, wobei die Parteien die Verantwortung anschließend untereinander aufteilen müssen.

Ein Auftragsverarbeiter kann der Haftung entgehen, indem er nachweist, dass er für das schadensverursachende Ereignis nicht verantwortlich war [2]. Dies ist eine hohe Hürde: Der Auftragsverarbeiter muss die vollständige Einhaltung seiner DSGVO-Verpflichtungen nachweisen.


Kann ein Unternehmen gleichzeitig Verantwortlicher und Auftragsverarbeiter sein?

Ja. Eine Organisation kann gleichzeitig als Verantwortlicher für einige Verarbeitungstätigkeiten und als Auftragsverarbeiter für andere fungieren, sogar innerhalb derselben Geschäftsbeziehung [1].

Zum Beispiel kann eine digitale Marketingagentur als Verantwortlicher agieren, wenn sie ihre eigenen Mitarbeiter-HR-Daten verwaltet, und als Auftragsverarbeiter, wenn sie Werbekampagnen unter Verwendung der Kundendaten eines Kunden durchführt. Die Rolle wird Aktivität für Aktivität bestimmt, nicht Unternehmen für Unternehmen.

Kann ein Auftragsverarbeiter zum Verantwortlichen werden, wenn er Daten für eigene Zwecke nutzt?

Ein Auftragsverarbeiter wird automatisch zum Verantwortlichen, sobald er personenbezogene Daten für Zwecke verwendet, die über die Anweisungen des Verantwortlichen hinausgehen [1]. Dies ist eine der folgenreichsten Fehlklassifizierungen in der Praxis.

Wenn ein Cloud-Analyseanbieter beginnt, Kundendaten ohne Genehmigung zur Schulung seiner eigenen KI-Modelle zu nutzen, hat er die Rolle des Auftragsverarbeiters verlassen und den Status des Verantwortlichen für diese Aktivität übernommen, mit allen damit verbundenen DSGVO-Verpflichtungen und Haftungsrisiken. Keine Vertragsklausel kann diese Neuklassifizierung verhindern; es ist eine Tatsachenfrage, keine Vereinbarung.

Wie schützen Datenverarbeitungsvereinbarungen Auftragsverarbeiter vor Haftung?

Eine Datenverarbeitungsvereinbarung (DPA) ist ein obligatorisches Rechtsinstrument nach der DSGVO, wann immer ein Verantwortlicher einen Auftragsverarbeiter beauftragt [3]. Für Auftragsverarbeiter ist eine gut formulierte DPA der primäre Mechanismus zur Begrenzung der Haftungsrisiken.

Eine konforme DPA muss Folgendes festlegen:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien der betroffenen Personen
  • Pflichten und Rechte des Verantwortlichen
  • Vertraulichkeitsanforderungen für autorisiertes Personal
  • Umzusetzende Sicherheitsmaßnahmen
  • Bedingungen für die Beauftragung von Unterauftragsverarbeitern
  • Verfahren zur Rückgabe oder Löschung von Daten bei Vertragsende [3]

Wenn ein Auftragsverarbeiter streng im Rahmen der DPA handelt, verlagert sich die Haftung für daraus resultierende Schäden überwiegend auf den Verantwortlichen. Umgekehrt, wenn ein Auftragsverarbeiter diese Anweisungen überschreitet, wird die DPA zum Nachweis der Abweichung und nicht zu einem Schutzschild.

Was passiert, wenn ein Auftragsverarbeiter gegen die DSGVO-Regeln verstößt?

Auftragsverarbeiter, die gegen die DSGVO verstoßen, müssen sowohl mit behördlichen Bußgeldern als auch mit zivilrechtlicher Haftung für Schäden rechnen. Aufsichtsbehörden können Bußgelder direkt gegen Auftragsverarbeiter verhängen, bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für die schwerwiegendsten Verstöße, je nachdem, welcher Betrag höher ist [2].

Neben Bußgeldern drohen Auftragsverarbeitern Klagen nach Artikel 82 von betroffenen Personen, die einen Schaden erlitten haben. Sie können auch vertraglich gegenüber dem Verantwortlichen gemäß der DPA haften, einschließlich Freistellungsverpflichtungen.

Benötigen Auftragsverarbeiter einen eigenen Datenschutzbeauftragten?

Auftragsverarbeiter unterliegen denselben Schwellenwerten für die Benennung eines DSB wie Verantwortliche. Ein Auftragsverarbeiter muss einen DSB benennen, wenn er eine umfangreiche, systematische Überwachung von Personen durchführt oder besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen in großem Umfang verarbeitet [1].

Die Rolle als Auftragsverarbeiter befreit eine Organisation nicht von der DSB-Pflicht. Viele große Cloud-Anbieter und SaaS-Plattformen, die als Auftragsverarbeiter agieren, müssen einen DSB unterhalten, gerade wegen des Umfangs und der Sensibilität der von ihnen verarbeiteten Daten.

Was ist der Unterschied bei DSGVO-Bußgeldern zwischen Verantwortlichen und Auftragsverarbeitern?

Die zweistufige Bußgeldstruktur der DSGVO gilt gleichermaßen für Verantwortliche und Auftragsverarbeiter. Stufe eins umfasst weniger schwerwiegende Verstöße (bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes); Stufe zwei umfasst die schwerwiegendsten Verstöße, einschließlich unrechtmäßiger Verarbeitung und Nichtbeachtung der Rechte betroffener Personen (bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes) [2].

Es gibt keinen gesetzlichen Rabatt für Auftragsverarbeiter. In der Praxis bewerten Aufsichtsbehörden jedoch bei der Festlegung der Bußgeldhöhe die Schuld, die Zusammenarbeit und die Art des Verstoßes, Faktoren, die zu unterschiedlichen Ergebnissen für Verantwortliche und Auftragsverarbeiter im selben Vorfall führen können.

Haben Unterauftragsverarbeiter eine andere Haftung als Hauptauftragsverarbeiter?

Unterauftragsverarbeiter tragen dieselben DSGVO-Verpflichtungen wie Hauptauftragsverarbeiter, sind jedoch vertraglich an den Hauptauftragsverarbeiter gebunden und nicht direkt an den Verantwortlichen. Die entscheidende Unterscheidung: Der Hauptauftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Leistung des Unterauftragsverarbeiters voll haftbar [3].

Wenn ein Unterauftragsverarbeiter eine Verletzung verursacht, richtet sich der Rechtsweg des Verantwortlichen gegen den Hauptauftragsverarbeiter. Der Hauptauftragsverarbeiter muss dann den Unterauftragsverarbeiter separat verfolgen. Unterauftragsverarbeiter können auch direkten behördlichen Maßnahmen von Aufsichtsbehörden wegen eigener DSGVO-Verstöße ausgesetzt sein.

Regeln für Unterauftragsverarbeiter auf einen Blick:

  • Eine vorherige schriftliche Genehmigung des Verantwortlichen ist erforderlich, bevor ein Unterauftragsverarbeiter beauftragt wird.
  • Der Hauptauftragsverarbeiter muss dem Unterauftragsverarbeiter gleichwertige Datenschutzpflichten auferlegen.
  • Der Hauptauftragsverarbeiter kann der Haftung nicht entgehen, indem er auf das Verschulden des Unterauftragsverarbeiters verweist.

Wie bestimmen Sie, ob Sie für Ihr Unternehmen ein Verantwortlicher oder Auftragsverarbeiter sind?

Die Bestimmung hängt von einer einzigen Frage ab: Entscheidet Ihre Organisation unabhängig, warum personenbezogene Daten verarbeitet werden? Wenn ja, sind Sie ein Verantwortlicher. Wenn Sie Daten nur verarbeiten, weil eine andere Stelle Sie dazu angewiesen hat und Sie keinen unabhängigen Zweck haben, sind Sie ein Auftragsverarbeiter [1].

Eine praktische Checkliste zur Entscheidungsfindung:

  1. Wer hat überhaupt entschieden, diese Daten zu erheben?
  2. Wer hat festgelegt, wofür die Daten verwendet werden sollen?
  3. Hat Ihre Organisation Ermessensspielraum bei der Verarbeitung der Daten, oder folgen Sie den Vorgaben einer anderen Partei?
  4. Würde die Verarbeitung eingestellt, wenn die andere Partei ihre Anweisungen zurückziehen würde?
  5. Verwenden Sie die Daten für einen Zweck, der Ihrer Organisation unabhängig zugutekommt?

Wenn Ihre Antworten auf diese Fragen in verschiedene Richtungen zeigen, könnten Sie ein gemeinsamer Verantwortlicher sein, eine Situation, die eine separate Transparenzvereinbarung mit der anderen Partei erfordert [1].

Was sind häufige Fehler, die Unternehmen bei den Rollen von Verantwortlichen und Auftragsverarbeitern machen?

Fehlklassifizierung ist der häufigste Fehler und hat echte Compliance-Konsequenzen. Organisationen gehen häufig davon aus, dass die Bezeichnung als „Anbieter“ oder „Dienstleister“ in einem Vertrag sie zu einem Auftragsverarbeiter macht, obwohl ihr tatsächliches Verhalten sie als Verantwortlichen qualifiziert.

Weitere häufige Fehler:

  • Auslassen der DPA: Verantwortliche, die Auftragsverarbeiter ohne schriftliche DPA beauftragen, verstoßen direkt gegen die DSGVO, unabhängig davon, wie sicher die Systeme des Auftragsverarbeiters sind.
  • Versäumnis, Unterauftragsverarbeiter zu überprüfen: Verantwortliche übersehen oft, dass ihr Auftragsverarbeiter Unterauftragsverarbeiter ohne Genehmigung oder gleichwertige vertragliche Schutzmaßnahmen beauftragt hat.
  • Annahme, dass Auftragsverarbeiter die Rechte betroffener Personen bearbeiten: Verantwortliche bleiben für die Beantwortung von Anfragen betroffener Personen verantwortlich; Auftragsverarbeiter unterstützen lediglich.
  • Ignorieren des Risikos der Neuklassifizierung: Auftragsverarbeiter, die ihre Dienste erweitern und beginnen, Kundendaten für Analysen, Modelltraining oder Benchmarking zu verwenden, können unbeabsichtigt zu Verantwortlichen werden, ohne die Änderung zu erkennen.

Für Organisationen, die Einwilligungen und Datenflüsse über Websites und digitale Eigenschaften verwalten, kann eine Consent Management Platform wie Biscotti CMP Verantwortlichen helfen, rechtmäßige Grundlagen zu dokumentieren und Einwilligungsaufzeichnungen zu verwalten, ein grundlegendes Element der Rechenschaftspflicht des Verantwortlichen nach der DSGVO.

Wie sollte ein kleines Unternehmen mit den Verantwortlichkeiten von Verantwortlichen und Auftragsverarbeitern umgehen?

Kleine Unternehmen sind nicht vom DSGVO-Rahmen für Verantwortliche und Auftragsverarbeiter ausgenommen. Wenn ein kleines Unternehmen Kundendaten sammelt, selbst nur E-Mail-Adressen für einen Newsletter, ist es ein Verantwortlicher und muss alle Pflichten des Verantwortlichen erfüllen.

Praktische Schritte für kleine Unternehmen:

  1. Erfassen Sie jedes Tool oder jeden Anbieter, der personenbezogene Daten in Ihrem Namen verarbeitet (E-Mail-Plattformen, Analysetools, Zahlungsabwickler, CRMs).
  2. Bestätigen Sie, ob eine unterzeichnete DPA mit jedem Anbieter existiert.
  3. Überprüfen Sie, ob die DPA jedes Anbieters die Mindestanforderungen der DSGVO erfüllt.
  4. Veröffentlichen Sie eine konforme Datenschutzerklärung, die Ihre Verarbeitungstätigkeiten genau beschreibt.
  5. Richten Sie einen Prozess ein, um Anfragen betroffener Personen innerhalb des gesetzlichen 30-Tage-Fensters zu beantworten.

Der britische Data (Use and Access) Act 2026, der am 19. Juni 2026 die königliche Zustimmung erhielt, führt weitere Änderungen im Datenschutzrecht ein, die in Großbritannien ansässige kleine Unternehmen mit Rechtsbeistand prüfen sollten, um sicherzustellen, dass ihre Verantwortlichenpflichten aktuell bleiben [1].


Häufig gestellte Fragen

F: Ist ein SaaS-Unternehmen immer ein Auftragsverarbeiter? Ein SaaS-Unternehmen ist nur dann ein Auftragsverarbeiter, wenn es personenbezogene Daten streng im Auftrag seiner Kunden und zu keinem unabhängigen Zweck verarbeitet. Wenn es Kundendaten für eigene Analysen, Produktverbesserungen oder Marketing verwendet, wird es für diese Aktivitäten zum Verantwortlichen.

F: Muss ein Auftragsverarbeiter sich bei einer Aufsichtsbehörde registrieren? Die Registrierungsanforderungen variieren je nach EU-Mitgliedstaat. Auftragsverarbeiter müssen jedoch interne Verzeichnisse von Verarbeitungstätigkeiten (RoPA) gemäß Artikel 30 der DSGVO führen, wenn sie 250 oder mehr Personen beschäftigen oder wenn die Verarbeitung voraussichtlich ein Risiko für betroffene Personen darstellt.

F: Kann ein Auftragsverarbeiter die Anweisung eines Verantwortlichen ablehnen? Ja, wenn die Befolgung der Anweisung den Auftragsverarbeiter dazu zwingen würde, gegen die DSGVO zu verstoßen. In solchen Fällen sollte der Auftragsverarbeiter den Verantwortlichen benachrichtigen und, falls die Anweisung nicht korrigiert wird, möglicherweise die Beziehung beenden müssen.

F: Was ist eine gemeinsame Verantwortlichkeit? Gemeinsame Verantwortliche existieren, wenn zwei oder mehr Stellen gemeinsam die Zwecke und Mittel der Verarbeitung bestimmen. Sie müssen ihre jeweiligen Verantwortlichkeiten in einer transparenten Vereinbarung dokumentieren und den wesentlichen Inhalt dieser Vereinbarung den betroffenen Personen zur Verfügung stellen [1].

F: Wie lange muss eine DPA in Kraft bleiben? Eine DPA sollte für die Dauer der Verarbeitungsbeziehung in Kraft bleiben. Nach Beendigung regelt sie die Pflicht des Auftragsverarbeiters zur Löschung oder Rückgabe aller personenbezogenen Daten.

F: Haften Auftragsverarbeiter für Bußgelder, die gegen Verantwortliche verhängt werden? Nein. Bußgelder werden gegen die Stelle verhängt, die den Verstoß begangen hat. Auftragsverarbeiter können jedoch separate Bußgelder für eigene Verstöße erhalten und können Freistellungsansprüchen von Verantwortlichen gemäß der DPA ausgesetzt sein.

F: Gilt die DSGVO für Auftragsverarbeiter außerhalb der EU? Ja. Die DSGVO gilt für Auftragsverarbeiter außerhalb der EU, wenn sie personenbezogene Daten von EU-Bürgern im Auftrag von in der EU ansässigen Verantwortlichen verarbeiten oder wenn sie anderweitig dem territorialen Geltungsbereich der DSGVO gemäß Artikel 3 unterliegen.

F: Was ist der Unterschied zwischen einer DPA und einer Standardvertragsklausel? Eine DPA regelt die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter im Inland. Standardvertragsklauseln (SCCs) sind spezifische vertragliche Mechanismen für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/EWR, für die kein Angemessenheitsbeschluss vorliegt.


Fazit

Verantwortlicher vs. Auftragsverarbeiter: Die Haftung nach der DSGVO zu verstehen, ist keine abstrakte Rechtsübung, sondern bestimmt, wer behördliche Bußgelder zahlen muss, wer betroffene Personen entschädigt und wer gegenüber Aufsichtsbehörden rechenschaftspflichtig ist, wenn etwas schiefgeht. Die Unterscheidung beruht auf einer Tatsachenfrage bezüglich der Entscheidungsbefugnis, nicht auf Vertragsbezeichnungen.

Umsetzbare nächste Schritte:

  1. Führen Sie eine Datenmapping-Übung durch, um jede Verarbeitungstätigkeit und die Rolle Ihrer Organisation darin zu identifizieren.
  2. Prüfen Sie bestehende Anbieterverträge, um sicherzustellen, dass mit jedem beauftragten Auftragsverarbeiter konforme DPAs vorhanden sind.
  3. Überprüfen Sie Unterauftragsverarbeiter-Vereinbarungen, um sicherzustellen, dass eine vorherige Genehmigung vorliegt und gleichwertige Pflichten auferlegt werden.
  4. Wenn Sie sowohl als Verantwortlicher als auch als Auftragsverarbeiter in verschiedenen Aktivitäten agieren, dokumentieren Sie jede Rolle separat.
  5. Für britische Organisationen: Prüfen Sie die Auswirkungen des Data (Use and Access) Act 2026 mit qualifiziertem Rechtsbeistand.
  6. Implementieren Sie eine Consent Management Lösung wie Biscotti CMP, um prüfbare Einwilligungsaufzeichnungen zu führen und Ihre Verantwortlichenpflichten zu unterstützen.

Fehlklassifizierung ist keine Formalität, sondern eine Compliance-Lücke mit direkten finanziellen und reputativen Folgen. Die Rollen von Anfang an richtig zu bestimmen, ist die kostengünstigste DSGVO-Investition, die jede Organisation tätigen kann.


Referenzen

[1] What Are Controllers And Processors - https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/controllers-and-processors/controllers-and-processors/what-are-controllers-and-processors/?utm_source=openai

[2] Art 82 GDPR - https://gdpr-info.eu/art-82-gdpr/?utm_source=openai

[3] Controller And Processor Relationships - https://dataprotection.ie/en/organisations/know-your-obligations/controller-and-processor-relationships?utm_source=openai

← Zurück zum Blog
Biscotti CMP

Consent Management und Legal Text Generator der Campcruisers GmbH. Kann Sie bei Ihrer Webseiten-Compliance unterstützen.

Produkt

🏢 Über unsFunktionenPreiseDokumentation🔍 Cookie-Check📦 Downloads📚 Datenschutz & Consent Wissensdatenbank📝 Blog📖 Cookie-Consent & Datenschutz-Glossar🌍 Jurisdiktionen♿ WCAG 2.2 Barrierefreies Consent-Banner

Rechtliches

ImpressumDatenschutzAGBWiderrufsrechtAVVCookie-Richtlinie

Kontakt

Kontakt
© 2026 Biscotti – Ein Service der Campcruisers GmbH🍪 Cookie-Einstellungen ändern