Im Datenschutzbereich wird immer wieder die Frage aufgeworfen, wer denn für die Datenverarbeitung rechtlich verantwortlich ist. Eine Frage, die auf den ersten Blick leicht zu beantworten erscheint: Wer die Daten verarbeitet, ist auch verantwortlich. Doch die Beratungspraxis zeigt ein deutlich komplexeres Bild, insbesondere in Konzernstrukturen mit mehreren Gesellschaften.
Immer wieder hören wir Aussagen wie: „Die Konzernmutter hat uns die Vorgabe gemacht, also ist sie auch datenschutzrechtlich verantwortlich.“ oder „Der Datenschutzvorfall ist bei unserer Schwestergesellschaft passiert, wir haben damit nichts zu tun.“ Doch dieses Fingerpointing erschwert nicht nur die Etablierung klarer Prozesse, sondern führt auch dazu, dass wichtige Aufgaben und Pflichten unberücksichtigt bleiben, weil sich niemand verantwortlich fühlt. Spätestens im Ernstfall, wenn schnelle und koordinierte Maßnahmen gefragt sind, wird deutlich, wie gefährlich diese (gegenseitigen) Schuldzuweisungen im Unternehmen sein können.
Um eine Übersicht über die verschiedenen Rollen zu erhalten, werden in diesem Beitrag die beiden zentralen Rollen der datenschutzrechtlichen Verantwortlichkeit einmal näher erläutert.
Der datenschutzrechtlich Verantwortliche
Im Datenschutzrecht nimmt der Verantwortliche eine wichtige Rolle ein: Nach Art. 4 Nr. 7 DSGVO gilt als Verantwortlicher
„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ (Hervorhebungen durch die Autorin)
Maßgeblich ist also, wer darüber bestimmt, ob und wie Daten verarbeitet werden. Hierbei ist es zudem wichtig, auch die beiden Begrifflichkeiten „datenschutzrechtlich Verantwortlicher“ und „im Unternehmen verantwortliche Stelle/Person“ klar zu trennen. Letztere bezeichnet lediglich die interne Zuständigkeit, nicht aber die rechtliche Verantwortlichkeit, die mit den Pflichten nach Art. 12 ff. DSGVO (Informationspflicht, Meldepflicht bei Datenschutzpannen, Anforderungen an die Auftragsverarbeitung usw.) einhergeht.
Gibt bspw. die Konzernmutter die Verwendung eines spezifischen Softwaretools vor, macht diese Vorgabe sie nicht automatisch zur verantwortlichen Stelle. Entscheidend ist, wer die Kontrolle über die Datenverarbeitung ausübt – also über die Mittel und den Zweck der Datenverarbeitung entscheidet. Setzt das Tochterunternehmen die Vorgabe um und bestimmt dabei selbst, welche Daten erhoben, wie sie genutzt und wie lange sie gespeichert werden, ist die Tochtergesellschaft Verantwortliche im Sinne der DSGVO.
Legen hingegen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung fest, so liegt gemäß Art. 26 Abs. 1 S. 1 DSGVO eine gemeinsame Verantwortlichkeit vor.
In solchen Fällen müssen die Parteien gemäß Art. 26 DSGVO in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 DSGVO nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.
Bei der Beurteilung der Verantwortlichkeit spielen grundsätzlich verschiedene Faktoren eine Rolle (wir berichteten). Grundsätzlich liegt nach Ansicht des EDPB eine gemeinsame Verantwortlichkeit immer dann vor, wenn die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre. Das bedeutet, dass die Verarbeitungsvorgänge der Parteien untrennbar miteinander verbunden sein müssen. Zudem betont das EDPB, dass die Beteiligten auch die Zwecke und Mittel der Verarbeitung gemeinsam festlegen müssen. Eine gemeinsame Verantwortlichkeit kann jedoch verneint werden, wenn mehrere Stellen zwar eine gemeinsame Datenbank (Mittel) nutzen, aber jede Stelle ihre eigenen Zwecke eigenständig festlegt.
Der Auftragsverarbeiter
Als Auftragsverarbeiter wird nach Art. 4 Nr. 8 DSGVO
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle [bezeichnet], die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.
Das bedeutet jedoch nicht, dass jeder Dienstleister, der personenbezogene Daten im Rahmen seiner Leistungserbringung vom Auftraggeber erhält, automatisch auch ein Auftragsverarbeiter gemäß Art. 28 DSGVO ist. Vielmehr kommt es darauf an, ob der Dienstleister im Rahmen seiner Leistungserbringung streng weisungsgebunden handelt, wie mit den personenbezogenen Daten umzugehen ist, oder einen eigenen Handlungs- und Entscheidungsspielraum hinsichtlich der verarbeiteten Daten hat, z. B. durch eigene einzuhaltende Vorschriften oder Standesregeln.
Eine Auftragsverarbeitung liegt nach Auffassung des EDPB regelmäßig dann vor, wenn die Dienstleistung explizit auf die Verarbeitung personenbezogener Daten abzielt oder die Verarbeitung ein Schlüsselelement der Dienstleistung darstellt. Eine Auftragsverarbeitung kann aber auch vorliegen, wenn die Hauptaufgabe nicht in der Verarbeitung personenbezogener Daten liegt, sondern der Auftraggeber wesentlichen Einfluss auf die Verarbeitung – insbesondre die Art, den Umfang und den Zweck der Verarbeitung – im Rahmen der geschuldeten Leistung nehmen kann.
Stellt bspw. eine Tochtergesellschaft ein Callcenter oder ein CRM-System für die gesamte Unternehmensgruppe bereit und verarbeitet die Daten der anderen Konzerngesellschaften ausschließlich in dem von den jeweiligen Gesellschaften vorgegebenen Umfang und definierten Zweck, so liegt eine Auftragsverarbeitung vor. Die beauftragenden Gesellschaften bleiben hierbei eigenverantwortlich nach Art. 4 Nr. 7 DSGVO und müssen sicherstellen, dass die gesetzlichen Vorgaben im Rahmen der Verarbeitung eingehalten werden – auch wenn die Daten faktisch durch eine andere Stelle bzw. ein anderes Unternehmen verarbeitet werden. Aus diesem Grund wird der Auftragsverarbeiter von Dritten häufig auch wie ein verlängerter Arm oder eine eigene Abteilung des datenschutzrechtlich Verantwortlichen wahrgenommen. Die Rollenverteilung spiegelt sich auch in den Pflichten und Aufgaben gemäß Art. 28 DSGVO wider. So muss bspw. der Auftragsverarbeiter den Auftraggeber bei der Beantwortung seiner Betroffenenanfragen oder auch bei den in Art. 32 bis 36 DSGVO genannten Pflichten unterstützen.
Das Kernstück dieser Rechtsbeziehung ist somit die Weisungsgebundenheit im Sinne des Art. Abs. 3 S. 2 lit. a DSGVO. Sie verpflichtet den Auftragsverarbeiter, personenbezogenen Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen (Auftraggebers) zu verarbeiten. Eine Abweichung von den vertraglich vereinbarten Klauseln ist untersagt.
Wichtig: Der bloße Abschluss eines Auftragsverarbeitungsvertrags begründet nicht automatisch auch das Bestehen eines Auftragsverarbeitungsverhältnis und heilt nicht die falsche Einordnung. Doch so eindeutig wie in den dargestellten Fällen ist es in der Praxis nicht immer, insbesondere wenn eine der Muttergesellschaft als Auftragsverarbeiter auftritt. Allein aufgrund des gesellschaftsrechtlichen Machtgefälles erscheint es wenig realistisch, dass eine Tochter verbindliche Weisungen an die Mutter erteilen kann. Das Kammergericht Berlin stellte bereits 2014 in seinem Urteil vom 24.01.2014 (Az.: 5 U 42/12) fest, dass eine Auftragsverarbeitung durch die Muttergesellschaft für eine 100-prozentige Tochtergesellschaft datenschutzrechtlich nicht in Betracht kommt. Zwar vertreten die Aufsichtsbehörden und der Europäische Datenschutzausschuss (EDSA) eine andere Auffassung (vgl. Rn. 71 der Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO), doch diese ist rechtlich nicht bindend, weshalb die Bewertung jedes Einzelfalls sorgfältig geprüft (und ggf. näher erörtert) werden muss.
Ein Indiz für das Fehlen einer Weisungsgebundenheit liegt hingegen vor, wenn z. B. der Dienstleister die erhaltenen Daten über den Auftrag hinaus für eigene Zwecke verarbeitet oder selbst darüber entscheiden kann, über welche Systeme er die Daten verarbeitet. Diese eigenverantwortliche Verarbeitung hat Einfluss darauf, welche gesetzlichen Pflichten und Aufgaben den Vertragspartnern auferlegt werden.
Beispiel: Ein Handwerker, der die Kontaktdaten und Adressen eines Mieters über den Vermieter erhält, um einen Termin zu vereinbaren und den Mangel vor Ort zu beseitigen, verarbeitet zwar personenbezogene Daten, aber sein Auftrag liegt in der fachlichen Dienstleistung als Handwerker und nicht in der Datenverarbeitung als solche. Zudem hat der Vermieter keinen Einfluss darauf, ob und wie der Handwerker die Daten verarbeitet.
Auch bei Berufsgruppen wie Rechtsanwälten oder Steuerberatern liegt regelmäßig keine Auftragsverarbeitung vor. Zwar können auch sie im Rahmen des Mandatsvertrags personenbezogene Daten von ihren Klienten erhalten, allerdings muss alleine aufgrund der Tätigkeit als Berufsgeheimnisträger eine gewisse Unabhängigkeit und Weisungsfreiheit vorliegen, sodass auch diese Berufsgruppen die erhaltenen Daten in eigener Verantwortlichkeit verarbeiten.
Übermittelt demnach ein Verantwortlicher personenbezogene Daten an einen Dienstleister, der nicht als Auftragsverarbeiter einzustufen ist, so sind beide Parteien eigenständig für die Einhaltung der Verpflichtungen aus der DSGVO in ihrem jeweiligen Hoheitsbereich verantwortlich und müssen sicherstellen, dass die Daten nur in dem zulässigen Umfang verarbeitet werden.
Fazit
Auch wenn in der Praxis die Grenzen zwischen den aufgezeigten datenschutzrechtlichen Rollen oft fließend sind, ist eine klare Abgrenzung gerade in Zeiten komplexer Konzernstrukturen und digitaler Vernetzung umso wichtiger, um die Verantwortlichkeiten klar abstecken zu können und im Ernstfall unverzüglich und koordiniert reagieren zu können, um unternehmerische Risiken zu vermeiden.
10. Dezember 2025 @ 11:11
Ein Auftragsverarbeiter, der seine Dienstleistung am Markt anbietet, lässt sich doch nicht von einem der tausend Kunden in Zwecke und Mittel hereinreden … Da passt was nicht.
11. Dezember 2025 @ 14:55
Sie sprechen da einen interessanten Punkt an. Allerdings sollte dies differenziert betrachtet werden: Jeder Verantwortliche entscheidet selbst, welchen Dienstleister er einsetzt und ob er die damit verbundenen Verarbeitungen akzeptiert. Bei großen Anbietern (insbesondere mit erheblicher Marktmacht) sind die Vertragsinhalte meist nicht verhandelbar, was die Einflussmöglichkeiten der Kunden einschränkt. Dennoch handelt es sich datenschutzrechtlich um eine Auftragsverarbeitung, solange der Dienstleister die Daten nicht für eigene Zwecke nutzt und die Daten gemäß der Vereinbarung („Weisung“) verarbeitet.
15. Dezember 2025 @ 9:24
Der Dienstleister mag sich zwar nicht in sein Produkt reinreden lassen, er hat aber selbst ja erstmal keine Daten seiner Kunden, die er verarbeiten könnte. Es reicht daher für die Bestimmung der Mittel und Zwecke vollkommen aus, wenn der Kunde sagt „Bitte verarbeite die folgenden Datensätze zu den Zwecken und mit den Mitteln, die Du in der Produktbeschreibung für dein Produkt XYZ angegeben hast. Bitte dabei wie folgt verschlüsseln, Löschung nach X Monaten, danke!“ Damit sagt der Kunde ja genau, wie die Daten verarbeitet werden dürfen, die er dem Dienstleister überlässt.