Datenschutz in der Lieferkette - Verantwortlicher vs. Auftragsverarbeiter – Rollen richtig verstehen

Eine der häufigsten Fehlerquellen im Datenschutz ist die falsche Einordnung von Rollen.

Viele Unternehmen wissen nicht genau:

  • Sind wir Verantwortlicher oder Auftragsverarbeiter?
  • Welche Rolle hat unser Dienstleister?
  • Welche Pflichten ergeben sich daraus?

Dabei ist genau diese Unterscheidung entscheidend für die DSGVO-Konformität.

In der Lieferkette ist das besonders wichtig, da hier mehrere Parteien beteiligt sind.

In diesem Beitrag erfahren Sie:

  • was ein Verantwortlicher ist
  • was ein Auftragsverarbeiter ist
  • worin die Unterschiede liegen
  • und wie Sie die Rollen richtig einordnen

Was ist ein Verantwortlicher?

Der Verantwortliche ist die zentrale Rolle im Datenschutz.

Er entscheidet:

  • warum Daten verarbeitet werden
  • wie Daten verarbeitet werden

Das bedeutet:
Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest.

Typische Beispiele
  • Unternehmen, die Kundendaten verwalten
  • Online-Shops
  • Arbeitgeber (für Mitarbeiterdaten)

In der Regel sind Sie als Unternehmen der Verantwortliche.

Was ist ein Auftragsverarbeiter?

Ein Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen.

Er handelt:

  • nach Weisung
  • ohne eigene Entscheidungsbefugnis über Zweck und Mittel

Typische Beispiele
  • Cloud-Anbieter
  • IT-Dienstleister
  • Newsletter-Tools
  • Hosting-Anbieter

Diese Dienstleister unterstützen Sie, treffen aber keine eigenen Entscheidungen über die Datenverarbeitung.

Der zentrale Unterschied

Der wichtigste Unterschied liegt in der Entscheidungsgewalt.

Verantwortlicher:

  • entscheidet über Zweck und Mittel
  • trägt die Hauptverantwortung

Auftragsverarbeiter:

  • verarbeitet Daten im Auftrag
  • folgt den Vorgaben des Verantwortlichen

Warum ist die richtige Einordnung so wichtig?

Die Einordnung hat direkte Auswirkungen auf:

  • Verträge (z. B. AV-Vertrag)
  • Haftung
  • Pflichten nach der DSGVO
  • Kontrollrechte

Eine falsche Einordnung kann zu Datenschutzverstößen führen.

Praxisbeispiele zur Einordnung

Beispiel 1: Newsletter-Tool

Sie nutzen ein Tool für den Versand von Newslettern.

  • Sie entscheiden über Inhalte und Empfänger → Verantwortlicher
  • der Anbieter versendet die E-Mails → Auftragsverarbeiter

Beispiel 2: Steuerberater

Ein Steuerberater verarbeitet Daten eigenständig.

  • entscheidet selbst über die Verarbeitung
    → eigenständiger Verantwortlicher

Beispiel 3: Cloud-Speicher

Ein Anbieter stellt Speicherplatz bereit.

  • Sie bestimmen, welche Daten gespeichert werden
    → Sie sind Verantwortlicher
    → Anbieter ist Auftragsverarbeiter

Sonderfall: Gemeinsame Verantwortlichkeit

In manchen Fällen sind mehrere Parteien gemeinsam verantwortlich.

Das bedeutet:

  • beide Parteien entscheiden gemeinsam über Zweck und Mittel

Beispiel:

  • gemeinsame Marketingaktionen

Hier ist eine besondere Vereinbarung erforderlich.

Typische Fehler in der Praxis

Viele Unternehmen machen ähnliche Fehler:

1. Falsche Einordnung

Dienstleister werden falsch eingeordnet.

2. Kein AV-Vertrag

Ein notwendiger Vertrag fehlt.

3. Verantwortung wird abgegeben

Unternehmen glauben, der Dienstleister sei verantwortlich.

4. Unklare Zuständigkeiten

Es ist nicht geregelt, wer was macht.


Wie ordnen Sie Rollen richtig zu?

Ein strukturierter Ansatz hilft:

1. Wer entscheidet über den Zweck?

Wenn Sie den Zweck festlegen → Verantwortlicher

2. Wer entscheidet über die Mittel?

Wenn Sie die wesentlichen Mittel bestimmen → Verantwortlicher

3. Hat der Dienstleister eigene Interessen?

Wenn ja → eher eigenständiger Verantwortlicher

4. Erfolgt die Verarbeitung nur im Auftrag?

Dann → Auftragsverarbeiter


Welche Pflichten haben Verantwortliche?

Als Verantwortlicher müssen Sie:

  • die DSGVO einhalten
  • Dienstleister prüfen
  • AV-Verträge abschließen
  • Risiken bewerten
  • Datenschutz sicherstellen
  • Nachweise führen

Welche Pflichten haben Auftragsverarbeiter?

Auftragsverarbeiter müssen:

  • Daten nur nach Weisung verarbeiten
  • Sicherheitsmaßnahmen umsetzen
  • Datenschutzverletzungen melden
  • Sie unterstützen

Praxisbeispiel: Typische Lieferkette

Ein Unternehmen nutzt:

  • CRM-System
  • Cloud-Speicher
  • IT-Dienstleister

Rollen:

  • Unternehmen → Verantwortlicher
  • alle Dienstleister → Auftragsverarbeiter

Notwendig:

  • AV-Verträge
  • Prüfung der Anbieter
  • Dokumentation

Welche Folgen drohen bei falscher Einordnung?

Fehler können zu:

  • DSGVO-Verstößen
  • Bußgeldern
  • fehlenden Verträgen
  • rechtlichen Unsicherheiten

führen.

Best Practices für Unternehmen

So gehen Sie sicher vor:

  • Rollen bewusst prüfen
  • klare Verträge abschließen
  • Verantwortlichkeiten definieren
  • Dokumentation führen
  • regelmäßig überprüfen

Die Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter ist zentral für den Datenschutz.

Die wichtigsten Punkte:

  • Verantwortlicher entscheidet
  • Auftragsverarbeiter führt aus
  • richtige Einordnung ist entscheidend
  • Verträge und Kontrolle sind Pflicht

Wenn Sie diese Rollen korrekt zuordnen, schaffen Sie eine wichtige Grundlage für DSGVO-Konformität.

Sie sind unsicher bei der Einordnung Ihrer Dienstleister?
Wir unterstützen Sie bei der Analyse Ihrer Lieferkette und der rechtssicheren Umsetzung.

Jetzt Beratung anfragen auf www.datenschutz-prinz.de

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Abonnieren Sie auch gerne unseren Blog für mehr Informationen rund um die Themen Datenschutz, KI, IT-Sicherheit und digitale Awareness.


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Schulfotos und Datenschutz – was Eltern und Schule...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.