Datenschutz in der Lieferkette - Verantwortlicher vs. Auftragsverarbeiter – Rollen richtig verstehen
Eine der häufigsten Fehlerquellen im Datenschutz ist die falsche Einordnung von Rollen.
Viele Unternehmen wissen nicht genau:
- Sind wir Verantwortlicher oder Auftragsverarbeiter?
- Welche Rolle hat unser Dienstleister?
- Welche Pflichten ergeben sich daraus?
Dabei ist genau diese Unterscheidung entscheidend für die DSGVO-Konformität.
In der Lieferkette ist das besonders wichtig, da hier mehrere Parteien beteiligt sind.
In diesem Beitrag erfahren Sie:
- was ein Verantwortlicher ist
- was ein Auftragsverarbeiter ist
- worin die Unterschiede liegen
- und wie Sie die Rollen richtig einordnen
Der Verantwortliche ist die zentrale Rolle im Datenschutz.
Er entscheidet:
- warum Daten verarbeitet werden
- wie Daten verarbeitet werden
Das bedeutet:
Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest.
- Unternehmen, die Kundendaten verwalten
- Online-Shops
- Arbeitgeber (für Mitarbeiterdaten)
In der Regel sind Sie als Unternehmen der Verantwortliche.
Was ist ein Auftragsverarbeiter?Ein Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen.
Er handelt:
- nach Weisung
- ohne eigene Entscheidungsbefugnis über Zweck und Mittel
- Cloud-Anbieter
- IT-Dienstleister
- Newsletter-Tools
- Hosting-Anbieter
Diese Dienstleister unterstützen Sie, treffen aber keine eigenen Entscheidungen über die Datenverarbeitung.
Der zentrale UnterschiedDer wichtigste Unterschied liegt in der Entscheidungsgewalt.
Verantwortlicher:
- entscheidet über Zweck und Mittel
- trägt die Hauptverantwortung
Auftragsverarbeiter:
- verarbeitet Daten im Auftrag
- folgt den Vorgaben des Verantwortlichen
Die Einordnung hat direkte Auswirkungen auf:
- Verträge (z. B. AV-Vertrag)
- Haftung
- Pflichten nach der DSGVO
- Kontrollrechte
Eine falsche Einordnung kann zu Datenschutzverstößen führen.
Praxisbeispiele zur EinordnungSie nutzen ein Tool für den Versand von Newslettern.
- Sie entscheiden über Inhalte und Empfänger → Verantwortlicher
- der Anbieter versendet die E-Mails → Auftragsverarbeiter
Ein Steuerberater verarbeitet Daten eigenständig.
- entscheidet selbst über die Verarbeitung
→ eigenständiger Verantwortlicher
Ein Anbieter stellt Speicherplatz bereit.
- Sie bestimmen, welche Daten gespeichert werden
→ Sie sind Verantwortlicher
→ Anbieter ist Auftragsverarbeiter
In manchen Fällen sind mehrere Parteien gemeinsam verantwortlich.
Das bedeutet:
- beide Parteien entscheiden gemeinsam über Zweck und Mittel
Beispiel:
- gemeinsame Marketingaktionen
Hier ist eine besondere Vereinbarung erforderlich.
Typische Fehler in der PraxisViele Unternehmen machen ähnliche Fehler:
1. Falsche EinordnungDienstleister werden falsch eingeordnet.
2. Kein AV-VertragEin notwendiger Vertrag fehlt.
3. Verantwortung wird abgegebenUnternehmen glauben, der Dienstleister sei verantwortlich.
4. Unklare ZuständigkeitenEs ist nicht geregelt, wer was macht.
Wie ordnen Sie Rollen richtig zu?Ein strukturierter Ansatz hilft:
1. Wer entscheidet über den Zweck?Wenn Sie den Zweck festlegen → Verantwortlicher
2. Wer entscheidet über die Mittel?Wenn Sie die wesentlichen Mittel bestimmen → Verantwortlicher
3. Hat der Dienstleister eigene Interessen?Wenn ja → eher eigenständiger Verantwortlicher
4. Erfolgt die Verarbeitung nur im Auftrag?Dann → Auftragsverarbeiter
Welche Pflichten haben Verantwortliche?Als Verantwortlicher müssen Sie:
- die DSGVO einhalten
- Dienstleister prüfen
- AV-Verträge abschließen
- Risiken bewerten
- Datenschutz sicherstellen
- Nachweise führen
Auftragsverarbeiter müssen:
- Daten nur nach Weisung verarbeiten
- Sicherheitsmaßnahmen umsetzen
- Datenschutzverletzungen melden
- Sie unterstützen
Ein Unternehmen nutzt:
- CRM-System
- Cloud-Speicher
- IT-Dienstleister
Rollen:
- Unternehmen → Verantwortlicher
- alle Dienstleister → Auftragsverarbeiter
Notwendig:
- AV-Verträge
- Prüfung der Anbieter
- Dokumentation
Fehler können zu:
- DSGVO-Verstößen
- Bußgeldern
- fehlenden Verträgen
- rechtlichen Unsicherheiten
führen.
Best Practices für UnternehmenSo gehen Sie sicher vor:
- Rollen bewusst prüfen
- klare Verträge abschließen
- Verantwortlichkeiten definieren
- Dokumentation führen
- regelmäßig überprüfen
Die Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter ist zentral für den Datenschutz.
Die wichtigsten Punkte:
- Verantwortlicher entscheidet
- Auftragsverarbeiter führt aus
- richtige Einordnung ist entscheidend
- Verträge und Kontrolle sind Pflicht
Wenn Sie diese Rollen korrekt zuordnen, schaffen Sie eine wichtige Grundlage für DSGVO-Konformität.
Sie sind unsicher bei der Einordnung Ihrer Dienstleister?
Wir unterstützen Sie bei der Analyse Ihrer Lieferkette und der rechtssicheren Umsetzung.
Jetzt Beratung anfragen auf www.datenschutz-prinz.de
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz
Abonnieren Sie auch gerne unseren Blog für mehr Informationen rund um die Themen Datenschutz, KI, IT-Sicherheit und digitale Awareness.