Can a non-citizen be a data subject?

Ja – jeder kann eine betroffene Person sein, einschließlich Einwohner, Flüchtlinge, Touristen und sogar Menschen außerhalb eines Landes, in dem die DSGVO direkt gilt. Ob eine Person Bürger eines europäischen Landes ist, ist für die Frage, ob sie eine betroffene Person ist, nicht relevant.

Can people outside Europe be data subjects?

Ja, auch Personen außerhalb Europas können Betroffene sein. Die DSGVO gilt für Organisationen, die im Rahmen ihrer Aktivitäten in der EU (oder im Vereinigten Königreich oder im weiteren Europäischen Wirtschaftsraum) personenbezogene Daten verarbeiten. Wenn Sie also beispielsweise im Vereinigten Königreich ansässig sind und zu Ihren Kunden Personen im Vereinigten Königreich und in den USA gehören, können alle Betroffene mit denselben Betroffenenrechten Betroffene sein.

Are US companies responsible for EU or UK data subjects?

Ja, die DSGVO gilt, wenn Sie Produkte oder Dienstleistungen in der EU oder im Vereinigten Königreich anbieten – oder sogar, wenn Sie in Ihren zielgerichteten Werbekampagnen Daten von Europäern verwenden.

Can a child be a data subject?

Ja, ein Kind kann eine betroffene Person sein. Die DSGVO enthält spezielle Regeln für personenbezogene Daten von Kindern, aber sie können trotzdem betroffene Personen sein.

If someone from outside the EU travels into the EU, are they a data subject?

Ja. Wenn Ihr Unternehmen der DSGVO unterliegt, gilt das Gesetz für jede Verarbeitung personenbezogener Daten im Rahmen Ihrer europäischen Geschäftstätigkeit. Die Nationalität der betroffenen Personen ist nicht relevant.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?

Daten spielen in der modernen Geschäfts- und Technologiewelt eine entscheidende Rolle. Sie helfen uns, die Welt um uns herum besser zu verstehen und Menschen so zu unterstützen, wie sie es benötigen.

Um Daten effektiv nutzen zu können, sind sorgfältige Datenverwaltungsprozesse erforderlich, um die Sicherheit der Informationen der Personen zu gewährleisten. Deshalb sind Datenverantwortliche und Datenverarbeiter von entscheidender Bedeutung. Im Rahmen der Datenschutz-Grundverordnung (DSGVO) definieren diese beiden Rollen, wie Daten verarbeitet und geschützt werden und wie die Einhaltung der einschlägigen Vorschriften gewährleistet wird.

Obwohl die Begriffe manchmal synonym verwendet werden, hat jeder von ihnen seine eigenen Definitionen, Verantwortlichkeiten und rechtlichen Verpflichtungen. In diesem Leitfaden machen wir die wichtigsten Unterschiede zwischen einem Datenverantwortlichen und einem Datenverarbeiter so deutlich wie möglich, ebenso wie ihre Verantwortlichkeiten und wie sie in der Praxis interagieren.

Was ist ein Datenverantwortlicher?

Ein Datenverantwortlicher ist eine Organisation oder Einzelperson, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten einer betroffenen Person bestimmt. In der Praxis bedeutet dies, dass ein Datenverantwortlicher die endgültige Entscheidungsbefugnis über die Erhebung, Verwendung und Speicherung personenbezogener Daten hat.

Pflichten des Datenverantwortlichen:

Definieren Sie den Zweck der Datenerhebung und Datenverarbeitung
Legen Sie Methoden zur Datenerfassung fest und berücksichtigen Sie dabei den Datenschutz und die Einhaltung der DSGVO-Grundsätze.
Stellen Sie sicher, dass die Daten sicher gespeichert werden und dass sie vor unbefugtem Zugriff, Datenverlust, Änderung oder Offenlegung geschützt sind. Dies kann die Ernennung eines Datenschutzbeauftragten umfassen, der diese Schutzmaßnahmen kontinuierlich überwacht.
Dokumentieren Sie die rechtmäßigen Zwecke einer Organisation für die Datenverarbeitung.
Verwalten Sie die Rechte betroffener Personen, einschließlich der Bearbeitung von Zugriffsanfragen betroffener Personen, Datenschutzhinweisen und Löschungsanfragen.

Organisationen können sich als vertrauenswürdige Datenverarbeiter etablieren, indem sie dieser Verantwortung nachkommen, sorgfältig kontrollieren, wofür personenbezogene Daten verwendet werden und diese sicher aufbewahren.

Beispiele für Verantwortliche:

Ein Einzelhändler, der Kundeninformationen zu Marketingzwecken sammelt.
Ein Arbeitgeber, der Mitarbeiterdaten für Lohn- und Personalzwecke verarbeitet.

Nicht jede Organisation verfügt über eine eigene Rechtspersönlichkeit, die als Datenverantwortlicher fungiert, wie etwa Freiwilligengruppen oder nicht eingetragene Vereine. In diesen Fällen wird wahrscheinlich die Person, die im Namen der Mitglieder für die Verwaltung einer Organisation verantwortlich ist, als Datenverantwortlicher benannt.

Zwar kann eine Organisation als Datenverantwortlicher identifiziert werden, aus rechtlichen Gründen werden jedoch die Gesamtentscheidungen von den jeweiligen Einzelpersonen getroffen.

Was ist ein Auftragsverarbeiter?

Anders als der Verantwortliche entscheidet der Auftragsverarbeiter nicht darüber, wie oder warum Daten verarbeitet werden. Stattdessen befolgt er die Anweisungen des Verantwortlichen und verarbeitet die Daten in seinem Namen. Er handelt unter der Autorität des Verantwortlichen und führt nur die erforderliche Verarbeitung durch.

Pflichten eines Datenverarbeiters:

Verarbeiten Sie relevante Daten gemäß den dokumentierten Anweisungen des Verantwortlichen.
Befolgen Sie alle relevanten Datenschutzgesetze (DSGVO).
Implementieren Sie Datensicherheitsmaßnahmen, um alle Daten zu schützen. Dies kann sowohl auf technischer als auch auf organisatorischer Ebene erfolgen.
Informieren Sie den Verantwortlichen umgehend über etwaige Datenschutzverletzungen.
Stellen Sie sicher, dass alle Subunternehmer oder Drittparteien dieselben Datenschutzstandards einhalten wie der Datenverarbeiter selbst.

Da Datenverarbeiter die Verantwortlichen unterstützen, müssen sie sich bei der Ausführung von Aktionen im Auftrag des Verantwortlichen an dieselben Standards halten. Auf diese Weise stärken sie ihre Position als vertrauenswürdiger Datenverarbeiter, auf den sich die Verantwortlichen verlassen können.

Beispiele für Auftragsverarbeiter:

Ein Lohn- und Gehaltsabrechnungsdienstleister, der im Auftrag eines Unternehmens die Gehälter der Mitarbeiter verarbeitet.
Ein Cloud-Speicheranbieter, der Kundendaten für ein Unternehmen hostet.

Wenn ein Datenverarbeiter außerhalb der Organisation des Datenverantwortlichen existiert, kann er als Drittverarbeiter bezeichnet werden. Dieser Begriff hat dieselbe Definition wie ein Datenverarbeiter, macht aber deutlich, dass es sich um eine vom Datenverantwortlichen getrennte Einheit handelt.

Wesentliche Unterschiede zwischen einem Datenverantwortlichen und einem Datenverarbeiter

Der wichtigste Unterschied zwischen Datenverarbeitern und Datenverantwortlichen besteht darin, dass der Verantwortliche die Hauptverantwortung für die Einhaltung der Gesetze trägt.

Dies liegt daran, dass sie zwischen beiden die höhere Autorität haben. Datenverantwortliche sind dafür verantwortlich, den Zweck und die Mittel der Verarbeitung festzulegen, die von Datenverarbeitern verwendet werden. Es wird wahrscheinlich eine von den Verantwortlichen und den Verarbeitern erstellte Datenverarbeitungsvereinbarung (DPA) zwischen den Verantwortlichen und den Verarbeitern geben, die die Rollen, Verantwortlichkeiten und Pflichten beider Parteien festlegt.

Um die Unterschiede genauer zu erläutern, haben wir jeden Aspekt der Beziehung zwischen Daten, Verantwortlichen und Auftragsverarbeitern aufgeschlüsselt, um die Unterscheidungen so deutlich wie möglich zu machen:

Aspekt	Verantwortlicher	Auftragsverarbeiter
Entscheidungsfindung	Entscheidet über die Zwecke und Mittel der Verarbeitung.	Verarbeitet Daten gemäß den Anweisungen des Verantwortlichen.
Rechenschaftspflicht	Verantwortlich für die allgemeine Einhaltung der DSGVO.	Verantwortlich für die Befolgung der Weisungen der verantwortlichen Stelle sowie der datenschutzrechtlichen Bestimmungen.
Beispiele	Arbeitgeber, Einzelhändler, Gesundheitsdienstleister.	Lohnabrechnungsanbieter, IT-Dienstleister, Cloud-Hosting-Unternehmen.
Compliance-Umfang	Stellt sicher, dass die Rechte der betroffenen Personen gewahrt werden.	Stellt sicher, dass Daten sicher und gemäß den Anweisungen verarbeitet werden.

Pflichten nach der DSGVO

Pflichten des Datenverantwortlichen

Erstellen und Pflegen von Datenverarbeitungsverträgen mit Auftragsverarbeitern.
Gewährleistung von Transparenz durch Bereitstellung von Datenschutzhinweisen für die betroffenen Personen.
Durchführen von Datenschutz-Folgenabschätzungen (DPIAs) für Verarbeitungsaktivitäten mit hohem Risiko.

Pflichten des Datenverarbeiters

Führen eines Verzeichnisses von Verarbeitungstätigkeiten.
Unterstützung der Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen.
Einhaltung der DSGVO-Sicherheitsanforderungen wie Verschlüsselung und Zugriffskontrollen.

Gemeinsam Verantwortliche und Unterauftragsverarbeiter

In der Welt der Daten gibt es noch weitere Rollen, die mit deren Kontrolle und Verarbeitung zu tun haben und mit denen man sich vertraut machen sollte. Dabei handelt es sich um Variationen der beiden Hauptrollen, die ähnliche Eigenschaften haben, aber einige wesentliche Unterschiede aufweisen.

Gemeinsam Verantwortliche

Wenn zwei oder mehr Organisationen gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden, gelten sie als gemeinsame Verantwortliche. Sie teilen sich die gleichen Verantwortlichkeiten, definieren ihre Rollen in einer transparenten Vereinbarung und legen ihre Entscheidungen gemeinsam fest.

Unterauftragsverarbeiter

Ein Auftragsverarbeiter kann Unterauftragsverarbeiter beauftragen, die ihn bei der Datenverarbeitung unterstützen. Hierzu muss er zuvor die Genehmigung des Verantwortlichen einholen und sicherstellen, dass die Unterauftragsverarbeiter dieselben Anweisungen befolgen und die Vorschriften einhalten.

Häufige Missverständnisse über Datenverarbeiter und -verantwortliche

„Ein Verantwortlicher ist immer ein Unternehmen, und ein Auftragsverarbeiter ist immer ein Drittdienstleister.“
Organisationen können sowohl als Verantwortliche als auch als Auftragsverarbeiter fungieren. Dies hängt von der jeweiligen Datenverarbeitungsaktivität ab.
„Auftragsverarbeiter unterliegen im Rahmen der DSGVO keiner Verantwortung.“
Auftragsverarbeiter haben nach wie vor direkte Verpflichtungen gemäß der DSGVO. Sie können haftbar gemacht werden, wenn ihre Aktivitäten zu einer Verletzung ihrer Pflichten führen.
„Sobald ein Datenverarbeiter eingeschaltet ist, trägt der Verantwortliche keine weitere Verantwortung.“
Die Verantwortlichen sind weiterhin dafür verantwortlich, die Einhaltung der Vorschriften sicherzustellen und die Aktivitäten des Auftragsverarbeiters zu überwachen. Das bedeutet, dass sie die letztendliche Verantwortung für beide Parteien tragen.

Best Practices für Datenverantwortliche und -verarbeiter

Für Datenverantwortliche

Da die Verantwortlichen diejenigen sind, die die Mittel und Zwecke aller Daten festlegen, sollten Sie die Rollen und Verantwortlichkeiten in Datenverarbeitungsvereinbarungen von Anfang an klar definieren.

Dokumentieren Sie alle Aspekte Ihrer Richtlinien zur Datenerfassung, -verarbeitung und -sicherheit detailliert, damit alle relevanten Parteien Ihren Umgang mit Daten verstehen und sicherstellen können, dass sie Ihre Richtlinien vollständig einhalten.

Führen Sie regelmäßige Audits bei Ihren Datenverarbeitern durch, um sicherzustellen, dass diese fortlaufend die DSGVO einhalten, denn Verstöße der Datenverarbeiter wirken sich auch auf Sie aus.

Für Datenverarbeiter:

Sie sollten genaue Aufzeichnungen aller für die Datenverantwortlichen durchgeführten Verarbeitungsaktivitäten führen, für den Fall, dass Sie später alle Aktivitäten auf ihre Richtlinienkonformität prüfen müssen.

Verwenden Sie sichere Technologien, um personenbezogene Daten zu schützen, die im Auftrag von Datenverantwortlichen verarbeitet werden, da Verstöße rechtliche Schritte gegen Sie nach sich ziehen können. Stellen Sie außerdem sicher, dass alle Mitarbeiter, die personenbezogene Daten verarbeiten, in Bezug auf die Einhaltung der DSGVO geschult sind, damit Sie keine der DSGVO-Grundsätze verletzen.

Wichtige Erkenntnisse und Zusammenfassung

In diesem Artikel haben wir Ihnen geholfen, Folgendes zu verstehen:

Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest, während der Auftragsverarbeiter gemäß seinen Anweisungen handelt.
Sowohl Verantwortliche als auch Auftragsverarbeiter haben im Rahmen der DSGVO unterschiedliche Verantwortlichkeiten.
Regelmäßige Audits, klare Verträge und sichere Vorgehensweisen sind für die Einhaltung der Vorschriften unabdingbar.

Datenverantwortliche vs. Datenverarbeiter – Häufig gestellte Fragen

Was ist der Hauptunterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?

Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, während ein Auftragsverarbeiter im Auftrag des Verantwortlichen handelt und die Verarbeitung gemäß seinen Anweisungen durchführt.

Kann eine Organisation sowohl Datenverantwortlicher als auch Datenverarbeiter sein?

Ja, eine Organisation kann je nach den spezifischen Verarbeitungsaktivitäten beide Aufgaben übernehmen. Beispielsweise kann ein Unternehmen als Verantwortlicher für die Daten seiner Mitarbeiter fungieren, aber als Auftragsverarbeiter für Kundendaten, die im Auftrag einer anderen Organisation verwaltet werden.

Wer haftet bei DSGVO-Verstößen?

Sowohl Verantwortliche als auch Auftragsverarbeiter können für Verstöße gegen die DSGVO haftbar gemacht werden, je nach Ursache des Verstoßes. Verantwortliche sind für die allgemeine Einhaltung der Vorschriften verantwortlich, während Auftragsverarbeiter für die Erfüllung ihrer spezifischen Verpflichtungen zur Rechenschaft gezogen werden müssen. Daher muss die Gesamthaftung von Fall zu Fall beurteilt werden.

Müssen Auftragsverarbeiter die DSGVO direkt einhalten?

Ja. Alle Auftragsverarbeiter müssen die Anforderungen der DSGVO erfüllen, z. B. die Datensicherheit gewährleisten und die Verantwortlichen bei Verstößen benachrichtigen.

Welche Rechtsdokumente werden zwischen Verantwortlichen und Auftragsverarbeitern benötigt?

In einer Datenverarbeitungsvereinbarung (DPA) müssen die Rollen, Verantwortlichkeiten und Pflichten beider Parteien dargelegt werden, um die Einhaltung der DSGVO sicherzustellen.

‍

27. Januar 2025

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?