Haftungsfalle DSGVO: Verantwortlicher, AV & Art. 26 sicher abgrenzen
21.09.2020
aktualisiert am 12.11.2025
DSGVO & KDG: Die korrekte Abgrenzung von Verantwortlichem, Auftragsverarbeiter und gemeinsamer Verantwortung
In jedem datenverarbeitenden Projekt ist die korrekte datenschutzrechtliche Einordnung der beteiligten Akteure fundamental. Wer legt Zweck und Mittel fest, wer handelt „im Auftrag“ und wann sind zwei oder mehr Stellen „gemeinsam verantwortlich“? Die richtige Antwort bestimmt Pflichten, Verträge, Informationspflichten, Haftung und Prüfroutinen. Nach DSGVO und KDG gibt es drei klar definierte Rollen.
Definitionen: Was sind Verantwortliche, Auftragsverarbeiter und gemeinsam Verantwortliche?
Die DSGVO und das KDG definieren die Rollen wie folgt:
Verantwortliche:r (Art. 4 Nr. 7 DSGVO; § 4 Nr. 9 KDG): Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter:in (Art. 4 Nr. 8, Art. 28 DSGVO; § 4 Nr. 10, § 29 KDG): Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen weisungsgebunden verarbeitet.
Gemeinsam Verantwortliche (Art. 26 DSGVO; § 28 KDG): Zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und die wesentlichen Mittel der Verarbeitung festlegen.
Praxisbeispiele: Die Rollen im Datenschutz richtig zuordnen
Um die Theorie zu verdeutlichen, helfen einfache Bilder aus der Praxis.
Der Verantwortliche: Captain an Bord (Art. 4 Nr. 7 DSGVO/ § 4 Nr. 9 KDG)
Der Verantwortliche steuert Kurs und Geschwindigkeit der Datenverarbeitung. Er trägt die volle rechtliche Verantwortung für das „Warum“ (Zweck) und das „Wie“ (Mittel). Weicht ein Dienstleister von den Weisungen ab oder verfolgt eigene Zwecke, endet die Auftragsverarbeitung.
Prüffragen: Wer entscheidet über Zweck/Mittel? Verfolgt der Dienstleister eigene Zwecke?
Rechtsgrundlagen: Art. 4 Nr. 7, Art. 6, Art. 24 DSGVO / §§ 4 Nr. 9, 6, 25 KDG.
Die Auftragsverarbeitung Daten-Catering (Art. 28 DSGVO/ § 29 KDG)
Der Verantwortliche definiert das Menü (Zweck) und das Rezept (Mittel). Der Auftragsverarbeiter kocht exakt nach dieser Weisung, nutzt aber seine eigenen Geräte (TOM) und verfolgt keine eigenen Interessen mit den Daten.
Typische Beispiele: Cloud-Hoster, Lohnabrechnungsdienste, IT-Wartungsfirmen, externe Callcenter.
Pflicht: Ein Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich.
Rechtsgrundlagen: Art. 28 DSGVO / § 29 KDG.
Die gemeinsame Verantwortlichkeit: Das Rallye-Team (Art. 26 DSGVO/§ 28 KDG)
Fahrer und Co-Pilot entscheiden gemeinsam über Ziel und Route. Sie legen Zweck und Mittel der Verarbeitung partnerschaftlich fest. In einer Vereinbarung müssen sie ihre jeweiligen Pflichten klar zuordnen.
Betroffenenrechte: Betroffene können sich an jeden der Verantwortlichen wenden.
Haftung: Gegenüber Betroffenen haften beide gesamtschuldnerisch.
Rechtsgrundlagen: Art. 26 DSGVO, Art. 82 Abs. 4 DSGVO / § 28 KDG, § 50 Abs. 6 KDG.
Prüfkriterien: Eine Matrix zur Abgrenzung der Verantwortlichkeiten
Kriterium | Auftragsverarbeitung | Gemeinsame Verantwortlichkeit | Eigene Verantwortlichkeit |
|---|---|---|---|
Zweckentscheidung | Ausschließlich beim Verantwortlichen | Gemeinsame Festlegung | Unternehmen oder Dienstleister entscheidet selbst |
Mittelentscheidung | Wesentliche Mittel beim Verantwortlichen | Gemeinsame Festlegung | Unternehmen oder Dienstleister entscheidet selbst |
Eigeninteresse | Kein Eigeninteresse des Dienstleisters | Eigeninteresse beider Parteien | Eigeninteresse des Unternehmens oder Dienstleisters |
Dokumentation: Welche Verträge und Nachweise sind nötig?
Die korrekte Einordnung muss durch entsprechende Verträge dokumentiert werden.
Vereinbarung nach Art. 26 DSGVO / § 28 KDG: Diese regelt bei gemeinsamer Verantwortung die klare Pflichtenverteilung, Prozesse für Betroffenenrechte (Auskunft, Löschung), technische Zuständigkeiten und den Innenausgleich bei Haftungsfällen. Der wesentliche Inhalt muss für Betroffene transparent gemacht werden.
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO / § 29 KDG: Der AVV muss die gesetzlichen Mindestinhalte regeln, inklusive TOM, Regelungen zu Unterauftragnehmern, Auditrechten und der Löschung/Rückgabe von Daten.
FAQ: Häufige Fehler bei der Abgrenzung und wie Sie sie vermeiden
Fehler 1: Ein Dienstleister mit eigenem Zweck wird fälschlich als Auftragsverarbeiter eingestuft. Wie löse ich das?
Lösung: Führen Sie eine sorgfältige Due-Diligence-Prüfung durch. Analysieren Sie Verträge und Produktbeschreibungen genau darauf, wer über Zweck und Mittel entscheidet. Bei Eigeninteresse des Dienstleisters liegt in der Regel keine Auftragsverarbeitung vor.
Fehler 2: Die Vereinbarung zur gemeinsamen Verantwortung (Art. 26 DSGVO/ § 28 KDG) fehlt oder ist lückenhaft. Was tun?
Lösung: Nutzen Sie eine Vorlage, die eine klare Pflichtenzuordnung, einen Baustein für die Transparenzpflicht und eine Prozessbeschreibung für die Bearbeitung von Betroffenenrechten enthält. Schließen Sie diese Vereinbarung vor Beginn der gemeinsamen Verarbeitung.
Fehler 3: Weisungen an den Auftragsverarbeiter sind unklar oder die TOM werden nicht geprüft. Wie kann ich das verbessern?
Lösung: Definieren Sie einen klaren Weisungsprozess. Führen Sie einen jährlichen Review der technischen und organisatorischen Maßnahmen (TOM) durch und lassen Sie sich die Kontrolle der Unterauftragnehmer nachweisen.
Fazit: Korrekte Rollenverteilung als Fundament für den Datenschutz
Die saubere Einordnung der Rollen ist die Grundlage für rechtssichere Datenverarbeitung, wirksame Betroffenenrechte und belastbare Haftungsregelungen. Die Vereinbarungen nach Art. 26 DSGVO/ § 28 KDG sowie Auftragsverarbeitungsverträge nach Art. 28 DSGVO/ § 29 KDG schaffen die notwendige Klarheit, Transparenz und Sicherheit für alle Beteiligten.
Benötigen Sie Unterstützung? Wir erstellen oder prüfen Ihre Vereinbarungen für gemeinsame Verantwortliche und AV-Verträge, ordnen Pflichten zu und liefern praxistaugliche Vorlagen. Kontaktieren Sie uns für eine professionelle Analyse.
Quellen und weiterführende Links
DSGVO‑Volltext: https://dsgvo-gesetz.de
KDG und KDG‑DVO: https://kirchlicher-datenschutz.org und Synopse https://kirchlicher-datenschutz.org/synopse/
Anwendungshinweise zur Auftragsverarbeitung: https://www.datenschutzkonferenz-online.de/anwendungshinweise.html
EDPB‑Leitlinien und Stellungnahmen zu gemeinsamer Verantwortlichkeit: https://www.edpb.europa.eu/guidelines-relevant-controllers-and-processors_de
Vorlage Vereinbarung für gemeinsam Verantwortliche: https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/
Hinweise zur Gemeinsamen Verantwortlichkeit des GDD: https://www.gdd.de/wp-content/uploads/2023/06/GDD-Praxishilfe-DS-GVO-Joint-Controllership.pdf
