Verantwortlicher
Definition nach Art. 4 Nr. 7 DSGVO — die Person, die über Zwecke und Mittel entscheidet
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Sie trägt die Hauptverantwortung für die Einhaltung der DSGVO.
Was ist Verantwortlicher?
Der Verantwortliche trägt 13 zentrale Pflichten — u. a. Rechenschaftspflicht (Art. 5 Abs. 2), VVT (Art. 30), Betroffenenrechte (Art. 12-22), Data Breach-Meldung (Art. 33-34), DSFA (Art. 35), DSB-Bestellung (Art. 37).
Verantwortlicher ist NICHT: der einzelne Mitarbeiter, der die Daten bearbeitet — er handelt für den Verantwortlichen.
Praxisbeispiel
Beispiele:
- Mustermann GmbH ist Verantwortlicher für Mitarbeiterdaten (Personalakten)
- Mustermann GmbH ist Verantwortlicher für Kundendaten (CRM)
- Steuerberater ist eigenständig Verantwortlicher (BayLDA 2024) — kein AV
- Bei Konzernstruktur: jede Tochter-GmbH ist eigenständig Verantwortlicher (außer ausdrückliche Joint-Controllership Art. 26)
Häufig gestellte Fragen
Was ist der Unterschied zum Auftragsverarbeiter?
Verantwortlicher entscheidet über Zwecke + Mittel. Auftragsverarbeiter führt die Verarbeitung im Auftrag aus, ohne eigene Zweckbestimmung. AV-Vertrag (Art. 28) regelt die Beziehung.
Können mehrere Verantwortliche gemeinsam verantwortlich sein?
Ja, nach Art. 26 DSGVO. Joint-Controllership erfordert Joint-Controller-Vereinbarung. Beispiel: Facebook-Fanpage-Betreiber und Facebook (EuGH C-210/16).
Wer haftet bei Verstoß?
Primär der Verantwortliche. Bußgelder + Schadensersatz. Auftragsverarbeiter haftet zusätzlich bei eigenständigen Pflichtverletzungen.