Externer Datenschutzbeauftragter vs. Verantwortlicher & Auftragsverarbeiter – DSGVO 2025
Datenschutz ▸ Externer DSB vs. Verantwortlicher & Auftragsverarbeiter DSGVO 2025
Rolle des externen Datenschutzbeauftragten im Verhältnis zu Verantwortlichem & Auftragsverarbeiter
Was Art. 4, 24, 28, 32, 37–39, 58, 82, 83 DSGVO wirklich bedeuten – kompakt, präzise und praxistauglich.
Inhalt
- Einführung & verbreitete Irrtümer
- Wer ist der Verantwortliche (Art. 4 Nr. 7, Art. 24 DSGVO)?
- Was ist ein Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO)?
- Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)
- Praxis 2025: NIS‑2, TOMs & Organisation
- Zusammenarbeit & Governance
- Haftung, Regress & Aufsicht
- FAQ
- Weiterführende Ressourcen
Einführung & verbreitete Irrtümer
Die Bestellung eines externen Datenschutzbeauftragten (Art. 37 DSGVO) ersetzt nicht die Pflichten des Verantwortlichen (Art. 4 Nr. 7 DSGVO) und seines Auftragsverarbeiters (Art. 4 Nr. 8 DSGVO). Bußgelder (Art. 83), behördliche Maßnahmen (Art. 58) und Schadensersatz (Art. 82) treffen primär diese beiden Rollen.
Merksatz: Der DSB navigiert, aber der Verantwortliche steuert. Compliance ist eine Management‑, nicht nur eine Rechts‑ oder IT‑Aufgabe.
Wer ist der Verantwortliche (Art. 4 Nr. 7, Art. 24 DSGVO)?
Verantwortlich ist, wer über Zwecke und Mitteln der Verarbeitung entscheidet – vom Einzelunternehmer bis zur GmbH. Kernpflichten sind u. a. Rechtmäßigkeit (Art. 6), Accountability (Art. 5 Abs. 2), Datensicherheit (Art. 32) sowie die Wahrung von Betroffenenrechten (Art. 12–22).
Was ist ein Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO)?
Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen. Nicht jede Dienstleistung qualifiziert; entscheidend ist der Schwerpunkt auf Datenverarbeitung. Ein AV‑Vertrag nach Art. 28 ist zwingend – zunehmend mit technischen Nachweisen (z. B. ISMS, ISO 27001).
Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)
Beratung & Unterrichtung
Pflichtenklärung, Richtlinien, Schulungen, DSFA‑Begleitung (Art. 35), Policy‑Reviews.
Überwachung & Vermittlung
Compliance‑Monitoring, Angemessenheit der TOMs, Anlaufstelle für Aufsichtsbehörden und Betroffene.
Der DSB handelt unabhängig (Art. 38 Abs. 3) und unterliegt der Verschwiegenheit.
Praxis 2025: NIS‑2, TOMs & Organisation
- TOMs laufend prüfen: Risiko‑basierte Sicherheitsmaßnahmen dokumentieren (Art. 32).
- Vorfall‑Management: Meldeprozesse für Datenschutzverletzungen etablieren (Art. 33/34).
- Lieferkette: AV‑Verträge mit realen Kontrollen koppeln (z. B. Pen‑Tests, Audit‑Reports).
Zusammenarbeit & Governance
Wirksamer Datenschutz erfordert Transparenz: Systeme öffnen, Befunde teilen, Empfehlungen umsetzen. Der DSB ist Partner, nicht Gegner.
Haftung, Regress & Aufsicht
Primär haften Verantwortliche (und in Grenzen Auftragsverarbeiter). Fehlberatung durch externe DSB kann zivilrechtlich regressiert werden – Ziel bleibt Prävention.
| Thema | Artikel |
|---|---|
| Definition Verantwortlicher | Art. 4 Nr. 7 |
| Definition Auftragsverarbeiter | Art. 4 Nr. 8 |
| Pflichten Verantwortlicher | Art. 24 |
| TOMs | Art. 32 |
| DSB – Bestellung | Art. 37 |
| DSB – Aufgaben | Art. 39 |
| Aufsichtsbefugnisse | Art. 58 |
| Schadensersatz | Art. 82 |
| Bußgelder | Art. 83 |
FAQ
Muss ich 2025 noch einen Datenschutzbeauftragten bestellen?
Ja, wenn die Kriterien des Art. 37 DSGVO erfüllt sind (z. B. umfangreiche Kerntätigkeit in der regelmäßigen und systematischen Überwachung oder umfangreiche Verarbeitung besonderer Kategorien). Nationale Schwellen (z. B. § 38 BDSG) können zusätzliche Pflichten auslösen. Kann mein IT‑Dienstleister automatisch Auftragsverarbeiter sein?
Nicht automatisch. Maßgeblich ist, ob der Schwerpunkt seiner Leistung in der Verarbeitung personenbezogener Daten liegt. Bei Ja: AV‑Vertrag nach Art. 28 erforderlich. Wer haftet bei Datenschutzverstößen?
Primär der Verantwortliche. Auftragsverarbeiter haften bei Pflichtverletzungen aus Art. 28/32. Der DSB berät und überwacht, er ist kein Verantwortlicher im Sinne der DSGVO. Wie beweise ich „Accountability“ (Art. 5 Abs. 2)?
Durch dokumentierte Prozesse: Verzeichnis von Verarbeitungstätigkeiten, Rechtsgrundlagen‑Mapping, TOMs, Löschkonzept, DSFA, Schulungen, Prüfberichte. Wie passt NIS‑2 dazu?
NIS‑2 stärkt Cybersicherheits‑Pflichten. Für betroffene Sektoren überschneiden sich Sicherheits‑, Risikomanagement‑ und Meldepflichten mit DSGVO‑Prozessen – Synergien nutzen!
