Verantwortlichkeit bei EfA-Diensten und zentralen Verwaltungsplattformen

Die Digitalisierung der öffentlichen Verwaltung lebt von zentral bereitgestellten IT-Diensten. Ob EfA-Leistungen („Einer für Alle“), gemeinsame Fachverfahren oder länderübergreifende Plattformen – viele Verwaltungsprozesse werden heute arbeitsteilig entwickelt, betrieben und genutzt. Doch wer trägt dabei die datenschutzrechtliche Verantwortung?

Ein aktuelles Gutachten des IT-Planungsrats aus dem April 2026 widmet sich genau dieser Frage und liefert wichtige Orientierung für Behörden, IT-Dienstleister und Projektverantwortliche.

Warum die Frage der Verantwortlichkeit immer wichtiger wird

Mit der zunehmenden Zentralisierung von Verwaltungsleistungen entstehen komplexe Datenverarbeitungsstrukturen. Häufig sind mehrere Akteure beteiligt:

  • die fachlich zuständige Behörde,
  • ein zentraler Plattformbetreiber,
  • öffentliche IT-Dienstleister,
  • weitere technische Dienstleister.

In der Praxis stellt sich daher regelmäßig die Frage, ob eine Stelle als Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher im Sinne der DSGVO einzustufen ist. Von dieser Einordnung hängen zahlreiche Pflichten ab – von Informationspflichten über Betroffenenrechte bis hin zur Haftung bei Datenschutzverstößen.

Keine pauschalen Antworten: Verantwortlichkeit ist verarbeitungsspezifisch

Das Gutachten betont einen zentralen Grundsatz des europäischen Datenschutzrechts: Die Verantwortlichkeit lässt sich nicht abstrakt für einen gesamten Dienst bestimmen. Vielmehr muss für jede einzelne Verarbeitung geprüft werden:

  • Wer bestimmt die Zwecke der Verarbeitung?
  • Wer entscheidet über die wesentlichen Mittel?
  • Welche Rolle übernimmt die jeweilige Stelle tatsächlich?

Damit rückt die konkrete Ausgestaltung eines Digitalisierungsprojekts in den Mittelpunkt der datenschutzrechtlichen Analyse.

Die Fachbehörde bleibt häufig datenschutzrechtlich verantwortlich

Ein wesentliches Ergebnis des Gutachtens ist, dass die fachlich zuständige Behörde regelmäßig Verantwortlicher bleibt. Denn die Behörde entscheidet typischerweise über die Erfüllung ihrer gesetzlichen Aufgaben und damit über den Zweck der Verarbeitung personenbezogener Daten. Dass eine technische Plattform zentral bereitgestellt oder betrieben wird, führt nicht automatisch zu einer Verlagerung der Verantwortlichkeit auf den Betreiber. Für viele bestehende EfA-Modelle bedeutet dies: Die datenschutzrechtliche Hauptverantwortung verbleibt häufig bei den nutzenden Behörden.

Öffentliche IT-Dienstleister sind nicht automatisch Verantwortliche

Das Gutachten stellt zugleich klar, dass öffentliche IT-Dienstleister in zahlreichen Konstellationen als Auftragsverarbeiter tätig werden können.

Entscheidend ist dabei, ob der Dienstleister lediglich technische Leistungen erbringt oder eigenständige Entscheidungen über Zwecke und wesentliche Mittel der Verarbeitung trifft. Erst wenn eine solche eigenständige Entscheidungsbefugnis besteht oder gesetzlich zugewiesen wird, kommt eine eigene Verantwortlichkeit in Betracht.

Gemeinsame Verantwortlichkeit gewinnt an Bedeutung

Besonders interessant sind die Ausführungen zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

Das Gutachten sieht hierfür insbesondere dann Anknüpfungspunkte, wenn:

  • zentrale Dienste verpflichtend genutzt werden müssen,
  • die Aufgaben verschiedener Stellen eng miteinander verzahnt sind,
  • mehrere Akteure gemeinsam wesentliche Entscheidungen über die Verarbeitung treffen.

Gerade bei föderalen Plattformen und EfA-Strukturen könnte die gemeinsame Verantwortlichkeit daher künftig häufiger eine Rolle spielen als bislang angenommen.

Gesetzliche Aufgabenübertragung als Schlüssel zur Verantwortlichkeit

Ein weiterer praxisrelevanter Befund betrifft die Rolle gesetzlicher Regelungen. Nach Auffassung der Gutachter spricht vieles dafür, dass die gesetzliche Übertragung einer Verwaltungsaufgabe regelmäßig auch die datenschutzrechtliche Verantwortlichkeit für die hierzu erforderlichen Datenverarbeitungen umfasst. Dies gilt selbst dann, wenn die jeweilige Stelle nicht ausdrücklich als „Verantwortlicher“ bezeichnet wird. Für Gesetzgeber und Projektverantwortliche bedeutet dies zugleich, dass Zuständigkeits- und Verantwortlichkeitsfragen möglichst klar geregelt werden sollten.

Konsequenzen für EfA-Projekte und Verwaltungsplattformen

Das Gutachten liefert keine universelle Lösung für alle Digitalisierungsprojekte. Es liefert jedoch einen wichtigen Orientierungsrahmen für die rechtliche Gestaltung von:

  • EfA-Diensten,
  • Registermodernisierungsvorhaben,
  • länderübergreifenden Fachverfahren,
  • Verwaltungsplattformen,
  • Cloud- und GovTech-Lösungen im öffentlichen Sektor.

Projektverantwortliche sollten insbesondere frühzeitig prüfen, welche Rollen die beteiligten Akteure tatsächlich einnehmen und ob die gewählte Vertrags- und Governance-Struktur mit den datenschutzrechtlichen Anforderungen übereinstimmt.

Fazit: Verantwortlichkeitsmodelle frühzeitig rechtlich prüfen

Das Gutachten des IT-Planungsrats macht deutlich, dass die datenschutzrechtliche Verantwortlichkeit bei zentralen Verwaltungsdiensten nicht schematisch bestimmt werden kann. Maßgeblich sind die konkrete Aufgabenverteilung, die tatsächliche Einflussnahme auf die Datenverarbeitung und die rechtliche Ausgestaltung des jeweiligen Projekts. Gerade bei EfA-Modellen und föderalen Plattformen empfiehlt sich daher eine frühzeitige datenschutzrechtliche Analyse, um Haftungsrisiken, unklare Zuständigkeiten und spätere Umsetzungsprobleme zu vermeiden.

Sie planen ein EfA-Projekt, entwickeln eine Verwaltungsplattform oder möchten die Rollenverteilung zwischen Behörde und IT-Dienstleister datenschutzrechtlich absichern? Sprechen Sie uns an – wir unterstützen öffentliche Stellen und IT-Anbieter bei der rechtssicheren Gestaltung komplexer Digitalisierungsprojekte.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern