Die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter gehört zu den grundlegenden Weichenstellungen der DSGVO. Sie entscheidet darüber, wer Informationspflichten erfüllen, Betroffenenrechte beantworten, die Rechtmäßigkeit der Verarbeitung sicherstellen und die Einhaltung der Datenschutzgrundsätze nachweisen muss. Eine aktuelle Entscheidung der belgischen Datenschutzbehörde zeigt, dass eine falsche Rollenbestimmung nicht nur ein formaler Fehler ist, sondern erhebliche aufsichtsbehördliche Folgen haben kann.
Die Streitschlichtungskammer der belgischen Datenschutzbehörde (l’Autorité de protection des données, kurz: APD) verhängte gegen das Fintech-Unternehmen Isabel SA (Isabel) eine Geldbuße in Höhe von 120.000 Euro. Hintergrund war ein von dem Unternehmen angebotener Authentifizierungs- und Identifizierungsdienst mit dem Namen „TruliUs“. Isabel hatte sich für den zentralen Verarbeitungsvorgang als Auftragsverarbeiter eingeordnet. Die Behörde kam jedoch zu dem Ergebnis, dass das Unternehmen hinsichtlich der streitgegenständlichen Verarbeitung selbst als Verantwortlicher anzusehen war.
Was ist passiert?
Das sanktionierte Unternehmen bot mit „TruliUs“ einen Dienst an, über den sich natürliche Personen digital authentifizieren konnten, um im Namen eines Unternehmens gegenüber Partnerplattformen aufzutreten. Im konkreten Fall nutzte der Beschwerdeführer den Dienst, um als Geschäftsführer seiner Gesellschaft Zugang zu einer digitalen Plattform seines Buchhalters zu erhalten.
Im Rahmen dieses Prozesses wurden über „TruliUs“ zahlreiche personenbezogene Daten verarbeitet. Dazu gehörten insbesondere Identitäts- und Kontaktdaten sowie weitere Angaben, die über den Authentifizierungsdienst erhoben wurden. Der Nutzer stellte fest, dass die tatsächlich erhobenen Daten umfangreicher waren, als es aus den bereitgestellten Informationen hervorging. Er wandte sich daraufhin an Isabel und machte sein Auskunftsrecht geltend. Eine Antwort auf dieses Auskunftsersuchen erhielt er nicht.
Wie sah Isabel seine Rolle?
Isabel vertrat in dem darauf eingeleiteten Verfahren die Auffassung, die Gesellschaft sei für die Authentifizierungs- und Identifizierungsvorgänge nicht Verantwortliche, sondern lediglich Auftragsverarbeiterin. Als Verantwortlich ordnete das Unternehmen den jeweiligen Kunden ein, also im konkreten Fall die Gesellschaft des Beschwerdeführers, da dieser über Zwecke und wesentliche Mittel der Datenverarbeitung entscheide. Hieraus leitete das Unternehmen ab, dass sämtliche zentralen DSGVO‑Pflichten (insbesondere Informationspflichten, Betroffenenrechte, Datenminimierung und Rechenschaftspflicht) ebenfalls allein den Kunden als somit Verantwortlichen träfen. Selbst für den Fall einer abweichenden rechtlichen Einordnung berief sich das Unternehmen hilfsweise darauf, dass eine etwaige Fehlqualifikation angesichts der Komplexität der Rollenabgrenzung jedenfalls keine schuldhafte Pflichtverletzung darstelle und der konkrete Verarbeitungsvorgang zudem nur geringe Auswirkungen gehabt habe.
Warum sah die Behörde Isabel als Verantwortliche Stelle an?
Die belgische Datenschutzaufsicht bewertete Isabels Tätigkeit anders. Entscheidend war für die Behörde nicht, wie Isabel ihre Rolle vertraglich oder intern bezeichnete. Als maßgeblich sah die Behörde vielmehr, wer tatsächlich über Zwecke und wesentliche Mittel der Verarbeitung entscheide.
Nach Auffassung der Behörde hatte das Unternehmen den Dienst „TruliUs“ konzipiert, konfiguriert und betrieben. Das Unternehmen bestimmte damit nicht nur technische Details, sondern prägte den Verarbeitungsvorgang strukturell. Es legte fest, wie die Authentifizierung erfolgen sollte, welche Daten erhoben wurden, wie das Nutzerprofil erstellt und wie es gegenüber Partnern verwendet wurde. Dies betraf gerade nicht nur untergeordnete technische Modalitäten, sondern die wesentlichen Mittel der Verarbeitung.
Auch beim Zweck der Verarbeitung sah die Behörde eine maßgebliche Einflussnahme. Zwar erkannte die Datenaufsicht an, dass die Partnerplattformen den Dienst für eigene Berechtigungskonzepte nutzten. Das genüge aber nicht, um Isabel auf die Rolle eines bloßen Dienstleisters nach Weisung zu reduzieren. Die Authentifizierungs- und Identifizierungsleistung sei ein von Isabel entwickelter, standardisierter Dienst mit eigenem Verarbeitungskonzept. Der einzelne Nutzer und die beteiligten Unternehmen konnten die Ausgestaltung dieses Prozesses nicht in relevanter Weise (mit)bestimmen.
Die Einschätzung deckt sich mit dem zentralen Ansatz der DSGVO sowie den Leitlinien des Europäischen Datenschutzausschusses hierzu, nach denen die Rollenverteilung anhand der konkreten Verarbeitung zu bestimmen ist, nicht mittels einer bloßen „Etikettierung“.
Abgrenzung Auftragsverarbeiter oder Verantwortlicher?
Die Entscheidung verdeutlicht mehrere Kriterien, die für die Abgrenzung besonders relevant sind.
Ein Auftragsverarbeiter verarbeitet personenbezogene Daten für einen Verantwortlichen und grundsätzlich nach dessen Weisungen. Er kann zwar technische und organisatorische Umsetzungsentscheidungen treffen. Die wesentlichen Entscheidungen über Zweck, Datenumfang, Kategorien betroffener Personen, Empfänger und Speicherfristen liegen jedoch beim Verantwortlichen.
Ein Verantwortlicher ist demgegenüber die Stelle, die allein oder gemeinsam mit anderen über Zwecke und wesentliche Mittel der Verarbeitung entscheidet. Dabei genügt eine bestimmende Einflussnahme auf das „Warum“ und das wesentliche „Wie“ der Verarbeitung. Ein vollständiger Zugriff auf jedes Detail ist nicht erforderlich.
Warum half der Hinweis auf Rechtsunsicherheit nicht?
Die belgische Datenschutzbehörde ließ Isabels Hinweis, die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter sei komplex und die eigene Einordnung sei konsistent dokumentiert worden, nicht genügen. Aus ihrer Sicht müsse ein zentraler Fintech-Anbieter, der einen Identifizierungs- und Authentifizierungsdienst entwickelt und betreibt, die eigene Rolle sorgfältig anhand der DSGVO, der EDSA-Leitlinien und der einschlägigen Rechtsprechung prüfen.
Die Neuartigkeit eines Dienstes entlaste ein Unternehmen gerade nicht. Sie erhöhe vielmehr den Bedarf an einer sorgfältigen datenschutzrechtlichen Rollen- und Risikoanalyse. Eine intern konsistente, aber materiell falsche Einordnung schütze nicht vor aufsichtsbehördlichen Maßnahmen.
Welche Folgefehler stellte die Behörde fest?
Die falsche Rollenbestimmung wirkte sich auf mehrere DSGVO-Pflichten aus. Zunächst beanstandete die Behörde die Information der Nutzer. Die bereitgestellten Datenschutzhinweise deckten den maßgeblichen Authentifizierungs- und Identifizierungsvorgang nicht hinreichend ab. Die Nutzer konnten vor der Erhebung ihrer Daten nicht transparent nachvollziehen, welche Daten zu welchem Zweck verarbeitet wurden.
Hinzu kam das nicht beantwortete Auskunftsersuchen. Isabel berief sich darauf, für den betroffenen Verarbeitungsvorgang nicht verantwortlich zu sein. Die Behörde sah gerade darin eine Folge der fehlerhaften Rollenbestimmung. Wer tatsächlich Verantwortlicher ist, muss Betroffenenrechte organisatorisch und technisch so abbilden, dass Anfragen erkannt, bearbeitet und fristgerecht beantwortet werden.
Weiter beanstandete die Behörde die Datenminimierung. Für die Authentifizierung gegenüber der konkreten Partnerplattform wurden nach den Feststellungen der Behörde deutlich weniger Daten benötigt, als Isabel tatsächlich erhob. Erfasst wurden zusätzliche Angaben wie Nationalität, Geschlecht, Telefonnummer, Geburtsdatum, Geburtsort, eID-Kartennummer, nationale Registernummer und ein Foto des elektronischen Ausweises. Isabel konnte nicht ausreichend darlegen, weshalb diese Daten jeweils für den spezifischen Authentifizierungszweck erforderlich waren.
Auch Art. 25 Abs. 2 DSGVO spielte eine Rolle. Die Behörde sah Anhaltspunkte dafür, dass der Prozess standardmäßig auf eine umfassende Datenerhebung eingestellt war. Datenschutzfreundliche Voreinstellungen verlangen jedoch, dass nur diejenigen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
Wofür verhängte die APD die Geldbuße?
Das Bußgeld knüpfte letztlich nicht an die einzelnen materiellen DSGVO‑Verstöße an, sondern direkt an deren Ursache: die fehlerhafte Einordnung als Auftragsverarbeiter. Die Behörde wertet diese als strukturellen Grundverstoß gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), aus dem sämtliche weiteren Defizite wie die Transparenz, Betroffenenrechte und Datenminimierung kausal folgten. Diese wurden deshalb lediglich mit einer Rüge geahndet.
Fazit
Die Entscheidung macht deutlich, dass es bei der Rollenverteilung nach der DSGVO auf die tatsächlichen Einflussmöglichkeiten ankommt und nicht auf vertragliche Bezeichnungen. Wer ein System wie hier inhaltlich und technisch prägt, wird als Verantwortlicher eingeordnet und muss die damit verbundenen Pflichten erfüllen. Eine falsche Einordnung bleibt dabei kein isolierter Fehler, sondern zieht regelmäßig weitere Verstöße nach sich. Für die Praxis zeigt der Fall, wie zentral eine saubere rechtliche Einordnung am Anfang ist, weil sie die gesamte Datenschutz‑Compliance trägt.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.










