DSGVO-Rollen-Simulator

Verantwortlicher, Auftragsverarbeiter oder gemeinsame Verantwortlichkeit?

Dieser interaktive Check unterstützt Unternehmen dabei, eine konkrete Datenverarbeitung vorläufig rollenrechtlich einzuordnen. Im Fokus stehen Zweck- und Mittelentscheidung, Weisungsbindung, Art.-28-AVV, Art.-26-Konstellationen, Unterauftragnehmer, Drittlandtransfers, TDDDG-Tracking, KI-/Analytics-Nutzung und Nachweisdokumentation.

DSGVO Art. 4, 26, 28 AVV & Joint Controller VVT, TOM, DSFA, Transfers Digitale Geschäftsmodelle

Was Sie erhalten

vorläufige Rollen-Einordnung je Verarbeitungsvorgang
Risikostufe mit Gründen und Priorität
konkrete Prüfpunkte und typische Unterlagen
kopierbaren Kurzüberblick für eine Anfrage an ITMR

Rollenfrage anfragen

Orientierung

So ordnet der Simulator die Rollenlage ein

Die DSGVO-Rolle hängt nicht vom Vertragstitel allein ab, sondern von der tatsächlichen Verarbeitung. Maßgeblich ist, wer Zwecke und wesentliche Mittel bestimmt, ob eine Stelle nur auf dokumentierte Weisung handelt und ob mehrere Parteien gemeinsam über Kernfragen entscheiden.

1Anlass klären

AVV, Konzern, Tool-Kette, Kooperation, Streitfall oder Audit werden unterschiedlich gewichtet.

2Verarbeitung abgrenzen

Eine Stelle kann je Zweck unterschiedlich einzuordnen sein. Der konkrete Vorgang ist entscheidend.

3Entscheidungen prüfen

Zweck, Rechtsgrundlage, Datenarten, Empfänger, Speicherfrist und technische Kernmittel sind starke Indizien.

4Weisung bewerten

Auftragsverarbeitung setzt eine echte Weisungsstruktur, Art.-28-Regelung und fehlende Eigenzwecke voraus.

5Gemeinsamkeit erkennen

Art. 26 DSGVO wird relevant, wenn Parteien Zwecke oder wesentliche Mittel gemeinsam bestimmen.

6Nachweise sichern

VVT, Datenschutzhinweise, TOM, Subprocessor, DSFA und Transferdokumentation müssen zur Rolle passen.

Leistung

Was dieser Check leistet

Der Simulator liefert eine strukturierte Erstorientierung für typische digitale Verarbeitungskonstellationen: SaaS, Cloud, IT-Support, Marketingtools, Konzernservices, Plattformen, Leadgenerierung, KI-Training, Analytics, HR-Prozesse und gemeinsame Projekte.

Das Ergebnis ersetzt keine Einzelfallprüfung. Es hilft aber, die richtigen Fragen zu stellen, Unterlagen vorzubereiten und typische Fehlzuordnungen früh zu erkennen.

Warum die Rollenfrage praktisch wichtig ist

Die Rollenlage entscheidet regelmäßig über AVV oder Art.-26-Vereinbarung, Datenschutzhinweise, VVT, Betroffenenrechte, Unterauftragnehmer, Haftung, Auditfähigkeit und Kundenkommunikation. Falsch eingeordnete Rollen können Verträge, Lieferketten und Datenschutzdokumentation destabilisieren.

Typische Warnsignale

AVV trotz eigener Datenverwendung, Produktverbesserung, KI-Training, Benchmarking, nicht dokumentierte Subprocessor, unklare Konzernzugriffe, internationale Supportzugriffe, Tracking ohne Rollenabgrenzung oder gemeinsam betriebene Datenbanken sind typische Vertiefungspunkte.

Grenzen der automatischen Einordnung

Der Check bewertet Indizien. Er kann nicht abschließend beurteilen, ob ein Vertrag wirksam ist, ob eine Weisung tatsächlich gelebt wird oder ob eine komplexe Verarbeitung in mehrere Teilvorgänge aufzuspalten ist.

Interaktiver Fragebogen

DSGVO-Rolle simulieren

Beantworten Sie die Fragen für genau einen Verarbeitungsvorgang. Bei mehreren Zwecken sollte der Check getrennt wiederholt werden.

1/6

1. Welcher Anlass steht im Vordergrund?

Wählen Sie den Ausgangspunkt. Das verbessert die Priorisierung im Ergebnis.

AVV oder Dienstleisterrolle klärenEs soll geprüft werden, ob ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO passt. Kooperation oder gemeinsame Plattform einordnenMehrere Parteien arbeiten an Kampagne, Portal, App, Datenbank, Event oder Leadprozess zusammen. SaaS-, Cloud- oder Tool-Kette prüfenHosting, Support, Subprocessor, APIs, KI-Anbieter, Tracking oder internationale Zugriffe sind beteiligt. Konzern oder Shared Service bewertenMehrere Gesellschaften nutzen gemeinsame IT, HR, CRM, Analytics, Security oder zentrale Dienste. Audit, Kunde, DSB oder Aufsicht fragt nachDie Rollenlage ist streitig, ungeklärt oder muss nachvollziehbar dokumentiert werden. KI, Analytics oder Tracking als SonderfallEigene Auswertung, Produktverbesserung, Modelltraining, Profiling oder TDDDG-Zugriffe stehen im Raum.

2. In welcher Grundkonstellation findet die Verarbeitung statt? Interne Person, Team oder AbteilungBeschäftigte, interne Fachabteilungen oder Nutzer handeln innerhalb derselben Organisation. Externer Dienstleister verarbeitet Daten für einen KundenZum Beispiel Hosting, SaaS, IT-Support, Newslettertool, Lohnbuchhaltung, Callcenter oder Agenturleistung. Zwei oder mehr Partner betreiben ein gemeinsames ProjektGemeinsame Plattform, Kampagne, Studie, Event, App, Leadgenerierung, Datenpool oder Kooperationsmodell. Dienstleister nutzt Daten auch für eigene ZweckeProduktverbesserung, Analytics, Benchmarking, Training, Betrugsprävention, eigene Security oder Marketing. Zwei eigenständige Stellen tauschen Daten ausJede Stelle nutzt Daten anschließend für eigene Zwecke, etwa Kunde, Versicherung, Behörde, Labor oder Plattform. Konzern, Unternehmensgruppe oder Shared ServiceMehrere Gesellschaften, zentrale Dienste, gruppenweite IT, HR, CRM, ERP, Security oder Analytics-Struktur.

3. Wer entscheidet über Zweck und wesentliche Mittel?

Mehrfachauswahl möglich. Markieren Sie, was auf die zu prüfende Stelle zutrifft.

Sie entscheidet, warum Daten verarbeitet werdenZweck wie Vertragserfüllung, Marketing, HR, Betrugsprävention, Analyse, Support oder Compliance. Sie bestimmt Rechtsgrundlage oder EinwilligungslogikVertrag, Einwilligung, berechtigtes Interesse, rechtliche Pflicht, öffentliche Aufgabe oder Consent-Setup. Sie bestimmt Datenarten oder BetroffenengruppenWelche personenbezogenen Daten, welche Nutzer, Kunden, Beschäftigten oder sonstigen Gruppen betroffen sind. Sie bestimmt Speicherfrist oder LöschkonzeptWie lange Daten aufbewahrt, archiviert, gelöscht, gesperrt oder exportiert werden. Sie bestimmt Empfänger oder OffenlegungWeitergabe an Partner, Behörden, Dienstleister, Plattformen, Konzernstellen oder Dritte. Sie bestimmt wesentliche technische oder organisatorische MittelSystem, Architektur, Datenmodell, Schnittstellen, Tracking, Scoring, Rollenmodell oder Prozessdesign. Keine dieser EntscheidungenDie Stelle führt nur aus, was eine andere Stelle konkret vorgibt.

4. Wie stark ist die Weisungsbindung?

Auftragsverarbeitung setzt mehr voraus als einen Dienstleistungsvertrag. Entscheidend ist die tatsächliche Weisungs- und Zwecklage.

Verarbeitung nur auf dokumentierte WeisungDer Kunde oder Auftraggeber gibt Zweck, Umfang und Grenzen der Verarbeitung vor. AVV nach Art. 28 DSGVO vorhanden oder geplantGegenstand, Dauer, Art, Zweck, Datenarten, Betroffene, TOM, Subprocessor und Unterstützungspflichten sind geregelt. Keine eigene Nutzung der DatenKeine eigene Analyse, Werbung, Produktentwicklung, Modelltraining, Benchmarking oder Profilbildung. Kunde kontrolliert Löschung, Export und FreigabenDer Auftraggeber entscheidet über Datenbestand, Rückgabe, Löschung, Freigaben und Betroffenenrechte. Handeln unter interner AutoritätBeschäftigte oder interne Teams verarbeiten Daten nur im Rahmen interner Weisungen. Einsatz als UnterauftragsverarbeiterDie Leistung wird für einen Auftragsverarbeiter im Auftrag eines Verantwortlichen erbracht. Eigene Entscheidungs- oder VerwendungsfreiheitDie Stelle darf Daten eigenständig auswerten, zusammenführen, speichern, weitergeben oder für eigene Zwecke nutzen. Unklar oder keine echte WeisungsstrukturEs gibt keine klare vertragliche oder organisatorische Weisungslage.

5. Gibt es gemeinsame Zweck- oder Mittelbestimmung?

Gemeinsame Verantwortlichkeit kann auch ohne gleichmäßige Beteiligung entstehen, wenn Kernentscheidungen gemeinsam geprägt werden.

Gemeinsamer ZweckMehrere Parteien verfolgen denselben oder eng miteinander verknüpften Zweck. Gemeinsame Entscheidung über KernfragenParteien bestimmen gemeinsam Ziel, Datenumfang, Zielgruppen, Empfänger, Plattform oder Prozess. Verarbeitung ist praktisch untrennbarOhne Beitrag beider Parteien funktioniert die Verarbeitung nicht oder nicht in gleicher Weise. Gemeinsame Datenbank, Plattform oder KampagneGemeinsames CRM, Leadpool, Tracking-Setup, Eventliste, App, Portal oder Datenraum. Art.-26-Vereinbarung vorhanden oder geplantTransparente Regelung, wer welche DSGVO-Pflichten erfüllt. Getrennte eigene Zwecke nach DatenübermittlungJede Stelle entscheidet nach Erhalt eigenständig über eigene Zwecke und Mittel. Keine gemeinsame Entscheidung erkennbarEine Stelle bestimmt allein, die andere führt aus oder nutzt Daten getrennt für eigene Zwecke.

Risikomatrix

Typische Rollenfragen, Fristen und Maßnahmen

Die Matrix zeigt häufige Prüfblöcke. Sie ist als Orientierung gedacht und muss für den konkreten Verarbeitungsvorgang angepasst werden.

Konstellation	Typische Rollenfrage	Besondere Dringlichkeit	Erste Maßnahme
SaaS, Cloud, IT-Support	Auftragsverarbeiter, Unterauftragsverarbeiter oder eigene Verantwortlichkeit?	vor Vertragsschluss, Kundenaudit, Vendor-Onboarding	AVV, TOM, Subprocessor, Löschung/Rückgabe und internationale Zugriffe prüfen
Gemeinsame Kampagne, Plattform, Leadprozess	Getrennte oder gemeinsame Verantwortlichkeit nach Art. 26 DSGVO?	vor Launch, vor Datenerhebung, bei gemeinsamen Datenschutzhinweisen	Zwecke, Mittel, Informationspflichten und Zuständigkeiten schriftlich abgrenzen
Konzern und Shared Services	Interne Weisung, Auftragsverarbeitung, getrennte oder gemeinsame Verantwortlichkeit?	bei HR-, CRM-, Analytics-, Security- und ERP-Zugriffen	jede Verarbeitung getrennt nach Gesellschaft, Zweck, Zugriff und Entscheidungsbefugnis mappen
Tracking, Apps, Analytics, Ads	Wer ist verantwortlich für Endgerätezugriff, Consent, Zweck und Empfänger?	vor Kampagnenstart, CMP-Wechsel, SDK-Einbau, Aufsichtsanfrage	TDDDG-/DSGVO-Rollen, Consent-Logs, Empfänger, Drittlandtransfer und Widerruf prüfen
KI, Produktverbesserung, Modelltraining	Eigener Zweck des Dienstleisters oder Verarbeitung auf Weisung?	vor KI-Go-live, Vendor-Freigabe, DSFA, Kundenfreigabe	Servicezweck und Eigenzwecke trennen; Rechtsgrundlagen, DSFA, Rechteketten und Vertragsklauseln prüfen
Datenpanne oder Betroffenenanfrage	Wer muss melden, informieren, antworten und nachweisen?	72-Stunden-Prüfung bei Datenschutzverletzungen; regelmäßig 1 Monat bei Betroffenenrechten	Rollenlage, Zuständigkeit, Kommunikationskette, Logs und Beweissicherung sofort klären

Nächste sinnvolle Schritte

DSGVO-Rollenlage rechtlich belastbar prüfen lassen

Wenn AVV, Art.-26-Vereinbarung, Drittlandtransfer, Subprocessor, Datenschutzhinweise, VVT, DSFA oder Kundenkommunikation von der Rollenfrage abhängen, sollte die Einordnung verarbeitungsspezifisch dokumentiert werden.

Kontakt zu ITMR aufnehmen

Rechtlicher Hinweis: Dieser DSGVO-Rollen-Simulator bietet eine unverbindliche Erstorientierung. Die tatsächliche Rollenverteilung hängt vom konkreten Verarbeitungsvorgang, der Vertragslage, der gelebten Praxis und den beteiligten Parteien ab. Eine individuelle rechtliche Prüfung wird dadurch nicht ersetzt.

Verantwortlicher, Auftragsverarbeiter oder gemeinsame Verantwortlichkeit?

So ordnet der Simulator die Rollenlage ein

Was dieser Check leistet

DSGVO-Rolle simulieren

Warum dieses Ergebnis?

Empfohlene nächste Prüfpunkte

Sinnvoll für die Anfrage vorbereiten

Typische Rollenfragen, Fristen und Maßnahmen

Verwandte ITMR-Checker und Anschlussprüfungen

DSGVO-Rollenlage rechtlich belastbar prüfen lassen