Die DSGVO unterscheidet zwischen zwei Hauptrollen: die des Datenverantwortlichen und des Datenverarbeiters. Diese Unterscheidung ist entscheidend, da der Verantwortliche mehr Verantwortung trägt und mehr Pflichten erfüllen muss als der Auftragsverarbeiter.
Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein, z. B.: ein KMU, eine Behörde, ein Unternehmen, eine Organisation, eine staatliche Einrichtung, eine Vereinigung usw.
Ein Verantwortlicher bestimmt die Zwecke und Mittel eines Verarbeitungsvorgangs. Mit anderen Worten, der Verantwortliche entscheidet über das Wie und Warum eines Verarbeitungsvorgangs. Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen. Die Verarbeitung durch Auftragsverarbeiter muss durch einen Vertrag mit dem für die Verarbeitung Verantwortlichen oder durch einen anderen Rechtsakt geregelt werden.

Beispiele für Datenverantwortliche:

• Unternehmen, die personenbezogene Daten ihrer Kunden verarbeiten, um einen Verkauf abzuschließen;
• Finanzinstitute, die personenbezogene Daten ihrer Kunden verarbeiten;
• Vereinigungen, die die Daten ihrer Mitglieder verarbeiten;
• Schulen oder Universitäten, die personenbezogene Daten von Schülern und Lehrkräften verarbeiten;
• Krankenhäuser, die personenbezogene Daten ihrer Patienten verarbeiten;
• Behörden, die personenbezogene Daten von Bürgern verarbeiten.

Beispiele für Datenverarbeiter:

• ein KMU stellt einen Buchhaltungsdienst ein, um seine Bücher und Aufzeichnungen zu führen, das KMU ist ein Datenverantwortlicher und der Buchhaltungsdienst ein Datenverarbeiter;
• ein Lohnabrechnungsunternehmen verarbeitet personenbezogene Daten für ein KMU. Die Lohnabrechnungsgesellschaft fungiert als Auftragsverarbeiter, wenn sie die personenbezogenen Daten ausschließlich im Auftrag des KMU verarbeitet. Das KMU bestimmt die Zwecke und Mittel der Datenverarbeitung und ist daher für die Datenverarbeitung verantwortlich.
• ein KMU beauftragt ein Marketingunternehmen, E-Mail-Adressen über Websites Dritter zu sammeln.  Das Marketingunternehmen tut dies gemäß den ausdrücklichen Anweisungen des KMU und für die ausschließlichen Zwecke des KMU. Das Marketingunternehmen fungiert als Verarbeiter für diese Sammlung.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter

Wenn Ihre Organisation die personenbezogenen Daten direkt von Einzelpersonen sammelt, muss sie zum Zeitpunkt der Erhebung die erforderlichen Informationen bereitstellen.

Im Falle einer indirekten Erhebung personenbezogener Daten muss Ihre Organisation die Informationen spätestens innerhalb eines Monats nach Erhalt der personenbezogenen Daten übermitteln. Der Zeitraum von maximal einem Monat kann reduziert werden:

• wenn die personenbezogenen Daten zum Zwecke der Kommunikation mit der betroffenen Person verwendet werden. In diesem Fall müssen Sie die betroffene Person spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person informieren;
• wenn die Daten an einen anderen Empfänger übermittelt werden, informiert die Organisation die betroffenen Personen spätestens bei der Übermittlung der personenbezogenen Daten darüber. 

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Einzelpersonen können Sie fragen, ob Sie ihre Daten verarbeiten. Wo dies der Fall ist, haben sie ein Recht auf Zugang zu diesen Daten. Wenn dies geschieht und wenn Sie ihre Daten verarbeiten, sollten Sie beispielsweise eine Kopie ihrer personenbezogenen Daten kostenlos zusammen mit allen notwendigen zusätzlichen Informationen zur Verfügung stellen. Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die Antragsteller wünschen es anders.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen
   

In dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ist festgelegt, dass der Auftragsverarbeiter

• die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR verarbeitet;
• sicherstellt, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
• die Sicherheit der Verarbeitung gewährleistet;
• keinen anderen Datenverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen darf;
• den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen unterstützt, den Anträgen des Einzelnen nach Ausübung seiner Rechte nachzukommen;
• den für die Verarbeitung Verantwortlichen bei der Sicherung der Verarbeitung, der Meldung von Datenschutzverletzungen und der Durchführung von DSFAs unterstützt;
• auf Wunsch des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Verantwortlichen löscht oder zurückgibt;
• dem für die Verarbeitung Verantwortlichen alle notwendigen Informationen zur Verfügung stellt, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen;
• Audits ermöglicht und zu deren Gelingen beiträgt, einschließlich Inspektionen, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.

Darüber hinaus unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, wenn nach seiner Auffassung Weisungen gegen die DSGVO oder andere EU- oder nationale Datenschutzbestimmungen verstoßen.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter