Die datenschutzrechtlichen Rollen und Verantwortlichkeiten sind im Datenintermediär klar definiert und richten sich nach der konkreten Nutzungssituation sowie den jeweils abgeschlossenen Vereinbarungen.
Dateninhaber und Datennutzer sind in der Regel als datenschutzrechtlich Verantwortliche tätig, da sie über Zwecke und Mittel der Verarbeitung entscheiden, insbesondere darüber, welche Daten bereitgestellt, genutzt oder weiterverarbeitet werden.
Der Datenintermediär agiert grundsätzlich neutral und übernimmt keine eigenständige Zweckbestimmung für die Datenverarbeitung. Je nach Ausgestaltung kann der Intermediär als Auftragsverarbeiter oder als eigenständig Verantwortlicher für klar abgegrenzte technische und organisatorische Verarbeitungsschritte tätig sein.
Serviceanbieter handeln je nach Anwendungsfall entweder als eigenständig Verantwortliche oder als Auftragsverarbeiter, sofern sie Daten im Auftrag von Dateninhabern oder Datennutzern verarbeiten. Die jeweilige Rolle wird im Rahmen der Servicevereinbarungen eindeutig festgelegt.
Die datenschutzrechtlichen Rollen und Pflichten werden in den jeweiligen Verträgen, insbesondere in Datenvereinbarungen, Servicevereinbarungen und ergänzenden Datenschutzregelungen, klar dokumentiert und für alle Beteiligten transparent gemacht.
Sofern mehrere Parteien gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden, wird eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vertraglich geregelt und die Zuständigkeiten für Betroffenenrechte eindeutig festgelegt.
Unabhängig von der Rollenverteilung stellen alle Beteiligten sicher, dass die Rechte betroffener Personen gemäß DSGVO gewahrt werden und entsprechende Anfragen effizient und koordiniert bearbeitet werden können.