Das Verständnis der datenschutzrechtlichen Rollenverteilung ist wesentlich für die Beantwortung der Frage nach den Trägern der Rechte und Pflichten aus der DSGVO: Die Bezeichnungen der einzelnen Rollen lauten „betroffene Person“, „Verantwortlicher“ und „Auftragsverarbeiter“. Betroffene Person ist diejenige natürliche Person, deren Daten verarbeitet werden (Art 4 Z 1 DSGVO). Verantwortlicher ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Z 7). Auftragsverarbeiter ist, wer die Daten im Auftrag eines Verantwortlichen verarbeitet, wobei hier die Entscheidung über die Mittel der Verarbeitung delegiert wird (Z 8).
