Die DSGVO definiert die verantwortliche Stelle als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Verstöße gegen die DSGVO und Haftungsansprüche wie Schadenersatzforderungen können sich gegen Unternehmen, Vereine, Genossenschaften aber auch gegen Privatpersonen richten. 

So haften die Unternehmen auch für Datenschutzverstöße ihrer Beschäftigten. Einzig im Falle eines sog. Exzess können die Beschäftigten zur Rechenschaft gezogen werden. Ein Exzess ist ein krasses Überschreiten der Compliance-Vorgaben im Unternehmen. Auch aus diesem Grund ist es für Unternehmen von Bedeutung, Beschäftigten Vorgaben und Handlungsanweisungen zum Umgang mit personenbezogenen Daten zu machen.