Vereinbarung gemeinsamer Verantwortlicher
Die Vereinbarung gemeinsamer Verantwortlicher (Joint Controller Agreement) legt nach Art. 26 DSGVO transparent fest, wer welche Datenschutzpflichten erfüllt, wenn zwei oder mehr Stellen Zweck und Mittel einer Verarbeitung gemeinsam bestimmen.
Eine Vereinbarung gemeinsamer Verantwortlicher ist nach Art. 26 DSGVO immer dann verpflichtend, wenn zwei oder mehr Verantwortliche die Zwecke und Mittel einer Verarbeitung personenbezogener Daten gemeinsam festlegen. Anders als bei der Auftragsverarbeitung handelt keine Partei weisungsgebunden für eine andere; vielmehr tragen alle Beteiligten gemeinsam Verantwortung. Die Vereinbarung muss in transparenter Form regeln, wer welche Verpflichtungen aus der DSGVO erfüllt, insbesondere im Hinblick auf die Wahrnehmung der Betroffenenrechte und die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO.
Die Vereinbarung muss die jeweiligen tatsächlichen Rollen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Sie muss eine Anlaufstelle für betroffene Personen benennen und das Wesentliche der Vereinbarung muss den Betroffenen zur Verfügung gestellt werden. Wichtig ist, dass betroffene Personen ihre Rechte unabhängig von der internen Aufgabenverteilung gegenüber jedem einzelnen Verantwortlichen geltend machen können (Art. 26 Abs. 3 DSGVO); die Vereinbarung wirkt im Außenverhältnis also nicht haftungsbeschränkend.
Die Abgrenzung zur Auftragsverarbeitung und zur getrennten Verantwortlichkeit ist in der Praxis entscheidend und oft schwierig. Maßgeblich ist die faktische Mitbestimmung über Zwecke und Mittel, nicht die vertragliche Bezeichnung. Der EuGH hat den Begriff der gemeinsamen Verantwortlichkeit weit ausgelegt (etwa in den Urteilen Wirtschaftsakademie und Fashion ID). Eine fehlende oder unzureichende Vereinbarung kann nach Art. 83 Abs. 4 DSGVO mit Bußgeldern geahndet werden und führt regelmäßig zu Rechtsunsicherheit bei der Wahrnehmung von Betroffenenrechten.
Rechtliche Grundlage
Art. 26 DSGVO (i. V. m. Art. 13, 14, 24, 83 Abs. 4 DSGVO)
Praxisbeispiel
Ein Unternehmen betreibt gemeinsam mit einem Marketingpartner eine Kampagnen-Website, auf der beide Parteien die Auswertung von Nutzerdaten für eigene Zwecke mitbestimmen. Die Datenschutzbeauftragte erkennt, dass hier eine gemeinsame Verantwortlichkeit vorliegt, und initiiert eine Vereinbarung nach Art. 26 DSGVO. Darin werden die Zuständigkeiten festgelegt: Der Marketingpartner übernimmt die Information der Betroffenen beim Erstkontakt, während das Unternehmen Auskunfts- und Löschersuchen zentral bearbeitet. Das Wesentliche der Vereinbarung wird in der Datenschutzerklärung der Website transparent gemacht, sodass Betroffene wissen, an wen sie sich wenden können.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren