Zum Hauptinhalt springen
Datenschutz / DSGVO

Gemeinsame Verantwortlichkeit (Joint Controller)

Liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam über Zweck und Mittel der Verarbeitung entscheiden (Art. 26 DSGVO).

Gemeinsame Verantwortlichkeit (englisch: Joint Controllership) liegt gemäß Art. 26 DSGVO vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Das entscheidende Kriterium ist die gemeinsame Entscheidungshoheit: Handeln mehrere Parteien unabhängig voneinander oder auf einer klaren Auftragnehmer-Auftraggeber-Basis, liegt keine gemeinsame Verantwortlichkeit vor. Die Abgrenzung zur Auftragsverarbeitung (Art. 28 DSGVO) ist in der Praxis oft schwierig und erfordert eine sorgfältige rechtliche Analyse.

Bei gemeinsamer Verantwortlichkeit müssen die Beteiligten gemäß Art. 26 DSGVO eine Vereinbarung treffen, die transparent regelt, wer welche Pflichten aus der DSGVO übernimmt – insbesondere in Bezug auf die Wahrnehmung der Rechte der betroffenen Personen und die Information nach Art. 13 und 14 DSGVO. Der wesentliche Inhalt dieser Vereinbarung muss den betroffenen Personen zur Verfügung gestellt werden. Betroffene Personen können ihre Rechte jedoch gegenüber jedem der Verantwortlichen geltend machen, unabhängig von der internen Aufgabenverteilung.

Bekannte Beispiele für gemeinsame Verantwortlichkeit aus der Rechtsprechung des EuGH sind der Betrieb einer Facebook-Fanpage (Fashion ID-Urteil, 2019) und der Einsatz von Facebook-Plugins auf Websites. Für Compliance Officer ist die Prüfung auf gemeinsame Verantwortlichkeit besonders relevant bei Konzernunternehmen mit geteilter IT-Infrastruktur, gemeinsamen Marketing-Aktivitäten mehrerer Unternehmen und der Nutzung bestimmter Social-Media-Funktionen. Wird eine gemeinsame Verantwortlichkeit festgestellt, muss unverzüglich eine Vereinbarung nach Art. 26 DSGVO geschlossen werden.

Rechtliche Grundlage

Art. 26 DSGVO

Praxisbeispiel

Ihr Unternehmen betreibt zusammen mit einem Partnerunternehmen eine gemeinsame Webinar-Plattform, über die beide Unternehmen Teilnehmerdaten erheben und für eigene Marketingzwecke nutzen. Als Compliance Officer erkennen Sie, dass beide Unternehmen über Zweck und Mittel der Verarbeitung mitentscheiden und daher gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO sind. Sie empfehlen den Abschluss einer Joint-Controller-Vereinbarung, in der festgelegt wird, welches Unternehmen Auskunftsanfragen bearbeitet, wer die Datenschutzinformationen erstellt und wie im Fall einer Datenpanne vorgegangen wird. Den wesentlichen Inhalt dieser Vereinbarung integrieren Sie in die Datenschutzinformation auf der Webinar-Anmeldeseite.

Häufige Fragen

Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Stellen gemeinsam über Zweck und Mittel einer Verarbeitung entscheiden. Typische Beispiele sind der gemeinsame Betrieb einer IT-Plattform, konzernweite Verarbeitungen und der Einsatz bestimmter Social-Media-Funktionen wie Facebook-Fanpages.
Die Vereinbarung nach Art. 26 DSGVO muss transparent die Pflichten beider Verantwortlicher regeln, insbesondere die Bearbeitung von Betroffenenrechten und die Informationspflichten nach Art. 13/14 DSGVO. Der wesentliche Inhalt der Vereinbarung muss den betroffenen Personen zugänglich gemacht werden.
Bei der Auftragsverarbeitung handelt ein Dienstleister ausschließlich nach Weisung des Verantwortlichen ohne eigene Entscheidungshoheit. Bei gemeinsamer Verantwortlichkeit entscheiden beide Parteien gemeinsam über Zweck und Mittel. Die Abgrenzung ist im Einzelfall sorgfältig zu prüfen und hat erhebliche rechtliche Konsequenzen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Auftragsverarbeitung (AVV) Personenbezogene Daten Verarbeitungsverzeichnis (VVT) Datenschutzbeauftragter (DSB) Betroffenenrechte
Zurück zum Glossar