In der heutigen vernetzten Geschäftswelt ist die gemeinsame Nutzung von Daten alltäglich. Doch wann genau sind Unternehmen gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich? Und welche Pflichten ergeben sich daraus? Die korrekte Einordnung ist entscheidend, um rechtliche Fallstricke zu vermeiden sowie Datenschutz und Compliance zu gewährleisten. Dieser Artikel beleuchtet die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO und zeigt auf, wie Sie die komplexen Anforderungen in der Praxis meistern.

Die gemeinsame Verantwortlichkeit stellt eine spezifische Konstellation im Datenschutzrecht dar, bei der zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Die rechtliche Grundlage hierfür bildet Art. 26 DSGVO. Eine solche Konstellation liegt vor, wenn Unternehmen nicht nur Daten austauschen, sondern aktiv und kooperativ an der Entscheidung über das „Warum“ (Zweck) und das „Wie“ (Mittel) der Datenverarbeitung beteiligt sind. Es geht darum, dass die beteiligten Parteien gemeinsam den Kurs der Datenverarbeitung bestimmen.

Praxisbeispiele für eine gemeinsame Verantwortlichkeit

Eine gemeinsame Verantwortlichkeit entsteht also immer dann, wenn die Entscheidungsbefugnis über die Datenverarbeitung geteilt wird und eine gemeinsame Festlegung von Zwecken und Mitteln der Verarbeitung erfolgt. Einige praxisnahe Beispiele verdeutlichen dies:

• Gemeinsame Marketingkampagnen: Zwei Unternehmen führen eine gemeinsame Marketingaktion durch und nutzen dafür eine gemeinsame Datenbank mit Kundendaten, um personalisierte Angebote zu versenden. Hier entscheiden beide über die Ziele der Kampagne und die Art der Datennutzung.
• Betrieb einer gemeinsamen Website oder Plattform: Mehrere Organisationen betreiben eine gemeinsame Online-Plattform, auf der Nutzerprofile angelegt und Daten für gemeinsame Zwecke (z. B. Netzwerkbildung, gemeinsame Angebote) verarbeitet werden.
• Forschungsprojekte: Verschiedene Forschungseinrichtungen arbeiten an einem gemeinsamen Projekt und tauschen dabei personenbezogene Daten aus, wobei sie gemeinsam die Forschungsziele und die Methoden der Datenerhebung und -analyse definieren.

Verantwortlich ist, wer Mittel und Zwecke der Verarbeitung festlegt

Ein Unternehmen ist dann Verantwortlicher, wenn es die Kontrolle über die Datenverarbeitung ausübt, indem es die Zwecke und Mittel der Verarbeitung bestimmt. Dies unterscheidet den Verantwortlichen von einem reinen Dienstleister oder Auftragsverarbeiter, der lediglich weisungsgebunden im Auftrag des Verantwortlichen handelt und keine eigenen Entscheidungen über das „Warum“ und „Wie“ der Datenverarbeitung trifft. Bei der gemeinsamen Verantwortlichkeit teilen sich mehrere Parteien diese Entscheidungsbefugnis.

Typische Fehlentscheidungen und ihre Folgen

Eine häufige Fehlentscheidung in der Praxis ist die falsche Einstufung einer gemeinsamen Verantwortlichkeit als Auftragsverarbeitung. Dies kann gravierende Folgen haben, da die rechtlichen Anforderungen und die Haftungsrisiken in beiden Fällen unterschiedlich sind. Eine unklare oder falsche Zuordnung kann zu erheblichen Bußgeldern durch Aufsichtsbehörden führen und die Abwicklung von Betroffenenrechten erschweren. Unklare Zuständigkeiten bei Datenschutzvorfällen oder Anfragen von Betroffenen sind weitere Risiken, die aus einer fehlerhaften Einordnung resultieren können.

Die Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung ist für Unternehmen oft eine Herausforderung, aber von entscheidender Bedeutung für die Einhaltung der DSGVO.

Auftragsverarbeitung nach DSGVO

Die Auftragsverarbeitung liegt vor, wenn ein Unternehmen (der Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung eines anderen Unternehmens (des Verantwortlichen) verarbeitet. Der Auftragsverarbeiter handelt dabei streng weisungsgebunden und hat keine eigenen Entscheidungsbefugnisse über die Zwecke der Verarbeitung. Typische Merkmale sind:

• Weisungsgebundenheit: Der Auftragsverarbeiter darf nur nach den Anweisungen des Verantwortlichen handeln.
• Kein eigener Zweck: Der Auftragsverarbeiter verfolgt keine eigenen Zwecke mit den Daten.
• Vertragliche Regelung: Ein Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich.
• Beispiele: Hosting-Anbieter, Cloud-Dienstleister, externe Lohnbuchhaltung.

Mehr dazu lesen Sie in diesem Blogbeitrag.

Vergleich: Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Die Unterscheidung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit lässt sich anhand folgender Punkte verdeutlichen:

Entscheidung über Zwecke:

• Auftragsverarbeitung: Nur der Verantwortliche entscheidet.
• Gemeinsame Verantwortlichkeit: Mehrere Parteien entscheiden gemeinsam.

Entscheidung über Mittel:

• Auftragsverarbeitung: Der Verantwortliche gibt die wesentlichen Mittel vor.
• Gemeinsame Verantwortlichkeit: Mehrere Parteien entscheiden gemeinsam über die wesentlichen Mittel.

Vertragstyp:

• Auftragsverarbeitung: Auftragsverarbeitungsvertrag (AVV).
• Gemeinsame Verantwortlichkeit: Vereinbarung nach Art. 26 DSGVO. 

Außenauftritt: 

• Auftragsverarbeitung: Der Verantwortliche ist der alleinige Ansprechpartner für Betroffene.
• Gemeinsame Verantwortlichkeit: Beide Parteien können Ansprechpartner sein, die Vereinbarung regelt dies.

Praxisbeispiele für beide Konstellationen

• Auftragsverarbeitung: Ein Unternehmen nutzt einen externen Cloud-Speicheranbieter, um Kundendaten zu sichern. Der Cloud-Anbieter handelt dabei streng nach den Vorgaben des Unternehmens und hat keinen Einfluss auf den Zweck der Datenspeicherung.
• Gemeinsame Verantwortlichkeit: Ein Online-Shop kooperiert mit einem Zahlungsdienstleister. Beide legen gemeinsam fest, welche Kundendaten für die Abwicklung des Zahlungsvorgangs benötigt werden und wie diese Daten verarbeitet werden, um den Kauf abzuschließen.

Die Betroffenenrechte nach DSGVO sind ein zentraler Pfeiler des Datenschutzes. Eine allgemeinen Überblick über die Betroffenenrechte lesen Sie hier.

Bei der gemeinsamen Verantwortlichkeit stellt sich die Frage, wie diese Rechte effektiv gewährleistet werden können.

Wer kümmert sich um was? Zuständigkeiten der Verantwortlichen

Die Vereinbarung nach Art. 26 DSGVO muss transparent festlegen, wer von den gemeinsam Verantwortlichen welche Pflichten im Hinblick auf die Betroffenenrechte erfüllt. Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch. Es ist wichtig zu beachten, dass Betroffene sich grundsätzlich an jeden der gemeinsam Verantwortlichen wenden können, um ihre Rechte geltend zu machen. Die internen Regelungen entbinden die Verantwortlichen nicht von ihrer Pflicht gegenüber den Betroffenen.

Informations- und Transparenzpflichten nach Art. 26 DSGVO

Die Transparenz gegenüber den Betroffenen ist essenziell. Die Vereinbarung muss den Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden. Dies geschieht in der Regel über die Datenschutzinformation. Dort muss klar dargelegt werden, welche Parteien gemeinsam verantwortlich sind und wie die wesentlichen Inhalte der Vereinbarung aussehen, insbesondere in Bezug auf die Ausübung der Betroffenenrechte.

Checkliste zur Umsetzung:

• Nennung aller gemeinsam Verantwortlichen.
• Angabe der wesentlichen Inhalte der Vereinbarung.
• Information, an wen sich Betroffene wenden können.
• Erläuterung der Zuständigkeiten bei der Bearbeitung von Betroffenenanfragen.

Ein schriftlicher Vertrag zur gemeinsamen Verantwortlichkeit ist unerlässlich, um die Pflichten und Verantwortlichkeiten der beteiligten Parteien klar zu regeln und rechtliche Sicherheit zu schaffen.

Zentrale Inhalte der Vereinbarung nach Art. 26 DSGVO

Die Vereinbarung muss die jeweiligen Aufgaben und Verantwortlichkeiten der gemeinsam Verantwortlichen klar abgrenzen. Zu den zentralen Inhalten gehören:

• Zwecke und Rechtsgrundlagen der gemeinsamen Datenverarbeitung.
• Aufgabenteilung bei der Erfüllung der Betroffenenrechte (Auskunft, Löschung etc.).
• Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten.
• Benennung von Ansprechpartnern für Betroffene und Aufsichtsbehörden.
• Regelungen zum Umgang mit Datenschutzverletzungen.

Dokumentation, Nachweis und regelmäßige Überprüfung

Der Vertrag zur gemeinsamen Verantwortlichkeit dokumentiert die Vereinbarungen, die die Verantwortlichen unter einander bezüglich der Datenverarbeitungen miteinander treffen. Dieser muss auf Anfrage der Aufsichtsbehörden vorgelegt werden können. Eine regelmäßige Überprüfung und gegebenenfalls Anpassung des Vertrags ist ratsam, insbesondere bei Änderungen der Verarbeitungstätigkeiten oder der beteiligten Parteien. Dies gewährleistet, dass der Vertrag stets aktuell ist und den Anforderungen der DSGVO entspricht.

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist ein komplexes, aber unverzichtbares Thema im modernen Datenschutz. Eine präzise Analyse der Verarbeitungsszenarien, klare Abgrenzung zur Auftragsverarbeitung und transparente vertragliche Regelungen sind entscheidend für Compliance und Datenschutz.

audius bietet Ihnen umfassende Datenschutz-Expertise. Wir starten mit einem Datenschutz-Audit, um den aktuellen Stand Ihrer Datenverarbeitungsprozesse zu analysieren. Unsere Mitarbeitende verfügen über höchste Fachkunde im Datenschutz und Zuverlässigkeit. Sie wissen, wie Sie Bußgelder vermeiden und Ihre Datenverarbeitungsprozesse gesetzeskonform und effizient optimieren. Mit audius integrieren Sie datenschutzrechtliche Anforderungen automatisiert in Ihre Unternehmensabläufe, damit Sie sich voll auf Ihr Kerngeschäft konzentrieren können. Kontaktieren Sie uns!