Gemeinsame Verantwortlichkeit Art. 26 DSGVO

Gemeinsame Verantwortlichkeit Art. 26 DSGVO

Zweck

Bei vielen Konstellationen sind mehrere Akteure gemeinsam für eine Verarbeitung verantwortlich — das wird oft übersehen. Folge ist eine Pflicht-Vereinbarung und gesamtschuldnerische Haftung. Dieses Skill prüft Konstellationen und entwirft Vereinbarungen.

Eingaben

• Verarbeitungs-Konstellation (mehrere Akteure?)
• Rollen-Verteilung (wer entscheidet was?)
• Bisherige Verträge zwischen den Beteiligten
• Datenflüsse
• Mandanten-Rolle (oft schon "selbstverständlich" als allein verantwortlich verstanden — ist es das?)

Schritt 1 — Drei Konstellationen

A) Auftragsverarbeitung Art. 28 DSGVO

• Auftragsverarbeiter verarbeitet weisungsgebunden
• Verantwortlicher legt Zwecke und Mittel fest
• Auftragsverarbeiter folgt Anweisungen
• AVV nach Art. 28 Abs. 3 DSGVO

B) Gemeinsame Verantwortlichkeit Art. 26 DSGVO

• Mehrere Akteure legen gemeinsam Zwecke und Mittel fest
• Auch wenn nicht alle Akteure gleich-mächtig
• Vereinbarung nach Art. 26 DSGVO

C) Separate Verantwortlichkeit

• Mehrere Akteure verarbeiten dieselben Daten
• Aber jeder für eigene Zwecke mit eigener Rechtsgrundlage
• Keine Vereinbarung erforderlich
• Beispiel: Lohn-Auskunft Steuer-Berater einer-seits, Finanzamt anderer-seits

Schritt 2 — Abgrenzungs-Kriterien

EuGH-Linien

C-25/17 Zeugen Jehovas (10.7.2018)

• Mit-Verantwortung durch organisatorische Tätigkeit
• Auch bei dezentraler Verarbeitung

C-210/16 Wirtschaftsakademie (5.6.2018)

• Facebook-Fan-Page-Betreiber gemeinsam verantwortlich mit Facebook
• Auch ohne Daten-Empfang

C-40/17 Fashion ID (29.7.2019)

• Like-Button auf Webseite — gemeinsame Verantwortung mit Facebook
• Bezogen auf Erhebung und Übermittlung
• Nicht für nachgelagerte Facebook-Verarbeitung

C-252/21 Meta Platforms Ireland (4.7.2023)

• Bestätigt weite Auslegung der gemeinsamen Verantwortlichkeit
• Wettbewerbsbehörden dürfen DSGVO-Konformität inzident prüfen
• Verarbeitungs-Verantwortung beim Plattform-Betreiber für cross-service-Datenzusammenführung

Indizien gemeinsame Verantwortlichkeit

• Gemeinsame Entscheidungen über Zweck oder Mittel
• Wechselseitige Abhängigkeit
• Gemeinsamer Nutzen der Verarbeitung
• Vertragliche Verknüpfung
• Datenfluss zwischen den Akteuren

Bei reiner Verarbeitung im Auftrag

• AVV-Konstellation
• Auftragnehmer ohne eigene Zwecke

Bei separaten Datenströmen

• Eigenständige Verantwortung
• Keine gemeinsame Vereinbarung

Schritt 3 — Konkrete Konstellationen

Konzern

• Mutter und Tochter gemeinsame Verarbeitung (z.B. Personal-Datenbank)
• Group-Functions zentrale IT für mehrere Gesellschaften
• Häufig Konzern-Vereinbarung Art. 26 in Konzern-BCR oder eigenständigem Vertrag

Plattformen

• Veranstalter und Plattform-Betreiber
• Online-Marktplatz und Verkäufer
• Influencer und Plattform

Konsortien / Joint Ventures

• Forschungs-Konsortium mit gemeinsamem Daten-Pool
• Co-Marketing mit gemeinsamem Kunden-Bezug
• Banken-Verbund mit gemeinsamer Risiko-Bewertung

Social-Plugins (Fashion ID)

• Webseiten-Betreiber und Social-Network
• Erhebung durch Plugin gemeinsam
• Nachgelagerte Verarbeitung Social-Network separat

Werbe-Netzwerke

• Webseite Verlag und Vermarkter
• Programmatic Advertising Real-Time-Bidding mit zahlreichen Akteuren

Veranstaltungs-Anmeldung

• Veranstalter und Anmelde-Dienstleister
• Bei Veranstaltungs-Plattformen Eventbrite etc.

Schritt 4 — Inhalt der Vereinbarung Art. 26 Abs. 1 DSGVO

Pflicht-Inhalte

a) Festlegung Verantwortlichkeiten

• Wer erfüllt welche DSGVO-Pflicht
• Information Betroffener (Art. 13 14)
• Beantwortung Anfragen Betroffener (Art. 15-22)
• Daten-Schutz-Folgenabschätzung (Art. 35)
• Sicherheits-Verletzungs-Meldungen (Art. 33 34)
• Drittland-Garantien
• Lösch-Verpflichtungen

b) Kontakt-Stelle

• Bestimmung gemeinsamer Anlaufstelle für Betroffene
• Information an Betroffene mit Adresse
• Praktisches Wahl-Recht Betroffener Art. 26 Abs. 3 DSGVO — Anspruch gegen jeden Verantwortlichen

c) Wesentliche Inhalte Mitteilung an Betroffene

• Pflicht zur Veröffentlichung wesentlicher Punkte
• Webseite Datenschutz-Hinweise
• Eigene Konstellation-Beschreibung

Empfohlene zusätzliche Inhalte

• Haftung im Innen-Verhältnis (Rückgriffs-Quote)
• Versicherungs-Schutz
• Audit-Recht
• Beendigungs-Regelungen
• Datenfluss-Beschreibung

Schritt 5 — Haftung Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO

Gesamtschuldnerische Außen-Haftung

• Beide Verantwortliche haften gegenüber Betroffenen nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO
• Art. 82 Abs. 4 DSGVO regelt die Mehrheits-Haftung mehrerer Verantwortlicher, nicht den Anspruch dem Grunde nach (der folgt aus Abs. 1)
• Betroffener kann sich Schaden bei jedem holen
• Effektiver Schutz Betroffener

Innen-Verhältnis

• Rückgriff möglich nach Vereinbarung, Art. 82 Abs. 5 DSGVO
• Bei Verschuldens-Anteil
• Versicherung-Übernahme

Bei Bußgeld Art. 83 DSGVO

• Wichtig: Bußgelder werden separat pro Verantwortlichem verhängt — keine gesamtschuldnerische Bußgeld-Haftung
• Jeder Verantwortliche haftet für eigenes Verschulden, eigenen Jahresumsatz, eigene Wiederholungs-Last
• Quote der Verantwortung pro Akteur

Schritt 6 — Information Betroffener

Pflicht-Information

• Wesentliche Inhalte der Joint-Controller-Vereinbarung
• Wer ist für welche Anfrage zuständig
• Wahl-Recht des Betroffenen
• Adresse Kontakt-Stelle

Form

• Datenschutz-Hinweise Webseite
• Vertrags-Texte mit Datenschutz-Klausel
• Datenpannen-Meldung wenn nötig

Schritt 7 — Aufbau-Schritte Vereinbarung

Phase 1 — Konstellations-Analyse

• Wer ist Beteiligter?
• Welche Zwecke?
• Welche Mittel?
• Wer entscheidet was?

Phase 2 — Rechtliche Klassifikation

• Auftragsverarbeitung?
• Gemeinsame Verantwortlichkeit?
• Separate Verantwortlichkeit?

Phase 3 — Vereinbarungs-Entwurf

• Pflicht-Inhalte nach Art. 26
• Zusatz-Inhalte (Haftung Audit etc.)
• Anhänge (Datenfluss-Beschreibung TOMs)

Phase 4 — Abschluss und Kommunikation

• Beide Verantwortliche unterzeichnen
• Information Betroffener
• VVT-Eintrag

Schritt 8 — Muster-Vereinbarung

Vereinbarung über die gemeinsame Verantwortlichkeit
gemäss Art. 26 DSGVO

zwischen

[Verantwortlicher 1]
- nachfolgend "V1" -

und

[Verantwortlicher 2]
- nachfolgend "V2" -

§ 1 Gegenstand

V1 und V2 verarbeiten gemeinsam personenbezogene
Daten zum Zweck der [Zweck konkret].

§ 2 Verarbeitungs-Tätigkeit

Die gemeinsam verantworteten Verarbeitungs-
Tätigkeiten sind im Anhang 1 beschrieben.

Die Daten-Kategorien, betroffene Personen-Kreise,
Empfänger und Lösch-Fristen sind in Anhang 1
spezifiziert.

§ 3 Aufgaben-Verteilung

3.1 Information Betroffener gem. Art. 13 14 DSGVO:
[V1 oder V2 oder gemeinsam]

3.2 Beantwortung Anfragen Betroffener gem.
Art. 15-22 DSGVO: V1 als Anlaufstelle

3.3 DSFA gem. Art. 35 DSGVO: [V1 oder V2 oder
gemeinsam]

3.4 Sicherheitsverletzungs-Meldungen gem.
Art. 33 34 DSGVO: V1 als Meldestelle, V2 bei
eigenen Tätigkeiten

3.5 Drittland-Garantien: V1 für Drittland-
Übertragungen aus eigener Verarbeitung;
V2 für eigene Drittland-Übertragungen

3.6 Lösch-Verpflichtungen: V1 und V2 gemäss
eigener Verantwortungs-Bereiche

§ 4 Kontakt-Stelle

Anlaufstelle für Betroffene gemäss Art. 26 Abs. 1
DSGVO: V1, [Anschrift Kontakt-Daten].

Trotz der Bestimmung der Anlaufstelle können sich
Betroffene gemäss Art. 26 Abs. 3 DSGVO auch direkt
an V2 wenden.

§ 5 Information Betroffener

Die wesentlichen Inhalte dieser Vereinbarung werden
den Betroffenen wie folgt zur Verfügung gestellt:

- Veröffentlichung in der Datenschutz-Erklärung
  V1 und V2
- Hinweis im Vertrags-Schluss
- Auf Verlangen Vorlage in Volltext

§ 6 Datensicherheit

V1 und V2 implementieren angemessene technische
und organisatorische Maßnahmen gemäss Art. 32 DSGVO.
TOMs in Anhang 2.

§ 7 Bußgeld und Haftung

7.1 Außenhaftung: V1 und V2 haften gesamtschuldnerisch
nach Art. 82 Abs. 1 i. V. m. Abs. 4 DSGVO. Bußgelder
nach Art. 83 DSGVO werden separat pro Verantwortlichem
verhängt.

7.2 Innenhaftung: V1 und V2 tragen Schäden im
Innen-Verhältnis entsprechend ihrer Verantwortung-
Anteile gemäss Anhang 3.

7.3 Versicherungs-Schutz: V1 und V2 sicherstellen
angemessene Versicherungs-Deckung.

§ 8 Audit-Recht

V1 und V2 gewähren sich gegenseitig auf vorheriger
Ankündigung Audit-Rechte hinsichtlich der gemeinsam
verantworteten Verarbeitung.

§ 9 Beendigung

Diese Vereinbarung kann mit drei-Monats-Frist
gekündigt werden. Bei Beendigung wird die Verarbeitung
einvernehmlich aufgeloest und Daten gemäss DSGVO
gelöscht oder zurückgegeben.

§ 10 Schlussbestimmungen

[Salvatorische Klausel, anwendbares Recht etc.]

[Ort Datum]
[Unterschriften]

Anhang 1: Verarbeitungs-Tätigkeit
Anhang 2: TOMs
Anhang 3: Innenhaftungs-Quote

Schritt 9 — Bei Streit zwischen Joint Controllers

Mediation

• Erst Versuch
• Vertragliche Klärung

Schiedsklausel

• Optional in Vereinbarung
• Schnelle Klärung

Klage

• LG-Wettbewerbs-/Vertragsabteilung
• Anwendbares Recht

Schritt 10 — Aufsichts-Behörden-Audit

Auditprozess

• Beide Verantwortliche werden geladen
• Vorlage Vereinbarung
• TOMs-Bestätigung

Sanktion bei Verstoß

• Bußgeld
• Anordnungen
• Verbot der Verarbeitung

Verzahnung mit anderen Skills

• avv-pruefung — Abgrenzung Auftragsverarbeitung
• verarbeitungsverzeichnis-vvt-generator — VVT-Eintrag
• dsfa-erstellung — bei DSFA-Pflicht
• datenpanne-meldung — bei Vorfall
• drittlandstransfer-pruefung — bei Drittland-Bezug
• anwendungsfall-triage — bei Eingangs-Prüfung
• regulierungs-luecken-analyse — bei mehreren Verarbeitungs-Tätigkeiten

Ausgabe

• joint-controller-{az}.md mit Konstellations-Analyse Klassifikation Vereinbarungs-Entwurf
• Information-Texte für Betroffene
• VVT-Update
• Innenhaftungs-Klausel
• Frist im Fristenbuch (Vertragsschluss vor Verarbeitung)

Quellen

• DSGVO Art. 26 28 82 83
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• EDSA Guidelines 7/2020 zu Verantwortliche und Auftragsverarbeiter
• BfDI-Informationen
• DSK Kurzpapier

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Triage zu Beginn

1. Legen zwei oder mehr Stellen gemeinsam Zwecke und Mittel der Verarbeitung fest?
2. Handelt es sich um eine konzernweite Verarbeitung oder externe Partnerschaft?
3. Liegt bereits eine Vereinbarung nach Art. 26 DSGVO vor?
4. Wird die Vereinbarung (Wesentliches) gegenüber Betroffenen transparent gemacht?

Output-Template — Joint-Controller-Vereinbarung (Grundgerüst)

Adressat: Alle Verantwortlichen / Rechtsabteilung — Tonfall: sachlich-juristisch

Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Datum: [DATUM]

Parteien:
1. [ORGANISATION A], [ANSCHRIFT] (im Folgenden "Partei A")
2. [ORGANISATION B], [ANSCHRIFT] (im Folgenden "Partei B")

§ 1 Gegenstand und Zweck
[BESCHREIBUNG DER GEMEINSAMEN VERARBEITUNG]

§ 2 Gemeinsame Zwecke und Mittel
[BEIDE PARTEIEN ENTSCHEIDEN ÜBER: ZWECKE / MITTEL]

§ 3 Aufgabenverteilung
| Aufgabe                        | Partei A | Partei B |
|--------------------------------|----------|----------|
| Rechtsgrundlagen sicherstellen |          |          |
| Betroffenenrechte wahrnehmen   |          |          |
| Datenpannen melden Art. 33     |          |          |
| Technische Sicherheit Art. 32  |          |          |

§ 4 Kontaktstelle für Betroffene (Art. 26 Abs. 1 Satz 3 DSGVO)
Kontaktstelle: [PARTEI X, ADRESSE, E-MAIL]

§ 5 Haftung (Art. 82 Abs. 4 DSGVO)
Gesamtschuldnerisch; interner Regressausgleich nach Verschuldensanteilen.

§ 6 Information der Betroffenen
Das Wesentliche dieser Vereinbarung wird Betroffenen gemäß Art. 26 Abs. 2 DSGVO
über [DATENSCHUTZERKLAERUNG / DIREKTINFORMATION] zugänglich gemacht.