Datenschutz

Gemeinsame Verantwortlichkeit nach Art. 26: Wann greift sie und was regeln?

17 Min. Lesezeit
TL;DR
  • Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Entscheidend ist die faktische Einflussnahme, nicht die vertragliche Bezeichnung.
  • Der EuGH hat in den Urteilen Wirtschaftsakademie, Jehovan todistajat und Fashion ID den Begriff weit ausgelegt. Bereits die Mitentscheidung über Parameter einer Datenverarbeitung kann ausreichen.
  • Art. 26 DSGVO verlangt eine Vereinbarung, die transparent festlegt, wer welche Pflichten übernimmt, insbesondere bei Betroffenenrechten und Informationspflichten.
  • Gegenüber den Betroffenen haften gemeinsam Verantwortliche gesamtschuldnerisch. Die Vereinbarung regelt nur das Innenverhältnis.
  • Die Abgrenzung zur Auftragsverarbeitung ist oft schwierig. Der Schlüssel liegt in der Frage: Wer bestimmt die Zwecke? Bestimmen beide Seiten die Zwecke mit, liegt keine Auftragsverarbeitung vor.

Warum gemeinsame Verantwortlichkeit ein Thema ist

In der datenschutzrechtlichen Praxis dominieren zwei Konstellationen: Der Verantwortliche verarbeitet Daten selbst, oder er beauftragt einen Auftragsverarbeiter nach Art. 28 DSGVO. Die dritte Konstellation, die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, führt ein Schattendasein. Viele Unternehmen haben noch nie eine Vereinbarung nach Art. 26 geschlossen, obwohl sie es müssten.

Das hat Konsequenzen. Wenn eine gemeinsame Verantwortlichkeit vorliegt, du sie aber nicht als solche erkennst und behandelst, fehlt die erforderliche Vereinbarung. Die Betroffenen werden nicht korrekt informiert. Die Pflichten sind nicht verteilt. Und bei einer Prüfung durch die Aufsichtsbehörde steht ein Verstoß gegen Art. 26 DSGVO im Raum.

Der Europäische Gerichtshof hat in mehreren wegweisenden Urteilen den Begriff der gemeinsamen Verantwortlichkeit deutlich weiter ausgelegt, als viele Unternehmen erwartet hatten. Das Thema betrifft deshalb weit mehr Konstellationen, als auf den ersten Blick erkennbar.

Definition: Wann liegt gemeinsame Verantwortlichkeit vor?

Art. 26 Abs. 1 Satz 1 DSGVO definiert: "Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung fest, so sind sie gemeinsam Verantwortliche."

Die drei Schlüsselbegriffe:

Gemeinsam: Die Festlegung muss nicht einvernehmlich erfolgen. Es reicht, wenn die Beteiligten faktisch zusammenwirken und die Entscheidungen über die Verarbeitung nicht unabhängig voneinander treffen. Auch eine einseitige Dominanz durch einen Partner schließt gemeinsame Verantwortlichkeit nicht aus.

Zwecke: Warum werden die Daten verarbeitet? Wenn beide Seiten ein eigenes Interesse an der Verarbeitung haben und die Verarbeitung diesen gemeinsamen oder komplementären Interessen dient, spricht das für gemeinsame Verantwortlichkeit.

Mittel: Wie werden die Daten verarbeitet? Wenn beide Seiten Einfluss auf die technischen und organisatorischen Mittel der Verarbeitung nehmen, auf die eingesetzten Systeme, auf die Datenkategorien, auf die Speicherdauer, ist das ein Indiz für gemeinsame Verantwortlichkeit.

Wichtig: Es ist nicht erforderlich, dass beide Seiten gleichermaßen über Zwecke und Mittel entscheiden. Es reicht, wenn jede Seite in irgendeiner Phase des Verarbeitungsprozesses mitbestimmt. Die Verantwortlichkeit kann asymmetrisch verteilt sein.

Die EuGH-Rechtsprechung: Weite Auslegung

Wirtschaftsakademie Schleswig-Holstein (C-210/16, 2018)

Ein Unternehmen betrieb eine Facebook-Fanpage. Der EuGH entschied, dass der Betreiber der Fanpage und Facebook gemeinsam verantwortlich sind, obwohl der Betreiber keinen Zugriff auf die Rohdaten der Nutzer hat. Begründung: Der Betreiber bestimmt durch die Einrichtung der Fanpage und die Konfiguration der Zielgruppen-Parameter mit, welche Daten Facebook erhebt und wie sie verarbeitet werden. Allein die Tatsache, dass der Betreiber Facebook Insights (anonymisierte Statistiken) nutzt, begründet eine Mitverantwortung.

Jehovan todistajat (C-25/17, 2018)

Die Religionsgemeinschaft der Zeugen Jehovas koordinierte die Predigtarbeit ihrer Mitglieder, die bei Hausbesuchen personenbezogene Daten notierten. Der EuGH sah die Gemeinschaft und die einzelnen Mitglieder als gemeinsam Verantwortliche, obwohl die Gemeinschaft keinen direkten Zugriff auf die Notizen hatte. Entscheidend war die organisatorische Steuerung: Die Gemeinschaft legte Gebiete fest, gab Anweisungen zur Datenerhebung und profitierte von den gesammelten Informationen.

Fashion ID (C-40/17, 2019)

Ein Online-Händler hatte den Facebook-Like-Button auf seiner Website eingebunden. Der EuGH entschied, dass der Online-Händler und Facebook gemeinsam verantwortlich sind, zumindest für die Phase der Datenerhebung und Übermittlung an Facebook. Der Händler profitiert von der Datenerhebung (Reichweitenmessung, Werbemöglichkeiten) und hat durch die Einbindung des Buttons aktiv zur Datenerhebung beigetragen.

Was diese Urteile für dich bedeuten

Die Schwelle für gemeinsame Verantwortlichkeit liegt deutlich niedriger, als die meisten Unternehmen annehmen. Du musst nicht gemeinsam eine Datenbank betreiben oder gemeinsam auf Datensätze zugreifen. Es reicht, wenn du durch deine Entscheidungen dazu beiträgst, dass eine Datenverarbeitung stattfindet, und du davon profitierst.

Praxisrelevante Konstellationen, die häufig als gemeinsame Verantwortlichkeit einzuordnen sind:

  • Betrieb von Social-Media-Fanpages (Facebook, Instagram, LinkedIn)
  • Einbindung von Social-Media-Plugins und -Buttons auf der eigenen Website
  • Gemeinsame Kundendatenbanken in Unternehmensgruppen
  • Kooperationen bei Gewinnspielen oder gemeinsamen Marketingkampagnen
  • Shared Service Center, die Daten für mehrere Konzerngesellschaften verarbeiten
  • Forschungskooperationen mit gemeinsamer Datennutzung
  • Plattformen, auf denen mehrere Parteien Daten bereitstellen und nutzen

Abgrenzung zur Auftragsverarbeitung

Die Abgrenzung zwischen gemeinsamer Verantwortlichkeit (Art. 26) und Auftragsverarbeitung (Art. 28) ist in der Praxis oft das schwierigste Thema. Beide Konstellationen erfordern eine vertragliche Regelung, aber die Pflichten und Haftungsfolgen sind grundverschieden.

Der entscheidende Unterschied

Auftragsverarbeitung (Art. 28): Der Auftragsverarbeiter verarbeitet Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Er hat kein eigenes Interesse an der Verarbeitung und bestimmt weder Zwecke noch wesentliche Mittel mit. Beispiel: Ein Hosting-Provider, der Daten speichert und technisch bereitstellt, aber keinen inhaltlichen Einfluss auf die Verarbeitung nimmt.

Gemeinsame Verantwortlichkeit (Art. 26): Beide Seiten haben ein eigenes Interesse an der Verarbeitung und bestimmen Zwecke und/oder Mittel mit. Beispiel: Zwei Unternehmen, die gemeinsam ein Kundenbindungsprogramm betreiben und beide die gesammelten Daten für eigene Marketingzwecke nutzen.

Entscheidungsbaum für die Einordnung

Stelle dir folgende Fragen:

  1. Hat der Dienstleister ein eigenes Interesse an der Verarbeitung? Wenn ja, ist es keine reine Auftragsverarbeitung.
  2. Bestimmt der Dienstleister die Zwecke der Verarbeitung mit? Wenn ja, liegt gemeinsame Verantwortlichkeit nahe.
  3. Bestimmt der Dienstleister wesentliche Mittel der Verarbeitung eigenständig? Wenn er nur technische Detailmittel bestimmt (welcher Server, welche Datenbank), bleibt es bei der Auftragsverarbeitung. Wenn er inhaltliche Mittel bestimmt (welche Daten erhoben werden, wie lange sie gespeichert werden, wer Zugriff erhält), spricht das für gemeinsame Verantwortlichkeit.
  4. Verarbeitet der Dienstleister die Daten auch für eigene Zwecke? Wenn ja, ist es definitiv keine Auftragsverarbeitung.

Grauzone: Eigenverantwortliche Dritte

Es gibt eine dritte Möglichkeit, die oft übersehen wird: Zwei Verantwortliche verarbeiten Daten im Zusammenhang, aber unabhängig voneinander. Jeder bestimmt seine eigenen Zwecke und Mittel, ohne dass eine gemeinsame Festlegung stattfindet. In diesem Fall liegt weder Auftragsverarbeitung noch gemeinsame Verantwortlichkeit vor, sondern eine Übermittlung zwischen eigenverantwortlichen Dritten. Das erfordert eine Rechtsgrundlage für die Übermittlung, aber keine Vereinbarung nach Art. 26 oder Art. 28.

Inhalt der Vereinbarung nach Art. 26

Art. 26 Abs. 1 Satz 2 DSGVO verlangt, dass die gemeinsam Verantwortlichen "in einer Vereinbarung in transparenter Form" festlegen, "wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt". Die Vereinbarung muss insbesondere regeln:

Pflichtinhalte

Verteilung der Pflichten aus der DSGVO: Wer erfüllt welche Informationspflichten (Art. 13, 14)? Wer bearbeitet Betroffenenanfragen (Art. 15 bis 22)? Wer meldet Datenpannen (Art. 33, 34)? Wer führt das Verarbeitungsverzeichnis (Art. 30)? Wer führt eine DSFA durch (Art. 35)?

Wahrnehmung der Betroffenenrechte: Die Vereinbarung muss festlegen, an wen sich die Betroffenen wenden können und wer die Anfragen bearbeitet. Dabei gilt: Die Vereinbarung im Innenverhältnis ändert nichts an den Rechten der Betroffenen. Art. 26 Abs. 3 DSGVO stellt klar, dass die betroffene Person ihre Rechte gegenüber jedem der Verantwortlichen geltend machen kann, unabhängig davon, was die Vereinbarung besagt.

Anlaufstelle für Betroffene: Art. 26 Abs. 1 Satz 3 verlangt, dass die Vereinbarung die jeweiligen "tatsächlichen Funktionen und Beziehungen" der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegelt. Die Betroffenen müssen wissen, an wen sie sich wenden können.

Empfohlene zusätzliche Regelungen

Über die Pflichtinhalte hinaus sollte eine gute Vereinbarung nach Art. 26 auch folgende Punkte regeln:

  • Beschreibung der gemeinsamen Verarbeitung: Welche Daten werden verarbeitet, zu welchen Zwecken, auf welcher Rechtsgrundlage?
  • Technische und organisatorische Maßnahmen: Wer ist für welche Sicherheitsmaßnahmen verantwortlich?
  • Unterauftragsverarbeiter: Dürfen die gemeinsam Verantwortlichen Auftragsverarbeiter einsetzen? Unter welchen Bedingungen?
  • Haftungsverteilung im Innenverhältnis: Art. 82 Abs. 4 DSGVO ermöglicht einen Regressanspruch. Die Vereinbarung sollte die interne Haftungsverteilung klären.
  • Laufzeit und Beendigung: Was passiert mit den Daten, wenn die gemeinsame Verantwortlichkeit endet?
  • Weisungsrechte und Eskalation: Wie werden Meinungsverschiedenheiten über Datenschutzfragen gelöst?

Transparenz gegenüber Betroffenen

Art. 26 Abs. 2 Satz 2 verlangt, dass das "Wesentliche der Vereinbarung" den betroffenen Personen zur Verfügung gestellt wird. Das geschieht typischerweise in der Datenschutzerklärung. Auch die TOMs beider Seiten sollten dokumentiert sein. Du musst dort offenlegen, dass eine gemeinsame Verantwortlichkeit besteht, mit wem, und wer welche Pflichten übernimmt.

Haftung bei gemeinsamer Verantwortlichkeit

Die Haftungsregelung bei gemeinsamer Verantwortlichkeit ist für Unternehmen besonders relevant, weil sie gesamtschuldnerisch ist.

Außenverhältnis: Gegenüber den Betroffenen haftet jeder der gemeinsam Verantwortlichen für den gesamten Schaden (Art. 82 Abs. 4 DSGVO). Die betroffene Person kann sich den Verantwortlichen aussuchen, bei dem sie den Schadenersatz geltend macht. Es spielt keine Rolle, welcher der Verantwortlichen den Verstoß tatsächlich begangen hat.

Innenverhältnis: Der Verantwortliche, der den vollen Schadenersatz geleistet hat, kann von den anderen gemeinsam Verantwortlichen den Ausgleich ihres Anteils verlangen. Die Anteile richten sich nach der Vereinbarung und, falls die Vereinbarung keine Regelung enthält, nach dem Grad der jeweiligen Verantwortung für den Schaden.

Praktische Konsequenz: Wenn du mit einem finanzschwachen Partner gemeinsam verantwortlich bist, trägst du im schlimmsten Fall das volle Haftungsrisiko, weil die betroffene Person bei dir als dem solventen Partner klagt und du keinen wirksamen Regress beim insolventen Partner nehmen kannst.

Praxisbeispiel: Social-Media-Fanpage

Das verbreitetste Beispiel für gemeinsame Verantwortlichkeit ist der Betrieb einer Unternehmensseite auf Facebook, Instagram oder LinkedIn. Nach dem Wirtschaftsakademie-Urteil des EuGH besteht zwischen dem Seitenbetreiber und der Plattform eine gemeinsame Verantwortlichkeit.

Facebook hat daraufhin ein "Seiten-Insights-Addendum" veröffentlicht, das als Vereinbarung nach Art. 26 DSGVO dienen soll. Die deutschen Aufsichtsbehörden haben dieses Addendum wiederholt als unzureichend kritisiert, insbesondere weil:

  • Die Pflichten einseitig zulasten des Seitenbetreibers verteilt werden
  • Facebook seine eigenen Verarbeitungszwecke nicht transparent offenlegt
  • Der Seitenbetreiber faktisch keinen Einfluss auf die Datenverarbeitung durch Facebook hat, aber trotzdem mitverantwortlich ist

Für dich als Seitenbetreiber bedeutet das eine unbefriedigende Situation: Du bist gemeinsam verantwortlich, hast aber kaum Gestaltungsmöglichkeiten. Trotzdem musst du in deiner Datenschutzerklärung auf die gemeinsame Verantwortlichkeit hinweisen, das Addendum bereithalten und Betroffenenanfragen bearbeiten können.

Praxisbeispiel: Konzerninternes Shared Service Center

Ein mittelständischer Konzern mit fünf Tochtergesellschaften betreibt ein zentrales Shared Service Center für die Personalverwaltung. Das SSC verarbeitet die Personalstammdaten, führt die Lohnabrechnung durch und verwaltet die Zeiterfassung für alle Tochtergesellschaften.

Ist das Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? Das hängt von der konkreten Ausgestaltung ab:

Auftragsverarbeitung: Wenn das SSC strikt weisungsgebunden arbeitet und die Tochtergesellschaften jede Verarbeitungsaktivität im Detail vorgeben, liegt Auftragsverarbeitung vor. Das SSC hat kein eigenes Interesse an der Verarbeitung und bestimmt weder Zwecke noch wesentliche Mittel.

Gemeinsame Verantwortlichkeit: Wenn das SSC eigenständig über Verarbeitungsprozesse, Software-Auswahl, Speicherdauer oder Zugriffsberechtigungen entscheidet und wenn es eigene Zwecke verfolgt (z. B. konzernweite Personalstatistiken, Benchmarking), liegt gemeinsame Verantwortlichkeit nahe.

In der Praxis sind viele Shared Service Center Mischformen: Teils weisungsgebunden, teils eigenständig. Die saubere Lösung ist eine Vereinbarung, die beide Aspekte abdeckt und für jede Verarbeitungstätigkeit klärt, ob sie als Auftragsverarbeitung oder als gemeinsame Verantwortlichkeit einzuordnen ist.

Checkliste: Art.-26-Vereinbarung prüfen

Wenn du eine Vereinbarung nach Art. 26 DSGVO erstellen oder prüfen musst, arbeite die folgenden Punkte ab:

  • Ist die gemeinsame Verantwortlichkeit korrekt identifiziert und von der Auftragsverarbeitung abgegrenzt?
  • Sind die gemeinsam verantwortlichen Stellen namentlich benannt?
  • Ist die gemeinsame Verarbeitung vollständig beschrieben (Daten, Zwecke, Rechtsgrundlagen)?
  • Ist für jede DSGVO-Pflicht geklärt, wer sie erfüllt?
  • Ist ein Ansprechpartner für Betroffenenanfragen definiert?
  • Ist geregelt, wie Betroffenenanfragen weitergeleitet und bearbeitet werden?
  • Ist die Meldepflicht bei Datenpannen verteilt?
  • Sind die technischen und organisatorischen Maßnahmen beschrieben?
  • Ist die Haftungsverteilung im Innenverhältnis geregelt?
  • Ist das Wesentliche der Vereinbarung in den Datenschutzerklärungen beider Seiten offengelegt?
  • Ist die Laufzeit und die Datenbehandlung bei Beendigung geregelt?

In ISMS Lite kannst du Art.-26-Vereinbarungen zusammen mit AVVs zentral verwalten und den Überblick über Pflichten, Fristen und Ansprechpartner behalten.

Weiterführende Artikel

Die gemeinsame Verantwortlichkeit ist kein exotischer Sonderfall. Sie ist der Normalfall in einer vernetzten Wirtschaft, in der Unternehmen Daten teilen, Plattformen nutzen und in Wertschöpfungsketten zusammenarbeiten. Wer sie erkennt und sauber regelt, hat einen Vorsprung gegenüber der großen Mehrheit, die das Thema noch ignoriert.

Gemeinsame Verantwortlichkeit Art. 26 DSGVO Joint Controller Datenschutz DSGVO Auftragsverarbeitung Verantwortlicher

Datenschutz-Vereinbarungen zentral verwalten

ISMS Lite unterstützt dich bei der Dokumentation von Joint-Controller-Vereinbarungen, AVVs und Verantwortlichkeiten. Alle Verträge und Pflichten an einem Ort.

Jetzt installieren