JAllgemein

Joint Controllership (Gemeinsame Verantwortlichkeit) nach Art. 26 DSGVO

Zwei Parteien bestimmen gemeinsam Zwecke/Mittel der Verarbeitung; Vertrag nötig.

Joint Controllership (gemeinsame Verantwortlichkeit) nach Art. 26 DSGVO liegt vor, wenn zwei oder mehr Unternehmen gemeinsam über Zwecke und wesentliche Mittel einer Verarbeitung personenbezogener Daten entscheiden. Dann müssen sie in einer Vereinbarung (Art.-26-Vertrag) transparent festlegen, wer welche DSGVO-Pflichten übernimmt – z. B. Informationspflichten, Betroffenenrechte und Sicherheit.

Was bedeutet „gemeinsam verantwortlich“ nach Art. 26 DSGVO?

Gemeinsame Verantwortlichkeit heißt nicht „wir nutzen nur denselben Dienstleister“, sondern: Die Parteien steuern die Verarbeitung zusammen. Typisch ist, dass beide Seiten Nutzen und Ziel der Verarbeitung festlegen (Zweck) und die zentralen Parameter bestimmen (Mittel), z. B. welche Daten erhoben werden, wie lange gespeichert wird, wer Zugriff erhält oder welche Plattform eingesetzt wird.

Wie funktioniert Joint Controllership in der Praxis?

  • Prüfen, ob Art. 26 passt: Gibt es eine gemeinsame Entscheidung über Zweck und wesentliche Mittel? Wenn eine Partei nur „im Auftrag“ handelt, ist eher Auftragsverarbeitung (Art. 28) relevant.
  • Vereinbarung schließen (Art. 26): Darin werden Rollen und Zuständigkeiten verteilt (wer macht was).
  • Kerninhalte bereitstellen: Betroffene müssen die „wesentlichen Inhalte“ der Vereinbarung in verständlicher Form erhalten (z. B. in Datenschutzhinweisen).
  • Umsetzung leben: Prozesse für Auskunft/Löschung, Incident-Handling, TOMs und Dokumentation müssen tatsächlich funktionieren – nicht nur auf dem Papier.

Was muss in die Art.-26-Vereinbarung (für KMU besonders wichtig)?

  • Kontaktpunkte: Wer ist primärer Ansprechpartner für Betroffene und Aufsichtsbehörden?
  • Informationspflichten: Wer liefert welche Inhalte für die Datenschutzhinweise (Art. 13/14)?
  • Betroffenenrechte: Wer bearbeitet Auskunft, Berichtigung, Löschung, Widerspruch – und in welchen Fristen/Workflows?
  • Rechtsgrundlagen & Zwecke: Gemeinsame Beschreibung der Verarbeitung, inkl. Rechtsgrundlage(n).
  • Sicherheit (TOMs): Wer setzt welche technischen/organisatorischen Maßnahmen um (z. B. Rollenrechte, Logging, Verschlüsselung)?
  • Meldung von Datenschutzvorfällen: Wer bewertet, wer meldet an die Behörde (72 Stunden), wer informiert Betroffene?
  • Haftung & Regress: Interne Regelungen, auch wenn Betroffene ihre Ansprüche grundsätzlich gegen jeden Joint Controller geltend machen können.

Beispiele aus IT-Sicherheit & Datenschutz

  • Gemeinsame Marketing-/Tracking-Kampagne: Zwei Unternehmen betreiben zusammen eine Landingpage und definieren gemeinsam, welche Tracking-Daten zu welchem Zweck erhoben werden. Das kann Joint Controllership sein.
  • Kooperation im Kundenservice: Partner A und Partner B betreiben gemeinsam ein Ticket-System, legen Kategorien, Pflichtfelder und Aufbewahrungsfristen fest und nutzen die Daten für gemeinsame Auswertungen.
  • KI-gestützte Prozesse: Wenn zwei Parteien gemeinsam festlegen, wie ein ChatGPT- oder Generative KI (Generative AI)-Workflow Kundendaten verarbeitet (z. B. welche Inhalte im Prompt landen, welche Logs gespeichert werden), kann das Art. 26 auslösen.

Warum ist das für KMU wichtig?

Fehleinordnungen sind häufig: Viele KMU nutzen „Partner“ oder Plattformen und nehmen automatisch Auftragsverarbeitung an. Wenn tatsächlich gemeinsame Steuerung vorliegt, fehlt ohne Art.-26-Vereinbarung eine zentrale DSGVO-Anforderung – mit Risiko bei Beschwerden, Prüfungen oder Vorfällen. Praktisch hilft ein sauberer Art.-26-Vertrag, Verantwortlichkeiten, Security-Aufgaben und Reaktionswege klar zu regeln.