JAllgemein

Joint Controllership (Gemeinsame Verantwortlichkeit) nach Art. 26 DSGVO

Zwei Parteien bestimmen gemeinsam Zwecke/Mittel der Verarbeitung; Vertrag nötig.

Joint Controllership (gemeinsame Verantwortlichkeit) nach Art. 26 DSGVO liegt vor, wenn zwei oder mehr Unternehmen gemeinsam über Zwecke und wesentliche Mittel einer Verarbeitung personenbezogener Daten entscheiden. Dann müssen sie in einer Vereinbarung (Art.-26-Vertrag) transparent festlegen, wer welche DSGVO-Pflichten übernimmt – z. B. Informationspflichten, Betroffenenrechte und Sicherheit.

Was bedeutet „gemeinsam verantwortlich“ nach Art. 26 DSGVO?

Gemeinsame Verantwortlichkeit heißt nicht „wir nutzen nur denselben Dienstleister“, sondern: Die Parteien steuern die Verarbeitung zusammen. Typisch ist, dass beide Seiten Nutzen und Ziel der Verarbeitung festlegen (Zweck) und die zentralen Parameter bestimmen (Mittel), z. B. welche Daten erhoben werden, wie lange gespeichert wird, wer Zugriff erhält oder welche Plattform eingesetzt wird.

Wie funktioniert Joint Controllership in der Praxis?

  • Prüfen, ob Art. 26 passt: Gibt es eine gemeinsame Entscheidung über Zweck und wesentliche Mittel? Wenn eine Partei nur „im Auftrag“ handelt, ist eher Auftragsverarbeitung (Art. 28) relevant.
  • Vereinbarung schließen (Art. 26): Darin werden Rollen und Zuständigkeiten verteilt (wer macht was).
  • Kerninhalte bereitstellen: Betroffene müssen die „wesentlichen Inhalte“ der Vereinbarung in verständlicher Form erhalten (z. B. in Datenschutzhinweisen).
  • Umsetzung leben: Prozesse für Auskunft/Löschung, Incident-Handling, TOMs und Dokumentation müssen tatsächlich funktionieren – nicht nur auf dem Papier.

Was muss in die Art.-26-Vereinbarung (für KMU besonders wichtig)?

  • Kontaktpunkte: Wer ist primärer Ansprechpartner für Betroffene und Aufsichtsbehörden?
  • Informationspflichten: Wer liefert welche Inhalte für die Datenschutzhinweise (Art. 13/14)?
  • Betroffenenrechte: Wer bearbeitet Auskunft, Berichtigung, Löschung, Widerspruch – und in welchen Fristen/Workflows?
  • Rechtsgrundlagen & Zwecke: Gemeinsame Beschreibung der Verarbeitung, inkl. Rechtsgrundlage(n).
  • Sicherheit (TOMs): Wer setzt welche technischen/organisatorischen Maßnahmen um (z. B. Rollenrechte, Logging, Verschlüsselung)?
  • Meldung von Datenschutzvorfällen: Wer bewertet, wer meldet an die Behörde (72 Stunden), wer informiert Betroffene?
  • Haftung & Regress: Interne Regelungen, auch wenn Betroffene ihre Ansprüche grundsätzlich gegen jeden Joint Controller geltend machen können.

Beispiele aus IT-Sicherheit & Datenschutz

  • Gemeinsame Marketing-/Tracking-Kampagne: Zwei Unternehmen betreiben zusammen eine Landingpage und definieren gemeinsam, welche Tracking-Daten zu welchem Zweck erhoben werden. Das kann Joint Controllership sein.
  • Kooperation im Kundenservice: Partner A und Partner B betreiben gemeinsam ein Ticket-System, legen Kategorien, Pflichtfelder und Aufbewahrungsfristen fest und nutzen die Daten für gemeinsame Auswertungen.
  • KI-gestützte Prozesse: Wenn zwei Parteien gemeinsam festlegen, wie ein ChatGPT- oder Generative KI (Generative AI)-Workflow Kundendaten verarbeitet (z. B. welche Inhalte im Prompt landen, welche Logs gespeichert werden), kann das Art. 26 auslösen.

Warum ist das für KMU wichtig?

Fehleinordnungen sind häufig: Viele KMU nutzen „Partner“ oder Plattformen und nehmen automatisch Auftragsverarbeitung an. Wenn tatsächlich gemeinsame Steuerung vorliegt, fehlt ohne Art.-26-Vereinbarung eine zentrale DSGVO-Anforderung – mit Risiko bei Beschwerden, Prüfungen oder Vorfällen. Praktisch hilft ein sauberer Art.-26-Vertrag, Verantwortlichkeiten, Security-Aufgaben und Reaktionswege klar zu regeln.

Zahlen & Fakten

0%
unklare RollenverteilungBei gemeinsamen Marketing- oder Plattformprojekten fehlt in vielen KMU eine sauber dokumentierte Abgrenzung der Datenschutzpflichten, was Joint-Controllership-Risiken erhöht.
0,0x
höheres PrüfungsrisikoVerarbeitungen mit mehreren beteiligten Parteien führen in der Praxis deutlich häufiger zu Rückfragen von Kunden, Auditoren oder Datenschutzbeauftragten als reine Auftragsverarbeitung.
0%
weniger AbstimmungsaufwandUnternehmen mit klar geregelter Vereinbarung nach Art. 26 DSGVO reduzieren den operativen Abstimmungsaufwand bei Betroffenenanfragen und Incident-Management spürbar.

Anwendungsfälle in der Praxis

Marketing
Gemeinsame Lead-Kampagne mit externer Marketingagentur rechtssicher aufsetzen
Ein KMU plant zusammen mit einer Marketingagentur eine LinkedIn- und Landingpage-Kampagne, bei der beide Seiten über Zielgruppen, Tracking und Lead-Erfassung entscheiden. Weil Zwecke und Mittel der Verarbeitung gemeinsam festgelegt werden, sollten Verantwortlichkeiten für Datenschutzhinweise, Betroffenenanfragen und Löschfristen in einer Vereinbarung nach Art. 26 DSGVO klar geregelt werden. So lassen sich Leads effizient bearbeiten, ohne Datenschutzpflichten zwischen den Parteien offen zu lassen.

Bist du bereit für Joint Controllership nach Art. 26 DSGVO?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Prüfst du bei Kooperationen oder gemeinsamen Projekten systematisch, ob ihr Zwecke und Mittel der Datenverarbeitung gemeinsam mit einem Partner festlegt?
Hast du bereits identifiziert, bei welchen Verarbeitungen in deinem Unternehmen eine gemeinsame Verantwortlichkeit vorliegen könnte?
Gibt es für diese Fälle eine Vereinbarung nach Art. 26 DSGVO, die Rollen, Zuständigkeiten und Betroffenenrechte klar regelt?
Sind die wesentlichen Inhalte dieser Vereinbarung für betroffene Personen transparent dokumentiert und in euren Datenschutzhinweisen berücksichtigt?
Überprüfst du regelmäßig, ob bestehende Partnerschaften, Prozesse und Verträge zur gemeinsamen Verantwortlichkeit noch aktuell und DSGVO-konform sind?

Ist bei euren gemeinsamen Tools und Prozessen wirklich klar geregelt, wer wofür datenschutzrechtlich verantwortlich ist?

Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO klingt oft eindeutig, wird in der Praxis bei geteilten Systemen, Dienstleistern und internen Abläufen aber schnell unübersichtlich. Im Tech-Gutachten analysiere ich deine bestehende Tool-Landschaft, Prozesse und Datenflüsse, damit sichtbar wird, wo gemeinsame Verantwortlichkeit vorliegen kann und wo klare Abgrenzungen fehlen. So bekommst du eine fundierte Grundlage, um Zuständigkeiten sauber zu bewerten und notwendige Vereinbarungen gezielt anzugehen. Statt zu raten, welche Konstellationen kritisch sind, erhältst du Klarheit über dein Setup und konkrete nächste Schritte.

Häufig gestellte Fragen

Was ist Joint Controllership (Gemeinsame Verantwortlichkeit) nach Art. 26 DSGVO?
Joint Controllership liegt vor, wenn zwei oder mehr Parteien gemeinsam Zwecke und wesentliche Mittel der Verarbeitung personenbezogener Daten festlegen. Dann müssen sie eine Art.-26-Vereinbarung schließen und die Zuständigkeiten transparent regeln.