Gemeinsam Verantwortliche: Begriff, Bedeutung und Abgrenzung
Gemeinsam Verantwortliche sind zwei oder mehr Stellen, die die Zwecke und die wesentlichen Mittel einer bestimmten Verarbeitung personenbezogener Daten gemeinschaftlich festlegen. Dabei geht es um eine abgestimmte Entscheidung über das „Warum“ (Zwecke) und das „Wie“ (Mittel) einer Verarbeitung. Die gemeinsame Festlegung kann ausdrücklich in Verträgen oder organisatorischen Absprachen erfolgen oder sich faktisch aus eng verknüpften Entscheidungen ergeben.
Definition in verständlicher Form
Gemeinsame Verantwortlichkeit liegt vor, wenn mehrere Beteiligte inhaltlich zusammenwirken und maßgeblich beeinflussen, welche Daten zu welchem Zweck und auf welche Weise verarbeitet werden. Es genügt, dass die Entscheidungen miteinander verflochten sind und sich ergänzen. Eine rein technische Unterstützung oder die Bereitstellung von Infrastruktur ohne Mitentscheidung über Zwecke und wesentliche Mittel führt in der Regel nicht zu gemeinsamer Verantwortlichkeit.
Abgrenzung zu allein Verantwortlichen und Auftragsverarbeitern
Ein allein Verantwortlicher entscheidet eigenständig über Zwecke und Mittel der Verarbeitung. Ein Auftragsverarbeiter verarbeitet Daten hingegen ausschließlich nach Weisung eines Verantwortlichen und ohne eigene Zwecksetzung. Gemeinsam Verantwortliche unterscheiden sich von beiden Konstellationen, weil sie eine geteilte, abgestimmte Entscheidungsmacht ausüben. Bloße Datenweitergaben zwischen getrennt handelnden Stellen begründen nicht automatisch eine gemeinsame Verantwortlichkeit.
Voraussetzungen der gemeinsamen Verantwortlichkeit
Gemeinsame Zwecke und Mittel
Erforderlich ist eine echte gemeinsame Ausrichtung. Das liegt insbesondere vor, wenn:
- die Beteiligten einen identischen oder eng verzahnten Zweck verfolgen,
- die wesentlichen Mittel der Verarbeitung abgestimmt festgelegt werden (z. B. Kategorien der verarbeiteten Daten, Nutzergruppen, Kanäle der Erhebung, grundlegende Ausgestaltung der Auswertung),
- die Entscheidungen der Beteiligten sich bedingen oder ohneeinander keinen Sinn ergeben.
Praktische Konstellationen
Beispiele aus der Praxis sind etwa gemeinsam betriebene Plattformfunktionen, kooperative Marketingaktionen mit abgestimmter Datenerhebung oder Forschungsverbünde mit gemeinsam definierten Auswertungszielen. Maßgeblich ist die konkrete Einflussnahme auf Zweck und Mittel; formale Bezeichnungen allein sind nicht entscheidend.
Pflichten der gemeinsam Verantwortlichen
Interne Vereinbarung
Gemeinsam Verantwortliche treffen untereinander eine Vereinbarung, die die jeweiligen Aufgaben und Zuständigkeiten regelt. Diese interne Ordnung strukturiert, wer welche Informationspflichten erfüllt, wie Anfragen betroffener Personen bearbeitet werden und wer als Anlaufstelle fungiert.
Typische Inhalte
- Zweckbeschreibung und Abgrenzung der Verarbeitungsschritte,
- Zuständigkeiten für Informationspflichten und Kommunikation,
- Verfahren zur Bearbeitung von Betroffenenrechten,
- Regelungen zur Datensicherheit und zu Meldungen von Vorfällen,
- Grundsätze zur Löschung und Aufbewahrung,
- Mechanismen zur internen Abstimmung, Kontrolle und Aktualisierung,
- Verteilung von Risiken, Kosten und Verantwortungsbereichen im Innenverhältnis.
Transparenz gegenüber betroffenen Personen
Betroffene Personen erhalten klare und leicht zugängliche Informationen darüber, dass eine gemeinsame Verantwortlichkeit besteht, welche Stellen beteiligt sind, wie die Aufgaben verteilt sind und wer als Anlaufstelle dient. Der wesentliche Inhalt der Vereinbarung wird verständlich wiedergegeben. Dies schafft Nachvollziehbarkeit und ermöglicht die Ausübung von Rechten.
Sicherstellung von Betroffenenrechten
Die gemeinsam Verantwortlichen stellen koordiniert sicher, dass Rechte wie Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit wirksam wahrgenommen werden können. Anfragen können bei jeder beteiligten Stelle gestellt werden. Intern muss nachvollziehbar geregelt sein, wer die Bearbeitung führt und wie Fristen und Qualität gewährleistet werden.
Datensicherheit und organisatorische Maßnahmen
Erforderlich sind angemessene technische und organisatorische Maßnahmen, die sich am Risiko für die Rechte und Freiheiten der betroffenen Personen orientieren. Dazu zählen unter anderem Zugangskontrollen, Protokollierung, Rollen- und Berechtigungskonzepte, Verschlüsselung, Test- und Freigabeprozesse sowie abgestimmte Verfahren für Sicherheitsvorfälle und deren Bewertung.
Dokumentation und Nachweis
Die gemeinsame Ausgestaltung, die Aufgabenverteilung und die umgesetzten Maßnahmen werden nachvollziehbar dokumentiert. Die Beteiligten halten die Unterlagen aktuell, sodass die Einhaltung der Pflichten nachprüfbar bleibt. Dies betrifft auch die Auswahl und Einbindung etwaiger Dienstleister.
Haftung und Durchsetzung
Außenverhältnis zu betroffenen Personen
Gegenüber betroffenen Personen kann jeder gemeinsam Verantwortliche für den gesamten Schaden in Anspruch genommen werden, der durch eine rechtswidrige Verarbeitung entstanden ist. Betroffene müssen nicht klären, welcher Beteiligte intern zuständig war. Die umfassende Außenhaftung dient dem Schutz der betroffenen Personen.
Innenverhältnis zwischen den Beteiligten
Untereinander regeln die gemeinsam Verantwortlichen die Verteilung von Verantwortungsbereichen und Risiken. Im Falle von Ersatzleistungen an Betroffene kann ein Ausgleich zwischen den Beteiligten entsprechend ihrer tatsächlichen Verantwortungsanteile erfolgen. Maßstab sind die konkreten Umstände der gemeinsamen Ausgestaltung und die interne Vereinbarung.
Rolle der Aufsichtsbehörden
Aufsichtsbehörden überwachen die Einhaltung der datenschutzrechtlichen Anforderungen. In grenzüberschreitenden Konstellationen kooperieren die zuständigen Stellen, wobei regelmäßig eine führende Anlaufstelle bestimmt wird. Gemeinsam Verantwortliche stellen die erforderliche Zusammenarbeit sicher und machen die relevanten Unterlagen verfügbar.
Internationale Aspekte
Grenzüberschreitende Konstellationen
Bei Beteiligten in verschiedenen Ländern stellt sich die Frage, welche Stelle als führende Anlaufstelle fungiert und welche Informationswege gelten. Zudem sind Anforderungen an Datenübermittlungen in Staaten mit abweichendem Datenschutzniveau zu berücksichtigen, etwa durch geeignete Garantien und ergänzende Schutzmaßnahmen.
Vertretung und Anlaufstellen
Bei Konstellationen mit Beteiligten außerhalb des eigenen Rechtsraums kann die Benennung von Vertretungen und Kontaktstellen erforderlich sein, um Anfragen und Aufsichten effektiv zu koordinieren. Eine klare Benennung erleichtert Transparenz und Durchsetzung von Rechten.
Lebenszyklus der Datenverarbeitung
Beginn und Ende der gemeinsamen Verantwortlichkeit
Die gemeinsame Verantwortlichkeit beginnt, sobald mehrere Stellen inhaltlich abgestimmt Zwecke und wesentliche Mittel festlegen. Sie endet, wenn diese Abstimmung entfällt oder ein Beteiligter aus der gemeinsamen Ausgestaltung ausscheidet. Auch nach dem Ende können Pflichten fortwirken, etwa zur Löschung, Information oder Rechenschaft.
Datenübermittlung, Löschung und Aufbewahrung
Gemeinsam Verantwortliche klären, wie Daten innerhalb der Kooperation übermittelt, wie lange sie aufbewahrt und unter welchen Bedingungen sie gelöscht werden. Maßgeblich sind die festgelegten Zwecke, rechtliche Anforderungen und dokumentierte Kriterien für Aufbewahrungsfristen und Löschkonzepte.
Beispiele und Abgrenzungsszenarien
Kooperationen und Plattformen
Werden auf einer digitalen Plattform Nutzungsdaten für einen gemeinsamen Zweck erhoben und ausgewertet, können Plattformbetreiber und Funktionsanbieter gemeinsam verantwortlich sein. Dient die Leistung hingegen ausschließlich der weisungsgebundenen Verarbeitung für einen anderen, liegt eher eine Auftragsverarbeitung vor.
Forschung und gemeinsame Projekte
In Forschungsverbünden mit gemeinsam definierten Fragestellungen und abgestimmter Datenerhebung, -auswertung und -publikation kann gemeinsame Verantwortlichkeit bestehen. Arbeiten Institute unabhängig mit eigenständigen Zielen auf derselben Datenbasis, sprechen die Umstände eher für getrennte Verantwortlichkeiten.
Häufig gestellte Fragen
Wann liegt gemeinsame Verantwortlichkeit vor?
Sie liegt vor, wenn mehrere Stellen die Zwecke und wesentlichen Mittel einer Verarbeitung inhaltlich abgestimmt festlegen. Entscheidend ist die gemeinsame Einflussnahme, nicht die Bezeichnung im Vertrag oder die reine technische Mitwirkung.
Worin besteht der Unterschied zur Auftragsverarbeitung?
Bei der Auftragsverarbeitung bestimmt der Auftraggeber die Zwecke und wesentlichen Mittel und der Dienstleister handelt weisungsgebunden ohne eigene Zwecksetzung. Bei gemeinsamer Verantwortlichkeit entscheiden die Beteiligten abgestimmt über Zwecke und Mittel und tragen gemeinsam Verantwortung.
Muss eine Vereinbarung zwischen gemeinsam Verantwortlichen bestehen?
Es ist vorgesehen, dass die Beteiligten ihre Aufgaben- und Verantwortungsverteilung in einer Vereinbarung festhalten und den wesentlichen Inhalt transparent machen. Dies betrifft insbesondere Informationspflichten, Anlaufstellen, Betroffenenrechte, Sicherheit, Löschung und interne Abstimmungsmechanismen.
Wer haftet bei Schäden aus einer rechtswidrigen Verarbeitung?
Gegenüber betroffenen Personen kann jeder gemeinsam Verantwortliche für den gesamten Schaden in Anspruch genommen werden. Intern kann ein Ausgleich nach Verantwortungsanteilen stattfinden, abhängig von der konkreten Ausgestaltung und den tatsächlichen Verursachungsbeiträgen.
Wie werden Auskunfts- oder Löschanfragen behandelt?
Anfragen können sich an jeden der gemeinsam Verantwortlichen richten. Die Beteiligten koordinieren die Bearbeitung so, dass die Rechte wirksam, fristgerecht und vollständig erfüllt werden. Zuständigkeiten und Abläufe ergeben sich aus der internen Vereinbarung.
Dürfen gemeinsam Verantwortliche weitere Dienstleister einbinden?
Ja, die Einbindung weiterer Dienstleister ist möglich. Dabei ist zu klären, ob diese als Auftragsverarbeiter oder als eigenständig Verantwortliche agieren und welche vertraglichen, technischen und organisatorischen Anforderungen gelten.
Welche Rolle spielen Aufsichtsbehörden bei grenzüberschreitenden Fällen?
Bei grenzüberschreitenden Verarbeitungen kooperieren die zuständigen Behörden, wobei in der Regel eine führende Anlaufstelle tätig wird. Gemeinsam Verantwortliche unterstützen diese Zusammenarbeit und halten die erforderlichen Informationen bereit.
