Begriff und rechtliche Grundlagen der Gemeinsam Verantwortlichen
Der Ausdruck Gemeinsam Verantwortliche (englisch: Joint Controllers) ist ein zentraler Begriff im Datenschutzrecht, insbesondere im Kontext der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Er beschreibt die Konstellation, in der zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Die Regelungen zu gemeinsam Verantwortlichen finden sich insbesondere in Art. 26 DSGVO. Diese besondere Form der Aufgabenteilung sorgt dafür, dass sowohl Rechte der betroffenen Personen als auch die datenschutzrechtlichen Pflichten klar beeinflusst werden.
Definition und Bedeutung
Gemeinsam Verantwortliche sind zwei oder mehr Parteien (zum Beispiel Unternehmen, Organisationen oder Behörden), die in einer partnerschaftlichen Kooperation oder im Rahmen eines gemeinsamen Projekts darauf abstimmen, wie und zu welchem Zweck personenbezogene Daten verarbeitet werden. Die gemeinsame Festlegung unterscheidet sich von der bloßen Weitergabe oder Auftragsverarbeitung, da es auf eine tatsächliche, gleichwertige Mitbestimmung beider (oder mehrerer) Parteien ankommt.
Wesentliche Merkmale sind:
- Gemeinsame Entscheidung über Zwecke und Mittel der Verarbeitung personenbezogener Daten,
- Keine hierarchische Beziehung wie bei der Auftragsverarbeitung,
- Gemeinsame Verantwortung im datenschutzrechtlichen Sinne.
Gesetzliche Grundlage in der DSGVO
Die zentrale Vorschrift ist Art. 26 DSGVO, welcher die Anforderungen an Gemeinsam Verantwortliche detailliert beschreibt. Darüber hinaus finden sich in den Erwägungsgründen und weiteren Artikeln der DSGVO ergänzende Hinweise.
Voraussetzungen der gemeinsamen Verantwortlichkeit
Die gemeinsame Verantwortlichkeit liegt vor, wenn:
- Zwei oder mehr Parteien personenbezogene Daten verarbeiten,
- sie gemeinsam über die Zwecke (Warum?) und Mittel (Wie?) dieser Verarbeitung entscheiden.
Eine bloße Abstimmung oder Koordination reicht nicht aus; erforderlich ist eine tatsächliche Mitentscheidung über maßgebliche Aspekte der Datenverarbeitung.
Abgrenzung zu anderen datenschutzrechtlichen Rollen
Es ist zu unterscheiden zwischen:
- Alleinverantwortlichkeit: Nur eine Partei entscheidet allein.
- Auftragsverarbeitung: Eine Partei handelt im Auftrag und unter Anleitung der anderen (vgl. Art. 28 DSGVO).
- Gemeinsam Verantwortliche: Mehrere Parteien treffen gemeinsam wesentliche Entscheidungen.
Pflichten und Verantwortlichkeiten
Gemeinsame und individuelle Pflichten
Art. 26 Abs. 1 DSGVO schreibt vor, dass gemeinsam Verantwortliche in einer transparenten Vereinbarung regeln müssen, wer welche Verpflichtung gemäß der DSGVO erfüllt. Dies umfasst unter anderem:
- Informationspflichten gegenüber betroffenen Personen (Art. 13, 14 DSGVO),
- Beantwortung von Auskunftsersuchen (Art. 15 DSGVO),
- Sicherstellung der Betroffenenrechte (z. B. Löschung, Berichtigung).
Inhalt und Erfordernisse der Vereinbarung
Die Vereinbarung zwischen den gemeinsam Verantwortlichen muss mindestens Folgendes festlegen:
- Wer ist für die Erfüllung der einzelnen Pflichten zuständig?
- Wie werden die Rechte der betroffenen Personen sichergestellt?
- Wer dient als zentrale Anlaufstelle für betroffene Personen (sog. „Single Point of Contact“) – dies soll in verständlicher Form kommuniziert werden.
Diese Vereinbarung kann sowohl intern als auch öffentlich (z. B. in Datenschutzerklärungen) verfügbar gemacht werden.
Recht auf Auskunft der betroffenen Person
Betroffene Personen können ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend machen. Die Verantwortlichen haften gesamtschuldnerisch für die Einhaltung der Datenschutzvorgaben im Rahmen der gemeinsamen Verantwortlichkeit.
Praxisbeispiele für gemeinsam Verantwortliche
Typische Konstellationen, in denen eine gemeinsame Verantwortlichkeit festgestellt werden kann:
- Gemeinschaftlich betriebene Internetportale (z. B. Co-Branding),
- Gemeinsame Marketing-Kampagnen zweier Unternehmen,
- Kooperationen im Bereich Forschung und Entwicklung,
- Soziale Netzwerke und deren Plugin-Anbieter,
- Gemeinsame Veranstaltungen und Events mit Datenverarbeitung durch mehrere Veranstalter.
Rechtsfolgen der gemeinsamen Verantwortlichkeit
Haftung und Sanktionen
Die gemeinsam Verantwortlichen haften gesamtschuldnerisch für alle Verstöße gegen die DSGVO im Zusammenhang mit der gemeinsamen Verarbeitung, sofern ihre jeweilige Verantwortung besteht. Betroffene Personen können sich an einen beliebigen der gemeinsam Verantwortlichen wenden, unabhängig davon, welche Partei für die Erfüllung einer bestimmten Pflicht internes Hauptverantwortlich ist.
Durchsetzung von Rechten der betroffenen Personen
Betroffene Personen können alle ihnen zustehenden Rechte (z. B. Auskunft, Löschung, Berichtigung, Widerspruch) gegenüber jedem der gemeinsam Verantwortlichen geltend machen. Die gemeinsame Verantwortlichkeit erfordert hier effektive Abstimmungsmechanismen der Verantwortlichen, um den Ansprüchen schnell und korrekt nachkommen zu können.
Abgrenzung zur Auftragsverarbeitung
Die Unterscheidung zwischen gemeinsam Verantwortlichen und Auftragsverarbeitung ist praxisrelevant:
| Kriterium | Gemeinsam Verantwortliche | Auftragsverarbeiter |
|———————-|——————————|——————————|
| Zweckentscheidung | Gemeinsame Festlegung | Nur Verantwortlicher |
| Weisungsbefugnis | Nicht gegeben | Verantwortlicher gibt Anweisungen |
| Vertragstyp | Vereinbarung gem. Art. 26 DSGVO | Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO |
Fehleinschätzungen können zu erheblichen Rechtsfolgen führen, insbesondere bei Datenschutzverstößen, da die Haftung und die zu beachtenden Pflichten unterschiedlich geregelt sind.
Zusammenfassung und Fazit
Der Begriff Gemeinsam Verantwortliche ist von elementarer Bedeutung im Datenschutzrecht der Europäischen Union. Die korrekte Einordnung der Verarbeiterrollen ist Voraussetzung für die gesetzeskonforme Erfüllung der datenschutzrechtlichen Pflichten und die Vermeidung von Haftungsrisiken. Die spezifischen Anforderungen an die Vereinbarung zwischen den gemeinsam Verantwortlichen, die Ausgestaltung der Betroffenenrechte und die Transparenz der Datenverarbeitung stellen hohe Anforderungen an die Praxis und sind essenziell für die rechtskonforme Gestaltung von Kooperationen, Partnerschaften und gemeinsamen Projekten im Umgang mit personenbezogenen Daten.
Häufig gestellte Fragen
Wann liegt eine gemeinsame Verantwortlichkeit im rechtlichen Sinne vor?
Eine gemeinsame Verantwortlichkeit im rechtlichen Sinne liegt vor, wenn zwei oder mehr Stellen gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Maßgeblich hierfür ist insbesondere Art. 26 DSGVO (Datenschutz-Grundverordnung). Die gemeinsame Verantwortlichkeit setzt voraus, dass zwischen den beteiligten Parteien eine tatsächliche und rechtliche Einflussnahme auf die Entscheidung über die Datenverarbeitung besteht. Es reicht nicht aus, dass lediglich Daten gemeinsam genutzt oder ausgetauscht werden; vielmehr muss eine bewusste und abgestimmte Zusammenarbeit vorliegen, bei der Einwirkungsmöglichkeiten hinsichtlich des „Was“, „Wie“ und „Warum“ der Datenverarbeitung bestehen. Die gemeinsame Verantwortlichkeit unterscheidet sich sowohl vom klassischen Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO als auch von der bloßen Datenübermittlung zwischen unabhängigen Verantwortlichen. Bei der rechtlichen Beurteilung ist insbesondere auf die tatsächlichen Abläufe und Weisungsverhältnisse abzustellen, nicht allein auf vertragliche Vereinbarungen. Gerichte und Aufsichtsbehörden prüfen, ob eine echte Mitbestimmung über wesentliche Aspekte der Datenverarbeitung vorliegt.
Welche rechtlichen Pflichten ergeben sich für gemeinsam Verantwortliche?
Gemeinsam Verantwortliche sind rechtlich verpflichtet, gemäß Art. 26 DSGVO in einer transparenten Vereinbarung festzulegen, wer welche datenschutzrechtlichen Pflichten übernimmt. Hierzu gehören insbesondere Informationspflichten gegenüber betroffenen Personen gemäß Art. 13 und 14 DSGVO, die Gewährleistung der Betroffenenrechte (z.B. Auskunft, Löschung, Berichtigung), Meldung von Datenschutzverletzungen sowie technische und organisatorische Maßnahmen zum Schutz der Daten. Diese Aufgabenverteilung muss den tatsächlichen Abläufen entsprechen und vertraglich fixiert werden. Die Vereinbarung allein enthebt die Parteien jedoch nicht der Verantwortung: Aus Sicht der Betroffenen können Rechte gegenüber jedem der Verantwortlichen geltend gemacht werden. Zudem haften gemeinsam Verantwortliche im Falle eines Schadens grundsätzlich gesamtschuldnerisch (Art. 82 Abs. 4 DSGVO), es sei denn, die Verantwortlichkeit eines Beteiligten kann ausgeschlossen werden.
Was müssen gemeinsam Verantwortliche hinsichtlich Transparenz und Betroffeneninformation beachten?
Gemeinsam Verantwortliche sind verpflichtet, die betroffenen Personen in klarer und verständlicher Form darüber zu informieren, dass und wie eine gemeinsame Verarbeitung erfolgt – dies folgt aus Art. 13 Abs. 1 Buchstabe a) und Art. 26 Abs. 2 S. 2 DSGVO. Die Information muss den wesentlichen Inhalt der Vereinbarung zwischen den gemeinsam Verantwortlichen wiedergeben. Hierzu zählen u. a., wie die Aufgabenverteilung geregelt ist, wer als primärer Ansprechpartner für Betroffene fungiert und wie die Betroffenenrechte geltend gemacht werden können. Die Information ist frühzeitig und in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitzustellen. Bei unterlassener oder unzureichender Information drohen Bußgelder und ggf. zivilrechtliche Ansprüche.
Wie wird die Haftung zwischen gemeinsam Verantwortlichen geregelt?
Die DSGVO sieht im Falle einer Schadensverursachung durch gemeinsam Verantwortliche eine sogenannte gesamtschuldnerische Haftung vor (vgl. Art. 82 Abs. 4 DSGVO). Dies bedeutet, dass der Betroffene seinen Schaden wahlweise gegenüber jedem einzelnen Verantwortlichen geltend machen kann, unabhängig von der jeweiligen internen Aufgabenverteilung. Im Innenverhältnis können die Verantwortlichen anschließend einen Ausgleich abhängig vom jeweiligen Verschulden und Einflussbereich vornehmen (Art. 82 Abs. 5 DSGVO). Die konkrete Verteilung der Verantwortlichkeiten sollte vertraglich klar geregelt sein, entbindet jedoch nicht gegenüber Betroffenen von der Haftung.
Welche Rolle spielen Aufsichtsbehörden bei der Kontrolle gemeinsam Verantwortlicher?
Die Datenschutzaufsichtsbehörden sind befugt, die Einhaltung der gesetzlichen Anforderungen an gemeinsame Verantwortlichkeit zu prüfen. Sie können insbesondere die getroffenen Vereinbarungen zur Aufgabenverteilung, Meldewege und Informationspflichten kontrollieren und deren praktische Umsetzung überprüfen. Kommt eine Aufsichtsbehörde zu dem Schluss, dass die Vorgaben nicht eingehalten wurden oder Unklarheiten bestehen, kann sie aufsichtsrechtliche Maßnahmen (z. B. Verhängung von Bußgeldern, Anordnung von Maßnahmen) nach Art. 58 DSGVO ergreifen. Verwaltungsgerichtliche Überprüfungen bleiben hiervon unberührt.
Kann die gemeinsame Verantwortlichkeit auch grenzüberschreitend gelten?
Ja, die DSGVO sieht ausdrücklich die Möglichkeit einer grenzüberschreitenden gemeinsamen Verantwortlichkeit vor, z. B. bei konzernweiten Datenverarbeitungen oder internationalen Geschäftsmodellen. Hierbei sind besondere Anforderungen an die Koordination und Dokumentation zu stellen, insbesondere hinsichtlich der Benennung eines zentralen Ansprechpartners für Betroffene und für die Zusammenarbeit mit Aufsichtsbehörden (Art. 26, Art. 56 DSGVO). Sprachliche Barrieren und unterschiedliche nationale Anforderungen müssen proaktiv in den Vereinbarungen geregelt werden.
Wie prüfen Unternehmen, ob eine gemeinsame Verantwortlichkeit vorliegt?
Unternehmen sollten zunächst die tatsächlichen Abläufe und Entscheidungsbefugnisse im Datenverarbeitungsprozess analysieren. Relevante Fragestellungen sind hierbei: Haben beide Parteien Einfluss auf Zweck oder Mittel der Verarbeitung? Erfolgt die Verarbeitung abgestimmt und arbeitsteilig? Können Entscheidungen unilateral von einer Partei getroffen werden? Hierbei sollten sowohl technische als auch organisatorische Aspekte betrachtet werden. Die Bewertung ist stets einzelfallbezogen und erfordert gegebenenfalls rechtliche Beratung sowie eine sorgfältige Dokumentation der Entscheidungsfindung. Leitlinien der Datenschutzkonferenz (DSK), des EDSA (European Data Protection Board) und einschlägige Rechtsprechung bieten Orientierung.
