Viele Unternehmen übersehen, dass sie bei bestimmten Datenverarbeitungen gemeinsam mit anderen Stellen verantwortlich sind. Die gemeinsame Verantwortlichkeit (Joint Controllership) nach Art. 26 DSGVO wird häufig falsch eingeschätzt – mit rechtlichen Folgen.
Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung festlegen. Klassische Fälle: Fanpage-Betreiber auf Social Media (EuGH-Rechtsprechung), gemeinsame Nutzung von CRM-Systemen durch verbundene Unternehmen, Kooperationen bei Marketing-Aktionen mit geteilten Kundendatenbanken oder Plattformbetreiber und Händler bei Marktplätzen.
Art. 26 DSGVO schreibt vor: Die gemeinsam Verantwortlichen müssen in einer Vereinbarung ihre jeweiligen Verantwortlichkeiten festlegen – insbesondere für die Erfüllung von Betroffenenrechten und Informationspflichten. Diese Vereinbarung muss den Betroffenen in wesentlichen Teilen zur Verfügung gestellt werden. Fehlt eine solche Vereinbarung, haften beide Verantwortliche gesamtschuldnerisch.
Das Risiko wird oft unterschätzt: Ohne Joint-Controller-Agreement fehlt die Rechtsgrundlage für die Datenverarbeitung. Aufsichtsbehörden können Bußgelder verhängen, und Betroffene können sich an jeden der Verantwortlichen wenden – unabhängig davon, wer tatsächlich die Daten verarbeitet.
Fazit
Joint Controllership wird in der Praxis häufig übersehen oder falsch eingeordnet. Wer mit anderen Stellen gemeinsam Daten verarbeitet, sollte prüfen, ob eine gemeinsame Verantwortlichkeit vorliegt. Eine schriftliche Vereinbarung nach Art. 26 DSGVO ist nicht nur Pflicht, sondern schützt auch vor Haftungsrisiken.
Top 5 Empfehlungen:
1. Kooperationen prüfen: Analysiere alle Datenverarbeitungen mit externen Partnern auf gemeinsame Verantwortlichkeit.
2. Joint-Controller-Agreement abschließen: Schließe schriftliche Vereinbarungen mit allen gemeinsam Verantwortlichen ab.
3. Verantwortlichkeiten klar definieren: Lege fest, wer für welche DSGVO-Pflichten zuständig ist (Auskunft, Löschung, Informationspflichten).
4. Betroffene informieren: Stelle die wesentlichen Inhalte der Vereinbarung transparent zur Verfügung (z.B. in der Datenschutzerklärung).
5. Social-Media-Fanpages beachten: Auch als Fanpage-Betreiber bist du gemeinsam mit dem Plattformbetreiber verantwortlich – prüfe die Vereinbarungen.