Gemeinsame Verantwortlichkeit

Die gemeinsame Verantwortlichkeit (englisch "joint controllers") ist eine datenschutzrechtliche Begriffsbestimmung, welche die gemeinschaftlicher Verarbeitung von personenbezogenen Daten durch mehrere natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen bezeichnet und aufgrund dessen datenschutzrechtliche Pflichten festgelegt werden.

Im räumlichen und sachlichen Geltungsbereich der Datenschutz-Grundverordnung richtet sich die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.^[1]

Demnach liegt gemeinsame Verantwortlichkeit bei der Verarbeitung personenbezogener Daten vor, wenn und soweit zwei oder mehrere Verantwortliche gemeinsam Zweck und Mittel dieser Verarbeitung festlegen (die sogenannte gemeinschaftliche Zweckbestimmung).^[2] Maßgeblich für die Unterscheidung zur Auftragsverarbeitung ist folglich der jeweilige Handlungsspielraum.

Fehlt es an der gemeinschaftlichen Zweckbestimmung handelt es sich im Regelfall um zwei getrennte, voneinander unabhängige Verantwortliche.

Um Zweifel hinsichtlich des Bestehens gemeinsamer Verantwortlichkeit entgegenzuwirken ist eine Datenverarbeitungsvertrag zwischen den in Frage kommenden Verantwortlichen erforderlich. Dieser muss gemäß Artikel 26 der Datenschutz-Grundverordnung in transparenter Weise die Pflichtenverteilung beschreiben.^[3]

Konsequenz der gemeinsamen Verantwortlichkeit ist, dass jeder Verantwortliche für die Rechtmäßigkeit nach Artikel 6 der Datenschutz-Grundverordnung der jeweiligen Datenverarbeitung zuständig ist.^[4]

Zudem ist grundsätzlich jeder Verantwortlicher für die Einhaltung der Informationspflichten zuständig, soweit keine Aufgabenverteilung an einen einzigen Verantwortlichen erfolgt ist.

Im Verarbeitungstätigkeitenverzeichnis müssen die jeweils vorhandenen Verantwortlichen ausdrücklich bezeichnet werden.

Bei Schadensersatzansprüchen droht eine gesamtschuldnerische Haftung, bei Bußgeldern jedoch eine getrennte.^[5]

• Gemeinsame Verantwortlichkeit, Orientierungshilfe, Bayerischer Landesbeauftragte für den Datenschutz (https://www.datenschutz-bayern.de/infothek/OH_Gemeinsame_Verantwortlichkeit.pdf)
• Ehmann, Eugen / Selmayr, Martin: Datenschutz-Grundverordnung: DS-GVO. Kommentar. 3. Auflage. München: C.H. Beck, 2024. ISBN 978-3-406-79777-4.

1. ↑ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR), auf eur-lex.europa.eu
2. ↑ Datenschutz-Grundverordnung, Art. 26, Rn. 1–4.
3. ↑ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 19. November 2024]). 
4. ↑ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 19. November 2024]). 
5. ↑ Datenschutz-Grundverordnung Art. 26, Rn. 29.