Zum Inhalt springen Zur Navigation springen
Die gemeinsame Verantwortlichkeit im Sinne der DSGVO

Die gemeinsame Verantwortlichkeit im Sinne der DSGVO

Artikel von Dr. Datenschutz·4. November 2025

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist ein zentrales Konzept im europäischen Datenschutzrecht. In der Praxis wirft dieses Modell häufig Abgrenzungsfragen auf – insbesondere zur Auftragsverarbeitung nach Art. 28 DSGVO und zur eigenständigen Verantwortlichkeit. Dieser Beitrag erläutert, wann eine gemeinsame Verantwortlichkeit tatsächlich vorliegt, welche aktuellen Urteile die Kriterien konkretisieren und welche praktischen Folgen sich daraus ergeben.

Wann liegt eine gemeinsame Verantwortlichkeit vor?

Eine gemeinsame Verantwortlichkeit besteht, wenn mehrere Parteien gemeinsam darüber entscheiden, warum und wie personenbezogene Daten verarbeitet werden. Maßgeblich ist eine abgestimmte Festlegung von Zweck und Mittel – nicht bloß eine technische Zusammenarbeit.

Ein klassisches Beispiel ist der gemeinsame Betrieb einer Online-Plattform, bei dem sowohl der Plattformbetreiber als auch ein Partnerunternehmen Einfluss auf die Gestaltung der Datenverarbeitung nehmen. Beide steuern aktiv mit, wie Daten erhoben, gespeichert oder analysiert werden.

Die Rechtsprechung des Europäischen Gerichtshofs (EuGH) hat dieses Verständnis in mehreren Entscheidungen konkretisiert:

  • EuGH, „Facebook-Fanpage“: Sowohl Facebook als auch der Betreiber einer Unternehmensseite sind gemeinsam verantwortlich, weil beide über die Zwecke und Mittel der Datenverarbeitung der Besucherdaten mitbestimmen.
  • EuGH, „Social Plugins“: Auch bei der Integration von Drittanbieter-Plugins kann eine gemeinsame Verantwortlichkeit bestehen, wenn der Websitebetreiber und der Anbieter gemeinsam den Zweck der Datenerhebung beeinflussen.
  • EuGH, Urteil C-683/21 und „IAB Europe“: Der Begriff der „gemeinsamen Entscheidung“ ist weit auszulegen. Bereits abgestimmte technische oder organisatorische Einflussnahmen können eine Joint Controllership begründen – selbst wenn keine formale Vereinbarung existiert.

Abgrenzung zur Auftragsverarbeitung

Die Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung ist in der Praxis besonders relevant, da sie über Haftung, Vertragsgestaltung und Informationspflichten entscheidet. Bei der Auftragsverarbeitung im Sinne von Art. 28 DSGVO verarbeitet ein Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Der Auftragsverarbeiter hat keine eigenen Entscheidungsbefugnisse über Zweck oder Mittel der Verarbeitung.

Die Datenschutzkonferenz (DSK) betont in ihren Orientierungshilfen, dass eine gemeinsame Verantwortlichkeit nicht allein dadurch entsteht, dass mehrere Parteien an der Verarbeitung beteiligt sind. Entscheidend ist, ob tatsächlich eine gemeinsame Entscheidung über die wesentlichen Aspekte der Datenverarbeitung getroffen wird.

Beispiele:

  • Gemeinsame Verantwortlichkeit: Zwei Unternehmen führen gemeinsam eine Marketingkampagne durch, stimmen den Zweck der Datennutzung ab und entscheiden zusammen, wie Kundendaten ausgewertet werden.
  • Auftragsverarbeitung: Ein Unternehmen beauftragt einen externen Dienstleister mit dem Versand von Newslettern. Der Dienstleister verarbeitet Daten ausschließlich nach Weisung und verfolgt keine eigenen Zwecke.

In der Praxis ist der Übergang oft fließend. Entwickeln etwa zwei Organisationen gemeinsam ein Produkt und bestimmen gemeinsam, welche Kundendaten verarbeitet werden, spricht dies regelmäßig für eine gemeinsame Verantwortlichkeit.

Abgrenzung zur eigenständigen Verantwortlichkeit

Von einer eigenständigen Verantwortlichkeit spricht man, wenn jede Partei unabhängig über Zweck und Mittel der Datenverarbeitung entscheidet. Es besteht dann keine gemeinsame Steuerung, sondern nur eine parallele Datenverarbeitung. Ein typisches Beispiel: Zwei Unternehmen tauschen Kundendaten aus, um jeweils eigene Produkte zu bewerben. Jedes Unternehmen entscheidet allein, wie es die erhaltenen Daten nutzt. In diesem Fall liegt keine gemeinsame, sondern jeweils eine eigenständige Verantwortlichkeit vor.

Diese Unterscheidung ist entscheidend für Transparenz, Haftung und Betroffenenrechte. Während gemeinsam Verantwortliche nach Art. 26 DSGVO gesamtschuldnerisch haften, trägt bei eigenständiger Verantwortlichkeit jede Partei allein die Verantwortung für ihren Datenumgang.

Kriterien für die Abgrenzung: Wann spricht alles für eine gemeinsame Verantwortlichkeit?

Die DSK und der Europäische Datenschutzausschuss (EDPB) empfehlen, bei der Bewertung folgende Leitfragen zu stellen, z. B: Gibt es eine abgestimmte Entscheidung über die Zwecke und wesentlichen Mittel der Verarbeitung? Werden die Daten für einen gemeinsamen Zweck genutzt? Haben beide Parteien Einfluss auf die Ausgestaltung der Datenverarbeitung, etwa auf Datenerhebung, -speicherung oder -weitergabe? Und: Besteht eine gemeinsame Verantwortung gegenüber den Betroffenen, also eine geteilte Pflicht zur Wahrung ihrer Rechte?

Sind diese Fragen überwiegend mit „Ja“ zu beantworten, liegt sehr wahrscheinlich eine gemeinsame Verantwortlichkeit vor.

Praktische Folgen und Pflichten nach Art. 26 DSGVO

Wird eine gemeinsame Verantwortlichkeit festgestellt, verpflichtet Art. 26 DSGVO die Beteiligten zum Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit. Diese Vereinbarung muss:

  • klar festlegen, wer welche Verpflichtungen (z. B. Informationspflichten, Betroffenenrechte, Meldung von Datenschutzvorfällen) übernimmt,
  • den wesentlichen Inhalt öffentlich zugänglich machen, etwa über die Datenschutzerklärung,
  • und regelmäßig überprüft und bei Änderungen angepasst werden.

Wichtig: Die Vereinbarung ersetzt nicht die Rechtsgrundlage für die Datenverarbeitung. Jede Partei muss weiterhin eine Rechtsgrundlage nach Art. 6 oder 9 DSGVO vorweisen können. Fehlt eine Vereinbarung oder ist sie unzureichend, drohen Bußgelder. Aufsichtsbehörden werten dies nicht als bloßen Formalfehler, sondern als Verstoß gegen Transparenz- und Rechenschaftspflichten.

Handlungsempfehlungen für Unternehmen

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist ein dynamisches Konzept, das mit der fortschreitenden Digitalisierung immer mehr an Bedeutung gewinnt. Sie erfordert eine sorgfältige Abgrenzung zur Auftragsverarbeitung und eigenständigen Verantwortlichkeit.

Unternehmen sollten daher:

  • Datenflüsse analysieren: Wo entscheiden mehrere Partner gemeinsam über Zweck und Mittel?
  • Rollen dokumentieren: Klare Zuordnung zwischen Verantwortlichem, gemeinsam Verantwortlichem und Auftragsverarbeiter.
  • Vereinbarungen abschließen: Bei gemeinsamer Verantwortlichkeit muss eine Vereinbarung nach Art. 26 DSGVO vorliegen.
  • Transparenz schaffen: Betroffene müssen erkennen können, wer für welche Verarbeitung verantwortlich ist.
  • Regelmäßig prüfen: Änderungen in Technik oder Organisation können die Verantwortlichkeitsstruktur verändern.

Wer diese Punkte beachtet, erfüllt nicht nur die gesetzlichen Pflichten, sondern stärkt auch Vertrauen und Rechtssicherheit.

Mehr zum Thema DSGVO
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.