Zum Inhalt springen Zur Navigation springen
Joint Controllership – Ein unterschätztes Instrument der DSGVO

Joint Controllership – Ein unterschätztes Instrument der DSGVO

Artikel von Madeleine Kümmerle·21. Oktober 2021

Die Joint Controllership Vereinbarung, dürfte mittlerweile kein rotes Tuch mehr sein. Doch trotz steigender Präsenz und Relevanz dieser Vereinbarung, fällt es vielen Unternehmen immer noch schwer die Abgrenzung zur gewohnten Auftragsverarbeitung vorzunehmen und die flexiblen Ausgestaltungsmöglichkeiten dieses Instruments gewinnbringend einzusetzen. Der folgende Beitrag soll Licht ins Dunkel bringen und Anreiz für die Verwendung von Joint Controllership Vereinbarungen bieten.

Was bedeutet Joint Controllership?

Unter Joint Controllership ist die gemeinsame Verantwortlichkeit i.S.d. Art. 26 Abs. 1 S. 1 DSGVO zu verstehen.

Art. 26 Abs. 1 S. 1 DSGVO definiert, wann man von den sogenannten gemeinsamen Verantwortlichen spricht:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“

Um festzulegen, wer von Ihnen welche Pflichten nach der DSGVO erfüllt, muss eine detaillierte und klar verständliche Vereinbarung nach Art. 26 Abs. 1 S. 2 DSGVO zwischen den Verantwortlichen getroffen werden.

Nach der Art. 26 DSGVO heißt es:

„Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.“

Allerdings ist hier Vorsicht geboten, denn die aus einer gemeinsamen Verantwortlichkeit resultierenden Verpflichtungen bestehen auch bei Nichtvorliegen einer schriftlichen Joint Controllership Vereinbarung. Es kommt lediglich darauf an, ob die Voraussetzungen der gemeinsamen Verantwortlichkeit in der Realität praktisch vorliegen bzw. im Unternehmen durch die Verantwortlichen umgesetzt werden. Demnach sind Unternehmen stets gehalten zu prüfen, ob bei mehreren Verantwortlichen gemeinsam die Mittel und Zwecke festgelegt werden.

Dabei ist der Begriff des Joint Controllership sehr weit zu verstehen. Folglich kann man auch von einer gemeinsamen Verantwortlichkeit ausgehen, wenn jeder der Verantwortlichen seine eigenen Zwecke verfolgt und die Zugriffsbefugnis hinsichtlich der personenbezogenen Daten nicht im Verhältnis 50 zu 50 verteilt ist. Die Verantwortlichen müssen damit gerade keinen gleich verteilten Zugriff auf die Daten besitzen, da keine gleichrangige Verantwortlichkeit vorausgesetzt wird. Teilweise genügt es sogar, wenn eine der verantwortlichen Stellen die Datenverarbeitung nur auslöst und im Anschluss, über diese Mitursächlichkeit hinaus, nicht zusätzlich an der Datenverarbeitung beteiligt ist.

Was bedeutet die gemeinsame Entscheidung über Zwecke und Mittel?

Dies bedeutet, dass jeder der Verantwortlichen in bestimmender Weise Einfluss auf die Datenverarbeitung nehmen muss. Hierbei ist hervorzuheben, dass es nicht darauf ankommt, dass jeder der Verantwortlichen zu jedem Zeitpunkt alle Gegebenheiten und Prozesse der Datenverarbeitung kontrolliert oder kontrollieren kann. So ist es auch möglich, dass jeder der Verantwortlichen in verschiedenen Phasen mitwirkt. Die ausgeübte Rollenverteilung muss jedoch in der Joint Controllership Vereinbarung festgehalten werden. Es ist jedoch nicht möglich einer bereits bestehenden Verarbeitung für die Vergangenheit als gemeinsamer Verantwortlicher beizutreten. Für die Zukunft ist dies dagegen möglich, sofern gemäß Art. 26 Abs. 2 S.2 DSGVO die Betroffenen hierüber entsprechend informiert werden. Ein Beispiel für die Darstellung der Informationspflichten gegenüber den Betroffenen, im Rahmen des Art. 26 DSGVO, finden Sie auf der Seite des LfDI Baden-Württemberg.

Joint Controllership Vereinbarung als Rechtsgrundlage?

Nach der vorherrschenden Ansicht dient eine Joint Controllership Vereinbarung für den Verantwortlichen nicht als generelle Befugnis zur Datenverarbeitung. Die Vereinbarung stellt stattdessen klar, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Somit genügt es nicht Art. 26 DSGVO als Rechtsgrundlage heranzuziehen. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, benötigt er für diese Datenverarbeitung daher eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, Art. 9 DSGVO oder eine etwaige spezialgesetzliche Rechtsgrundlage.

Im Vergleich hierzu bedarf es bei Vorliegen eines Auftragsverarbeitungsvertrages für die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter und die Verarbeitung durch den Auftragsverarbeiter keiner weiteren Rechtsgrundlage im Sinne von Art. 6 DSGVO oder Art. 9 DSGVO als derjenigen, auf die der Verantwortliche selbst die Verarbeitung stützt.

In welchen Bereichen finden sich Joint Controllership Vereinbarungen?

Grundsätzlich können sich diese natürlich überall finden, soweit die Voraussetzungen des Art. 26 DSGVO vorliegen. Dennoch gibt es Bereiche, in denen häufiger Joint Controllership Vereinbarungen abgeschlossen werden oder abgeschlossen werden sollten.

So stellt beispielsweise die konzerninterne Zusammenarbeit einen Regelfall des Art. 26 DSGVO dar. Werden hier Dienstleistungen wie die Verwaltung von Personal- und Kundendaten zentral organisiert, liegt meist ein gemeinsamer Datenpool vor, auf welchen die Konzerngesellschaften Zugriff besitzen. Entscheiden die Konzerngesellschaften in diesem Fall gemeinsam welche Daten für die Verarbeitung erforderlich sind und wer Eintragungen oder Änderungen vornehmen darf, sind die Beteiligten damit gemeinsame Verantwortliche.

Auch wenn Versicherungsgesellschaften verschiedener Versicherungssparten als Verantwortliche ein gemeinsames Portal betreiben, um die Versicherungsnehmer zu verwalten, kann eine gemeinsame Verantwortlichkeit bejaht werden. Hier leistet jeder der Beteiligten seinen Beitrag. Somit wird auch hierbei gemeinsam über die Zwecke und Mittel der Verarbeitung entschieden. Vorsicht ist allerdings geboten, wenn hierfür extra Dienstleistungsgesellschaften gegründet würden, die ebenfalls zum Konzern gehören. Die Dienstleistungsgesellschaften verarbeiten dann für die gemeinsam Verantwortlichen die Daten im Auftrag und es läge eine Auftragsverarbeitung nach Art. 28 DSGVO vor.

Joint Controllership Vereinbarung oder Auftragsverarbeitungsvertrag?

Wir sehen an obigem Beispiel der Versicherungen, dass immer genau abgegrenzt werden muss, ob eine Datenverarbeitung im Rahmen des Art. 26 DSGVO vorliegt oder doch ein Auftragsverarbeitungsvertrag geschlossen werden muss. Das entscheidende Indiz bei der Auftragsverarbeitung ist die Weisungsgebundenheit. Stellt sich ein Dienstleister nach der Beschreibung seiner Tätigkeit und dem Umgang mit personenbezogenen Daten daher als abhängig von den Weisungen des Verantwortlichen dar, liegt kein Fall der gemeinsamen Verantwortlichkeit vor. Es liegt allerdings auch keine gemeinsame Verantwortlichkeit vor, wenn die Zwecke, welche die beteiligten Verantwortlichen verfolgen gar keinen Zusammenhang miteinander aufweisen. Der fehlende Zusammenhang ist meist gegeben, wenn der Zweck des einen auch ohne die Beteiligung des anderen gut erreicht werden kann. In diesem Fall kann ein Fall der getrennten Verantwortlichkeit vorliegen.

Besonderheiten und Herausforderungen beim Joint Controllership

Mit der Joint Controllership Vereinbarung sollen die Verantwortlichen regeln, wer in welchem Bereich die konkret vereinbarten Verarbeitungsschritte übernimmt. Demnach muss auch deren Funktion in den einzelnen Verarbeitungsphasen und Prozessen geregelt und niedergeschrieben werden. Erst dann können auch Pflichten und Haftungsregeln entsprechend des Involvierungsgrades der Verantwortlichen gerecht eingefügt werden. Die Herausforderung, die sich daraus ergibt, ist zunächst die vorherige Absprache der Verantwortlichen untereinander und im Anschluss die detaillierte Wiedergabe dieser Absprachen in schriftlicher Form. Je genauer die Joint Controllership Vereinbarung ausgestaltet ist, desto weniger Unklarheiten und Streitpotenzial entsteht zwischen den gemeinsamen Verantwortlichen.

Um dem vorzubeugen, dass einer der Verantwortlichen ungefragt einen Auftragsverarbeiter einsetzt, bietet sich beispielsweise hierzu eine Klausel an, die besagt, dass dies bei Vorliegen eines wichtigen Grundes durch jede Partei untersagt werden kann.

Gerade der Haftungsausgleich unter den Verantwortlichen sollte zur Vermeidung späterer Auseinandersetzungen in der Vereinbarung geregelt werden, denn der Betroffene kann unabhängig von den intern getroffenen Haftungsregeln jeden der Verantwortlichen in Anspruch nehmen.

Positive Auswirkungen einer Joint Controllership Vereinbarung

Eine sorgfältige Ausarbeitung der Vereinbarung ermöglicht es den Verantwortlichen von mehreren Vorteilen zu profitieren:

  • Durch die Möglichkeit der Aufgaben- und Rollenverteilung zwischen den gemeinsamen Verantwortlichen und der genauen Beschreibung des Zusammenwirkens, kann eine Arbeitsentlastung der Verantwortlichen erzielt werden.
  • Durch die notwendige Aufgabenbeschreibung in der Vereinbarung erfolgt außerdem automatisch eine vorausschauende Prozessgestaltung, welche letztlich die Einhaltung und Überwachung der DSGVO erleichtert und vorantreibt.
  • Zudem bietet die Vereinbarung Spielraum für jegliche Vereinbarungen von Unterstützungsleistungen der Verantwortlichen untereinander. Im Falle der Erforderlichkeit einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO kann die Vereinbarung beispielsweise eine Aufteilung der Arbeitsbeiträge vorsehen und damit datenschutzrechtliche Prozesse beschleunigen.
  • Neben dem hierdurch möglichen effektiveren Risikomanagement bietet eine Joint Controllership Vereinbarung auch die Möglichkeit, sich mit den anderen Verantwortlichen darüber zu verständigen, welche der Verantwortlichen sich um welche Betroffenenanfragen kümmern und entsprechend Ihrer Kompetenz oder Sachnähe am schnellsten Löschbegehren oder Auskunftsverlangen umsetzen können.
  • Zur Vermeidung von Bußgeldern nach Art. 83 Abs. 4 lit. a DSGVO sind bei Vorliegen einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO dessen Voraussetzungen ohnehin einzuhalten.

Nicht ohne Aufwand, aber dafür mit vielen Vorteilen

Die Vereinbarung nach Art. 26 DSGVO ist zwar inhaltlich sorgfältig und umfassend zu gestalten. Die hierdurch erzielte Sicherheit und Effizienz zwischen und für die gemeinsamen Verantwortlichen, lohnt sich aber am Ende.

Bei Fragen und Hilfe zur Ausgestaltung der Vereinbarung, wenden Sie sich gerne an einen Datenschutzbeauftragten.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Hallo, das ist ja alles gut uns schön. Sie bringen auch das Beispiel mit den Konzerngesellschaften. Aber wie ist es denn in der Praxis? Da bestimmt irgendwann die Konzernmutter, dass die Gesellschaft X des Konzerns die Personalverwaltung für alle Gesellschaften übernimmt. Dabei wird ggf. auch noch vorgegeben, wie das zu geschehen hat und welche Software zum Einsatz kommt. Die einzelnen Konzerngesellschaften haben praktisch überhaupt keinen Einfluss auf die Mittel der Datenverarbeitung und haben auch gar keine freie Wahl, die Personalverwaltung selber zu machen oder sich einen anderen Dienstleister auszuwählen. Da die Arbeitsverträge aber auf die jeweiligen Gesellschaften lauten, sind diese – meiner Ansicht nach – natürlich immer noch die Verantwortlichen.

    Bisher schließen wir zwischen den Gesellschaften immer Verträge zur Auftragsverarbeitung ab (mit ein bisschen Bauchschmerzen, weil es meiner Ansicht nach keine wirkliche Auftragsverarbeitung ist). Eine gemeinsame Verantwortung sehe ich aber auch nicht wirklich – auch aus den o. g. Gründen.

    Sehe ich das zu kleinlich oder habe ich einen Denkfehler? Wie sehen andere das?

    Viele Grüße
    Axel

    • Dieses Problem kennen wir natürlich auch aus unserer Tätigkeit in der Praxis. Die Einstufung, ob eine gemeinsame Verantwortlichkeit vorliegt ist immer anhand der Ausgestaltung im Einzelfall zu beurteilen und kann im Rahmen des Blogs leider nicht erfolgen. Es ist jedoch grundsätzlich zu prüfen, ob mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Ist dies der Fall, handelt es sich gem. Art. 26 DSGVO um gemeinsam Verantwortliche. So ist beispielsweise ein Konzernunternehmen, bei dem die Mitarbeiter angestellt sind, als Verantwortlicher zu qualifizieren, da es aufgrund seiner Stellung als Arbeitgeber die Zwecke und Mittel der Verarbeitung mitbestimmt. Dagegen muss eine Entscheidungsbefugnis nur über die Mittel, hinsichtlich der technischen und organisatorischen Maßnahmen nicht zwangsläufig eine Verantwortlichkeit begründen. So kann beispielsweise die Entscheidung zur Verwendung eines bestimmten Software-Tools auch einem Auftragsverarbeiter übertragen werden ohne dass dieser als Mitverantwortlicher eingestuft wird. Ein datenempfangendes Konzernunternehmen, bei dem die zentralisierte Personalverwaltung angesiedelt ist, bestimmt – wenn es beispielsweise entsprechende Personalentscheidungsbefugnisse erhält – gemeinsam mit dem übermittelnden Unternehmen die Zwecke und Mittel der Personaldatenverarbeitung. Das empfangende Unternehmen agiert dabei nicht nur als „verlängerter Arm“ der übrigen Gesellschaften. Es verfolgt auch eigene Zwecke und Interessen, weshalb eine gemeinsame Verantwortlichkeit vorliegt. Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu aber an Ihren Datenschutzbeauftragten wenden.

      Eine Hilfestellung zur Einordnung, ob eine gemeinsame Verantwortlichkeit oder eine Auftragsverarbeitung vorliegt, kann Ihnen die Checkliste der GDD bieten.

      Für zusätzliche Informationen zu diesem Thema weise ich Sie gerne auch auf folgende weitere Artikel hin:
      Joint Controller im Datenschutz – ein altbekanntes Thema wird aktuell
      Die gemeinsame Verantwortlichkeit im Sinne der DSGVO

  • Als Betroffener stellt sich mir häufig auch die Frage, wo in Wirklichkeit eine gemeinsame Verantwortung vorliegt, obwohl der Verantwortliche dies bestreitet. Diese ist bei der Wahrnehmung meiner Betroffenenrechte oft entscheidend. Insbesondere auf großen Nachrichtenseiten werden haufenweise Tracker, Werbedienste und weiteres eingebunden – liegt mit diesen eine gemeinsame Verantwortung vor, kann ich mich an die Nachrichtenseite wenden – liegt diese nicht vor, muss ich mich an jeden Verantwortlichen einzeln wenden. Stellt sich nun die Frage was der Fall ist: meine Ansicht ist hier, dass in den meisten Fällen eine gemeinsame Verantwortung (manchmal eventuell auch eine Auftragsverarbeitung oder alleinige Verantwortlichkeit der Nachrichtenseite) vorliegt – weil die Nachrichtenseite offensichtlich einen Zweck verfolgt, sonst würde sie diesen Dienst schließlich nicht einsetzten. Dies lässt sich spätestens feststellen, wenn eine Nennung der Zwecke erfolgt.

  • Hallo Dr Datenschutz, wie immer ein toller Artikel von euch. Allerdings gibt es bei dem Thema eine Sache, die ich nicht verstehe:

    Kann eine Stelle, die nicht der DSGVO unterliegt (wg. räumlichem Anwendungsbereich) und demnach auch keinen Vertreter gem. Art 27 benennen muss (bspw. Unternehmen im 3.Land), ein „gemeinsam Verantwortlicher“ sein?

    Bsp:

    Eine europäische Stelle (EU-Firma) arbeitet mit einer anderen Stelle ansässig in einem Drittland (3.Land-Firma) im Bereich HR-Management derart zusammen, dass aus sachlicher Sicht eine gemeinsame Verantwortlichkeit vorliegt. Es werden dabei nur Beschäftigtendaten der 3.Land-Firma verarbeitet, sodass auch kein Vertreter gem. Art 27 benannt werden muss.

    Kann hier ein JC vorliegen obwohl der räumliche Anwendungsbereich dies verneint und damit irgendwo es eines Adressaten mangelt, der all die Vorgaben der DSGVO einhalten soll.

    Was meint ihr dazu und wie könnte eine Lösung aussehen?

    • Vielen Dank für Ihr positives Feedback. Wir freuen uns, dass Ihnen der Blogartikel gefällt.

      Wenn die DSGVO keine Anwendung findet, haben wir weder einen Verantwortlichen nach Art. 4 Nr. 7 DSGVO noch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, da die Begrifflichkeiten der DSGVO schon nicht herangezogen werden können.
      Werden Beschäftigtendaten allerdings zwischen der EU-Stelle und dem Drittland ausgetauscht, ist der räumliche Anwendungsbereich nach Art. 3 DSGVO eröffnet, wenn eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Eine gemeinsame Verantwortlichkeit ist sodann bei Vorliegen der Voraussetzungen des Art. 26 DSGVO zu bejahen.
      Stets zu beachten ist, dass der Begriff der gemeinsamen Verantwortlichkeit sehr weit gefasst wird. So hatte bspw. der EUGH entschieden, dass Websitebetreiber bei Einsatz von Social-Plugins neben den Anbietern für die Erhebung und Übermittlung personenbezogener Daten der Nutzer gemeinsam verantwortlich sind. Hiernach wurde Art. 26 DSGVO sogar bejaht, obwohl nur einer der Beteiligten aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nahm und nicht jeder der gemeinsam Verantwortlichen Zugang zu den betreffenden personenbezogenen Daten hatte.

      Im Rahmen des Blogs kann eine Rechtsberatung im Einzelfall leider nicht vorgenommen werden, daher verweisen wir auf die Hinzuziehung eines Rechtsanwalts oder Empfehlen eine Kontaktaufnahme mit Ihrem Datenschutzbeauftragten.

  • Danke für den Beitrag.
    Es heißt immer, dass sich JCA und Auftragsverarbeitungsvertrag ausschließen? Kann es aber nicht sein, dass 2 unabhängige Dienstleister Daten für einen Auftraggeber verarbeiten und untereinander ein JCA abschließen und dass einer der beiden Dienstleister mit dem Auftraggeber (in diesem Fall Verantwortlicher) einen Auftragsverarbeitungsvertrag abschließt? Dies wäre aus meiner Sicht notwendig, da es sich in diesem speziellen Falle um eine Website des Auftraggebers handelt, über die Besucher der Website analysiert werden sollen. Den Dienstleistern ist es ja nicht möglich, Einwilligungen der Kunden des Auftraggebers (Websitebesucher) einzuholen. Diese Verantwortung sollte eigentlich beim Auftraggeber liegen;? Danke und viele Grüße

    • Vielen Dank für Ihre Frage. Mit gegenseitigem Ausschluss von Joint Controller und Auftragsverarbeiter ist bspw. folgende Konstellation gemeint: Wird ein Auftragnehmer gegenüber dem Auftraggeber als Auftragsverarbeiter tätig, kann er nicht gleichzeitig gegenüber genau diesem Auftraggeber bzgl. derselben Dienstleistung gemeinsam mit dem Auftraggeber (i.S.d. Art. 26 DSGVO) Verantwortlicher sein.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.