Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO – Abgrenzung, Rechtsprechung und Handlungsempfehlungen für die Praxis

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zählt zu den zentralen, zugleich aber komplexesten Konzepten des europäischen Datenschutzrechts.

In der Praxis entstehen häufig Abgrenzungsfragen – insbesondere im Verhältnis zur Auftragsverarbeitung gemäß Art. 28 DSGVO und zur eigenständigen Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO. Der folgende Beitrag erläutert, wann tatsächlich eine gemeinsame Verantwortlichkeit vorliegt, wie aktuelle Urteile des EuGH die Kriterien konkretisieren und welche praktischen Pflichten sich daraus für Unternehmen ergeben.

1. Wann liegt eine gemeinsame Verantwortlichkeit vor?

Eine gemeinsame Verantwortlichkeit besteht, wenn zwei oder mehr Parteien gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Maßgeblich ist eine abgestimmte Einflussnahme auf das „Warum“ und „Wie“ der Datenverarbeitung – nicht bloß eine technische Zusammenarbeit oder Datenweitergabe.

Ein klassisches Beispiel ist der gemeinsame Betrieb einer Online-Plattform, bei dem sowohl der Betreiber als auch ein Partnerunternehmen aktiv über die Art und Weise der Datenerhebung, -analyse und -nutzung entscheiden.

Der Europäische Gerichtshof (EuGH) hat in mehreren Entscheidungen klargestellt, dass eine gemeinsame Verantwortlichkeit nicht an eine formale Vereinbarung gebunden ist, sondern sich bereits aus einer faktischen Einflussnahme ergeben kann:

• EuGH, Rs. C-210/16 („Facebook-Fanpage“, 5. Juni 2018): Betreiber einer Unternehmensseite auf Facebook und Facebook Ireland Ltd. sind gemeinsam verantwortlich, da beide über Zwecke und Mittel der Verarbeitung der Besucherdaten mitentscheiden.
• EuGH, Rs. C-40/17 („Fashion ID“, 29. Juli 2019): Der Einbau des „Gefällt-mir“-Buttons von Facebook begründet eine gemeinsame Verantwortlichkeit von Websitebetreiberin und Facebook zumindest für die Datenerhebung und -übermittlung.
• EuGH, Rs. C-683/21 („Nacionalinis visuomenės sveikatos centras“, 5. Dezember 2023): Der Begriff der gemeinsamen Entscheidung ist weit auszulegen. Bereits abgestimmte technische oder organisatorische Einflussnahmen können eine gemeinsame Verantwortlichkeit begründen, auch ohne formale Vereinbarung.
• EuGH, Rs. C-604/22 („IAB Europe“, 7. März 2024): Selbst eine Branchenorganisation kann gemeinsam verantwortlich sein, wenn sie durch Standardisierung und Rahmenvorgaben den Zweck und die Mittel einer Datenverarbeitung (z. B. Consent-Management im Online-Advertising) mitbestimmt.

2. Praxisbeispiele aus unterschiedlichen Branchen

Um die rechtliche Theorie greifbarer zu machen, verdeutlichen folgende Beispiele, wann eine gemeinsame Verantwortlichkeit anzunehmen ist:

• E-Commerce-Kooperation: Eine Handelsgesellschaft und ein Logistikpartner betreiben gemeinsam eine Online-Plattform. Beide legen fest, wie Kundendaten erhoben, gespeichert und für die Auswertung genutzt werden. → gemeinsame Verantwortlichkeit.
• Gesundheitswesen: Ein Krankenhaus und ein Diagnostiklabor betreiben ein gemeinsames digitales Patientenportal. Beide entscheiden über Datenerfassung, Zugriff und Analyse. → gemeinsame Verantwortlichkeit.
• Franchise-Struktur: Zentrale Marketinggesellschaft und Franchisenehmer nutzen eine gemeinsame Kundendatenbank, stimmen Auswertungsparameter und Kommunikationskanäle ab. → gemeinsame Verantwortlichkeit.
• Social-Media-Marketing: Eine Agentur betreibt für ein Unternehmen eine Werbekampagne auf Facebook und legt gemeinsam mit dem Auftraggeber Zielgruppen, Tracking-Parameter und Retargeting-Logik fest. → gemeinsame Verantwortlichkeit.
• Bildungseinrichtung & Softwareanbieter: Eine Schule nutzt eine Cloud-Lernplattform, deren Anbieter nicht nur technische Infrastruktur liefert, sondern gemeinsam mit der Schule entscheidet, welche Lernstatistiken erhoben und ausgewertet werden. → gemeinsame Verantwortlichkeit.
• Personalbeschaffung: Zwei Konzernunternehmen betreiben gemeinsam ein Bewerberportal und entscheiden über Datenfelder, Speicherfristen und Zugriffsrechte. → gemeinsame Verantwortlichkeit.

Diese Beispiele verdeutlichen: Immer dann, wenn beide Partner entscheidenden Einfluss auf den Zweck und die Gestaltung der Verarbeitung nehmen, besteht eine gemeinsame Verantwortlichkeit.

3. Abgrenzung zur Auftragsverarbeitung (Art. 28 DSGVO)

Während bei der gemeinsamen Verantwortlichkeit beide Parteien eigenverantwortlich über Zwecke und Mittel der Verarbeitung entscheiden, handelt ein Auftragsverarbeiter ausschließlich nach Weisung des Verantwortlichen und verfolgt keine eigenen Zwecke.

Die Datenschutzkonferenz (DSK) betont, dass eine gemeinsame Verantwortlichkeit nicht automatisch entsteht, nur weil mehrere Stellen an der Datenverarbeitung beteiligt sind. Entscheidend ist, ob eine gemeinsame Entscheidung über die wesentlichen Aspekte der Verarbeitung getroffen wird.

Beispiele zur Abgrenzung:

• Gemeinsame Verantwortlichkeit: Zwei Unternehmen entwickeln gemeinsam eine App, stimmen Zweck, Funktionsweise und Datennutzung ab.
• Auftragsverarbeitung: Ein Unternehmen beauftragt einen IT-Dienstleister mit dem Hosting der App, der ausschließlich nach Weisung arbeitet und keinen Einfluss auf den Zweck der Datenverarbeitung hat.

In der Praxis kann eine zunächst als Auftragsverarbeitung geplante Kooperation später zur gemeinsamen Verantwortlichkeit werden – etwa, wenn der Dienstleister zusätzliche Analyse- oder Vermarktungsentscheidungen trifft.

4. Abgrenzung zur eigenständigen Verantwortlichkeit

Von eigenständiger Verantwortlichkeit spricht man, wenn jede Partei unabhängig über Zweck und Mittel der Verarbeitung entscheidet. Es existiert keine abgestimmte Steuerung.

Beispiel: Zwei Versicherer tauschen Kundendaten aus, um jeweils eigene Tarife zu bewerben. Jeder entscheidet autonom über seine Verarbeitungszwecke – eine gemeinsame Verantwortlichkeit besteht nicht.

Diese Abgrenzung ist insbesondere für Haftung und Transparenz entscheidend. Während gemeinsam Verantwortliche gesamtschuldnerisch haften (Art. 82 Abs. 4 DSGVO), trägt bei eigenständiger Verantwortlichkeit jede Stelle allein die Verantwortung für ihren Datenumgang.

5. Kriterien für die Abgrenzung – Wann spricht alles für eine gemeinsame Verantwortlichkeit?

Der Europäische Datenschutzausschuss (EDPB) und die DSK empfehlen zur Bewertung folgende Leitfragen:

• Gibt es eine abgestimmte Entscheidung über Zwecke und wesentliche Mittel der Verarbeitung?
• Werden die Daten für einen gemeinsamen Zweck genutzt?
• Haben beide Parteien Einfluss auf die Datenerhebung, Speicherung oder Weitergabe?
• Besteht eine gemeinsame Verantwortung gegenüber den Betroffenen, etwa bei Auskunfts- oder Löschanträgen?
• Liegen konvergierende Entscheidungen vor, die sich gegenseitig ergänzen oder bedingen?

Sind diese Fragen überwiegend mit „Ja“ zu beantworten, ist eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO wahrscheinlich.

6. Praktische Folgen und Pflichten nach Art. 26 DSGVO

Wird eine gemeinsame Verantwortlichkeit festgestellt, verpflichtet Art. 26 DSGVO die Beteiligten zum Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit. Diese muss:

1. klar festlegen, wer welche Pflichten übernimmt (z. B. Informationspflichten, Bearbeitung von Betroffenenanfragen, Meldung von Datenschutzvorfällen),
2. den wesentlichen Inhalt öffentlich zugänglich machen, etwa in der Datenschutzerklärung,
3. regelmäßig überprüft und bei Änderungen angepasst werden.

Wichtig: Die Vereinbarung ersetzt nicht die Rechtsgrundlage der Verarbeitung. Jede Partei muss eine eigene Rechtsgrundlage nach Art. 6 oder 9 DSGVO nachweisen können.

Fehlt eine Vereinbarung oder ist sie unzureichend, drohen Bußgelder (Art. 83 Abs. 4 lit. a DSGVO). Aufsichtsbehörden werten dies nicht als bloßen Formalfehler, sondern als Verstoß gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

7. Handlungsempfehlungen für Unternehmen

Unternehmen sollten folgende Schritte beachten, um Haftungsrisiken zu vermeiden und Transparenz zu sichern:

1. Analyse der Datenflüsse: Wo werden Entscheidungen über Zweck und Mittel gemeinsam getroffen?
2. Rollenklärung: Klare Zuordnung zwischen Verantwortlichem, gemeinsam Verantwortlichem und Auftragsverarbeiter.
3. Vertragliche Umsetzung: Abschluss einer Vereinbarung nach Art. 26 DSGVO; regelmäßige Überprüfung.
4. Transparenz gegenüber Betroffenen: Offenlegung der Zuständigkeiten in Datenschutzhinweisen.
5. Schulung & Dokumentation: Verantwortlichkeiten in internen Datenschutzrichtlinien und TOMs festhalten.
6. Regelmäßige Audits: Änderungen in Technik oder Organisation können die Verantwortlichkeitsstruktur verändern.

8. Fazit

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist ein dynamisches Konzept, das mit zunehmender Digitalisierung, Plattformökonomie und Datenkooperation an Bedeutung gewinnt. Eine klare Abgrenzung zur Auftragsverarbeitung und eigenständigen Verantwortlichkeit ist essenziell, um Haftungsrisiken zu minimieren. Unternehmen, die ihre Rollen transparent dokumentieren, Vereinbarungen klar gestalten und regelmäßig überprüfen, erfüllen nicht nur ihre gesetzlichen Pflichten, sondern stärken zugleich Compliance, Vertrauen und Rechtssicherheit im Datenschutzmanagement.

Rechtliche Grundlage:
Art. 4 Nr. 7 und 8, Art. 26, Art. 28, Art. 82 DSGVO; Erwägungsgründe 79 ff. DSGVO; § 62 BDSG.

Wichtige Entscheidungen:

• EuGH, Rs. C-210/16 – Facebook-Fanpage
• EuGH, Rs. C-40/17 – Fashion ID
• EuGH, Rs. C-683/21 – Nacionalinis visuomenės sveikatos centras
• EuGH, Rs. C-604/22 – IAB Europe
• Ungarische Aufsichtsbehörde (NAIH), Entscheidung v. 2024 – Verstoß gegen Art. 26 Abs. 1 DSGVO mangels Vereinbarung.

Weiterführende Hinweise:

• Europäischer Datenschutzausschuss (EDPB): Leitlinien 07/2020 zur gemeinsamen Verantwortlichkeit
• Datenschutzkonferenz (DSK): Orientierungshilfe zur Verantwortlichkeit nach der DSGVO
• ICO UK: Joint Controllers – Guidance (2024)

Wir unterstützen Sie bei der Erstellung eines passenden Vertrags.

Jetzt Termin für eine unverbindliche Beratung vereinbaren.