Neben der Auftragsverarbeitung sieht die Datenschutzgrundverordnung (DSGVO) auch Regelungen für den Fall vor, dass mehrere Akteure gemeinsam für Verarbeitungen im Zusammenhang mit personenbezogenen Daten verantwortlich sind („Joint Controllership“).

Gemäß Art. 26 Abs. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Der „Verantwortliche“ wird in Art. 4 Nr. 7 DSGVO definiert. In diesem Sinne bedingt eine gemeinsame Verantwortlichkeit, dass zwei oder mehrere Verantwortliche gemeinsam personenbezogene Daten verarbeiten.

Die Aufsichtsbehörden haben sich bisher nur in wenigen Veröffentlichungen mit dem Thema  beschäftigt, obwohl die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ schon in richtungsweisenden Gerichtsentscheidungen jüngerer Zeit eine zentrale Rolle spielte. So  entschied der Europäische Gerichtshof (Urt. vom 29.07.2019, Az. C-40/17, abrufbar unter http://curia.europa.eu/juris/liste.jsf?num=C-40/17#, dass die Seiten-Betreiber für Erhebung und Übermittlung von Daten durch Facebooks „Like“-Button mit verantwortlich sind. Der EuGH argumentiert, die Einbindung des Buttons erlaube es dem Beklagten, die Werbung für ihre Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werde. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID „zumindest stillschweigend“ der Erhebung personenbezogener Daten der Website-Besucher zugestimmt habe.

Die Frage, wie eine vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten ist, löste seit Bekanntwerden des Art. 26 DSGVO bei vielen Verantwortlichen Verunsicherung aus.
Lediglich das Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO“ der Datenschutzkonferenz (abrufbar unter https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_16.pdf) unternahm den Versuch, den Begriff und die mit dem Thema zusammenhängenden Abgrenzungsfragen aufzuarbeiten. Die noch weiterhin bestehenden Unsicherheiten rund um diese Rechtsfigur versucht nun der LfDI BW auszuräumen und stellt ein Vertragsmuster zur gemeinsamen Verantwortlichkeit nach Artikel 26 DSGVO zur Verfügung (abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/). Dieses Muster wurde auf Grundlage gemeinsamer Überlegungen mit einer Reihe von Unternehmen und öffentlichen Stellen entwickelt.

Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München