Gemeinsam Verantwortliche
= Joint Controller
aus dem Datenschutz
Joint Controller sind gemeinsam Verantwortliche für den Datenschutz. Wann man “gemeinsam verantwortlich” ist, wird in Art. 4 Nr. 7 DSGVO definiert:
“Gemeinsam Verantwortlich sind die natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.”
Eine „gemeinsame Entscheidung“ über die Zwecke („wofür“) und Mittel („wie“) der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt.
Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist.
Eine Entscheidung der verwendenden Stelle über die Zwecke und Mittel der Verarbeitung kann auch dann gegeben sein, wenn sie im Voraus durch den Anbieter festgelegte Zwecke und Mittel akzeptiert beziehungsweise sich diesen anschließt. Eine vollständige Deckungsgleichheit der von den Beteiligten verfolgten Zwecke ist dabei nicht erforderlich, sofern die Zwecke eng zusammenhängen.
Die gemeinsame Verantwortlichkeit setzt nicht voraus, dass die Beteiligten alle in gleichem Maß verantwortlich sind.
Die bloße Zusammenarbeit mehrerer Stellen im Rahmen einer Kette führt als solche jedoch nicht zwingend zu einer gemeinsamen Verantwortlichkeit.
Aber auch: Es kann sein, dass einzelne Verarbeitungsphasen “gemeinsam” erfolgen, andere aber nicht – dann besteht die gemeinsame Verantwortlichkeit nur für diese einzelne Verarbeitungsphasen.
Beispiele:
- Der Veranstalter und ein Unternehmen, das die Tickets verkaufen soll, bauen eine Internetplattform für Werbung und Ticketvertrieb auf: Sie sind für die Datenverarbeitung über diese Plattform gemeinsam verantwortlich.
- Veranstalter und Sponsor einigen sich darauf, dass die gewonnenen Daten aus einem Gewinnspiel beiden Seiten zur Verfügung stehen: Sie sind beide für diese Verarbeitung in Bezug auf das Gewinnspiel gemeinsam verantwortlich.
Die Abgrenzung
Die Joint Controller sind abzugrenzen von:
- dem allein Verantwortlichen bzw. mehreren allein Verantwortlichen nebeneinander,
- dem Auftragsverarbeiter.
Das Problem
Das Problem besteht darin, die Feinheiten auseinanderzuhalten. So fällt auch uns Juristen schwer, bspw. bei der Zusammenarbeit zwischen Veranstalter und Sponsor klar die Verantwortlichen zuzuteilen. Aber: Es muss sein, da
- die Joint Controller einen Vertrag über eben die gemeinsame Verantwortlichkeit schließen müssen (siehe Art. 26 DSGVO),
- aber auch der Auftraggeber mit dem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag schließen muss (siehe Art. 28 DSGVO).
Wir schulen Ihre Mitarbeiter!
Egal ob 1 Stunde, 1 Tag oder 1 Woche. Egal ob online oder bei Ihnen im Unternehmen. Egal ob zum Thema Datenschutz, zu Haftungsfragen, zum Urheberrecht, zur VStättVO oder über Grundlagen des Eventrechts usw.
Weiterführende Links:
Lexikon Übersicht Verantwortliche Datenschutzrecht Auftragsverarbeitung