Joint Controller
Begriff aus dem LexikonJoint Controller sind gemeinsam Verantwortliche für den Datenschutz. Wann man “gemeinsam verantwortlich” ist, wird in Art. 4 Nr. 7 DSGVO definiert:
“Gemeinsam Verantwortlich sind die natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.”
Eine „gemeinsame Entscheidung“ über die Zwecke („wofür“) und Mittel („wie“) der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt.
Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist.
Eine Entscheidung der verwendenden Stelle über die Zwecke und Mittel der Verarbeitung kann auch dann gegeben sein, wenn sie im Voraus durch den Anbieter festgelegte Zwecke und Mittel akzeptiert beziehungsweise sich diesen anschließt. Eine vollständige Deckungsgleichheit der von den Beteiligten verfolgten Zwecke ist dabei nicht erforderlich, sofern die Zwecke eng zusammenhängen.
Die bloße Zusammenarbeit mehrerer Stellen im Rahmen einer Kette führt als solche jedoch nicht zwingend zu einer gemeinsamen Verantwortlichkeit.
Aber auch: Es kann sein, dass einzelne Verarbeitungsphasen “gemeinsam” erfolgen, andere aber nicht – dann besteht die gemeinsame Verantwortlichkeit nur für diese einzelne Verarbeitungsphasen.
Beispiele:
- Der Veranstalter und ein Unternehmen, das die Tickets verkaufen soll, bauen eine Internetplattform für Werbung und Ticketvertrieb auf: Sie sind für die Datenverarbeitung über diese Plattform gemeinsam verantwortlich.
- Veranstalter und Sponsor einigen sich darauf, dass die gewonnenen Daten aus einem Gewinnspiel beiden Seiten zur Verfügung stehen: Sie sind beide für diese Verarbeitung in Bezug auf das Gewinnspiel gemeinsam verantwortlich.
Die Abgrenzung
Die Joint Controller sind abzugrenzen von:
- dem allein Verantwortlichen,
- dem Auftragsverarbeiter.
Das Problem
Das Problem besteht darin, die Feinheiten auseinanderzuhalten. So fällt auch uns Juristen schwer, bspw. bei der Zusammenarbeit zwischen Veranstalter und Sponsor klar die Verantwortlichen zuzuteilen. Aber: Es muss sein, da
- die Joint Controller einen Vertrag über eben die gemeinsame Verantwortlichkeit schließen müssen (siehe Art. 26 DSGVO),
- aber auch der Auftraggeber mit dem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag schließen muss (siehe Art. 28 DSGVO).
Urheberangabe für das/die Foto(s) (Symbolfoto):
- vorvertrag-final-web-829x100_alternative: © Foto: fotofabrik, stock.adobe.com / Bannergestaltung: kollarneuber.de
- EventFAQ Webinare quer: © Foto: Shawn Hempel stock.adobe.com / Bannergestaltung: kollarneuber.de
- zwei rote Puzzle-Teile: © Robert Kneschke - Fotolia.com