Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

03. Januar 2025

Joint Controllership: Ja oder nein?

DP+
Die gemeinsame Verantwortlichkeit (Joint Controllership) ist von der Alleinverantwortlichkeit wie auch von der Auftragsverarbeitung abzugrenzen. Datenschutzbeauftragte sollten diese Unterschiede kennen.
Bild: iStock.com/ismagilov
0,00 (0)
Gemeinsame Verantwortlichkeit
Die gemeinsame Verantwortlichkeit (Joint Controllership) ist ein Rollenmodell, das schon vor der Datenschutz-Grundverordnung (­DSGVO) bestand. Aber sie gewinnt aufgrund der Ausgestaltung durch die DSGVO und zukünftig z.B. für die datenschutzrechtliche Bewertung der Nutzung künstlicher Intelligenz zunehmend an Bedeutung.

Die DSGVO macht in ErwGr. 79 deutlich: Es ist unmöglich, dass es eine Datenverarbeitung ohne (zumindest) einen Verantwortlichen gibt. Die ­DSGVO kennt jedoch nicht nur Verantwortliche (Art. 4 Nr. 7 DSGVO), sondern auch als weiteren Datenverarbeiter den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).

Abgrenzung zur Auftrags­verarbeitung

Für das Verständnis der gemeinsamen Verantwortlichkeit ist es zunächst erforderlich, sie von der Auftragsverarbeitung abzugrenzen. Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) entscheidet nicht über Zweck und Mittel, sondern tut, was ihm der Verantwortliche als Auftraggeber vorgibt. Die Vereinbarung über die Auftragsverarbeitung ist konstitutiv für eine Auftragsverarbeitung. Mit anderen Worten: Erst der (zusätzliche) Abschluss der Vereinbarung begründet eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung.

Wenn der Auftragsverarbeiter die personenbezogenen Daten (auch) zu eigenen Zwecken verarbeitet, dann liegt in Bezug auf diese eigenen Zwecke keine Auftragsverarbeitung vor (vgl. Art. 28 Abs. 10, Art. 29 DSGVO).

Online-Tipp:

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat im Juni 2024 eine Orientierungshilfe zur gemeinsamen Verantwortlichkeit veröffentlicht (Orientierungshilfe: Gemeinsame Verantwortlichkeit). Bereits zuvor hat der Datenschutzausschuss der Europäischen Union die „Guidelines on the concept of controller and processors in the GDPR“ herausgebracht (Guidelines 07/2020 on the c…

Dr. Jens Eckhardt
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Jens Eckhardt
Dr. Jens Eckhardt
Dr. Jens Eckhardt ist Rechtsanwalt sowie Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV) und IT-Compliance Manager (TÜV) bei Eckhardt Rechtsanwälte Partnerschaft mbB.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.