Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Art. 26 Abs. 1 DSGVO bestimmt: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, sind sie gemeinsam Verantwortliche. Die formale Bezeichnung im Vertrag spielt dabei keine Rolle – maßgebend ist die tatsächliche Zweck- und Mittelherrschaft. Eine gemeinsame Verantwortlichkeit kann sich auch aus konkludentem Zusammenwirken ergeben, ohne dass die Beteiligten sie ausdrücklich vereinbart hätten.

Aus der EuGH-Rechtsprechung und den Leitlinien des Europäischen Datenschutzausschusses (EDPB Guidelines 07/2020 zu den Begriffen Verantwortlicher und Auftragsverarbeiter, Version 2.1 vom 20. September 2022) lassen sich drei Tatbestandsmerkmale herausarbeiten:

• Konvergierende Zwecke. Beide Parteien verfolgen eigene, aber miteinander verbundene oder einander ergänzende Verarbeitungszwecke.
• Gemeinsame Entscheidung über wesentliche Mittel. Beide Parteien wirken bei zentralen Parametern mit – etwa Datenkategorien, Speicherdauer, eingesetzter Technologie oder Auswertungslogik.
• Kein Weisungsverhältnis. Keine der Parteien handelt ausschließlich auf Weisung der anderen.

Nicht erforderlich ist nach der EuGH-Rechtsprechung ein gleichgewichtiger Einfluss. Es genügt, wenn jede Partei einen maßgeblichen Beitrag zur Entscheidung über Zwecke und Mittel leistet. Auch ist nicht erforderlich, dass beide Parteien gleichermaßen Zugriff auf die verarbeiteten Daten haben – ein Punkt, den der Gerichtshof in der Sache Zeugen Jehovas (C-25/17) ausdrücklich klargestellt hat.

Die Rechtsgrundlage der Verarbeitung bleibt für jeden gemeinsamen Verantwortlichen eigenständig zu prüfen. Art. 26 DSGVO regelt die gemeinsame Verantwortung – er schafft keine Rechtsgrundlage. Bei öffentlichen Hochschulen kommt regelmäßig Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit den einschlägigen Aufgabennormen in Betracht; in Sachsen-Anhalt etwa § 3 HSG LSA (Aufgaben der Hochschulen) und § 119 HSG LSA (bereichsspezifische Verarbeitungsbefugnis für hochschulspezifische Sachverhalte) sowie ergänzend § 4 DSAG LSA als allgemeine Verarbeitungsbefugnis öffentlicher Stellen.

Art. 26 Abs. 1 Satz 2 DSGVO verpflichtet gemeinsam Verantwortliche, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtungen aus der DSGVO erfüllt – insbesondere bei der Wahrnehmung der Rechte der betroffenen Person und bei den Informationspflichten nach den Art. 13 und 14 DSGVO. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der Beteiligten gegenüber der betroffenen Person widerspiegeln (Art. 26 Abs. 2 Satz 1 DSGVO).

1. Identifikation der gemeinsamen Verantwortlichen Vollständige Bezeichnung beider Stellen mit Anschrift und Vertretungsangabe; bei Hochschulen einschließlich der zuständigen Organisationseinheit. Art. 26 Abs. 1 i. V. m. Art. 4 Nr. 7 DSGVO
2. Gegenstand und Zweck der gemeinsamen Verarbeitung Welche Daten werden zu welchem konvergierenden Zweck gemeinsam verarbeitet? Klare Abgrenzung zu davon getrennten, eigenverantwortlich verarbeiteten Datenbeständen. Art. 26 Abs. 1 DSGVO
3. Aufgabenverteilung bei Betroffenenrechten Wer nimmt Auskunfts- (Art. 15), Berichtigungs- (Art. 16), Lösch- (Art. 17), Einschränkungs- (Art. 18), Datenübertragbarkeits- (Art. 20) und Widerspruchsrechte (Art. 21) entgegen? Wer beantwortet sie? Art. 26 Abs. 1 Satz 2 DSGVO
4. Aufgabenverteilung bei Informationspflichten Wer kommt den Informationspflichten nach den Art. 13 und 14 DSGVO nach? In welcher Form – durch eine gemeinsame Datenschutzerklärung oder durch getrennte Hinweise mit wechselseitigem Verweis? Art. 26 Abs. 1 Satz 2 DSGVO
5. Anlaufstelle für Betroffene Art. 26 Abs. 1 Satz 3 DSGVO erlaubt es, eine Anlaufstelle festzulegen. Davon unberührt bleibt das Recht der betroffenen Person, sich nach Art. 26 Abs. 3 DSGVO auch direkt an jeden anderen Verantwortlichen zu wenden. Art. 26 Abs. 1 Satz 3 DSGVO
6. Pflichten zur Datensicherheit (Art. 32 DSGVO) Zuständigkeit für die technisch-organisatorischen Maßnahmen, deren regelmäßige Überprüfung und gegenseitige Information bei Sicherheitsvorfällen. Art. 26 Abs. 1 i. V. m. Art. 32 DSGVO
7. Pflichten bei Datenpannen (Art. 33, 34 DSGVO) Wer meldet eine Datenschutzverletzung an die zuständige Aufsichtsbehörde? Wer benachrichtigt gegebenenfalls die betroffenen Personen? Welche Frist- und Informationswege gelten intern – innerhalb welcher Zeit muss die jeweils andere Partei informiert sein, damit die 72-Stunden-Frist gehalten werden kann? Art. 26 Abs. 1 i. V. m. Art. 33, 34 DSGVO
8. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) Klärung, wer das jeweilige Verarbeitungsverzeichnis führt und wie die gemeinsame Verarbeitung darin abgebildet wird. Beide Parteien haben grundsätzlich eine eigenständige Pflicht. Art. 30 DSGVO
9. Veröffentlichung der wesentlichen Inhalte Das Wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt (Art. 26 Abs. 2 Satz 2 DSGVO). In der Praxis erfolgt das meist als Zusatzabschnitt in der Datenschutzerklärung oder als verlinkte Kurzfassung. Art. 26 Abs. 2 Satz 2 DSGVO
10. Innenregelung zur Haftung und zum Ausgleich Verteilungsmaßstab für den Innenregress nach Art. 82 Abs. 5 DSGVO – also für den Fall, dass eine Partei nach Art. 82 Abs. 4 DSGVO im Außenverhältnis vollständig in Anspruch genommen wurde. Art. 82 Abs. 4 und 5 DSGVO

Eine ausdrückliche Schriftformpflicht für Art. 26-Vereinbarungen kennt die DSGVO nicht. In der Praxis empfiehlt sich gleichwohl die schriftliche oder elektronische Form – schon aus Gründen der Nachweisbarkeit nach Art. 5 Abs. 2 DSGVO und im Hinblick auf die Veröffentlichungspflicht aus Abs. 2 Satz 2.

Drei Entscheidungen des Gerichtshofs der Europäischen Union haben die Konturen der gemeinsamen Verantwortlichkeit maßgeblich gezeichnet. Auffällig daran: Der EuGH legt das Tatbestandsmerkmal der gemeinsamen Entscheidung weit aus – auch dann, wenn nur eine der beiden Parteien tatsächlich auf die Daten zugreifen kann.

Die genannten Urteile betreffen formal noch die Vorgängerrichtlinie 95/46/EG. Wegen der weitgehend identischen Begriffsbestimmungen sind sie nach überwiegender Auffassung aber auch unter der DSGVO heranzuziehen. Die DSGVO selbst hat den Begriff der gemeinsamen Verantwortlichkeit in Art. 26 ausdrücklich kodifiziert und um die Vereinbarungspflicht ergänzt.

Die Einordnung in eine der drei Kategorien ist häufig die schwierigste Frage in der Vertragsprüfung – und zugleich die mit den weitreichendsten Folgen. Eine falsche Einordnung lässt sich nicht durch nachträgliches Umetikettieren heilen, weil die rechtliche Würdigung der tatsächlichen Verarbeitung folgt, nicht dem Vertragstitel.

Vergleichsübersicht

Vier Leitfragen zur Einordnung

In der Praxis hat sich folgende Reihenfolge bewährt. Die Antworten sind als Indizien zu verstehen; eine abschließende Einordnung erfordert immer die Gesamtschau aller Umstände im Einzelfall.

Der EuGH prüft die gemeinsame Verantwortlichkeit wertend, nicht kleinteilig. Es genügt, wenn beide Parteien einen maßgeblichen Einfluss auf Zwecke und Mittel ausüben – nicht erforderlich ist, dass beide gleichberechtigt oder symmetrisch beteiligt sind (vgl. EuGH C-40/17 – Fashion ID; C-210/16 – Wirtschaftsakademie; C-25/17 – Zeugen Jehovas).

Die Einordnung als gemeinsame Verantwortlichkeit hat erhebliche praktische Konsequenzen – für die betroffenen Personen ebenso wie für die beteiligten Stellen.

Betroffenenrechte (Art. 26 Abs. 3 DSGVO)

Ungeachtet der internen Aufgabenverteilung in der Vereinbarung kann die betroffene Person ihre Rechte bei und gegenüber jedem der gemeinsam Verantwortlichen geltend machen. Die interne Vereinbarung entfaltet ihre Wirkung damit nicht zulasten der Betroffenen. Praktisch bedeutet das: Jede beteiligte Stelle muss in der Lage sein, eingehende Anfragen zumindest entgegenzunehmen und an die intern zuständige Stelle weiterzuleiten – auch dann, wenn nicht sie selbst die materielle Antwort erteilt.

Gesamtschuldnerische Außenhaftung (Art. 82 Abs. 4 DSGVO)

Sind an einer Verarbeitung mehrere Verantwortliche beteiligt, haftet jeder von ihnen gegenüber der betroffenen Person für den gesamten Schaden. Hintergrund ist der Schutzgedanke der DSGVO: Die betroffene Person soll ihren Schadensersatz vollständig und wirksam erhalten können, ohne im Innenverhältnis der Verantwortlichen ermitteln zu müssen, wer welchen Anteil am Schaden hat. Für die in Anspruch genommene Stelle bedeutet das ein nicht zu unterschätzendes wirtschaftliches Risiko.

Innenregress (Art. 82 Abs. 5 DSGVO)

Hat eine Stelle den Schaden vollständig beglichen, kann sie von den übrigen Verantwortlichen denjenigen Teil des Schadensersatzes zurückfordern, der ihrem Anteil an der Verantwortung entspricht. Damit dieser Innenausgleich in der Praxis tragfähig funktioniert, sollten verbindliche Maßstäbe für die Verteilung schon in der Joint-Controller-Vereinbarung festgelegt werden – sonst entstehen die schwierigen Diskussionen erst im Schadensfall.

Aufsichtsbehördliche Folgen

Bei der zuständigen Aufsichtsbehörde – in Sachsen-Anhalt der Landesbeauftragte für den Datenschutz Sachsen-Anhalt – können Beschwerden gegen jeden der gemeinsam Verantwortlichen erhoben werden. Behördliche Maßnahmen können sich gegen jeden Beteiligten richten. Für öffentliche Stellen des Landes Sachsen-Anhalt schließt § 31 Abs. 2 Satz 1 DSAG LSA in Verbindung mit Art. 83 Abs. 7 DSGVO die Verhängung von Geldbußen aus. In Betracht kommen aber Untersagungsverfügungen nach Art. 58 Abs. 2 DSGVO sowie Schadensersatzansprüche Betroffener nach Art. 82 DSGVO.

Bei Vertragsprüfungen begegnen sieben Punkte besonders häufig. Sie werden zur Sensibilisierung empfohlen.

1. Falsche Einordnung als Auftragsverarbeitung. Bei Plattformen mit eigenem Zweckinteresse des Anbieters – soziale Netzwerke, bestimmte Analytics-Dienste, einzelne Lern-KI-Anbieter – erscheint die Wahl eines AVV nicht in jedem Fall passend. Empfohlen wird, vor Vertragsschluss zu prüfen, ob nicht eher Art. 26 DSGVO einschlägig ist.
2. Fehlende Vereinbarung trotz erkennbarer gemeinsamer Verarbeitung. In manchen Forschungsverbünden, Kooperationsprojekten oder Plattformkonstellationen wird die Frage der Verantwortlichkeit gar nicht ausdrücklich geregelt. Eine fehlende Vereinbarung wird in der Aufsichtspraxis häufig als klärungsbedürftig im Sinne des Art. 26 Abs. 1 DSGVO bewertet.
3. Unterbliebene Veröffentlichung der wesentlichen Inhalte. Die Pflicht aus Art. 26 Abs. 2 Satz 2 DSGVO, das Wesentliche der Vereinbarung den Betroffenen zugänglich zu machen, wird in der Praxis häufig übersehen oder nur unvollständig erfüllt.
4. Pauschale Aufgabenverteilung ohne Detailregelung. Vereinbarungen, die nur abstrakt festlegen, dass „beide Parteien die Pflichten der DSGVO erfüllen", dürften hinter den Anforderungen des Art. 26 Abs. 1 Satz 2 DSGVO zurückbleiben. Empfohlen wird eine konkrete Aufgabenzuweisung für jeden einzelnen Pflichtenkreis – Information, Auskunft, Löschung, Datenpannen-Meldung.
5. Vermischung mit AVV-Klauseln (Toxic Hybridity). In manchen Vertragsentwürfen werden Elemente aus Art. 28 DSGVO (Weisungsbindung) und aus Art. 26 DSGVO (gemeinsame Entscheidung) vermischt. Eine solche Vermischung erscheint kaum tragfähig und dürfte einer aufsichtsbehördlichen Prüfung schwerlich standhalten.
6. Übersehen der phasenweisen Aufteilung. Nicht jede gemeinsame Verantwortlichkeit umfasst die gesamte Verarbeitungskette. Insbesondere nach EuGH C-40/17 (Fashion ID) erscheint eine phasenweise Aufteilung möglich – mit unterschiedlichen Pflichten je nach Phase. Eine pauschale Erfassung der gesamten Kette dürfte häufig nicht der tatsächlichen Beteiligungslage entsprechen.
7. Unterschätzte Außenhaftung. Die gesamtschuldnerische Außenhaftung nach Art. 82 Abs. 4 DSGVO wird in Vertragsverhandlungen häufig nicht hinreichend gewürdigt. Empfohlen wird, die Innenausgleichsregelung sorgfältig auszugestalten und die wirtschaftlichen Folgen einer möglichen Inanspruchnahme vor Vertragsschluss realistisch zu bewerten.

Eine abschließende Bewertung, ob konkrete Verstöße vorliegen, obliegt der zuständigen Aufsichtsbehörde.

Verwandte Themenseiten mit ergänzenden Vertiefungen:

• Auftragsverarbeitungsvertrag (AVV) – Pflichtinhalte nach Art. 28 DSGVO und Abgrenzung zur Auftragsverarbeitung.
• Drittlandstransfer – Schrems II, Standardvertragsklauseln und Transfer Impact Assessment bei Konstellationen mit Datenfluss in Drittländer.
• Hochschul- und Verwaltungsdatenschutz – Spezifika öffentlicher Stellen, Bußgeldausschluss, Aufsichtsbehörde.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 4 Nr. 7 (Verantwortlicher); Art. 5 Abs. 2 (Rechenschaftspflicht); Art. 13/14 (Informationspflichten); Art. 26 (Gemeinsame Verantwortlichkeit, Vereinbarung, Wesentliches gegenüber Betroffenen).

Rechtsprechung

• EuGH, Urteil v. 05.06.2018 – C-210/16 (Wirtschaftsakademie Schleswig-Holstein) – Grundsatzentscheidung zur gemeinsamen Verantwortlichkeit von Fanpage-Betreibern und Plattformanbieter.
• EuGH, Urteil v. 29.07.2019 – C-40/17 (Fashion ID) – gemeinsame Verantwortlichkeit ist auf den konkreten Verarbeitungsvorgang bezogen, dem die Beteiligten gemeinsam Zwecke und Mittel geben.
• EuGH, Urteil v. 10.07.2018 – C-25/17 (Zeugen Jehovas) – funktionaler Verantwortlichenbegriff; gemeinsame Verantwortlichkeit auch ohne Zugriff auf die Daten möglich.

Aufsichtspraxis und Mustervorlagen

• EDPB, Leitlinien 7/2020 zu den Begriffen „Verantwortlicher" und „Auftragsverarbeiter" der DSGVO – methodische Grundlage zur Abgrenzung Art. 26 / Art. 28.
• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.

Querverweise auf eigene Themenseiten

• Auftragsverarbeitung (Art. 28 DSGVO) – methodische Abgrenzung zur weisungsgebundenen Auftragsverarbeitung.
• KI-Governance an Hochschulen – Anbieter-/Betreiberrollen nach KI-VO und das Zusammenspiel mit Art. 26 DSGVO.
• Schatten-KI – Rollenverschiebung bei Modelltraining: Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder eigenständig Verantwortliche.
• Microsoft 365 an öffentlichen Hochschulen – Konstellationen mit Microsoft als gemeinsam Verantwortlichem oder eigenständig Verantwortlichem.
• Mailinglisten – Kooperations-Newsletter mit Art. 26 DSGVO.
• Hochschuldatenschutz – Normenrahmen und Rechtsgrundlagen für öffentliche Stellen.