Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
Datenschutz & DSGVO

Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO verstehen

Wann zwei Parteien gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO sind, wie sich das von der Auftragsverarbeitung unterscheidet und was eine Joint-Controller-Vereinbarung regeln muss.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·3 min read
In this article
  1. Die drei Rollen sauber unterscheiden
  2. Wann gemeinsame Verantwortlichkeit entsteht
  3. Was die Vereinbarung regeln muss
  4. Die gesamtschuldnerische Haftung
  5. Die häufige Verwechslung mit Auftragsverarbeitung
  6. Die Abgrenzung dokumentieren
  7. Fazit
  8. Praktische Umsetzung in Kooperationen

Die DSGVO unterscheidet zwischen Verantwortlichen und Auftragsverarbeitern — eine Unterscheidung, die über Pflichten und Haftung entscheidet. Eine dritte, oft übersehene Konstellation ist die gemeinsame Verantwortlichkeit nach Art. 26: Zwei oder mehr Parteien legen gemeinsam Zwecke und Mittel der Verarbeitung fest und sind damit gemeinsam Verantwortliche. Diese Konstellation tritt häufiger auf, als viele denken — und wird in der Praxis oft falsch eingeordnet, mit erheblichen Haftungsfolgen.

Die drei Rollen sauber unterscheiden

Verantwortlicher ist, wer über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter ist, wer Daten ausschliesslich nach Weisung des Verantwortlichen verarbeitet, ohne eigene Zweckbestimmung. Gemeinsam Verantwortliche sind zwei Parteien, die diese Entscheidung über Zwecke und Mittel gemeinsam treffen. Der Unterschied zur Auftragsverarbeitung ist fundamental: Ein Auftragsverarbeiter dient fremden Zwecken, ein gemeinsam Verantwortlicher verfolgt eigene. Wer eine gemeinsame Verantwortlichkeit fälschlich als Auftragsverarbeitung behandelt, nutzt das falsche Vertragsinstrument und verteilt die Haftung falsch.

Wann gemeinsame Verantwortlichkeit entsteht

Der Europäische Gerichtshof hat den Begriff weit ausgelegt. Gemeinsame Verantwortlichkeit setzt nicht voraus, dass beide Parteien gleichberechtigt oder im selben Umfang entscheiden — es genügt, dass sie gemeinsam auf die Zwecke und Mittel Einfluss nehmen. Typische Beispiele: der Betreiber einer Fanpage auf einer Social-Media-Plattform gemeinsam mit dem Plattformbetreiber; zwei Unternehmen, die eine gemeinsame Marketingaktion mit geteilten Kundendaten durchführen; oder Partner, die eine gemeinsame Datenbank für einen gemeinsam definierten Zweck betreiben. Das gemeinsame Interesse an der Verarbeitung und die gemeinsame Festlegung des Zwecks sind die Kennzeichen.

Was die Vereinbarung regeln muss

Art. 26 verlangt, dass gemeinsam Verantwortliche in einer Vereinbarung transparent festlegen, wer welche Pflichten erfüllt — insbesondere, wer die Betroffenenrechte bedient und wer die Informationspflichten erfüllt. Die wesentlichen Inhalte dieser Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden. Die Vereinbarung verteilt also die Verantwortung intern, ändert aber nichts daran, dass beide Parteien nach aussen für die Einhaltung einstehen. Eine klare, dokumentierte Aufteilung ist deshalb im eigenen Interesse: Sie schafft Klarheit darüber, wer im Ernstfall was tun muss.

Die gesamtschuldnerische Haftung

Ein entscheidender und oft unterschätzter Punkt: Gegenüber den betroffenen Personen haften gemeinsam Verantwortliche grundsätzlich gesamtschuldnerisch. Eine betroffene Person kann sich also an jeden der gemeinsam Verantwortlichen wenden und ihre Rechte vollständig geltend machen, unabhängig von der internen Aufteilung. Die interne Vereinbarung regelt dann den Ausgleich zwischen den Parteien, schützt aber nicht davor, zunächst in Anspruch genommen zu werden. Diese Haftungsstruktur macht es umso wichtiger, sich der gemeinsamen Verantwortlichkeit überhaupt bewusst zu sein und sie vertraglich zu adressieren.

Die häufige Verwechslung mit Auftragsverarbeitung

In der Praxis ist die häufigste Fehleinordnung, eine gemeinsame Verantwortlichkeit als blosse Auftragsverarbeitung zu behandeln und nur einen AVV abzuschliessen. Das passiert oft bei Kooperationen, gemeinsamen Plattformen oder Datenpartnerschaften. Prüfen Sie deshalb bei jeder datenbezogenen Zusammenarbeit ehrlich: Verfolgt der Partner eigene Zwecke mit den Daten, oder verarbeitet er sie nur nach unserer Weisung? Sobald der Partner eigene Zwecke verfolgt und an der Festlegung mitwirkt, liegt keine reine Auftragsverarbeitung mehr vor, und ein AVV ist das falsche Instrument.

Die Abgrenzung dokumentieren

Weil die Einordnung über Vertrag und Haftung entscheidet, gehört sie dokumentiert. Halten Sie für jede relevante Datenbeziehung fest, wer welche Rolle einnimmt und warum — wer über Zwecke und Mittel entscheidet. Diese Analyse ist Teil Ihrer Rechenschaftspflicht und zugleich die Grundlage, das richtige Vertragsinstrument zu wählen: einen AVV bei Auftragsverarbeitung, eine Art-26-Vereinbarung bei gemeinsamer Verantwortlichkeit, gegebenenfalls beides in unterschiedlichen Teilen einer komplexen Beziehung.

Fazit

Die gemeinsame Verantwortlichkeit ist die am häufigsten übersehene der drei DSGVO-Rollen — und die mit überraschenden Haftungsfolgen. Prüfen Sie bei jeder datenbezogenen Zusammenarbeit, ob der Partner eigene Zwecke verfolgt und an der Festlegung mitwirkt; wenn ja, liegt gemeinsame Verantwortlichkeit vor und verlangt eine Art-26-Vereinbarung, die die Pflichten transparent verteilt und den Betroffenen zugänglich ist. Bedenken Sie die gesamtschuldnerische Haftung und dokumentieren Sie die Rolleneinordnung. Dies ist eine fachliche Einordnung und ersetzt im Zweifel keine Rechtsberatung.

Praktische Umsetzung in Kooperationen

In der Praxis bewährt sich, die Rollenfrage zum festen Bestandteil jeder neuen Datenkooperation zu machen — noch bevor Daten fliessen. Klären Sie in der Anbahnung: Wer entscheidet über die Zwecke, wer über die Mittel, verfolgt jede Partei eigene Interessen? Aus dieser frühen Klärung ergibt sich das richtige Vertragsinstrument, und beide Seiten wissen, woran sie sind. Eine nachträgliche Korrektur — etwa die Entdeckung, dass man eigentlich gemeinsam verantwortlich war und nur einen AVV abgeschlossen hat — ist deutlich aufwendiger und im Schadensfall riskanter als die saubere Einordnung zu Beginn.

Denken Sie zudem an die betroffenen Personen, die im Zentrum der Regelung stehen. Die Art-26-Vereinbarung verlangt nicht nur eine interne Aufteilung, sondern dass die wesentlichen Inhalte den Betroffenen zugänglich sind und dass klar ist, an wen sie sich mit ihren Rechten wenden können. Eine gemeinsame Verantwortlichkeit, die für die betroffene Person undurchschaubar bleibt, verfehlt den Zweck der Regelung — und genau diese Transparenz gegenüber den Betroffenen ist es, die Aufsichtsbehörden bei der Prüfung in den Mittelpunkt stellen.

Behandeln Sie die Rolleneinordnung schliesslich als wiederkehrende Prüfung, nicht als einmalige Festlegung. Datenbeziehungen entwickeln sich: Was als reine Auftragsverarbeitung beginnt, kann sich zu einer gemeinsamen Verantwortlichkeit wandeln, wenn der Partner anfängt, die Daten für eigene Zwecke zu nutzen. Überprüfen Sie Ihre wichtigen Datenkooperationen deshalb regelmässig daraufhin, ob die ursprüngliche Einordnung noch zutrifft, und passen Sie das Vertragsinstrument an, wenn sich die tatsächliche Rollenverteilung verschoben hat. Eine veraltete Einordnung ist im Schadensfall ebenso riskant wie eine von Anfang an falsche.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
gemeinsame VerantwortlichkeitJoint ControllerArt. 26 DSGVOVerantwortlicher Abgrenzung
Keep reading

Related insights.

Datenschutz & DSGVO

Auftragsverarbeitung mit KI-Anbietern: AVV, Subunternehmer, Trainingsausschluss

Sobald ein LLM personenbezogene Daten verarbeitet, wird der Anbieter zum Auftragsverarbeiter. Was im AVV stehen muss, Subprozessor-Ketten und der Trainingsausschluss.

Leutrim·5 min
Datenschutz & DSGVO

Auftragsverarbeitungsvertrag (AVV): Template und Pitfalls für SaaS

Jeder SaaS-Anbieter braucht einen AVV nach Artikel 28 DSGVO. Pflichtbestandteile, Standard-Klauseln und die häufigsten Fehler in Praxis-Verträgen.

Leutrim·5 min
Datenschutz & DSGVO

Auftragsverarbeitungsverträge für SaaS: Die AVV-Checkliste

Anforderungen an den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, mit einer konkreten Checkliste für SaaS-Verarbeiterverträge.

Leutrim·8 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch