• Orientierungshilfe des Bayerischen Landesbeauftragten

Die Datenschutz-Grundverordnung (DSGVO) definiert verschiedene Rollen in Bezug auf die Verarbeitung personenbezogener Daten. Neben der Einzelverantwortlichkeit und der Auftragsverarbeitung ist die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO besonders wichtig. Diese tritt ein, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, was in arbeitsteiligen Verarbeitungsprozessen häufig vorkommt.

Sind die Bedingungen von Art. 26 Abs. 1 Satz 1 DSGVO erfüllt, gelten die Beteiligten als gemeinsam Verantwortliche und müssen den Pflichten gemäß Art. 26 Abs. 1 Satz 2, Abs. 2 und 3 DSGVO nachkommen. Dazu gehört der Abschluss einer Vereinbarung, die transparent festlegt, wer welche Verpflichtungen der DSGVO erfüllt. Dies erfordert Aufwand, ermöglicht aber eine klare Verteilung der datenschutzrechtlichen Zuständigkeiten und Verantwortlichkeiten, was sowohl für die Verantwortlichen als auch für die betroffenen Personen von Vorteil ist.

Voraussetzungen für eine gemeinsame Verantwortlichkeit:

Die Einstufung als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO kommt in Betracht, wenn mehr als ein Handelnder als Verantwortlicher an der Festlegung der Zwecke und Mittel eines Verarbeitungsvorgangs beteiligt ist. Eine Obergrenze betreffend die mögliche Zahl der beteiligten Verantwortlichen kennt die Datenschutz-Grundverordnung nicht.“ (RN 14)

• Entscheidungsbefugnis
• Entscheidung über die Zwecke und Mittel der Verarbeitung

Orientierungshilfe des Bayerischen Landesbeauftragten, S. 16ff.

• E-Government
• Behördliche Verbunddateien
• Kooperationen von Hochschulen und Forschungseinrichtungen
• Justizielle Kooperation zwischen Gerichten, Justizbehörden und Dienstleistern
• Veranstaltungen
• Nutzung von Sozialen Medien und Kommunikationsdiensten
• Sonstige Konstellationen - Daten-Governance-Rechtsakt

Orientierungshilfe des Bayerischen Landesbeauftragten, S. 34ff.

• „Austausch derselben Daten oder desselben Datensatzes zwischen zwei Stellen ohne gemeinsam festgelegte Zwecke oder gemeinsam festgelegte Mittel der Verarbeitung“;
  Beispiel: Übermittlung von Beschäftigtendaten an eine Finanzbehörde;
• Nutzung einer gemeinsamen Datenbank oder gemeinsamen Infrastruktur, wobei jede der nutzenden Stellen ihre eigenen Zwecke eigenständig festlegt;
  Beispiel: Marketingmaßnahmen in einer Unternehmensgruppe, die eine gemeinsame Datenbank nutzt;
• aufeinander folgende Verarbeitungen derselben personenbezogenen Daten durch verschiedene Stellen in einer Verarbeitungskette, wobei jede dieser Stellen in ihrem Teil der Kette einen unabhängigen Zweck verfolgt und unabhängige Mittel einsetzt;
  Beispiel: Zulieferung von Daten für eine statistische Analyse für eine Aufgabe im öffentlichen Interesse;
  (vgl.Orientierungshilfe des Bayerischen Landesbeauftragten, S. 37f)

Gute Informationen und Templates zur gemeinsamen Verantwortlichkeit finden sich hier:

• Muster einer Vereinbarung zur Regelung gemeinsamer Verantwortlichkeit des STMI Bayern
  
  
  
• Vereinbarung gemäß Art. 26 Abs. 1 S. 1 Datenschutz-Grundverordnung (DS-GVO) des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg
  
  
  
• Informationen zur gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 2 S. 2 der Datenschutz-Grundverordnung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg

Stand: Juni 2024